DeFi遇上監管:封阻制裁地址、受駭用戶也遭殃,區塊鏈面臨合規性挑戰

Jim
分享
DeFi遇上監管:封阻制裁地址、受駭用戶也遭殃,區塊鏈面臨合規性挑戰

在眾多知名 DeFi 協議傳出前端配合制裁後,協助此舉的合規公司 TRM Labs 也遭撻伐。對此 TRM 特地撰文解釋違反制裁後果的嚴重性,強調他們的立場、功能僅是彙整相關的制裁地址並透過 API 與 DeFi 對接,無權干涉任何鏈上交易。而對於目前可能波及無辜用戶的封阻政策,他們表示暫無解方。

前因後果

TRM Labs 首先解釋了 DeFi 協議為何需要配合制裁政策、TRM Labs 如何協助法遵等來龍去脈,以及其自身立場。

1. 部分始於 Tornado Cash

廣告 - 內文未完請往下捲動

八月初混幣協議 Tornado Cash 遭美國外國資產控制辦公室 (OFAC) 列入制裁名單

自 2018 年以來,OFAC 已將 388 個地址加入《SDN 黑名單》(Specially Designated Nationals and Blocked Persons) 中,包括最近新增的 45 個 Tornado Cash 相關地址。

2. 必須遵守制裁

所有美國人、實體機構,都必須遵守 OFAC 制裁規範,這涵蓋各個 DeFi 實體,否則將面臨重大刑責。許多 DeFi 根據自身背景、風險承受力制定了相關法遵政策。

3. DeFi 通常與 TRM Labs 配合

選擇遵守制裁的實體,如 DeFi ,通常透過第三方數據提供商 (如 TRM) 來取得制裁地址等數據,並依照需求調整風險閥值以封阻相關地址。

TRM 指出:

違反制裁會帶來嚴重後果,美國人、企業可能因此承擔民事責任 (就算不清楚自己是如何觸犯),且若涉及刑事訴訟,則標準還會提高很多。

DeFi 如何配合制裁?

所謂的 DeFi「前端」

雖然 DeFi 的核心組件通常是一或多個開源、自動運行的智能合約,所有人都能直接透過 JSON-RPC、web3.js 等開源軟體直接與智能合約互動,但因為一般大眾存在易用性的需求,因此協議需要打造官方的網頁、錢包等應用來簡化用戶與 DeFi 的互動。

例如,所有人都能使用 SMTP 協議來發送 Email,但多數人用的是寫入 SMTP 協議、易於使用的「前端介面」,像是 Gmail、Yahoo Mail 等。

也因此除了 DeFi 的官方前端外,通常也會有各方基於協議開源代碼所打造的其它前端,供用戶與協議互動,這類似於 SMTP 協議也有 Gmail 等不同用戶端。

DeFi 官方前端的制裁

多數協議選擇與 TRM 合作,這類的數據商已彙整了多國的制裁名單,協議在透過 API 匯入相關數據的情況下,依然能處理大量交易,不會造成延遲、中斷而影響用戶體驗。

TRM 的協議、企業用戶能依照自身風險承受度進行設置,透過 TRM 的地址過濾器 (TRM Wallet Screening) 來了解用戶地址是否有觸法疑慮,並指定所要篩選的數據,例如:

  • 地址是否曾出現在製裁名單上或與相關實體有關係?
  • 地址是否曾與受制裁地址互動?
  • 地址是否透過多個中繼地址與受制裁地址互動?

TRM 強調:

協議向 TRM 發送的數據僅包括地址,不包括 IP 等其它資訊,且 DeFi 協議選擇與哪些地址互動與否,TRM 無從干涉。

制裁看似輕而易舉,但包括 DeFi 的開源性質、粉塵攻擊的出現、侵犯用戶隱私等疑慮,都使得制裁合規性面臨極大挑戰。

粉塵攻擊

先前報導,多位名人因被迫接收來自 Tornado Cash 的 0.1 ETH 粉塵攻擊,他們的主要錢包現在已無法與配合制裁的 DeFi 協議互動。

粉塵攻擊指的是駭客向私人地址發送多筆少量代幣,潛在目的包括:

  • 導致網路擁堵
  • 進一步確定受害者其它關聯錢包、甚至個資
  • 破壞用戶隱私,以便實施有針對性的網路釣魚
  • 污染錢包、玷污名譽 (如 Tornado Cash 事件)

另外,一位 DeFi 協議 Furucombo 的被駭者也指出,自己的錢包已無法與 Aave、Uniswap 等協議互動,他懷疑是因為駭客當初將被盜資金轉至 Tornado Cash 所導致。

這代表 OFAC 的制裁命令,套用到 DeFi 協議,以及協議與 TRM 配合實施的情況來看,肯定有非常大的調整空間,不僅無法隔絕非法交易,甚至連無辜用戶也會跟著遭殃。

DeFi 的合規性挑戰

那麼號稱「無需許可」、所有人皆能使用、無國界的去中心化金融,這些 DeFi 協議們要如何辨別這些曾與制裁地址互動的錢包是有意還是無意的?

目前來說這是個無解的問題。

TRM 強調,在監管機構沒有就粉塵攻擊一事給出具體指南的情況下,他們無法認定這些錢包真的與制裁地址無關,因此 DeFi 協議也僅能仰賴鏈上及 TRM 提供的數據來行事。

TRM 表示:

鑑於制裁性質前所未見,業內人士正積極與監管者洽談,以傳達法規套用在 DeFi 協議上所衍生的複雜性,以進一步了解如何處理無意與制裁地址互動的用戶。