Skip to content

KYT 内部培训教程(UTGL + 行业实践版)

版本:v1.0
日期:2026-04-24
适用对象:风控、合规、产品、运营、后端研发、链上安全团队
目的:统一团队对 KYT 的定义、判定逻辑、执行动作和监管口径


1. 先说结论(给所有同事的“一句话理解”)

KYT 不是在“司法定罪”,而是在做链上风险归因和处置
离风险源越近,处置越严;若直接触达高风险源(1-hop),按最高优先级动作处理。


2. 培训目标

完成本教程后,团队应具备以下能力:

  1. 能用统一术语解释 HopTaintDirect ExposureSAR
  2. 能独立解读你们当前 13+1 规则,并判断每个动作的触发条件。
  3. 能解释为什么同一条链路上的不同地址可能得到不同处置结果。
  4. 能把技术判定结果翻译成用户可理解文案(不暴露内部术语)。
  5. 能执行标准 KYT 处置闭环:告警 -> 调查 -> 决策 -> 报送/归档 -> 复盘。

3. 术语手册(必须统一)

  • KYT:Know Your Transaction,交易尽职审查。
  • Hop:资金与风险源之间的交易跳数(路径距离)。
  • Direct Exposure:直接敞口,通常对应 1-hop
  • Taint:污染度,目标资金中可追溯到风险源的比例。
  • Critical:法定/监管红线类风险(最高优先)。
  • Illicit:政策禁止类风险(次高优先)。
  • SAR/STR:可疑活动报告(按法域命名不同)。
  • Safe Harbor:满足特定可控路径条件后可放行。

4. 你们当前 KYT 检测逻辑(核心)

4.1 判定优先级(固定)

  1. Critical(最高)
  2. Illicit
  3. Hops + Taint
  4. Accept(兜底)

说明:只要命中高优先级规则,低优先级规则不再决定最终动作。

4.2 Hops 与阈值定义

  • hop_num == 1:Direct(直接敞口)
  • hop_num == 2:Pass-through / VASP clean(中间一跳)
  • hop_num >= 3:Deep(深层路径)
  • deep_taint_threshold_pct = 10%(默认,可配置)

4.3 当前动作映射(人话版)

  • 命中 Critical -> FREEZE_AND_SAR(冻结并报送)
  • 命中 Illicit(非 mixer-only)-> REJECT_AND_SAR
  • 仅 mixer 信号 -> REJECT_AND_ENHANCED_REVIEW
  • 1-hop taint > 0 -> FREEZE_AND_SAR
  • 2-hop 且持牌 VASP 路径干净 -> SAFE_HARBOR_ACCEPT
  • 2-hop 非托管/未知路径 -> REJECT_AND_SAR
  • 3+ hop taint >= 10% -> REJECT
  • 以上都不命中 -> ACCEPT

5. 用案例理解(最常见问题)

假设链路:A(高风险) -> B -> C -> D -> F

  • B 相对 A1-hop:通常触发 FREEZE_AND_SAR
  • C2-hop:看路径质量,可能 SAFE_HARBOR_ACCEPTREJECT_AND_SAR
  • DF3+hop:看 deep taint 是否超过 10%
  • 任何地址如果自身再命中 Critical,都可能升级到 FREEZE_AND_SAR

关键点:不是“整条链全冻结”,而是“按距离 + 风险类别 + 阈值分层处置”。


6. 为什么行业里会出现很多 1-hop 命中

  1. 公链开放,风险地址可向大量地址直接打款(包括尘埃攻击)。
  2. 黑产常用“拆分-中转-再拆分”,快速扩散资金路径。
  3. 交易所/OTC/聚合地址交易频繁,和高风险地址发生直接边关系概率高。
  4. 部分策略采用保守阈值(例如 1-hop > 0 即触发),命中自然偏多。

注意:1-hop 是技术上的直接资金关系,不自动等于“主观违法”。


7. “风险资金转出/清洗”到底是什么

链上没有“黑币/白币物理标签”。
所谓“转出/清洗”,本质是风控模型对资金归因和可追踪性的变化结果。

常见 taint 计算口径:

  • 比例分摊(Pro-rata / Haircut)
  • 先进先出(FIFO)
  • 最严口径(Poison)

所以:

  • 历史上的 1-hop 事实会长期存在;
  • 是否持续触发处置,取决于“当前模型计算结果 + 策略参数”;
  • 分数下降不等于合法化,更不等于“洗白成功”。

8. 监管与行业框架(培训必讲)

8.1 上游政策(UTGL)

  • 零容忍基调(Critical/Illicit)
  • Hops 分层(1-hop/2-hop/3+hop)
  • Deep taint 默认 10%
  • 2-hop 安全港(持牌 VASP)
  • 对可疑活动执行报送与关系管理

8.2 国际/行业参考口径(用于补充理解)

  • FATF:风险为本(RBA)与 Travel Rule(跨 VASP 信息传递)
  • OFAC(2021 虚拟货币制裁指引):虚拟货币与法币同等制裁义务;强调管理承诺、风险评估、内控、测试审计、培训
  • FCA(UK AML/CTF):加密业务需在 AML 框架下注册与接受风险分级监管
  • Travel Rule 互操作:常见数据模型 IVMS101,常见网络协议方案如 TRISA/TRP

9. 标准化处置流程(SOP)

  1. 预筛:地址/实体制裁与高风险标签筛查
  2. 监测:实时交易告警与持续重筛(包含历史回溯)
  3. 分析:路径(Hop)+ 污染度(Taint)+ 行为模式
  4. 决策:冻结 / 拒绝 / 增强复核 / 放行
  5. 执行:账户动作、证据快照、案件编号、审批链
  6. 报送:SAR/STR(按法域要求)
  7. 归档复盘:误报漏报分析、阈值回测、规则优化

10. 对外文案规范(给客服/BD/运营)

前台展示只说三件事:

  1. 结果(通过/暂缓/拒绝/限制)
  2. 原因(人话)
  3. 下一步(用户要做什么)

不要直接展示:hoptaintmixer-onlySAR 等内部术语。

示例:

  • 交易已进入合规审查流程,请在 24 小时内补充资金来源材料。
  • 检测到交易对手存在高风险关联,根据监管要求暂不支持本次交易。

11. 风险控制与质量指标(运营看板)

建议持续追踪:

  • 告警命中率
  • 误报率 / 漏报率
  • 平均处置时长(TAT)
  • SAR 转化率
  • 冻结后申诉成功率
  • 规则回测稳定性(分链、分币种、分客群)

12. 内训课程安排(推荐)

模块时长目标输出物
KYT 基础与监管框架2h统一术语与边界术语手册
13+1 规则精讲2h学会独立判定动作规则卡片
Hop/Taint 案例实操3h能读复杂链路案例报告
告警处置与报送闭环2h跑通 SOP流程图与模板
Travel Rule 协同1.5h对手方信息交互对接清单
桌面演练与考核2h跨团队协作评分表与改进项

13. 常见误区(考核重点)

  1. 误区:1-hop 一定是犯罪。
    正解:1-hop 是技术关系,是否违法需结合证据与调查。

  2. 误区:风险分下降等于洗白。
    正解:仅表示模型可见度变化,不代表法律合法化。

  3. 误区:命中一次高风险地址后永远封禁。
    正解:历史事实保留,但处置取决于当前模型与策略参数。

  4. 误区:KYT 只看单笔交易。
    正解:需结合历史交易、实体关系、行为模式和外部情报。


14. 建议的后续建设(面向产品与技术)

  1. 规则配置化(规则ID、优先级、阈值、法域生效、动作)。
  2. 证据快照标准化(字段、截图、时间戳、哈希、版本)。
  3. 增加历史回溯任务与再筛机制(新制裁/新归因自动回查)。
  4. 建立法域模板(mixer 策略、SAR 时限、冻结流程差异)。
  5. 加入阈值沙箱与回测集,避免规则漂移造成业务波动。

15. 参考资料(培训附录)

  • KYT_External_Standards_User_Agents_EN.md
  • OFAC: Sanctions Compliance Guidance for the Virtual Currency Industry (Oct 2021)
  • FCA: Cryptoassets AML/CTF regime 页面
  • interVASP Messaging Standard (IVMS101) / TRISA Developer Docs
  • Chainalysis: continuous monitoring 与 transaction monitoring 实务资料

16. 培训讲师备注(可直接照读)

  • 讲案例时,优先用“结果 + 原因 + 下一步”三段法。
  • 强调“风控动作 != 法律定罪”,避免内部误解。
  • 让产品、运营、客服都能复述:
    “我们基于监管要求对交易路径风险做分层处置,直连高风险源会触发最高等级控制。”