主题
KYT 内部培训教程(UTGL + 行业实践版)
版本:v1.0
日期:2026-04-24
适用对象:风控、合规、产品、运营、后端研发、链上安全团队
目的:统一团队对 KYT 的定义、判定逻辑、执行动作和监管口径
1. 先说结论(给所有同事的“一句话理解”)
KYT 不是在“司法定罪”,而是在做链上风险归因和处置:
离风险源越近,处置越严;若直接触达高风险源(1-hop),按最高优先级动作处理。
2. 培训目标
完成本教程后,团队应具备以下能力:
- 能用统一术语解释
Hop、Taint、Direct Exposure、SAR。 - 能独立解读你们当前
13+1规则,并判断每个动作的触发条件。 - 能解释为什么同一条链路上的不同地址可能得到不同处置结果。
- 能把技术判定结果翻译成用户可理解文案(不暴露内部术语)。
- 能执行标准 KYT 处置闭环:告警 -> 调查 -> 决策 -> 报送/归档 -> 复盘。
3. 术语手册(必须统一)
KYT:Know Your Transaction,交易尽职审查。Hop:资金与风险源之间的交易跳数(路径距离)。Direct Exposure:直接敞口,通常对应1-hop。Taint:污染度,目标资金中可追溯到风险源的比例。Critical:法定/监管红线类风险(最高优先)。Illicit:政策禁止类风险(次高优先)。SAR/STR:可疑活动报告(按法域命名不同)。Safe Harbor:满足特定可控路径条件后可放行。
4. 你们当前 KYT 检测逻辑(核心)
4.1 判定优先级(固定)
Critical(最高)IllicitHops + TaintAccept(兜底)
说明:只要命中高优先级规则,低优先级规则不再决定最终动作。
4.2 Hops 与阈值定义
hop_num == 1:Direct(直接敞口)hop_num == 2:Pass-through / VASP clean(中间一跳)hop_num >= 3:Deep(深层路径)deep_taint_threshold_pct = 10%(默认,可配置)
4.3 当前动作映射(人话版)
- 命中
Critical->FREEZE_AND_SAR(冻结并报送) - 命中
Illicit(非 mixer-only)->REJECT_AND_SAR - 仅 mixer 信号 ->
REJECT_AND_ENHANCED_REVIEW 1-hop taint > 0->FREEZE_AND_SAR2-hop且持牌 VASP 路径干净 ->SAFE_HARBOR_ACCEPT2-hop非托管/未知路径 ->REJECT_AND_SAR3+ hop taint >= 10%->REJECT- 以上都不命中 ->
ACCEPT
5. 用案例理解(最常见问题)
假设链路:A(高风险) -> B -> C -> D -> F
B相对A是1-hop:通常触发FREEZE_AND_SARC是2-hop:看路径质量,可能SAFE_HARBOR_ACCEPT或REJECT_AND_SARD、F是3+hop:看 deep taint 是否超过 10%- 任何地址如果自身再命中
Critical,都可能升级到FREEZE_AND_SAR
关键点:不是“整条链全冻结”,而是“按距离 + 风险类别 + 阈值分层处置”。
6. 为什么行业里会出现很多 1-hop 命中
- 公链开放,风险地址可向大量地址直接打款(包括尘埃攻击)。
- 黑产常用“拆分-中转-再拆分”,快速扩散资金路径。
- 交易所/OTC/聚合地址交易频繁,和高风险地址发生直接边关系概率高。
- 部分策略采用保守阈值(例如
1-hop > 0即触发),命中自然偏多。
注意:
1-hop是技术上的直接资金关系,不自动等于“主观违法”。
7. “风险资金转出/清洗”到底是什么
链上没有“黑币/白币物理标签”。
所谓“转出/清洗”,本质是风控模型对资金归因和可追踪性的变化结果。
常见 taint 计算口径:
- 比例分摊(Pro-rata / Haircut)
- 先进先出(FIFO)
- 最严口径(Poison)
所以:
- 历史上的 1-hop 事实会长期存在;
- 是否持续触发处置,取决于“当前模型计算结果 + 策略参数”;
- 分数下降不等于合法化,更不等于“洗白成功”。
8. 监管与行业框架(培训必讲)
8.1 上游政策(UTGL)
- 零容忍基调(Critical/Illicit)
- Hops 分层(1-hop/2-hop/3+hop)
- Deep taint 默认 10%
- 2-hop 安全港(持牌 VASP)
- 对可疑活动执行报送与关系管理
8.2 国际/行业参考口径(用于补充理解)
- FATF:风险为本(RBA)与 Travel Rule(跨 VASP 信息传递)
- OFAC(2021 虚拟货币制裁指引):虚拟货币与法币同等制裁义务;强调管理承诺、风险评估、内控、测试审计、培训
- FCA(UK AML/CTF):加密业务需在 AML 框架下注册与接受风险分级监管
- Travel Rule 互操作:常见数据模型
IVMS101,常见网络协议方案如TRISA/TRP
9. 标准化处置流程(SOP)
- 预筛:地址/实体制裁与高风险标签筛查
- 监测:实时交易告警与持续重筛(包含历史回溯)
- 分析:路径(Hop)+ 污染度(Taint)+ 行为模式
- 决策:冻结 / 拒绝 / 增强复核 / 放行
- 执行:账户动作、证据快照、案件编号、审批链
- 报送:SAR/STR(按法域要求)
- 归档复盘:误报漏报分析、阈值回测、规则优化
10. 对外文案规范(给客服/BD/运营)
前台展示只说三件事:
- 结果(通过/暂缓/拒绝/限制)
- 原因(人话)
- 下一步(用户要做什么)
不要直接展示:hop、taint、mixer-only、SAR 等内部术语。
示例:
交易已进入合规审查流程,请在 24 小时内补充资金来源材料。检测到交易对手存在高风险关联,根据监管要求暂不支持本次交易。
11. 风险控制与质量指标(运营看板)
建议持续追踪:
- 告警命中率
- 误报率 / 漏报率
- 平均处置时长(TAT)
- SAR 转化率
- 冻结后申诉成功率
- 规则回测稳定性(分链、分币种、分客群)
12. 内训课程安排(推荐)
| 模块 | 时长 | 目标 | 输出物 |
|---|---|---|---|
| KYT 基础与监管框架 | 2h | 统一术语与边界 | 术语手册 |
| 13+1 规则精讲 | 2h | 学会独立判定动作 | 规则卡片 |
| Hop/Taint 案例实操 | 3h | 能读复杂链路 | 案例报告 |
| 告警处置与报送闭环 | 2h | 跑通 SOP | 流程图与模板 |
| Travel Rule 协同 | 1.5h | 对手方信息交互 | 对接清单 |
| 桌面演练与考核 | 2h | 跨团队协作 | 评分表与改进项 |
13. 常见误区(考核重点)
误区:1-hop 一定是犯罪。
正解:1-hop 是技术关系,是否违法需结合证据与调查。误区:风险分下降等于洗白。
正解:仅表示模型可见度变化,不代表法律合法化。误区:命中一次高风险地址后永远封禁。
正解:历史事实保留,但处置取决于当前模型与策略参数。误区:KYT 只看单笔交易。
正解:需结合历史交易、实体关系、行为模式和外部情报。
14. 建议的后续建设(面向产品与技术)
- 规则配置化(规则ID、优先级、阈值、法域生效、动作)。
- 证据快照标准化(字段、截图、时间戳、哈希、版本)。
- 增加历史回溯任务与再筛机制(新制裁/新归因自动回查)。
- 建立法域模板(mixer 策略、SAR 时限、冻结流程差异)。
- 加入阈值沙箱与回测集,避免规则漂移造成业务波动。
15. 参考资料(培训附录)
- KYT_External_Standards_User_Agents_EN.md
- OFAC: Sanctions Compliance Guidance for the Virtual Currency Industry (Oct 2021)
- FCA: Cryptoassets AML/CTF regime 页面
- interVASP Messaging Standard (IVMS101) / TRISA Developer Docs
- Chainalysis: continuous monitoring 与 transaction monitoring 实务资料
16. 培训讲师备注(可直接照读)
- 讲案例时,优先用“结果 + 原因 + 下一步”三段法。
- 强调“风控动作 != 法律定罪”,避免内部误解。
- 让产品、运营、客服都能复述:
“我们基于监管要求对交易路径风险做分层处置,直连高风险源会触发最高等级控制。”