金色观察 | 美国财政部2023年DeFi非法融资风险评估要点速览

2023年4月7日，美国财政部发布了去中心化金融（DeFi）非法金融风险评估（DeFi Illicit Finance Risk Assessment）。该评估是对2022年9月美国白宫数字资产框架的回应，白宫数字资产框架特别要求财政部为DeFi 提供风险评估。

据美国财政部的说法，这是世界上第一个针对DeFi进行的非法金融风险评估。金色财经带你速览DeFi非法融资风险评估要点。

这项风险评估探讨了非法行为者如何滥用通常被称为去中心化金融（DeFi）的服务，以及DeFi服务特有的脆弱性。评估结果将为确定和解决美国反洗钱和打击资助恐怖主义（AML/CFT）监管、监督和执行制度中针对DeFi的潜在执法提供参考。

目前，即使在行业参与者中，也没有普遍接受的DeFi定义，或者哪些特征会使产品、服务、安排或活动 "去中心化"。该术语泛指虚拟资产协议和服务，声称允许某种形式的自动点对点（P2P）交易，通常通过使用基于区块链技术的自我执行代码，即 "智能合约 "。一个所谓的DeFi服务在多大程度上实际上是去中心化的，是一个事实和情况问题，本风险评估发现，DeFi服务通常有一个控制组织，提供一定程度的中心化管理和治理。

该评估发现，非法行为人，包括勒索软件网络犯罪分子、小偷、骗子和朝鲜民主主义人民共和国（DPRK）网络行为人，正在利用DeFi服务转移和洗钱其非法所得。为了实现这一目标，非法行为人正在利用美国和外国反洗钱/打击资助恐怖主义的监管、监督和执法制度以及支持DeFi服务的技术中的漏洞。特别是，评估发现，该领域目前最重要的非法金融风险来自于不符合现有反洗钱/打击恐怖主义义务的DeFi服务。

在美国，《银行保密法》（BSA）和相关法规规定，金融机构有义务协助美国政府机构侦查和防止洗钱。《银行保密法》对广泛的金融机构规定了这种义务，而确定一个实体，包括所谓的DeFi服务，是否是一个金融机构将取决于其金融活动的具体事实和情况。然而，作为BSA定义的金融机构的DeFi服务，无论该服务是中心化的还是去中心化的，都必须遵守BSA义务，包括反洗钱/打击恐怖主义的义务。DeFi服务声称它是或计划是 "完全去中心化的"，并不影响其在BSA下作为金融机构的地位。

尽管如此，BSA所涵盖的许多现有DeFi服务未能遵守反洗钱/打击资助恐怖主义的义务，这是非法行为者利用的一个弱点。行业参与者对AML/CFT义务如何适用于DeFi服务缺乏共同理解，加剧了这种风险。在某些情况下，行业供应商可能故意寻求去中心化虚拟资产服务，以避免触发反洗钱/打击恐怖主义的义务，而没有认识到只要供应商继续提供BSA监管涵盖的服务，这些义务仍然适用。同时，一些以不透明的组织结构开发的DeFi服务可能会给监督带来严重的挑战，对于DeFi服务没有遵守其反洗钱/打击恐怖主义义务的情况，也会给适用的法定和监管义务的执行带来挑战。

该评估建议加强美国反洗钱/反恐融资监管，并在相关情况下对包括DeFi服务在内的虚拟资产活动进行执法，以提高虚拟资产公司对BSA义务的遵守。同时，联邦监管机构应根据以前的指导意见、公开声明和执法行动，与业界进一步接触，解释相关法律法规，包括证券、商品和货币传输法规如何适用于DeFi服务，并在必要时采取额外的监管行动和发布基于这种接触的进一步指导意见。

该评估还发现，如果DeFi服务不属于BSA规定的金融机构的现行定义范围，即本评估中所说的 “去中介”（disintermediation），则可能存在漏洞，因为这种DeFi服务选择实施反洗钱/打击恐怖主义措施的可能性降低。在DeFi服务不属于BSA范围的情况下，这可能导致DeFi服务在识别和阻止非法活动以及识别和向执法部门和其他主管部门报告可疑活动方面出现漏洞。在全球范围内，根据反洗钱/打击恐怖主义的全球标准制定机构金融行动特别工作组（FATF）制定的标准，缺乏对服务有足够控制或影响的实体的DeFi服务可能不受反洗钱/打击恐怖主义义务的明确约束，这可能导致DeFi服务在其他司法管辖区出现潜分歧。本评估建议加强美国的反洗钱/打击资助恐怖主义的监管制度，弥补《银行保密法》中任何已查明的漏洞，因为这些漏洞使某些DeFi服务不属于《银行保密法》中金融机构的定义范围。

其他已查明的漏洞包括很多其他国家没有执行国际反洗钱/打击资助恐怖主义的标准，这使得非法行为人能够在缺乏反洗钱/打击资助恐怖主义要求的管辖范围内使用DeFi服务而不受惩罚。此外，DeFi服务的糟糕网络安全措施，使用户资产被盗和欺诈，也给国家安全、用户和虚拟资产行业带来风险。该评估建议加强与外国合作伙伴的接触，以推动更有力地实施国际反洗钱/打击恐怖主义标准，并倡导虚拟资产公司改善网络安全做法，以减少这些漏洞。

该评估强调，美国现有的反洗钱/反恐融资监管框架，加上适用于虚拟资产的全球反洗钱/反恐融资标准的逐步实施，在有限程度上缓解了已确定的脆弱性。这部分是由于DeFi服务目前依赖中心化虚拟资产服务提供商（VASP）来获取法币。中心化的VASP，在本报告中指的是没有声称是去中心化的VASP，往往比DeFi服务有更简单的内部结构，总是被覆盖在FATF标准的监管范围内，并且比DeFi服务更有可能实施反洗钱/反恐措施。

除了为DeFi服务制定行业驱动的合规解决方案外，使用公链数据的能力也可以帮助减轻一些非法金融风险。然而，这些措施和公链提供的透明度本身并不能充分解决已确定的漏洞，区块链分析不能取代受监管的金融中介机构应用反洗钱/打击恐怖主义控制的重要性。尽管如此，美国政府也应寻求进一步促进该行业合规工具的负责任的创新，私营部门的许多人已经在寻求这一途径。

该评估认识到，包括DeFi服务在内的虚拟资产生态系统正在迅速变化。美国政府将继续进行研究，并与私营部门接触，以支持了解DeFi生态系统的发展，以及这些发展如何影响威胁、脆弱性和缓解措施，以应对非法金融风险。最后，本评估提出了几个问题，这些问题将作为评估的建议行动的一部分来考虑，以解决非法金融风险，包括与处理不属于BSA金融机构定义的DeFi服务有关的问题，以及需要进一步澄清的监管领域。

财政部欢迎利益相关者对这些问题提出意见。