Het nieuwe jaar begon met het nieuws dat de opmerkelijke Web3-ondernemer Kevin Rose slachtoffer geworden van een phishing-scam waarin hij meer dan $ 1 miljoen aan nonfungible tokens (NFT's) verloor.
Naarmate reguliere financiële instellingen diensten beginnen aan te bieden met betrekking tot Web3, crypto en NFT's, zouden ze bewaarders zijn van de activa van klanten. Ze moeten hun klanten beschermen tegen slechte actoren en vaststellen of activa van klanten zijn verkregen door middel van illegale activiteiten.
De crypto-industrie heeft het de Anti-Money Laundering (AML) functies binnen organisaties niet gemakkelijk gemaakt. De sector heeft innovatieve constructies ontwikkeld, zoals ketenoverschrijdende bruggen, mixers en privacyketens, die hackers en cryptodieven kunnen gebruiken om gestolen activa te verdoezelen. Zeer weinig technische tools of frameworks kunnen helpen bij het navigeren door dit konijnenhol.
Regelgevers zijn onlangs hard opgetreden tegen sommige cryptoplatforms en hebben druk uitgeoefend op gecentraliseerde uitwisselingen om privacytokens te verwijderen. In augustus 2022 Nederlandse politie gearresteerde Tornado Cash-ontwikkelaar Alexey Pertsev, en sindsdien hebben ze gewerkt aan het controleren van transacties via mixers.
Hoewel gecentraliseerd bestuur wordt beschouwd als in tegenspraak met het Web3-ethos, moet de slinger misschien in de andere richting slingeren voordat een evenwichtig middengebied wordt bereikt dat gebruikers beschermt en innovatie niet inperkt.
En hoewel grote instellingen en banken moeten worstelen met de technologische complexiteit van Web3 om hun klanten diensten op het gebied van digitale activa te bieden, kunnen ze hun klanten alleen passende bescherming bieden als ze een robuust AML-raamwerk hebben.
AML-frameworks hebben verschillende mogelijkheden nodig die banken moeten evalueren en bouwen. Deze mogelijkheden kunnen intern worden gebouwd of worden bereikt door samen te werken met oplossingen van derden.
Een paar leveranciers in deze ruimte zijn Solidus Labs, Moralis, Cipher Blade, Elliptic, Quantumstamp, TRM Labs, Crystal Chain en Chainalysis. Deze bedrijven zijn gericht op het leveren van holistische (full-stack) AML-raamwerken aan banken en financiële instellingen.
Om ervoor te zorgen dat deze leveranciersplatforms een holistische benadering van AML rond digitale activa bieden, moeten ze verschillende inputs hebben. De verkoper levert er een aantal, terwijl andere afkomstig zijn van de bank of instelling waarmee ze werken.
Gegevensbronnen en invoer
Instellingen hebben heel veel gegevens uit verschillende bronnen nodig om AML-risico's effectief te identificeren. De breedte en diepte van de gegevens waartoe een instelling toegang heeft, bepaalt de effectiviteit van haar AML-functie. Enkele van de belangrijkste inputs die nodig zijn voor AML en fraudedetectie staan hieronder.
Het AML-beleid is vaak een brede definitie van waar een bedrijf op moet letten. Dit wordt over het algemeen uitgesplitst in regels en drempels die helpen bij de uitvoering van het beleid.
Een AML-beleid zou kunnen stellen dat alle digitale activa die zijn gekoppeld aan een gesanctioneerde natiestaat als Noord-Korea, moeten worden gemarkeerd en geadresseerd.
Het beleid zou ook kunnen bepalen dat transacties worden gemarkeerd als meer dan 10% van de transactiewaarde kan worden herleid tot een portefeuilleadres dat de opbrengst bevat van een bekende diefstal van activa.
Als bijvoorbeeld 1 Bitcoin (BTC) wordt in bewaring gegeven bij een eerstelijnsbank, en als de bron van 0.2 BTC in een portemonnee zit die de opbrengst van de Mt. Gox-hack bevat, zelfs als er pogingen zijn gedaan om de bron te verbergen door deze 10 of meer hops te doorlopen voordat het de bank bereikt, zou dat een AML-rode vlag opwerpen om de bank te waarschuwen voor dit potentiële risico.
Recent: Death in the metaverse: Web3 wil nieuwe antwoorden bieden op oude vragen
AML-platforms gebruiken verschillende methoden om portefeuilles te labelen en de bron van transacties te identificeren. Deze omvatten het raadplegen van inlichtingen van derden, zoals overheidslijsten (sancties en andere slechte actoren); webscraping crypto-adressen, het darknet, websites voor terrorismefinanciering of Facebook-pagina's; gebruikmakend van gemeenschappelijke uitgavenheuristieken die crypto-adressen kunnen identificeren die door dezelfde persoon worden beheerd; en machine learning-technieken zoals clustering die cryptocurrency-adressen kunnen identificeren die door dezelfde persoon of groep worden beheerd.
Gegevens die via deze technieken worden verzameld, vormen de bouwsteen voor de fundamentele mogelijkheden die AML-functies binnen banken en financiële dienstverleners moeten creëren om met digitale activa om te gaan.
Portefeuillebewaking en -screening
Banken zullen proactieve monitoring en screening van klantportemonnees moeten uitvoeren, waarbij ze kunnen beoordelen of een portemonnee direct of indirect interactie heeft gehad met illegale actoren zoals hackers, sancties, terroristische netwerken, mixers enzovoort.
Zodra labels aan portemonnees zijn getagd, worden AML-regels toegepast om ervoor te zorgen dat de portemonnee-screening binnen de risicolimieten valt.
Blockchain-onderzoek
Blockchain-onderzoek is van cruciaal belang om ervoor te zorgen dat transacties op het netwerk geen illegale activiteiten inhouden.
Er wordt een onderzoek uitgevoerd naar blockchain-transacties van de uiteindelijke bron tot de uiteindelijke bestemming. Leveranciersplatforms bieden functionaliteiten zoals filteren op transactiewaarde, aantal hops of zelfs de mogelijkheid om on-off ramp-transacties automatisch te identificeren als onderdeel van een onderzoek.
Platforms bieden een picturale hopgrafiek die elke hop weergeeft die een digitaal activum door het netwerk heeft afgelegd om van de eerste naar de meest recente portemonnee te gaan. Platforms zoals Elliptic kunnen transacties identificeren die zelfs afkomstig zijn van het dark web.
Monitoring van meerdere activa
Het monitoren van risico's waarbij meerdere tokens worden gebruikt om geld op dezelfde blockchain wit te wassen, is een andere kritieke mogelijkheid die AML-platforms moeten hebben. De meeste laag 1-protocollen hebben verschillende toepassingen die hun eigen tokens hebben. Illegale transacties kunnen plaatsvinden met elk van deze tokens, en monitoring moet breder zijn dan slechts één basistoken.
Ketenoverstijgende monitoring
Cross-chain transactiemonitoring achtervolgt data-analisten en AML-experts al een tijdje. Afgezien van mixers en darkweb-transacties, zijn cross-chain-transacties misschien wel het moeilijkste probleem om op te lossen. In tegenstelling tot mixers en darkweb-transacties, zijn cross-chain activaoverdrachten gemeengoed en een echte use-case die interoperabiliteit stimuleert.
Portemonnees die activa bevatten die door mixers en het dark web zijn gesprongen, kunnen ook worden gelabeld en met een rode vlag worden gemarkeerd, omdat deze vanuit een AML-perspectief meteen als amberkleurige vlaggen worden beschouwd. Het zou niet mogelijk zijn om alleen een ketenoverschrijdende transactie te markeren, aangezien dit essentieel is voor interoperabiliteit.
AML-initiatieven rond cross-chain-transacties waren in het verleden een uitdaging, omdat cross-chain-bruggen ondoorzichtig kunnen zijn in de manier waarop ze activa van de ene blockchain naar de andere verplaatsen. Als gevolg hiervan heeft Elliptic een meerlagige aanpak bedacht om dit probleem op te lossen.
Het eenvoudigste scenario is wanneer de brug voor elke transactie end-to-end transparantie over ketens biedt, en het AML-platform dat van de ketens kan oppikken. Waar een dergelijke traceerbaarheid niet mogelijk is vanwege de aard van de brug, gebruiken AML-algoritmen tijdwaarde-matching, waarbij activa die een keten hebben verlaten en bij een andere zijn aangekomen, worden gematcht op basis van het tijdstip van overdracht en de waarde van de overdracht.
Het meest uitdagende scenario is wanneer geen van deze technieken kan worden gebruikt. Activaoverdrachten naar het Bitcoin Lightning Network van Ethereum kunnen bijvoorbeeld ondoorzichtig zijn. In dergelijke gevallen kunnen cross-bridge-transacties worden behandeld zoals die in mixers en het dark web, en zullen ze over het algemeen door het algoritme worden gemarkeerd vanwege het gebrek aan transparantie.
Slimme contractscreening
Slimme contractscreening is een ander cruciaal gebied om gebruikers van gedecentraliseerde financiering (DeFi) te beschermen. Hier worden slimme contracten gecontroleerd om er zeker van te zijn dat er geen ongeoorloofde activiteiten zijn met de slimme contracten waarvan instellingen op de hoogte moeten zijn.
Dit is misschien wel het meest relevant voor hedgefondsen die willen deelnemen aan liquiditeitspools in een DeFi-oplossing. Voor banken is het op dit moment minder belangrijk, aangezien zij over het algemeen niet rechtstreeks deelnemen aan DeFi-activiteiten. Naarmate banken echter betrokken raken bij institutionele DeFi, zou slimme screening op contractniveau uiterst kritisch worden.
VASP-due diligence
Uitwisselingen worden geclassificeerd als Virtual Assets Service Providers (VASP's). Due diligence zal kijken naar de totale blootstelling van de beurs op basis van alle adressen die aan de beurs zijn gekoppeld.
Sommige AML-leveranciersplatforms bieden een risicoweergave op basis van het land van oprichting, de vereisten van Know Your Customer en, in sommige gevallen, de stand van financiële misdaadprogramma's. In tegenstelling tot eerdere mogelijkheden, omvatten VASP-controles zowel on-chain als off-chain data.
Recent: Het cryptohandelsvoorstel van Tel Aviv Stock Exchange een 'closed-loop system'
AML en on-chain analytics is een snel evoluerende ruimte. Verschillende platforms werken aan het oplossen van enkele van de meest complexe technologische problemen die instellingen zouden helpen de activa van hun klanten te beschermen. Dit is echter een werk in uitvoering en er moet nog veel worden gedaan om robuuste AML-controles voor digitale activa te hebben.
Bron: https://cointelegraph.com/news/banks-with-crypto-services-require-new-anti-money-laundering-capabilities