数字货币溯源技术白皮书

©2020云安全联盟大中华区-版权所有11 ©2020云安全联盟大中华区-版权所有22@2020云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2020云安全联盟大中华区-版权所有33致谢云安全联盟大中华区（简称：CSAGCR）区块链安全工作组在2020年2月份成立。由黄连金担任工作组组长，9位领军人分别担任9个项目小组组长，分别有：知道创宇创始人&CEO赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔Dapp安全小组，元界DNA创始人兼CEO初夏虎领衔去中心化数字身份安全小组，北理工教授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技CEO邓永凯领衔AML技术与安全小组。区块链安全工作组现有100多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六十多家单位。关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn;云安全联盟CSA公众号：本白皮书主要由AML技术与安全小组专家撰写，感谢以下专家的贡献：原创作者：邓永凯、黄连金、刘林炫审核专家：石瑞生 ©2020云安全联盟大中华区-版权所有4序言反洗钱是政府动用立法、司法力量，调动有关组织和商业机构对可能的洗钱活动予以识别，对有关款项予以处置，对相关机构和人士予以惩罚，从而达到阻止犯罪活动目的的一项系统工程。从全球来看，反洗钱是金融监管中非常重要的工作。随着区块链技术的广泛应用，以比特币为主的数字货币，以及越来越多基于区块链技术的数字资产开始出现。而类似于比特币这样的数字货币，尽管绝大多数国家都没有将其视为法定货币，但是的确已经在全球中获得越来越多的使用场景，并且由于其设计的架构具有一定的匿名性，经常被认为可能会与违法犯罪行为相关。如何能够使得区块链技术在符合监管的情况下大规模落地应用数字货币溯源技术对于链上和链下的数据进行分析、跟踪、监管等等处理，对于区块链技术发展具有重要的意义。数字货币溯源技术并不会破坏区块链的“去中心化”的特点。相反，它将通过激发对网络的更大信心从而鼓励更加多的区块链技术的参与者。云安全联盟大中华区对于AML技术和应用进行分析总结了这本白皮书，希望抛砖引玉与行业专家一起在白皮书的基础上结合新的创新和安全风险，为有关从业者提供一些指导。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2020云安全联盟大中华区-版权所有5相关术语解释AML：即AntiMoneyLaundering，反洗钱。是指为了预防通过各种方式掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪等犯罪所得及其收益的来源和性质的洗钱活动，是一系列旨在防止将非法收入转化为合法收入、维护市场经济秩序的政策及法律体系。VASP：即VirtualAssetServiceProviders，虚拟资产服务供应商。提供虚拟资产交易服务的相关机构。UTXO：即UnspentTransactionOutputs，未花费交易输出。比特币的交易由交易输入和交易输出组成，每一笔交易都要花费（spend）一笔输入，产生一笔输出（output），而其所产生的输出，就是“未花费过的交易输出”，也就是UTXO。KYC：即KnowYourCustomer，了解你的客户。交易平台获取客户相关识别信息的过程，需要客户提供相关的身份证明信息。例如：身份证、护照等。它的目的主要是为未来的调查中为执法机构提供调查依据。 ©2020云安全联盟大中华区-版权所有6目录致谢............................................................................................................................................3序言............................................................................................................................................4相关术语解释............................................................................................................................5一、资金来源安全..................................................................................................................7二、交易风险识别..................................................................................................................7三、风险控制............................................................................................................................8四、数字货币溯源技术面临的挑战........................................................................................8五、数字货币溯源技术安全................................................................................................10六、反洗钱案例分析..............................................................................................................11七、对行业的建议..................................................................................................................111.对于政府部门、监管机构的建议................................................................................112.对于区块链项目的建议................................................................................................113.对于VASP的建议..........................................................................................................114.对于区块链个人用户的建议........................................................................................11参考资料..................................................................................................................................13关于云安全联盟大中华区......................................................................................................14 ©2020云安全联盟大中华区-版权所有7一、资金来源安全AML（AntiMoneyLaundering，反洗钱）中第一个环节就是保障资金来源安全，也就是说当数字货币交易中的收款方收到一笔数字货币时，需要知道这笔资金来源是否合法、合规。这就需要进行资金来源的溯源。资金溯源就是追踪交易中输入的数字资产的来源。在区块链上，由于数据均是公开可查的。且由于区块链系统的特性，我们可以将链上的交易关联起来。简单的来讲，我们可以根据链上公开的数据分析某一地址中的数字资产“从哪来、到哪去”。例如，在比特币网络中，采用了UTXO（UnspentTransactionOutput，未花费输出）模型，可以通过分析资金对应钱包地址的UTXO数据来找出资金的来源。从而判断资金来源是否合法、合规。二、交易风险识别交易风险识别，就是识别正在进行的每一笔交易的风险。由于链上的数据有限，且每笔交易针对观察者来说均是大体相同的，因此我们需要引入其他的情报来针对交易进行评分。也就是针对交易中的地址进行评分，从而识别交易的风险。如果参与区块链中某笔交易中的地址评分过低，则说明该笔交易存在一些风险。针对地址的评分可以有以下维度：1、地址背后的实体：例如，若地址属于大型数字货币交易所，则该地址就有很高的可信度；若地址属于勒索软件、挖矿木马中的数字货币地址，则该地址的可信度就较低。2、地址的相关情报：数字货币地址在互联网上的情报（例如，互联网上的用户或新闻等对于某一数字货币地址的评价、描述等）。若互联网中的情报大多为正面消息，则该地址的可信度就较高，否则可信度就偏低。3、地址的历史交易记录：基于数字货币历史的交易状况（历史交易笔数、历史交易金额等）。例如，一个经常进行数字货币交易，资金量很多的地址可信度就大于一个没有任何交易的地址。 ©2020云安全联盟大中华区-版权所有84、地址的行为特征：若地址进行过风险交易，则该地址的风险程度比较高。类似参考《人民币大额和可疑支付交易报告管理办法》，例如短期内资金分散转入、集中转出或集中转入、分散转出。[7]三、风险控制VASP（VirtualAssetServiceProviders，虚拟资产服务供应商）避免资产损失，需要针对风险交易进行风险控制，保证风险资产不会通过VASP被承兑。针对风险交易，VASP可以采取冻结资金、深入调查、联合监管部门和执法机构调查等方法。针对VASP，当用户将数字资产转移到风险地址时，可以也采取相应的措施，例如冻结资金等。四、数字货币溯源技术面临的挑战数字货币溯源技术包括两个方面：一是利用数字货币交易中输入和输出地址的映射关系查询数字货币的来源和流向；二是利用大数据分析技术分析出数字资产地址对应的背后实体。由于区块链的特性，所有数据均公开可查。例如，在比特币网络中，我们可以很轻易的获取一个比特币地址的所有交易、资金数量等。虽然，使用传统方法很难将比特币