政策科

金融犯罪执法网络

邮局专栏39

维也纳,弗吉尼亚州22183

FinCEN案卷号FINCEN-2020-0020,RIN 1506-AB47

2020年1月4日

亲爱的先生或女士,

关于货币交易报告和记录保存的拟议法规似乎要求银行和货币服务业务(MSB)能够证明,当交易对手使用非托管钱包时,已识别的交易对手确实拥有一个或多个特定的加密货币地址。交易价值超过$ 3,000。 (3,000美元大关将调用记录保持要求,而10,000美元大关还将调用货币交易报告要求。)

该提案没有对提款和存款进行明确区分,因此,我认为上述所有权证明要求将适用于两种类型的交易(如果交易金额超过3,000美元且涉及到拥有无托管钱包的交易对手).

从现在开始,我将称为“地址验证程序”的任何程序或措施称为“地址验证程序”,这些程序或措施试图证明交易对手的身份与一个或多个加密货币地址之间的所有权关系。我将一般流程本身称为“地址验证”。

在我的居住国荷兰,中央银行于去年秋天匆忙通过地址验证,以进行涉及交易所和托管人的交易,这些交易涉及到无人提款的钱包中提款。与您的建议相反,在这种情况下,无论交易金额多少,在荷兰提款都需要进行地址验证。从无主机钱包中存款不需要地址验证.

作为加密货币生态系统的长期顾问和教育者,我已经根据荷兰中央银行(De Nederlandsche Bank NV)最近采取的措施,广泛考虑了地址验证的实用性和可取性。我想与您分享我在这些问题上的想法.

总的来说,我坚信地址验证在打击金融犯罪方面不太可能非常有效,并且为商务和创新以及客户隐私和安全性带来了沉重的成本。.

在这封信中,我想说明为什么我对地址验证的做法如此持怀疑态度,为什么我认为你的建议不可行和不相称。在开始之前,我想对我的关键反馈的范围发表三点意见。.

首先,无论是从您的提议还是从您的任何其他评论中,我都无法确切地确定您提议的地址验证措施的类型。但是,我想假设您考虑的程序与荷兰中央银行目前向托管人和交易所推荐的程序类似.

因此,我将以其建议的程序为指导,以表述对地址验证的批评。这些建议的步骤如下:

  • 供客户使用目标地址拍摄其钱包的屏幕快照
  • 在交易过程中为客户和企业进行视频会议
  • 让客户使用关联的私钥对目标地址进行数字签名
  • 为了让客户将他们收到的少量比特币退还给交易所或托管人
  • 为企业提供客户地址(大概是通过拥有前者的扩展公共密钥)

其次,我的例子仅限于将钱提取到未托管的钱包的情况。对于从无主机钱包中存钱的情况,可以利用相同的批评。实际上,对于存款而言,地址验证是一个更大的实际问题,因为加密货币交易通常会涉及多个未花费的交易输出作为输入(这意味着您必须将已识别的交易对手连接到多个地址,而不仅仅是一个地址).

第三,您的法规还建议在托管交易对手的钱包但交易对手为客户的银行或MSB位于某些外国司法管辖区的情况下进行地址验证。我仅将评论仅限于交易对手使用无托管钱包的情况.

在打击金融犯罪方面没有成效

该提案旨在对地址进行核实,以打击各种各样的金融犯罪。例如,在执行摘要中, 提案 状态:

正如下文进一步解释的那样,美国当局发现,恶意行为者越来越多地使用CVC来促进国际恐怖主义融资,武器扩散,逃避制裁和交易性洗钱,以及买卖受管制物质,被盗和欺诈性身份证件以及获取设备,假冒商品,恶意软件和其他计算机黑客工具,枪支和有毒化学药品。此外,勒索软件攻击和相关的付款要求(几乎完全在CVC中定义)的严重性正在增加,并且G7特别指出了对勒索软件攻击的关注,“鉴于在COVID-19大流行期间针对主要部门的恶意参与者.

我不可能讨论有关所有这些罪行的地址验证程序。因此,我将讨论范围仅限于某些金融犯罪,这些金融犯罪至少是这些拟议法规所关注的主要部分:洗钱,资助恐怖主义和逃避制裁.

尽管在法律依据和实质方面有所不同,但这些在结构上都是非常相似的犯罪。我认为,出于相同的原因,地址验证程序对打击它们的影响很小.

例如,假设某交换所的客户打算通过比特币为某毒品卡特尔洗钱,并且该交换所通过让客户拍摄其钱包的屏幕快照来实现地址验证。这到底将如何阻止客户参与洗钱活动?

客户可以通过以下方式轻松地规避需求:

  • 在自己的钱包中创建一个地址并截图。在交易所确认交易并且客户收到比特币后,他们可以将其转移到犯罪组织.
  • 收到直接属于犯罪组织的地址,并将其合并到仅手表钱包中。客户拍摄了此仅监视钱包和目标地址的屏幕截图。交易所确认屏幕截图,然后将比特币直接转移到犯罪组织。客户永远无法访问比特币.
  • 接收直接属于犯罪组织的地址并创建伪造的屏幕截图,例如使用 比特币钱包截图生成器. 交易所确认客户的屏幕截图,然后将比特币直接发送给犯罪组织。客户永远无法访问比特币.

有时,客户被骗到是money子,而不是故意支持犯罪组织。但是,即使对于这样的客户,我上面的思考也不会真正改变。如果可以诱骗客户成为犯罪组织的ule子,则不清楚屏幕截图如何帮助防止他们的愚蠢行为.

这些结论可以在大多数其他地址验证过程中更普遍地得出。我不仅选择了地址验证的屏幕截图实现。许多其他实际的实现方式(例如进行数字签名或退回一些资金)也会遇到类似的无懈可击的情况。.

总体而言,采用标准的客户尽职调查和交易监控程序后,地址验证程序似乎在打击洗钱,恐怖分子融资和逃避制裁方面确实没有提供任何其他明显的好处。.

我不太相信地址验证也可以很好地与其他类型的金融犯罪作斗争,至少不能以侵入性较小的方式做到这一点。我认为以上评论足以显示出地址验证在实践中会遇到的有效性问题的类型.

地址验证程序的费用

地址验证也要付出巨大的代价。确切地说,这些费用将取决于必须实施的银行和MSB采取的确切措施。但是,我想强调两个主要问题,它们在不同程度上可能会在某种程度上适用于地址验证的任何实际实施.

首先,地址验证程序是商业和创新的障碍.

例如,假设交易所要求所有交易对手通过其地址上的数字签名在其无主钱包上的身份和其加密货币地址之间建立联系。 (我暂时不担心这将是对任何事物的无效证明。)

大多数客户都不知道如何进行数字签名,这将导致过多的客户投诉和请求。它还将要求客户获得可以相对安全地允许他们进行这些数字签名的软件和硬件。由于实施了这种地址验证程序的混乱,很多业务可能会丢失.

当然,地址验证的某些可能实现对商业的入侵可能会稍微减少一些,例如钱包的屏幕快照(再次避免担心这将是对任何事物的无效证明)。但是即使在这里,我们也必须认识到,商业和创新的某些成本或复杂性将成为现实。.

例如,由于加密货币是可编程的,因此您也可以将它们发送到受分散协议而非人控制的地址。尽管这些去中心化协议目前主要是实验性的,但它们可能被证明具有非常有趣且有价值的用例.

但是这些去中心化协议到底如何适合拟议的地址验证要求?

在我看来,拟议的法规无法适应这种用例:分散式协议毕竟没有身份或物理地址。因此,即使是通过银行或MSB进行地址验证的相对简单的措施(例如钱包屏幕截图),也会对商业和创新产生负面影响.

其次,地址验证可能会损害客户的隐私和安全性。我将通过几个可能的实现来说明这一点.

首先,屏幕截图显示了客户使用的钱包类型以及潜在的有关操作系统或设备类型的进一步信息。视频会议将揭示有关客户个人存储安排的更多信息.

这种信息在不正确的人手中非常危险。我们不要求贵金属商人的客户将黄金和白银存放在哪里。那么为什么要对比特币客户这样做?

虽然我认识到比特币的流动性要强得多,并且会带来金融犯罪方面的其他风险,但我认为,客户隐私和安全性的风险越高,地址验证程序并没有成比例地权衡这些风险。.

进行地址验证的另一种可能的选择是在交易对手的地址上进行数字签名。这是比特币行业公认的最佳做法,您在进行交易时仅公开您的公钥(因此,为什么您只应使用一个地址)。这种措施将直接违反行业最佳做法.

结论

最后,我怀疑,根据本条例所规定的那些情况所要求的处理核查程序,将对打击金融犯罪做出任何真正的贡献。至少,我还没有真正看到过对它们的合理实施,这会让我不以为然.

此外,地址验证程序会带来商务和创新成本以及客户安全性和隐私权。当然,这些成本取决于您实施它们的精确程度。但是它们将产生的成本,至少在我可以设想到其实施的任何方面.

因此,我敦促FinCEN停止采纳当前形式的该提案。我认为任何修订后的提案都必须回答三个关键问题:

  1. 银行和MSB必须如何实施地址验证?
  2. 这些地址核实程序将如何与提案中提到的各种各样的金融犯罪作斗争??
  3. 这些地址验证程序的商业和创新成本以及客户隐私和安全性究竟将是多少??

真挚地,

Jan-Willem Burgers

作者要感谢Daan Kleiman对这封信的早期版本提出的批评意见.