# a16z:加密资产托管的 5 项原则 By [Foresight News](https://paragraph.com/@foresight-news) · 2025-04-21 --- > 加密资产托管面临着独特的法律和运营风险。 **撰文:Scott Walker、Kate Dellolio、David Sverdlov** **编译:Luffy,Foresight News** 投资加密资产的注册投资顾问(RIAs)面临着监管不明确和资产托管选择有限的困境。更为复杂的是,加密资产带有与 RIAs 以往负责的资产不同的所有权和转让风险。RIAs 的内部团队(运营、合规、法务等部门)竭尽全力寻找愿意且符合期望的第三方托管人,尽管付出诸多努力,他们还是难以找到合格的托管人,结果就是 RIAs 不得不自行持有这些资产。因此,当前加密资产托管面临着独有的法律和运营风险。 加密行业需要的是一种原则上的方法,来为帮助客户保护加密资产的专业投资者解决这一关键问题。在回应美国证券交易委员会(SEC)近期的信息征集请求时,我们制定了一些原则,若能够实施,这些原则将把《投资顾问法》托管规则的目标延伸至新的加密资产类别。 加密资产托管有何不同 ---------- 传统资产的持有人对资产的控制意味着其他人没有控制权。但加密资产并非如此,可能有多个实体能够访问与一组加密资产相关的私钥。 加密资产通常还附带多种对资产至关重要的内在经济和治理权利。传统债务或证券可以 「被动」 赚取收益(如股息或利息),持有人在获取资产后无需转移资产或采取任何进一步行动。相比之下,加密资产持有人可能需要采取行动来解锁与资产相关的特定收益或治理权利。根据第三方托管人的能力,RIAs 可能需要暂时将这些资产转出托管,以解锁这些权利。例如,某些加密资产可以通过质押或收益耕作赚取收益,或者对协议或网络升级的治理提案拥有投票权。这些与传统资产的差异给加密资产托管带来了新的挑战。 为便于追踪何时适合自我托管,我们制定了这个流程图。 原则 -- 我们在此提出的原则旨在为 RIAs 揭开托管的神秘面纱,同时保留其保护客户资产的责任。目前专注于加密资产的合格托管人(如银行或经纪自营商)市场极其狭小;因此,我们的主要关注点在于托管实体是否有能力提供我们认为托管加密资产所必需的实质性保护措施 ,而不仅仅是该实体作为《投资顾问法》下合格托管人的法律地位。 我们建议,当满足实质性保护措施的第三方托管解决方案不可用或不支持经济和治理权利时,有能力满足实质性保护要求的 RIAs 可将自我托管作为一种途径。 我们的目标不是将托管规则的范围扩大到证券之外。这些原则适用于属于证券的加密资产,并为其他资产类型规定了满足 RIAs 受托责任的标准。RIAs 应寻求在类似条件下持有不属于证券的加密资产,并记录所有资产的托管实践,包括针对不同类型资产的托管实践存在重大差异的原因。 原则 1:法律地位不应决定加密资产托管人的资格 ----------------------- 法律地位以及与特定法律地位相关的保护措施对托管人的客户很重要,但在涉及加密资产托管时,这并非全部考量因素。例如,联邦特许银行和经纪自营商受托管法规约束,为客户提供严格保护,但州特许信托公司和其他第三方托管人也可以提供类似程度的保护。 托管人的注册不应是其是否有资格托管加密资产证券的唯一决定因素。在加密领域,「合格托管人」 的范围应予以扩大,还应包括: * 州特许信托公司(意味着它们除了接受州或联邦银行监管机构的监督和检查外,无需满足《投资顾问法》中 「银行」 的定义标准); * 根据(拟议的)联邦加密市场结构立法注册的任何实体; * 任何其他能够证明自身符合严格客户保护标准的实体,无论其注册状态如何。 原则 2:加密资产托管人应建立适当的保护措施 ---------------------- 无论使用何种技术工具,托管人都应围绕加密资产托管采取一定的保护措施。这些措施包括: 1、权力分离:加密资产托管人在没有 RIAs 配合的情况下,不应能够将加密资产转出。 2、资产隔离:加密资产托管人不应将为 RIAs 持有的任何资产与为其他实体持有的资产混合。不过,注册经纪自营商可以使用单一综合钱包,前提是它始终保持这些资产所有权的最新记录,并及时向相关 RIAs 披露情况。 3、托管硬件:加密资产托管人不应使用任何会引发安全风险或存在受损风险的托管硬件或其他工具。 4、审计:加密资产托管人应至少每年接受一次财务和技术审计。此类审计应包括: 由 PCAOB 注册审计师进行的财务审计: * 服务组织控制(SOC)1 审计; * SOC 2 审计;以及 * 从持有人角度对加密资产的确认、计量和列报; 技术审计: * ISO 27001 认证; * 渗透测试;以及 * 灾难恢复程序和业务连续性规划测试。 5、保险:加密资产托管人应有足够的保险覆盖范围,或者,如果无法获得保险,应建立足够的储备金。 6、披露:加密资产托管人必须每年向 RIAs 提供一份与其托管加密资产相关的主要风险清单,以及减轻这些风险的相关书面监督程序和内部控制措施。加密资产托管人应每季度对此进行评估,以确定是否需要更新披露内容。 6、托管区域:加密资产托管人不应在当地法律规定托管资产在其破产时将成为破产财产一部分的任何管辖区域托管加密资产。 此外,我们建议加密资产托管人在每个阶段实施与以下流程相关的保护措施: * 准备阶段:审查和评估要托管的加密资产,包括密钥生成过程和交易签名程序,它是否由开源钱包或软件支持,以及密钥管理过程中使用的每一件硬件和软件的来源。 * 密钥生成:在此过程的各个层面都应使用加密技术,并且需要多个加密密钥来生成私钥。密钥生成过程应既 「横向」(即同一层级有多个加密密钥持有人),又 「纵向」(即有多个层级的加密)。最后,法定人数要求还应确保认证人员的实际在场。 * 密钥存储:绝不要以明文形式存储密钥,只能以加密形式存储。密钥必须通过地理位置或不同的访问人员进行物理隔离。如果使用硬件安全模块来保存密钥副本,其必须符合美国联邦信息处理标准(「FIPS」)的安全评级。应实施严格的物理隔离和授权措施。加密资产托管人应至少维持两级加密冗余,以便在发生自然灾害、停电或财产损毁时能够维持运营。 * 密钥使用:钱包应要求身份验证;换句话说,它们应核实用户身份属实,并且只有授权方能够访问钱包。钱包应使用成熟的开源加密库。另一个最佳实践是避免将一个密钥用于多种用途。例如,应分别为加密和签名保存密钥。遵循 「最小特权」 原则,即在发生安全漏洞时,对任何资产、信息或操作的访问应仅限于系统运行绝对必需的各方。 原则 3:加密资产托管规则应允许注册投资顾问行使与托管加密资产相关的经济或治理权利 ----------------------------------------- 除非客户另有指示,RIAs 应能够行使与托管加密资产相关的经济或治理权利。在前一届 SEC 管理层执政期间,鉴于代币分类的不确定性,许多 RIAs 采取保守策略,将所有加密资产托管给合格托管人。如前所述,可供选择的托管人市场有限,这往往导致只有一家合格托管人愿意支持某一特定资产。 在这些情况下,RIAs 可以要求行使经济或治理权利,但加密资产托管人可能因为一些原因选择不提供这些权利。反过来,RIAs 觉得自己没有权力选择其他第三方托管人或进行自我托管以行使这些权利。这些经济和治理权利的包括质押、收益耕作或投票。 根据这一原则,我们主张 RIAs 应选择符合相关保护措施的第三方加密资产托管人,以便 RIAs 能够行使与托管加密资产相关的经济或治理权利。如果第三方无法同时满足这两个要求,RIAs 为行使经济或治理权利而将资产临时转出进行自我托管的行为不应被视为脱离托管。 所有第三方托管人应尽最大努力在资产仍由其托管时,为 RIAs 提供行使这些权利的能力,并应在 RIAs 授权时,采取商业上合理的行动,以行使与链上资产相关的任何权利。 在为行使与某项加密资产相关的权利而将资产转出托管之前,RIAs 或托管人必须首先以书面形式确定,是否可以在不转出托管的情况下行使该权利。 原则 4:加密资产托管规则应具备灵活性,以实现最佳执行 --------------------------- RIAs 在交易资产方面负有最佳执行义务。为此,RIAs 可以将资产转移到加密交易平台,以确保该资产的最佳执行,无论资产或托管人的状态如何,前提是 RIAs 已采取必要步骤确保交易场所的安全性,或者 RIAs 在加密市场结构立法最终确定后,已将加密资产转移到受该立法监管的实体。 只要 RIAs 确定将加密资产转移到交易场所以实现最佳执行是明智之举,这种转移不应被视为脱离托管。这要求 RIAs 合理确定该场所适合实现最佳执行。如果交易无法在该场所妥善执行,资产应立即返还给加密资产托管人。 原则 5:在特定情况下,应允许 RIAs 进行自我托管 --------------------------- 虽然使用第三方托管仍应是加密资产的主要选择,但在以下情况下,应允许 RIAs 对加密资产进行自我托管: * RIAs 确定找不到能够满足其所需保护措施的第三方托管人; * RIAs 自身的托管安排至少与可获得的第三方托管人的保护措施一样有效; * 自我托管对于行使与加密资产相关的任何经济或治理权利是必要的。 当 RIAs 出于这些原因决定对加密资产进行自我托管时,RIAs 必须每年确认证明自我托管合理的情况未发生变化,向客户披露自我托管情况,并使此类加密资产接受《托管规则》的审计要求。 基于这些原则的加密资产托管方法确保 RIAs 能够在履行受托责任的同时,适应加密资产的独特特性。通过关注实质性保护而非僵化的分类,这些原则为保护客户资产和解锁资产功能提供了一条务实的前进道路。随着监管环境的演变,基于这些保护措施的明确标准将使 RIAs 能够以负责任的方式管理加密资产。 --- *Originally published on [Foresight News](https://paragraph.com/@foresight-news/a16z-5-3)*