当我和世界其他人一起等待第一个比特币 ETF 获得批准时,有一件事一直困扰着我:除了包括 Fidelity 和 VanEck 在内的少数例外,几乎每个现货比特币 ETF 的申请人都打算使用 Coinbase 作为其保管人。
作为专注于区块链的网络安全领导者,这种风险的集中、加密货币托管固有的高风险性质等让我犹豫不决。
让我担心的并不是 Coinbase 本身。 该公司从未遭受过已知的黑客攻击,这解释了为什么如此多的传统机构信任其专业性。 然而,不存在不可破解的目标——只要有足够的时间和资源,任何人都可能受到损害,这是我在网络安全和资产管理交叉领域的职业生涯中学到的教训。
让我担心的是资产极端集中于单一托管人。 考虑到加密资产与现金类似的性质,这种情况本身就令人担忧。
也许是时候重新考虑“合格托管人”的指定了,这是一种监管签字,其目前的形式不一定能确保基于区块链的风险资产必然(或最好)得到保护。 此外,理想情况下,数字资产托管人应该受到比现在更严格的州和联邦标准、训练有素的监管机构更多的监督。
如今,大多数合格的托管人都保护股票、债券或数字追踪的法定余额,所有这些从根本上来说都是合法协议,不能简单地“窃取”。 但比特币(BTC)与现金和黄金一样,是一种不记名票据。 一次成功的加密货币黑客攻击就像狂野西部的银行抢劫一样,一旦落入小偷手中,钱就消失了。
因此,对于加密货币托管人来说,只要犯一个错误,资产就会完全消失。
我们还知道,全球加密货币犯罪的力量是强大且坚定的。 仅举一个臭名昭著的例子,朝鲜的 Lazarus Group 黑客团队据信在过去六年中窃取了价值 30 亿美元的加密货币,而且没有任何停止的迹象。 预计第一个交易周流入比特币 ETF 的资金将超过 60 亿美元,这使得这些基金成为主要目标。
如果 Coinbase 最终在其数字金库中存有数百亿比特币,朝鲜可以轻松组织一次价值 5000 万美元的行动来窃取这些资金,即使这需要多年时间。 像俄罗斯 Cozy Bear/APT29 组织这样的威胁参与者也可能会发现,随着这些资金池变得越来越大(可能会更大),追捕机构加密货币变得越来越有吸引力。
这是各大银行准备应对的威胁级别。 金融机构的一种广泛使用的风险管理模式采用三层监督。 首先,业务管理层设计并实施安全实践; 其次,风险层监督和评估这些做法; 第三,审计层确保风险缓解实践确实有效。
最重要的是,传统金融机构将有外部审计师和外部 IT 监督,以及众多州和联邦监管机构的监督。 很多很多的眼睛会审视风险和安全的各个方面。
但这些多层次的冗余和嵌套故障保护需要一件看似简单的事情:员工人数。
在我担任纽约梅隆银行数字资产技术全球主管期间,该投资银行大约有 50,000 名员工,其中约 1,000 人(即 2%)担任安全职务。 即使在最近进行扩张之后,Coinbase 的员工数量仍不足 5,000 名。 BitGo也是纽约州和其他司法管辖区认证的合格托管商,但其数量只有几百个。
这并不是要质疑任何这些组织或其员工的意图或技能。 但真正的监督需要冗余,而这些新机构可能很难提供足够的冗余来确保数百亿美元的不记名票据的安全。
在这些数字变得更大(对坏人来说更具吸引力)之前,早就应该完善合格托管人指定的网络安全标准了。 目前,伴随着信托或银行许可,由州和联邦监管机构监督。 这些金融监管机构主要关注传统银行业,而不是网络安全专家,当然也不是加密货币专家。 可以理解的是,他们关注资产负债表、法律程序和其他财务运作。
但对于加密货币托管人来说,这些并不是唯一重要的监督,甚至不一定是最重要的。 对于加密货币托管人的网络安全和风险管理实践,目前还没有全行业的标准,这意味着“合格托管人”的地位并不像听起来那么令人放心。 这不仅使投资者,而且使整个新兴行业面临不透明的风险,并可能带来可怕的后果。
一系列比特币 ETF 的批准只是数字资产持续融入金融体系的最新一步。 你不必相信加密货币们的预测——只要问问支持 ETF 的传统巨头贝莱德就知道了。 随着这些发展的继续,真正对投资者保护感兴趣的监管机构将专注于适应这个新世界:在这个新世界中,严格的网络安全标准对于金融稳定与诚实披露和财务审计同样重要。
声明:此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。本网站所提供的信息,只供参考之用。