Cœur de la conformité des transactions d'actifs virtuels à Hong Kong : gestion sécurisée du portefeuille et conservation des actifs

Récemment, deux bourses d'actifs numériques virtuels à Hong Kong ont obtenu la licence de prestataire de services d'actifs virtuels approuvée par la Commission des valeurs mobilières de Hong Kong, annonçant officiellement qu'elles pouvaient offrir des services de trading d'actifs virtuels aux investisseurs de détail à Hong Kong. Cela signifie que les investisseurs de détail à Hong Kong n'ont qu'à s'inscrire sur ces deux bourses pour pouvoir acheter directement des actifs virtuels comme le Bitcoin et l'Ethereum. Cette initiative injecte sans aucun doute un puissant coup de pouce à la position et à la stratégie des bourses conformes dans le domaine des actifs virtuels.

Depuis octobre dernier, les autorités de régulation de Hong Kong ont publié une série de mesures concernant le trading d'actifs virtuels. À partir du 1er juin de cette année, davantage d'échanges d'actifs virtuels pourront officiellement demander une licence de portefeuille d'actifs virtuels conforme auprès de la Commission des valeurs mobilières de Hong Kong.

Dans un tel environnement politique, de nombreux échanges souhaitent demander une licence à Hong Kong pour devenir des échanges centralisés conformes. Une plateforme de trading d'actifs virtuels prévoit également de soumettre officiellement sa demande à la Commission des valeurs mobilières d'ici la fin de l'année, afin d'offrir des services à valeur ajoutée à un plus grand nombre de professionnels et d'investisseurs issus du secteur financier traditionnel et du monde Web3.

Alors, quelles sont les exigences spécifiques de la SFC de Hong Kong pour les échanges centralisés ? En plus d'un ensemble complet de processus sur les documents légaux, quelles sont les exigences techniques particulières ?

En fait, le cadre de régulation des transactions conformes de Hong Kong impose des exigences techniques très élevées en matière de conformité matérielle et logicielle pour les bourses. À l'international, certains fournisseurs offrent divers services techniques à ces bourses dans le cadre de la conformité. Parmi eux, la garde des actifs des clients est un domaine clé et c'est également l'aspect le plus surveillé par la Commission des valeurs mobilières de Hong Kong.

Différences de conservation des actifs entre les institutions financières traditionnelles et les échanges d'actifs virtuels

Dans le système financier traditionnel, les utilisateurs achètent généralement des actions par l'intermédiaire de courtiers. Du point de vue de l'expérience utilisateur, il semble que les fonds soient déposés sur le compte du courtier, qui effectue les transactions boursières et les stocke dans le compte au nom de l'utilisateur.

Cependant, en réalité, les fonds des utilisateurs ne sont pas conservés dans le compte du courtier, car le courtier, en tant qu'institution non bancaire, ne peut pas directement détenir les fonds des clients. Les fonds des utilisateurs sont en réalité conservés dans une banque. La banque dispose d'un grand compte pour ce courtier, qui contient plusieurs petits comptes pour conserver les fonds des utilisateurs. Ainsi, le courtier, en tant que dépositaire des fonds des utilisateurs, ne peut pas réellement mobiliser les fonds des utilisateurs. La banque "fait le filtre", confirmant que le courtier a reçu les instructions du client avant de lui permettre de retirer les fonds déposés au nom du client.

Dans l'ensemble, les actifs tels que les actions et les obligations dans le monde de la finance traditionnelle sont conservés dans des institutions hautement centralisées et extrêmement sécurisées. Ces institutions disposent de protections de sécurité complètes en matière de matériel et de logiciel, y compris des contrôles internes et des mesures de sécurité réseau. Les prestataires de services de valeurs mobilières aident en réalité les clients à gérer les processus de conservation, derrière lesquels se trouvent de grandes institutions financières qui ont mis en place des mises à jour technologiques sur plusieurs générations pour conserver et protéger les actifs des utilisateurs. C'est aussi pour cette raison que les gens se sentent très en sécurité lors des transactions financières traditionnelles.

Dans le cadre du cadre réglementaire sur les actifs virtuels conforme à Hong Kong, la garde des actifs des utilisateurs est très différente. Hong Kong exige que les échanges conformes aux actifs virtuels assument un rôle similaire à celui des banques, les actifs virtuels des clients étant directement gardés dans le portefeuille froid de l'échange. Cela équivaut à la nécessité de centraliser les fonctions de nombreux systèmes traditionnels de garde financière, tels que les banques et la garde, au sein de l'entité d'échange conforme, responsable des actifs des clients. Par conséquent, pour tout échange conforme, les exigences en matière de technologie matérielle et logicielle nécessaires sont bien supérieures à celles des courtiers, se rapprochant du niveau bancaire, tout en nécessitant également une dimension cryptographique supplémentaire.

Problèmes de sécurité dans le domaine des transactions d'actifs virtuels

D'un point de vue de la sécurité, la blockchain peut être simplement divisée en on-chain et off-chain. Les contrats intelligents on-chain sont des programmes qui s'exécutent automatiquement après des conditions préétablies, et peuvent être confrontés à diverses attaques de hackers, utilisant des vulnérabilités de contrats intelligents pour le transfert ou la fuite de fonds, etc. Off-chain, pour la plateforme opérationnelle, est une ingénierie système de capacités de sécurité : du système d'authentification côté utilisateur, à la cybersécurité interne de l'entreprise, à la sécurité des terminaux, aux mécanismes de réponse d'urgence, jusqu'au choix des solutions techniques de Complice.

D'un point de vue de la conformité, l'industrie des actifs virtuels est passée d'un état de croissance sauvage avant 2018 à une normalisation progressive. Bien que les politiques et les réglementations dans les régions continentale et hongkongaise soient principalement axées sur l'interdiction et l'expulsion, le Japon a été l'un des premiers à mettre en place un système de licences en Asie dès 2017, avec des institutions financières japonaises gérant la délivrance de licences aux bourses, et a formulé une série d'exigences en matière de cybersécurité, de sécurité des données et autres aspects de la sécurité.

Les récentes politiques de Singapour et de Hong Kong montrent que le système de réglementation de Hong Kong pourrait être le plus significatif. Une des raisons de la mise en place de ces politiques est l'incident FTX de l'année dernière, qui a fait prendre conscience aux gens que la conformité et la réglementation ne peuvent pas se limiter à des apparences, et qu'il est nécessaire de mettre en œuvre des règles et des systèmes de gestion de manière claire pour véritablement protéger les intérêts des investisseurs. Par conséquent, Hong Kong a publié cette année une politique de réglementation des licences d'actifs virtuels très claire, qui sera mise en œuvre à partir des plateformes de trading.

Exigences de conformité pour la garde d'actifs par la réglementation

Une entreprise de sécurité dispose de clients titulaires de licences à Hong Kong, au Japon, à Singapour, etc. En procédant à une comparaison horizontale des exigences de licence dans chaque région, elle estime que la politique de régulation de la Commission des valeurs mobilières de Hong Kong / du gouvernement de Hong Kong est très solide en termes de logique et de complétude.

Principalement illustré dans les aspects suivants :

Tout d'abord, en tenant compte des facteurs géopolitiques, le gouvernement de Hong Kong exige clairement que les clés privées derrière les actifs numériques doivent être localisées à Hong Kong.

Deuxièmement, en ce qui concerne la maturité des régulations, les considérations réglementaires sont très complètes. Actuellement, Hong Kong n'a pas de système de réglementation de garde tiers mature et complet, donc les politiques réglementaires du gouvernement de Hong Kong exigent que les demandeurs de licence d'actifs virtuels construisent eux-mêmes un système de garde sécurisé pour les actifs virtuels, et énumèrent de nombreux détails exigés. Par exemple, en ce qui concerne le choix de la technologie, un principe de mesure important du gouvernement de Hong Kong est la maturité de la technologie elle-même.

La maturité se manifeste par le fait que les étapes clés des technologies utilisées dans cette voie technologique sont reconnues par des organismes de certification de sécurité autorisés et de premier plan au niveau international, ce qui constitue un critère d'évaluation très important. Par conséquent, l'attitude du gouvernement de Hong Kong peut être décrite comme "à la fois conservatrice et ouverte". Le conservatisme se manifeste par le fait que le gouvernement de Hong Kong a relativement prudemment choisi une voie technologique plus mature, ayant été vérifiée à plusieurs reprises dans le domaine de la sécurité financière traditionnelle ; l'ouverture se manifeste par le fait que le gouvernement de Hong Kong a également examiné de nombreuses nouvelles solutions technologiques et a exprimé une attitude ouverte.

Bien que le gouvernement de Hong Kong exige que les plateformes de trading d'actifs virtuels gèrent elles-mêmes les actifs des clients et qu'il ait énoncé des exigences réglementaires claires, le simple fait que l'échange prétende répondre aux exigences ne suffit pas pour obtenir une licence. Il doit également y avoir un organisme d'évaluation tiers reconnu pour procéder à l'évaluation, et ce n'est que lorsque cet organisme d'évaluation tiers reconnu prouve que l'échange satisfait aux exigences qu'il est possible de demander une licence.

En résumé, il est évident que la réglementation du gouvernement de Hong Kong est très complète en termes de logique, de méthodes et de détails.

Méthodes pour protéger la sécurité des actifs des utilisateurs

1. Les exigences en matière de TI comprennent la sécurité des réseaux, l'infrastructure informatique, la sécurité des terminaux, la réponse d'urgence en cas de sinistre et le système de garde de Portefeuille. L'une des exigences importantes est que 98 % des actifs doivent être stockés dans un Portefeuille froid.

Un portefeuille froid est un portefeuille complètement hors ligne et déconnecté d'Internet. Mais il ne suffit pas d'être hors ligne, il est également nécessaire d'utiliser des dispositifs de sécurité cryptographique reconnus internationalement pour former un coffre-fort d'actifs numériques afin de protéger les actifs numériques des utilisateurs. En même temps, il y a aussi certaines exigences concernant l'environnement physique de ces dispositifs de stockage d'informations (coffre-fort), telles que le maintien de la température, de l'humidité, la prévention du suivi et de l'escorte, ainsi que des interférences de signal.

Pour éviter la perte d'actifs des utilisateurs due à des lacunes non prises en compte par la réglementation ou des erreurs opérationnelles de la plateforme, après avoir défini les aspects techniques et les solutions de mise en œuvre, il est également nécessaire de protéger davantage les actifs des utilisateurs, c'est-à-dire d'exiger la création d'un fonds de compensation des risques ou l'achat d'une assurance dédiée, afin d'avoir la capacité d'indemniser les clients.

2. En matière de conformité, la lutte contre le blanchiment d'argent et le financement du terrorisme est un sujet très important pour les régulateurs, c'est pourquoi chaque échange doit être doté d'un "responsable de la conformité" professionnel. La conformité doit être présente tout au long du processus de transaction, non seulement pour vérifier la sécurité de l'identité et des fonds des clients lors de leur inscription (KYC), mais aussi pour évaluer si l'origine et la destination des fonds de chaque transaction respectent les exigences (Travel Rule).

3. La gestion des risques se manifeste de différentes manières, chaque plateforme devant gérer les comportements de manipulation du marché, les risques de fraude des utilisateurs, les risques des contreparties, les risques de crédit, etc.

4. Du point de vue de la gouvernance, il est nécessaire d'établir un système de gouvernance complet, l'essentiel étant la clarification des rôles :

Tout d'abord, les rôles des entités doivent être séparés. À Hong Kong, les exigences de réglementation des licences similaires stipulent que la plateforme de trading doit être une entité indépendante, tandis qu'il doit également y avoir une autre entité responsable de la sécurité des actifs des clients, et cette entité doit servir à 100% l'entité de la plateforme de trading, sans servir d'autres entités, c'est-à-dire que les responsabilités doivent être clairement définies.

Deuxièmement, du point de vue financier, la responsabilité doit également être claire. Il faut clairement distinguer les fonds de la plateforme de trading et les fonds des utilisateurs, il ne doit y avoir aucune confusion des fonds, même les frais de Gas à payer pour compléter la transaction doivent être clairement distingués.

Troisièmement, le principe de "séparation des rôles et des responsabilités" est également très important. Il ne doit y avoir aucun risque de point unique à aucune étape du processus commercial, et il ne doit pas y avoir d'abus de pouvoir, etc. Par exemple, lors du transfert de fonds dans un portefeuille froid, le "principe des quatre yeux" doit être respecté.

Solutions potentielles à introduire dans le futur

Dans un contexte où il ne faut pas compromettre le niveau de sécurité actuel tout en apportant plus de commodités aux échanges et aux utilisateurs, quelles solutions les plateformes de trading d'actifs virtuels conformes de Hong Kong pourraient-elles envisager pour la garde des actifs des clients à l'avenir ?

D'un point de vue opérationnel de la plateforme de trading, il y a effectivement beaucoup de technologies excellentes dans ce domaine, comme la technologie MPC (Calcul multipartite sécurisé). La réglementation n'est pas censée rejeter ces technologies, mais plutôt à considérer davantage la maturité de la technologie. Je crois qu'avec l'accumulation du temps, ces excellentes technologies deviendront également plus matures sous un système de certification reconnu au niveau mondial.

D'autre part, de nombreuses plateformes de trading doivent réfléchir à la manière d'atteindre plus d'utilisateurs finaux. Actuellement, permettre aux utilisateurs finaux de s'inscrire et de trader de manière centralisée satisfait une grande partie des besoins des utilisateurs, qui n'ont pas à gérer eux-mêmes leurs clés privées et leurs phrases mnémotechniques. En même temps, nous voyons également de nombreux innovateurs dans le monde Web3, et il pourrait y avoir de nombreuses solutions liées aux portefeuilles personnels à l'avenir, complétant même les échanges centralisés et interagissant avec eux.

D'un point de vue opérationnel de la finance traditionnelle, il n'est pas nécessaire que chaque échange dispose de son propre système de Complice, il est tout à fait possible qu'un ou deux institutions de Complice réalisent la garde des actifs de l'ensemble du marché. À l'avenir, lorsque la sécurité et l'exécutabilité de technologies comme le MPC recevront davantage de reconnaissances de la part d'organismes de certification internationaux, le domaine de la Complice pourrait progressivement se concentrer sur quelques principaux acteurs pour exécuter l'ensemble de la Complice localisée.

Concrètement sur deux niveaux :

1. Du point de vue de la séparation des responsabilités : les échanges qui demandent une licence continuent d'assumer un rôle de complice. Nous croyons qu'avec l'amélioration des réglementations, il devrait être possible de clarifier la supervision de la partie de la gestion à l'avenir, y compris comment superviser la gestion et comment les échanges utilisent des services de gestion tiers pour gérer les actifs des clients. Avec une réglementation claire, les responsabilités peuvent être séparées.

2. Du point de vue de la route technique : la demande générale actuelle est pour des solutions basées sur des machines cryptographiques avec un niveau de sécurité de la finance traditionnelle. À l'avenir, lorsque d'autres nouvelles routes technologiques deviendront de plus en plus matures et obtiendront des certifications de test mondiales, le choix de la technologie du prestataire de services de conservation ne sera plus limité à une seule solution, mais il pourra y avoir davantage d'options.

Nous croyons fermement qu'avec les avancées technologiques constantes et une compréhension de plus en plus approfondie de l'industrie par les régulateurs et les praticiens, un nombre croissant de personnes entrera dans ce domaine et le marché prospérera de plus en plus.