在香港公布了虚拟货币交易所条例后,超过200家交易所争先恐后的在香港申请牌照,各对牌照的公布结果也都非常的期待。距离官方公布还有一段时间,我们可以参考新加坡和日本的经验窥探香港即将发牌的情况。
日本是最早对虚拟资产采取友善态度的亚洲国家,2017年就开始把虚拟资产合规化。在经历大规模交易所破产后,对虚拟资产的态度变的严谨。开始有100多家交易所申请牌照,有20家获批,但是只有5家左右得到牌照的公司持续运营。
新加坡也一直积极推进区块链技术和其他金融新兴技术,但对虚拟资产一直采取保守的态度。截止到2023年6月,新加坡金融管理局(MAS)共收到461份牌照申请,只有19家提供虚拟资产服务公司获得许可证或原则上被获批。只有寥寥几家提供交易平台获得牌照,剩余牌照被FOMO支付,DBS Vickers Securities,Revolut等有传统金融背景的机构瓜分。FTX暴雷也导致新加坡的主权基金——淡马锡受到经济和名誉上双重损失,作为“避风港”的新加坡也因此卷入风暴中心。
从新加坡和日本的发牌情况不难看出,即使是“虚拟资产友好国家”,对虚拟资产也非常的谨慎。根据香港SFC官方资料,虽然已经获得1&7号牌照的的OSL和Hashkey Pro只需要再次进行简易申请,但目前也没有正式获批虚拟资产经营牌照(VASP)。
数据来源:SFC官网
一些专业人士推测能够获得香港证监会Deemed Licence的交易所不超过10家。交易所得到Deemed Licence之后,SFC也会通过一段考核期来深入了解交易所的具体运营情况和风险,才会确认Final Licence的归属。因此,交易所在此期间的运营将会是能否被正式批准的重中之重。
那么,如何经营交易所才能够获得SFC的青睐呢?
要回答这个问题,我们需要了解到监管的本质,以及监管侧重点。
从香港证监会(SFC)公布出的咨询文件和反洗钱条例来看,不难看出SFC对虚拟资产监管放在两方面:1. 投资者保护;2. 反洗钱。我们的以下分析也主要基于这两个角度,旨在为交易所未来运营“划重点”,鼓励更多的交易所在合规的框架下经营。
为投资者安全铸盾
根据财政部发布的立法会简报,VASP 发牌申请人被要求遵守证监会施加的一套强有力的监管要求。投资者保护的领域包括但不限于:资产安全保管、利益冲突、网络安全、审计和风险管理等关键领域。根据上述关键词,我们可以把此章节分成两个角度去探讨:1.信息披露 ;2. 技术安全。
信息披露下的投资者保护
证监会特别强调,虚拟资产并不直接受证监会的监管,意即证监会从未审核亦未曾审阅虚拟资产的要约及推广文件,这与传统金融产品大有分别。保障客户资产的责任落在了交易所的头上。
- 虚拟资产纳入以及交易披露
传统股票的交易会在托管行和证券存管机构(CSD),股票账户的计增(减)都会在CSD进行统一结算。在中心化的市场交易下,虽然有运行效率低,人力成本高,法律关系复杂等缺点,但是官方可以通过CSD等机构监测公司高管交易动态,具体证券交易流程如下图所示,
股票交易流程图;数据来源:World Economic Forum与证券交易流程不同,虚拟资产大额交易在链上交互的频率远高于中心化交易所(如下图所示),由于区块链去中心化和反审查等特性,交易所对项目方内部以及关联人的链上交易追踪更加重要。
链上大额数据交互频率;数据来源:OKLink根据SFC咨询文件里的标注:
交易所对上币的项目方的有直接的责任,需要采取一切合理步骤进行全方位的尽职调查。项目方团队及关联人交易应是平台关注的重点。由于区块链的特性,我们需要进行链上的数据分析,用链上记录的特点代替CSD交易记录的功能。
交易平台只需要自主开发或者采用第三方链上数据服务商,分析项目方的链上数据,透明化项目方交易信息,实时监控项目方的创始人和主要控股人的链上关联交易等,达到满足SFC信息披露的要求。
- 财务披露
和传统的上市审计不同,虚拟资产审计难度更大。传统审计已经有一套完善的流程,对于资产的折旧,减计(值),估值,负债以及资产存储很清楚,但对于区块链业务,审计师(即核数师)往往经验不足,对于交易所的资产估值和及负债很难衡量,所以出具报告的可靠性也要打个折扣。
例如,在FTX暴雷后,很多交易所出具的Mazars的“储备证明”,受到了公众的质疑,因为其审计报告并没有涉及内部财务报告控制的有效性。在SFC的咨询文件里面,SFC也指明 “披露虚拟资产交易平台的负债” 难度较大。
目前各大交易平台,如OKX,币安,Bybit都是使用默克尔树的方式验证负债,大致上就是把数据处理流程层级化,在一层层向上传输结果的过程中,验证前后节点,若是失败就无法进行下一步,就证明数据造假。
资产验证流程图;数据来源:OKX
*具体原理可以看这篇文章,OKX做了很详细的说明。
虽然Merkle Tree目前被看做虚拟资产审计的“最优解”,但依然存在中心数据无法被信任,无法证明私钥是自家拥有,审计资产有可能是临时借入等问题。交易所在采用Merkle Tree技术的同时,还需要:a.加入欺诈惩罚; b. 加快默克尔树数据频率更新; c. 与第三方审计或技术公司开展合作等更好公示平台的资产状况。
技术安全下的投资者保护
香港财政司司长陈茂波曾表示:“Web3.0的发展要为技术设下适当的护栏,让技术以及应用以负责任及可持续发展的模式推进。”
而现在交易所习惯依赖技术服务商,这些服务商没有 SFC 期望的服务水平。SFC的咨询文件和反洗钱条例里也反复提及对交易所技术安全的担忧。
各大公司在技术开发上也付出了很多成本。今年 4 月,Cobo 表示根据现有监管框架扩大香港的团队,积累更多专业技术人员。Amber Group 今年也与技术咨询公司 Thoughtworks 达成合作,将共同开发技术工具和解决方案。OKX接受媒体采访时也表示在香港的团队仅是关于产品和技术研发的人数就已经超过500人。
关于技术安全方面,我们需要重点关注两个方面:1. 资金托管安全;2. 网络安全。
- 资金托管安全
近年,虚拟货币崩盘、平台破产清算的新闻层出不穷,包括不少传统金融的老问题,包括资本不足、挪用客户资产等。资金托管不当是发生此类事件的主要根源。中心化加密资产交易平台BitMart曾因Ethereum和BSC热钱包存在安全漏洞,导致约1.5亿美元资产被盗。
根据欧科云链的链上卫士操作流程图所示,黑客使用1inch、Tornado.Cash等工具转移交易所钱包的被盗资金。
黑客链上转移资产流程图;数据来源:欧科云链
所以SFC要求交易所满足98%的虚拟资产需要存储在线下冷钱包,并要求资产不能放在第三方公司,而是放在旗下子公司方便监管。
为了满足要求,各大加密交易所展开了一系列措施。如,OSL平台为申请可经营零售交易的许可,已扩展了冷热钱包基础设施。OKX平台内部采用冷热钱包分离策略,以在线/离线存储系统、多重签名和多重备份等机制确保用户资产安全。
欧科云链也曾向SFC建议,交易所在实施资金托管时,应注意冷热钱包的关键细节方面的处理, 比如:
a. 对于冷钱包,硬件应被分散托管到香港的各个银行里,且私钥只能使用一次交易,用过后应该被废弃;
b. 对于热钱包,私钥应被存储在硬件安全模组,并且利用MPC或者密钥分片等密码学技术来存储私钥;
- 网络安全
虚拟资产交易所的网络威胁一般来自外部信息系统入侵,第三方数据存储宕机导致交易撮合失效,服务器不堪负重等。虚拟资产交易所面临的威胁和传统机构的差别不大,但传统机构长期受到政府监管,有长久的技术积累,而新型虚拟资产交易所往往团队开发能力有限,技术事故更为频繁,像大多数交易所依然使用基于数据库的撮合交易。
SFC最近披露的文件对交易平台提出了更高的要求,包括但不限于对交易系统和基础设施避免或者减少盗窃,欺诈,错误及遗漏交易,服务器中断等风险,重点突出自动化工具的开发和应用以应对潜在的系统攻击。
图片来源:SFC最新公布的《适用于虚拟资产交易平台运营者的指引》
在我们团队看来,交易所除了开发或者购买自动化工具定期进行漏洞扫描外,还要聘请多家外部安全公司进行渗透测试和安全性测试;如现金流充裕还可以进行冗余设计,引入内存状态机复制技术(成本较高)或者多机热备份技术(故障几率大);未来,我们也期待各交易联合做市商设计标准数据接口减少触发技术和数据故障。
防范洗钱风险
联合国统计显示,全球每年洗钱金额已达8000亿至2万亿美元,约占GDP的2%至5%。仅在2022年,全球金融机构因反洗钱相关违规共被罚款超过80亿美元。随着新型业务和交易方式开展,机构需要应对新兴技术和业务带来的监管难题。
- 支付渠道反洗钱
根据Hashkey Pro首席运营官的观点:“入金通道往往是交易所之间的“必争之地”,因为“出入金通道,是(用户)从法币到虚拟资产的唯一桥梁。” 根据SFC文件披露,
新加坡对虚拟资产的监管重心也放在数字支付业务,未来港府也有可能结合《支付系统及储值支付工具条例》对支付渠道单独监管。在反洗钱和反恐怖融资的监管下,交易所在“出入金”端有必要设置更严格的筛查方式以满足SFC的要求。
但是由于链上活动和出入金的复杂性,交易所需要采用更多样和更广泛的方法。根据HKMA和德勤联合披露的报告(AML Regtech:Network Analysis),重点提及机构应该采用传统和新型大数据分析相结合(Network Analysis)的方法,全面又系统的对可疑资金和出入金通道进行监察。
传统和新兴信息技术筛选结合;图片来源:AML Regtech: Network Analytics
交易所应该加强银行和链上数据服务商的合作,采用类似“network analysis”等方法在AML/CFT等特定领域,合作打击洗钱。
- 资金流向监管
数字货币的匿名特性导致资产可以快速转移,并且很难追踪。SFC在咨询文件中(如下图)详细的点出了非托管钱包的转账往来可能带来的洗钱/恐怖分子资金筹集风险。
Web3领域的资金不再通过银行账户进行转账,而是链上地址之间进行,一些如同混币器、匿名钱包等应用更会增加交易的隐匿性。如下图所示,用户A只需要把资金转移到一个隐藏数字签名的黑匣子(俗称混币器),然后把资金打乱通过黑匣子送给B,这样就没人知道B的资金来源。
链上标签识别反洗钱;图片来源:OKG Research
在这种情况下,目前比较适宜的处理方式是通过庞大的数据系统对链上所有“混币合约地址”打上标签(如上图所示),通过监控和混币器交互的地址来判定用户的洗钱嫌疑。
因此,链上地址系统筛查的能力就非常重要。近期,为客户提供财富管理服务的香港持牌信托人,Future Wing Financial,也和欧科云链达成合作,利用OKLink的庞大数据库将用户地址与风险行为和事件关联,监控洗钱风险,满足虚拟资产的合规需求。
总结
香港态度转变无疑为发展虚拟资产带来了一个更加稳健的窗口,而前者日本和新加坡的经验也验证监管需要采取严格措施预防和管控“最坏的情况”。
最近的官方文件都对交易所提出了更加细致,更加严苛的要求,除了上述需要注意的事项外,SFC也提出了“避免利益冲突”、“限制业务”、“禁止诱导投资”等要求,而这些高标准最终会使得香港的虚拟资产市场朝着更有序的方向发展,最终会使投资者和交易平台受益。
关于我们
欧科云链研究院是欧科云链集团旗下的战略研究机构,以帮助全球商业、公共和社会部门更深入了解金融科技和区块链经济的演变为使命,输出深度分析和专业内容,涵盖技术应用与创新、科技与社会演变等主题,致力于推动区块链技术等前沿科技的应用与可持续发展。
参考
Key Proposed Regulatory Requirements for Hong Kong Licensed VA Trading Platform Operators
https://www.charltonslaw.com/hong-kong-sfc-consults-on-proposed-regulatory-requirements-for-hong-kongs-new-virtual-asset-service-provider-regime/
What to expect in the new era of virtual assets in Hong Kong
https://www.sflawyershk.com/assets/pdf/en/2022/12/what-to-expect-in-the-new-era-of-virtual-assets-in-hong-kong.pdf
从中央存管(CSD)到分布式账本(DLT)
http://www.financialservicelaw.com.cn/article/default.asp?id=8725
香港能否成为全球虚拟资产中心?界面新闻Web3闭门会回顾
https://new.qq.com/rain/a/20230615A017RT00
一文了解Merkle Tree储备证明,有何意义和漏洞?
https://www.aicoin.com/article/322817.html
新加坡发牌
https://www.chaincatcher.com/article/2096494
社会热点
https://cryptomarketboard.com/category/%E7%A4%BE%E4%BC%9A%E7%83%AD%E7%82%B9/
香港交易所持牌制度
https://www.binance.com/zh-CN/feed/post/547954
AML Regtech: Network Analytics
https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/aml-cft/AML_Regtech-Network_Analytics.pdf
咨询文件
https://sc.sfc.hk/TuniS/apps.sfc.hk/edistributionWeb/api/consultation/conclusion?lang=TC&refNo=23CP1
数字货币交易平台面临着哪些安全威胁?
https://www.freebuf.com/articles/blockchain-articles/184092.html