虛擬資產:香港監管下 虛擬資產交易的合規挑戰與應對策略_虛擬資產龍頭

引言

本文主要內容是透過監管本質和側重點，探究交易所如何在未來運營考驗中更好的受到監管的青睞。

在香港公布了虛擬貨幣交易所條例后，超過200家交易所爭先恐后的在香港申請牌照，市場對牌照的公布結果也都非常的期待。距離官方公布還有一段時間，我們可以參考新加坡和日本的經驗窺探香港即將發牌的情況。

日本是最早對虛擬資產采取友善態度的亞洲國家，2017年就開始把虛擬資產合規化。在經歷大規模交易所破產后，對虛擬資產的態度變的嚴謹。開始時有100多家交易所申請牌照，有20家獲批，但是只有5家左右得到牌照的公司持續運營。

新加坡也一直積極推進區塊鏈技術和其他金融新興技術，但對虛擬資產一直采取保守的態度。截止到2023年6月，新加坡金融管理局（MAS）共收到461份牌照申請，只有19家提供虛擬資產服務公司獲得許可證或原則上被獲批。只有寥寥幾家提供交易平臺獲得牌照，剩余牌照被FOMO支付，DBS Vickers Securities，Revolut等有傳統金融背景的機構瓜分。FTX暴雷也導致新加坡的主權基金——淡馬錫受到經濟和名譽上雙重損失，作為“避風港”的新加坡也因此卷入風暴中心。

從新加坡和日本的發牌情況不難看出，即使是“虛擬資產友好國家”，對虛擬資產也非常的謹慎。根據香港SFC官方資料，雖然已經獲得1&7號牌照的的OSL和Hashkey Pro只需要再次進行簡易申請，但目前也沒有正式獲批虛擬資產經營牌照（VASP）。

數據來源：SFC官網

一些專業人士推測能夠獲得香港證監會Deemed Licence的交易所不超過10家。交易所得到Deemed Licence之后，SFC也會通過一段考核期來深入了解交易所的具體運營情況和風險，才會確認Final Licence的歸屬。因此，交易所在此期間的運營將會是能否被正式批準的重中之重。

香港財政司司長陳茂波：與人民銀行就數字人民幣跨境零售支付合作進入第二階段測試:6月25日消息，香港特區政府財政司司長陳茂波在香港特區政府網站發表司長隨筆稱，過去一年，香港國際金融中心的業務范疇更廣闊、產品更多樣化、資金來源更多元，與內地，特別是粵港澳大灣區的合作更形密切，在金融基建及創新方面，香港金管局正研究數碼港元的應用；多種央行數碼貨幣跨境網絡（mBridge）也已由實驗階段邁進試行階段；與人民銀行就數字人民幣跨境零售支付的合作，也進入到第二階段測試，目標是日后可通過轉數快為數字人民幣錢包增值。[2023/6/25 21:58:52]

那么，如何經營交易所才能夠獲得SFC的青睞呢？

要回答這個問題，我們需要了解到監管的本質，以及監管側重點。

從香港證監會(SFC)公布出的咨詢文件和反洗錢條例來看，不難看出SFC對虛擬資產監管放在兩方面：1. 投資者保護；2. 反洗錢。我們的以下分析也主要基于這兩個角度，旨在為交易所未來運營“劃重點”，鼓勵更多的交易所在合規的框架下經營。

根據財政部發布的立法會簡報，VASP 發牌申請人被要求遵守證監會施加的一套強有力的監管要求。投資者保護的領域包括但不限于：資產安全保管、利益沖突、網絡安全、審計和風險管理等關鍵領域。根據上述關鍵詞，我們可以把此章節分成兩個角度去探討：1.信息披露 ；2. 技術安全。

證監會特別強調，虛擬資產并不直接受證監會的監管，意即證監會從未審核亦未曾審閱虛擬資產的要約及推廣文件，這與傳統金融產品大有分別。保障客戶資產的責任落在了交易所的頭上。

1.虛擬資產納入以及交易披露

傳統股票的交易活動集中在托管行和證券存管機構（CSD），股票賬戶的計增（減）都會在CSD進行統一結算。在中心化的市場交易下，雖然有運行效率低，人力成本高，法律關系復雜等缺點，但是官方可以通過CSD等機構監測公司高管交易動態，具體證券交易流程如下圖所示，

Sui基金會舉辦的Sui Builder House香港站活動已收官:金色財經報道，由Sui基金會舉辦的Sui Builder House香港站活動已收官，為期三天，其中最后一場活動Sui Demo Day旨在為Sui生態中的新老項目提供展示項目的平臺，共吸引了超過40個團隊報名參賽。本次Demo Day分為NFT和游戲、基礎設施和開發工具、DID&治理和社交、DeFi和支付四個主要賽道。[2023/4/17 14:07:36]

股票交易流程圖  

數據來源：World Economic Forum

與傳統證券交易流程不同，大額交易在鏈上交互的頻率遠高于中心化交易所（如下圖所示），由于區塊鏈分布式賬本，去中心化和反審查等特性，所以項目方內部以及關聯人鏈上交易追蹤更加重要。

數據來源：歐科云鏈OKLink

根據SFC咨詢文件里的標注：

交易所對上幣的項目方的有直接的責任，需要采取一切合理步驟進行全方位的盡職調查。項目方團隊及關聯人交易應是平臺關注的重點。由于區塊鏈的特性，我們需要進行鏈上的數據分析，用鏈上記錄的特點代替CSD交易記錄的功能。

交易平臺只需要自主開發或者采用第三方鏈上數據服務商，分析項目方的鏈上數據，透明化項目方交易信息，實時監控項目方的創始人和主要控股人的鏈上關聯交易等，達到滿足SFC信息披露的要求。

SBF：香港最可能成為亞洲Web3中心:10月31日消息，FTX首席執行官SBF在香港金融科技周網絡研討會上表示，香港可能會成為亞洲Web3、區塊鏈和加密貨幣中心。SBF表示，從全球范圍內來看，巴哈馬和迪拜都很有可能成為加密中心，但是在亞洲，可以用于判斷的趨勢并不明顯。SBF補充道，雖然新加坡、韓國釜山都有可能，但是我認為香港的可能性最大。[2022/10/31 12:01:21]

2.財務披露

和傳統的上市審計不同，虛擬資產審計難度更大。傳統審計已經有一套完善的流程，對于資產的折舊，減計（值），估值，負債以及資產存儲很清楚，但對于區塊鏈業務，審計師（即核數師）往往經驗不足，對于交易所的資產估值和及負債很難衡量，所以出具報告的可靠性也要打個折扣。

例如，在FTX暴雷后，很多交易所出具的Mazars的“儲備證明”，受到了公眾的質疑，因為其審計報告并沒有涉及內部財務報告控制的有效性。在SFC的咨詢文件里面，SFC也指明 “披露虛擬資產交易平臺的負債” 難度較大。

目前各大交易平臺，如OKX，幣安，Bybit都是使用默克爾樹的方式驗證負債，大致上就是把數據處理流程層級化，在一層層向上傳輸結果的過程中，驗證前后節點，若是失敗就無法進行下一步，就證明數據造假。

資產驗證流程圖  

數據來源：OKX

雖然Merkle Tree目前被看做虛擬資產審計的“最優解”，但依然存在中心數據無法被信任，無法證明私鑰是自家擁有，審計資產有可能是臨時借入等問題。交易所在采用Merkle Tree技術的同時，還需要：a.加入欺詐懲罰; b. 加快默克爾樹數據頻率更新; c. 與第三方審計或技術公司開展合作等更好公示平臺的資產狀況。

現場 | ETHIS在香港召開 聚焦以太坊擴容和行業融合:金色財經9月8日現場報道，以太坊行業峰會（ETHIS）在香港召開，Vitalik等核心開發人員受邀參加。此次峰會主要圍繞以太坊技術和以太坊行業展開，介紹擴容方案、各行業基于以太坊的應用、智能合約的安全性以及智能合約開發語言Vyper的最新情況。上半場的“智能合約安全”和下半場的“分布式加密交易所”這兩個圓桌討論將成為峰會的亮點。[2018/9/8]

香港財政司司長陳茂波曾表示

Web3.0的發展要為技術設下適當的護欄，讓技術以及應用以負責任及可持續發展的模式推進。

而現在交易所習慣依賴技術服務商，這些服務商沒有 SFC 期望的服務水平。SFC的咨詢文件和反洗錢條例里也反復提及對交易所技術安全的擔憂。

各大公司在技術開發上也付出了很多成本。今年 4 月，Cobo 表示根據現有監管框架擴大香港的團隊，積累更多專業技術人員。Amber Group 今年也與技術咨詢公司 Thoughtworks 達成合作，將共同開發技術工具和解決方案。OKX接受媒體采訪時也表示在香港的團隊僅是關于產品和技術研發的人數就已經超過500人。

關于技術安全方面，我們需要重點關注兩個方面：1. 資金托管安全；2. 網絡安全。

1.資金托管安全

近年，虛擬貨幣崩盤、平臺破產清算的新聞層出不窮，包括不少傳統金融的老問題，包括資本不足、挪用客戶資產等。資金托管不當是發生此類事件的主要根源。中心化加密資產交易平臺BitMart曾因Ethereum和BSC熱錢包存在安全漏洞，導致約1.5億美元資產被盜。

香港中央銀行正在開發數字貨幣系統:本周香港金融立法會的立法文件中披露，香港中央銀行正在開發數字貨幣系統。據悉，該項目是由香港中央銀行兼金融監管機構——香港金融管理局，與香港銀行間結算所有限公司和若干未透露的銀行，以及初創組織R3共同發起。[2018/2/13]

根據歐科云鏈的鏈上衛士操作流程圖所示，黑客使用1inch、Tornado.Cash等工具轉移交易所錢包的被盜資金。

所以SFC要求交易所滿足98%的虛擬資產需要存儲在線下冷錢包，并要求資產不能放在第三方公司，而是放在旗下子公司方便監管。

為了滿足要求，各大加密交易所展開了一系列措施。如，OSL平臺為申請可經營零售交易的許可，已擴展了冷熱錢包基礎設施。OKX平臺內部采用冷熱錢包分離策略，以在線/離線存儲系統、多重簽名和多重備份等機制確保用戶資產安全。

歐科云鏈也曾向SFC建議，交易所在實施資金托管時，應注意冷熱錢包的關鍵細節方面的處理, 比如：

a. 對于冷錢包，硬件應被分散托管到香港的各個銀行里，且私鑰只能使用一次交易，用過后應該被廢棄；

b. 對于熱錢包，私鑰應被存儲在硬件安全模組，并且利用MPC或者密鑰分片等密碼學技術來存儲私鑰；

2.網絡安全

虛擬資產交易所的網絡威脅一般來自外部信息系統入侵，第三方數據存儲宕機導致交易撮合失效，服務器不堪負重等。虛擬資產交易所面臨的威脅和傳統機構的差別不大，但傳統機構長期受到政府監管，有長久的技術積累，而新型虛擬資產交易所往往團隊開發能力有限，技術事故更為頻繁，像大多數交易所依然使用基于數據庫的撮合交易。

SFC最近披露的文件對交易平臺提出了更高的要求，包括但不限于對交易系統和基礎設施避免或者減少盜竊，欺詐，錯誤及遺漏交易，服務器中斷等風險，重點突出自動化工具的開發和應用以應對潛在的系統攻擊。

圖片來源：SFC最新公布的《適用于虛擬資產交易平臺運營者的指引》

在我們團隊看來，交易所除了開發或者購買自動化工具定期進行漏洞掃描外，還要聘請多家外部安全公司進行滲透測試和安全性測試；如現金流充裕還可以進行冗余設計，引入內存狀態機復制技術（成本較高）或者多機熱備份技術（故障幾率大）；未來，我們也期待各交易聯合做市商設計標準數據接口減少觸發技術和數據故障。

聯合國統計顯示，全球每年洗錢金額已達8000億至2萬億美元，約占GDP的2%至5%。僅在2022年，全球金融機構因反洗錢相關違規共被罰款超過80億美元。隨著新型業務和交易方式開展，機構需要應對新興技術和業務帶來的監管難題。

1.支付渠道反洗錢

根據Hashkey Pro首席運營官的觀點：“入金通道往往是交易所之間的“必爭之地”，因為“出入金通道，是（用戶）從法幣到虛擬資產的唯一橋梁。” 根據SFC文件披露，

新加坡對虛擬資產的監管重心也放在數字支付業務，未來港府也有可能結合《支付系統及儲值支付工具條例》對支付渠道單獨監管。在反洗錢和反恐怖融資的監管下，交易所在“出入金”端有必要設置更嚴格的篩查方式以滿足SFC的要求。

但是由于鏈上活動和出入金的復雜性，交易所需要采用更多樣和更廣泛的方法。根據HKMA和德勤聯合披露的報告（AML Regtech：Network Analysis），重點提及機構應該采用傳統和新型大數據分析相結合（Network Analysis）的方法，全面又系統的對可疑資金和出入金通道進行監察。

傳統和新興信息技術篩選結合  

圖片來源：AML Regtech: Network Analytics

交易所應該加強銀行和鏈上數據服務商的合作，采用類似“network analysis”等方法在AML/CFT等特定領域，合作打擊洗錢。

2.資金流向監管

數字貨幣的匿名特性導致資產可以快速轉移，并且很難追蹤。SFC在咨詢文件中（如下圖）詳細的點出了非托管錢包的轉賬往來可能帶來的洗錢/恐怖分子資金籌集風險。

Web3領域的資金不再通過銀行賬戶進行轉賬，而是鏈上地址之間進行，一些如同混幣器、匿名錢包等應用更會增加交易的隱匿性。如下圖所示，用戶A只需要把資金轉移到一個隱藏數字簽名的黑匣子（俗稱混幣器），然后把資金打亂通過黑匣子送給B，這樣就沒人知道B的資金來源。

鏈上標簽識別反洗錢  

圖片來源：OKG Research

在這種情況下，目前比較適宜的處理方式是通過龐大的數據系統對鏈上所有“混幣合約地址”打上標簽（如上圖所示），通過監控和混幣器交互的地址來判定用戶的洗錢嫌疑。

因此，鏈上地址系統篩查的能力就非常重要。近期，為客戶提供財富管理服務的香港持牌信托人，Future Wing Financial，也和歐科云鏈達成合作，利用OKLink的龐大數據庫將用戶地址與風險行為和事件關聯，監控洗錢風險，滿足虛擬資產的合規需求。

總結  

香港態度轉變無疑為發展虛擬資產帶來了一個更加穩健的窗口，而前者日本和新加坡的經驗也驗證監管需要采取嚴格措施預防和管控“最壞的情況”。

最近的官方文件都對交易所提出了更加細致，更加嚴苛的要求，除了上述需要注意的事項外，SFC也提出了“避免利益沖突”、“限制業務”、“禁止誘導投資”等要求，而這些高標準最終會使得香港的虛擬資產市場朝著更有序的方向發展，最終會使投資者和交易平臺受益。

歐科云鏈

企業專欄

閱讀更多

金色財經

金色薦讀

區塊鏈騎士

金色財經 善歐巴

Block unicorn

Foresight News

深潮TechFlow

Tags：虛擬資產SFCNBSBSP虛擬資產龍頭sfc幣最新消息NBS幣BSPT

幣贏