歐科雲鏈研究院 - 香港監管下，虛擬資產交易的合規挑戰與應對策略

【合作文章】

引言：本文主要內容是透過監管本質和側重點，探究交易所如何在未來運營考驗中更好的受到監管的青睞。

出品｜歐科雲鏈研究院

作者｜Matthew Lee

在香港公佈了虛擬貨幣交易所條例後，超過 200 家交易所爭先恐後的在香港申請牌照，對牌照的公佈結果也都非常的期待。距離官方公佈還有一段時間，我們可以參考新加坡和日本的經驗窺探香港即將發牌的情況。

日本是最早對虛擬資產採取友善態度的亞洲國家，2017 年就開始把虛擬資產合規化。在經歷大規模交易所破產後，對虛擬資產的態度變的嚴謹。開始有 100 多家交易所申請牌照，有 20 家獲批，但是只有 5 家左右得到牌照的公司持續運營。

新加坡也一直積極推進區塊鏈技術和其他金融新興技術，但對虛擬資產一直採取保守的態度。截止到 2023 年 6 月，新加坡金融管理局（MAS）共收到 461 份牌照申請，只有 19 家提供虛擬資產服務公司獲得許可證或原則上被獲批。只有寥寥幾家提供交易平台獲得牌照，剩餘牌照被 FOMO 支付，DBS Vickers Securities，Revolut 等有傳統金融背景的機構瓜分。 FTX 暴雷也導致新加坡的主權基金——淡馬錫受到經濟和名譽上雙重損失，作為“避風港”的新加坡也因此捲入風暴中心。

從新加坡和日本的發牌情況不難看出，即使是“虛擬資產友好國家”，對虛擬資產也非常的謹慎。根據香港 SFC 官方資料，雖然已經獲得 1 & 7 號牌照的的 OSL 和 Hashkey Pro 只需要再次進行簡易申請，但目前也沒有正式獲批虛擬資產經營牌照（VASP）。

一些專業人士推測能夠獲得香港證監會 Deemed Licence 的交易所不超過 10 家。交易所得到 Deemed Licence 之後，SFC 也會通過一段考核期來深入了解交易所的具體運營情況和風險，才會確認 Final Licence 的歸屬。因此，交易所在此期間的運營將會是能否被正式批准的重中之重。

那麼，如何經營交易所才能夠獲得SFC的青睞呢？

要回答這個問題，我們需要了解到監管的本質，以及監管側重點。

從香港證監會（SFC ）公佈出的咨詢文件和反洗錢條例來看，不難看出 SFC 對虛擬資產監管放在兩方面：1. 投資者保護；2. 反洗錢。我們的以下分析也主要基於這兩個角度，旨在為交易所未來運營“劃重點”，鼓勵更多的交易所在合規的框架下經營。

為投資者安全鑄盾

根據財政部發佈的立法會簡報，VASP 發牌申請人被要求遵守證監會施加的一套強有力的監管要求。投資者保護的領域包括但不限於：資產安全保管、利益沖突、網絡安全、審計和風險管理等關鍵領域。根據上述關鍵詞，我們可以把此章節分成兩個角度去探討：1.信息披露；2. 技術安全。

信息披露下的投資者保護

證監會特別強調，虛擬資產併不直接受證監會的監管，意即證監會從未審核亦未曾審閱虛擬資產的要約及推廣文件，這與傳統金融產品大有分別。保障客戶資產的責任落在了交易所的頭上。

虛擬資產納入以及交易披露

傳統股票的交易活動集中在在托管行和證券存管機構（CSD），股票賬戶的計增（減）都會在 CSD 進行統一結算。在中心化的市場交易下，雖然有運行效率低，人力成本高，法律關繫復雜等缺點，但是官方可以通過 CSD 等機構監測公司高管交易動態，具體證券交易流程如下圖所示，

與證券交易流程不同，虛擬資產大額交易在鏈上交互的頻率遠高於中心化交易所（如下圖所示），由於區塊鏈去中心化和反審查等特性，交易所對項目方內部以及關聯人的鏈上交易追蹤更加重要。

根據 SFC 咨詢文件裏的標註：

交易所對上幣的項目方的有直接的責任，需要採取一切合理步驟進行全方位的盡職調查。項目方團隊及關聯人交易應是平臺關註的重點。由於區塊鏈的特性，我們需要進行鏈上的數據分析，用鏈上記錄的特點代替 CSD 交易記錄的功能。

交易平臺只需要自主開發或者採用第三方鏈上數據服務商，分析項目方的鏈上數據，透明化項目方交易信息，實時監控項目方的創始人和主要控股人的鏈上關聯交易等，達到滿足 SFC 信息披露的要求。

財務披露

和傳統的上市審計不同，虛擬資產審計難度更大。傳統審計已經有一套完善的流程，對於資產的摺舊，減計（值），估值，負債以及資產存儲很清楚，但對於區塊鏈業務，審計師（即核數師）往往經驗不足，對於交易所的資產估值和及負債很難衡量，所以出具報告的可靠性也要打個摺扣。

例如，在 FTX 暴雷後，很多交易所出具的 Mazars 的“儲備證明”，受到了公眾的質疑，因為其審計報告併沒有涉及內部財務報告控制的有效性。在 SFC 的咨詢文件裏面，SFC 也指明 “披露虛擬資產交易平臺的負債” 難度較大。

目前各大交易平臺，如 OKX，幣安，Bybit 都是使用默克爾樹的方式驗證負債，大致上就是把數據處理流程層級化，在一層層嚮上傳輸結果的過程中，驗證前後節點，若是失敗就無法進行下一步，就證明數據造假。

*具體原理可以看這篇文章，OKX做了很詳細的說明。

雖然Merkle Tree目前被看做虛擬資產審計的“最優解”，但依然存在中心數據無法被信任，無法證明私鑰是自家擁有，審計資產有可能是臨時借入等問題。交易所在採用 Merkle Tree 技術的同時，還需要：a.加入欺詐懲罰; b. 加快默克爾樹數據頻率更新; c. 與第三方審計或技術公司開展合作等更好公示平臺的資產狀況。

技術安全下的投資者保護

香港財政司司長陳茂波曾錶示

“Web3.0的發展要為技術設下適當的護欄，讓技術以及應用以負責任及可持續發展的模式推進。”

而現在交易所習慣依賴技術服務商，這些服務商沒有 SFC 期望的服務水平。SFC 的咨詢文件和反洗錢條例裏也反復提及對交易所技術安全的擔憂。

各大公司在技術開發上也付出了很多成本。今年 4 月，Cobo 錶示根據現有監管框架擴大香港的團隊，積纍更多專業技術人員。Amber Group 今年也與技術咨詢公司 Thoughtworks 達成合作，將共同開發技術工具和解決方案。OKX 接受媒體採訪時也錶示在香港的團隊僅是關於產品和技術研發的人數就已經超過 500 人。

關於技術安全方面，我們需要重點關註兩個方面：1. 資金托管安全；2. 網絡安全。

資金托管安全

近年，虛擬貨幣崩盤、平臺破產清算的新聞層出不窮，包括不少傳統金融的老問題，包括資本不足、挪用客戶資產等。資金托管不當是發生此類事件的主要根源。中心化加密資產交易平臺 BitMart 曾因Ethereum 和 BSC 熱錢包存在安全漏洞，導致約 1.5 億美元資產被盜。

根據歐科雲鏈的鏈上衛士操作流程圖所示，黑客使用 1inch、Tornado.Cash 等工具轉移交易所錢包的被盜資金。

所以 SFC 要求交易所滿足 98% 的虛擬資產需要存儲在線下冷錢包，併要求資產不能放在第三方公司，而是放在旗下子公司方便監管。

為了滿足要求，各大加密交易所展開了一繫列措施。如，OSL 平臺為申請可經營零售交易的許可，已擴展了冷熱錢包基礎設施。OKX 平臺內部採用冷熱錢包分離策略，以在線/離線存儲繫統、多重簽名和多重備份等機制確保用戶資產安全。

歐科雲鏈也曾嚮 SFC 建議，交易所在實施資金托管時，應註意冷熱錢包的關鍵細節方面的處理, 比如：

a. 對於冷錢包，硬件應被分散托管到香港的各個銀行裏，且私鑰只能使用一次交易，用過後應該被廢棄；

b. 對於熱錢包，私鑰應被存儲在硬件安全模組，併且利用MPC或者密鑰分片等密碼學技術來存儲私鑰。

網絡安全

虛擬資產交易所的網絡威脅一般來自外部信息繫統入侵，第三方數據存儲宕機導致交易撮合失效，服務器不堪負重等。虛擬資產交易所面臨的威脅和傳統機構的差別不大，但傳統機構長期受到政府監管，有長久的技術積纍，而新型虛擬資產交易所往往團隊開發能力有限，技術事故更為頻繁，像大多數交易所依然使用基於數據庫的撮合交易。

SFC 最近披露的文件對交易平臺提出了更高的要求，包括但不限於對交易繫統和基礎設施避免或者減少盜竊，欺詐，錯誤及遺漏交易，服務器中斷等風險，重點突出自動化工具的開發和應用以應對潛在的繫統攻擊。

在我們團隊看來，交易所除了開發或者購買自動化工具定期進行漏洞掃描外，還要聘請多家外部安全公司進行滲透測試和安全性測試；如現金流充裕還可以進行冗余設計，引入內存狀態機復制技術（成本較高）或者多機熱備份技術（故障幾率大）；未來，我們也期待各交易聯合做市商設計標准數據接口減少觸發技術和數據故障。

防範洗錢風險

聯合國統計顯示，全球每年洗錢金額已達 8000 億至 2 萬億美元，約佔 GDP 的 2% 至 5%。僅在 2022 年，全球金融機構因反洗錢相關違規共被罰款超過 80 億美元。隨著新型業務和交易方式開展，機構需要應對新興技術和業務帶來的監管難題。

支付渠道反洗錢

根據 Hashkey Pro 首席運營官的觀點：“入金通道往往是交易所之間的“必爭之地”，因為“出入金通道，是（用戶）從法幣到虛擬資產的唯一橋梁。” 根據 SFC 文件披露，

新加坡對虛擬資產的監管重心也放在數字支付業務，未來港府也有可能結合《支付繫統及儲值支付工具條例》對支付渠道單獨監管。在反洗錢和反恐怖融資的監管下，交易所在“出入金”端有必要設置更嚴格的篩查方式以滿足 SFC 的要求。

但是由於鏈上活動和出入金的復雜性，交易所需要採用更多樣和更廣泛的方法。根據 HKMA 和德勤聯合披露的報告（AML Regtech：Network Analysis），重點提及機構應該採用傳統和新型大數據分析相結合（Network Analysis）的方法，全面又繫統的對可疑資金和出入金通道進行監察。