TRM Labs：DeFi 平台如何應對 Tornado Cash 制裁

在美國財政部外國資產控制辦公室 (OFAC) 於 2022 年 8 月 8 日對基於以太坊的去中心化加密貨幣混合服務 Tornado Cash 實施制裁之後，DeFi 實體一直在努力了解如何最好地降低制裁風險。

一般情況，選擇遵守美國制裁法的實體通常會利用第三方數據提供商如 TRM Labs，來獲取有關區塊鏈地址的制裁風險數據。TRM Labs 本身不會對特定地址進行任何封鎖，只是將其監測到的風險數據提供給用戶以用於他們的合規計劃。此外，使用 TRM 的組織可配置自己的設置和風險閾值，以確定要阻止或凍結的地址。

但由於這些制裁是前所未有的，行業領導者正在與公職人員接觸，以傳達這些特定於 DeFi 平台的複雜性，並了解處理無意與受制裁地址進行交互的地址存在哪些法律要求。

法律專家認為 DeFi 前端需要遵守 OFAC 的制裁

在美國，OFAC 管理和執行針對目標他國、地理區域、實體和個人的經濟制裁，以推進美國的外交政策和國家安全目標。作為這些努力的一部分，OFAC 維護了一份特別指定的國民 (SDN) 名單，其中包括指定的實體和個人。

自 2018 年以來，OFAC 已將 388 個區塊鏈地址添加到 SDN 列表中，其中包括最近添加的 45 個與 Tornado Cash 相關的地址。

一般來說，如果 OFAC 將個人或實體列入 SDN 名單，則意味著該人在美國的資產和或財產可能會被封鎖，並且所有美國個人和美國實體都被禁止與其進行交易。

違反制裁的後果是嚴重的。OFAC 通常會根據嚴格的責任法律標準對違反制裁的行為實施民事處罰。這意味著美國個人或企業可能會因違反制裁而承擔民事責任，即使不知道或有理由解釋其參與了此類違規行為。

但是，在對違反制裁的行為提起刑事訴訟時，標準要高得多，在該標準中，政府必須在排除合理懷疑的情況下證明違反行為。

關於 DeFi 協議和前端在哪些方面適合監管環境的爭論仍在繼續，但即便如此，大多數法律專家都同意，與任何美國聯繫（廣義）的 DeFi 前端必須遵守美國制裁法。

此外，大多數加密貨幣公司都制定了自己的制裁合規計劃，他們根據公司所在地、提供的產品和服務以及最終受監管者等因素設定自己的風險承受能力。

而對於加密公司，這通常包括阻止在 OFAC 的 SDN 列表中的加密貨幣地址使用其服務，以及阻止來自受制裁國家的 IP 地址。

不過，對於無論是加密非加密的公司，卻都可以選擇採取額外的措施來減輕制裁和其他法律風險，例如進行 KYC、對資金來源進行盡職調查（如查看地址的資金是否來自受制裁的地址或來自最近的協議駭客攻擊），或針對受制裁的國家/地區篩選 IP 地址。

Tornado Cash 對制裁合規性提出了新挑戰

不過，OFAC 關於 Tornado Cash 的制裁是首次運用在以太坊區塊鏈上的一套智能合約上。智能合約是一個上傳到區塊鏈的軟體程序，通常任何人都可以與之交互。同時，智能合約可以編程為「不可變」，這意味著它們不能被刪除或更新。

從歷史上看，當一個人被添加到 SDN 列表時，無論是在 TradFi 還是加密市場中，任何向該人發送資金或從該人那裡接收資金的人通常都違反了制裁法。因為，在絕大多數情況下，很容易判斷出是其主動與受制裁的個人或實體進行了交易。

而從合規性和執法角度來看，制裁 Tornado Cash 具有挑戰性的原因在於，任何將資金存入 Tornado Cash 的人都可以觸發 Tornado Cash 智能合約，將資金髮送到任何其他以太坊地址。從理論上講，有人可以向 Tornado Cash 發送資金，然後指定將這些資金存入一個完全不相關的加密貨幣地址，該地址屬於一個隨機的、毫無防備的，甚至是不願接受該資金的個人。

在被制裁後的幾天裡，我們看到相關參與者正利用這種特性來抗議 OFAC 批准智能合約被添加到 SDN 列表的新決定，因而從 Tornado Cash 主動向知名人士相關的加密貨幣地址發送了資金。

不過，這些所謂的「粉塵攻擊」（指詐騙者向網路上數萬個地址發送極少量的代幣，來跟蹤其錢包的交易數據，以便破壞錢包所有者的匿名性並對受害者實施有針對性的釣魚式攻擊。）為試圖遵守制裁法的加密公司卻帶來了許多問題，包括：

- 加密實體是否會阻止與受制裁地址進行交易的地址？例如 Tornado Cash，即使這些地址沒有受到制裁。如果加密公司和與 Tornado Cash 交易過的地址進行交互，它們是否有受到制裁的風險？

- 如果是，加密公司應該如何處理那些從「粉塵攻擊」中主動收到資金的地址？加密公司是否需要確定製裁或相關風險是「真實的」還是「無意的」？

-「DeFi 前端」或為用戶提供向區塊鏈提交交易的界面的網站，它們的要求與受監管的金融機構甚至 Web2 公司託管網站的要求是否不同？

關於 DeFi 前端

DeFi 協議通常是包含一個或多個智能合約，它們共同促進區塊鏈上的金融活動。智能合約是在區塊鏈網路上運行的持久計算機程序，與傳統計算機程序的不同之處在於，它們可以在開源網路上運行，任何人都可以使用。此外，它們還可作為無法修改的永久計算機程序安裝在區塊鏈上。

任何人都可以通過 JSON-RPC 和 Web3.js 等開源軟體協議和庫直接與以太坊上的 DeFi 協議和其他智能合約進行交互。但是，大多數人使用由第三方構建的 Web 應用程序和錢包來簡化與 DeFi 協議的交互，這類似於電子郵件。

雖然任何人都可以使用 SMTP 協議發送電子郵件，但大多數人使用第三方電子郵件客戶端，例如 Gmail 或 Yahoo Mail，它們將 SMTP 協議封裝在易於使用的界面後面。可能有多個錢包和網站（「DeFi 前端」）可以讓人們輕鬆連接到特定的 DeFi 協議，就像有多個基於通用 SMTP 協議構建的電子郵件客戶端一樣。

而 DeFi 前端（也稱為 DeFi 接口）則通常被設計為自動運行，人工干預最少。它們可能是無服務器的，託管在 IPFS 等數據網路上，並利用開源代碼。

DeFi 前端如何通過 TRM 制定合規計劃

根據 OFAC 提供的指導，許多頭部的 DeFi 前端已實施制裁篩選，以阻止其網站上包含在 SDN 列表中的區塊鏈地址。

雖然任何人都可以手動搜尋 OFAC 的網站 以查看加密貨幣地址是否已被批准，但許多企業選擇使用第三方數據提供商來匯總來自多個制裁機構的數據，並將其配對使用來自公共區塊鏈的交易數據並通過 API 交付。這使得平台可以在一天內處理數十萬筆交易，而不會對用戶體驗造成重大延遲或中斷。

那麼，如果通過 TRM，DeFi 前端將可以怎樣來制定合規計劃？

TRM Wallet Screening 允許組織查詢有關鏈上地址或交易的數據，以檢測制裁或 AML 風險。當組織向 TRM 請求有關地址的數據時，它僅將區塊鏈地址發送到 TRM，不包括其他標識符。

此外，組織可以從 TRM 的 API 獲得的可選數據點包括：

- 地址是否出現在制裁名單上或與制裁名單上的實體相關聯（所有權風險）

- 地址是否與受制裁地址進行過交易（交易對手風險）

- 一個地址是否通過多次「躍點」從受制裁的地址接收或發送資金（間接風險）

而 TRM 的用戶能夠配置他們的設置，以指定他們希望從 TRM 的 Wallet Screening API 檢索的資訊。

1）如 DeFi 前端，可能會選擇查詢 TRM 的 API 以僅檢測「所有權制裁風險」或本身被制裁的地址，並阻止任何被制裁的地址。

2）中心化交易所，則可以選擇查詢 TRM 的 API 來檢測「所有權制裁風險」和「交易對手制裁風險」。鑒於額外的 AML 要求，中心化服務提供商通常會查詢更大範圍的風險，他們通常還會聘請合規人員在採取緩解措施之前審查風險警報。

此外，TRM 還允許組織根據眾多參數查詢數據，從而實現精細配置：

- 區分多種類型的制裁風險，包括所有權風險、交易對手風險和間接風險。

- 根據轉移資金的大小自定義交易量閾值。

- 過濾地址的交易對手風險，僅顯示在制裁指定日期之後發生的受制裁地址的交易。

每個組織都根據自己的背景和風險承受能力制定自己的制裁政策。組織可能會根據其營運地點、設置方式（集中式、去中心化或介於兩者之間）、提供的服務以及是否有額外的監管要求（例如 AML/KYC）採取不同的方法。

值得注意的是，組織選擇允許在其平台上進行哪些地址和交易的決定仍由平台本身自行決定；TRM 不能阻止任何區塊鏈地址或交易。

隨著將交易對手制裁風險傳播到隨機地址的「粉塵攻擊」的出現，TRM 還將向用戶提供額外數據點的方式，使他們能夠在「真實」和「惡意」的制裁風險之間進行估計。

原文連結