加密货币市场近期不太平。前段时间MEME市场风起云涌,大量Web3用户损失惨重;最近主角变成了知名虚拟资产交易所Bybit,根据链上侦探ZachXBT的监测,2月21日半夜Bybit出现超14.6亿美元的可疑资金流出。随后,ZachXBT确认该起事件为安全事件。
*图源:ZachXBT TG频道
在如此庞大的被盗资金之下,部分人预测该事件可能会给虚拟资产市场带来显著的负面影响。但根据CoinMarketCap数据显示,整体市场情绪指数并没有特别大的起伏。
这一现象归功于多方面的支持:
-
事件出现后,Bybit CEO多次发布声明,称被盗资金不影响客户资产安全;其财务审计也证明,Bybit有足够储备,用来覆盖用户资产;同时,Lookonchain发推表示,据CoinMarketCap数据显示,Bybit在被黑客攻击前拥有162亿美元储备资产,被盗资金仅占比约8.64%。
-
多家机构和个人,已经向Bybit存入资金,支持Bybit渡过当前难关,其中包括Bitget、MEXC以及多位巨鲸。根据SoSoValue统计以及链上安全团队TenArmor的最新监测数据显示,安全事件发生12小时后,Bybit资金流入超40亿美元,已覆盖全部被盗资金损失。
从当前事情走向来看,此次安全事件正在向好的一面发展。对此,曼昆律师认为,这起事件中,虚拟资产的资产储备与托管,显然起到了关键性的作用。这也是为什么,不管是欧盟MiCA法案,还是香港SFC最新虚拟资产市场监管路线图,都对此提出了重要且明确的规范。
资金储备的核心意义
实际上,从全球主要国家和地区的监管机构开始对虚拟资产交易平台进行引导和监管时,资产储备就是评估一家交易平台是否有能力提供交易服务的关键性依据。而此次Bybit黑客事件,再一次提醒了行业和监管,资产储备在保障平台稳定性、应对突发事件和提升市场信任中的重要作用。
那么,资金储备是什么,对虚拟资产交易平台有什么核心作用呢?
在虚拟资产市场中,资金储备是交易平台在面临市场波动、黑客攻击或流动性危机时,能够维持正常运营的应急资金池。其核心功能不仅是为平台提供流动性保障,更是在危机发生时,确保平台的偿付能力,让用户资金得到及时补偿。就比如在本次黑客事件中,Bybit平台通过充足的资金储备,不仅应对了潜在的信任危机,还能够继续支持客户的提款需求,避免了大规模的市场恐慌或用户挤兑。
因此虚拟资产交易平台的储备金管理必须符合行业合规要求,确保在危机发生时依然能够正常运作。
通常,虚拟资产平台的储备金规模由平台的交易规模、客户资产规模以及潜在的风险评估决定。不过,根据香港证监会(SFC) 、欧盟MiCA法案等监管框架,虚拟资产交易平台除了应该保持足够的资金储备,还需要符合一系列具体的合规标准。
比如在香港证监会(SFC)对VATP的申请中,就要求:
-
虚拟资产交易平台必须维持不少于500万港元的缴足股本;
-
平台应持有具有充分流动性的资产,如现金、存款、国库券和存款证(但不包括虚拟资产),其金额应至少相当于平台运营者按持续基准计算的12个月实际运营开支;
-
平台还需维持速动资金,通常指可以立即变现或较短时间内变现的资产,如现金和短期存款,速动资金应当至少等于平台总负债的基础,确保在危机发生时能够及时偿付;
-
确保在资金被盗或丢失的情况下,平台仍能为客户提供1:1支持。
与此同时,虚拟资产交易平台还必须通过独立的第三方审计来确保资金储备的充足性,并定期向监管机构披露财务状况。审计报告应涵盖储备金的金额、流动性和风险管理策略,确保其符合监管要求。另外,平台还需要透明地披露储备金的使用情况,以便监管机构和市场参与者能够评估平台的财务健康状况。
资产托管的必要守则
资产托管是虚拟资产交易平台用以确保客户资金安全的重要机制。平台通过管理手段和技术手段,比如多签、冷钱包存储以及资产分离策略,实现客户资金的安全存储和独立管理,防止资金被盗用或滥用。同时,资产托管还要求平台能够透明地展示资金存储和管理的过程,让投资者和监管机构能够清楚了解平台如何管理客户资产。
回到本次Bybit安全事件,有分析指出Bybit的资金托管方式采用了多签和冷钱包存储的方式,算是行业的标准托管方法之一。然而为什么资产依然被盗?根据知名安全公司慢雾的文章梳理,此次事件发生的关键原因在于黑客通过前端UI漏洞,通过社会工程学攻击诱使签名者在伪造的界面上签署恶意交易。同时,慢雾科技首席信息安全官23pds推测,一定有不止一位的macOS或Windows电脑被控了,而且攻击者可能在内网呆了有段时间,能监控内部聊天、转账时间等信息。
不过,很显然,Bybit在资产托管上还使用了分散存储的策略,并在此次安全事件中有效地隔离了大部分资金,避免了更大的损失。在Bybit的回应中有类似描述:仅损失单一冷钱包资金,其它冷钱包并未出现问题。
资产托管可以称得上是虚拟资产交易平台的最后一道防线。因此,除了最基本的行业标准之外,部分国家和地区的监管机构也对资产托管设立了合规标准。
依然以香港证监会(SFC)的监管框架为例,核心要求有:
-
在存储方式上,虚拟资产交易平台需要确保客户的虚拟资产与自有资产完全隔离;确保98%的客户虚拟资产以冷存储方式保管;虚拟资产的存取方式和程序符合安全要求,尤其是密钥管理和加密技术的使用;另外,需要定期披露托管资金的具体管理方式,做好信息披露。
-
在安全性方面,建议通过实时交易监控和第三方独立审计等方式,增强托管的透明度和安全性;平台还需提供足够的保障措施,防止资产丢失或滥用;以及,可以采取如硬件安全模块(HSM)的技术,来管理和保护密钥。对于存储、使用和销毁密钥的程序应具备透明度,并符合行业标准。
与此同时,虚拟资产交易平台应定期监控和审计客户虚拟资产的安全情况,特别是在客户资金的转移和交易过程中,平台应能证明其遵守合规要求。另外,平台也需要建立保险和补偿安排,确保能够为客户的虚拟资产损失提供相应的保障。
除了自己进行资产托管之外,虚拟资产交易平台也会与三方托管机构合作进行托管,对此,SFC也有一定的监管要求,比如独立性与合规性、也需要进行资产隔离与保护以及相应的安全审计、技术标准、信息披露等要求。
曼昆律师总结
面对黑客攻击,充足的储备金确保平台具备偿付能力,而完善的托管机制则减少了客户资金的连带风险。
然而,此次事件同样暴露了平台在前端安全和内部风险管理方面的不足,说明仅依靠托管本身并不足以完全防范攻击。而这也不仅仅是个例,2024年WazirX、Radiant Capital、DMM同样因这一手法损失千万乃至上亿美金。
因此,曼昆律师认为虚拟资产交易平台还需要在以下方面进行安全加强:
-
平台必须定期进行前端系统的安全审计和漏洞修复,特别是在涉及资金转移的签名操作界面上,确保任何签名请求都经过严格验证,防止恶意伪造交易。
-
防止黑客通过内网渗透进行攻击。虚拟资产交易平台可以对员工设备实施严格管理,如安装端点保护软件、使用VPN和双因素认证,确保公司网络安全。
-
除了确保客户资产与平台自有资金隔离外,虚拟资产交易平台应采用分散存储策略,降低单一冷钱包被盗造成的风险,同时结合硬件安全模块(HSM)和高级加密技术,强化密钥管理。
对于监管机构而言,随着安全事件的不断爆发,未来可以更加针对性地对监管框架和标准进行细化:
-
进一步明确虚拟资产平台的托管要求,特别是冷存储的比例、密钥管理的技术标准,以及平台对资金流动和储备金的披露义务。另外,还需要引入保险机制,提升投资者保护。
-
鼓励平台与持牌第三方托管机构的合作,并加强监管框架中的跨机构信息共享,及时监控平台的安全状况,防止类似事件发生。
-
针对安全事件,可以紧急响应标准,提高虚拟资产交易平台对安全事件的处置能力,比如安全事件的最短披露时间,资产追回计划并提供定期披露。
-
建立执法部门合作机制,建立跨司法辖区的资产冻结和追回协调程序,以提高黑客资金追回成功率。
资金储备和托管的安全性不仅关系到平台的运营稳定,更关乎整个行业的信任和健康发展。因此,虚拟资产交易平台和全球监管机构必须共同努力,通过提高合规标准、加强安全措施,为市场提供更加透明、安全的环境。
/ END.
本文作者:Iris、白溱律师
白话区块链|同步全球区块链资讯、区块链快讯、区块链新闻
本站所有文章数据来源:金色财经
本站不对内容真实性负责,如需转载请联系原作者
如需删除该文章,请发送本文链接至oem1012@qq.com
