Zum Hauptinhalt springen

Verwahrung digitaler Assets für latenzarme, sichere Handelsausführung in großem Maßstab

· 11 Minuten Lesezeit
Dora Noda
Dora Noda
Software Engineer

Wie man einen Verwahrungs- und Ausführungs-Stack entwirft, der mit Marktgeschwindigkeit arbeitet, ohne Kompromisse bei Risiko, Audit oder Compliance einzugehen.

Zusammenfassung

Verwahrung und Handel können nicht länger in getrennten Welten existieren. Auf den heutigen Märkten für digitale Assets ist die sichere Aufbewahrung von Kundenvermögen nur die halbe Miete. Wenn Sie Trades nicht in Millisekunden ausführen können, wenn sich die Preise bewegen, lassen Sie Renditen liegen und setzen Kunden vermeidbaren Risiken wie Maximal Extractable Value (MEV), Gegenparteiausfällen und operativen Engpässen aus. Ein moderner Verwahrungs- und Ausführungs-Stack muss modernste Sicherheit mit Hochleistungs-Engineering verbinden. Das bedeutet die Integration von Technologien wie Multi-Party Computation (MPC) und Hardware Security Modules (HSMs) für das Signieren, die Verwendung von Policy Engines und privatem Transaktions-Routing zur Minderung von Front-Running sowie die Nutzung einer Aktiv/Aktiv-Infrastruktur mit Off-Exchange-Settlement, um das Venue-Risiko zu reduzieren und die Kapitaleffizienz zu steigern. Entscheidend ist, dass Compliance kein nachträglicher Zusatz sein darf; Funktionen wie Travel Rule-Datenflüsse, unveränderliche Audit-Logs und Kontrollen, die auf Frameworks wie SOC 2 abgebildet sind, müssen direkt in die Transaktionspipeline integriert werden.

Warum „Verwahrungsgeschwindigkeit“ jetzt wichtig ist

Historisch gesehen optimierten Verwahrer digitaler Assets auf ein primäres Ziel: die Schlüssel nicht zu verlieren. Obwohl dies weiterhin fundamental ist, haben sich die Anforderungen weiterentwickelt. Heute sind beste Ausführung und Marktintegrität gleichermaßen unverzichtbar. Wenn Ihre Trades durch öffentliche Mempools laufen, können raffinierte Akteure sie sehen, neu anordnen oder „sandwichen“, um auf Ihre Kosten Gewinne zu erzielen. Dies ist MEV in Aktion und beeinflusst direkt die Ausführungsqualität. Die Geheimhaltung sensibler Orderströme durch die Verwendung von privaten Transaktions-Relays ist eine wirksame Methode, um dieses Risiko zu reduzieren.

Gleichzeitig ist das Venue-Risiko ein anhaltendes Problem. Die Konzentration großer Guthaben auf einer einzigen Börse birgt ein erhebliches Gegenparteirisiko. Off-Exchange-Settlement-Netzwerke bieten eine Lösung, die es Unternehmen ermöglicht, mit von der Börse bereitgestelltem Kredit zu handeln, während ihre Assets in getrennter, insolvenzgeschützter Verwahrung verbleiben. Dieses Modell verbessert sowohl die Sicherheit als auch die Kapitaleffizienz erheblich.

Auch die Regulierungsbehörden schließen die Lücken. Die Durchsetzung der Travel Rule der Financial Action Task Force (FATF) und Empfehlungen von Gremien wie IOSCO und dem Financial Stability Board drängen die Märkte für digitale Assets zu einem „gleiches Risiko, gleiche Regeln“-Framework. Dies bedeutet, dass Verwahrungsplattformen von Grund auf mit konformen Datenflüssen und auditierbaren Kontrollen aufgebaut werden müssen.

Designziele (Was „gut“ aussieht)

Ein Hochleistungs-Verwahrungs-Stack sollte auf einigen Kern-Designprinzipien basieren:

  • Latenz, die Sie budgetieren können: Jede Millisekunde von der Client-Absicht bis zur Netzwerkübertragung muss gemessen, verwaltet und mit strengen Service Level Objectives (SLOs) durchgesetzt werden.
  • MEV-resistente Ausführung: Sensible Orders sollten standardmäßig über private Kanäle geleitet werden. Die Exposition gegenüber dem öffentlichen Mempool sollte eine bewusste Entscheidung sein, kein unvermeidlicher Standard.
  • Schlüsselmaterial mit echten Garantien: Private Schlüssel dürfen niemals ihre geschützten Grenzen verlassen, egal ob sie über MPC-Shards verteilt, in HSMs gespeichert oder in Trusted Execution Environments (TEEs) isoliert sind. Schlüsselrotation, Quorum-Durchsetzung und robuste Wiederherstellungsverfahren sind Grundvoraussetzungen.
  • Aktiv/Aktiv-Zuverlässigkeit: Das System muss ausfallsicher sein. Dies erfordert Multi-Region- und Multi-Provider-Redundanz sowohl für RPC-Nodes als auch für Signer, ergänzt durch automatisierte Schutzschalter und Not-Aus-Schalter für Venue- und Netzwerkvorfälle.
  • Compliance-by-Construction: Compliance darf kein nachträglicher Gedanke sein. Die Architektur muss integrierte Hooks für Travel Rule-Daten, AML/KYT-Prüfungen und unveränderliche Audit-Trails aufweisen, wobei alle Kontrollen direkt auf anerkannte Frameworks wie die SOC 2 Trust Services Criteria abgebildet sind.

Eine Referenzarchitektur

Dieses Diagramm veranschaulicht eine übergeordnete Architektur für eine Verwahrungs- und Ausführungsplattform, die diese Ziele erfüllt.

  • Die Policy & Risk Engine ist der zentrale Gatekeeper für jede Anweisung. Sie bewertet alles – Travel Rule-Payloads, Geschwindigkeitsbegrenzungen, Adress-Risikobewertungen und Signer-Quorum-Anforderungen – bevor auf Schlüsselmaterial zugegriffen wird.
  • Der Signer Orchestrator leitet Signieranfragen intelligent an die am besten geeignete Steuerungsebene für das Asset und die Policy weiter. Dies könnte sein:
    • MPC (Multi-Party Computation) unter Verwendung von Schwellenwert-Signaturschemata (wie t-of-n ECDSA/EdDSA), um Vertrauen auf mehrere Parteien oder Geräte zu verteilen.
    • HSMs (Hardware Security Modules) für hardwaregestützte Schlüsselverwahrung mit deterministischen Backup- und Rotationsrichtlinien.
    • Trusted Execution Environments (z. B. AWS Nitro Enclaves) zur Isolierung von Signaturcode und direkten Bindung von Schlüsseln an attestierte, gemessene Software.
  • Der Execution Router sendet Transaktionen auf dem optimalen Pfad. Er bevorzugt die private Transaktionsübermittlung für große oder informationssensible Orders, um Front-Running zu vermeiden. Bei Bedarf greift er auf die öffentliche Übermittlung zurück und nutzt dabei Multi-Provider RPC Failover, um auch bei Netzwerkstörungen eine hohe Verfügbarkeit zu gewährleisten.
  • Die Observability Layer bietet eine Echtzeitansicht des Systemzustands. Sie überwacht den Mempool und neue Blöcke über Abonnements, gleicht ausgeführte Trades mit internen Aufzeichnungen ab und speichert unveränderliche Audit-Datensätze für jede Entscheidung, Signatur und Übertragung.

Sicherheitsbausteine (und warum sie wichtig sind)

  • Schwellenwert-Signaturen (MPC): Diese Technologie verteilt die Kontrolle über einen privaten Schlüssel, sodass keine einzelne Maschine – oder Person – Gelder unilateral bewegen kann. Moderne MPC-Protokolle können schnelle, bösartig sichere Signaturen implementieren, die für Latenzbudgets in der Produktion geeignet sind.
  • HSMs und FIPS-Konformität: HSMs erzwingen Schlüsselgrenzen mit manipulationssicherer Hardware und dokumentierten Sicherheitsrichtlinien. Die Ausrichtung an Standards wie FIPS 140-3 und NIST SP 800-57 bietet auditierbare, weithin verstandene Sicherheitsgarantien.
  • Attestierte TEEs: Trusted Execution Environments binden Schlüssel an spezifischen, gemessenen Code, der in isolierten Enklaven läuft. Mit einem Key Management Service (KMS) können Sie Richtlinien erstellen, die Schlüsselmaterial nur für diese attestierten Workloads freigeben, wodurch sichergestellt wird, dass nur genehmigter Code signieren kann.
  • Private Relays für MEV-Schutz: Diese Dienste ermöglichen es Ihnen, sensible Transaktionen direkt an Block-Builder oder Validatoren zu senden, wodurch der öffentliche Mempool umgangen wird. Dies reduziert das Risiko von Front-Running und anderen Formen von MEV drastisch.
  • Off-Exchange Settlement: Dieses Modell ermöglicht es Ihnen, Sicherheiten in getrennter Verwahrung zu halten, während Sie an zentralisierten Venues handeln. Es begrenzt das Gegenparteirisiko, beschleunigt die Nettoabwicklung und setzt Kapital frei.
  • Kontrollen, die auf SOC 2/ISO abgebildet sind: Die Dokumentation und Prüfung Ihrer operativen Kontrollen anhand anerkannter Frameworks ermöglicht es Kunden, Auditoren und Partnern, Ihre Sicherheits- und Compliance-Haltung zu vertrauen – und unabhängig zu überprüfen.

Latenz-Playbook: Wohin die Millisekunden gehen

Um eine latenzarme Ausführung zu erreichen, müssen Sie jeden Schritt des Transaktionslebenszyklus optimieren:

  • Absicht → Policy-Entscheidung: Halten Sie die Logik zur Policy-Bewertung im Speicher „warm“. Cachen Sie Know-Your-Transaction (KYT)- und Allowlist-Daten mit kurzen, begrenzten Time-to-Live (TTL)-Werten und berechnen Sie Signer-Quoren, wo immer möglich, vor.
  • Signieren: Verwenden Sie persistente MPC-Sitzungen und HSM-Schlüssel-Handles, um den Overhead von Kaltstarts zu vermeiden. Für TEEs fixieren Sie die Enklaven, wärmen Sie deren Attestierungspfade auf und verwenden Sie Sitzungsschlüssel wieder, wo dies sicher ist.
  • Broadcast: Bevorzugen Sie persistente WebSocket-Verbindungen zu RPC-Nodes gegenüber HTTP. Platzieren Sie Ihre Ausführungsdienste in denselben Regionen wie Ihre primären RPC-Anbieter. Wenn die Latenzspitzen auftreten, wiederholen Sie idempotent und streuen Sie Broadcasts über mehrere Anbieter.
  • Bestätigung: Anstatt den Transaktionsstatus abzufragen, abonnieren Sie Receipts und Ereignisse direkt vom Netzwerk. Streamen Sie diese Statusänderungen in eine Abgleich-Pipeline für sofortiges Benutzerfeedback und interne Buchhaltung.

Legen Sie strenge SLOs für jeden Schritt fest (z. B. Policy-Prüfung <20ms, Signieren <50–100ms, Broadcast <50ms unter normaler Last) und setzen Sie diese mit Fehlerbudgets und automatischem Failover durch, wenn die p95- oder p99-Latenzen sich verschlechtern.

Risiko & Compliance by Design

Ein moderner Verwahrungs-Stack muss Compliance als integralen Bestandteil des Systems behandeln, nicht als Zusatz.

  • Travel Rule Orchestrierung: Generieren und validieren Sie Absender- und Empfängerdaten in-line mit jeder Überweisungsanweisung. Blockieren oder umleiten Sie Transaktionen, die unbekannte Virtual Asset Service Providers (VASPs) betreffen, automatisch und protokollieren Sie kryptografische Belege jedes Datenaustauschs zu Prüfzwecken.
  • Adressrisiko & Allowlists: Integrieren Sie On-Chain-Analysen und Sanktionsprüflisten direkt in die Policy Engine. Erzwingen Sie eine Deny-by-Default-Haltung, bei der Übertragungen nur an explizit allowlistete Adressen oder unter spezifischen Policy-Ausnahmen erlaubt sind.
  • Unveränderliches Audit: Hashen Sie jede Anfrage, Genehmigung, Signatur und Übertragung in ein nur-anhängendes Ledger. Dies erzeugt einen manipulationssicheren Audit-Trail, der an ein SIEM für die Echtzeit-Bedrohungserkennung gestreamt und Prüfern für die Kontrollevaluation zur Verfügung gestellt werden kann.
  • Kontroll-Framework: Ordnen Sie jede technische und operative Kontrolle den SOC 2 Trust Services Criteria (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz) zu und implementieren Sie ein Programm zur kontinuierlichen Prüfung und Validierung.

Off-Exchange Settlement: Sicherere Venue-Konnektivität

Ein Verwahrungs-Stack, der für institutionelle Skalierung gebaut ist, sollte die Exposition gegenüber Börsen aktiv minimieren. Off-Exchange Settlement-Netzwerke sind ein wichtiger Wegbereiter dafür. Sie ermöglichen es einem Unternehmen, Assets in seiner eigenen getrennten Verwahrung zu halten, während eine Börse diese Sicherheiten spiegelt, um sofortigen Handel zu ermöglichen. Die endgültige Abwicklung erfolgt in einem festen Rhythmus mit Delivery versus Payment (DvP)-ähnlichen Garantien.

Dieses Design reduziert den „Hot Wallet“-Fußabdruck und das damit verbundene Gegenparteirisiko drastisch, während es gleichzeitig die für den aktiven Handel erforderliche Geschwindigkeit beibehält. Es verbessert auch die Kapitaleffizienz, da Sie nicht länger ungenutzte Guthaben über mehrere Venues hinweg überfinanzieren müssen, und es vereinfacht das operationelle Risikomanagement, indem Sicherheiten getrennt und vollständig auditierbar gehalten werden.

Kontroll-Checkliste (Zum Kopieren/Einfügen in Ihr Runbook)

  • Schlüsselverwahrung
    • MPC unter Verwendung eines t-of-n-Schwellenwerts über unabhängige Vertrauensdomänen (z. B. Multi-Cloud, On-Premise, HSMs).
    • Verwenden Sie FIPS-validierte Module, wo machbar; pflegen Sie Pläne für die vierteljährliche Schlüsselrotation und die vorfallgesteuerte Neuschlüsselung.
  • Policy & Genehmigungen
    • Implementieren Sie eine dynamische Policy Engine mit Geschwindigkeitsbegrenzungen, Verhaltensheuristiken und Geschäftszeitenbeschränkungen.
    • Erfordern Sie das Vier-Augen-Prinzip für risikoreiche Operationen.
    • Setzen Sie Adress-Allowlists und Travel Rule-Prüfungen vor jeder Signieroperation durch.
  • Ausführungshärtung
    • Verwenden Sie standardmäßig private Transaktions-Relays für große oder sensible Orders.
    • Nutzen Sie zwei RPC-Anbieter mit gesundheitsbasierter Absicherung und robustem Replay-Schutz.
  • Überwachung & Reaktion
    • Implementieren Sie Echtzeit-Anomalieerkennung für Intent-Raten, Gaspreis-Ausreißer und fehlgeschlagene Transaktionsinklusion.
    • Pflegen Sie einen Ein-Klick-Not-Aus-Schalter, um alle Signer pro Asset oder pro Venue einzufrieren.
  • Compliance & Audit
    • Führen Sie ein unveränderliches Ereignisprotokoll für alle Systemaktionen.
    • Führen Sie kontinuierliche, SOC 2-konforme Kontrollprüfungen durch.
    • Stellen Sie eine robuste Aufbewahrung aller Travel Rule-Nachweise sicher.

Implementierungshinweise

  • Menschen & Prozesse zuerst: Technologie kann keine mehrdeutigen Autorisierungsrichtlinien oder unklare On-Call-Verantwortlichkeiten beheben. Definieren Sie klar, wer berechtigt ist, Policies zu ändern, Signer-Code zu promoten, Schlüssel zu rotieren und Ausnahmen zu genehmigen.
  • Komplexität minimieren, wo immer möglich: Jede neue Blockchain, Bridge oder Venue, die Sie integrieren, erhöht das nicht-lineare Betriebsrisiko. Fügen Sie sie bewusst hinzu, mit klarer Testabdeckung, Überwachung und Rollback-Plänen.
  • Testen Sie wie ein Angreifer: Führen Sie regelmäßig Chaos-Engineering-Übungen durch. Simulieren Sie Signer-Verlust, Enklaven-Attestierungsfehler, blockierte Mempools, Venue-API-Drosselung und fehlerhafte Travel Rule-Daten, um die Widerstandsfähigkeit Ihres Systems zu gewährleisten.
  • Beweisen Sie es: Verfolgen Sie die KPIs, die Ihren Kunden wirklich wichtig sind:
    • Zeit bis zum Broadcast und Zeit bis zur ersten Bestätigung (p95/p99).
    • Der Prozentsatz der Transaktionen, die über MEV-sichere Routen im Vergleich zum öffentlichen Mempool übermittelt werden.
    • Venue-Auslastung und Gewinne bei der Kapitaleffizienz durch die Nutzung von Off-Exchange Settlement.
    • Metriken zur Kontrolleffektivität, wie der Prozentsatz der Übertragungen mit vollständigen Travel Rule-Daten und die Rate, mit der Audit-Feststellungen geschlossen werden.

Fazit

Eine Verwahrungsplattform, die institutionellem Fluss würdig ist, führt schnell aus, beweist ihre Kontrollen und begrenzt Gegenpartei- und Informationsrisiken – alles gleichzeitig. Dies erfordert einen tief integrierten Stack, der auf MEV-bewusstem Routing, hardwaregestütztem oder MPC-basiertem Signieren, Aktiv/Aktiv-Infrastruktur und Off-Exchange Settlement basiert, der Assets sicher hält, während er globalen Liquiditätszugang ermöglicht. Indem Sie diese Komponenten in eine einzige, gemessene Pipeline integrieren, liefern Sie das Eine, was institutionelle Kunden am meisten schätzen: Sicherheit mit Geschwindigkeit.

Share on Twitter