万字详谈加密合规：Tornado Cash制裁后时代

原文题目：《加密合规：Tornado Cash 制裁后时代ZONFF Research》

原文作者：沙利文，Zonff Partners投资总监

2022年8月8日，美国财政部将以太芳的Tornado Cash地址，列入美国海外资产管理办公室(OFAC)美国特别制定国民名单(SDN)名单。几天后，Tornado Cash的开发者Alexey Pertsev在荷兰被捕入狱，这是有史以来第一次。这是智能合同第一次受到OFAC的直接制裁。事件生效后，市场对加密企业合规问题的新讨论迅速引发。此事件使许多加密企业，特别是DeFi公司和员工开始担心自身的安全和业务合规性。

本文从加密监管体系结构、Tornado Cash制裁事件、OFAC、加密企业合规指导实践四个角度讨论了当前加密市场的合规问题。

加密监管框架1.1各国加密监管概述随着加密货币越来越广泛地被接受，世界范围内为监管而制定的加密货币相关法律法规也逐渐增加。随着加密领域边界的不断扩大，世界许多地区的监管当局为了跟上加密市场的发展速度，制定相关法规并不容易。以下是美国、新加坡、中国、欧易联盟和拉丁美洲对加密领域监管的简要介绍。

照片来源：ComplyAdvantage

美国

美国作为普通法系国家，其法律体系全面而复杂。虽然在州一级很难找到一致的法律规定，但美国在制定联邦加密货币立法方面取得了一定进展，美国的加密货币交易是合法的。金融犯罪执法(FinCEN)不将加密货币视为法定货币，而是视为“货币价值的其他替代品”。美国国税局(IRS)也不认为加密货币是法定货币，但将其定义为“作为交换介质、会计单位和/或价值存储手段的数字表示”，并设置了适当的征税准则。加密货币交易所在美国同样合法，属于银行保密法(BSA)的监管范围。实际上，加密货币交易服务提供商意味着必须在FinCEN注册，实施AML/CFT计划，维护适当的记录，并向当局提交报告。与此同时，美国证券交易委员会(SEC)表示，将加密货币视为证券，并将证券法全面适用于数字钱包和交易所。相反，商品期货交易委员会(CFTC)采取了更友好的态度，将比特币描述为商品，允许公开交易加密货币衍生品。

新加坡

在新加坡，加密货币交易所和交易都是合法的，这个国家在这个问题上的立场比一些地区邻国更友好。加密货币不被视为法定货币，但新加坡税务机关将比特币视为商品，征收商品和服务税(新加坡版本的增值税)。2017年，新加坡金融管理局(MAS)解释说，其立场并不规范加密货币，但如果该托肯被列为“证券”，将监督托肯的发行。

《2019年新加坡支付服务法》(PSA)从2020年1月开始，将交易所和其他加密货币业务置于MAS的监督之下，并请求MAS的运营许可。从那时起，MAS向多家知名加密服务提供商发放了许可证，其中包括DBS Vickers(星展银行的经纪部)和澳大利亚加密货币交易所Independent Reserve。

中国

中国人民银行(PBOC)2013年明令禁止金融机构处理比特币交易，2017年进一步禁止ICO和国内加密货币交易所。为了证明禁止的合理性，中国人民银行将ICO融资(通过非法销售和流通的Token)定义为未经批准的公共融资，这在中国法律中是非法的。

中国加密货币监管对加密货币交易及相关服务发出了几乎全面的禁令，2021年全面打击了国内加密货币挖掘活动。但与此同时，就加密货币本身而言，根据2020年《中国民法典修正案》，加密货币在决定继承时具有财产地位。在目前的司法实践中，BTC/USDT等加密货币一般不被认为具有货币属性，但可能具有财产属性，在涉及加密货币的一些合同纠纷中，判定存在差异。

欧盟

加密货币在整个欧易联盟中被广泛认为是合法的，但各成员国的加密货币交易规定不同。加密货币税因国家而异，许多会员国对从加密货币派生的利润征收0%至50%的资本利得税。2015年，欧盟法院裁定，传统货币兑换加密货币应免除增值税。

2020年1月，欧盟第5号反洗钱指令(5AMLD)将加密货币法定货币交易所纳入欧盟反洗钱法，以确保交易所对客户实施KYC/CDD，并满足标准报告要求。2020年12月，6AMLD生效。该指令将网络犯罪添加到洗钱上游犯罪名单中，使加密货币合规更加严格。

加密货币交易所目前不受地区层面的限制。在一些成员国，交易所必须在相应的监管机构(如德国金融监督局(BaFin)、法国金融市场监督局(AMF)或意大利财政部)注册。这些管理机构的许可和许可是可以交换的，因此可以在整个欧盟制度内运作。

拉丁美洲

在拉丁美洲，各国对加密货币的监管态度不同。监管更严格的国家包括全面禁止加密货币和交易所的玻利维亚，以及禁止除政府发行的SDE代币之外的所有加密货币流通的厄瓜多尔。相反，在墨西哥、阿根廷、巴西、委内瑞拉和智利，零售商店和商人接受加密货币作为支付方式。

出于税收目的，加密货币在拉丁美洲通常被视为资产。巴西、阿根廷和智利的交易在某些情况下需要缴纳所得税，而他们在整个地区普遍缴纳资本利得税。

2021年9月，萨尔瓦多成为拉丁美洲第一个使用比特币作为法定货币的国家，发行了政府数字钱包应用程序，并允许消费者在所有交易中使用加密货币(并以美元支付)。尽管受到国内外批评，萨尔瓦多政府随后公布了比特币城市建设计划。

1.2美国加密监督三驾马车，虽然全球各国的监管政策不同，但各国家监管部门的管辖权有地理限制。因此，由于美国监管机构的管辖权面向最广泛的全球加密用户，执法对加密公司/个人的影响力也可能远远大于其他国家。因此，美国的加密规制政策动向值得全世界加密企业和从业者更加重视。

在美国，加密货币一直是联邦和州政府关注的焦点，在联邦层面，大部分关注焦点集中在证券交易委员会(SEC)、商品期货交易委员会(CFTC)和美国财政部等行政机构层面。这三项可以简单地归类为美国加密导演的三驾马车。

在美国进行加密监督的“三驾马车”中，SEC和CFTC主要决定资产属性(商品或证券)吗)并分别对被认为是证券或商品的Token实施相应的限制。美国财政部下属机关更加多元。国税厅关注加密交易是否纳税，FinCEN关注美国国内的洗钱和反恐，OFAC主要负责对海外黑名单机构或个人进行金融制裁。这三者都需要长期追踪连锁交易数据，分析判断和正确执行。

1.2.1美国证券交易委员会(SEC)

SEC一般有权监督构成证券的代币或其他数字资产的发行或转售，主要对ICO和代币属性进行监督。2021年，SEC董事长Gary Gensler表示，SEC正在研究加密领域，至少有7家SEC密切关注：托管、稳定货币、交易平台、贷款平台、ICO、去中心化金融(DeFi)和ETF

根据美国证券法，如果数字资产被确认为证券，发行人必须向SEC注册证券，或者根据注册要求满足注册豁免。总的来说，SEC是各部门最积极、现有监管案例最多的部门，其监管核心是“证券”的关键词，因此，在研究区块链代币是否属于证券方面，判断是否接受SEC监管需要根据实质形式原则进行案例判断。但是，从目前情况来看，除BTC、ETH之外的大多数资产都将面临证券的定义，特别是一些新发行的资产，将面临SEC的全过程和全方位监管要求。

1.2.2商品期货交易委员会(CFTC)

美国商品期货交易委员会是美国的金融监督机构之一，CFTC是美国政府的独立机构，负责监督商品期货、期权、金融期货和期权市场。如果数字资产尚未定义为证券，则可以理解为衍生品的交易范围主要由CFTC监管，这也是CFTC和SEC在当前和未来监管权限讨论中最常交叉的地方。后续教练的主导权也在一定程度上决定了。

1.2.3美国财政部

A.国税厅(IRS)

2014年3月，美国国税局宣布，比特币和其他加密货币等“加密货币”将由美国国税局作为“财产”而不是货币征税。

对于提交联邦所得税申报单的个人，以"资本资产"(即投资目的)持有的加密货币的收益或损失应在(i) IRS表单1040的附表D和(ii) IRS表单8949(资本资产销售和其他处置)中报告，个人应作为资本资产持有，个人持有资本资产不超过一年的加密货币的所有已实现收益应缴纳一般所得税。

B

金融犯罪执法(FinCEN)是美国财政部在美国国内和国际上运营的政府机构，由执法机构、监管机构和金融服务机构三大主体组成。

主要关注的问题包括：

(一)预防和惩治洗钱及相关金融犯罪；

(2)研究金融机构强制性公开信息，追踪可疑人员和活动。

总的来说，FinCEN目前主要涉及交易所领域，在美国开设交易所业务或加密Treasury业务等情况下，应更加关注该部门的监管指南。《银行保密法》 ("BSA ")的反洗钱法是最重要的部分，特别是涉及资金的跨国转账等，包括稳定货币之间、不同加密货币之间、稳定和法币之间的转换。此外，作为未经授权的集中化，以资产交换、贷款和合成资产创造为重点的DeFi产品在可预见的未来也将成为监管的优先事项。

C.海外资产管理办公室(OFAC)

美国财政部海外资产管制办公室(OFAC)的任务是管理和执行基于美国国家安全和对外政策的所有经济和贸易制裁，包括针对所有恐怖主义、跨国毒品和麻醉品交易以及大规模杀伤性武器扩散行为的金融领域制裁。OFAC可以通过特别立法控制和冻结美国境内的所有外国资产，同时有责任在对外经济和贸易制裁问题上与美国的欧易盟国密切合作。它的主要管辖范围是跨国、恐怖主义等领域，也是此次Tornardo Cash制裁事件的主角。

OFAC对影响美国国家安全的非法金融活动感兴趣，这些犯罪领域分子可能利用的所有协议、互联网和应用程序都将长期受到关注。OFAC的制裁名单美国特别制定国民名单(SDN)是一个非常强大的监管工具，如果受到制裁，后果会很严重。对于许多DeFi产品，OFAC发布的监管指南必须首先是要遵守的合规性文档。

美国首次对智能合同实施制裁----Tornado Cash 2022年8月8日，美国财政部OFAC网站称，有史以来第一次将Tornado Cash协议或与相关以太网房间地址交互的部分地址放入SDN List进行制裁。

这次制裁与OFAC今年的早期制裁Blender.io不同，Tornado Cash制裁不是制裁"实体"。在制裁Blender时，OFAC详细列出了与Blender相关的几个网站和几十个比特币钱包地址，Blender是中心化的实体。但是，Tornado Cash不是一个中央化的混合器，这使得制裁OFAC制裁的“非实体”的权力来源得以推敲，制裁Tornado Cash这样的中央化智能合同非常困难。制裁后，美国公民将无法使用Tornado Cash。

图片来源：美国电视剧部。

2.1 Tornado Cash受到OFAC制裁的原因根据美国财政部网站公开的制裁理由，Tornado Cash自2019年创立以来，被用于清洗超过70亿美元的加密货币。其中，超过4.55亿美元被朝鲜民主主义人民共和国(DPRK)国家支持的黑客组织Lazarus Group窃取。该团体于2019年被美国制裁。这是迄今为止已知的最大的加密货币抢劫案。此后，Tornado Cash于2022年6月24日被Harmony Bridge Heist用于清理恶意网络参与者的资金超过9600万美元，并于2022年8月2日被Nomad Heist用于清理至少780万

OFAC在官网上表示，Tornado Cash(Tornado)是在以太网区块链上运行的加密货币混合器，通过混淆来源、目的地和交易对手，有选择地推进匿名交易，而无需确认来源。Tornado接收并混合各种事务，然后发送给相应的收件人。虽然说目的是增加隐私，但像Tornado这样的搅拌机通常被不法行为者用来洗钱。尤其是在重大抢劫中被盗的资金。Tornado因被指非法网络活动可能提供实质性协助，对美国的国家安全、经济健康或金融稳定构成重大威胁而受到OFAC的制裁。

2.2 Tornado Cash的影响到目前为止，Tornado的影响主要分为两个部分。

与Tornado Cash的交互包括在SDN的部分以太网磨坊和USDC地址以及USDC资产中。

Tornado Cash的Github代码库和前端官网限制了访问。

根据OFAC制裁，SDN名单主体将被冻结在美国财产上，任何美国人，包括美国公民、美国永久居民、根据美国法律注册成立的机构或法人、美国境内等，都不能进行交易。这意味着SDN主体不能与美元清算进行交易。也就是说，“美国人”禁止与其发生关系。否则，除罚款外，可能要负刑事责任。

对于SDN中列出的以太坊和USDC地址，根据OFAC制裁结果实施制裁后，USDC发行人Circle将美国财政部制裁名单中的以太坊地址正式列入黑名单。近东救济工程处拦截了253个与被盗资金或制裁有关的加密地址，贷款协议Aave屏蔽了与Tornado Cash相互转账的许多地址。(美国财政部网站公开的制裁地址SDN List Cyber-Related Designation:https://home . treasury . gov/policy-issues/financial-sanctions/recent-actions/20220808)

就Tornado本身而言，此次制裁将限制对Tornado Cash的访问

对Tornado Cash的制裁影响了许多用户的协议访问、代码联合开发和一些协议功能，如分布式路由器网络。普通用户更难参与这些活动。但是，Tornado Cash是在以太网广场(不可篡改的区块链)上构建的集中式应用程序，因此应用程序本身在网络上继续不受影响地运行，几乎无法停止运行。

2.3 Tornado Cash制裁本身程序性合规的争议，由于Tornado Cash中心化的本质，OFAC列出制裁的加密货币钱包也不能表明实体、法人和自然人可能受到制裁。因为以太坊智能合约上安装的钱包不受控制，可以根据代码自动混合。没有证据表明部署Tornado Cash的自然人或法人团队目前控制着这一程序。在Tornado Cash的逻辑中，混合货币用户可以来自世界各地，但没有中央审查小组或机制来筛选这些客户，但这不一定是故意的，而是系统和算法自动进行集中匹配和处理。(阿尔伯特爱因斯坦，Northern Exposure，计算机名言)在这种情况下，一些律师认为OFAC可以在SDN中包含自动协议，这种情况是否违宪

如果被制裁的Tornado Cash是一个实体，如果认为OFAC制裁不公正，可以通过法律手段进行辩护，并在联邦法院提起诉讼。因为诉讼只能提出实体，所以即使移动SDN名单也只能做实体，制裁没有中心的实体不是不公平吗另一方面，与制裁有关的钱包不能改变这种自动算法自动交易的行为。该制裁是否违反OFAC的宗旨，即促使任何组织或个人改变行为。

加密货币智库Coin Center认为OFAC制裁Tornado Cash的行为超出了该组织的权限。因为制裁没有向“实体”推进，所以无法有效地改变行为。最后，OFAC超越了自己的行政权，因为它不在IEEPA( 《国际紧急经济权利法》)规定的"财产"封锁范围内，也没有提供美国宪法规定的程序性正当程序要求。

荷兰政府拘留Tornado Cash创始人Alex Pertsev后，目前，对OFAC此次制裁持怀疑态度的律师正试图联系组织力量和OFAC，并在法律层面推动抗议和诉讼。

海外资产控制办公室(OFAC)概况3.1 OFAC衍生的海外资产控制办公室(THE OFFICE OF FOREIGN ASSETS Control，OFAC)成立于1950年，是美国财政部下属的机构，

OFAC的创立源于1977年国会通过的法案《国际紧急经济权力法》 (IEEPA)。从该法案开始，就要遵守美国宪法，因此行使与法案相关的权力的行为也必须符合美国宪法。IEEPA授予总统(国家行政机构)宣布国家紧急状态的权力，以防止受美国管辖的人和组织进行外国势力有损美国利益的任何活动。IEEPA赋予OFAC封锁财产的权力，其核心是“财产”。自911以来，为了在财政上更好地打击恐怖组织，当时的美国布什总统推动国会通过了另一项法案《美国爱国者法案》，扩大了IEEPA制定的行政权，赋予OFAC很大权力。该法案允许OFAC切断“正在调查”的财产，而无需解释或提供确凿证据。

OFAC的任务是管理和执行基于美国国家安全和对外政策的所有经济和贸易制裁，包括针对所有恐怖主义、跨国毒品和毒品交易以及大规模杀伤性武器扩散行为的金融领域制裁。目前，OFAC仍然是美国对某些国家、地区和人员实施经济和贸易制裁最重要的政府部门。近年来，随着全球反腐败、反洗钱运动的深化，OFAC的政策和指令已成为世界金融业，特别是与美国和美国金融业有密切联系的金融机构不可忽视的经营原则。

3.2 OFAC主要处罚类型OFAC将制裁的大棒挥向加密货币和区块链行业之前，OFAC的传统制裁对象一般是从意识形态上挑战与美国主权国家相关的个人和组织。2021年10月，OFAC发布了《加密货币合规指南》，OFAC的制裁类型共有四种。

I)广泛的贸易制裁和封锁目前针对伊朗、朝鲜、古巴、叙利亚和克里米亚地区。

二)对政府或政权的制裁；

三)目录制(目前，许多加密货币行业的制裁是包括此次Tornado Cash制裁在内的目录。）

四)特定外国特定产业的产业制

3.3 OFAC处罚的主要原因是根据美国财政部发布的《A Framework for OFAC Compliance Commitments》受到OFAC处罚的原因有五点值得加密企业注意。

A.缺乏正式的OFAC SANCTIONS Compliance Program(SCP)

OFAC不要求企业采用正式的SCAS合规计划(SCP)，但OFAC鼓励美国主管组织，特别是从事国际贸易的组织、交易或在美国以外的客户或对手采用正式的SCP。从OFAC确定的多数民事罚款中可以看出，没有SCP是OFAC调查过程中发现的违反制裁行为的主要原因之一。此外，OFAC在作出制裁判断时，经常将这一因素确定为加重要性人。

B.与受到制裁的非美国人进行的交易(包括通过海外子公司或附属公司进行的交易)

美国主管组织(特别是在美国境外拥有海外业务和子公司的组织)向海外子公司和非美国分公司受到OFAC制裁的国家、地区或个人移交业务机会，进行违反OFAC规定的交易或活动。

C.制裁过滤器软件未更新或出现过滤器错误。

许多组织通过筛选客户、供应链、中介机构、交易对手、商业和财务文件以及交易来识别和避免OFAC制裁的地区、与当事人的交易。在某些情况下，组织可能无法更新制裁过滤器软件，以将更新后的制裁名单实体包括在该组织内的SDN列表或SSI列表中。

D.对客户的不适当盘点

有效的OFAC风险评估和SCP的基本组成部分之一是对组织的客户、供应链、中介机构和交易对手进行尽职调查。OFAC采取的各种制裁措施包括组织对客户的不当或不完全尽职调查，包括实际主体、地理位置、有关各方和交易本身，以及对OFAC制裁的理解和认识。

E.个人责任

在某些情况下，个别员工(特别是监督、管理或管理级别的职位)可能是违反OFAC管理规定的主要原因。特别是，在这种情况下，外国实体的工作人员努力隐藏和隐藏公司组织内的其他人(包括合规负责人)以及监管机构或执法机构的活动。在这种情况下，OFAC将考虑将相关执法机构不仅用于违规实体，还用于个人。

3.4 OFAC处罚的影响如果不符合OFAC制裁要求，将对美国制裁计划及相关政策目标的完整性和有效性造成重大损害。因此，对违反行为的民事和刑事处罚可能很重，具体处罚取决于制裁计划

加密企业的合规战略自BTC诞生以来，Crypto行业的相关犯罪一直集中在金融领域，其中近年来迅速发展的DeFi仍然如此。经济金融领域的犯罪与其他种类的犯罪相比，往往波及人群范围，此次受到制裁的Tonadocasi的数额为数亿美元，因此也是各国监管机构最关心的领域和监督之手。

其他领域对Crypto法规遵从性市长/市场的需求相对于DeFi较少，或者已经有了相对成熟的标准化流程。例如BAYC/Clonex等蓝筹股NFT IP侵权问题，即使侵权当事人未经允许，以营利为目的进行商业经营，IP持有人在耗费时间和金钱成本后，也经常让对方撤回IP形象，因此很难获得高额补偿。此外，实际上，满足监管合规市场需求的另一件事是交换许可证，该许可证已经有了更成熟的标准化流程，市场也允许很多中介机构开展域业务，这里没有太多讨论。因此，本文主要针对DeFi领域，结合实际监管处罚，从项目方的角度讨论合规战略。

4.1首先，DeFi项目可分为合规性两个级别。(1)智能合同本身。(2)提供各类前端服务的项目公司。DeFi项目的配置除了需要智能合同来实现自我集中、自动运行外，还需要一些人员支持，以便于用户使用。例如，除了通过智能合同实现中央化交易所的属性功能外，Uniswap还需要Uniswap Labs雇用工作人员，例如通过前端网站或Twitter进行营销。就Uniswap Labs而言，合规要求也更接近一般公司。

A.智能合同本身

如上文提到的" Tornado Cash制裁本身的程序性合规纠纷"中所述，目前关于智能合同本身的法律框架并不将其视为法律实体，其本身是否会成为制裁的对象也是有争议的。从实践上看，OFAC以间接的方式实施制裁，例如禁止其他机构或个人与受制裁的智能合同互动。目前来看，这种方式会对智能合约用户产生重大影响。

照片来源：TRM实验室

B.提供各种前端服务的项目公司

作为智能合同背后提供前端服务的公司，制裁的影响将更加直接。如果Tornado Cash受到制裁，自己的前端站点将无法正确连接到Metamask钱包，Twitter账户也将停止更新，Github代码库也将受到限制访问。

对于项目公司，以法律机构的身份提供DeFi相关金融服务，必须按照当地法律规定完成相关要求，如申请驾驶执照或遵守互联网信息服务规定的要求。

4.2内部法规遵从性设置前面提到的对DeFi法规遵从性两个方面的sanctions compliance program(scp)认识可以作为项目当事人通过项目公司内部部部署来满足法规遵从性要求。根据美国财政部OFAC 2021年10月发布的《Sanctions Compliance Guidance for the Virtual Currency Industry》，DeFi项目方面可以就遵守内部法规安排以下五个部分：

A.管理承诺(Management Commitment)

高级管理人员对公司制裁合规计划的严格遵守是决定该计划成功的最重要因素之一，高级管理人员的支持对确保制裁合规工作有足够的资源和充分融入公司的日常运营至关重要。高层的适当语气也有助于使计划合法化，制裁合规人员，在整个公司培育合规文化。

管理层严格遵守基于风险的制裁合规计划的重要性在加密货币行业和所有其他行业都是相同的。在许多情况下，OFAC观察到加密货币行业的成员在开始运营几个月或几年后才开始遵守OFAC制裁政策和程序。推迟制定和实施制裁合规计划可能会使加密货币公司面临各种潜在的制裁风险。

从实践上看，项目方高级管理层可以考虑下一步，以证明对遵守制裁的支持。

审查和批准遵守制裁的政策和程序

确保适当的资源(包括人力资本、专门知识、信息技术和其他资源)支持合规职能

赋予合规部门充分的自主权和权力

任命至少1名具备必要技术专长、具备OFAC法规、流程和运营方面技术知识和专业知识的专职制裁合规负责人，他们具备了解复杂的金融和商业活动、将对OFAC的了解应用于这些项目以及识别OFAC相关问题、风险和违禁活动的能力。

B.风险评估(Risk Assessment)

无视或错误处理制裁风险可能会违反OFAC规定和后续执法措施，损害美国外交政策和国家安全利益，并对公司的声誉和业务产生负面影响。OFAC建议制定制裁合规计划的加密货币行业的公司继续进行例行和适当的风险评估，以避免公司可能出现的制裁问题。

虽然没有"一刀切"的风险评估方法，但通常必须包括对公司的全面审查，以评估公司与OFAC制裁的个人、国家或地区接触的潜在风险。通过定期风险评估，项目方可以实时调整内部合规性筛选标准，以满足最新的监管要求。

案例：风险关系诊断

2021年，OFAC与美国加密货币结算服务提供商签订和解协议，处理该公司客户与制裁管辖区内个人之间的虚拟货币交易。该公司的制裁合规控制包括筛选直接客户(美国和其他地区的to B商家)是否与制裁有潜在联系，但该公司未能对使用支付处理平台和在平台商家购买产品的个人制裁信息进行筛选。特别是在交易前，公司将收到买家的信息，如姓名、地址、电话号码、电子邮件地址、互联网协议(IP)地址。综合风险评估(包括访问公司平台或服务的人员)使项目方能够为每个产品和服务确定适当的筛选标准。

C.内部控制(Internal Controls)

有效的制裁合规计划包括解决公司风险评估中确定的风险的政策和程序。这可能包括识别、拦截、升级、报告(如果适用)和维护被OFAC制裁禁止的交易或活动的记录。有效的制裁合规计划使公司能够对客户、业务伙伴和交易进行充分的尽职调查，并识别“风险信号”。危险信号表示可能发生非法活动或合规障碍，以便公司进行调查并采取适当措施。企业必须加以补充，以执行政策和程序，确定弱点，包括分析违反行为的根源，并防止可能违反制裁的活动。

在Crypto行业，公司的内部控制取决于公司提供的产品和服务、公司运营地点、用户位置以及公司在风险评估过程中确定的特定制裁风险。OFAC不需要在加密货币行业使用特定的内部或第三方软件，但它可能是有效制裁合规计划的有用工具。

案例：双重审查

加密货币行业成员面临的制裁风险之一来自制裁大象管辖区的用户使用产品和服务。2020年，一家在国际上提供数字资产托管、交易和金融服务的美国公司与OFAC签署了和解协议。这是因为对制裁管辖区内的个人处理加密货币交易。为了安全起见，该公司在用户登录时跟踪用户的IP地址，但不会使用收集的IP地址信息过滤和防止潜在的制裁违规。因此，当时乌克兰、古巴、伊朗、苏丹和叙利亚的克里米亚地区因其管辖区而受到制裁，但该公司未能禁止该地区的个人使用不受管理的安全数字钱包管理服务。为了筛选可用数据和防止与特定IP地址相关的活动，实施内部控制将防止违反制裁。

OFAC建议项目公司采取以下方案，作为有效制裁合规计划的一部分，加强内部控制：

a)know your customer(kyc)procedures

了解客户(KYC)计划在与客户接触的早期和客户关系周期内，获取有关客户的信息，并对这些信息进行充分的尽职调查，从而降低潜在的制裁相关风险。此信息可用于防止违规的制裁审查过程。例如，在合作初期、定期审查和处理客户交易时，信息收集可以包括以下因素：

个人：法定姓名、出生日期、实际地址和电子邮件地址、国籍、与交易和登录相关的IP地址、银行信息、政府认证和居住文件。

实体：实体名称(包括商业名称和法律名称)、业务范围、所有权信息、物理地址和电子邮件地址、位置信息、与事务处理和登录相关的IP地址、实体业务执行信息、银行信息和相关政府文件。

高风险客户可能需要进一步尽职调查。例如，可以检查客户的交易历史记录，以确定与制裁大象管辖区的联系或与制裁大象行为者有关的加密货币地址的交易。此外，根据现有的反洗钱(AML)义务收集的信息(如果适用)可能有助于评估和减轻制裁的风险。

b)制裁审查(Sanctions Screening)

制裁筛选可能是Crypto内部控制中最重要的部分，包括地理位置、客户识别、交易筛选等。Crypto应考虑在制裁合规计划中实施以下内容：

根据OFAC管理的制裁列表(包括SDN列表)过滤客户信息

筛选交易以识别与制裁者或管辖区相关联的地址，包括物理、数字钱包、IP地址等

使用过滤工具的模糊逻辑功能，更改常见的姓名更改和拼写错误(例如，与受制裁管辖区相关的拼写错误或替代拼写(例如，" Yalta，krimea") ofac制裁列表中列出的个人姓名的大小写、空格或标点符号(例如，" krayinva ")

持续的制裁审查和基于风险的重复审查将搜索更改的客户信息、更新的OFAC制裁名单或监管要求的变化

c)识别危险指标或危险信号

风险指标或风险信号：除KYC信息识别和制裁审查外，Crypto还应考虑"风险信号"，这种信号可以监测交易和用户，以发现风险并表明制裁关系。风险指标的示例可能包括以下个人或物理行为：

尝试开户时提供不正确或不完整的客户id或KYC信息

通过与制裁大象管辖区相关联的IP地址或VPN访问加密货币交易所

没有回应或拒绝提供更新的客户id或KYC信息

没有回应Crypto的请求，也没有拒绝提供其他交易信息。

尝试使用与制裁大象个人或管辖区相关的加密货币地址进行交易

此外，在适当情况下，表示洗钱或其他非法金融活动的"危险信号"也可能表明潜在的逃避制裁情况

d)交易监测和调查

交易监测和调查软件可用于识别与SDN中所列制裁大象个人和实体有关或位于制裁大象管辖区内的加密货币地址。这种内部控制可以防止项目公司将资产转移到与制裁者相关的地址，并防止违反美国制裁。此外，Crypto行业官员可以使用交易监测和调查工具，不断审查有关其地址的历史信息或其他识别信息，以便更好地了解制裁风险，识别制裁遵守计划的缺陷。

2018年，OFAC开始使用SDN列表中所列人员的识别信息已知的一些加密货币地址。这些加密的通话地址可以使用OFAC制裁名单搜索工具中的" ID# "字段进行搜索。作为合规做法，在加密货币行业运营的公司必须使用这些交易监测和调查软件，在SDN名单上识别加密货币地址和受制裁者。此外，OFAC在SDN列表中包括加密货币地址，即使该地址未在SDN列表中明确列出，也有助于识别与制裁者相关或以其他方式构成制裁风险的其他加密货币地址。

e)可采取的补救措施

作为对OFAC执法措施的回应，项目公司可以纠正明显违规原因，找出内部控制的弱点，并实施新的控制以防止今后违规。

其中一些补救措施包括：

对制裁大象管辖区实施IP地址拦截和电子邮件相关限制。

生成过滤KYC信息的制裁大象管辖区城市和地区的密钥列表

审查和更新最终用户合同，以包括美国制裁所需的信息。

筛选所有用户的追溯批

为所有员工实施OFAC相关培训计划

对合规相关人员进行进一步制裁合规性培训。

雇用额外的合规负责人和专职主管或制裁合规负责人。

D.测试和审核(Testing and Auditing)

确保遵守制裁计划按预期实施的最佳方法是测试计划的有效性。将全面、独立、客观的测试或审计职能纳入制裁合规计划的企业可以了解需要更新、加强或重新调整以应对计划实施和风险评估或制裁环境变化的方面。

根据公司的规模和成熟度，可以决定是否对制裁合规计划进行内部或外部审计。加密货币行业制裁合规计划的测试和审计程序的一些方法如下：

制裁名单审查确保SDN名单和其他制裁名单审查有效运作，并适当标记交易以供进一步审查

密钥过滤器过滤器工具应相应地显示与KYC相关的过滤器或其他过滤器相关的密钥

IP拦截确保IP地址软件在制裁大象管辖区内正确阻止用户访问产品和服务

调查和报告调查审查过程中被确定为具有潜在制裁关系的交易的审查程序(例如，与制裁大象或制裁大象管辖区有关的交易)，以及向OFAC报告被拦截财产或被拒绝的交易的程序

E.法规遵从性培训(培训)

最后，项目公司必须为内部员工安排制裁合规计划培训。公司培训的范围取决于公司的规模、复杂性和风险情况，OFAC培训必须定期向所有相关员工(包括合规、管理和客户服务人员)提供一年以上的培训。完善的OFAC培训计划根据需要提供特定于业务的知识，向每位员工传达遵守制裁规定的方法，并使用评估制度确保员工满足培训要求。另外，对于加密货币行业的不断变化和新技术，OFAC培训也需要不断地进行更新调整。

最终，随着当前加密市场的扩大，越来越多的合规要求成为加密领域创业者不能忽视的话题。与此同时，Certik等传统的基于合同安全审计的企业也开始了合规审计服务。在可预见的未来，交易所、DeFi公司等在合规市场上会出现不小的需求。

“Code is law。”虽然这句话在加密的社区中广泛传播。但是正如克雷格莱特博士反复强调的那样：“代码不是法律。政府不会长久容忍有人试图绕过他们的法律。”

参考句：

加密法律专家激变web 3监督：合规还是去中心化

美国政府制裁Tornado Cash后，我们如何更好地应对审查威胁

晚子长文：与美国加密货币监督公司进击的虚拟货币监督摩擦

从美国监管的角度来看

美财长耶伦演讲全文：以美元地位为核心看待数字资产监管。

Trmlabs: defi平台如何应对Tornado Cash制裁

综合解释：美国财政部制裁托纳杜卡西的影响。

OFAC宣布制裁Tornado Cash的行业影响解释和风险合规方案。

托拉多的制裁将成为DeFi教练的分水岭

托纳多卡西受到制裁，CertiK KYC参与了隐私战争。

TRM Labs: DeFi项目是主张制裁措施的“侦探公司”。

从法律角度解读OFAC制裁Tornado Cash是否合理

高级加密律师：Tornado Cash受到制裁后，新的监管挑战是否即将到来crypto currency regulations around the world

appendix a to part 501 economics sanction

对美国监管相关总体框架和现有监管情况的初步了解--LEO

浅谈6月合法评估、全球稳定货币监管

美国crypto currency regulation:policies、regimes more

how defi platforms are using data from trm labs to respond to tornado cash sanctions

解释行业影响和遵守风险的方案——OFAC宣布对托纳杜卡西实施制裁

美国treasury sanctions notorious virtual currency mixer tornado cash

sanctions compliance guidance for the virtual currency industry

a framework for ofac compliance commitments

单击下载

European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所，为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务，并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台，平台为我们提供安全、专业的数字货币交易经验，为新手提供完整的流程指导，使其易于启动，通过客服24小时在线回复提供最佳服务。