區塊鏈盡職調查

『壹』 數字貨幣社區必須利用區塊鏈技術以自我監督

數字貨幣社區必須利用區塊鏈技術以自我監督
對發生在區塊鏈上的非法行動進行自我監督，可能很快就會成為數字貨幣社區的必要條件。
未來每一天，數字貨幣愛好者很可能都得花時間去識別違法交易去避免這些事情發生。美國的財政部門已經做了決定且不可更改。
幾周以前，美國財政部門悄悄發布其在外國資產控制辦公室（OFAC）的網站上對於FAQs部分補充部分，該機構負責監管美國經濟制裁。OFAC中的語言，計劃把『數字貨幣』地址包括在其特殊指定國民和封鎖人員（SDN）名單上。
這將成為一件重大的事情。
銀行和各個類型的企業都應該檢查SDN名單，以確保他們沒有提供金融服務給個人、組織和因為涉及恐怖分子，核擴散，盜竊，人權侵犯以及其他罪行而美國指定為『封鎖』的政府。
銀行可以合法凍結屬於OFAC名單上的他們所持有的財產，以及停止他們的交易。如果不這樣實行的話，經濟處罰可能更嚴重。盡管大多日常數字貨幣的投資者對於受到法律限制制裁的世界只了解一點點，但是任何形式的金融商業的經營者們都知道的，如果你不服從法律管理，你瞬間就可能會失去商業和財產。
以前從來沒有過一個特定的數字貨幣地址或者財產會被列入OFAC的行列，盡管法律專家這么多年來一直都明白，發送比特幣或者其他的數字貨幣給任何SDN名單上的任何人對美國人來說都會非法行為。
不過，在金融世界中的封閉資金，和可存在於數字貨幣領域的是有很大區別的。對等數字貨幣交易不能被第三方封鎖和監管。
所以一個OFAC指定的數字貨幣資金更可能會帶來它的外部地址的審查，而並非是指定資金本身。
一些數字貨幣產業的專家認為，數字貨幣資金的指定會迎來一個新的時代；這取決於他們與SDN地址的關聯程度，一個令牌被歸類為干凈的，被污染的或者是未知的時代。
這可能引起同一個區塊鏈上，硬幣的價格水平不同高低，干凈的令牌會比那些被污染過的或者說不明來源的令牌價格要高，以及終結自從數字貨幣存在以來就有的可替代性。
第一是可以期待區塊鏈取證工具價值將越來越高，以及越來廣泛的開展，因為數字貨幣交易旨在減少用戶交易污染貨幣的風險。
這取決於你
然而，一個新的時代最重要的一部分是由金融機構審查數字貨幣交易地址，這將是數字貨幣社區自己必須要做的事情：例行阻止區塊鏈上的非法交易。
這是數字貨幣社區不想聽到的事情。
數字貨幣專家經常指出『審查制度的阻力』作為技術的最具有價值的特徵，它可以讓任何人在沒有任何政府權利限制的情況下去存儲並發送資金。從理論上來講，這對於自由和民主都是非常強有力的推動。
在實踐當中，這種技術能力在大多數與金融犯罪相關的管轄范圍內的法律中都是不可能延展的。雖然逃避腐敗政府的行為是一個很值得的目標，數字貨幣社區應該意識到，保持被動在道德上不被接受的，然而犯罪分子和恐怖分子利用社區自由的證據越來越多。
近年來，反洗錢（AML）合規專家專注於區塊鏈行業的行為，鼓勵數字貨幣企業去超越傳統金融機構所需要的『了解你的客戶』（KYC）盡職調查，以及通過改變區塊鏈上的數據來進行『了解你的交易』（KYT）分析。
有很多初創企業專門從事這種區塊鏈取證工作，與其他執法機構和大型銀行的企業客戶一起，進行數字貨幣交易。這些公司的分析工具用來對抗犯罪是十分有效的，但是很多區塊鏈社區的聲音對這種工具進行批評--------說它會匿名化區塊鏈上的金融交易----去破壞隱私。然而，來自區塊鏈取證上大部分的信息都不是公開與大眾的。通常，需要一個公司或者政府客戶來訪問這種數據。
但是，OFAC列出數字貨幣地址就會增加KYT分析的風險。
這將對每一個涉及數字貨幣交易的人來說都十分重要，這可以讓他們驗證他們所觸及的地址的『合法性』。
雖然很可能指定地址的數量將會從最小開始（OFAC不會輕易指定地址），甚至是違反制裁的機會很小的會帶來順從風險降低，影響到百姓群體的令牌買家。
一個與被禁止的地址或者該地址已經被一個禁止的地址進行交易的不經意的交易，將會在公共區塊鏈賬本上可見，可能也會玷污到這個人的數字貨幣資金。
能夠幫助數字貨幣的日常用戶走出受到SDN影響的區塊鏈平台的唯一辦法就是擁有實時AML/KYT去洞察各種資金地址的資金流動。可以當前的處境來看，區塊鏈分析只是在筒倉當中，只是提供給金融公司和法律部門使用，所以這個辦法是根本不可能去實現的。
集中式的AML
我們需要一個開放資源的平台，在這個平台，非法活動被標記，詆毀信息被審查。我們把它叫做區塊鏈上的集中式AML。
我理解這個需求。作為一個非營利國家安全智囊團中的研究人員，我調查了數字貨幣和非法融資的事件，例如中東的比特幣恐怖分子資金活動。我們的團隊使用了免費公開的區塊鏈探索網站，來分析這些活動的捐贈。
這些工具不像政府跟銀行這種機制，可以使用昂貴的專門機器學習和演算法工具那麼的厲害。即使我通過嚴密的手動追蹤和區塊鏈活動的分析，我所看到的標志地址與恐怖分子資金交易，並沒有一個有效的方法去分享我在平台上的發現，所以日常的數字貨幣使用者們可以看見我的『標志』，盡可能的去評估他們的准確性並保持他們的地址不受到污染。
該行業可以幫助解決問題
兩年前，我建議數字貨幣專家應該建立他們自己的看門口小組，來尋找區塊鏈上的惡略活動，就類似於『白帽子』黑客是如何標志病毒和其他網路威脅的一樣。財政部門的計劃使現在對於數字貨幣社區最重要的來說，就是建立自我監督的倡導。
除了集合OFAC的黑名單以外，一個公開的眾包區塊鏈AML工具可以解決直接影響到數字貨幣用戶們的非法金融威脅：數字貨幣搶劫。這會讓勒索或者交易黑客的受害者們去自願列出他們敲詐或者被偷的令牌。
雖然這並不會將資金轉回到他們合法持有者的手中，但它會讓轉移或者偷盜硬幣的這種行為更為困難，並會長期影響數字貨幣偷盜行為。
當然，對於一個可以自我監督的AML平台來說，必須要有一個方法來審查列表，這樣的話，不精準的和一些非法的信息就不會被發不出去。否則，這樣的工具會被濫用於錯誤篡改地址，然後在經濟上迫害無辜的人們。但是在區塊鏈平台上實行AML是一個更具有技術性的解決問題的方法，而不是找理由拒絕去尋求一個更好的方法。
第一個區塊鏈的協議，比特幣的突破，是在設計分散性方法來激勵陌生人們去完成和肯定全球公共金融記錄的真實性。
當然，數字貨幣令牌在所有的注意力，時間，以及金錢的投資到一個新的產品和服務的基礎上，那些開發這個技術的人，應該能夠設計出方法來鼓勵保持區塊鏈的干凈，不受玷污。

『貳』 用於身份管理的區塊鏈：需要考慮的影響

隨著我們的生活越來越多地在網上度過，物理世界變得越來越數字化，身份的概念正在發生巨大變化。驗證我們是誰以及我們如何在線代表對個人和組織來說都至關重要。

人們希望對自己的身份擁有權力，並控制如何以及與誰共享他們的信息。毛球 科技 認為，組織正在面臨更高的安全威脅，同時需要在數字經濟中競爭、優化工作流程以及改善客戶和員工體驗。圍繞身份的不斷重組和不確定性只會減緩戰略創新。

身份和訪問管理( IAM )已成為管理和驗證數字身份的核心構建塊。但是，組織在IAM流程的設計和安全性方面面臨挑戰，促使他們考慮新技術。

區塊鏈不同於現有的IAM架構，因為區塊鏈本質上是分散的。DLT支持共享記錄保存，交易、身份驗證和交互通過網路而不是單個中央機構進行記錄和驗證。

隨著網路犯罪、威脅、欺詐和資產泄露事件的激增，組織在保護敏感數據、保護IT和運營基礎設施(OT)以及保護人們的身份方面發揮著至關重要的作用。許多企業IAM領導者和IT專業人士都在質疑DLT和共識技術的相關優勢和風險，毛球 科技 整理如下：

在IAM流程中使用DLT的問題涉及技術、法律、商業和文化影響。這些影響應該是支持IAM 的任何架構投資的決策過程的基礎。

在評估DLT可以在何處以及如何改進組織的IAM基礎設施和最終用戶體驗時，需要考慮下面14個因素。

公司習慣於中央和專有數據存儲的基礎設施，這為盜竊、破壞、黑客、欺詐和丟失創建了一個蜜罐。這種模式加劇了身份憑證持有者與尋求使用它們的人（包括最終用戶）之間的權力失衡。分布式身份驗證和治理有望提高效率以及個人和機構的利益，但與中心化的現狀背道而馳。

獲得許可的區塊鏈架構是一個需要關鍵考慮的因素，因為很少有企業用例可以完全公開。相反，用例需要保密性和許可權才能讀寫已知參與者的託管區塊鏈。這種區別對安全性、計算和可擴展性還有其他一些影響。

訪問級別、特權和限制會發生變化，可識別的屬性也是如此。DLT必須能夠在各種連接和物聯網環境中以最小的延遲准確處理驗證的頻率和復雜性。

用於驗證和分布式訪問的共識演算法會影響以可擴展和可持續的方式交付服務級別協議所需的速度和計算能力。這些限制推動了IAM區塊鏈的研發，並且是實施范圍不可或缺的一部分。

數字身份功能需要可移植。區塊鏈設計可以確保個人信息、可驗證性和適當的控制在用戶從一個組織過渡到另一個組織時跟隨他們。可以調整這些設計以及時促進此過程。

積累大量個人身份信息(PII)的組織面臨著新的和不斷變化的風險、法規、以隱私為重點的競爭以及消費者日益增長的不信任。DLT支持的用例——例如自我主權身份和數據最小化——通過諸如零知識證明之類的技術提供了更強大的隱私保護。信息和共享控制可以保留在最終用戶手中，而不是在數百個組織中復制和存儲PII。

存在許多身份和認證標准，包括角色、屬性、密鑰和權利。這些必須符合通常不存在的區塊鏈技術和跨鏈互操作性標准。

從集中式範式到分布式範式的轉變需要數據、API、系統和治理機制的互連和協調。這不僅發生在IT和OT資產和環境日益多樣化的大型組織中，而且發生在其他組織和生態系統合作夥伴中。

法規圍繞個人數據，從國際、聯邦和州數據保護法的拼湊到生物識別等特定領域。這些都與IAM和區塊鏈架構決策相關。例如，GDPR的被遺忘權使公民能夠刪除他們的個人信息——這一概念與將PII注冊到資料庫的不變性不一致。

不變性——無法刪除分類賬上的記錄——有利於安全，但它會影響PII的隱私。確定哪些信息保留在鏈上與鏈下對於此列表中的其他標准很重要。鏈上不變性必須平衡各方的要求和保障措施。

確保個人在任何特定時間擁有用於任何任務的正確加密密鑰需要能夠更新、撤銷和更新訪問許可權。這是一個獨特的IAM要求，DLT必須通過設計加以考慮。

IAM UX是分布式或集中式的，是數字身份、個人身份識別和個人數據控制機制的介面。雖然成功的IAM架構掩蓋了最終用戶的復雜性，但IAM UX的設計者不能忽視界面對於教育、同意、易用性和可訪問性的重要性。

隨著數據集的生成和使用規模越來越大——例如，生物識別、 情感 和基因組學——IAM領導者必須考慮當前和長期的風險和合規問題。他們應該專注於數據最小化和隱私工程技術。

新功能、設計和最佳實踐正在不斷改變IAM格局——更不用說區塊鏈、密碼學、人工智慧、網路安全、雲計算、量子計算和數字錢包等關鍵概念的突破性發展。這些都必須在設計時和實施後加以考慮。

與任何新興技術一樣，組織應該首先定義問題。然而，IAM-DLT決策不僅僅是另一項IT盡職調查工作。由於監視資本主義、權力動態、地緣政治威脅、可持續商業模式和人權問題是數字身份模型的基礎，因此IAM-DLT機會會對個人、機構和經濟產生影響。