बिटकॉइन में AML समस्याओं से बचने का एक सरल तरीका

यह लेख उस चर्चा को जारी रखता है जो "AML आतंकवाद: लेनदेन निगरानी का अंधेरा पक्ष" में शुरू हुई थी। उस लेख में मैंने वाणिज्यिक AML सिस्टम कैसे काम करते हैं, उनकी कार्यप्रणालियाँ अस्पष्ट क्यों हैं, और उनकी "आतंक" सामान्य उपयोगकर्ताओं को कैसे प्रभावित करती है, की जांच की थी। यहाँ मैं उन तर्कों को दोहराऊँगा नहीं बल्कि एक विशिष्ट विचार को विकसित करूंगा जो हाल ही में Rabbit.io में हमारे लिए दैनिक संचालनात्मक चुनौती बन गया है। यह है "गंदे बिटकॉइन" महामारी: कैसे AML एल्गोरिदम ने लगभग हर बिटकॉइन पते को दूषित कर दिया है, और उपयोगकर्ता इसके बारे में क्या कर सकते हैं।

भाग 1. छह डिग्री पृथक्करण - AML संस्करण

क्लासिकल समाजशास्त्र में "छह डिग्रीज़ ऑफ़ सेपरेशन" का सिद्धांत है: पृथ्वी पर किसी भी दो लोग पाँच से अधिक पारस्परिक परिचितों की एक श्रृंखला के माध्यम से जुड़े होते हैं। AML सिस्टम बिटकॉइन पर इसी तरह की तर्कशक्ति लागू करते हैं - लेकिन विनाशकारी परिणामों के साथ। नेटवर्क के माध्यम से संबंध फैलने के बजाय, यहाँ जोखिम संदूषण फैलता है।

Chainalysis, Crystal, या Elliptic जैसी कंपनियों द्वारा उपयोग किए गए एल्गोरिदम संक्रमण के समान सिद्धांत पर चलते हैं। यदि आपका पता किसी अवैध गतिविधि से जुड़े पते से फंड प्राप्त करता है, तो आपका पता भी विषैला बन जाता है ("उच्च-जोखिम" लेबल)। यदि आप बाद में बिटकॉइन्स किसी और को भेजते हैं, तो उनके पते को भी उस जोखिम का हिस्सा विरासत में मिल जाता है। और इसी तरह। "उच्च-जोखिम" लेबल मध्यवर्ती पतों की श्रृंखलाओं के माध्यम से एक वायरस की तरह फैलता है।

सिद्धांत में यह तंत्र उपयोगी हो सकता है: यह अपराधियों को केवल कुछ मध्यस्थों के माध्यम से फंड पास करके उनका इतिहास धोने से रोकता है। व्यवहार में, संदर्भ के बिना लागू होने पर, लेनदेन ग्राफ धीरे-धीरे अधिक से अधिक पतों को "अंधकार पक्ष" की ओर खींचता है, जिनके मालिकों ने वास्तव में कुछ भी अवैध नहीं किया होता।

दूषण के सबसे मासूम स्रोत

स्थिति और भी खराब हो जाती है क्योंकि पूरी तरह सामान्य लेनदेन अक्सर उच्च-जोखिम श्रेणी में आ जाते हैं।

• कैसिनो और जुआ। ऑनलाइन कैसिनो क्रिप्टोकरेंसी के सबसे व्यापक वैध उपयोगों में से एक हैं। फिर भी, कुछ AML टूल प्राप्त होने वाले फंड्स को कैसिनो से आने पर स्वचालित रूप से "खतरनाक" वर्गीकृत कर देते हैं। पोकker जीतने वाला व्यक्ति एल्गोरिद्म के अनुसार जोखिम का वाहक बन जाता है - और फिर वह जोखिम उन सभी को पास कर देता है जिन्हें वह बाद में सिक्के भेजता है, न केवल जीत बल्कि उसके पास मौजूद किसी भी अन्य बिटकॉइन्स को भी।
• अनिवार्य KYC के बिना केंद्रीकृत एक्सचेंज। दुनिया भर में करोड़ों लोग ऐसे एक्सचेंज का उपयोग करते हैं। लेकिन AML सिस्टम अक्सर उन्हें बढ़े हुए जोखिम वाले स्रोत के रूप में मानते हैं, और उनसे फंड निकालने पर आपका पता "संदिग्ध" चिह्नित हो सकता है, भले ही कोई AML विश्लेषक स्पष्ट रूप से यह नहीं बता सके कि आप पर ठोस रूप से किस बात का संदेह है।
• डस्टिंग हमले। हमलावर कभी-कभी सैंक्शन्ड या किसी अन्य तरह से फ्लैग किए गए पतों से छोटे-से-छोटे क्रिप्टो रक्कम—"डस्ट"—कई वॉलेट्स में बेतरतीब ढंग से भेज देते हैं। यदि ऐसा डस्ट आपके पते पर आकर वहाँ रह जाता है और आप बाद में उसे नोट किए बिना खर्च कर देते हैं, तो एक एल्गोरिद्म इसे उच्च-जोखिम स्रोत के साथ इंटरैक्शन के रूप में व्याख्यायित कर सकता है। किसी ने आपको संदिग्ध फंड भेजे बिना भेजे थे, पर लेबलिंग सिस्टम्स शायद ही कभी इसे ध्यान में रखते हैं।

rabbit.io में हम देखते हैं कि इस घटना से संबंधित समस्याएँ असल दुनिया के संचालन में दिन-ब-दिन अधिक हस्तक्षेप कर रही हैं। पहले, किसी क्लाइंट पते को "उच्च जोखिम" चिह्नित देखना एक दुर्लभ अपवाद था। अब हम इसे दिन में दो या तीन बार देखते हैं। लेकिन केवल बिटकॉइन में। अन्य ब्लॉकचेन में जिन्हें हम सपोर्ट करते हैं, हमें ऐसे असामान्य AML अलर्ट दिखाई नहीं देते।

यह समस्या सबसे पहले बिटकॉइन में क्यों आई

व्याख्या सरल है: बिटकॉइन को सबसे लंबे समय तक और सबसे नज़दीकी से मॉनिटर किया गया है। यह सबसे पुराना सार्वजनिक ब्लॉकचेन है, और पूरी ब्लॉकचेन एनालिटिक्स इंडस्ट्री ऐतिहासिक रूप से इसके आसपास पली-बढ़ी है। इसलिए लेबल्ड पतों का डेटाबेस यहीं सबसे बड़ा है।

बिटकॉइन की UTXO आर्किटेक्चर क्लस्टरिंग हीयुरिस्टिक्स के लिए भी बिल्कुल अनुकूल है, विपरीत खाता-आधारित ब्लॉकचेन (Ethereum, Solana, Tron आदि) के जहाँ रिश्ते कम स्पष्ट होते हैं। बिटकॉइन में, एक ही लेनदेन जिसमें कई इनपुट होते हैं, स्वतःक रूप से दर्जनों पहले से स्वतंत्र पतों को एक क्लस्टर में मिला सकता है।

कुछ बिटकॉइन उपयोगकर्ता एक पते को बैंक खाते की तरह समझते हैं और वर्षों तक एक ही पते का उपयोग करते हैं। यह आदत उस पते को एक स्थायी सार्वजनिक पहचानकर्ता में बदल देती है जो धीरे-धीरे सब कुछ जमा कर लेती है: लेनदेन इतिहास, सेवाओं के साथ कनेक्शन, और तीसरे पक्षों द्वारा जोड़े गए लेबल। जब कोई AML चेकर बाद में उन कनेक्शनों की सबसे आक्रामक संभव व्याख्या करता है, तो वह इतिहास एक फाइल बन जाती है - और उस फाइल पर एक मोहर लग जाती है: "उच्च जोखिम"।

AML चेक में फेल होने वाले पतों की बढ़ती संख्या को बिटकॉइन उपयोगकर्ताओं में अचानक अपराधियों के वृद्धि से समझाया नहीं जा सकता। कहीं ज़्यादा संभाव्य व्याख्या यह है कि एक निर्णायक तौल पहुँच चुकी है, और संदूषण नेटवर्क इतना घना हो गया है कि एक पूरी तरह "साफ" पता ढूंढना - जिसने कभी भी किसी संदिग्ध चीज़ के साथ इंटरैक्ट नहीं किया हो - संभवतः पहले से कठिन हो सकता है। और दीर्घकाल में, अगर AML कार्यप्रणालियाँ नहीं बदलतीं, तो ऐसे पते पूरी तरह से गायब भी हो सकते हैं।

हम हर दिन जिस दुविधा का सामना करते हैं

हर बार जब कोई क्लाइंट Rabbit.io के साथ बिटकॉइन के लिए कुछ एक्सचेंज करता है और AML चेकर क्लाइंट के बिटकॉइन पते के लिए लाल झंडी दिखाता है, तो हमें एक दुविधा का सामना करना पड़ता है।

झंडी को अनदेखा करना विकल्प नहीं है। यदि हम फ्लैग किए गए पते पर फंड भेजते हैं, तो हमारे अपने पते के क्लस्टर को यह चिह्नित किया जा सकता है कि उसने उच्च-जोखिम काउंटरपार्टी के साथ इंटरैक्ट किया है। इससे उन अन्य क्लाइंट्स के लिए समस्याएँ पैदा होंगी जिनका इस स्थिति से कुछ लेना-देना नहीं है। हम इसे अनुमति नहीं दे सकते।

केवल समाधान क्लाइंट से दूसरा पता मांगना है। पर यहाँ चीजें हास्यास्पद हो जाती हैं। क्लाइंट का दूसरा पता भी फ्लैग्ड हो सकता है। और यह कोई काल्पनिक परिदृश्य नहीं है। ये हमारे दैनिक अभ्यास के वास्तविक मामले हैं।

बिटकॉइन्स मौजूद हैं। रिसीविंग पता मौजूद है। लेकिन हम सिक्के भेज नहीं सकते।

भाग 2. चक्र को तोड़ना: एक पते को एक-बार वस्तु (वन-टाइम इनवॉइस) मानना

क्या बिटकॉइन एक गतिरोध में पहुँच गया है? बिलकुल नहीं। इस समस्या का समाधान प्रोटोकॉल के आरंभिक दिनों से मौजूद है। कुछ उपयोगकर्ता इसे बस नजरअंदाज कर देते हैं।

कभी भी एक ही बिटकॉइन पते का दोबारा उपयोग न करें।

यह नियम 2009 में स्वयं Satoshi Nakamoto द्वारा प्रस्तावित किया गया था। बिटकॉइन विकी, जिसे बिटकॉइन के शुरुआती वर्षों से समुदाय द्वारा मेंटेन किया जाता है, स्पष्ट रूप से बताती है कि "बिटकॉइन पता" शब्द कुछ हद तक भ्रामक है क्योंकि इससे यह धारणा बनती है कि इसे ईमेल पते की तरह अनिश्चित काल तक फिर से उपयोग किया जा सकता है। असल में, प्रत्येक पते को एक-बार भुगतान इनवॉइस की तरह माना जाना चाहिए: एक बार उपयोग करें और भूल जाएँ।

यह AML साइड इफेक्ट्स के खिलाफ क्यों काम करता है

सोचिए कि AML क्लस्टरिंग कैसे कार्य करती है। इसका एक मुख्य उपकरण सामान्य-इनपुट ओनरशिप हीयुरिस्टिक है: यदि किसी लेनदेन में कई पते इनपुट के रूप में उपयोग होते हैं, तो सिस्टम मान लेता है कि वे एक ही मालिक के हैं। दूसरा है चेंज हीयुरिस्टिक: सिस्टम यह पहचानने का प्रयास करता है कि कौन-सा आउटपुट चेंज है और उस नए पते को प्रेषक के क्लस्टर से जोड़ देता है।

दोनों ही हीयुरिस्टिक्स कनेक्शनों पर निर्भर करते हैं।

एक ताज़ा पता एक खाली पृष्ठ की तरह है - कोई इतिहास नहीं और कोई कनेक्शन नहीं। यदि हम ऐसे पते को rabbit.io में फंड भेजने से पहले चेक करें, तो उसका रिस्क स्कोर शून्य होगा। हमारा सिस्टम स्वतः ही बिटकॉइन्स वहाँ भेज देगा, और एक्सचेंज जितना संभव हो उतना तेज़ और सुचारू रूप से आगे बढ़ेगा।

इसे लागू करने का तरीका: तीन प्रकार के वॉलेट

सभी वॉलेट यहाँ समान रूप से सहायक नहीं होते।

प्रकार एक: वॉलेट जो यह नहीं कर सकते

इस श्रेणी में पेपर वॉलेट शामिल हैं: आप एक पता जेनरेट करते हैं, अपना प्राइवेट की कागज पर लिखते हैं, वहाँ अपने सारे बिटकॉइन्स प्राप्त करते हैं, और कभी खर्च नहीं करते। AML के दृष्टिकोण से यह सबसे खराब विकल्प है। आपका पता सभी आने वाले भुगतान का समूच्च इतिहास जमा कर लेता है, साथ ही उन सभी प्रश्नों को जो उनके बारे में उठ सकते हैं - प्रश्न जो AML सिस्टम शायद ही कभी "उच्च-जोखिम" लेबल लगाने से पहले पूछते हैं।

एक समान स्थिति कई कस्टोडियल सेवाओं और एक्सचेंज के साथ होती है जो उपयोगकर्ता को एक ही स्थिर जमा पता (static deposit address) असाइन करते हैं और इसे बदलने की अनुमति नहीं देते। यदि किसी ने उस पते पर कुछ संदिग्ध भेज दिया, तो वह पता कई संदर्भों में उपयोगी नहीं रह सकता।

ध्यान देने वाली बात है कि कुछ एक्सचेंज समय-समय पर डिपॉज़िट पतों को रोटेट करते हैं। Coinbase प्रत्येक लेनदेन के बाद नया पता जेनरेट करता है, और Kraken उपयोगकर्ताओं को मैन्युअली नए पते बनाने की अनुमति देता है। पर Bitstamp और BitMEX जैसे एक्सचेंजों पर डिपॉज़िट पता बिना स्वतंत्र परिवर्तन की संभावना के असाइन किया जाता है।

प्रकार दो: वॉलेट जहाँ नया पता उपयोगकर्ता की क्रिया मांगता है

नॉन-कस्टोडियल सॉफ़्टवेयर वॉलेट आमतौर पर नए पते जेनरेट करने का समर्थन करते हैं, पर उनमें से कुछ केवल उपयोगकर्ता के अनुरोध पर ही ऐसा करते हैं। वॉलेट वर्तमान पते को दिखाता है और उसके पास एक बटन "नया पता प्राप्त करें" होता है। इसके लिए अनुशासन चाहिए।

Bitcoin Core — बिटकॉइन का संदर्भ कार्यान्वयन — इस श्रेणी में आता है। तकनीकी रूप से यह पतों पर पूर्ण नियंत्रण की अनुमति देता है। पर इंटरफ़ेस पता रोटेशन को सक्रिय रूप से प्रोत्साहित नहीं करता: आपको हर बार सचेत रूप से बटन दबाना होगा।

प्रकार तीन: वॉलेट जो यह स्वतः कर देते हैं

कई उपयोगकर्ताओं के लिए ये वॉलेट मानक हैं। हर बार जब आप "रिसीव" टैब खोलते हैं, वॉलेट एक नया जेनरेट किया गया पता दिखाता है। पिछला पता इतिहास में रहता है पर अब इनकमिंग पेमेंट्स के लिए पेश नहीं किया जाता। उपयोगकर्ता को इसके बारे में सोचने की आवश्यकता नहीं होती: सुरक्षा स्वतः होती है।

ऐसे वॉलेट्स में सभी पते एक ही सीड फ्रेज से व्युत्पन्न होते हैं। दूसरे शब्दों में, "कई पते" का मतलब "कई बैकअप" नहीं होता। प्रत्येक पते की अपनी कुंजी होती है, पर एक सीड फ्रेज और एक बैकअप उन्हें सभी रिकवर कर सकता है।

उदाहरणों में डेस्कटॉप वॉलेट Sparrow Wallet, Wasabi Wallet, और Electrum शामिल हैं, साथ ही मोबाइल वॉलेट BlueWallet। मैं इन्हें विशेष रूप से इसलिए संदर्भित करता हूँ क्योंकि इनके इंटरफेस पता पुन:उपयोग को हतोत्साहित करने के लिए डिज़ाइन किए गए हैं: पहले से उपयोग किए गए पते दृश्य से हटा दिए जाते हैं। वास्तविकता में, ऐसे और भी कई वॉलेट हैं जो हर इनकमिंग ट्रांज़ेक्शन के बाद स्वतः नया पता जेनरेट करते हैं।

बहुत समय तक मैं भोलेपन से मानता था कि हर कोई ऐसे वॉलेट का उपयोग करता है। पर वह एक्सचेंज गतिविधि जो मैं देखता हूँ — जहाँ उपयोगकर्ता बार-बार लंबे लेनदेन इतिहास वाले पते प्रदान करते हैं — यह सुझाव देती है कि ऐसा नहीं है। इसलिए मैंने इन वॉलेट्स पर अधिक विस्तार से चर्चा करने का फैसला किया।

सूचना: यदि आपके सिक्के पहले से ही "दूषित" हैं तो क्या करें

पर क्या होगा अगर बिटकॉइन्स पहले से ही किसी ऐसे पते पर बैठे हैं जिसे "उच्च जोखिम" के रूप में लेबल कर दिया गया है? उस मामले में समस्या केवल रिसीव करना नहीं रह जाती। समस्या उन्हें भेजने की बन जाती है। कोई भी रेगुलेटेड प्लेटफ़ॉर्म ऐसे फंड्स स्वीकारना नहीं चाहेगा। आप क्या कर सकते हैं?

बिटकॉइन इस परिदृश्य के लिए भी एक समाधान प्रदान करता है: लाइटनिंग नेटवर्क। लाइटनिंग में होने वाले लेनदेन सार्वजनिक बिटकॉइन ब्लॉकचेन पर दर्ज नहीं होते। लेनदेन ग्राफ़ का विश्लेषण करने वाले AML सिस्टम उन्हें नहीं देख पाते। आपके फंड "दूषित" ऑन-चेन वातावरण से निकलकर एक ऐसी परत में चले जाते हैं जहाँ वे फिर से इलेक्ट्रॉनिक नकद की तरह व्यवहार करते हैं, बिना सार्वजनिक डॉसियर या AML फ़्लैग्स के।

इस समाधान का उपयोग करने के लिए आपको उस नोड के साथ एक लाइटनिंग पेमेंट चैनल खोलना होगा जिसका ऑपरेटर आपके ऑन-चेन पते के साथ इंटरैक्ट करने के लिए तैयार हो। यह कोई ऐसा व्यक्ति हो सकता है जिसे आप जानते हों या कोई भी लाइटनिंग उत्साही जो उन सिक्कों को बेस लेयर पर वापस लाने का इरादा नहीं रखता और इसलिए ऑन-चेन ट्रांज़ेक्शन्स में संभावित AML मुद्दों के बारे में चिंतित नहीं है। ऐसे उत्साहियों की बदौलत, बिटकॉइन अब भी अपनी मूल विनिमेयता (fungibility) गुण बनाए रखता है: 1 BTC हमेशा 1 BTC के बराबर रहता है, भले ही वाणिज्यिक AML सिस्टम्स कुछ अलग थोपने का प्रयास करें।

जिन नोड्स के साथ आप लाइटनिंग चैनल खोल सकते हैं, उन्हें 1ML, Magma, और Lightning Network Plus जैसी विशेष वेबसाइटों पर पाया जा सकता है। कुछ मामलों में आपको पहले नोड ऑपरेटर के साथ चैनल की व्यवस्था करनी होती है, जबकि अन्य में आप बिना पूर्व समन्वय के चैनल खोल सकते हैं।

एक बार जब आपके बिटकॉइन्स लाइटनिंग नेटवर्क में होते हैं, तो आप उन्हें किसी भी अन्य क्रिप्टो परिसंपत्ति के लिए स्वतंत्र रूप से rabbit.io पर एक्सचेंज कर सकते हैं। हमारी तरफ से आपको कोई अतिरिक्त असुविधा का सामना नहीं करना पड़ेगा।

निष्कर्ष

हम एक हास्यास्पद स्थिति पर पहुँच गए हैं। अपने "जोखिम भरे" पतों के डेटाबेस को लगातार बढ़ाकर, AML सिस्टम सामान्य बिटकॉइन उपयोग को ही घुटन देने लगे हैं।

यह शायद दुर्भावनापूर्ण इरादा नहीं है। अधिक संभवतः यह तात्कालिक दृष्टिकोण वाली डिजाइन का परिणाम है - उन सिस्टम्स का अनिवार्य परिणाम जो अन्धाधुन्ध "उच्च-जोखिम" लेबल्स को फैलाते हैं, साथ ही सबसे पुराने ब्लॉकचेन के वर्षों के लगातार मॉनिटरिंग के साथ।

AML सिस्टम्स के खिलाफ सीधे लड़ने का कोई मतलब नहीं। वे भी किसी न किसी उद्देश्य की सेवा करने की कोशिश करते हैं। पर उनकी कमियों के अनुकूल होना संभव है, और इसके लिए उपकरण बिटकॉइन में ही निर्मित हैं।

एक सरल नियम को आदत बनाइए: एक पता - एक इनकमिंग ट्रांज़ेक्शन। ऐसा वॉलेट चुनें जो इसे स्वत: लागू करे। और याद रखें कि जब ऑन-चेन वातावरण बहुत प्रतिबंधित हो जाए तो लाइटनिंग नेटवर्क हमेशा मदद कर सकता है।

इसी तरह आप बिटकॉइन को सभी लाल झंडों के बीच भी स्वतंत्र और तरल बनाए रखने में मदद करते हैं।