跳到主要内容

托管架构的分歧:为什么大多数加密货币托管机构无法达到美国银行标准

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

这里有一个令每个进入加密领域的机构都应感到忧虑的悖论:行业内一些最知名的托管服务商——其中包括 Fireblocks 和 Copper——尽管保护着数百亿美元的数字资产,但在美国银行监管条例下,法律上却无法担任合格托管人(Qualified Custodians)。

原因何在?一个在 2018 年看起来处于前沿的技术架构选择,在 2026 年却演变成了一个无法逾越的监管障碍。

分割行业的底层技术

机构托管市场在多年前就分裂成了两大阵营,每一方都在押注不同的加密方式来确保私钥安全。

多方计算 (MPC) 将私钥分割成加密的“分片(shards)”,分布在多个参与方之间。任何单一分片都不包含完整的私钥。当交易需要签名时,各方通过分布式协议协作生成有效签名,而无需重构完整私钥。其吸引力显而易见:通过确保没有任何实体拥有完全控制权,消除了“单点故障”。

硬件安全模块 (HSM) 与之相反,它将完整的私钥存储在经过 FIPS 140-2 第 3 级或第 4 级认证的物理设备中。这些设备不仅能防篡改(Tamper-resistant),还能对篡改做出响应(Tamper-responsive)。当传感器探测到钻孔、电压操纵或极端温度时,HSM 会在攻击者提取私钥之前立即自行擦除所有加密材料。整个加密生命周期——生成、存储、签名、销毁——都发生在一个符合严格联邦标准的认证边界内。

多年来,这两种方法并存。MPC 提供商强调了通过单点攻击破解私钥在理论上的不可能。HSM 的支持者则指出了银行基础设施中数十年来经过验证的安全性以及明确的监管合规性。市场曾将它们视为机构托管同等可行的替代方案。

随后,监管机构明确了“合格托管人”的真正含义。

FIPS 140-3:改变一切的标准

联邦信息处理标准(FIPS)的存在并不是为了让工程师的生活变得困难。它们的存在是因为美国政府通过沉痛的、保密的事件了解到,加密模块在对抗性条件下究竟是如何失效的。

FIPS 140-3 于 2019 年 3 月取代了 FIPS 140-2,为加密模块确立了四个安全等级:

第 1 级 要求使用生产级设备和经过外部测试的算法。这是基准线——对于保护高价值资产来说是必要但不足够的。

第 2 级 增加了物理防篡改迹象和基于角色的身份验证要求。攻击者可能会成功入侵第 2 级模块,但他们会留下可探测的痕迹。

第 3 级 要求具备物理防篡改能力和基于身份的身份验证。私钥只能以加密形式进入或退出。这是实施成本变得昂贵且无法造假的分水岭。第 3 级模块必须能够检测并响应物理入侵尝试,而不仅仅是记录下来供日后审查。

第 4 级 强制执行主动防篡改保护:模块必须检测环境攻击(电压波动、温度操纵、电磁干扰)并立即销毁敏感数据。多因素身份验证成为强制要求。在这一级别,安全边界可以抵御具有物理接触权的国家级攻击者。

根据美国银行监管规定,若要获得合格托管人身份,HSM 基础设施必须证明至少通过了 FIPS 140-2 第 3 级认证。这不只是一个建议或最佳实践,而是由美国货币监理署(OCC)、美联储和州银行监管机构强制执行的硬性要求。

基于软件的 MPC 系统,从定义上来说,无法获得 FIPS 140-2 或 140-3 的第 3 级或更高级别的认证。该认证适用于具有硬件防篡改能力的物理加密模块——而 MPC 架构在根本上不符合这一类别。

Fireblocks 与 Copper 的合规缺口

Fireblocks 信托公司在纽约州金融服务管理局(NYDFS)监管的纽约州信托牌照下运营。该公司的基础设施保护着 3 亿个钱包中超过 10 万亿美元的数字资产——这是一项真正令人印象深刻的成就,展示了卓越的运营能力和市场信心。

但在联邦银行法中,“合格托管人”是一个具有精确要求的特定术语。国民银行、联邦储蓄协会以及作为美联储成员的州立银行被推定为合格托管人。州立信托公司如果能满足同样的要求——包括满足 FIPS 标准的、由 HSM 支持的密钥管理——也可以获得合格托管人身份。

Fireblocks 的架构在后端依赖于 MPC 技术。该公司的安全模型将密钥分散在多个参与方之间,并使用先进的加密协议在无需重构密钥的情况下实现签名。对于许多用例——特别是高频交易、跨交易所套利和 DeFi 协议交互——这种架构相比基于 HSM 的系统具有显著优势。

但它不符合联邦政府关于数字资产托管的合格托管人标准。

Copper 面临着同样的根本约束。该平台擅长为金融科技公司和交易所提供快速的资产转移和交易基础设施。技术有效,运营专业,安全模型对其预期用例而言也是稳健的。

但这两家公司在后端都没有使用 HSM。两者都依赖 MPC 技术。根据目前的监管解读,这一架构选择使它们失去了为受联邦银行监管的机构客户担任合格托管人的资格。

SEC 在最近的指南中确认,它不会对使用州立信托公司作为加密资产合格托管人的注册顾问或受监管基金采取执法行动——但前提是该州立信托公司必须获得其监管机构的授权提供托管服务,并满足传统合格托管人所适用的相同要求。这包括经过 FIPS 认证的 HSM 基础设施。

这并不是说一种技术在绝对意义上优于另一种。这是关于监管定义的滞后,这些定义是在加密托管意味着物理安全设施中的 HSM 时编写的,至今尚未更新以适应基于软件的替代方案。

Anchorage Digital 的联邦牌照护城河

2021 年 1 月,Anchorage Digital Bank 成为第一家获得美国货币监理署(OCC)授予国家信托银行牌照的加密原生公司。五年后,它仍然是唯一一家主要专注于数字资产托管的联邦特许银行。

OCC 牌照不仅是一项监管成就。随着机构采纳的加速,它已成为一个极具价值的竞争护城河。

使用 Anchorage Digital Bank 的客户,其资产托管在与摩根大通(JPMorgan Chase)和纽约梅隆银行(Bank of New York Mellon)相同的联邦监管框架下。这包括:

  • 旨在确保银行在不威胁客户资产的情况下吸收损失的资本要求
  • 通过定期 OCC 检查强制执行的全面合规标准
  • 受联邦银行业监管的安全协议,包括经 FIPS 认证的 HSM 基础设施
  • 确认内部控制有效的 SOC 1 和 SOC 2 Type II 认证

运营性能指标同样重要。Anchorage 处理 90% 的交易仅需不到 20 分钟 —— 这与基于 MPC 的系统相比极具竞争力,而后者在理论上因分布式签名应该更快。该公司构建的托管基础设施已被包括贝莱德(BlackRock)在内的机构选中,用于加密现货 ETF 的运营,这是全球最大的资产管理公司在推出受监管产品时投下的信任票。

对于受监管实体 —— 养老基金、捐赠基金、保险公司、注册投资顾问 —— 联邦牌照解决了一个任何创新密码学都无法解决的合规问题。当法规要求具备合格托管人身份,而合格托管人身份要求具备经过 FIPS 标准验证的 HSM 基础设施,且只有一家加密原生银行在 OCC 的直接监督下运营时,托管决策就变得非常清晰。

混合架构的机遇

托管技术格局并非静止不变。随着机构意识到纯 MPC 解决方案的监管局限性,新一代混合架构正在兴起。

这些系统将经过 FIPS 140-2 验证的 HSM 与 MPC 协议及生物特征控制相结合,提供多层保护。HSM 提供合规基础和物理防篡改能力。MPC 增加了分布式签名能力并消除了单点故障风险。生物特征识别则确保即使凭据有效,交易仍需要授权人员的人工验证。

一些先进的托管平台现在实现了 “温度无关”(temperature agnostic)运营 —— 能够根据需要在冷存储(位于物理安全设施中的 HSM)、温存储(具有更快访问速度以满足运营需求的 HSM)和热钱包(用于毫秒必争且监管要求相对较低的高频交易)之间动态分配资产。

这种架构灵活性至关重要,因为不同的资产类型和使用场景在安全性与可访问性之间有不同的权衡:

  • 长期国库持仓:在 FIPS 4 级设施的冷存储 HSM 中提供最高安全性,具有多日的提款流程和多个审批层级
  • ETF 申购/赎回:能够在几小时内处理机构级交易并保持 FIPS 合规的温存储 HSM
  • 交易业务:采用 MPC 签名的热钱包,实现亚秒级执行,此时托管服务商在不同于合格托管人的监管框架下运营

关键见解在于,合规性并非是非黑即白的。它取决于机构类型、所持资产以及适用的监管制度。

NIST 标准与 2026 年演进中的格局

除了 FIPS 认证外,美国国家标准与技术研究院(NIST)已成为 2026 年数字资产托管的网络安全基准。

提供托管服务的金融机构越来越需要满足与 NIST 网络安全框架 2.0(NIST Cybersecurity Framework 2.0)一致的运营要求。这包括:

  • 对托管基础设施进行持续监控和威胁检测
  • 通过定期的桌面演习测试事件响应预案
  • 托管系统中硬件和软件组件的供应链安全
  • 遵循最小特权原则的身份和访问管理

Fireblocks 的框架与 NIST CSF 2.0 保持一致,为银行实施托管治理提供了模型。挑战在于,虽然 NIST 合规是必要的,但对于联邦银行法下的合格托管人身份而言并不充分。它是适用于所有托管服务商的网络安全基准 —— 但并未解决 HSM 基础设施底层的 FIPS 认证要求。

随着 2026 年加密托管监管的成熟,我们看到不同监管层级之间有了更清晰的界限:

  • OCC 特许银行:受全面的联邦银行业监督,具备合格托管人身份,满足 HSM 要求
  • 州特许信托公司:受 NYDFS 或同等州级监管,如果由 HSM 支持,可能具备合格托管人身份
  • 持牌托管服务商:满足州级许可要求,但不主张合格托管人身份
  • 技术平台:提供托管基础设施,但不以自身名义直接持有客户资产

监管演进并未让托管变得简单。它正在创造更多专业化的类别,以将安全要求与机构的风险状况相匹配。

这对机构采用意味着什么

托管架构的分歧对 2026 年分配数字资产的机构具有直接影响:

对于注册投资顾问 (RIAs),SEC 的托管规则要求客户资产必须由合格托管人持有。如果你的基金结构要求具备合格托管人身份,那么基于 MPC 的提供商——无论其安全属性或运营记录如何——都无法满足该监管要求。

对于公共养老基金和捐赠基金,受托责任标准通常要求资产托管在符合与传统资产托管人相同的安全和监管标准的机构中。州银行牌照或联邦 OCC 牌照成为先决条件,这极大地缩小了可行提供商的范围。

对于积累比特币或稳定币的企业财库,合格托管人要求可能并不适用,但保险覆盖范围却适用。许多机构级托管保险政策现在要求将经 FIPS 认证的 HSM 基础设施作为承保条件。即使监管机构尚未强制执行,保险市场实际上也在强制执行硬件安全模块的要求。

对于加密原生公司——交易所、DeFi 协议、交易台——情况则有所不同。速度比监管分类更重要。跨链移动资产以及与智能合约集成的能力比 FIPS 认证更重要。基于 MPC 的托管平台在这些环境中表现出色。

错误在于将托管视为一种“一刀切”的决策。正确的架构完全取决于你是谁、你持有的是什么以及适用哪种监管框架。

前行的道路

到 2030 年,托管市场可能会分化为不同的类别:

合格托管人:在 OCC 联邦牌照或等效的州信托牌照下运营,使用 HSM 基础设施,为受严格受托责任标准和托管法规约束的机构提供服务。

技术平台:利用 MPC 和其他先进的加密技术,服务于速度和灵活性比合格托管人身份更重要的用例,在资金传输或其他许可框架下运营。

混合型提供商:同时提供支持受监管产品的 HSM 后盾合格托管,以及用于运营需求的基于 MPC 的解决方案,允许机构根据具体要求在不同安全模型之间分配资产。

对于在 2026 年进入加密领域的机构来说,问题不在于“哪家托管提供商最好?”,而在于“哪种托管架构符合我们的监管义务、风险承受能力和运营需求?”

对于许多机构而言,答案指向受联邦监管、拥有 FIPS 认证 HSM 基础设施的托管人。而对于其他机构,基于 MPC 平台的灵活性和速度则超过了合格托管人的分类。

行业的成熟意味着承认这些权衡,而不是假装它们不存在。

随着区块链基础设施不断向机构标准演进,对于构建者而言,对多样化网络的可靠 API 访问变得至关重要。BlockEden.xyz 在各大主流链上提供企业级 RPC 端点,使开发者能够专注于应用开发而非节点运营。

来源

Share on Twitter