香港虛擬資產管理新規正式上线 Beosin助力香港Web3生態的安全與合規

為積極呼應 2022 年 10 月的《有關香港虛擬資產發展的政策宣言》，以推動香港發展成為國際虛擬資產中心，香港立法會於 2022 年 12 月 7 日通過了《2022 年打擊洗錢及恐怖分子資金籌集條例》的最新修訂（《打擊洗錢條例》），這意味着香港全新的虛擬資產服務商發牌制度（VASP 制度）於 2023 年 6 月 1 日起正式實施。

在今年初，香港證監會宣布就有關監管虛擬資產交易平臺營運者的建議規定展开咨詢，文件意見徵求期於3月31日結束，以配合在6月1日可以正式生效新的發牌制度。香港證監會主要圍繞着“是否允許交易平臺面向散戶投資者、散戶可以參與哪些資產交易、安全保護和反洗錢”等問題向業界咨詢，在咨詢期間，香港證監會共收到150多份意見書，來自業界和專業組織、專業及咨詢公司、市場參與者、持牌法團、個人等，比如 Binance.com、OKX Hong Kong、Amber Group、Ripple Labs和 Beosin 等。

各個機構針對香港證監會關心的虛擬資產反洗錢、虛擬資產合規審查業務、交易平臺的安全防護、虛擬資產安全存儲、虛擬資產鏈上分析與犯罪追蹤、虛擬資產盡職調查、虛擬資產的市場風險管理、客戶背景調查等多個領域均做了針對性的方案闡述。隨着監管政策的推出，產業界也在關心如何就以上問題給出監管辦法，隨着區塊鏈技術的日新月異的發展，科技界是否有針對性的技術手段或產品能給予監管機構一定的支持， 本文將帶領讀者從科技界的角度分析監管技術的發展和解決之道，以及為大家解讀Beosin如何助力香港Web3生態的安全與合規。

一、港府關於虛擬資產反洗錢有哪些要求

在反洗錢部分，根據《打擊洗錢條例》，SFC將對違法行為和不合規行為採取相關制裁措施，其中包括在未獲得許可的情況下提供虛擬資產服務，以及不符合 AML/CTF 要求。此外，任何向香港公衆主動推銷服務的行為都將被視為提供虛擬資產服務，無論服務提供地點或服務提供方是否在香港。2023 年 6 月 1 日之後，在沒有 VASP 牌照的情況下經營提供虛擬資產服務屬於犯罪行為。若經循公訴程序定罪，可處罰款 500 萬港元及 7 年監禁，如屬持續的罪行，則可就罪行持續期間的每一日，另處罰款 10 萬港元。若經循簡易程序定罪，可處罰款 500 萬港元及 2 年監禁，如屬持續的罪行，則可就罪行持續期間的每一日，另處罰款 1 萬港元，同時監管機構也要求：

1)  金融機構應提高警覺，留意一連串有關連的非經常交易達至或超越電傳轉账的8,000元的客戶盡職審查門檻和其他各類交易的120,000元門檻的可能性。如金融機構知悉交易款額達至或超越此等門檻，必須執行客戶盡職審查措施。

2)  金融機構應評估用戶未能完成盡職調查程序（未能完滿地完成客戶盡職審查程序）的情況，會否使金融機構有理由知悉或懷疑已出現洗錢／恐怖分子資金籌集活動，並在知悉或懷疑的情況下，需向財富情報組提交關於該客戶的可疑交易報告（STR）。

3)  在評估虛擬資產轉帳對手方所帶來的洗錢／恐怖分子資金籌集風險時，金融機構應對可能顯示有較高洗錢／恐怖分子資金籌集風險的相關因素加以考慮，例如虛擬資產轉帳對手方：牽涉洗錢／恐怖分子資金籌集或其他非法活動。

從技術角度來看，業界已經在合規和反洗錢領域有很多積累， 這其中涉及三項關鍵技術，一是客戶盡職調查、二是鏈上分析和追蹤、三是鏈下金融交易環節的監測與風控。 KYC作為客戶盡職調查的一項關鍵技術已經非常成熟，綜合人臉識別、活體檢測、設備指紋、證件分析等關鍵要素。交易平臺通過對客戶真實身份的確認，綜合鏈上和鏈下交易數據可以識別出潛在的洗錢行為。

1.  虛擬資 產交易平臺的客戶盡職調查如何解決？

以Beosin為例，其當前的解決方案融合了海量的欺詐數據和機器學習的力量，能夠以多種方式應對虛擬資產交易平臺的反洗錢挑战。 借助這些解決方案，交易平臺可以在客戶認證的初期利用 KYC 進行在线开戶驗證，並且在交易期間對用戶隨時進行在线復核，從而更准確地滿足監管要求，其解決方案可在三個層面提供監管支持。

身份驗證階段：‌‌ 採用包括人臉識別和活體檢測、證照識別等KYC 技術驗證客戶真實身份。

交易監控階段： 交易監控可識別潛在的反洗錢危險信號，某些交易行為的特定變化可觸發相關的 KYC 流程。

客戶風險評級： 評分會考慮到一系列因素，以計算准確的客戶風險分數。

2.  虛擬資產的交易風險評估以及鏈上交易分析與犯罪追蹤如何實現？

在監管文件的反洗錢部分明確規定金融機構應該實施有效的風險為本交易監察程序，以便檢測轉自或轉至其客戶或其他方的虛擬資產（尤其是轉自或轉至具有較高洗錢/恐怖分子資金籌集風險的虛擬資產轉账對手方或非托管錢包）的源頭和目的地，並識別和報告可疑交易並採取適當跟進行動。例如：

(a) 追蹤虛擬資產的交易記錄，以更准確地識別有關虛擬資產的來源及目的地；

(b) 識別其中涉及直接和/或間接與非法或可疑活動/來源或指定人士有關聯地址 的交易。金融機構應採納適當科技方案（例如區塊鏈分析工具），以便能夠追蹤虛擬資產及相關錢包地址並識別潛在可疑交易。

(c) 如果金融機構使用由外部提供商提供科技方案來篩查虛擬貨幣交易和相關錢包地址，在使用該方案之前，金融機構應考慮相關因素，包括但不限於追蹤和檢測工具的質量和效果；存儲在支持其篩查能力的數據庫中的數據覆蓋範圍、准確性和可靠性；區塊鏈分析工具的觸及範圍以及對於涉及使用強化匿名技術或機制的虛擬貨幣或錢包地址（例如具有強化匿名功能的虛擬貨幣、混合器或轉账器）的處理能力。

(d) 如果金融機構在篩查虛擬資產交易和相關錢包地址或持續監察額外客戶數據時發現更大洗錢/恐怖分子資金籌集風險，則應採取更嚴格客戶盡職調查和持續監察措施，並採取所需其他防止或減少相關風險措施以減少涉及洗錢/恐怖主義資金籌集風險。

從以上的監管要求可以看出在虛擬資產反洗錢層面，監管機構的要求是非常深入和具體的，表明監管機構對當前的技術發展有清晰的認識。近年來，網絡犯罪、洗錢、暗網交易等涉及虛擬資產的犯罪屢見不鮮，區塊鏈的去中心化、开放性、匿名性等特徵給監管部門帶來了巨大的挑战。但是也因為區塊鏈账本的开放性，任何機構和個人都可驗證鏈上交易，拿到交易數據，這也讓風險交易的追蹤更容易和清晰。

在本次政策咨詢回復中， 以Beosin為代表的一衆安全機構提出了一種解決思路 - KYT（Know Your Transactions），其目的是讓交易平臺和監管機構了解每一筆鏈上交易，在傳統金融交易中，金融服務機構通過KYC 和 交易數據設計反洗錢系統。在虛擬資產交易中，交易平臺可以利用KYC和KYT技術對每一筆交易的背後實體進行綁定，分析其交易行為，識別其犯罪邏輯，利用鏈上分析和追蹤工具對每一筆交易進行定位，對用戶進行畫像，對交易進行評級，從而降低犯罪者利用虛擬資產洗錢的風險。

在為交易機構提供KYT能力的監管建議中， Beosin與一衆平臺提出的解決方案中，着重提出KYT應具備以下幾個基本能力：

黑地址查詢功能

利用模式識別、AI算法等技術，可將鏈上數億地址映射到目標實體，同時應識別數字資產交易中的可疑活動，並呈現鏈上活動的合規態勢，進行合規態勢可視化。包括安全攻擊、暗網、混幣器、欺詐、勒索、賭博等。

制裁名單篩選功能

不斷監控和更新OFAC制裁名單、港府本地的制裁名單等，以確保鏈上數據的及時性和准確性，為制定合規基线提供決策依據，並在風險偏離合規基线時及時提供告警。

地址/交易風險評分功能

KYT作為一項基礎服務，應綜合處理各項數據，可溯源指定帳號的資金來源和去向，能全面、快速和准確的進行數據分析，通過風險分析引擎對加密貨幣交易進行實時風險判斷，自動給出風險建議，同時能對交易和地址風險進行全面評估，定位清晰的風險點，使地址和交易更加透明，幫助交易平臺做出合理的風控策略。

地址監控報警功能

KYT 能夠實時檢測所有鏈上交易，以檢查各種交易模式並可定義各項風險指標，以便第一時間了解被監測帳號的最新交易信息，幫助交易平臺7*24小時監控地址的異常交易行為，對觸發風控規則的交易進行告警。

追蹤調查功能

顯示某個地址相關的風險交易和風險地址，追溯其詳細的資金路徑，幫助客戶驗證風險來源，重構風險全貌供監管審查，完成鏈上調查篩選。

在具體的解決方案中，KYT產品應根據用戶的需求和能力的不同，構建定制化的合規解決方案。 以下面Beosin 產品為例，除了以上基礎能力，還提供定制化風險策略管理、AI智能虛擬資產路徑追蹤可視化、STR報告導出等功能。目前，已為多個國家和地區的機構、交易所、錢包公司等提供服務，合作客戶包括Binance、OKX、HashKey Group等。

3. 鏈上犯罪分析與調查如何解決？

金融機構應制訂及維持充分且有效的系統和管控措施，以對虛擬資產交易及相關的錢包地址進行篩查。金融機構尤其應

a) 追蹤虛擬資產的交易記錄，以更准確地識別有關虛擬資產的來源及目的地；

b) 識別當中涉及直接及／或間接與非法或可疑活動／來源或指定人士有關的錢包地址的交易。

金融機構應採用適當的技術解決方案(如區塊鏈分析工具)來跟蹤虛擬資產和相關的錢包地址，並識別潛在的可疑交易。

針對此類要求，Beosin提供強有力的區塊鏈調查取證方案Beosin-Trace，此系統立足區塊鏈行業多年的安全研發優勢，依托協助執法部門破獲數百起區塊鏈犯罪案件的經驗積累，以案件研判過程為場景切入打造的虛擬貨幣案件智能研判平臺。為金融機構提供鏈上线索發現、鏈上行為刻畫、資金追蹤溯源、混幣穿透、調查取證等一站式虛擬貨幣犯罪分析研判能力，並將詳細的風險地址及資金分析報告輸出，提交監管機構，滿足合規監管，最大程度降低業務風險。

Beosin-Trace

二 關於虛擬資 產盡職調查與應對方案

在虛擬資產交易平臺上架新的資產時，應對其進行嚴格的盡職調查，並且由獨立第三方進行評估，在此領域證監會的要求非常明確，總結如下，證監會期望持牌虛擬資產交易平臺委聘獨立評估專家，或在合理的情況下倚賴由另一方（如發行人）委聘的獨立評估專家所進行的審計。

虛擬資產平臺營運者亦應最低限度在其網站登載重要資料包括：虛擬資產智能合約審計報告及其他缺陷報告的鏈接。在納入任何虛擬資產以供买賣之前，智能合約審計應重點審視其在達至高可信度方面不存在任何合約隱憂或安全缺失，同時在具體的調查方面有詳細規定，例如要求調研以下細則：

1、虛擬資產的管理層或开發團隊背景

2、虛擬資產在各個司法管轄區的監管狀況及是否影響平臺的監管責任

3、虛擬資產供求、市場成熟度流動性、市值、平均每日成交量、網績記錄、其他平臺有沒有交易，有沒有交易組合，哪些司法管轄區可供买賣

4、所在的鏈平臺安全基礎設施是否完備，是否有風險

5、推廣材料是否准確無誤導性

6、過往歷史有沒有相關重大事件

7、市場風險，是否過於集中、存在欺詐

8、相關法律風險

9、創新點是否存在欺詐或不當成分

1. 虛擬資產盡職調查

香港的虛擬資產盡職調查要求與日本的監管政策很相似，都採用了嚴格的審計標准，採納第三方機構的研究報告，對交易平臺上架項目有嚴格的審核標准和流程要求， 從2019年开始，日本金融廳通過旗下管理機構請一衆知名審計機構提供報告，曾要求Beosin為其審計UNI/ DAI /LINK /SOL /HT /OKB 等知名項目，通過評級機構嚴苛的審核機制，避免了大量的項目風險。 為滿足接下來（SFC）提出的虛擬資產盡職調查標准審查，Beosin等知名機構已經制定了針對性的服務，可以在項目上架前為交易平臺提供符合香港地區監管政策的虛擬資產盡職調查報告。

作為全球最早一批專門從事區塊鏈安全的公司，Beosin為上线虛擬資產項目提供合規審查服務，包括項目基本信息審查、項目經濟模型審查、項目代碼安全評估、項目市場評估以及團隊盡職調查等。 比如Beosin 與日本區塊鏈企業HashPort建立战略合作夥伴關系，雙方主要在鏈平臺和智能合約的安全審計、合規評估等方面开展合作，同時Beosin出具的區塊鏈項目合規評估報告，目前已作為日本監管機構對項目合規評估的重要資料之一。Beosin在此期間不斷提供專業和全面的安全技術支持，增強日本區塊鏈企業的安全和合規性。

2. 智能合約安全審計

在上文的監管細則中可明確知道， 監管機構對項目的硬編碼安全尤為看重，尤其是智能合約的安全審查部分。 Beosin作為全球最早將形式化驗證技術應用於智能合約安全審計的團隊之一，研發了面向智能合約安全檢測的自動化工具VaaS，其工具的自動化檢測精度高達97%，可以“一鍵式”自動檢測智能合約的上百種安全問題。同時，Beosin基於豐富的智能合約安全數據集，借力ChatGPT基礎大模型，微調訓練出可深度理解智能合約邏輯的智能模型，能進一步提升形式化驗證工具VaaS對復雜業務合約安全問題的檢測驗證能力。

除了強有力的合約審計工具VaaS外， Beosin擁有專業的合約審計和工具研發團隊，可提供合約資產安全審計、業務邏輯審計、後門審計、閃電貸攻擊審計、套利攻擊安全審計、重入攻擊審計、函數調用審計、代碼規範審計等。 提供專業的安全審計報告。該報告將包含任何已識別漏洞的詳細信息，並按嚴重性（嚴重、高、中、低和提示）以及建議的補救措施對它們進行分類，包含圖表以提供有關項目的可視化見解並幫助用戶了解已識別漏洞的來源。目前，Beosin 審計智能合約超過3000份，包括Ronin 、PancakeSwap 、OKCSwap等。

三、關於虛擬資產市場風險管理與應對方案

監管機構在文件中要求平臺營運者應適當監察在其交易平臺上的交易活動，並訂立和實施書面政策及監控措施，以識別、預防及匯報任何市場操縱或違規交易活動。有關政策及監控措施至少應涵蓋以下範疇：

(a) 識別及偵測異常情況，包括對可疑的價格急升情況進行定期的獨立檢視；

(b) 監察及預防任何可能使用違規交易策略的情況；

(c) 在發現操縱或違規活動後立即採取步驟以限制或暫停买賣（例如暫時停止凍結帳戶）。

平臺營運者在察覺其交易平臺上的任何實際或潛在市場操縱或違規活動後，應在切實可行的範圍內盡快將有關事宜通知證監會，並按證監會可能提出的要求就該等活動向其提供額外協助，及實施適當的補救措施。

針對此類要求， Beosin提供上线資產鏈上/鏈下實時監控及預警服務，對於香港Web3生態上线的鏈上項目，還可以納入Beosin EagleEye安全風險監控、預警與阻斷平臺，提供24X7小時的實時風險預警，監控鏈上運行狀態、實時交易行為，自動識別異常交易，全面評估項目安全運行狀態。 能夠幫助項目方發現諸如閃電貸攻擊、套利交易、私鑰泄漏導致的資金被盜等風險交易。24x7區塊鏈項目安全監控：如地址監控、黑客攻擊、代幣惡意增發或閃電貸攻擊等等。

Beosin EagleEye安全風險監控、預警與阻斷平臺

四、關於虛擬資產交易平臺的安全防護要求與應對方案

平臺營運者應採取充足、最新及適當的保安監控措施，以保護平臺免被濫用。保安監控措施至少應包括：

平臺營運者在推出平臺或和對其作出改動前，應進行嚴格及獨立的網絡保安評估。網絡保安評估的範圍應至少涵蓋：

(a) 用戶應用程式的保安（即桌面／網絡／流動應用程式）；

(b) 錢包保安；

(c) 實地保安；

(d) 網絡及系統保安（包括穿透測試、保管系統及與其接合或連接的其他系統的源 代碼審查，以及漏洞掃描）。

平臺營運者應就網絡保安評估備存足夠的文件，包括測試範圍和方法以及評估結果。

針對以上要求，Beosin提供交易所安全服務方案，通過技術訪談與業務訪談，輸出業務、錢包、辦公網、线上業務等環境的安全風控建設方案，包含：

a) 錢包安全方案

包括冷熱錢包系統現狀、相關規範流程完整性及執行合理性，評估並分析其中潛在風險，給出相關改進方案及規範流程。

b) 業務安全方案

針對業務全鏈路安全進行分析評估，圍繞用戶側KYC及AML策略和流程、用戶側安全風控設計、交易安全及風控策略、錢包充提與上下遊業務耦合安全性、內部業務運營及操作安全性等關鍵環節，發現其中系統設計或業務流程設計的風險隱患，定制改進方案。

c)信息安全方案

圍繞區塊鏈常見攻防場景，圍繞終端管理、准入安全、身份鑑別、數據泄露、橫向移動、上线發布安全、线上入侵響應等能力進行評估，並根據現狀設計安全感知及防護策略建議，圍繞策略提供安全運營及響應方案，並協助撰寫配套規範、協助安全流程建設。

五、寫在最後

VASP 制度正式實施後，無論是以下哪種情況：（1）已經在香港運營的虛擬資產交易所；（2）向香港投資者積極推廣其服務的離岸運營的虛擬資產交易所；（3）擬在香港運營虛擬資產交易所；還是（4）傳統金融機構擬涉獵虛擬資產交易所，VASP 牌照申請人都應提前為業務合規性及相關牌照申請做好准備。

VASP制度通過持牌交易所“引水入渠”是港府正在做的事情，在這個背景下 KYC 以及反洗錢合規是重中之重。在第一步“引水入渠”之後，關於开放零售投資者的投資以及如何保護投資者的問題，我們將會在下半年看到一系列細則規定出臺。