区块链尽职调查

『壹』 数字货币社区必须利用区块链技术以自我监督

数字货币社区必须利用区块链技术以自我监督
对发生在区块链上的非法行动进行自我监督，可能很快就会成为数字货币社区的必要条件。
未来每一天，数字货币爱好者很可能都得花时间去识别违法交易去避免这些事情发生。美国的财政部门已经做了决定且不可更改。
几周以前，美国财政部门悄悄发布其在外国资产控制办公室（OFAC）的网站上对于FAQs部分补充部分，该机构负责监管美国经济制裁。OFAC中的语言，计划把‘数字货币’地址包括在其特殊指定国民和封锁人员（SDN）名单上。
这将成为一件重大的事情。
银行和各个类型的企业都应该检查SDN名单，以确保他们没有提供金融服务给个人、组织和因为涉及恐怖分子，核扩散，盗窃，人权侵犯以及其他罪行而美国指定为‘封锁’的政府。
银行可以合法冻结属于OFAC名单上的他们所持有的财产，以及停止他们的交易。如果不这样实行的话，经济处罚可能更严重。尽管大多日常数字货币的投资者对于受到法律限制制裁的世界只了解一点点，但是任何形式的金融商业的经营者们都知道的，如果你不服从法律管理，你瞬间就可能会失去商业和财产。
以前从来没有过一个特定的数字货币地址或者财产会被列入OFAC的行列，尽管法律专家这么多年来一直都明白，发送比特币或者其他的数字货币给任何SDN名单上的任何人对美国人来说都会非法行为。
不过，在金融世界中的封闭资金，和可存在于数字货币领域的是有很大区别的。对等数字货币交易不能被第三方封锁和监管。
所以一个OFAC指定的数字货币资金更可能会带来它的外部地址的审查，而并非是指定资金本身。
一些数字货币产业的专家认为，数字货币资金的指定会迎来一个新的时代；这取决于他们与SDN地址的关联程度，一个令牌被归类为干净的，被污染的或者是未知的时代。
这可能引起同一个区块链上，硬币的价格水平不同高低，干净的令牌会比那些被污染过的或者说不明来源的令牌价格要高，以及终结自从数字货币存在以来就有的可替代性。
第一是可以期待区块链取证工具价值将越来越高，以及越来广泛的开展，因为数字货币交易旨在减少用户交易污染货币的风险。
这取决于你
然而，一个新的时代最重要的一部分是由金融机构审查数字货币交易地址，这将是数字货币社区自己必须要做的事情：例行阻止区块链上的非法交易。
这是数字货币社区不想听到的事情。
数字货币专家经常指出‘审查制度的阻力’作为技术的最具有价值的特征，它可以让任何人在没有任何政府权利限制的情况下去存储并发送资金。从理论上来讲，这对于自由和民主都是非常强有力的推动。
在实践当中，这种技术能力在大多数与金融犯罪相关的管辖范围内的法律中都是不可能延展的。虽然逃避腐败政府的行为是一个很值得的目标，数字货币社区应该意识到，保持被动在道德上不被接受的，然而犯罪分子和恐怖分子利用社区自由的证据越来越多。
近年来，反洗钱（AML）合规专家专注于区块链行业的行为，鼓励数字货币企业去超越传统金融机构所需要的‘了解你的客户’（KYC）尽职调查，以及通过改变区块链上的数据来进行‘了解你的交易’（KYT）分析。
有很多初创企业专门从事这种区块链取证工作，与其他执法机构和大型银行的企业客户一起，进行数字货币交易。这些公司的分析工具用来对抗犯罪是十分有效的，但是很多区块链社区的声音对这种工具进行批评--------说它会匿名化区块链上的金融交易----去破坏隐私。然而，来自区块链取证上大部分的信息都不是公开与大众的。通常，需要一个公司或者政府客户来访问这种数据。
但是，OFAC列出数字货币地址就会增加KYT分析的风险。
这将对每一个涉及数字货币交易的人来说都十分重要，这可以让他们验证他们所触及的地址的‘合法性’。
虽然很可能指定地址的数量将会从最小开始（OFAC不会轻易指定地址），甚至是违反制裁的机会很小的会带来顺从风险降低，影响到百姓群体的令牌买家。
一个与被禁止的地址或者该地址已经被一个禁止的地址进行交易的不经意的交易，将会在公共区块链账本上可见，可能也会玷污到这个人的数字货币资金。
能够帮助数字货币的日常用户走出受到SDN影响的区块链平台的唯一办法就是拥有实时AML/KYT去洞察各种资金地址的资金流动。可以当前的处境来看，区块链分析只是在筒仓当中，只是提供给金融公司和法律部门使用，所以这个办法是根本不可能去实现的。
集中式的AML
我们需要一个开放资源的平台，在这个平台，非法活动被标记，诋毁信息被审查。我们把它叫做区块链上的集中式AML。
我理解这个需求。作为一个非营利国家安全智囊团中的研究人员，我调查了数字货币和非法融资的事件，例如中东的比特币恐怖分子资金活动。我们的团队使用了免费公开的区块链探索网站，来分析这些活动的捐赠。
这些工具不像政府跟银行这种机制，可以使用昂贵的专门机器学习和算法工具那么的厉害。即使我通过严密的手动追踪和区块链活动的分析，我所看到的标志地址与恐怖分子资金交易，并没有一个有效的方法去分享我在平台上的发现，所以日常的数字货币使用者们可以看见我的‘标志’，尽可能的去评估他们的准确性并保持他们的地址不受到污染。
该行业可以帮助解决问题
两年前，我建议数字货币专家应该建立他们自己的看门口小组，来寻找区块链上的恶略活动，就类似于‘白帽子’黑客是如何标志病毒和其他网络威胁的一样。财政部门的计划使现在对于数字货币社区最重要的来说，就是建立自我监督的倡导。
除了集合OFAC的黑名单以外，一个公开的众包区块链AML工具可以解决直接影响到数字货币用户们的非法金融威胁：数字货币抢劫。这会让勒索或者交易黑客的受害者们去自愿列出他们敲诈或者被偷的令牌。
虽然这并不会将资金转回到他们合法持有者的手中，但它会让转移或者偷盗硬币的这种行为更为困难，并会长期影响数字货币偷盗行为。
当然，对于一个可以自我监督的AML平台来说，必须要有一个方法来审查列表，这样的话，不精准的和一些非法的信息就不会被发不出去。否则，这样的工具会被滥用于错误篡改地址，然后在经济上迫害无辜的人们。但是在区块链平台上实行AML是一个更具有技术性的解决问题的方法，而不是找理由拒绝去寻求一个更好的方法。
第一个区块链的协议，比特币的突破，是在设计分散性方法来激励陌生人们去完成和肯定全球公共金融记录的真实性。
当然，数字货币令牌在所有的注意力，时间，以及金钱的投资到一个新的产品和服务的基础上，那些开发这个技术的人，应该能够设计出方法来鼓励保持区块链的干净，不受玷污。

『贰』 用于身份管理的区块链：需要考虑的影响

随着我们的生活越来越多地在网上度过，物理世界变得越来越数字化，身份的概念正在发生巨大变化。验证我们是谁以及我们如何在线代表对个人和组织来说都至关重要。

人们希望对自己的身份拥有权力，并控制如何以及与谁共享他们的信息。毛球 科技 认为，组织正在面临更高的安全威胁，同时需要在数字经济中竞争、优化工作流程以及改善客户和员工体验。围绕身份的不断重组和不确定性只会减缓战略创新。

身份和访问管理( IAM )已成为管理和验证数字身份的核心构建块。但是，组织在IAM流程的设计和安全性方面面临挑战，促使他们考虑新技术。

区块链不同于现有的IAM架构，因为区块链本质上是分散的。DLT支持共享记录保存，交易、身份验证和交互通过网络而不是单个中央机构进行记录和验证。

随着网络犯罪、威胁、欺诈和资产泄露事件的激增，组织在保护敏感数据、保护IT和运营基础设施(OT)以及保护人们的身份方面发挥着至关重要的作用。许多企业IAM领导者和IT专业人士都在质疑DLT和共识技术的相关优势和风险，毛球 科技 整理如下：

在IAM流程中使用DLT的问题涉及技术、法律、商业和文化影响。这些影响应该是支持IAM 的任何架构投资的决策过程的基础。

在评估DLT可以在何处以及如何改进组织的IAM基础设施和最终用户体验时，需要考虑下面14个因素。

公司习惯于中央和专有数据存储的基础设施，这为盗窃、破坏、黑客、欺诈和丢失创建了一个蜜罐。这种模式加剧了身份凭证持有者与寻求使用它们的人（包括最终用户）之间的权力失衡。分布式身份验证和治理有望提高效率以及个人和机构的利益，但与中心化的现状背道而驰。

获得许可的区块链架构是一个需要关键考虑的因素，因为很少有企业用例可以完全公开。相反，用例需要保密性和权限才能读写已知参与者的托管区块链。这种区别对安全性、计算和可扩展性还有其他一些影响。

访问级别、特权和限制会发生变化，可识别的属性也是如此。DLT必须能够在各种连接和物联网环境中以最小的延迟准确处理验证的频率和复杂性。

用于验证和分布式访问的共识算法会影响以可扩展和可持续的方式交付服务级别协议所需的速度和计算能力。这些限制推动了IAM区块链的研发，并且是实施范围不可或缺的一部分。

数字身份功能需要可移植。区块链设计可以确保个人信息、可验证性和适当的控制在用户从一个组织过渡到另一个组织时跟随他们。可以调整这些设计以及时促进此过程。

积累大量个人身份信息(PII)的组织面临着新的和不断变化的风险、法规、以隐私为重点的竞争以及消费者日益增长的不信任。DLT支持的用例——例如自我主权身份和数据最小化——通过诸如零知识证明之类的技术提供了更强大的隐私保护。信息和共享控制可以保留在最终用户手中，而不是在数百个组织中复制和存储PII。

存在许多身份和认证标准，包括角色、属性、密钥和权利。这些必须符合通常不存在的区块链技术和跨链互操作性标准。

从集中式范式到分布式范式的转变需要数据、API、系统和治理机制的互连和协调。这不仅发生在IT和OT资产和环境日益多样化的大型组织中，而且发生在其他组织和生态系统合作伙伴中。

法规围绕个人数据，从国际、联邦和州数据保护法的拼凑到生物识别等特定领域。这些都与IAM和区块链架构决策相关。例如，GDPR的被遗忘权使公民能够删除他们的个人信息——这一概念与将PII注册到数据库的不变性不一致。

不变性——无法删除分类账上的记录——有利于安全，但它会影响PII的隐私。确定哪些信息保留在链上与链下对于此列表中的其他标准很重要。链上不变性必须平衡各方的要求和保障措施。

确保个人在任何特定时间拥有用于任何任务的正确加密密钥需要能够更新、撤销和更新访问权限。这是一个独特的IAM要求，DLT必须通过设计加以考虑。

IAM UX是分布式或集中式的，是数字身份、个人身份识别和个人数据控制机制的接口。虽然成功的IAM架构掩盖了最终用户的复杂性，但IAM UX的设计者不能忽视界面对于教育、同意、易用性和可访问性的重要性。

随着数据集的生成和使用规模越来越大——例如，生物识别、 情感 和基因组学——IAM领导者必须考虑当前和长期的风险和合规问题。他们应该专注于数据最小化和隐私工程技术。

新功能、设计和最佳实践正在不断改变IAM格局——更不用说区块链、密码学、人工智能、网络安全、云计算、量子计算和数字钱包等关键概念的突破性发展。这些都必须在设计时和实施后加以考虑。

与任何新兴技术一样，组织应该首先定义问题。然而，IAM-DLT决策不仅仅是另一项IT尽职调查工作。由于监视资本主义、权力动态、地缘政治威胁、可持续商业模式和人权问题是数字身份模型的基础，因此IAM-DLT机会会对个人、机构和经济产生影响。