上一期講了交易所暫停活躍帳戶的四類觸發場景：交易模式監測、鏈上地址監測、第三方報告、使用者安全保護觸發。第一類是使用者追問最多的——常見的提問形式是「我沒做什麼，帳戶為什麼被打標？」本期就來解釋這一類監測在行業層面的運作邏輯。本文描述的是受監管金融機構被要求關注的信號類型，並不描述任何具體平台（包括 Bitbase（幣貝））的內部規則。

「異常」不是交易所自行定義的標籤，而是一個由國際反洗錢框架定義、經公開報告反覆刷新的類別。

制度史沿著三個節點展開。1970 年美國《銀行保密法》（Bank Secrecy Act，BSA）引入大額現金交易報告（Currency Transaction Reports，CTR），首次以聯邦立法要求金融機構對超過門檻的現金交易上報；並由此官方認定，刻意規避該義務的行為本身即構成一種信號。1989 年在巴黎成立的金融行動特別工作組（Financial Action Task Force，FATF）此後持續發布 Typologies Reports，以案例為基礎記錄洗錢、恐怖融資及相關濫用行為在金融系統中的實際表現形態。2013 年之後，鏈上分析方法論加入這套體系，把以地址為單位的模式識別應用於公開帳本資料。

多數受監管金融機構——銀行、券商、匯款公司、加密交易所——在監測維度上高度趨同。原因是結構性的：它們對接同一套國際標準。FATF Recommendation 10（客戶盡職調查）、11（記錄保存）與 20（可疑交易報告）構成共同主幹。

在行業術語上，監測信號被稱為 red flag indicators（紅旗指標）——值得進一步關注的可觀察模式，而非違法判定。本文使用「信號」一詞，均指這一層含義。

結構化交易（structuring）是 AML 監測中的教科書級信號，起源遠早於加密行業。BSA 時代的結構化指：把一筆大額現金存款拆成多筆較小的存款，每筆恰好低於觸發 CTR 上報的門檻，以規避上報義務。美國法在 1986 年以 31 U.S.C. § 5324（《銀行保密法》修訂條款）將結構化本身列為獨立罪名。

這一模式之所以被持續打標，是因為它無需任何關於意圖的資訊即可觀察。監測系統不需要知道交易為什麼是這種金額結構，只需觀察到金額持續落在上報門檻之下、出現在不尋常的聚集中，或在多帳戶間以統計上更接近規避結構、而非正常商業活動的方式分布。

加密場景下，結構化有變種：把一筆大額轉帳拆成多筆流向同一對手方的小額；把相近金額經由若干個不同名字的帳戶路由；先做小額測試轉帳、緊接著大額轉帳，且序列與已知洗錢腳本相似。FATF《Updated Guidance for a Risk-Based Approach to Virtual Assets and VASPs》（2019 年 6 月發布、2021 年 10 月修訂）在其 typology 目錄中列出了這些模式。

理解結構化作為信號，需要把握兩點。其一，被監測的是模式，而不是任何單筆交易——任何低於門檻的單筆交易本身都不構成問題，被讀到的是序列的形態。其二，結構化樣態的出現本身並不蘊含非法意圖——許多合規行為（定期供應商付款、薪資週期、訂閱拆分等）都可能在表層產生相似性。這正是此類信號觸發複核、而不是給出結論的原因。

每個帳戶在使用過程中都會形成一套行為基線。其維度並不神祕，凡看過自己銀行帳單的人都熟悉：典型的資金來源、典型的對手方、典型的資產類別、典型的交易金額、典型的活動時段。基線本身不會披露給帳戶持有人，對監測而言也無需披露。

當帳戶活動以超出正常波動可解釋的方式離開既定基線，帳戶即進入複核。常見的觸發情境包括：交易金額發生數量級跳變；資金來源從既定渠道切換至新渠道；新出現的對手方集中在更高風險的地區；資產構成快速變化（例如長期交易主流資產的帳戶突然連續涉及一系列低流動性代幣）；交易在與帳戶既有活動節律錯位的時段集中出現。

基線機制的設計並非懲罰性，其功能正相反——它提供一個比較基準，使系統能把帳戶的常態活動識別為常態，而不至於對每筆交易都預設起疑。這一設計的代價是：任何足夠劇烈的基線偏離——哪怕背後有完全善意的解釋——都會被讀為值得查看的信號。

這意味著合理的人生事件也會產生基線偏離：繼承遺產、出售生意、收到大額獎金、開始新的投資策略，或在沉寂一段時間後重新提升交易頻率，都會在資料層呈現為偏離。監測系統讀取的是變化的形態，無法獲知背後的原因。複核環節中由使用者提供的說明與材料，正是把「原因」補回記錄的機制。

框定一句：偏離基線不是判定帳戶存在問題的結論，而是系統提示「畫面發生了變化、需要人工查看」的標記。

FATF 及其各區域機構自 1990 年代起持續發布 Typologies Reports。各國金融情報機構（FIU）——美國 FinCEN、英國 FCA、澳洲 AUSTRAC 等——也定期產出同類報告。報告以案例為基礎，記錄具體濫用模式在已知事件中的呈現方式：帳戶接管詐欺、洗錢多層鏈、市場操縱套路、勒索軟體資金流向、制裁規避手法等。

監測系統把這些 typology 作為參考範本。當一個帳戶的活動在交易模式、對手方畫像、時間分布等維度上與已知 typology 表現出足夠的相似度，相似度得分越過閾值，帳戶即進入複核。這就是「typology 匹配」。

理解 typology 匹配，需要把握兩點。

其一，匹配是機率性的。監測系統不會以二元方式宣布某帳戶「匹配」某洗錢套路，它給出的是一個相似度判斷——高、中、低。低置信度匹配仍然需要複核，因為漏掉真實案例的代價高於清掉一個誤報。這一成本不對稱，正是監測系統在信號階段被設計為偏寬鬆的原因。

其二，typology 持續更新。新模式不斷出現，舊模式持續演化，整套目錄持續修訂。一個帳戶在六個月前不會觸發匹配的行為，今天可能觸發——並非該帳戶發生了變化，而是 typology 目錄擴展到覆蓋了一個新識別出的模式。這是監測被描述為「持續」而非「一次性檢查」的原因之一。

typology 匹配並不意味著帳戶被認定從事 typology 所描述的活動。它的實際含義是：在系統可以衡量的特徵層面，這一行為的表層與某一已知模式相似，足以觸發更近距離的人工查看。

前三類信號讀的是使用者的行為，本節這一類信號讀的是使用者資金的上游。

公開的鏈上分析框架——以 Chainalysis、Elliptic、TRM Labs 等機構自 2013 年前後建立的方法論為代表——維護著規模龐大的地址風險標籤庫，資料來自公開的鏈上記錄、公開調查與執法披露。常見類別包括：與 OFAC 制裁主體相關的地址；已知混幣服務運營的地址；與公開歸因的漏洞、盜竊事件、勒索軟體支付相關的地址；與暗網市場相關聯的地址；已確認參與詐騙操作的地址。

當資金從攜帶此類標籤的地址進入交易所帳戶，接收帳戶即可能進入複核，與該使用者自身的行為無關。出幣方向同理：提幣地址若匹配制裁或盜竊標籤，會觸發同等關注。歐盟《Transfer of Funds Regulation》（與 MiCA 框架同步落地）賦予 VASPs 在超過既定門檻的轉帳中交換發起人與受益人資訊的義務。

對使用者而言的實際結果是：資金的來源——而不僅是去向——會影響帳戶狀態。一名使用者接收了一筆自己並不了解上游來歷的轉帳，可能在接收側被要求做核驗。這是鏈上透明性與 AML 義務相互作用的結構性特徵：鏈是公開的，標籤是公開的方法論，受監管機構被要求閱讀兩者。

與前三類信號一致：地址標籤匹配是複核觸發，而不是認定結論。多數標籤關聯會在使用者提供資金來源說明後被解除。

這是貫穿前五節的總括。

以上四類情況下，系統的動作都是同一個：信號觸發複核義務。複核由人執行，通常需要使用者配合提供上下文——說明、文件、佐證。信號本身、使用者提供的解釋、與複核可及的客觀事實三者結合，決定下一步的走向。

單獨的信號不構成「帳戶存在問題」的判定，而是值得關注的標記。絕大多數信號在複核後被清除；較少一部分進入後續步驟（更進一步的核驗、帳戶限制）；涉及疑似嚴重濫用的情況下，按法定流程上報監管機構。各類比例不會被任何平台公開披露——披露會讓監測系統的功能失效。

對帳戶被打標的使用者而言，含義很直接：複核是程序性的。配合核驗請求、提供準確的文件、透過官方客服渠道溝通，是僅有的相關動作。不存在更快的路徑，不存在內部可疏通的人，不存在「消除信號」的技巧。系統的設計是衡量證據；與之相稱的回應，是提供證據。

延伸閱讀。 本系列上一期：《交易所為什麼要做嚴格風控：KYC 與帳戶安全的入門解釋》。