香港監管下，虛擬資產交易的合規挑戰與應對策略

日期：2023年7月19日 下午9:08作者：歐科雲鏈研究院 Matthew Lee 編輯：Terry

引言

本文主要内容是透過監管本質和側重點，探究交易所如何在未來運營考驗中更好的受到監管的青睐。

在香港公佈了虛擬貨幣交易所條例後，超過200家交易所爭先恐後的在香港申請牌照，市場對牌照的公佈結果也都非常的期待。距離官方公佈還有一段時間，我們可以參考新加坡和日本的經驗窺探香港即將發牌的情況。

日本是最早對虛擬資產採取友善態度的亞洲國家，2017年就開始把虛擬資產合規化。在經歷大規模交易所破產後，對虛擬資產的態度變的嚴謹。開始時有100多家交易所申請牌照，有20家獲批，但是只有5家左右得到牌照的公司持續運營。

新加坡也一直積極推進區塊鏈技術和其他金融新興技術，但對虛擬資產一直採取保守的態度。截止到2023年6月，新加坡金融管理局（MAS）共收到461份牌照申請，只有19家提供虛擬資產服務公司獲得許可證或原則上被獲批。只有寥寥幾家提供交易平台獲得牌照，剩餘牌照被FOMO支付，DBS Vickers Securities，Revolut等有傳統金融背景的機構瓜分。FTX暴雷也導致新加坡的主權基金——淡馬錫受到經濟和名譽上雙重損失，作為「避風港」的新加坡也因此卷入風暴中心。

從新加坡和日本的發牌情況不難看出，即使是「虛擬資產友好國家」，對虛擬資產也非常的謹慎。根據香港SFC官方資料，雖然已經獲得1&7號牌照的的OSL和Hashkey Pro只需要再次進行簡易申請，但目前也沒有正式獲批虛擬資產經營牌照（VASP）。

一些專業人士推測能夠獲得香港證監會Deemed Licence的交易所不超過10家。交易所得到Deemed Licence之後，SFC也會通過一段考核期來深入了解交易所的具體運營情況和風險，才會確認Final Licence的歸屬。因此，交易所在此期間的運營將會是能否被正式批準的重中之重。

那麽，如何經營交易所才能夠獲得SFC的青睐呢？

要回答這個問題，我們需要了解到監管的本質，以及監管側重點。

從香港證監會(SFC)公佈出的咨詢文件和反洗錢條例來看，不難看出SFC對虛擬資產監管放在兩方面：1. 投資者保護；2. 反洗錢。我們的以下分析也主要基於這兩個角度，旨在為交易所未來運營「劃重點」，鼓勵更多的交易所在合規的框架下經營。

為投資者安全鑄盾  

根據財政部發佈的立法會簡報，VASP 發牌申請人被要求遵守證監會施加的一套強有力的監管要求。投資者保護的領域包括但不限於：資產安全保管、利益衝突、網絡安全、審計和風險管理等關鍵領域。根據上述關鍵詞，我們可以把此章節分成兩個角度去探討：1.信息披露 ；2. 技術安全。

信息披露下的投資者保護  

證監會特别強調，虛擬資產並不直接受證監會的監管，意即證監會從未審核亦未曾審閱虛擬資產的要約及推廣文件，這與傳統金融產品大有分别。保障客戶資產的責任落在了交易所的頭上。

1. 虛擬資產納入以及交易披露

傳統股票的交易活動集中在託管行和證券存管機構（CSD），股票賬戶的計增（減）都會在CSD進行統一結算。在中心化的市場交易下，雖然有運行效率低，人力成本高，法律關系復雜等缺點，但是官方可以通過CSD等機構監測公司高管交易動態，具體證券交易流程如下圖所示，

與傳統證券交易流程不同，大額交易在鏈上交互的頻率遠高於中心化交易所（如下圖所示），由於區塊鏈分佈式賬本，去中心化和反審查等特性，所以項目方内部以及關聯人鏈上交易追蹤更加重要。

根據SFC咨詢文件里的標注：

交易所對上幣的項目方的有直接的責任，需要採取一切合理步驟進行全方位的儘職調查。項目方團隊及關聯人交易應是平台關注的重點。由於區塊鏈的特性，我們需要進行鏈上的數據分析，用鏈上記錄的特點代替CSD交易記錄的功能。

交易平台只需要自主開發或者採用第三方鏈上數據服務商，分析項目方的鏈上數據，透明化項目方交易信息，實時監控項目方的創始人和主要控股人的鏈上關聯交易等，達到滿足SFC信息披露的要求。

2. 財務披露

和傳統的上市審計不同，虛擬資產審計難度更大。傳統審計已經有一套完善的流程，對於資產的折舊，減計（值），估值，負債以及資產存儲很清楚，但對於區塊鏈業務，審計師（即核數師）往往經驗不足，對於交易所的資產估值和及負債很難衡量，所以出具報告的可靠性也要打個折扣。

例如，在FTX暴雷後，很多交易所出具的Mazars的「儲備證明」，受到了公眾的質疑，因為其審計報告並沒有涉及内部財務報告控制的有效性。在SFC的咨詢文件里面，SFC也指明 「披露虛擬資產交易平台的負債」 難度較大。

目前各大交易平台，如OKX，幣安，Bybit都是使用默克爾樹的方式驗證負債，大致上就是把數據處理流程層級化，在一層層向上傳輸結果的過程中，驗證前後節點，若是失敗就無法進行下一步，就證明數據造假。

雖然Merkle Tree目前被看做虛擬資產審計的「最優解」，但依然存在中心數據無法被信任，無法證明私鑰是自家擁有，審計資產有可能是臨時借入等問題。交易所在採用Merkle Tree技術的同時，還需要：a.加入欺詐懲罰； b. 加快默克爾樹數據頻率更新； c. 與第三方審計或技術公司開展合作等更好公示平台的資產狀況。

技術安全下的投資者保護  

香港財政司司長陳茂波曾表示：Web3.0的發展要為技術設下適當的護欄，讓技術以及應用以負責任及可持續發展的模式推進。

而現在交易所習慣依賴技術服務商，這些服務商沒有 SFC 期望的服務水平。SFC的咨詢文件和反洗錢條例里也反復提及對交易所技術安全的擔憂。

各大公司在技術開發上也付出了很多成本。今年 4 月，Cobo 表示根據現有監管框架擴大香港的團隊，積累更多專業技術人員。Amber Group 今年也與技術咨詢公司 Thoughtworks 達成合作，將共同開發技術工具和解決方案。OKX接受媒體採訪時也表示在香港的團隊僅是關於產品和技術研發的人數就已經超過500人。

關於技術安全方面，我們需要重點關注兩個方面：1. 資金託管安全；2. 網絡安全。

1. 資金託管安全

近年，虛擬貨幣崩盤、平台破產清算的新聞層出不窮，包括不少傳統金融的老問題，包括資本不足、挪用客戶資產等。資金託管不當是發生此類事件的主要根源。中心化加密資產交易平台BitMart曾因Ethereum和BSC熱錢包存在安全漏洞，導致約1.5億美元資產被盜。

根據歐科雲鏈的鏈上衛士操作流程圖所示，黑客使用1inch、Tornado.Cash等工具轉移交易所錢包的被盜資金。

所以SFC要求交易所滿足98%的虛擬資產需要存儲在線下冷錢包，並要求資產不能放在第三方公司，而是放在旗下子公司方便監管。

為了滿足要求，各大加密交易所展開了一系列措施。如，OSL平台為申請可經營零售交易的許可，已擴展了冷熱錢包基礎設施。OKX平台内部採用冷熱錢包分離策略，以在線/離線存儲系統、多重簽名和多重備份等機制確保用戶資產安全。

歐科雲鏈也曾向SFC建議，交易所在實施資金託管時，應注意冷熱錢包的關鍵細節方面的處理, 比如：

a. 對於冷錢包，硬件應被分散託管到香港的各個銀行里，且私鑰只能使用一次交易，用過後應該被廢棄；

b. 對於熱錢包，私鑰應被存儲在硬件安全模組，並且利用MPC或者密鑰分片等密碼學技術來存儲私鑰；

2. 網絡安全

虛擬資產交易所的網絡威脅一般來自外部信息系統入侵，第三方數據存儲宕機導致交易撮合失效，服務器不堪負重等。虛擬資產交易所面臨的威脅和傳統機構的差别不大，但傳統機構長期受到政府監管，有長久的技術積累，而新型虛擬資產交易所往往團隊開發能力有限，技術事故更為頻繁，像大多數交易所依然使用基於數據庫的撮合交易。

SFC最近披露的文件對交易平台提出了更高的要求，包括但不限於對交易系統和基礎設施避免或者減少盜竊，欺詐，錯誤及遺漏交易，服務器中斷等風險，重點突出自動化工具的開發和應用以應對潛在的系統攻擊。

在我們團隊看來，交易所除了開發或者購買自動化工具定期進行漏洞掃描外，還要聘請多家外部安全公司進行滲透測試和安全性測試；如現金流充裕還可以進行冗餘設計，引入内存狀態機復制技術（成本較高）或者多機熱備份技術（故障幾率大）；未來，我們也期待各交易聯合做市商設計標準數據接口減少觸發技術和數據故障。

防範洗錢風險  

聯合國統計顯示，全球每年洗錢金額已達8000億至2萬億美元，約佔GDP的2%至5%。僅在2022年，全球金融機構因反洗錢相關違規共被罰款超過80億美元。隨著新型業務和交易方式開展，機構需要應對新興技術和業務帶來的監管難題。

1. 支付渠道反洗錢

根據Hashkey Pro首席運營官的觀點：「入金通道往往是交易所之間的「必爭之地」，因為「出入金通道，是（用戶）從法幣到虛擬資產的唯一橋梁。」 根據SFC文件披露，

新加坡對虛擬資產的監管重心也放在數字支付業務，未來港府也有可能結合《支付系統及儲值支付工具條例》對支付渠道單獨監管。在反洗錢和反恐怖融資的監管下，交易所在「出入金」端有必要設置更嚴格的篩查方式以滿足SFC的要求。

但是由於鏈上活動和出入金的復雜性，交易所需要採用更多樣和更廣泛的方法。根據HKMA和德勤聯合披露的報告（AML Regtech：Network Analysis），重點提及機構應該採用傳統和新型大數據分析相結合（Network Analysis）的方法，全面又系統的對可疑資金和出入金通道進行監察。

交易所應該加強銀行和鏈上數據服務商的合作，採用類似「network analysis」等方法在AML/CFT等特定領域，合作打擊洗錢。

2. 資金流向監管

數字貨幣的匿名特性導致資產可以快速轉移，並且很難追蹤。SFC在咨詢文件中（如下圖）詳細的點出了非託管錢包的轉賬往來可能帶來的洗錢/恐怖分子資金籌集風險。

Web3領域的資金不再通過銀行賬戶進行轉賬，而是鏈上地址之間進行，一些如同混幣器、匿名錢包等應用更會增加交易的隱匿性。如下圖所示，用戶A只需要把資金轉移到一個隱藏數字簽名的黑匣子（俗稱混幣器），然後把資金打亂通過黑匣子送給B，這樣就沒人知道B的資金來源。

在這種情況下，目前比較適宜的處理方式是通過龐大的數據系統對鏈上所有「混幣合約地址」打上標簽（如上圖所示），通過監控和混幣器交互的地址來判定用戶的洗錢嫌疑。

因此，鏈上地址系統篩查的能力就非常重要。近期，為客戶提供財富管理服務的香港持牌信託人，Future Wing Financial，也和歐科雲鏈達成合作，利用OKLink的龐大數據庫將用戶地址與風險行為和事件關聯，監控洗錢風險，滿足虛擬資產的合規需求。

總結  

香港態度轉變無疑為發展虛擬資產帶來了一個更加穩健的窗口，而前者日本和新加坡的經驗也驗證監管需要採取嚴格措施預防和管控「最壞的情況」。

最近的官方文件都對交易所提出了更加細致，更加嚴苛的要求，除了上述需要注意的事項外，SFC也提出了「避免利益衝突」、「限制業務」、「禁止誘導投資」等要求，而這些高標準最終會使得香港的虛擬資產市場朝著更有序的方向發展，最終會使投資者和交易平台受益。

 

（頻道所發佈之署名投稿文章及圖片之版權屬作者本人及/或相關權利人所有。文章均為作者個人觀點，不代表財華網的立場和觀點。）