跳到主要内容

面向大规模低延迟安全交易执行的数字资产托管

· 阅读需 7 分钟
Dora Noda
Software Engineer

如何设计一个以市场速度运行的托管与执行堆栈,同时不牺牲风险、审计或合规性。


执行摘要

托管与交易已经不能再各自为政。在当今的数字资产市场,安全持有客户资产只是成功的一半。如果在价格波动的毫秒窗口内无法完成交易,你将错失收益,并让客户面临可避免的风险,例如最大可提取价值(MEV)、对手方失效以及运营瓶颈。现代的托管与执行堆栈必须将前沿安全技术与高性能工程相结合。这意味着要集成多方计算(MPC)和硬件安全模块(HSM)等签名技术,使用策略引擎和私有交易路由来降低抢先交易风险,并通过主动/主动的基础设施以及场外结算来降低场所风险并提升资本效率。关键是,合规不能是事后补丁;旅行规则数据流、不可变审计日志以及映射到 SOC 2 等框架的控制必须直接嵌入交易流水线。


为什么“托管速度”现在如此重要

历史上,数字资产托管机构只专注于一个核心目标:别丢钥。但随着需求演进,最佳执行市场完整性同样不可妥协。当你的订单在公共内存池中传播时,复杂的参与者可以看到、重排甚至“夹层”你的交易,从而提取利润,这正是 MEV 的表现,直接影响执行质量。通过使用私有交易中继将敏感订单隐藏在公共视野之外,是降低此类风险的有效手段。

与此同时,场所风险始终是隐患。将大额资产集中在单一交易所会产生巨大的对手方风险。场外结算网络提供了解决方案,使机构能够使用交易所提供的信用进行交易,而资产仍然保存在隔离、破产隔离的托管中。这种模式显著提升了安全性和资本效率。

监管机构也在弥合监管缺口。金融行动特别工作组(FATF)旅行规则的强制执行,以及 IOSCO、金融稳定委员会等机构的建议,正推动数字资产市场向**“同风险、同规则”**框架靠拢。这意味着托管平台必须从底层就构建合规的数据流和可审计的控制。


设计目标(“好” 的标准)

高性能托管堆栈应围绕以下核心原则构建:

  • 可预算的延迟:从客户意图到网络广播的每毫秒都必须被测量、管理,并通过严格的服务水平目标(SLO)强制执行。
  • MEV‑弹性执行:敏感订单默认走私有通道。公开内存池仅在明确选择时才使用,绝非不可避免的默认。
  • 具备真实保证的密钥材料:私钥绝不能离开受保护边界,无论是分布在 MPC 分片、存放于 HSM,还是隔离在可信执行环境(TEE)中。密钥轮换、阈值强制和可靠的恢复流程是基本要求。
  • 主动/主动可靠性:系统必须对故障具备弹性,需要多区域、多供应商的 RPC 节点和签名器冗余,并配合自动断路器和紧急关闭开关,以应对场所或网络事故。
  • 合规即构建:合规不能是事后补丁。架构必须内置旅行规则数据、AML/KYT 检查以及不可变审计链路,所有控制直接映射到 SOC 2 信任服务准则等公认框架。

参考架构

以下示意图展示了满足上述目标的托管与执行平台的高层架构。

  • 策略与风险引擎 是整个系统的核心闸门,负责在订单进入执行层之前执行风险评估、阈值检查以及合规验证。
  • 合规服务 提供旅行规则、KYT(了解你的交易)以及白名单功能,确保所有出站交易满足监管要求。
  • 签名编排器 协调不同的签名后端:MPC 集群提供阈值安全,HSM 提供硬件根信任,TEE 提供隔离执行环境,密钥管理子系统确保所有密钥操作符合 FIPS 标准。
  • 执行路由器 根据策略引擎的指示将交易路由至私有中继、主 RPC 或故障转移 RPC。
  • 可观测性层 通过内存池与区块订阅、交易后对账以及不可变审计日志实现全链路可追溯,帮助运营团队快速定位异常并满足审计需求。

  • 策略与风险引擎 是中心闸门,负责在订单进入执行层之前执行风险评估、阈值检查以及合规验证。
  • 合规服务 提供旅行规则、KYT(了解你的交易)以及白名单功能,确保所有出站交易满足监管要求。
  • MPC 集群 - t-of-nHSMTEE - 已 attested密钥管理 - 符合 FIPS 共同构成多层次的密钥保护与签名方案。
  • 执行路由器 根据策略引擎的指示将交易路由至私有中继、主 RPC 或故障转移 RPC。
  • 可观测性层 通过内存池与区块订阅、交易后对账以及不可变审计日志实现全链路可追溯,帮助运营团队快速定位异常并满足审计需求。

关键技术要点

  • 策略与风险引擎 负责对每笔交易执行实时风险评估、阈值检查以及合规验证。
  • 签名编排器 根据策略结果动态选择 MPC、HSM 或 TEE 进行签名,确保私钥始终在受信任环境中。
  • 私有交易中继 将敏感交易在公共内存池之外传播,只有经过授权的构建者才能将其提交至链上。
  • 场外结算 通过使用交易所信用进行交易,同时保持资产在隔离托管中,实现资本效率与安全的双赢。
  • 可观测性层 通过实时内存池监控、区块订阅以及不可变审计日志,提供端到端的可追溯性和审计准备。

结论

通过将多方计算、硬件安全模块、可信执行环境以及主动/主动的基础设施相结合,数字资产托管平台能够在毫秒级别实现市场速度的交易执行,同时保持最高的安全、合规和审计标准。场外结算进一步降低了场所风险,并为机构提供了更高的资本利用率。内置的合规与可观测性层确保了监管透明度和运营弹性,使平台能够在快速演进的数字资产生态系统中保持竞争优势。