Основи відповідності торгівлі віртуальними активами в Гонконзі: безпечне управління гаманець і зберігання активів

Нещодавно дві віртуальні цифрові платформи в Гонконзі отримали ліцензію постачальника послуг віртуальних активів, затверджену Комісією з цінних паперів і ф'ючерсів Гонконгу, і офіційно оголосили про можливість надання послуг торгівлі віртуальними активами для роздрібних інвесторів Гонконгу. Це означає, що роздрібні інвестори Гонконгу можуть безпосередньо купувати віртуальні активи, такі як біткойн та ефір, зареєструвавшись на цих двох біржах. Цей крок безсумнівно надає сильний імпульс для позиції та планування бірж, що відповідають вимогам у сфері віртуальних активів.

Починаючи з жовтня минулого року, регулятори Гонконгу поступово оприлюднили низку заходів щодо торгівлі віртуальними активами. З 1 червня цього року більше бірж віртуальних активів можуть офіційно подавати заявки до Комісії з цінних паперів Гонконгу на отримання ліцензії на відповідність для біржі віртуальних активів.

У таких політичних умовах багато бірж прагнуть отримати ліцензію в Гонконзі, щоб стати відповідними централізованими біржами. Одна з платформ для торгівлі віртуальними активами також планує в кінці цього року офіційно подати заявку до Комісії з цінних паперів і фондового ринку, щоб надати додаткові послуги для більшої кількості професіоналів і інвесторів з традиційних фінансів і світу Web3.

Отже, які конкретні вимоги до централізованих бірж встановлює Комісія з цінних паперів Гонконгу? Окрім цілого набору процесів у юридичних документах, які є особливі технічні вимоги?

Фактично, поточна рамка регулювання відповідності торгівлі в Гонконзі висуває дуже високі технічні вимоги до відповідності бірж у плані програмного та апаратного забезпечення. На міжнародному рівні є кілька постачальників, які надають різноманітні технологічні послуги цим біржам в рамках регуляторної структури. Серед них, зберігання активів клієнтів є ключовою сферою, а також найважливішим аспектом для Комісії з цінних паперів і ф'ючерсів Гонконгу.

Різниця в управлінні активами між традиційними фінансовими установами та біржами віртуальних активів

У традиційній фінансовій системі користувачі зазвичай купують акції через брокерів. З точки зору користувацького досвіду, здається, що користувачі вносять кошти на рахунок брокера, а брокер здійснює операції з акціями та зберігає їх на рахунку користувача.

Однак насправді кошти користувачів не зберігаються на рахунках брокера, оскільки брокер, як небанківська установа, не може безпосередньо зберігати кошти клієнтів. Кошти користувачів насправді зберігаються в банку. Банк має великий рахунок для цього брокера, який містить кілька малих рахунків для зберігання коштів користувачів. Тому брокер, як співучасник зберігання коштів користувачів, не може насправді переміщати кошти користувачів. Банк "контролює", підтверджує, що брокер отримав інструкцію від клієнта, лише після цього дозволяє йому від імені клієнта знімати збережені кошти.

В цілому, такі активи, як акції та облігації в традиційному фінансовому світі, зберігаються в надзвичайно централізованих установах з високим рівнем безпеки. Ці установи мають розвинену систему захисту як у програмному, так і в апаратному забезпеченні, включаючи мережевий та внутрішній контроль. Посередники з цінних паперів насправді лише допомагають клієнтам у процесах управління зберіганням, а за ними стоять великі фінансові установи, які протягом багатьох поколінь оновлювали технології для зберігання та захисту активів користувачів. Це також причина, чому люди відчувають себе дуже безпечно під час традиційних фінансових операцій.

А в рамках регуляторної структури торгівлі віртуальними активами в Гонконзі, зберігання активів користувачів має великі відмінності. Гонконг вимагає від бірж, що займаються відповідною торгівлею віртуальними активами, виконувати роль, подібну до банківської, де віртуальні активи клієнтів безпосередньо зберігаються в холодному гаманці біржі. Це фактично означає, що потрібно зосередити функції багатьох традиційних фінансових систем зберігання, таких як банки та довірчі компанії, в рамках одного суб'єкта - відповідної біржі, яка відповідає за активи клієнтів. Тому для будь-якої відповідної біржі вимоги до програмного та апаратного забезпечення значно перевищують вимоги до брокерів і наближаються до рівня банків, при цьому також необхідно додати криптографічний вимір.

Проблеми безпеки в сфері торгівлі віртуальними активами

З точки зору безпеки, блокчейн можна просто поділити на ончейн і оффчейн. Оночейнові смарт-контракти – це програми, які автоматично виконуються за попередньо визначеними умовами і можуть зазнавати різних хакерських атак, використовуючи вразливості смарт-контрактів для переміщення або витоку коштів. Оффчейн для операційної платформи є системною інженерією безпеки: від системи автентифікації на стороні користувача до кібербезпеки в підприємстві, безпеки терміналів, механізмів реагування на надзвичайні ситуації та вибору технологічного маршруту для співучасника.

З точки зору відповідності, індустрія віртуальних активів поступово переходить від стадії диких темпів зростання до стандартизації з 2018 року. Хоча політика і регуляторні норми в материковому Китаї та Гонконзі, в більшій мірі, є заборонними та витісняючими, Японія ще в 2017 році раніше за все в Азії запровадила систему ліцензування, де японські фінансові установи здійснюють ліцензування бірж та висунули ряд вимог щодо безпеки, таких як кібербезпека, безпека даних тощо.

Нещодавні політики Сінгапуру та Гонконгу, ймовірно, найвагомішими є регуляторні системи Гонконгу. Частково ці політики були прийняті через події FTX минулого року, які змусили людей усвідомити, що відповідність і регулювання не можуть залишатися поверхневими, управлінські правила та системи повинні бути чітко реалізовані, щоб дійсно захистити інтереси інвесторів. Тому цього року Гонконг оголосив дуже чіткі регуляторні політики для ліцензування віртуальних активів, починаючи з торгових платформ.

Вимоги регулювання до відповідності зберігання активів

Одна безпекова компанія має ліцензованих клієнтів у Гонконзі, Японії, Сінгапурі та інших місцях і, порівнюючи вимоги до ліцензій, вважає, що регуляторна політика Комісії з цінних паперів Гонконгу/уряду Гонконгу є дуже сильною з точки зору логіки та всебічності.

Головним чином це проявляється в наступних кількох аспектах:

По-перше, зважаючи на геополітичні чинники, уряд Гонконгу чітко вимагає, щоб приватні ключі, що стоять за цифровими активами, перебували в Гонконгу.

По-друге, з точки зору зрілості регуляторної системи, регуляторні міркування є дуже всебічними. Наразі в Гонконзі ще немає зрілої та завершеної системи регулювання третьої сторони для зберігання, тому уряд Гонконгу вимагає від заявників на отримання ліцензії на віртуальні активи самостійно створити систему безпечного зберігання віртуальних активів та наводить багато деталей вимог. Як приклад вибору технологічного маршруту, одним із важливих критеріїв уряду Гонконгу є зрілість самої технології.

Зрілість проявляється в тому, чи визнані ключові технологічні етапи, що використовуються в цій технологічній схемі, міжнародно визнаними авторитетними органами безпеки, що є дуже важливим критерієм оцінки. Таким чином, позицію уряду Гонконгу можна описати як "і консервативну, і відкриту". Консервативність проявляється в тому, що уряд Гонконгу відносно обережно обрав традиційні технології, які пройшли багаторазове перевірку в галузі фінансової безпеки; відкритість ж полягає в тому, що уряд Гонконгу також вивчив багато нових технологічних рішень і висловив відкриту позицію.

Хоча уряд Гонконгу вимагає, щоб платформи для торгівлі віртуальними активами самостійно співучасник активи клієнтів і виклав чіткі вимоги до регулювання, просто заявити, що біржа відповідає вимогам, недостатньо для отримання ліцензії. Також необхідно, щоб авторитетна третя сторона оцінила ситуацію, і тільки після того, як авторитетна третя сторона підтвердить, що біржа відповідає вимогам, вона може подати заявку на ліцензію.

Отже, можна зробити висновок, що регулювання урядом Гонконгу враховує всі логічні, методологічні та детальні аспекти.

Методи захисту безпеки активів користувачів

1. Вимоги в IT-галузі включають в себе мережеву безпеку, IT-інфраструктуру, безпеку терміналів, реагування на надзвичайні ситуації та системи зберігання гаманець співучасник тощо. Однією з важливих вимог є те, що 98% активів повинні зберігатися в холодному гаманці.

Холодний гаманець — це повністю офлайн гаманець без підключення до мережі. Але просто бути офлайн недостатньо, також необхідно використовувати міжнародно визнані пристрої криптографічної безпеки для формування цифрового активного сховища, щоб захистити цифрові активи користувачів. Одночасно є певні вимоги до фізичного середовища для зберігання цих апаратних засобів (сховища), такі як підтримка температури, вологості, захист від відстеження, захист від переслідування, наявність сигналів завади тощо.

Щоб запобігти втраті активів користувачів через недоліки, які не були враховані регуляторами, або помилки в операціях платформи, після того, як технології та реалізаційні рішення будуть визначені, потрібно додатково захистити активи користувачів, а саме, обов'язково вимагати створення фонду компенсацій за ризиками або купівлю спеціального страхування, яке має можливість здійснювати виплати клієнтам.

2. У сфері відповідності, запобігання відмиванню грошей та фінансуванню тероризму є питаннями, які регулятори дуже серйозно ставлять на порядок денний, тому кожна біржа повинна мати професійного "керівника з питань відповідності". Відповідність охоплює весь процес торгівлі, не лише на етапі реєстрації користувачів, де потрібно перевіряти безпеку особи та коштів клієнта (KYC), але й потрібно оцінювати, чи відповідає джерело та напрямок транзакційних коштів вимогам (Travel Rule).

3. Ризик-менеджмент проявляється в багатьох аспектах, кожна платформа повинна управляти ринковими маніпуляціями, ризиками шахрайства з боку користувачів, ризиками контрагентів, кредитними ризиками тощо.

4. З точки зору управління, необхідно створити вдосконалену систему управління, основна увага приділяється чіткості ролей:

По-перше, ролі суб'єктів повинні бути розділені. Подібні вимоги до ліцензування в Гонконзі накладають на торгові платформи обов'язок бути незалежними суб'єктами, а також мати інший суб'єкт, відповідальний за безпеку активів клієнтів, і цей суб'єкт повинен на 100% обслуговувати суб'єкт торгової платформи, не маючи права обслуговувати інші суб'єкти, тобто відповідальність суб'єкта повинна бути чітко визначена.

По-друге, з фінансової точки зору відповідальність також має бути чітко визначена. Необхідно чітко розрізняти кошти торгової платформи та кошти користувачів, не повинно бути жодної плутанини з коштами, навіть комісія за газ, яка необхідна для завершення угоди, повинна бути чітко розділена.

По-третє, принцип "ролі та обов'язки мають бути розділені" також є дуже важливим. У будь-якому етапі бізнес-процесу не повинно бути одноточкових ризиків, не повинно бути зловживання повноваженнями тощо. Наприклад, під час здійснення переказу коштів з холодного Гаманець, слід дотримуватися "принципу чотирьох очей".

Можливі рішення, які можуть бути впроваджені в майбутньому

Які рішення можуть бути впроваджені в майбутньому для зберігання активів клієнтів у відповідних віртуальних активних біржах Гонконгу, які не вплинуть на існуючий рівень безпеки, але нададуть більше зручностей для біржі та користувачів?

З точки зору експлуатації торгової платформи, у цій галузі дійсно є багато відмінних технологій, таких як дуже популярна технологія MPC (безпечні багатосторонні обчислення). Регулювання не має на меті відмовитися від цих технологій, а більше розглядати зрілість технологій. Вірю, що з накопиченням часу ці відмінні технології також стануть більш зрілими в межах визнаної у всьому світі сертифікаційної системи.

З іншого боку, багатьом торговим платформам необхідно розглянути, як залучити більше кінцевих користувачів. Наразі централізований спосіб дозволяє кінцевим користувачам зареєструватися та здійснювати 거래, що задовольняє значну частину потреб користувачів, яким не потрібно самостійно управляти приватними ключами та мнемонічними фразами. Водночас ми також спостерігаємо, що у світі Web3 є багато новаторів, і в майбутньому може з'явитися багато рішень, пов'язаних з особистими гаманцями, які будуть доповнювати централізовані біржі, навіть взаємодіючи.

З точки зору операційного досвіду традиційних фінансів, не потрібно, щоб кожна біржа мала свою власну співучасник, це цілком може бути виконано 1-2 компаніями зі співучасником для управління активами всього ринку. У майбутньому, коли безпека та виконавчість технологій, таких як MPC, отримають більше міжнародних сертифікацій, сфера співучасника може поступово зосередитися на кількох провідних компаніях для виконання всього локалізованого співучасника.

Конкретно на двох рівнях:

1. З точки зору розподілу відповідальності: на даний момент біржі, які подають заявки на отримання ліцензій, все ще виконують роль співучасника. Віримо, що з подальшим удосконаленням регуляторної системи в майбутньому можна буде чітко відокремити регулювання частини співучасника, включаючи те, як регулювати співучасника та як біржі можуть використовувати послуги третьої сторони для зберігання активів клієнтів. З чітким регулюванням відповідальність можна буде розділити.

2. Технічний аспект: наразі загальноприйнятою вимогою є рішення на основі криптоапаратів, що відповідають стандартам безпеки традиційних фінансів. У майбутньому, коли інші нові технологічні напрямки стануть все більш зрілими та отримають глобальну сертифікацію, вибір технологій для співучасників не обмежуватиметься єдиним рішенням, а буде мати більше варіантів.

Ми завжди віримо, що з постійним розвитком технологій, а також з поглибленням розуміння цього сектору з боку регуляторів і учасників ринку, в майбутньому дедалі більше людей вступатимуть у цю сферу, а ринок стане все більш процвітаючим.