律師解讀：反洗錢法大修，Web3.0 行業六大賽道的安全風險現狀

曼昆區塊鏈

2024-05-16 18:39:53

揭示行業內的潛在威脅，引發從業人員對於反洗錢風險意識、法律合規意識的重視。

分享至

微信掃碼

作者：邵詩巍、劉紅林律師

2024年4月23日，《中華人民共和國反洗錢法（修訂草案）》（以下簡稱"《修訂草案》"）提請第十四屆全國人大常委會第九次會議審議。這是自2007年《反洗錢法》出台後的首次大修。

復旦大學中國反洗錢研究中心執行主任嚴立新表示，當前最主要的、最緊迫的、也是最有必要上升到法律層面去解決的，就是涉及到虛擬資產的洗錢問題 。利用加密貨幣、虛擬資產進行洗錢逐漸成為一個主流趨勢，但我國法律對於虛擬資產的內涵和外延缺乏清晰的定義。

虛擬貨幣作為區塊鏈技術的典型應用，因其具有的匿名性、跨境性、不可追溯性、高度流動性等特徵，正在越來越廣泛被用作違法犯罪行為洗錢的工具 。據公安部第三研究所信息網絡安全公安部重點實驗室及歐科雲鏈研究院統計數據顯示，洗錢、詐騙、傳銷、賭博是2022年最常見的四種虛擬貨幣犯罪形式，其中54.72%的虛擬貨幣犯罪與洗錢相關，21.13%與詐騙相關。據不完全統計，目前超過60%以上的電信詐騙資金最後都通過虛擬貨幣洗白。

雖然全球各國對區塊鏈、Web3.0、虛擬貨幣等的認識和態度有較大區別，各個國家的監管政策也並不統一，但在反洗錢和預防犯罪層面，是各國的共識。我國於2007年成為FATF（金融行動特別工作組，國際上最具影響力的政府間反洗錢和反恐怖融資組織）正式成員。2019年2月，我國基本通過了FATF的第四輪評估。FATF在我國第四輪評估後續報告中指出我國特定非金融機構反洗錢、受益所有人制度、反洗錢金融制裁、監管機構現場檢查等供給存在不足等問題。我國將於2025年~2027年接受FATF的第五輪互評。**

在未來，利用虛擬貨幣洗錢將會是一個主流趨勢，應當作為我國未來監管的重點。 2022年1月，公安部在京召開的新聞發布會上通報：2021年全國破獲虛擬貨幣洗錢類案件259起，收繳虛擬貨幣價值110億餘元。據相關數據統計，當前新型網絡犯罪中70%-80%與虛擬貨幣有關，據成都鏈安統計顯示，2023年利用虛擬貨幣洗錢損失超273億元。

對於Web3行業的創業者而言 ，在當前我國反洗錢法首次大修的背景下，需要全面了解行業內的潛在的洗錢等安全風險、法律風險及其可能引發的嚴重後果，並採取相應措施以防範和降低這些風險。這不僅關乎到項目的穩健運營，整個行業的健康發展，更關乎到國家安全、社會公共利益及金融秩序。

上述文字來自邵詩巍律師。

本次主題分為三大部分展開：

Web3.0行業六大賽道的安全風險現狀
無論是國內外，Web3.0創業者都應重視反洗錢合規
反洗錢監管全球趨嚴背景下，Web3.0行業創業者應如何應對？

本文是本次主題的第一部分------『Web3.0行業六大賽道的安全風險現狀』 本節從Web3的六大行業角度出發，對Web3行業本身所固有的安全風險以及這些行業可能被用作洗錢工具的風險進行講解。旨在揭示行業內的潛在威脅，並引發從業人員對於反洗錢風險意識、法律合規意識的重視。

公鏈、跨鏈橋、交易平台、錢包、DeFi和NFT作為Web3行業的六大主要賽道，在2023年共發生安全事件435起，造成損失約79.83億美元（折合人民幣約578億元）。

公鏈

概述：

公鏈就是利用區塊鏈技術搭建的去中心化雲伺服器，用來托管和運行各種去中心化應用，是Web3的基礎網絡服務，典型代表有BTC、ETH、BSC、SOL等。同時滿足去中心化程度高、安全程度強、高性能這三點，是所有公鏈追求的目標，但這又是個"不可能三角"。例如BTC公鏈以犧牲性能換取了去中心化和安全性，ETH以犧牲安全性換取了去中心化與性能。

據不完全統計，截至2023年12月，目前公鏈有194條。以公鏈生態市值來看，據coingecko數據，以太坊、BNB Chain、Solana生態位居前三。當前，公鏈生態總市值已超萬億美元。截至2023年12月，據統計，公鏈賽道發生安全事件13起，累計損失資產金額超2.8億美元。

當前，眾多公鏈之間通過跨鏈橋技術實現了互聯互通，這一特性使得一旦某個公鏈遭遇問題，其影響能迅速擴散至其他連接的公鏈，形成連鎖反應。這種迅速的傳播不僅問題嚴重，處理起來也相當棘手，會對整個公鏈生態體系的穩定性和安全性構成嚴重威脅。

典型案例：

2022年10月7日，智能合約平台幣安鏈（BNB Chain）遭遇黑客攻擊，短短2小時，黑客憑空增發200萬個BNB，並跨鏈到其他公鏈上，再通過各自公鏈上的DEX市場將增發的"假BNB"換成真金白銀，金額超過7億美元。

跨鏈橋

概述：

由於每個公鏈之間是互不相通的，當投資者在不同的公鏈上進行投資、質押等活動時，受限於不同鏈上的共識機制，當投資者需要進行資產的整合或轉移時，就需要跨鏈技術來實現。而跨鏈橋，就是進行技術和資產傳輸所必備的「橋」，它並不是物理意義上的"橋"，而是通過一些協議和技術，使用戶能夠在不同的公鏈之間，互相轉移資產。據統計，僅2022年上半年發生的7起跨鏈橋攻擊事件，共計損失金額約11億3599萬美元。

根據 Chainalysis 數據，2023年，非法行為者利用橋接協議進行洗錢的情況大幅增加，尤其是在加密貨幣盜竊中。如圖所示，橋接協議在2023年從非法地址接收了7.438億美元的加密貨幣，而2022年僅為3.122億美元。例如朝鮮黑客團伙Lazarus Group，將跨鏈橋與混幣器技術相結合已成為其洗錢的重要手段。

典型案例：

1、Ronin鏈上資金被盜

2022年3月29日晚間，區塊鏈遊戲Axie Infinity背後的Ronin鏈上的資金被盜。此次被盜發生在3月23日，但直到3月29日才被發現。本次攻擊造成的損失約6.24億美元（包括173,600 ETH和2550萬 USDC），這也是迄今損失最為慘重的跨鏈橋安全事故。Ronin的被盜資金並未能追回，最終由Axie Infinity及Ronin鏈開發公司Sky Mavis對用戶進行了賠付。

2、跨鏈項目被用於洗錢

2022年8月10日，區塊鏈分析公司Elliptic表示，跨鏈協議RenBridge被用於至少5.4億美元的非法資金洗錢交易。

2023年5月21日，知名的跨鏈項目Multichain首席執行官趙俊被國內警方從家中帶走，並與全球Multichain團隊失去了聯繫。Multichain被抓，據公開媒體報導，其涉及為犯罪集團洗錢，金額巨大。

交易平台

概述：

交易平台，或者說數字貨幣交易所、加密貨幣交易所，主要功能包括：為用戶提供虛擬貨幣買賣服務、為用戶存儲和管理虛擬資產、為用戶提供虛擬資產借貸服務等。據coingecko數據，截至2023年12月，加密貨幣交易所共有887個，其中中心化交易所有224個，去中心化交易所有663個，衍生產品交易所94個。據統計，2023年，加密貨幣交易所發生安全事件19起，累計損失資產金額超12億美元。

典型案例：

2023年11月21日，美國司法部官網發文稱，運營著全球最大加密貨幣交易所Binance.com的幣安控股有限公司 （Binance Holdings Limited，簡稱Binance）承認參與涉嫌洗錢、無證匯款和違反制裁的行為，並同意支付43億美元罰款（被沒收25億美元，以及支付18億美元的刑事罰款）。同時，幣安創始人兼首席執行官（CEO）趙長鵬承認自己未能維持有效的反洗錢計劃，並已辭去Binance首席執行官的職務。

11月21日下午4點36分，幣安創始人趙長鵬發布推文稱，在當天辭去了幣安首席執行官的職務，並表示"我犯了錯誤，我必須承擔責任"。

美國司法部指出，幣安沒有實施有效的反洗錢計劃。 多年來，幣安允許用戶在不提交電子郵件地址以外的任何身份信息的情況下，開立賬戶和進行交易。同時，美國的制裁法禁止美國人與其受美國制裁的客戶進行交易，包括伊朗等受到全面制裁的司法管轄區的客戶。儘管如此，幣安並沒有實施阻止美國用戶與伊朗用戶交易的控制措施，在2018年1月至2022年5月，幣安故意失職導致美國用戶與通常居住在伊朗的用戶之間的交易超過8.98億美元。

"幣安在追求利潤的過程中對自己的法律義務視而不見。它的故意失職讓資金通過它的平台流向恐怖分子、網絡罪犯和虐待兒童者。"美國財政部長珍妮特·耶倫表示，"為了確保遵守美國法律法規，今天的歷史性處罰和監督標誌著虛擬貨幣行業的一個里程碑。任何想從美國金融體系中獲益的機構，無論位於哪裡，都必須遵守保護我們所有人免受恐怖分子、外國敵對勢力和犯罪侵害的要求，否則將面臨後果。"據科技網站GeekWire，琼斯法官在法庭上表示，幣安具體違反聯邦銀行保密法的行為"在數量、規模和規模方面都是前所未有的"，且對潛在的恐怖主義融資和販毒"基本上視而不見"。

2024年4月30日，幣安創始人兼前首席執行官（CEO）趙長鵬因未能防止交易所洗錢被判處4個月監禁。

錢包

概述：

Web3的錢包，也稱加密貨幣錢包或數字資產錢包，是存儲和管理、使用數字貨幣的工具，據統計，截至2023年12月，數字錢包項目數量共有153個。2023年，數字錢包發生安全事件35起，累計損失資產金額超6億美元。

數字錢包相關的洗錢犯罪主要體現在兩個方面，首先是錢包自身的安全性能不足導致的被黑客攻擊，用户資產丟失；其次是由於數字錢包無需KYC，且僅需提供地址（一連串的數字和字母的代碼組成），不需要銀行等提供中介服務，其匿名性、跨境性特徵天然適合作為不法分子洗錢的工具。

典型案例：

1、熱錢包被盜 Alphapo是一家為博彩、電子貿易、訂閱服務和其他在線平台提供中心化加密貨幣支付服務提供商。2023年7月23日，Alphapo熱錢包被盜，損失約6000萬美元，包括Ethereum、TRON和BTC。被盜資金首先被在以太坊上交換為ETH，然後跨鏈到Avalanche和BTC網絡。 2、國內首例破獲利用數字人民幣洗錢案 2021年11月2日，河南省新密市公安部門偵破一起電信網絡詐騙案件，詐騙團伙利用數字人民幣進行洗錢，以逃避公安機關的打擊查處。據悉，這是我國數字人民幣試行以來，公安機關破獲的全國首例利用數字人民幣進行洗錢的案件。 0 5 DeFi，區塊鏈反洗錢領域的重災區

概述：

DeFi，即去中心化金融，是一種用於構建開放式金融系統的去中心化協議。在當前的DeFi生態中，項目種類繁多，按功能劃分，主要包括了交易、借貸、資產管理、穩定幣、金融設施、保險、衍生品、交易平台等多個方面。據統計，從Web3各項目賽道來看，DeFi仍然是最常受到攻擊的領域。2023年DeFi安全事件共282件，占事件總數的60.77%，損失高達7.73億美元。

DeFi大部分產品都是基於智能合約和交互協議構建，代碼普遍開源，越來越龐大的DeFi生態中，不同DeFi產品間的組合流通和資產共享，導致由此產生的安全問題越來越多。根據國外區塊鏈公司Chainalysis的報告數據顯示，從非法地址發送到加密資產服務機構的資金總額中，DeFi的占比越來越大。DeFi項目在2021年接收到的非法資金較2020年增長約1900%，占所有被監測到的非法資金的19%，到了2022年，DeFi協議已成為非法資金的最大接收者，在與犯罪活動相關的地址發送的所有資金中占比69%。

典型案例：

朝鮮黑客使用DeFi協議洗錢 據Chainalysis提供的2021年案例，朝鮮黑客Lazarus Group在從中心化交易所竊取了價值超過9100萬美元的加密資產後，使用了幾種DeFi協議來洗錢。Chainalysis指出，黑客最初竊取了各種ERC-20代幣，然後使用各種DeFi協議將這些代幣換成以太坊；黑客繼續將以太坊（ETH）發送到混幣器，然後使用DeFi協議再次交換它們，這次換成了比特幣（BTC），然後將BTC轉移到幾個中心化交易所以清算並接收現金。