TRM Labs：DeFi 平台如何应对 Tornado Cash 制裁

原文标题：《How DeFi platforms are using data from TRM Labs to respond to Tornado Cash sanctions》

原文作者：TRM Labs

原文编译：比得潘 @BlockBeats

在美国财政部外国资产控制办公室 (OFAC) 于 2022 年 8 月 8 日对基于以太坊的去中心化加密货币混合服务 Tornado Cash 实施制裁之后，DeFi 实体一直在努力了解如何最好地降低制裁风险。

一般情况，选择遵守美国制裁法的实体通常会利用第三方数据提供商如 TRM Labs，来获取有关区块链地址的制裁风险数据。TRM Labs 本身不会对特定地址进行任何封锁，只是将其监测到的风险数据提供给用户以用于他们的合规计划。此外，使用 TRM 的组织可配置自己的设置和风险阈值，以确定要阻止或冻结的地址。

但由于这些制裁是前所未有的，行业领导者正在与公职人员接触，以传达这些特定于 DeFi 平台的复杂性，并了解处理无意与受制裁地址进行交互的地址存在哪些法律要求。

法律专家认为 DeFi 前端需要遵守 OFAC 的制裁

在美国，OFAC 管理和执行针对目标他国、地理区域、实体和个人的经济制裁，以推进美国的外交政策和国家安全目标。作为这些努力的一部分，OFAC 维护了一份特别指定的国民 (SDN) 名单，其中包括指定的实体和个人。

自 2018 年以来，OFAC 已将 388 个区块链地址添加到 SDN 列表中，其中包括最近添加的 45 个与 Tornado Cash 相关的地址。

一般来说，如果 OFAC 将个人或实体列入 SDN 名单，则意味着该人在美国的资产和或财产可能会被封锁，并且所有美国个人和美国实体都被禁止与其进行交易。

违反制裁的后果是严重的。OFAC 通常会根据严格的责任法律标准对违反制裁的行为实施民事处罚。这意味着美国个人或企业可能会因违反制裁而承担民事责任，即使不知道或有理由解释其参与了此类违规行为。

但是，在对违反制裁的行为提起刑事诉讼时，标准要高得多，在该标准中，政府必须在排除合理怀疑的情况下证明违反行为。

关于 DeFi 协议和前端在哪些方面适合监管环境的争论仍在继续，但即便如此，大多数法律专家都同意，与任何美国联系（广义）的 DeFi 前端必须遵守美国制裁法。

此外，大多数加密货币公司都制定了自己的制裁合规计划，他们根据公司所在地、提供的产品和服务以及最终受监管者等因素设定自己的风险承受能力。

而对于加密公司，这通常包括阻止在 OFAC 的 SDN 列表中的加密货币地址使用其服务，以及阻止来自受制裁国家的 IP 地址。

不过，对于无论是加密非加密的公司，却都可以选择采取额外的措施来减轻制裁和其他法律风险，例如进行 KYC、对资金来源进行尽职调查（如查看地址的资金是否来自受制裁的地址或来自最近的协议黑客攻击），或针对受制裁的国家/地区筛选 IP 地址。

Tornado Cash 对制裁合规性提出了新挑战

OFAC 关于 Tornado Cash 的制裁是首次运用在以太坊区块链上的一套智能合约上。智能合约是一个上传到区块链的软件程序，通常任何人都可以与之交互。同时，智能合约可以编程为「不可变」，这意味着它们不能被删除或更新。

从历史上看，当一个人被添加到 SDN 列表时，无论是在 TradFi 还是加密市场中，任何向该人发送资金或从该人那里接收资金的人通常都违反了制裁法。因为，在绝大多数情况下，很容易判断出是其主动与受制裁的个人或实体进行了交易。

而从合规性和执法角度来看，制裁 Tornado Cash 具有挑战性的原因在于，任何将资金存入 Tornado Cash 的人都可以触发 Tornado Cash 智能合约，将资金发送到任何其他以太坊地址。从理论上讲，有人可以向 Tornado Cash 发送资金，然后指定将这些资金存入一个完全不相关的加密货币地址，该地址属于一个随机的、毫无防备的，甚至是不愿接受该资金的个人。

在被制裁后的几天里，我们看到相关参与者正利用这种特性来抗议 OFAC 批准智能合约被添加到 SDN 列表的新决定，因而从 Tornado Cash 主动向知名人士相关的加密货币地址发送了资金。

不过，这些所谓的「粉尘攻击」（指诈骗者向网络上数万个地址发送极少量的代币，来跟踪其钱包的交易数据，以便破坏钱包所有者的匿名性并对受害者实施有针对性的钓鱼式攻击。）为试图遵守制裁法的加密公司却带来了许多问题，包括：

- 加密实体是否会阻止与受制裁地址进行交易的地址？例如 Tornado Cash，即使这些地址没有受到制裁。如果加密公司和与 Tornado Cash 交易过的地址进行交互，它们是否有受到制裁的风险？

- 如果是，加密公司应该如何处理那些从「粉尘攻击」中主动收到资金的地址？加密公司是否需要确定制裁或相关风险是「真实的」还是「无意的」？

-「DeFi 前端」或为用户提供向区块链提交交易的界面的网站，它们的要求与受监管的金融机构甚至 Web2 公司托管网站的要求是否不同？

关于 DeFi 前端

DeFi 协议通常是包含一个或多个智能合约，它们共同促进区块链上的金融活动。智能合约是在区块链网络上运行的持久计算机程序，与传统计算机程序的不同之处在于，它们可以在开源网络上运行，任何人都可以使用。此外，它们还可作为无法修改的永久计算机程序安装在区块链上。

任何人都可以通过 JSON-RPC 和 Web3.js 等开源软件协议和库直接与以太坊上的 DeFi 协议和其他智能合约进行交互。但是，大多数人使用由第三方构建的 Web 应用程序和钱包来简化与 DeFi 协议的交互，这类似于电子邮件。

虽然任何人都可以使用 SMTP 协议发送电子邮件，但大多数人使用第三方电子邮件客户端，例如 Gmail 或 Yahoo Mail，它们将 SMTP 协议封装在易于使用的界面后面。可能有多个钱包和网站（「DeFi 前端」）可以让人们轻松连接到特定的 DeFi 协议，就像有多个基于通用 SMTP 协议构建的电子邮件客户端一样。

而 DeFi 前端（也称为 DeFi 接口）则通常被设计为自动运行，人工干预最少。它们可能是无服务器的，托管在 IPFS 等数据网络上，并利用开源代码。

DeFi 前端如何通过 TRM 制定合规计划

根据 OFAC 提供的指导，许多头部的 DeFi 前端已实施制裁筛选，以阻止其网站上包含在 SDN 列表中的区块链地址。

虽然任何人都可以手动搜索 OFAC 的网站 以查看加密货币地址是否已被批准，但许多企业选择使用第三方数据提供商来汇总来自多个制裁机构的数据，并将其配对使用来自公共区块链的交易数据并通过 API 交付。这使得平台可以在一天内处理数十万笔交易，而不会对用户体验造成重大延迟或中断。

那么，如果通过 TRM，DeFi 前端将可以怎样来制定合规计划？

TRM Wallet Screening 允许组织查询有关链上地址或交易的数据，以检测制裁或 AML 风险。当组织向 TRM 请求有关地址的数据时，它仅将区块链地址发送到 TRM，不包括其他标识符。

此外，组织可以从 TRM 的 API 获得的可选数据点包括：

- 地址是否出现在制裁名单上或与制裁名单上的实体相关联（所有权风险）

- 地址是否与受制裁地址进行过交易（交易对手风险）

- 一个地址是否通过多次「跃点」从受制裁的地址接收或发送资金（间接风险）

而 TRM 的用户能够配置他们的设置，以指定他们希望从 TRM 的 Wallet Screening API 检索的信息。

1）如 DeFi 前端，可能会选择查询 TRM 的 API 以仅检测「所有权制裁风险」或本身被制裁的地址，并阻止任何被制裁的地址。

2）中心化交易所，则可以选择查询 TRM 的 API 来检测「所有权制裁风险」和「交易对手制裁风险」。鉴于额外的 AML 要求，中心化服务提供商通常会查询更大范围的风险，他们通常还会聘请合规人员在采取缓解措施之前审查风险警报。

此外，TRM 还允许组织根据众多参数查询数据，从而实现精细配置：

- 区分多种类型的制裁风险，包括所有权风险、交易对手风险和间接风险。

- 根据转移资金的大小自定义交易量阈值。

- 过滤地址的交易对手风险，仅显示在制裁指定日期之后发生的受制裁地址的交易。

每个组织都根据自己的背景和风险承受能力制定自己的制裁政策。组织可能会根据其运营地点、设置方式（集中式、去中心化或介于两者之间）、提供的服务以及是否有额外的监管要求（例如 AML/KYC）采取不同的方法。

值得注意的是，组织选择允许在其平台上进行哪些地址和交易的决定仍由平台本身自行决定；TRM 不能阻止任何区块链地址或交易。

随着将交易对手制裁风险传播到随机地址的「粉尘攻击」的出现，TRM 还将向用户提供额外数据点的方式，使他们能够在「真实」和「恶意」的制裁风险之间进行估计。

原文链接

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia