跳到主要内容

机构托管之战:为什么联邦执照优于更快的软件

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

在机构加密资产托管的竞赛中,有一个价值 1090 亿美元的问题将赢家与落后者区分开来:你的安全架构能否经受住联邦审计?随着加密托管市场规模预计从 2025 年的 55.2 亿美元爆发增长到 2030 年的 1092.9 亿美元,机构参与者发现,合规性所创造的护城河比任何技术优势都要深。而在 2026 年 9 月 21 日——距离现在不到七个月——规则将发生永久性变化。

托管之战不仅仅关乎谁拥有最好的技术。它关乎谁能以满足美国货币监理署 (OCC)、美国证券交易委员会 (SEC) 和 NIST 联邦信息处理标准 (FIPS) 的方式,证明对私钥的排他性控制。答案正在重塑竞争格局,并迫使人们提出一些令人不安的问题:多方计算 (MPC) 是否足够?还是机构需要硬件安全模块 (HSM)?联邦银行牌照能为你带来哪些数十亿风险投资也无法换取的东西?

合格托管人标准:为什么仅靠软件是不够的

当 SEC 扩大其托管规则以涵盖数字资产时,它创建了一个明确的标准:合格托管人必须证明对客户资产拥有“排他性控制”。对于加密货币而言,这意味着要证明对私钥的排他性控制——不仅仅是口头承诺,而是通过可验证的技术基础设施来展示。

Anchorage Digital 在给 SEC 的信中明确阐述了这一点:“对排他性控制的证明,可以通过依靠离线 (air-gapped) 硬件安全模块 (HSM) 来生成并确保私钥托管的安全来最终证明。”这不仅是一个建议——它正在成为监管标准。

这种区别至关重要,因为 HSM 提供了物理防篡改硬件,可以在安全隔离区内生成和存储密钥。FIPS 140-3 3 级认证要求物理安全机制,使得提取或修改密钥在数学和物理上都变得极其困难。相比之下,基于软件的 MPC 在多个参与方之间分配密钥分片——这虽然是优雅的密码学,但从根本上不同于监管机构理解并信任的离线硬件范式。

关键点在于:在 2026 年 9 月 21 日,所有现有的 FIPS 140-2 证书都将被归档。在此日期之后,只有 FIPS 140-3 验证在美联邦政府合同、加拿大政府工作以及大多数受监管的金融机构中有效。无法证明拥有硬件支持的 FIPS 140-3 3 级合规性的托管人,将发现自己被拒之于机构市场门外。

联邦牌照护城河:Anchorage 的监管先发优势

Anchorage Digital Bank 于 2021 年 1 月获得了加密公司首个 OCC 国家信托牌照。五年后,它仍然是唯一一家获得联邦授权的数字资产银行——这种垄断地位随着每个季度的过去而不断巩固其竞争优势。

联邦牌照能买到什么?以下是任何数量的风投资金都无法复制的三样东西:

  1. 明确的合格托管人身份:受 OCC 管辖的联邦授权银行自动符合 SEC 的合格托管人定义。投资顾问在选择 Anchorage 时不会面临解释性风险——监管待遇已是定论。

  2. 破产隔离:由联邦授权信托银行持有的客户资产与托管人的资产负债表分离。如果 Anchorage 破产,客户资产依法受到保护,免受债权人索赔——这对于管理养老基金和捐赠基金的受托人来说是一个关键区别。

  3. 经过 FIPS 验证的 HSM 基础设施Anchorage 将“经过 FIPS 验证的 HSM 技术”作为基本门槛,因为联邦银行牌照要求符合 NIST 标准的硬件支持密钥管理。这里没有监管选择权——这是合规要求。

OCC 一直非常挑剔。2026 年 2 月,它批准了几个新的数字资产托管国家信托银行牌照——BitGo Trust Company、Bridge National Trust Bank、First National Digital Currency Bank 和 Ripple National Trust Bank——但这些仍然只是一个小圈子。准入门槛不仅仅是资本或技术;它是一个为期多年的监管考验,包括运营就绪性检查、资本充足率审查和管理层审查。

MPC 的灵活性与 HSM 的确定性

Fireblocks 作为市场上领先的 MPC 托管提供商,其 80 亿美元的估值建立在一种不同的架构理念之上:将信任分散到多个参与方,而不是将其集中在硬件飞地(hardware enclaves)中。

Fireblocks 的 MPC-CMP 算法 通过确保“在密钥创建、密钥轮换、交易签名或添加新用户期间,从未生成或收集 MPC 密钥分片”,消除了单点故障。这种方法具有操作优势:交易签名更快,密钥管理策略更灵活,且无需管理物理 HSM 集群。

但机构买家正在提出更严苛的问题。仅靠 MPC 是否能满足 SEC 对合规托管(qualified custody)的“排他性控制”标准?Fireblocks 通过提供 KeyLink 确认了这一疑虑。这是一个将 Fireblocks 平台连接到 Thales Luna HSM 的中间层,“确保私钥保留在经过 FIPS 140-3 Level 3 和通用标准(Common Criteria)认证的硬件中”。这种混合方法——利用 MPC 获得操作灵活性,利用 HSM 满足监管合规——反映了市场的监管现实。

这种选择并非纯粹的技术问题。它关乎审计师、监管机构和机构风险委员会的接受度:

  • HSM 提供确定性:密钥在符合政府标准的抗篡改硬件中生成和存储。当审计师问“你能证明排他性控制吗?”时,答案是“可以,这是 FIPS 证书”。

  • MPC 需要解释:分布式密钥分片和阈值签名在密码学上是可靠的,但它们需要利益相关者理解多方计算协议。对于风险规避型的受托人来说,这种解释本身就是一个信号。

结果是一个二级市场。MPC 适用于优先考虑操作速度的加密原生基金、交易柜台和 DeFi 协议。而由 HSM 支持的托管则是养老基金、保险公司和在 SEC 监督下管理客户资金的注册投资顾问(RIA)的准入门槛。

保险覆盖差距:基础设施 vs 资产

机构加密托管营销中充满了令人瞠目结舌的保险数字:BitGo 为 2.5 亿美元,其他公司则声称“超过 10 亿美元”。但阅读细则的 CFO 们会发现一个关键区别:基础设施覆盖与资产覆盖

基础设施覆盖旨在防止托管方系统遭到破坏——外部黑客攻击、内部勾结、存储介质的物理盗窃。资产覆盖则保护客户的持仓——如果比特币丢失,保险公司将赔付客户。

这一差距至关重要,因为大多数大额保单承保的是托管方的基础设施,而非单个客户资产。一份 10 亿美元的保单可能涵盖影响多个客户的系统性漏洞,但单个客户的索赔受分配规则、免赔额和排除条款的约束。典型的排除条款包括

  • 授权但错误的转账导致的损失
  • 智能合约漏洞或协议故障
  • 托管方在执行安全程序时的疏忽
  • 热钱包中的资产与冷存储中的资产(覆盖范围通常仅限于冷存储)

对于评估托管提供商的机构来说,问题已从“有多少保险?”转向“实际覆盖什么?”以及“每位客户的赔付限额是多少?”如行业分析指出,拥有更强合规和安全基础设施的托管方可以获得更好的保单条款,因为保险公司评估的风险较低。

这为拥有联邦执照的托管方创造了另一个优势。受美国货币监理署(OCC)监管的银行接受持续审查,这增强了保险公司对风险控制的信心。结果是:更好的覆盖条款、更高的限额和更少的排除条款。非银行托管方可能会宣传更高的标题数字,但实际有效的覆盖范围——即真正赔付的内容——往往更有利于那些“乏味”且受监管的银行。

AUM 竞赛:机构资产流向何处

加密托管市场虽然不是赢家通吃,但正在快速整合。Coinbase Custody 主导了机构市场份额,利用其上市公司地位、监管关系和集成的交易基础设施。Anchorage Digital 为机构服务,提供“专为安全性、监管合规和操作灵活性而构建的托管平台”——这暗指“我们拥有你审计所需的联邦执照和经过 FIPS 验证的 HSM”。

Fireblocks 提供“以安全的基于 MPC 的托管为中心的机构级数字资产基础设施”,赢得了那些相比于联邦执照状态更看重交易速度和 API 灵活性的客户。

竞争格局正在明朗:

  • Coinbase 在生态系统上取胜:将托管、质押、交易、大宗经纪和机构出入金渠道整合在一起。对于资产管理者来说,操作的简便性值得为其付费。

  • Anchorage 在监管确定性上取胜:联邦执照为需要明确合规托管人身份的 RIA、养老金和捐赠基金消除了合规解读风险。

  • Fireblocks 在敏捷性上取胜:MPC 使得产品迭代更快、策略更灵活,并为加密原生基金和 DeFi 协议提供了更好的 API 集成。

但 2026 年 9 月的 FIPS 140-3 截止日期正在迫使市场整合。依赖 FIPS 140-2 证书的托管方必须升级或集成 HSM——这些耗时耗力的项目有利于拥有资本和工程资源的头部玩家。小型托管提供商正在被收购或与 HSM 基础设施供应商合作 以满足新标准。

结果是一个杠铃型市场:一端是拥有联邦执照的大型银行,另一端是拥有 HSM 合作伙伴关系的灵活 MPC 提供商,而缺乏资金升级的中型托管方市场正在萎缩。

2026 年 9 月对托管买家意味着什么

机构加密货币买家在 2026 年评估托管服务商时,面临着一份比以往任何时候都更长、技术性更强的清单:

  1. FIPS 140-3 Level 3 认证:托管商是否使用了经过 FIPS 140-3 验证的 HSM,还是仍在使用 FIPS 140-2(该标准将于 9 月 21 日过期)?

  2. 合格托管人(Qualified Custodian)身份:如果你是 SEC 注册的投资顾问,你的托管商是否明确符合 SEC 的托管规则?联邦授权银行和经 OCC 批准的信托公司符合要求。其他机构则需要法律解释。

  3. 保险覆盖细节:每个客户的追偿限额是多少?哪些情况属于免责范畴?保险是否覆盖热钱包中的资产,还是仅限冷存储?

  4. 破产隔离:如果托管商倒闭,你的资产在法律上是否与债权人的索赔要求相隔离?联邦授权的信托银行依法提供这种隔离。

  5. 运营灵活性:你是否需要 API 驱动的交易签名来实现交易策略?基于 MPC 的托管在这方面表现优异。如果你是买入并持有,基于 HSM 的托管则更为简单。

对于养老基金、捐赠基金和保险公司——这些将监管确定性置于运营速度之上的机构——清单越来越多地指向具有 HSM 支持的基础设施的联邦授权托管商。对于加密原生对冲基金、做市商和 DeFi 协议,拥有 HSM 合作伙伴关系的 MPC 供应商提供了两全其美的方案:运营敏捷性以及必要时的监管合规性。

托管终局:合规性作为竞争护城河

机构托管之战不在于谁拥有最优雅的密码学或最快的交易签名。而在于谁能让审计师、监管机构和风险委员会满意,证明资金是安全的,且系统符合联邦标准。

Anchorage Digital 凭借其 OCC 牌照获得的五年领先优势,已经建立了一个仅靠软件无法逾越的护城河。竞争对手可以构建更好的 UX、更快的 API 和更灵活的 MPC 协议——但他们无法复制联邦银行牌照带来的明确的合格托管人身份。这就是为什么 OCC 最近批准 BitGo、Bridge 和 Ripple 的信托银行牌照如此具有影响力的原因:它打破了 Anchorage 的垄断,同时强化了监管剧本。

Fireblocks 和其他 MPC 供应商并没有输;他们正在适应。通过在监管关键型用例中集成 HSM,同时保留 MPC 的运营灵活性,他们正在构建混合架构,以同时服务于机构和加密原生客户。但 2026 年 9 月的 FIPS 140-3 截止日期是一个强制性因素:无法证明具有硬件支持的密钥安全性的托管商,将发现自己被拒之于机构市场之外。

对于正在建立数字资产头寸的机构来说,信息很明确:托管不是一种普通商品,合规性是不容谈判的。最便宜的供应商或拥有最佳 API 文档的供应商并不一定是正确的选择。正确的选择是当你的审计师询问你是否符合 SEC 的合格托管人标准时,能够回答"是"并能出具 FIPS 140-3 Level 3 证书来证明这一点的供应商。

托管之战远未结束,但赢家已初露端倪。而在 2026 年,监管合规性将是最终的产品差异化优势。

来源:

Share on Twitter