進擊的虛擬貨幣監管和摩擦
OFAC 的創立來源於國會於 1977 年通過的一項法案——《國際緊急經濟權力法》(簡稱 IEEPA),該法案首先要遵守美國憲法,所以行使法案相關權力的行為也要符合美國憲法。IEEPA 給予總統(國家行政機構)宣布國家緊急狀態的權力,從而阻止受美國管轄的人和組織進行任何涉及外國勢力損害美國利益的活動。IEEPA 給予了 OFAC 封鎖財產的權力,其核心是「財產」。911 之後,為了從財務上更好地打擊恐怖組織,當時的美國總統布什推進國會通過了另一項法案《美國愛國者法案》,實質上將 IEEPA 擬定的行政權擴大了,並給予了 OFAC 很大的權力。該法案允許 OFAC 封鎖「調查中(pendency of an investigation)」的財產,並不必為此提出解釋或提供確鑿的證據。
在 OFAC 開始將制裁的大棒揮向加密貨幣和區塊鏈行業之前,OFAC 的傳統制裁對象一般是意識形態上挑戰美國的與主權國家相關的個人與組織。2021 年 10 月,OFAC 發布了針對虛擬貨幣的合規引導(Sanctions Compliance Guide for the Virtual Currency Industry),裡面重申了 OFAC 的制裁類型,一共是四類:i) 廣泛商貿制裁和封鎖,目前主要針對伊朗、朝鮮、古巴、敘利亞、克里米亞地區。ii) 針對政府或者政權的制裁。iii) 清單制(目前有許多虛擬貨幣行業的制裁走的是清單制)iv) 行業制,針對某些外國的某特定產業。
第一類制裁是制裁的根本,但是 OFAC 靈活使用各類制裁來封鎖某主權國家或地區一切對外貿易和經濟行為。前往過伊朗、朝鮮等地旅遊的讀者可能可以感受到國際的銀行交易無法在那些國家使用,所有針對那些國家公民的轉賬也無法通過 SWIFT 交易。自 1979 年以來,美國對伊朗陸續進行了全方位制裁,禁止美國與伊朗間的直接貿易,禁止出售飛機零件給伊朗航空公司,禁止石油貿易,OFAC 同時也對伊朗領導人海外資產直接凍結和沒收,將 700 多個伊朗相關的實體列入特別指定國民清單(Specially Designated Nationalists List, SDNs),等。該制裁影響深遠,重創伊朗經濟,使伊朗經濟游離於世界經濟體外。美國臨時引渡孟晚舟,理由之一就是調查華為是否幫助伊朗規避了制裁。目前,OFAC 正在調查最大的加密貨幣交易平台 Kraken,該調查自 2019 年即開始,其原因也是因為 Kraken 涉嫌規避對伊朗的制裁。除此之外,OFAC 也制裁了許多試圖規避制裁的人或實體。2020 年 3 月,OFAC 宣布制裁兩位中國人,理由是其通過加密貨幣幫助朝鮮的 Lazarus Group 規避制裁洗錢。大部分的制裁與第一類制裁相關,理由都是某行業某行為涉及了被制裁國家,無論該行為是有心還是無心,在美國本土還是不在美國本土,有證據還是沒有證據。
OFAC 制裁加密貨幣的流程、案例 OFAC 發布了合規的五個元素(sanctions compliance program, SCP),分別是 i) 管理層義務 Kraken 审查和测试 ii) 風險評估 iii) 內部控制 iv) 測試和審計,還有 v) 培訓。總體而言,OFAC 的期待值比較高,企業想要合規,需要從上至下具有合規和風險意識,在內部安排專門處理 OFAC 合規事項的人員和部門,並且小心翼翼不要貿然或者沒有準備地觸碰到 OFAC 的紅線。上了 SDN 的名單也可以改變行為,積極部署合規,然後向 OFAC 申請從名單上刪除。OFAC 明確表示,制裁的目的不是為了永恆性地懲罰某些個人或者組織,而是督促其改變行為,增加合規。所以,每年 OFAC 也是會從網站上刪除許多進行了改變的人和組織。
近年來,隨著去中心化加密貨幣和交易平台的崛起,OFAC 的制裁也屢屢走進了這個行業。雖然加密貨幣的理論本質是去中心化,比較重要的交易平台都是美國合規的公司,創始人可能會和美國利益相關,甚至交易平台不需要和美國有關,只要交易中出現和「伊朗」「朝鮮」等相關,涉及反對 OFAC 既定的制裁的,都有很高的可能受到 OFAC 的制裁。
2021 年 9 月,OFAC 宣布制裁實際在俄羅斯營運的加密貨幣交易平台 Suex,將它列為了 SDN,理由是它涉嫌為網路攻擊洗錢,為至少八種勒索軟體變體的非法收益提供便利。2022 年 4 月,OFAC 制裁了礦業 Bitriver,理由是它幫助俄羅斯政府躲避制裁。2022 年 5 月,OFAC 已經宣布制裁了一個虛擬貨幣混幣平台 Blender.io,理由是該平台幫助朝鮮政府洗錢,幫助上文提及的朝鮮 Lazarus 洗了超過 2,050 萬美元。OFAC 凍結了 Blender 所有的在美資產並禁止美國個人與實體與 Blender 交易。
在 OFAC 制裁 Tornado Cash 之前,OFAC 列出的錢包、個人等,都具有一定「合法性」,符合 OFAC 制裁的邏輯,且針對中心化的個人、群體等,大多與個別被制裁的國家例如伊朗、朝鮮、俄羅斯有關,在虛擬貨幣行業內雖然也有怨言,但是並未找到邏輯漏洞。
OFAC 制裁 Tornado Cash 的合法性和非法性
2022 年 8 月,OFAC 將虛擬貨幣混合平台 Tornado Cash 列入了 SDN 名單中,宣布制裁相關的 44 個以太坊和 USDC 錢包地址,理由是該混合器涉及洗錢,涉及價值超過 70 億美元的虛擬貨幣,該制裁在虛擬貨幣圈掀起了波浪。
這次制裁與今年早些制裁 Blender.io 不同,制裁 Tornado Cash 並不算是制裁「實體」。制裁 Blender 時,OFAC 詳細列出了 Blender 有關的幾個網站和幾十個比特幣錢包地址,且 Blender 是一個中央化的實體。但是 Tornado Cash 並不是一個中央化的混幣器,所以一這讓 OFAC 制裁「實體」的權力來源可被推敲,二也使得制裁 Tornado Cash 這樣的去中心化智能合約非常困難。制裁之後,美國公民將無法使用 Tornado Cash。
由於 OFAC 制裁普遍比較非透明化,其列在網站上聲稱對「Tornado Cash」的制裁併不知道具體是制裁了誰,是受自然人控制的叫做 Tornado Cash 的實體,還是擁有和營運該網站的實體,還是籌集資金環節的實體。正由於 Tornado Cash 去中心化的本質,所以 OFAC 列出制裁的虛擬貨幣錢包也不能表明這些被制裁的錢包背後有實體、法人、自然人可以被制裁,因為安裝在以太坊智能合約上的錢包,可以不被人控制,自動根據代碼進行混幣。並沒有證據表明,部署了 Tornado Cash 的自然人或者法人團隊現在還對該程序進行控制。在 Tornado Cash 的邏輯里,混幣的用戶可以來自五湖四海,但並沒有中心審查團隊或者機制去甄別這些客戶,但這並不一定是有人故意為之,而是系統與算法自動進行去中心化的匹配和處理。在這種情況下,有律師認為 OFAC 是否可以將一個自動協議列入 SDN,該情況是否違憲?
如果被制裁的 Tornado Cash 是一個實體,實體如果認為 OFAC 制裁不公,是可以通過法律手段進行申辯並且在聯邦法院提起訴訟。由於訴訟只有實體可以提出,所以請願移出 SDN 名單也只有實體才可以做到,那麼制裁沒有中心的實體是不是不公平?同時,制裁相關錢包並無法改變該自動算法自動進行交易的行為,那制裁是否違背了 OFAC 的初衷,即促使某組織或個人改變行為。
加密貨幣智庫 Coin Center 認為 OFAC 制裁 Tornado Cash 的行為超出了該組織的權限,由於制裁併未推動在「實體」上,同時不能有效改變行為。最後它並不在 IEEPA 規定的對「財產」封鎖的範疇內,且沒有提供美國憲法規定的程序性正當程序要求,所以 OFAC 此行為超出 IEEPA 給予的行政權力。
Kraken CEO Jesse Powell 認為 OFAC 制裁 Tornado Cash 的行為可能「違憲」。在荷蘭政府羈押了 Tornado Cash 創始人 Alex Pertsev 之後,8 月 20 日有超過 50 人的集會在阿姆斯丹遊行抗議該羈押,要求釋放 Alek Pertsev。目前,對 OFAC 這次制裁存疑的律師在組織力量和 OFAC 聯繫並試圖在法律層面推動抗議與訴訟。
監管的未來與以太坊分叉
目前因為分叉而處在風口浪尖的以太坊也有可能與 OFAC 交手。如果有一天 OFAC 想要審查或者制裁轉成了 PoS(Proof of Stake)之後的以太坊,是否有可能呢?OFAC 是可以制裁給以太坊提供服務的基礎設施「實體」,但是想要制裁一個去中心化的 protocol,一樣會面臨問題。面對該問題,以太坊創始人 Vitalik Buterin 於 2022 Kraken 审查和测试 年 8 月 16 日通過 Twitter 表示,審查制度是對以太坊協議的攻擊,如果有這樣的情況,他會選擇通過社區共識燒毀他的市佔率。
部分政府已經發覺以中心化的方法去監管去中心化的工具的邏輯問題以及困難程度。歐盟副主席 Eva Kaili 在 8 月與 CoinDesk 的採訪里表示,「從設計上講,DeFi 至少在我們習慣的方式上缺乏『實體』的特徵。因此,在這種去中心化的環境中,我們需要重新考慮我們的方法,即什麼構成了在不當行為的情況下將承擔責任的『實體』」。
2022 年 6 月,受 UST 崩盤影響,歐盟加快了對加密貨幣行業的立法,推出了加密法案 Kraken 审查和测试 MiCA,要求歐洲境內營運的穩定幣商提供合理的白皮書並且保證邏輯可行,要求歐洲境內的加密資產服務商獲得授權才能在歐盟營運,大型服務商要受歐洲證券和市場管理局監督,穩定幣發行商必須保有一定的儲備金等。該法案是歐洲對穩定幣監管的分水嶺法案,其中許多條例與監管傳統中心化的金融服務商和銀行類似。歐盟該法案在可以進行的領域通過可以被監管的節點儘量地去監管了去中心化的內容。
儘管 MiCA 的通過和 OFAC 的行動,去中心化市場的大部分的行為目前並不在監管範圍內,但這並不代表監管層沒有注意這個行業。聯準會副主席 Lael Brainard 一直以來都批評虛擬貨幣的發展,認為在該行業變大之前需要進行有效監管。聯準會主席鮑威爾也多次在公開場所表態,認為美國可能需要一套專門監管虛擬貨幣的框架。
相比之下,一些小型地區和國家法律稍微放鬆一些。2022 年 2 月 28 日,阿聯酋通過了虛擬財產法,並設立了虛擬財產監管局(VARA),除了要求發行虛擬貨幣的公司需要拿到阿聯酋的執照、表明所有在阿聯酋境內的虛擬財產公司受 VARA 監管外,並沒有過多的條款。
Kraken 审查和测试
把静态分析整合到代码审查流程中,可以使代码审查更高效、一致。自动化并不会取代人为的判断,但它确实为通常不是安全专家的审查人员提供了审查流程和安全专业知识。请注意,特定工具可能无法涵盖整个产品组合,尤其是在涉及新语言时,因此额外开展一些本地工作可能非常有用。一些组织可能会通过将静态分析整合到源代码管理工作流(例如,拉取请求)和交付流程工作流(构建、打包和部署)中,推动实现工具自动化,以使审查更加高效、一致且符合发布节奏。无论是使用自动化工具来增量审查部分源代码,例如开发人员提交的新代码或对现有代码进行的小幅改动,还是通过扫描整个代码库来分析整个应用程序,这种服务都应当明确与软件开发过程中使用的更大规模的 SSDL 缺陷管理流程相挂钩,而不仅仅是在部署路径上用来“核对安全选项框”。
代码审查是 SSG 职权范围内对所有项目强行实施的发布门控,缺少代码审查或审查结果不满足要求都将导致产品发布停止或发布暂缓,或者导致产品被召回。所有项目都必须接受代码审查,但不同种类的项目可能会接受不同的流程。例如,对低风险项目的审查可以更多地依赖自动化工具,而高风险项目可能会消耗审查人员很多时间。设置最低可接受标准强制要求对未通过审查的项目进行修改和重审。几乎关闭所有规则的代码审查工具(例如,为了能够以 CI/CD 自动化速度运行),无法充分覆盖所有缺陷。专注于质量和风格的同事间代码审查也不会提供有用的安全性结果。
在代码审查期间发现的 bug 应当在一套集中系统中进行跟踪。该系统可以为组织机构提供摘要报告和趋势报告。代码审查信息可以合并到 CISO 级面板中,面板还可包含来自安全组织其他部门的信息流(例如,渗透测试、安全测试、黑盒测试和白盒测试)。借助历史代码审查数据,SSG 还可以使用报告展示进度并促进开展培训课程(请参阅 [SM2.5 确定指标并以此促进制定预算])。个别缺陷可以成为典型的培训实例。一些组织已经转向分析此类数据,并将结果用于推动实现自动化。
为开发人员提供辅导人员,展示如何充分利用代码审查工具。如果 SSG 最擅长使用这些工具,则可以利用办公时间或其它延伸时间来帮助开发人员建立正确的配置或引导解读审查结果。或者,SSG 人员可以全程陪同开发团队执行他们的第一次审查。利用工具辅导人员,可以将集中使用的工具逐渐分散到开发组织或工具链中,但是提供集中工具的安装说明和 URL 并不等同于工具辅导。辅导人员正在逐渐扩展对与部署工件(如容器安全性)和基础架构(如云配置)相关的工具的使用。在许多企业中,外围小组成员(如拥护者)都担任工具辅导人员的角色。
加密资产一周回顾 | Sushi峰回路转,币安将投入1亿美元支持DeFi;比特币与黄金的相关度达到2010年来最高水平
周五晚间SushiSwap的匿名创始人Chef Nomi在推特上向社区道歉,并表示已退还他上周抛售所得的价值1400万美元的以太坊。他在推特上称,“对不起。我向造成麻烦的所有人道歉。我很激动,我很贪婪,我很害怕。我在压力下做出了有争议的错误决定。它伤害了所有人。我没有达到大家的期望,对不起。”SushiSwap社区成员Adams Cochran随后发起了有关“应使用返还资金中的多少回购SUSHI”的提案。
加密市场
交易所
主要加密货币交易所币安首席执行官赵长鹏周四宣布,将投入1亿美元支持Binance Smart Chain(BSC)上的DeFi项目。他表示,这一计划是DeFi(去中心化金融)和CeFi(中心化金融)之间的“桥梁”,是币安交易所与其拥有的BSC之间的整合。
美国加密货币交易所Kraken计划重返日本市场。根据该交易所的公告,Kraken宣布将通过其在东京的子公司Payward Asia进入当地市场。Kraken交易所在公告中表示,其子公司Payward Asia已成功通过了审查测试,并已拥有在日本运营加密资产交易业务所需的许可。