作者:Galaxy Digital 前董事總經理David Schwed,CoinDesk;編譯:松雪,金財經
當我和世界其他人一起等待第一個比特幣ETF 獲得批准時,有一件事一直困擾著我:除了包括Fidelity 和VanEck 在內的少數例外,幾乎每個現貨比特幣ETF 的申請人都打算使用Coinbase 為其保管人。
身為專注於區塊鏈的網路安全領導者,這種風險的集中、加密貨幣託管固有的高風險性質等讓我猶豫不決。
讓我擔心的並不是Coinbase 本身。該公司從未遭受已知的駭客攻擊,這解釋了為什麼如此多的傳統機構信任其專業性。然而,不存在不可破解的目標——只要有足夠的時間和資源,任何人都可能受到損害,這是我在網路安全和資產管理交叉領域的職業生涯中學到的教訓。
讓我擔心的是資產極端集中在單一託管人。考慮到加密資產與現金類似的性質,這種情況本身就令人擔憂。
也許是時候重新考慮「合格託管人」的指定了,這是一種監管簽字,其目前的形式不一定能確保基於區塊鏈的風險資產必然(或最好)得到保護。此外,理想情況下,數位資產託管人應該受到比現在更嚴格的州和聯邦標準、訓練有素的監管機構更多的監督。
如今,大多數合格的託管人都保護股票、債券或數位追蹤的法定餘額,所有這些從根本上來說都是合法協議,不能簡單地「竊取」。但比特幣(BTC)與現金和黃金一樣,是一種不記名票據。一次成功的加密貨幣駭客攻擊就像狂野西部的銀行搶劫一樣,一旦落入小偷手中,錢就消失了。
因此,對於加密貨幣託管人來說,只要犯一個錯誤,資產就會完全消失。
我們也知道,全球加密貨幣犯罪的力量是強大且堅定的。僅舉一個臭名昭著的例子,北韓的Lazarus Group 駭客團隊據信在過去六年中竊取了價值30 億美元的加密貨幣,而且沒有任何停止的跡象。預計第一個交易週流入比特幣ETF 的資金將超過60 億美元,這使得這些基金成為主要目標。
如果Coinbase 最終在其數位金庫中存有數百億比特幣,北韓可以輕鬆組織一個價值5,000 萬美元的行動來竊取這些資金,即使這需要多年時間。像俄羅斯Cozy Bear/APT29 組織這樣的威脅參與者也可能會發現,隨著這些資金池變得越來越大(可能會更大),追捕機構加密貨幣變得越來越有吸引力。
這是各大銀行準備應對的威脅等級。金融機構的一種廣泛使用的風險管理模式採用三層監督。首先,業務管理階層設計並實施安全實務; 其次,風險層監督和評估這些做法; 第三,審計層確保風險緩解實務確實有效。
最重要的是,傳統金融機構將有外部審計師和外部IT 監督,以及許多州和聯邦監管機構的監督。很多很多的眼睛會審視風險和安全的各個面向。
但這些多層次的冗餘和嵌套故障保護需要一件看似簡單的事情:員工人數。
在我擔任紐約梅隆銀行數位資產技術全球主管期間,該投資銀行約有5 萬名員工,其中約1,000 名(即2%)擔任安全職務。即使在最近擴張之後,Coinbase 的員工數量仍不足5,000 名。 BitGo也是紐約州和其他司法管轄區認證的合格託管商,但數量只有幾百個。
這並不是要質疑任何這些組織或其員工的意圖或技能。但真正的監督需要冗餘,而這些新機構可能很難提供足夠的冗餘來確保數百億美元的不記名票據的安全。
在這些數字變得更大(對壞人來說更具吸引力)之前,早就應該完善合格託管人指定的網路安全標準了。目前,伴隨著信託或銀行許可,由州和聯邦監管機構監督。這些金融監管機構主要關注傳統銀行業,而不是網路安全專家,當然也不是加密貨幣專家。可以理解的是,他們專注於資產負債表、法律程序和其他財務運作。
但對於加密貨幣託管人來說,這些並不是唯一重要的監督,甚至不一定是最重要的。對於加密貨幣託管人的網路安全和風險管理實踐,目前還沒有全行業的標準,這意味著「合格託管人」的地位並不像聽起來那麼令人放心。這不僅使投資者,而且使整個新興產業面臨不透明的風險,並可能帶來可怕的後果。
一系列比特幣ETF 的批准只是數位資產持續融入金融體系的最新一步。你不必相信加密貨幣們的預測——只要問問支持ETF 的傳統巨頭貝萊德就知道了。隨著這些發展的繼續,真正對投資者保護感興趣的監管機構將專注於適應這個新世界:在這個新世界中,嚴格的網路安全標準對於金融穩定與誠實揭露和財務審計同樣重要。