Atskleidimas: čia išreikštos pažiūros ir nuomonės priklauso tik autoriui ir neatspindi crypto.news redakcijos požiūrių ir nuomonių.
Projektas gali išleisti 500 000 USD teisinėms nuomonėms, turėti visiškai suderintą komandą ir išlaikyti kiekvieną AML patikrinimą Singapūre. Jis vis tiek gali nutekėti iki nulio per dvylika sekundžių dėl matematikos klaidos 40 išmaniosios sutarties eilutėje. Tokia yra šiuolaikinio kriptovaliutų reguliavimo ir atitikties realybė.
Santrauka
- Teisės aktų laikymasis apsaugo nuo blogų veikėjų, bet neapsaugo nuo tikrųjų kriptovaliutų praradimo priežasčių – veiklos gedimų, tiekimo grandinės atakų ir techninio nekompetentingumo, dėl kurio projektas gali nusekti per kelias sekundes.
- Pramonė laikosi reikalavimų laikymosi kaip saugos antspaudu, nors nepaiso didžiausių rizikos paviršių (raktų valdymo, tiekėjo saugumo, vykdymo gedimų), kurie yra atsakingi už daugumą didelių nuostolių.
- Kriptografijai reikalingas savireguliavimas, pagrįstas išmatuojamais, į ateitį nukreiptais rizikos rodikliais, pvz., praradimo tikimybe, kad investuotojai, institucijos ir reguliavimo institucijos galėtų įvertinti tikrąją projekto nesėkmės tikimybę, o ne pasikliauti licencijomis, auditais ar rinkodaros signalais.
Įvairios jurisdikcijos sukūrė įvairių tipų Maginot linijas. Jie apsaugo nuo tiesioginių pavojų: pinigų plovimo, manipuliavimo rinka ir piktnaudžiavimo klientų lėšomis. Tačiau svarbiausias veiksnys yra tai, kad reguliavimo padėtis yra gana suskaidyta įvairiose jurisdikcijose, o ne kiekviena reguliavimo institucija siūlo standartus, kuriuos galima įgyvendinti praktiškai.
Nors jų ketinimai geri – pirmenybę teikia galutinio vartotojo teisinei apsaugai, – šiuo metu jų dėmesys nėra skirtas išmatuojamam rinkos dalyvių veiklos gerinimui. Pavyzdžiui, ES skaitmeninio operatyvinio atsparumo įstatymas arba DORA įpareigoja finansinius subjektus tikrinti trečiųjų šalių paslaugų teikėjus ir griežtai stebėti jų saugumą; tai yra valdymo kontrolė, o ne vykdymo blokai. Tiekimo grandinės ataka, pvz., pažeista API arba kenkėjiško kodo įpurškimas į tiekėjo programinės įrangos naujinį, gali įvykdyti pagal scenarijų numatytą lėšų ar duomenų nutekėjimą per kelias sekundes (dažnai automatizuojama mašinos greičiu), daug greičiau, nei gali aptikti bet koks atitikties auditas arba kas ketvirtį atliekama peržiūra.
Pagal šį scenarijų DORA suderinamumas tiesiog reiškia, kad subjektas turi iš anksto patvirtintą reagavimo į incidentus planą, kuriuo siekiama sustabdyti veiklą, pranešti reguliavimo institucijoms ir suaktyvinti draudimą, kai jau įvyksta 15 sekundžių nutekėjimas. Tuo tarpu realios grėsmės – veiklos gedimas, techninis nekompetencija ir esminiai ekonominiai trūkumai – lieka neapsaugoti.
Atitiktis suteikia kriptovaliutų tradicines rinkos taisykles, tačiau tai nepadaro suderinamo projekto nepažeidžiamu.
Atitikties rinkodara
Šiuo metu mes įstrigome laikytis reikalavimų, naudojamų kaip rinkodaros priemonė. Pramonė KYC ženklelį traktuoja kaip saugos sertifikatą. Tai ne. Žinant generalinio direktoriaus vardą nesvarbu, jei jų protokole nėra stabdžių.
Reguliatoriai pažymi langelius:
- Rizikos mažinimo planas? Patikrinkite.
- Nurodyta priklausomybės rizika? Patikrinkite.
- Privataus rakto atskleidimas dėl socialinės inžinerijos atakos? Kelyje.
Laukelių tikrinimo metodas yra neteisingas. Atitiktis sukurta siekiant sugauti nusikaltėlius ir įtraukti projektus į reguliavimo perimetrą, o ne užkirsti kelią gedimams. O kriptovaliutų srityje nekompetencija sunaikina daugiau kapitalo, nei kada nors galėjo piktavališkumas.
Kur iš tikrųjų dingsta pinigai
Pažiūrėkite, kur atsiranda tikrieji nuostoliai. 2024 metais susikūrę, reikalavimus atitinkantys verslai, centralizuotos biržos, infrastruktūros projektai su juridiniais asmenimis ir doxxed komandomis patyrė dvigubai daugiau nuostolių už decentralizuotus protokolus.
Visiškai suderinami mainai: Japonijos DMM Bitcoin ir Indijos CoinDCX ir WazirX nebuvo kilimėlio traukos. Tai buvo reguliuojamos įmonės, kurios dėl veiklos aplaidumo prarado pusę milijardo dolerių. Nesėkmės priežastis buvo ta pati: tiekimo grandinės ataka su kenkėjiška programa. Ir šiandien reguliavimo institucijos griežtai nereikalauja jų audito.
Tai apibūdina visą problemą: mes tikriname matematiką, nekreipdami dėmesio į vadovą ir didžiausią rizikos paviršių. Kodo auditas gali pasiekti 14% rizikos. Jie visiškai praleidžia veiklos gedimus, pavyzdžiui, prastą raktų valdymą, kurie sukelia 75% didelių nuostolių.
Atitiktis IR išmatuojama rizika
Mes painiojame „leidimą veikti legaliai“ su „saugumu“. Reguliavimo licencija apsaugo nuo pinigų plovėjų. Tačiau ji netikrina, ar projektas rytoj nustos veikti.
Atitiktis yra naudinga norint išvengti nešvarių pinigų. Tai užrakina duris nusikaltėliams ir subjektams, kuriems taikomos sankcijos. Tačiau tai palieka atvirą langą tikram gedimui. Projektas gali laikytis kiekvienos AML taisyklės ir vis tiek sugenda arba būti nulaužtas, nes netinkamai tvarkė savo raktus.
Iš esmės mes tik pačioje reguliavimo proceso pradžioje. Tikėtis kompleksinės sistemos, kuri vienu metu užtikrins efektyvų mokesčių surinkimą, teisinę apsaugą ir atsparią rinką, šiuo metu yra nerealu. Štai kodėl vien reguliavimas šiuo metu negali išspręsti struktūrinių problemų, su kuriomis susiduria rinka.
Kad tai išspręstų, „blockchain“ pramonė turi savarankiškai reguliuotis. Vienas iš būdų apie tai galvoti yra bendra „praradimo tikimybės“ sistema. Tai suteikia visiems bendrą kalbą rizikai įvertinti:
- Investuotojai: Užuot klausę „Ar tai apgaulė?“, jie gali paklausti: „Ar ši komanda iš tikrųjų žino, ką daro?
- Institucijos: Jie gauna realius rizikos skaičius, o ne tik pagrindinį knygų patikrinimą.
- Reguliatoriai: Jie gauna gyvą sveikatos monitorių, o ne tik vienkartinį patvirtinimo antspaudą.
Ši metrika apima tai, ką atitiktis ignoruoja: realybę. Jame nagrinėjamas iždo diversifikavimas, prieigos kontrolė ir kodo kokybė. Jis matuoja tikrąją struktūrinę projekto būseną, kuri gali numatyti jo išlikimo tikimybę.
„Hacken“ šiuo metu kuria savireguliacijos platformą, kuria siekiama užpildyti pasitikėjimo spragą web3 ekonomikoje. Šis sprendimas, šiuo metu bandomas beta versijoje, įveda praradimo tikimybės (PoL) metriką. „PoL“ metrika veikia kaip „web3“ „kredito balas“, suteikdama vieną į ateitį orientuotą etaloną. Tai pasiekiama sintezuojant įvairius rizikos rodiklius, kaupiant duomenis, susijusius su projekto saugumu, finansiniu stabilumu ir istoriniu komandos elgesiu.
Naujasis išsamus patikrinimas
Šiuo metu pramonės pasitikėjimo modelis sulaužytas. Prekiaujame socialiniais signalais: KOL patvirtinimais, garsiais rėmėjais ir klaidingu reguliavimo licencijos patogumu. Tai tik įvyniojimai. Jie nieko nepasako apie gaminio viduje esantį struktūrinį vientisumą.
Klausimas nebėra „Ar jie turi licenciją? arba „Kas juos palaiko? Kyla klausimas: „Kokia tikimybė, kad jie nepavyks? Rinka turi pradėti vertinti riziką, remdamasi atšiauria realybe, o ne reguliavimo teatru.
