2023 年 4 月 6 日,美国财政部发布了 2023 DeFi 非法金融活动评估报告,这是世界上首份基于 DeFi 的非法金融活动评估报告,亦是对 2022 年 3 月白宫发布的虚拟资产监管框架的回应。无论是美国财政部下属的美国金融犯罪执法局(FinCEN),还是美国海外资产控制办公室(OFAC),都是美国虚拟资产行业的重要监管部门,都具有域外的执法权限。FinCEN 负责防范和惩罚国内外洗钱活动、打击恐怖主义融资和其他金融犯罪,以及负责收集和分析金融交易信息,通过研究金融机构的强制性披露信息,追踪可疑人员和活动,OFAC 则负责管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁。
近日,香港证监会(SFC)官员在 2023 香港 Web3 嘉年华的演讲中发声,表示需要加强对 DeFi 的监管。DeFi 的金融稳定性(DeFi 与虚拟资产生态,DeFi 与传统金融)、DeFi 数据的匿名而导致的不透明、DeFi 与虚拟资产行业的市场缺乏诚信、DeFi 网络黑客网络安全等这些问题都对现行监管框架提出了挑战。如何确定 DeFi 项目的责任主体、如何解决 DeFi 项目的中心化、如何解决 DeFi 项目的监管套利等这些问题都是监管迫切需要回应的。香港官员的发言,也在一定程度体现了美国财政部 2023 DeFi 非法金融活动评估报告中的内容。
SFC 的监管目的是出于其对于证券代币规管的逻辑,在此基础上,不仅要从反洗钱的角度,还要从投资者保护的角度来对虚拟资产服务提供商进行监管(Celsius、FTX 的崩盘对中小投资者造成巨大的影响)。
SFC 官员表示:“在遵循 SFC “相同风险,相同方法”的原则下,DeFi 将受到与传统金融机构相同的监管要求约束。从事或执行此类活动的人员应遵守许可要求并受 SFC 监管。如果去中心化平台允许的交易构成 SFO 规定的证券或期货,那么该平台及其服务提供商将需要获得第7类受监管活动的许可证……继立法会通过《2022 年反洗钱和反恐融资修正案》后,SFC 正在寻求实施涵盖中心化虚拟资产服务提供商的新发牌制度。当该制度于今年 6 月 1 日生效时,无论虚拟资产服务提供商是否提供证券代币或非证券代币交易,都必须获得 SFC 的许可。”
吴说报道:
https://mp.weixin.qq.com/s/u_7uqkEqNhNEN1h13JNmNA
无论如何,如何监管 DeFi 一直是全球各个司法辖区正在积极探索的问题。美国财政部从它的角度率先给出的这份 42 页的报告就十分值得学习、借鉴了。
报告首先概述了 DeFi 生态系统的市场结构,然后演示了非法行为者如何滥用 DeFi 服务从事非法活动并从中获利,特别是勒索软件攻击、盗窃、诈骗、毒品贩运和扩散融资。然后,报告识别出犯罪分子利用 DeFi 服务进行非法金融行为的漏洞,包括不履行反洗钱/反恐怖主义融资(AML/CFT)和制裁的义务,去中介化的风险,以及在海外司法辖区缺乏履行国际 AML/CFT 的标准的监管真空。最后,报告提出解决其中一些漏洞的缓解措施,以及对美国政府的几项建议,为针对 DeFi 的监管和执法活动提供参考。
2023 DeFi Illicit Finance Risk Assessment 链接如下:
https://home.treasury.gov/news/press-releases/jy1391
一、DeFi 的定义
目前,即使在业内也没有对 DeFi 有明确定义,也没有明确到底需要包含哪些特征才会使 DeFi 产品、服务、协议或活动变得“去中心化”。DeFi 泛指虚拟资产的协议和服务,即允许某种形式的自动点对点(P2P)交易,通常基于区块链代码自我执行(智能合约)。
报告中的 DeFi 服务泛指包括去中心化交易所(DEX)、去中心化借贷平台、质押池(Yield Protocols)、跨链桥、流动性质押、去中心化算法稳定币等的 DeFi 平台、交易所、应用、组织以及其他形态,但是不包括通过自托管钱包之间进行的交易的 DeFi 服务。
报告将 DeFi 分为 4 个层级:
结算层——区块链共识层,包括 Layer 1 和 Layer 2 的解决方案,在这个层面交易被记录,参与者可以持有虚拟资产的地址并通过智能合约与其他参与者交互。
资产层——DeFi 服务中使用的虚拟资产(Coins and Tokens)。
协议层——部署到区块链,并在其上执行的代码,包括智能合约,还可能包括辅助软件。
应用层——前端用户界面、应用程序编程接口(API)和其他允许参与者与智能合约交互的代码。
在 DeFi 服务中,用户通常将其虚拟资产集中并锁定在 DeFi 服务智能合约的流动性池(Liquidity Pools)中,DeFi 服务则可以从智能合约的流动性池中获取虚拟资产,用于交易、借贷和其他金融服务。由于 DeFi 服务特性,用户可以不提供任何个人信息而使用服务,这区别于中心化交易所要求的 KYC/AML/CFT 以及经贸制裁等相关合规义务。
二、DeFi 服务的中心化
报告发现,DeFi 这个词在虚拟资产行业被广泛地应用,但是实际上大部分所谓的 DeFi 还是中心化的(或者正在去中心化的过程中),通常由一个组织控制,并提供一定程度的中心化管理和治理。而且,使用不透明组织架构开发的 DeFi 服务,对于识别哪些自然人或法人应该对 DeFi 服务负责的难度较大。
2.1 治理层面的中心化
许多 DeFi 服务声称不依赖于中心化的治理结构,声称其服务是基于代码自主运行的。然而,在实践中,许多 DeFi 服务依旧依赖中心化治理结构(如,实现管理功能,修复代码问题,或在某种程度上调整智能合约的功能)。
一些 DeFi 服务通过去中心化自治组织(DAO)来进行治理,而在 DAO 内,相关人士通过 DAO 的治理代币持有、提案、投票、表决、通过议案、执行这一系列程序对 DAO 进行治理。这些具体程序每个 DAO 都不同,如对于持有多少代币能够提出议案、投票表决的程序以及通过率等。在一些情况下,DeFi 服务的早期投资者、发起人及核心团队通常持有大部分比例的治理代币,并且行使代理投票权的情况下,左右 DAO 的治理,或者说是对于 DeFi 的治理,这种情况下的治理依旧是中心化的。如 2022 年 9 月,CFTC 针对 Ooki DAO 违反美国商品法(CEA)及 CFTC 法律法规的执法行动中,就认为 Ooki DAO 的发起人及主要负责人对 DAO 的治理有较大责任,并进行了处罚。
2.2 应用层面的中心化
对于应用层面的开发者,他们可能对用户有效使用 DeFi 服务产生重要的影响,即使他们声称不“控制”DeFi 服务的智能合约,或者不在 DeFi 服务的治理层面发挥作用。
2.3 结算层面的中心化
不同的区块链亦具有不同程度的去中心化,虽然拥有少量验证者的区块链可以加快区块链的结算时间,并可能降低费用,但它也可能集中决策批准交易。这可能使一小群人能够决定区块链支持的交易类型,包括批准某些交易的能力,或交易结算的顺序。
2.4 托管层面的中心化
虽然一些 DeFi 服务是由用户通过钱包对其虚拟资产自行托管的,但是大部分的 DeFi 服务都要求用户将其虚拟资产存入、锁定进其智能合约。同时,DeFi 服务的小部分人士控制着智能合约的 Key。
三、非法金融活动
报告发现,非法行为人,包括网络犯罪分子、诈骗者和朝鲜民主主义人民共和国(DPRK)的黑客,都在使用 DeFi 服务对其非法所得进行转移和洗钱。非法行为人利用美国和外国有关 AML/CFT 的监管和执法漏洞,以及 DeFi 服务中的技术漏洞,以实现其目的,如犯罪分子通过 DEXs、混币器、跨链桥、流动性资产池等的这类 DeFi 服务对非法虚拟资产进行洗钱,然后通过缺乏 AML/CFT 要求的虚拟资产服务提供商(VASPs)进行虚拟资产与法币的兑换。
四、DeFi 服务的漏洞
在美国,根据《银行保密法》(BSA)和相关法规规定,金融机构有义务协助美国政府机构侦察和防范洗钱。BSA 能对大部分金融机构施加这种义务,其能够根据一个实体(包括 DeFi 服务)的具体金融活动和事实,来确定其是否属于金融机构。如果 DeFi 服务被定义为 BSA 项下的金融机构,那么无论该服务是中心化的还是去中心化的,都必须履行 BSA 项下的义务,包括 AML/CFT,即使 DeFi 服务声称是,或将来是 "完全去中心化的",这并不影响其在 BSA 下作为金融机构的定义。如根据 FinCEN 于 2019 年的一项指导意见,一个 DeFi 服务如涉及虚拟资产的接受/传输,那么就与法定货币的接受/传输没有区别,属于 Money Transmitter,应履行 AML/CFT 义务。
4.1 不履行 AML/CFT 义务的 DeFi 服务
尽管如此,BSA 项下许多 DeFi 服务未能履行 AML/CFT 义务,这是非法行为者得以利用的一个漏洞。此外,市场参与者对于 AML/CFT 义务如何适用于 DeFi 服务也缺乏共识,这同样加剧了这种风险。在一些情况下,市场参与者可能会故意将其虚拟资产服务去中心化,以避免触发 AML/CFT 义务,但他们没有认识到只要他们继续提供服务,依然属于 BSA 的监管范畴。同时,一些以不透明的组织形式开发的 DeFi 服务可能会给监督带来严重的挑战,如果 DeFi 服务不履行其 AML/CFT 义务,那么可能影响适用的法律和监管的执行。
依然是上述提到的 CFTC 针对 Ooki DAO 的执法案例。Ooki DAO 的主要负责人声称通过 Ooki DAO 的运作将能够使其规避 CEA 以及 CFTC 的监管,即规避 AML/CFT 等义务的履行。这样的后果使潜在犯罪分子能够利用这一漏洞进行非法金融活动。报告特别发现,目前最严重的非法金融风险来自不履行目前现有 AML/CFT 义务的 DeFi 服务。
4.2 去中介化的风险
报告还发现,如果 DeFi 服务不属于 BSA 项下金融机构的定义,即本报告中所称的“去中介”(disintermediation),那么这类 DeFi 服务选择履行 AML/CFT 义务的可能性会降低,可能导致 DeFi 服务在识别和阻止非法活动,以及在识别和向相关执法部门报告可疑活动等方面出现漏洞。
4.3 其他国家并未执行国际 AML/CFT 的标准
其他已查明的漏洞还包括很多国家没有执行国际 AML/CFT 的标准,这使得非法行为人能够在缺乏 AML/CFT 要求的司法辖区内使用 DeFi 服务而不受惩罚。这种跨境的监管套利行为将使 DeFi 规避了 AML/CFT 的要求。
4.4 网络基础设施的漏洞
此外,DeFi 服务不完善的网络安全设施,可能使用户受到欺诈并使其资产被盗,这也给国家安全、消费者和虚拟资产行业带来风险。
五、监管建议
报告建议加强美国 AML/CFT 的监管,并在可能的情况下加强对虚拟资产活动(包括 DeFi 服务)的执法,以提高虚拟资产服务提供商对 BSA 义务的合规性。同时,监管机构应根据以往的指导意见、公开声明和执法行动,与行业进一步接触,来解释现行的相关法律法规(包括证券、商品和货币传输法规)该如何适用于 DeFi 服务,并在必要时采取额外的监管行动或发布进一步的指导意见。
财政部将继续更新美国的 AML/CFT 要求,以确保监管框架有效地保护美国金融系统免受各种威胁和非法金融活动的影响,无论是由法定货币还是虚拟资产促成的。报告建议加强适用于 DeFi 服务的美国 AML/CFT 制度,消除 BSA 中任何已识别的漏洞,使 DeFi 服务纳入 BSA 对金融机构的定义范围。
在全球范围内,根据金融行动特别工作组(FATF)制定的 AML/CFT 全球标准,像 DeFi 服务这类缺乏一个实体对服务进行有效控制或影响的,可能不受 AML/CFT 义务的明确约束,这可能导致 DeFi 服务在其他司法管辖区出现监管分歧。报告建议加强与外国监管机构等的合作,以推动实施国际 AML/CFT 标准,并倡导虚拟资产公司完善网络安全设施,以减少这些漏洞的出现。
报告强调,随着美国现有的 AML/CFT 监管框架,以及适用于虚拟资产的全球 AML/CFT 标准的逐步实施,能够在有限程度上缓解已识别漏洞产生的风险,就比如对虚拟资产服务提供商(VASP)出入金业务的监管。这是由于 DeFi 服务目前依赖中心化的虚拟资产服务提供商(VASP)来兑换法币,中心化的 VASP 往往比 DeFi 服务有更简单的内部结构,总是被覆盖在 FATF 标准的监管范围内,并且比 DeFi 服务更有可能实施 AML/CFT 措施。
此外,在为 DeFi 服务制定行业合规解决方案外,对区块链公开数据进行分析也可以帮助防范一些非法金融风险。然而,这些合规方案和基于透明公链的数据分析并不能完全解决 DeFi 服务已识别的漏洞,这些措施并不能取代受监管金融中介机构应用 AML/CFT 措施的重要性。尽管如此,美国政府也应通过负责任的创新形式,寻求促进该行业合规措施,私营部门的参与者已经在寻求这一途径。
该报告认识到,包括 DeFi 服务在内的虚拟资产生态系统正在迅速变化。美国政府将继续进行研究,并与私营部门合作以了解并支持 DeFi 生态系统的发展,并且评估这些发展将如何影响应对非法金融风险的威胁、漏洞和缓解措施。最后,报告提出了几个问题,这些问题将被视为报告建议行动的一部分,以解决非法金融风险,包括与处理不属于 BSA 金融机构定义的 DeFi 服务有关的问题,以及需要进一步明确的监管领域的问题。
从 DAO 监管第一案,看美国 CFTC 对 DAO 的监管逻辑