上一期讲了交易所暂停活跃账户的四类触发场景：交易模式监测、链上地址监测、第三方报告、用户安全保护触发。第一类是用户追问最多的——常见提问形式是“我没做什么，账户为什么被打标？”本期解释这一类监测在行业层面的运作逻辑。本文描述的是受监管金融机构被要求关注的信号类型，不描述任何具体平台（包括 Bitbase（币贝））的内部规则。

“异常”不是交易所自行定义的标签，而是一个由国际反洗钱框架定义、经公开报告反复刷新的类别。

制度史沿三个节点。1970 年美国《银行保密法》（Bank Secrecy Act，BSA）引入大额现金交易报告（Currency Transaction Reports，CTR），首次以联邦立法要求金融机构对超过门槛的现金交易上报；并由此官方认定，刻意规避该义务的行为本身即构成一种信号。1989 年在巴黎成立的金融行动特别工作组（Financial Action Task Force，FATF）此后持续发布 Typologies Reports，以案例为基础记录洗钱、恐怖融资及相关滥用行为在金融系统中的实际表现形态。2013 年之后，链上分析方法论加入这套体系，把以地址为单位的模式识别应用于公开账本数据。

多数受监管金融机构——银行、券商、汇款公司、加密交易所——在监测维度上高度趋同。原因是结构性的：它们对接同一套国际标准。FATF Recommendation 10（客户尽职调查）、11（记录保存）与 20（可疑交易报告）构成共同主干。

行业术语上，监测信号被称为 red flag indicators（红旗指标）——值得进一步关注的可观察模式，不是违法判定。本文使用“信号”一词，均指这一层含义。

结构化交易（structuring）是 AML 监测中的教科书级信号，起源远早于加密行业。BSA 时代的结构化指：把一笔大额现金存款拆成多笔较小存款，每笔恰好低于触发 CTR 上报的门槛，以规避上报义务。美国法在 1986 年以 31 U.S.C. § 5324（《银行保密法》修订条款）将结构化本身列为独立罪名。

这一模式之所以被持续打标，是因为它无需任何关于意图的信息即可观察。监测系统不需要知道交易为什么是这种金额结构，只需观察到金额持续落在上报门槛之下、出现在不寻常的聚集中、或在多账户间以统计上更接近规避结构而非正常商业活动的方式分布。

加密场景下结构化有变种：把一笔大额转账拆成多笔流向同一对手方的小额；把相近金额经由若干个不同名字的账户路由；先做小额测试转账、紧接大额转账，且序列与已知洗钱脚本相似。FATF《Updated Guidance for a Risk-Based Approach to Virtual Assets and VASPs》（2019 年 6 月发布、2021 年 10 月修订）在其 typology 目录中列出了这些模式。

理解结构化作为信号需要把握两点。其一，被监测的是模式，不是任何单笔交易——任何低于门槛的单笔交易本身都不构成问题，被读到的是序列的形态。其二，结构化样态的出现本身并不蕴含非法意图——许多合规行为（定期供应商付款、薪资周期、订阅拆分等）都可能在表层产生相似性。这是此类信号触发复核、而不是给出结论的原因。

每个账户在使用过程中都会形成一套行为基线。维度并不神秘，凡看过自己银行账单的人都熟悉：典型的资金来源、典型的对手方、典型的资产类别、典型的交易金额、典型的活动时段。基线本身不披露给账户持有人，对监测而言也无需披露。

当账户活动以超出正常波动可解释的方式离开既定基线，账户即进入复核。常见触发情境包括：交易金额发生数量级跳变；资金来源从既定渠道切换至新渠道；新出现的对手方集中在更高风险的地区；资产构成快速变化（例如长期交易主流资产的账户突然连续涉及一系列低流动性代币）；交易在与账户既有活动节律错位的时段集中出现。

基线机制的设计并非惩罚性，功能正相反——它提供一个比较基准，使系统能把账户的常态活动识别为常态，而不至于对每笔交易都默认起疑。这一设计的代价是：任何足够剧烈的基线偏离——哪怕背后有完全善意的解释——都会被读为值得查看的信号。

这意味着合理的人生事件会产生基线偏离：继承遗产、出售生意、收到大额奖金、开始新的投资策略，或在沉寂一段后重新提升交易频率，都会在数据层呈现为偏离。监测系统读取的是变化的形态，无法获知背后的原因。复核环节中由用户提供的说明与材料，是把“原因”补回记录的机制。

框定一句：偏离基线不是判定账户存在问题的结论，而是系统提示“画面发生了变化、需要人工查看”的标记。

FATF 及其各区域机构自 1990 年代起持续发布 Typologies Reports。各国金融情报机构（FIU）——美国 FinCEN、英国 FCA、澳大利亚 AUSTRAC 等——也定期产出同类报告。报告以案例为基础，记录具体滥用模式在已知事件中的呈现方式：账户接管欺诈、洗钱多层链、市场操纵套路、勒索软件资金流向、制裁规避手法等。

监测系统把这些 typology 作为参考模板。当一个账户的活动在交易模式、对手方画像、时间分布等维度上与已知 typology 表现出足够相似度，相似度得分越过阈值，账户即进入复核。这就是“typology 匹配”。

理解 typology 匹配需要把握两点。

其一，匹配是概率性的。监测系统不会以二元方式宣布某账户“匹配”某洗钱套路，它给出的是一个相似度判断——高、中、低。低置信度匹配仍然需要复核，因为漏掉真实案例的代价高于清掉一个误报。这一成本不对称是为何监测系统在信号阶段被设计为偏宽松。

其二，typology 持续更新。新模式不断出现，旧模式持续演化，整套目录持续修订。一个账户在六个月前不会触发匹配的行为，今天可能触发——并非该账户发生了变化，而是 typology 目录扩展到覆盖了一个新识别出的模式。这是监测被描述为“持续”而非“一次性检查”的原因之一。

typology 匹配并不意味着账户被认定从事 typology 所描述的活动。它的实际含义是：在系统可以测量的特征层面，这一行为的表层与某一已知模式相似，足以触发更近距离的人工查看。

前三类信号读的是用户的行为，本节这一类信号读的是用户资金的上游。

公开的链上分析框架——以 Chainalysis、Elliptic、TRM Labs 等机构自 2013 年前后建立的方法论为代表——维护着规模庞大的地址风险标签库，数据来自公开链上记录、公开调查与执法披露。常见类别包括：与 OFAC 制裁主体相关的地址；已知混币服务运营的地址；与公开归因的漏洞、盗窃事件、勒索软件支付相关的地址；与暗网市场相关联的地址；已确认参与诈骗操作的地址。

当资金从携带此类标签的地址进入交易所账户，接收账户即可能进入复核，与该用户自身行为无关。出币方向同理：提币地址若匹配制裁或盗窃标签，会触发同等关注。欧盟《Transfer of Funds Regulation》（与 MiCA 框架同步落地）赋予 VASPs 在超过既定门槛的转账中交换发起人与受益人信息的义务。

对用户而言的实际结果是：资金的来源——不仅是去向——会影响账户状态。一名用户接收了一笔自己并不了解上游来历的转账，可能在接收侧被要求做核验。这是链上透明性与 AML 义务相互作用的结构性特征：链是公开的，标签是公开方法论，受监管机构被要求阅读两者。

与前三类信号一致：地址标签匹配是复核触发，不是认定结论。多数标签关联会在用户提供资金来源说明后被解除。

这是贯穿前五节的总括。

以上四类情况下，系统的动作都是同一个：信号触发复核义务。复核由人执行，通常需要用户配合提供上下文——说明、文件、佐证。信号本身、用户提供的解释、与复核可及的客观事实三者结合，决定下一步走向。

单独的信号不构成“账户存在问题”的判定，而是值得关注的标记。绝大多数信号在复核后被清除；较少一部分进入后续步骤（更进一步的核验、账户限制）；涉及疑似严重滥用的情况下，按法定流程上报监管机构。各类比例不会被任何平台公开披露——披露会让监测系统的功能失效。

对账户被打标的用户而言，含义直接：复核是程序性的。配合核验请求、提供准确文件、通过官方客服渠道沟通，是仅有的相关动作。不存在更快的路径，不存在内部可疏通的人，不存在“消除信号”的技巧。系统的设计是衡量证据；与之相称的回应，是提供证据。

延伸阅读。 本系列上一期：《交易所为什么要做严格风控：KYC与账户安全的入门解释》。