数字资产托管解决方案
查看所有标签
将 USB 线插入 Nothing CMF Phone 1。等待 45 秒。带走设备上每个热钱包的助记词。
这不是一个理论上的威胁模型。这是 Ledger 的 Donjon 研究团队于 2026 年 3 月 11 日发布的实测演示,目标是联发科 (MediaTek) 的天玑 7300 (Dimensity 7300, MT6878) —— 这是一款采用 4nm 工艺的片上系统 (SoC),广泛应用于全球约四分之一的安卓手机中,也是 Solana 旗舰手机 Seeker 所采用的芯片。该漏洞存在于芯片的引导 ROM (boot ROM) 中,即在安卓系统加载前运行的只读代码。它无法被修复,也无法通过操作系统更新来缓解。唯一的解决办法是更换新芯片。
对于数千万将智能手机视为加密钱包的信任用户来说,这一刻“移动优先的自托管”叙事与硅片的物理特性发生了碰撞。
当 AI 智能体需要付款时会发生什么?过去的答案一团糟:将私钥嵌入智能体代码,寄望于模型不会泄露,并手动审计每笔交易。Coinbase 于 2026 年 2 月推出的 Agentic Wallet 给出了一个截然不同的答案——它可能将定义下一个 1000 亿美元 AI 管理加密资产的安全方式。
核心洞见看似简单:智能体不应接触密钥。但让这一机制在规模化场景下正常运作所需的工程实践,代表了自智能合约将逻辑与价值存储分离以来,Web3 基础设施中最重要的架构转变之一。
2026 年 2 月 26 日,韩国国税厅(NTS)庆祝了一次重大的执法胜利。该机构突击搜查了 124 名高净值逃税者,没收了价值约 81 亿韩元(560 万美元)的数字资产。该机构自豪地发布了一份新闻稿,其中包含了被没收的 Ledger 硬件钱包的高分辨率照片。
但有一个问题。其中一张照片展示了手写的恢复助记词,完全没有打码,像素清晰,并向全球广播。
在几个小时内,标称价值 480 万美元的 400 万枚 Pre-Retogeum (PRTG) 代币被洗劫一空。然而,大约 20 小时后,攻击者又将它们退了回来。这并非出于悔恨,而是因为该代币的日交易量仅为 332 美元,从数学上讲,变现是不可能的。韩国国税厅被这种流动性不足救了一命,而讽刺的是,正是这种流动性不足原本让这次没收在经济上变得毫无意义。
这一事件既滑稽、令人尴尬,又发人深省——它是所有这一切的缩影。它也是一个警告。随着各国政府持有的没收加密货币金额达到数十亿,执法雄心与托管能力之间的差距从未如此巨大。
韩国国税厅想要展示其执法的强硬。他们没有裁剪或模糊处理没收的 Ledger 设备,而是直接发布了突袭现场的原始照片。其中一张照片拍到了 Ledger Nano 旁边的一张纸——目标人物显然手写了备份助记词并将其保存在设备旁边。
该机构后来的道歉说明了这一点:“为了提供更生动的信息,我们没有意识到其中包含敏感信息,疏忽地提供了原始照片。” 翻译一下:新闻团队中没有人明白,Ledger 旁边的 12 个单词序列是主密钥,而不是装饰。
新闻稿发布后几小时内,一名身份不明的攻击者重构了钱包。链上取证显示了一个教科书般的流程:
因为面对这一大笔财富,他们无能为力。
PRTG(Pre-Retogeum)是那种大多数人从未听说过的代币,理由很充分。它仅在一家中心化交易所——MEXC——上市交易,24 小时交易量约为 332 美元。根据 CoinGecko 的数据,仅 59 美元的卖单就会导致价格暴跌 2%。
试图在这样的流动性下将 480 万美元变现,其数学前景是惨淡的。即使将套现过程分摊到几周内,攻击者也会:
在最初转移大约 20 小时后,攻击者放弃了。一个与“86c12”小偷钱包关联的地址将所有 400 万枚 PRTG 代币发回了原始地址。那篇新闻稿暴露了一个装满大富翁游戏纸币的保险库的主密钥。
如果被没收的是比特币、以太坊或一线稳定币,资金早就消失了。同样的运维安全(OpSec)故障如果发生在 USDT 或 ETH 上,结局将是 10 分钟的 Tornado Cash 混币,然后资产无法追回。PRTG 糟糕的市场成了意外的安全气囊。
韩国加密货币托管记录的漏洞远不止这一篇新闻稿。2021 年,警方调查人员从存放在证物库的冷钱包中丢失了 22 枚 BTC(按当前价格计算价值数百万美元)。根本原因是一样的:助记词处理不当、没有多重签名(multi-sig)政策,以及将加密货币视同于任何其他没收实物的托管链。
两个事件,相隔五年,发生在同一个国家的两个不同执法部门。这种模式是结构性的,而不仅仅是韩国国税厅新闻办倒霉的一天。
韩国并非孤例。全球执法机构现在在突击搜查中例行没收硬件钱包,但几乎没有机构发布过内部标准来规范:
大多数机构对待 Ledger 就像对待智能手机一样。贴上标签、装入袋子、归档。随着国家加密货币持有量规模达到数十亿美元,这导致了日益增长的系统性风险。
将韩国国税厅的事件与美国司法部在 2025 年 11 月没收的与 Prince 集团“杀猪盘”行动有关的 150 亿美元比特币(约 127,271 BTC)进行对比。那次收缴是美国司法部历史上规模最大的罚没行动,通过 Chainalysis 提供支持的追踪、协调国际搜查令,并立即转移到财政部控制的托管中心执行。仅 Chainalysis 一家公司就支持了数百次政府没收行动,在十年内协助保护了价值约 126 亿美元的非法加密货币。
美国政府目前在其战略比特币储备框架下持有约 198,012 BTC —— 按当前价格计算约合 183 亿美元。萨尔瓦多通过直接购买持有 7,500 BTC。不丹通过国家支持的采矿积累了约 6,000 BTC。全球各国政府现在持有的比特币总量已超过总供应量的 2.3%。
美国司法部的尖端工具与韩国国税厅未打码的 JPEG 图片之间的操作差距,不在于技术水平的高低,而在于是否有人编写了标准操作流程。许多机构仍将加密货币托管视为一种即兴发挥。
随着主权持有量的增长,这种差距变得关乎存亡。在类似美国司法部规模的行动中,一次运维安全(OpSec)故障 —— 一个未脱敏的交易哈希、一个暴露的冷钱包地址、一个轮转不当的签名人 —— 就可能导致数十亿甚至数百亿美元的流失。而比特币可没有“流动性不足”这个安全网。
机构托管行业已经解决了那些让韩国国税厅(NTS)栽跟头的难题。现代主权和企业级托管方案依赖于:
这些技术并不罕见。像 Anchorage、BitGo、Fireblocks 以及日益增多的基于 MPC 的托管服务商,都提供了现成的政府级解决方案。瓶颈不在于技术,而在于机构的纪律性。
NTS 事�件之所以显得滑稽,是因为它最终有一个好结局。但它包含了四个教训,监管机构、执法部门和加密原生机构现在就应该内化这些教训,因为现在的赌注还是以百万计,而不是数百亿。
1. 标准作业程序必须假定摄影证据会泄露。 任何包含硬件钱包的突击搜查照片都应默认进行遮掩或排除。公关团队不应是防御加密机密的最后一道防线。
2. 被扣押的加密货币必须立即轮换。 资产一旦追回,就应立即转移到使用新密钥的政府控制多签钱包中。原始硬件只是证据 —— 一旦搜查记录在案,它就不应再作为活跃的托管设备。
3. 缺乏流动性并非安全策略。 韩国之所以走运,是因为 PRTG 代币无法被大量抛售。下一次泄露的助记词可能会揭示一个装满 ETH、USDC 或 SOL 的钱包,到那时,任何市场深度都无法挽回这些资金。
4. 加密执法培训需要与证据处理培训同等的严谨性。 警员在拍摄被扣押车辆时,不会不小心将车辆识别码(VIN)和登记密钥公之于众。大多数机构目前还缺乏针对硬件钱包的同等纪律约束。
随着政府从扣押加密货币转向将其作为主权储备持有,整个生态系统 —— 不仅仅是执法部门 —— 都必须升级。税务部门、法院系统和国家财政部需要机构级的基础设施:可靠的多链数据接入以监控被扣押地址、高可用性的节点服务以提交交易,以及能够产生可信资产监管链(chain-of-custody)记录的�审计级 API。
BlockEden.xyz 提供横跨 27+ 条链的企业级区块链 API 基础设施,专为满足机构托管的合规性和可靠性需求而构建。如果你正在开发能够帮助专业托管机构避免成为下一个“反面教材”的工具,请探索我们的 API 市场。
韩国国税厅助记词泄露事件将被作为一个笑话被铭记 —— 在这个事件中,一种无人知晓的代币保护了政府免受其自身公关团队失误的影响。下一次可能就不会有这种幸运了。
随着主权比特币储备的增长,随着代币化资产向公链迁移,以及随着执法扣押变成常规项目而非职业生涯的重大突破,单次运维安全(OpSec)错误所带来的风险敞口将变得异常巨大。每一位摄影师、每一位实习生、每一位出于好意的公关官员,现在都可能成为导致九位数资金流失的潜在漏洞。
讽刺的是,加密技术本身并不是问题。Ledger 履行了职责,以太坊也履行了职责。区块链忠实地执行了将 400 万个代币转移给陌生人的指令,正如签名者所指示的那样。失败完全是人为的 —— 公关团队将 12 个单词的短语当作了照片的装饰品。
加密行业不需要更好的钱包,它需要更好的习惯。到 2026 年,政府持有的比特币将占总量的 2.3%,再加上价值数十亿美元的其他数字资产,这种在公众面前学习习惯的容错空间正在迅速关闭。
来源:
2026 年 4 月 15 日,一家拥有 3500 万用户的上市零售经纪商做了一件纳斯达克上市同行从未做过的事情:它收购了一家自托管钱包公司,而不是自己开发。eToro 以约 7000 万美元(主要为现金)收购以色列 MPC 钱包初创公司 Zengo,这是迄今为止最明确的信号,表明托管战争已不再是“Coinbase 对阵 Kraken”。现在的局势是“交易所对阵自托管”,而交易所正开始进行对冲。
七年来,华尔街的传统观念是零售经纪商通过托管获利。对用户无法转移的资产收取价差曾是整个业务模式的核心。支付 7000 万美元收购一个刻意将托管资产从 eToro 资产负债表中移除的产品,是一场反向押注——即未来十年的加密货币收入将来自那些明确不希望经纪商持有其私钥的用户。
一家资产规模达 920 亿美元的人寿保险公司刚刚押注,韩国国债的未来将存在于区块链之上。2026 年 4 月 15 日,Ripple 与教保人寿(Kyobo Life Insurance)—— 韩国第三大人寿保险公司,拥有约 500 万客户及穆迪 A1 信用评级 —— 宣布建立战略合作伙伴关系,试点该国首个代币化国债结算。这并非营销噱头或试探性的加密实验,而是这家亚洲第四大经济体对主权债务清算方式的一次严肃的机构级反思。
其核心承诺简单且具有潜移默化的激进性:将韩国的 T+2 债券结算周期压缩为近乎实时的原子化执行。将两天的交易对手风险、对账和被锁定的营运资本压缩到单笔链上交易中。对于一家为了资产负债匹配而持有数十亿韩国国债的保险公司来说,这种速度不仅仅是表面上的升级,而是资本配置方式的结构性变革。
想象一下,突袭一名逃税者的公寓,没收了四个硬件钱包,然后发布了一份胜利的新闻稿,展示了追回的证据——而照片中清晰可见钱包的助记词。现在想象一下,一名窃贼在几小时内搬空了钱包,为了警告又归还了代币,然后第二名窃贼在你的机构反应过来之前再次将其盗走。
这不是加密货币推特上的思想实验。这正是 2026 年 2 月下旬发生在韩国国税局(NTS)身上的真实事件——这一失误导致政府损失了价值约 480 万美元的没收 Pre-Retogeum (PRTG) 代币,并暴露了大多数政府机构在持有日益增多的没收数字资产方面是多么缺乏准备。
83 天。这是加密货币联邦银行革命从零到十一所花费的时间。2026 年 4 月 2 日,Coinbase 成为最新一家 —— 且可以说是影响最深远的 —— 获得美国货币监理署(OCC)国家信托银行执照有条件批准的加密货币公司。此举将这家美国最大的加密货币交易所从一个州级许可平台转变为一个受联邦监管的金融机构,这标志着比单一公司监管升级更重大的意义。
当传统金融领域最响亮的名字 —— Citadel Securities、Fidelity Digital Assets 和 Charles Schwab —— 共同支持一家加密合资企业时,市场会密切关注。当该企业申请联邦银行执照时,市场应该给予极度关注。
2026 年 3 月 25 日,EDX Markets 向美国货币监理署(OCC)提交了申请,旨在获得 EDX Trust, National Association 的执照 —— 这是一家位于芝加哥、专注于机构数字资产托管和结算的新设国家信托银行。该申请于 4 月 1 日公开,代表了加密行业前所未见的景象:传统金融中财力最雄厚的参与者正在从零开始构建自己受联邦监管的加密托管基础设施。
如何在不牺牲风险、审计或合规性的前提下,设计一套能够以市场速度运行的托管与执行架构。
托管与交易已不再是孤立的两个世界。在当今的数字资产市场中,安全持有客户资产仅是成功的一半。如果你无法在价格波动时以毫秒级速度执行交易,你就是在流失收益,并让客户暴露在可避免的风险中,如最大可提取价值 (MEV)、交易对手违约和运营瓶颈。现代化的托管与执行架构必须将前沿安全技术与高性能工程相结合。这意味着要集成多方计算 (MPC) 和硬件安全模块 (HSM) 进行签名,利用策略引擎和私有交易路由来减轻抢跑风险,并利用双活 (Active/active) 基础设施和场外结算来降低交易场所风险并提高资本效率。关键在于,合规性不能是事后补丁;诸如资金转移规则 (Travel Rule) 数据流、不可篡改的审计日志以及映射到 SOC 2 等框架的控制措施必须直接构建在交易流水线中。
从历史上看,数字资产托管机构主要优化一个目标:不丢失私钥。虽然这仍然是根本,但需求已经发生了演变。如今,最佳执行和市场完整性同样是不容妥协的。当你的交易通过公共内存池 (Mempool) 传输时,老练的角色可以看到、重新排序或对它们进行“夹心”攻击,从而以牺牲你的利益为代价榨取利润。这就是 MEV 在起作用,它直接影响执行质量。通过使用私有交易中继 (Private Transaction Relays) 将敏感的订单流置于公众视野之外,是减少这种风险的有力手段。
与此同时,交易场所风险 (Venue Risk) 是一个持续存在的隐忧。将大量余额集中在单一交易所会产生巨大的交易对手风险。场外结算网络提供了一种解决方案,允许机构使用交易所提供的信用额度进行交易,而其资产则保留在隔离的、破产隔离的托管机构中。这种模式极大地提高了安全性和资本效率。
监管机构也在堵塞漏洞。金融行动特别工作组 (FATF) 资金转移规则 (Travel Rule) 的实施,以及国际证监会组织 (IOSCO) 和金融稳定委员会 (FSB) 等机构的建议,正在推动数字资产市场走向“相同风险,相同规则”的框架。这意味着托管平台必须从底层构建合规的数据流和可审计的控制措施。
高性能托管架构应围绕几个核心设计原则构建:
该图展示了满足上述目标的高级托管与执行平台架构。
为了实现低延迟执行,你需要优化交易生命周期的每个步骤:
为每一跳设置严格的 SLO(例如:策略检查 < 20ms,签名 < 50–100ms,正常负载下广播 < 50ms),并在 p95 或 p99 延迟恶化时通过错误预算和自动故障转移强制执行。
现代托管栈必须将合规视为系统的有机组成部分,而非附加组件。
为机构规模构建的托管栈应积极最小化对交易所的风险敞口。场外结算网络 是实现这一目标的关键推动因素。它们允许公司将资产保留在自己的隔离托管中,同时交易所镜像该抵押品以实现即时交易。最终结算按照固定节奏进行,并具有类似于货银对付 (DvP) 的保证。
这种设计极大地减少了“热钱包”的占用空间及相关的对手方风险,同时保持了活跃交易所需的速度。它还通过消除在多个场所过度分配闲置资金的需求来提高资本效率,并通过保持抵押品隔离和完全可审计来简化运营风险管理。
一个足以承载机构级流量的托管平台必须同时做到:执行迅速、证明其管控有效性,并限制对手方风险和信息风险 —— 这需要一个深度集成的技术栈,构建在 MEV 感知路由、基于硬件锚定或 MPC 的签名、双活(Active / Active)基础设施 以及 场外结算 之上,在获取全球流动性的同时确保资产安全。通过将这些组件整合进一个单一且可衡量的流水线中,你将交付机构客户最看重的一点:极速中的确定性。