撰文:邵诗巍

本节从 Web3 的六大行业角度出发,对 Web3 行业本身所固有的安全风险以及这些行业可能被用作洗钱工具的风险进行讲解。旨在揭示行业内的潜在威胁,并引发从业人员对于反洗钱风险意识、法律合规意识的重视。

公链、跨链桥、交易平台、钱包、DeFi 和 NFT 作为 Web3 行业的六大主要赛道,在 2023 年共发生安全事件 435 起,造成损失约 79.83 亿美元(折合人民币约 578 亿元)。

公链

概述:

公链就是利用区块链技术搭建的去中心化云服务器,用来托管和运行各种去中心化应用,是 Web3 的基础网络服务,典型代表有 BTC、ETH、BSC、SOL 等。同时满足去中心化程度高、安全程度强、高性能这三点,是所有公链追求的目标,但这又是个「不可能三角」。例如 BTC 公链以牺牲性能换取了去中心化和安全性,ETH 以牺牲安全性换取了去中心化与性能。

据不完全统计,截至 2023 年 12 月,目前公链有 194 条。以公链生态市值来看,据 coingecko 数据,以太坊、BNB Chain、Solana 生态位居前三。当前,公链生态总市值已超万亿美元。截至 2023 年 12 月,据统计,公链赛道发生安全事件 13 起,累计损失资产金额超 2.8 亿美元。

当前,众多公链之间通过跨链桥技术实现了互联互通,这一特性使得一旦某个公链遭遇问题,其影响能迅速扩散至其他连接的公链,形成连锁反应。这种迅速的传播不仅问题严重,处理起来也相当棘手,会对整个公链生态体系的稳定性和安全性构成严重威胁。

典型案例:

2022 年 10 月 7 日,智能合约平台币安链(BNB Chain)遭遇黑客攻击,短短 2 小时,黑客凭空增发 200 万个 BNB,并跨链到其他公链上,再通过各自公链上的 DEX 市场将增发的「假 BNB」换成真金白银,金额超过 7 亿美元。

跨链桥

概述:

由于每个公链之间是互不相通的,当投资者在不同的公链上进行投资、质押等活动时,受限于不同链上的共识机制,当投资者需要进行资产的整合或转移时,就需要跨链技术来实现。而跨链桥,就是进行技术和资产传输所必备的「桥」,它并不是物理意义上的「桥」,而是通过一些协议和技术,使用户能够在不同的公链之间,互相转移资产。据统计,仅 2022 年上半年发生的 7 起跨链桥攻击事件,共计损失金额约 11 亿 3599 万美元。

根据 Chainalysis 数据,2023 年,非法行为者利用桥接协议进行洗钱的情况大幅增加,尤其是在加密货币盗窃中。如图所示,桥接协议在 2023 年从非法地址接收了 7.438 亿美元的加密货币,而 2022 年仅为 3.122 亿美元。例如朝鲜黑客团伙 Lazarus Group,将跨链桥与混币器技术相结合已成为其洗钱的重要手段。

典型案例:

1、Ronin 链上资金被盗

2022 年 3 月 29 日晚间,区块链游戏 Axie Infinity 背后的 Ronin 链上的资金被盗。此次被盗发生在 3 月 23 日,但直到 3 月 29 日才被发现。本次攻击造成的损失约 6.24 亿美元(包括 173,600 ETH 和 2550 万 USDC),这也是迄今损失最为惨重的跨链桥安全事故。Ronin 的被盗资金并未能追回,最终由 Axie Infinity 及 Ronin 链开发公司 Sky Mavis 对用户进行了赔付。

2、跨链项目被用于洗钱

2022 年 8 月 10 日,区块链分析公司 Elliptic 表示,跨链协议 RenBridge 被用于至少 5.4 亿美元的非法资金洗钱交易。

2023 年 5 月 21 日,知名的跨链项目 Multichain 首席执行官 Zhao Jun 被国内警方从家中带走,并与全球 Multichain 团队失去了联系。Multichain 被抓,据公开媒体报道,其涉及为犯罪集团洗钱,金额巨大。

交易平台

概述:

交易平台,或者说数字货币交易所、加密货币交易所,主要功能包括:为用户提供虚拟货币买卖服务、为用户存储和管理虚拟资产、为用户提供虚拟资产借贷服务等。据 coingecko 数据,截至 2023 年 12 月,加密货币交易所共有 887 个,其中中心化交易所有 224 个,去中心化交易所有 663 个,衍生产品交易所 94 个。据统计,2023 年,加密货币交易所发生安全事件 19 起,累计损失资产金额超 12 亿美元。

典型案例:

2023 年 11 月 21 日,美国司法部官网发文称,运营着全球最大加密货币交易所 Binance.com 的币安控股有限公司(Binance Holdings Limited,简称 Binance)承认参与涉嫌洗钱、无证汇款和违反制裁的行为,并同意支付 43 亿美元罚款(被没收 25 亿美元,以及支付 18 亿美元的刑事罚款)。同时,币安创始人兼首席执行官(CEO)赵长鹏承认自己未能维持有效的反洗钱计划,并已辞去 Binance 首席执行官的职务。

11 月 21 日下午 4 点 36 分,币安创始人赵长鹏发布推文称,在当天辞去了币安首席执行官的职务,并表示「我犯了错误,我必须承担责任」。

美国司法部指出,币安没有实施有效的反洗钱计划。多年来,币安允许用户在不提交电子邮件地址以外的任何身份信息的情况下,开立账户和进行交易。同时,美国的制裁法禁止美国人与其受美国制裁的客户进行交易,包括伊朗等受到全面制裁的司法管辖区的客户。尽管如此,币安并没有实施阻止美国用户与伊朗用户交易的控制措施,在 2018 年 1 月至 2022 年 5 月,币安故意失职导致美国用户与通常居住在伊朗的用户之间的交易超过 8.98 亿美元。

「币安在追求利润的过程中对自己的法律义务视而不见。它的故意失职让资金通过它的平台流向恐怖分子、网络罪犯和虐待儿童者。」美国财政部长珍妮特·耶伦表示,「为了确保遵守美国法律法规,今天的历史性处罚和监督标志着虚拟货币行业的一个里程碑。任何想从美国金融体系中获益的机构,无论位于哪里,都必须遵守保护我们所有人免受恐怖分子、外国敌对势力和犯罪侵害的要求,否则将面临后果。」据科技网站 GeekWire,琼斯法官在法庭上表示,币安具体违反联邦银行保密法的行为「在数量、规模和规模方面都是前所未有的」,且对潜在的恐怖主义融资和贩毒「基本上视而不见」。

2024 年 4 月 30 日,币安创始人兼前首席执行官(CEO)赵长鹏因未能防止交易所洗钱被判处 4 个月监禁。

钱包

概述:

Web3 的钱包,也称加密货币钱包或数字资产钱包,是存储和管理、使用数字货币的工具,据统计,截至 2023 年 12 月,数字钱包项目数量共有 153 个。2023 年,数字钱包发生安全事件 35 起,累计损失资产金额超 6 亿美元。

数字钱包相关的洗钱犯罪主要体现在两个方面,首先是钱包自身的安全性能不足导致的被黑客攻击,用户资产丢失;其次是由于数字钱包无需 KYC,且仅需提供地址(一连串的数字和字母的代码组成),不需要银行等提供中介服务,其匿名性、跨境性特征天然适合作为不法分子洗钱的工具。

典型案例:

1、热钱包被盗

Alphapo 是一家为博彩、电子贸易、订阅服务和其他在线平台提供中心化加密货币支付服务提供商。2023 年 7 月 23 日, Alphapo 热钱包被盗,损失约 6000 万美元,包括 Ethereum、TRON 和 BTC。被盗资金首先被在以太坊上交换为 ETH,然后跨链到 Avalanche 和 BTC 网络。

2、国内首例破获利用数字人民币洗钱案

2021 年 11 月 2 日,河南省新密市公安部门侦破一起电信网络诈骗案件,诈骗团伙利用数字人民币进行洗钱,以逃避公安机关的打击查处。据悉,这是我国数字人民币试行以来,公安机关破获的全国首例利用数字人民币进行洗钱的案件。

DeFi,区块链反洗钱领域的重灾区

概述:

DeFi,即去中心化金融,是一种用于构建开放式金融系统的去中心化协议。在当前的 DeFi 生态中,项目种类繁多,按功能划分,主要包括了交易、借贷、资产管理、稳定币、金融设施、保险、衍生品、交易平台等多个方面。据统计,从 Web3 各项目赛道来看,DeFi 仍然是最常受到攻击的领域。2023 年 DeFi 安全事件共 282 件,占事件总数的 60.77%,损失高达 7.73 亿美元。

DeFi 大部分产品都是基于智能合约和交互协议构建,代码普遍开源,越来越庞大的 DeFi 生态中,不同 DeFi 产品间的组合流通和资产共享,导致由此产生的安全问题越来越多。根据国外区块链公司 Chainalysis 的报告数据显示,从非法地址发送到加密资产服务机构的资金总额中,DeFi 的占比越来越大。DeFi 项目在 2021 年接收到的非法资金较 2020 年增长约 1900%,占所有被监测到的非法资金的 19%,到了 2022 年,DeFi 协议已成为非法资金的最大接收者,在与犯罪活动相关的地址发送的所有资金中占比 69%。

典型案例:

朝鲜黑客使用 DeFi 协议洗钱

据 Chainalysis 提供的 2021 年案例,朝鲜黑客 Lazarus Group 在从中心化交易所窃取了价值超过 9100 万美元的加密资产后,使用了几种 DeFi 协议来洗钱。Chainalysis 指出,黑客最初窃取了各种 ERC-20 代币,然后使用各种 DeFi 协议将这些代币换成以太坊;黑客继续将以太坊(ETH)发送到混币器,然后使用 DeFi 协议再次交换它们,这次换成了比特币(BTC),然后将 BTC 转移到几个中心化交易所以清算并接收现金。

NFT

概述:

NFT(Non-Fungible Token,非同质化代币),是存储在区块链上的一种数字资产,具有独一无二、稀缺、不可分割的属性。主要应用于游戏、艺术品以及域名等。据不完全统计,截至 2023 年 12 月,NFT 赛道发生安全事件共计 44 起,累计损失资产金额约为 6200 万美元。

典型案例:NFT 清洗交易

根据 Chainalysis 统计,在 2021 年的第三、四季度中,绝大多数涉 NFT 的非法加密资产来自于与诈骗相关的地址,这些地址以加密货币购买了 NFT,此外还有大量被盗资金被发送到 NFT 市场中。

根据分析数据确认的清洗交易者获利情况,有 262 个地址用户属于习惯性的 NFT 清洗交易者,其中 152 个没有盈利,而另外的 110 个通过清洗交易获利近 890 万美元。

注:本文数据统计来源于欧科云链、零时科技、慢雾、成都链安、知帆科技等行研报告。