
律師解讀:反洗錢法大修,Web3 行業六大賽道的安全風險現狀
TechFlow Selected深潮精選

律師解讀:反洗錢法大修,Web3 行業六大賽道的安全風險現狀
詳細講述 Web3 行業本身所固有的安全風險以及這些行業可能被用作洗錢工具的風險。
撰文:邵詩巍
本節從 Web3 的六大行業角度出發,對 Web3 行業本身所固有的安全風險以及這些行業可能被用作洗錢工具的風險進行講解。旨在揭示行業內的潛在威脅,並引發從業人員對於反洗錢風險意識、法律合規意識的重視。
公鏈、跨鏈橋、交易平臺、錢包、DeFi 和 NFT 作為 Web3 行業的六大主要賽道,在 2023 年共發生安全事件 435 起,造成損失約 79.83 億美元(摺合人民幣約 578 億元)。
公鏈
概述:
公鏈就是利用區塊鏈技術搭建的去中心化雲服務器,用來託管和運行各種去中心化應用,是 Web3 的基礎網絡服務,典型代表有 BTC、ETH、BSC、SOL 等。同時滿足去中心化程度高、安全程度強、高性能這三點,是所有公鏈追求的目標,但這又是個「不可能三角」。例如 BTC 公鏈以犧牲性能換取了去中心化和安全性,ETH 以犧牲安全性換取了去中心化與性能。
據不完全統計,截至 2023 年 12 月,目前公鏈有 194 條。以公鏈生態市值來看,據 coingecko 數據,以太坊、BNB Chain、Solana 生態位居前三。當前,公鏈生態總市值已超萬億美元。截至 2023 年 12 月,據統計,公鏈賽道發生安全事件 13 起,累計損失資產金額超 2.8 億美元。
當前,眾多公鏈之間通過跨鏈橋技術實現了互聯互通,這一特性使得一旦某個公鏈遭遇問題,其影響能迅速擴散至其他連接的公鏈,形成連鎖反應。這種迅速的傳播不僅問題嚴重,處理起來也相當棘手,會對整個公鏈生態體系的穩定性和安全性構成嚴重威脅。
典型案例:
2022 年 10 月 7 日,智能合約平臺幣安鏈(BNB Chain)遭遇黑客攻擊,短短 2 小時,黑客憑空增發 200 萬個 BNB,並跨鏈到其他公鏈上,再通過各自公鏈上的 DEX 市場將增發的「假 BNB」換成真金白銀,金額超過 7 億美元。
跨鏈橋
概述:
由於每個公鏈之間是互不相通的,當投資者在不同的公鏈上進行投資、質押等活動時,受限於不同鏈上的共識機制,當投資者需要進行資產的整合或轉移時,就需要跨鏈技術來實現。而跨鏈橋,就是進行技術和資產傳輸所必備的「橋」,它並不是物理意義上的「橋」,而是通過一些協議和技術,使用戶能夠在不同的公鏈之間,互相轉移資產。據統計,僅 2022 年上半年發生的 7 起跨鏈橋攻擊事件,共計損失金額約 11 億 3599 萬美元。
根據 Chainalysis 數據,2023 年,非法行為者利用橋接協議進行洗錢的情況大幅增加,尤其是在加密貨幣盜竊中。如圖所示,橋接協議在 2023 年從非法地址接收了 7.438 億美元的加密貨幣,而 2022 年僅為 3.122 億美元。例如朝鮮黑客團伙 Lazarus Group,將跨鏈橋與混幣器技術相結合已成為其洗錢的重要手段。

典型案例:
1、Ronin 鏈上資金被盜
2022 年 3 月 29 日晚間,區塊鏈遊戲 Axie Infinity 背後的 Ronin 鏈上的資金被盜。此次被盜發生在 3 月 23 日,但直到 3 月 29 日才被發現。本次攻擊造成的損失約 6.24 億美元(包括 173,600 ETH 和 2550 萬 USDC),這也是迄今損失最為慘重的跨鏈橋安全事故。Ronin 的被盜資金並未能追回,最終由 Axie Infinity 及 Ronin 鏈開發公司 Sky Mavis 對用戶進行了賠付。
2、跨鏈項目被用於洗錢
2022 年 8 月 10 日,區塊鏈分析公司 Elliptic 表示,跨鏈協議 RenBridge 被用於至少 5.4 億美元的非法資金洗錢交易。
2023 年 5 月 21 日,知名的跨鏈項目 Multichain 首席執行官 Zhao Jun 被國內警方從家中帶走,並與全球 Multichain 團隊失去了聯繫。Multichain 被抓,據公開媒體報道,其涉及為犯罪集團洗錢,金額巨大。
交易平臺
概述:
交易平臺,或者說數字貨幣交易所、加密貨幣交易所,主要功能包括:為用戶提供虛擬貨幣買賣服務、為用戶存儲和管理虛擬資產、為用戶提供虛擬資產借貸服務等。據 coingecko 數據,截至 2023 年 12 月,加密貨幣交易所共有 887 個,其中中心化交易所有 224 個,去中心化交易所有 663 個,衍生產品交易所 94 個。據統計,2023 年,加密貨幣交易所發生安全事件 19 起,累計損失資產金額超 12 億美元。
典型案例:
2023 年 11 月 21 日,美國司法部官網發文稱,運營著全球最大加密貨幣交易所 Binance.com 的幣安控股有限公司(Binance Holdings Limited,簡稱 Binance)承認參與涉嫌洗錢、無證匯款和違反制裁的行為,並同意支付 43 億美元罰款(被沒收 25 億美元,以及支付 18 億美元的刑事罰款)。同時,幣安創始人兼首席執行官(CEO)趙長鵬承認自己未能維持有效的反洗錢計劃,並已辭去 Binance 首席執行官的職務。

11 月 21 日下午 4 點 36 分,幣安創始人趙長鵬發佈推文稱,在當天辭去了幣安首席執行官的職務,並表示「我犯了錯誤,我必須承擔責任」。

美國司法部指出,幣安沒有實施有效的反洗錢計劃。多年來,幣安允許用戶在不提交電子郵件地址以外的任何身份信息的情況下,開立賬戶和進行交易。同時,美國的制裁法禁止美國人與其受美國製裁的客戶進行交易,包括伊朗等受到全面制裁的司法管轄區的客戶。儘管如此,幣安並沒有實施阻止美國用戶與伊朗用戶交易的控制措施,在 2018 年 1 月至 2022 年 5 月,幣安故意失職導致美國用戶與通常居住在伊朗的用戶之間的交易超過 8.98 億美元。
「幣安在追求利潤的過程中對自己的法律義務視而不見。它的故意失職讓資金通過它的平臺流向恐怖分子、網絡罪犯和虐待兒童者。」美國財政部長珍妮特·耶倫表示,「為了確保遵守美國法律法規,今天的歷史性處罰和監督標誌著虛擬貨幣行業的一個里程碑。任何想從美國金融體系中獲益的機構,無論位於哪裡,都必須遵守保護我們所有人免受恐怖分子、外國敵對勢力和犯罪侵害的要求,否則將面臨後果。」據科技網站 GeekWire,瓊斯法官在法庭上表示,幣安具體違反聯邦銀行保密法的行為「在數量、規模和規模方面都是前所未有的」,且對潛在的恐怖主義融資和販毒「基本上視而不見」。
2024 年 4 月 30 日,幣安創始人兼前首席執行官(CEO)趙長鵬因未能防止交易所洗錢被判處 4 個月監禁。
錢包
概述:
Web3 的錢包,也稱加密貨幣錢包或數字資產錢包,是存儲和管理、使用數字貨幣的工具,據統計,截至 2023 年 12 月,數字錢包項目數量共有 153 個。2023 年,數字錢包發生安全事件 35 起,累計損失資產金額超 6 億美元。
數字錢包相關的洗錢犯罪主要體現在兩個方面,首先是錢包自身的安全性能不足導致的被黑客攻擊,用戶資產丟失;其次是由於數字錢包無需 KYC,且僅需提供地址(一連串的數字和字母的代碼組成),不需要銀行等提供中介服務,其匿名性、跨境性特徵天然適合作為不法分子洗錢的工具。
典型案例:
1、熱錢包被盜
Alphapo 是一家為博彩、電子貿易、訂閱服務和其他在線平臺提供中心化加密貨幣支付服務提供商。2023 年 7 月 23 日, Alphapo 熱錢包被盜,損失約 6000 萬美元,包括 Ethereum、TRON 和 BTC。被盜資金首先被在以太坊上交換為 ETH,然後跨鏈到 Avalanche 和 BTC 網絡。
2、國內首例破獲利用數字人民幣洗錢案
2021 年 11 月 2 日,河南省新密市公安部門偵破一起電信網絡詐騙案件,詐騙團伙利用數字人民幣進行洗錢,以逃避公安機關的打擊查處。據悉,這是我國數字人民幣試行以來,公安機關破獲的全國首例利用數字人民幣進行洗錢的案件。
DeFi,區塊鏈反洗錢領域的重災區
概述:
DeFi,即去中心化金融,是一種用於構建開放式金融系統的去中心化協議。在當前的 DeFi 生態中,項目種類繁多,按功能劃分,主要包括了交易、借貸、資產管理、穩定幣、金融設施、保險、衍生品、交易平臺等多個方面。據統計,從 Web3 各項目賽道來看,DeFi 仍然是最常受到攻擊的領域。2023 年 DeFi 安全事件共 282 件,佔事件總數的 60.77%,損失高達 7.73 億美元。

DeFi 大部分產品都是基於智能合約和交互協議構建,代碼普遍開源,越來越龐大的 DeFi 生態中,不同 DeFi 產品間的組合流通和資產共享,導致由此產生的安全問題越來越多。根據國外區塊鏈公司 Chainalysis 的報告數據顯示,從非法地址發送到加密資產服務機構的資金總額中,DeFi 的佔比越來越大。DeFi 項目在 2021 年接收到的非法資金較 2020 年增長約 1900%,佔所有被監測到的非法資金的 19%,到了 2022 年,DeFi 協議已成為非法資金的最大接收者,在與犯罪活動相關的地址發送的所有資金中佔比 69%。

典型案例:
朝鮮黑客使用 DeFi 協議洗錢
據 Chainalysis 提供的 2021 年案例,朝鮮黑客 Lazarus Group 在從中心化交易所竊取了價值超過 9100 萬美元的加密資產後,使用了幾種 DeFi 協議來洗錢。Chainalysis 指出,黑客最初竊取了各種 ERC-20 代幣,然後使用各種 DeFi 協議將這些代幣換成以太坊;黑客繼續將以太坊(ETH)發送到混幣器,然後使用 DeFi 協議再次交換它們,這次換成了比特幣(BTC),然後將 BTC 轉移到幾個中心化交易所以清算並接收現金。

NFT
概述:
NFT(Non-Fungible Token,非同質化代幣),是存儲在區塊鏈上的一種數字資產,具有獨一無二、稀缺、不可分割的屬性。主要應用於遊戲、藝術品以及域名等。據不完全統計,截至 2023 年 12 月,NFT 賽道發生安全事件共計 44 起,累計損失資產金額約為 6200 萬美元。
典型案例:NFT 清洗交易
根據 Chainalysis 統計,在 2021 年的第三、四季度中,絕大多數涉 NFT 的非法加密資產來自於與詐騙相關的地址,這些地址以加密貨幣購買了 NFT,此外還有大量被盜資金被髮送到 NFT 市場中。

根據分析數據確認的清洗交易者獲利情況,有 262 個地址用戶屬於習慣性的 NFT 清洗交易者,其中 152 個沒有盈利,而另外的 110 個通過清洗交易獲利近 890 萬美元。

注:本文數據統計來源於歐科雲鏈、零時科技、慢霧、成都鏈安、知帆科技等行研報告。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News










