区块链技术自诞生以来，核心技术不断迭代升级，应用规模持续扩大。但是，近年来不良信息上链、智能合约漏洞等问题时有发生，相关部门和机构对区块链风险防控十分重视，陆续发布了一系列区块链监管要求，如2017年人民银行等七部门发布了《关于防范代币发行融资风险的公告》，2019年国家网信办发布了《区块链信息服务管理规定》等。为了更好地满足监管要求，工商银行金融科技研究院对区块链监管技术进行了研究探索和应用实践。

一、区块链交易监管面临的技术问题

  目前，区块链技术应用多元化趋势愈加明显，涵盖金融、能源、医疗健康等众多行业，不同行业的监管要求各有不同。金融业是一个强监管行业，商业银行须履行人民银行、国家金融监督管理总局等机构的监管要求，有效防控风险，健全内控制度，在信息系统建设与运行中落实监管要求，在业务交易的全生命周期实现全流程监管(如图1所示)。

图1 全生命周期监管流程

  在实际应用中，区块链技术具备去中心化、难篡改、合约强制执行等特性，且交易行为影响面广、交易数据不能回滚，链外手段难以监管、干预链上交易。具体而言，区块链交易监管面临的主要技术问题如下。

  第一，区块链平台是多个节点构成的分布式系统，一笔交易同时在多个节点上执行，交易发生后影响范围比传统集中式应用更广，范围控制难度大。

  第二，区块链平台的每一个节点都保存了一份数据副本，一旦不良信息被写入区块链，就会被同步机制快速扩散，且区块链的数据记录方式具有防修改特性，信息更正困难。

  第三，区块链智能合约具有强制执行特性，合约被无条件执行。如果合约存在监管漏洞，则需要重新发版、部署才能修复漏洞，这会降低区块链网络的易用性，修复成本较高。

  因此，要实现区块链的应用合规和风险防控，就需要在区块链平台上建立全流程监管技术支撑体系。

二、区块链全流程监管技术支撑体系的建设思路和技术架构

  工商银行根据金融监管的事前、事中、事后全覆盖要求，基于区块链平台打造了由事前链下数据合规检测与准入技术、事中链上运行拦截与预警技术、事后交易全流程追溯与分析技术等共同构成的解决方案，形成数字化、自动化、智能化的区块链全流程监管技术支撑体系，其总体建设思路如图2所示。

图2 区块链全流程监管技术支撑体系总体建设思路

  事前阶段，为接入区块链的应用，在链下进行合约漏洞检测，根据可插拔的敏感信息规则库实现交易接入检查;事中阶段，监管合约在交易主路运行，根据监管规则库实时监测业务交易，在交易旁路实现监控告警;事后阶段，汇集、报送、追溯交易信息，屏蔽不良信息。

  基于区块链全流程监管技术支撑体系的建设思路，工商银行在区块链架构中新增了监管支撑层，包含监管规则库、漏洞检测、监控告警等模块;在合约层中新增了监管合约模块;在数据层中新增了信息追溯和信息屏蔽模块;在接入层的接入检查模块中新增了监管检查功能，区块链全流程监管技术支撑体系技术架构如图3所示。

图3 区块链全流程监管技术支撑体系技术架构

  事前阶段，漏洞检测、接入检查两个模块扫描合约漏洞，确保交易合规;事中阶段，监管合约根据监管规则在主路检查、拦截非法交易，触发告警事件，事件回调机制在旁路调用监控告警模块实施对外告警;事后阶段，信息追溯、信息屏蔽两个模块追溯全量交易，屏蔽不良信息。图4以四家机构参与的金融区块链应用的其中一个节点为例，展现了监管技术支撑模块在区块链平台的部署和工作流程。

图4 监管技术支撑模块在区块链平台的部署和工作流程示意

  事前阶段，在开发人员编写业务合约时，智能合约开发平台漏洞检测模块检测代码质量，防止存在提交质量不佳的代码;在部署合约时，智能合约管理系统漏洞检测模块检测合约的安全性，阻止部署存在风险的合约;在用户发起业务交易请求时，网关接入检查功能检查交易参数，禁止发起不合规的交易。

  事中阶段，在业务交易上链执行时，监管合约根据监管规则库实时监控业务合约的执行状态，拦截非法交易，并由监控告警模块实施告警。各个参与方都部署监管合约和配套的监管规则库，达成共识后交易上链，确保全部业务交易纳入监管。

  事后阶段，在审计人员需要审计链上交易时，网关的信息追溯模块提取业务交易全量历史记录，供审计人员全面分析;在用户查询链上信息时，网关的信息屏蔽模块对不良信息进行屏蔽，防止不良信息扩散。

三、区块链全流程监管技术支撑体系的实现

  1.事前链下数据合规检测与准入

  区块链交易的本质是执行智能合约，交易事前监管包括在智能合约开发部署阶段检测合约漏洞、在智能合约调用前检测交易准入条件。

  (1)合约开发部署安全检测

  在合约开发阶段，监管支撑层的漏洞检测模块可辅助智能合约开发者规避常见的安全问题，以提高开发效率和代码质量。

  在合约部署阶段，漏洞检测模块在合约上链前深度扫描代码，检测合约潜在的漏洞(如逻辑漏洞、重入攻击、溢出漏洞等)。漏洞检测模块通过过滤和合并多种漏洞扫描工具的分析结果，可降低漏洞检测的误报率和漏报率，从而保障合约安全。

  (2)交易准入检测

  在区块链应用交易接入阶段，接入层的接入检查模块检查交易请求报文，如果报文内容命中监管规则中配置的敏感词，则拦截交易。

  接入检查模块支持仅检查指定的一部分网络通道，不影响其他网络通道的功能和性能。交易请求报文内容命中敏感词后交易终止，系统记录日志，并告知应用侧交易因包含敏感词而被拒绝。敏感词既可以在系统启动前静态配置，也可以在系统运行后动态加载。

  2.事中链上运行拦截与预警

  合约层的业务合约实现区块链交易逻辑。为实施有效监管，合约层增加了监管合约，监管支撑层增加了监管规则库和监控告警模块，三者相结合实现交易拦截与监控告警。

  (1)监管规则检查

  监管规则是以程序代码实现的监管要求，以文本形式存储于监管支撑层的监管规则库中。监管规则库包含规则列表和规则关联关系两种数据，前者是所有规则的集合，后者建立业务合约和规则的联系。接收到业务交易请求后，监管合约按监管规则进行放行、终止、告警等相应处理(如图5所示)。

图5 监管规则检查流程

  监管规则在记账节点的规则引擎中执行，该引擎是合约语言的脚本解释器，可解析规则文本，并基于反射机制动态执行规则。规则引擎对监管规则的执行与智能合约的执行一样要经过区块链节点的共识。

  (2)监控告警

  业务应用向网关注册监听事件，定义事件回调接口。业务合约执行过程中若命中特定事件如交易信息违规等，则触发事件回调发送告警信息。

  监控告警在交易旁路执行，不阻塞主路业务交易。事件触发的时机和所传递的数据由智能合约灵活配置，多个事件可并行触发，不同事件触发的处理过程相互独立。

  3.事后交易全流程追溯与分析

  事后监管包括信息追溯和信息屏蔽两部分功能。

  (1)信息追溯分析

  信息追溯分析指批量导出区块链数据，随后对全量数据检查敏感词，并输出检查结果文件供监管排查之用，该功能支持配置目标敏感词，仅导出命中目标敏感词的数据记录。

  (2)信息查询屏蔽

  信息查询屏蔽针对联机查询交易。信息屏蔽模块检测查询返回的结果数据，如果数据包含预设的屏蔽敏感词，则屏蔽数据，返回告警信息。

四、区块链全流程监管技术支撑体系的应用案例和成效

  工商银行在资金存管场景中进行了区块链全流程监管技术支撑体系的应用试点，处理流程如图6所示。

图6 资金存管场景监管处理流程

  事前阶段，漏洞检测模块在智能合约部署前检测合约，检出了非法调用外部服务、非法访问文件、缺失权限控制等在业务合约开发过程中产生的安全问题;接入检查模块在交易发起前检测交易报文，拦截了包含敏感词的交易。

  事中阶段，将业务部门提供的监管要求转化为链上监管规则，监管合约根据监管规则实时监控交易，拦截了虚假信息注册开户、虚构项目信息、虚构账户信息等异常交易，以及匹配黑名单账号等预设条件的风险交易，并触发监控告警模块实施告警。

  事后阶段，信息追溯模块提取了链上20余万条用户注册资料和400余万条交易记录，从中检索出包含不良信息的3000余条数据;信息屏蔽模块在用户查询交易涉及此类数据时返回告警信息。

  工商银行金融科技研究院提出的区块链全流程监管技术支撑体系旨在实现区块链合规管控，具备事前、事中、事后的监管支撑能力，支持监管规则的灵活配置与链上链下监管联动，可有效落实监管要求，对金融同业合规应用区块链技术具有一定的借鉴意义。未来，工商银行将持续探索符合监管规则的区块链应用技术方案，进一步推动区块链技术的广泛合规应用，为建设可信数字经济、助力实体经济发展发挥积极作用。