本文作者:Iris、白溱律師
加密貨幣市場近期不太平。前段時間MEME市場風起雲湧,大量Web3用戶損失慘重;最近主角變成了知名虛擬資產交易所Bybit,根據鏈上偵探ZachXBT的監測,2月21日半夜Bybit出現超14.6億美元的可疑資金流出。隨後,ZachXBT確認該起事件為安全事件。
*圖源:ZachXBT TG頻道
在如此龐大的被盜資金之下,部分人預測該事件可能會對虛擬資產市場帶來顯著的負面影響。但根據CoinMarketCap數據顯示,整體市場情緒指數並沒有特別大的起伏。
這現象歸功於多方面的支持:
事件出現後,Bybit CEO多次發布聲明,表示被竊資金不影響客戶資產安全;其財務審計也證明,Bybit有足夠儲備,用來覆蓋用戶資產;同時,Lookonchain發推表示,據CoinMarketCap數據顯示,Bybit在被駭客攻擊前擁有162億美元儲備資產,被竊資金僅佔約8.64%。
多家機構和個人,已經向Bybit存入資金,支持Bybit渡過當前難關,其中包括Bitget、MEXC以及多位巨鯨。根據SoSoValue統計以及鏈上安全團隊TenArmor的最新監測數據顯示,安全事件發生12小時後,Bybit資金流入超40億美元,已涵蓋全部被竊資金損失。
從當前事情走向來看,這次安全事件正向好的一面發展。對此,曼昆律師認為,這起事件中,虛擬資產的資產儲備與託管,顯然扮演了關鍵性的角色。這也是為什麼,不管是歐盟MiCA法案,或是香港SFC最新虛擬資產市場監管路線圖,都對此提出了重要且明確的規範。
資金儲備的核心意義
實際上,從全球主要國家和地區的監管機構開始對虛擬資產交易平台進行引導和監管時,資產儲備就是評估交易平台是否有能力提供交易服務的關鍵性依據。而這次Bybit駭客事件,再一次提醒了產業和監管,資產儲備在保障平台穩定性、應對突發事件和提升市場信任的重要角色。
那麼,資金儲備是什麼,對虛擬資產交易平台有什麼核心作用呢?
在虛擬資產市場中,資金儲備是交易平檯面臨市場波動、駭客攻擊或流動性危機時,能夠維持正常運作的緊急資金池。其核心功能不僅是為平台提供流動性保障,更是在危機發生時,確保平台的償付能力,讓用戶資金能及時補償。就例如在本次駭客事件中,Bybit平台透過充足的資金儲備,不僅應對了潛在的信任危機,也能夠繼續支持客戶的提款需求,避免了大規模的市場恐慌或用戶擠兌。
因此虛擬資產交易平台的儲備金管理必須符合產業合規要求,確保在危機發生時仍能正常運作。
通常,虛擬資產平台的儲備金規模由平台的交易規模、客戶資產規模以及潛在的風險評估決定。不過,根據香港證監會(SFC) 、歐盟MiCA法案等監管框架,虛擬資產交易平台除了應該保持足夠的資金儲備,還需要符合一系列具體的合規標準。
例如在香港證監會(SFC)對VATP的申請中,就要求:
虛擬資產交易平台必須維持不少於500萬港元的繳足股本;
平台應持有具有充分流動性的資產,如現金、存款、國庫券和存款證(但不包括虛擬資產),其金額應至少相當於平台業者按持續基準計算的12個月實際營運開支;
平台也需維持速動資金,通常指可立即變現或較短時間內變現的資產,如現金及短期存款,速動資金應至少等於平台總負債的基礎,確保在危機發生時能及時償付;
確保在資金被竊或遺失的情況下,平台仍能為客戶提供1:1支援。
同時,虛擬資產交易平台也必須透過獨立的第三方審計來確保資金儲備的充足性,並定期向監管機構揭露財務狀況。審計報告應涵蓋儲備金的金額、流動性和風險管理策略,確保其符合監管要求。另外,平台也需要透明地揭露儲備金的使用情況,以便監管機構和市場參與者能夠評估平台的財務健康狀況。
資產託管的必要守則
資產託管是虛擬資產交易平台用以確保客戶資金安全的重要機制。平台透過管理手段和技術手段,例如多簽、冷錢包儲存以及資產分離策略,實現客戶資金的安全儲存和獨立管理,防止資金被盜用或濫用。同時,資產託管也要求平台能夠透明地展示資金儲存和管理的過程,讓投資者和監管機構能夠清楚地了解平台如何管理客戶資產。
回到這次Bybit安全事件,有分析指出Bybit的資金託管方式採用了多簽和冷錢包儲存的方式,算是業界的標準託管方法之一。然而為什麼資產依然被竊?根據知名安全公司慢霧的文章梳理,這次事件發生的關鍵原因在於駭客通過前端UI漏洞,透過社會工程攻擊誘使簽署者在偽造的介面上簽署惡意交易。同時,慢霧科技首席資訊安全官23pds推測,一定有不只一位的macOS或Windows電腦被控了,而且攻擊者可能在內網呆了有一段時間,能監控內部聊天、轉帳時間等資訊。
不過,很顯然,Bybit在資產託管上也使用了分散式儲存的策略,並在此次安全事件中有效地隔離了大部分資金,避免了更大的損失。在Bybit的回應中有類似描述:僅損失單一冷錢包資金,其它冷錢包並未出現問題。
資產託管可以稱得上是虛擬資產交易平台的最後一道防線。因此,除了最基本的行業標準之外,部分國家和地區的監管機構也對資產託管設立了合規標準。
依然以香港證監會(SFC)的監管架構為例,核心要求有:
在儲存方式上,虛擬資產交易平台需要確保客戶的虛擬資產與自有資產完全隔離;確保98%的客戶虛擬資產以冷存儲方式保管;虛擬資產的訪問方式和程序符合安全要求,尤其是密鑰管理和加密技術的使用;另外,需要定期披露託管資金的具體管理方式,做好信息披露。
在安全性方面,建議透過即時交易監控和第三方獨立審計等方式,增強託管的透明度和安全性;平台還需提供足夠的保障措施,防止資產遺失或濫用;以及,可以採取如硬體安全模組(HSM)的技術,來管理和保護金鑰。對於儲存、使用和銷毀金鑰的程序應具備透明度,並符合業界標準。
同時,虛擬資產交易平台應定期監控和審計客戶虛擬資產的安全情況,特別是在客戶資金的轉移和交易過程中,平台應能證明其遵守合規要求。另外,平台也需要建立保險和補償安排,確保能為客戶的虛擬資產損失提供相應的保障。
除了自己進行資產託管之外,虛擬資產交易平台也會與三方託管機構合作進行託管,對此,SFC也有一定的監管要求,例如獨立性與合規性、也需要進行資產隔離與保護以及相應的安全審計、技術標準、資訊揭露等要求。
曼昆律師總結
面對駭客攻擊,充足的儲備金確保平台具備償付能力,而完善的託管機制則減少了客戶資金的連帶風險。
然而,這次事件同樣暴露了平台在前端安全和內部風險管理方面的不足,顯示僅依靠託管本身並不足以完全防範攻擊。而這不僅僅是個例,2024年WazirX、Radiant Capital、DMM同樣因這一手法損失千萬乃至上億美金。
因此,曼昆律師認為虛擬資產交易平台仍需要在以下方面進行安全性加強:
平台必須定期進行前端系統的安全審計和漏洞修復,特別是在涉及資金轉移的簽名操作介面上,確保任何簽名請求都經過嚴格驗證,防止惡意偽造交易。
防止駭客透過內網滲透進行攻擊。虛擬資產交易平台可以對員工設備實施嚴格管理,例如安裝端點保護軟體、使用VPN和雙重認證,確保公司網路安全。
除了確保客戶資產與平台自有資金隔離外,虛擬資產交易平台應採用分散式儲存策略,降低單一冷錢包被竊造成的風險,同時結合硬體安全模組(HSM)和進階加密技術,強化金鑰管理。
對於監管機構而言,隨著安全事件的不斷爆發,未來可以更針對性地對監管框架和標準進行細化:
進一步明確虛擬資產平台的託管要求,特別是冷儲存的比例、金鑰管理的技術標準,以及平台對資金流動和儲備金的揭露義務。另外,還需要引進保險機制,提升投資人保障。
鼓勵平台與持牌第三方託管機構的合作,並加強監管框架中的跨機構資訊共享,及時監控平台的安全狀況,防止類似事件發生。
針對安全事件,可以緊急回應標準,提高虛擬資產交易平台對安全事件的處置能力,例如安全事件的最短披露時間,資產追回計劃並提供定期披露。
建立執法部門合作機制,建立跨司法轄區的資產凍結和追回協調程序,以提高駭客資金追回成功率。
資金儲備和託管的安全性不僅關係到平台的營運穩定,更關乎整個產業的信任和健康發展。因此,虛擬資產交易平台和全球監管機構必須共同努力,透過提高合規標準、加強安全措施,為市場提供更透明、安全的環境。
