我要评论ria 的内部团队——运营、合规、法律等——花费大量精力寻找愿意满足期望的第三方托管人。
尽管如此,ria 有时根本找不到托管人,或者找不到能够实现资产全部经济和治理权利的托管人,这导致 ria 直接持有这些资产。
当前加密托管领域的现实带来了明显的法律和运营风险以及不确定性。
行业需要一种基于原则的方法来解决这个关键问题,以服务于代表客户保管加密资产的专业投资者。在回应美国证券交易委员会 (sec) 近期信息请求的过程中,我们制定了一些原则,如果实施这些原则,将把《投资顾问法》托管规则的目标——安全性、定期披露和独立验证——扩展到新的代币资产类别。
加密资产:它们的差异之处
持有者对传统资产的控制意味着任何其他人都不具备控制权。但加密资产并非如此。多个实体可能拥有与一组加密资产相关的私钥访问权限,并且多人可能能够转移这些加密资产,而不管合同权利如何。
加密资产通常还附带多种固有的经济和治理权利,这些权利是资产的基础。传统的债务或股权证券可以“被动地”(即,持有者在获得资产后无需转移资产或采取任何进一步行动)赚取收入(例如股息或利息)。相比之下,加密资产持有者可能需要采取行动才能解锁与资产相关的某些收入来源或治理权利。根据第三方托管人的能力,ria 可能需要暂时将这些资产从托管中转移出去以解锁这些权利。例如,某些加密资产可以通过质押或收益耕种赚取收入,或者在协议或网络升级的治理提案中拥有投票权。这些与传统资产的差异为托管加密资产带来了新的挑战。
为了跟踪何时适合自托管,我们开发了以下流程图。
原则
我们在此提出的原则旨在消除 ria 对托管的神秘感,同时保留其保护客户资产的责任。目前,专门从事加密资产的合格托管人(例如银行或经纪交易商)市场非常薄弱;因此,我们的主要关注点是托管实体满足我们认为托管加密资产所必需的实质性保护措施的能力——而不仅仅是该实体作为《投资顾问法》下的合格托管人的法律地位。
当无法获得满足这些实质性保护措施的第三方托管解决方案,或者这些解决方案不支持经济和治理权利时,我们也建议能够满足实质性保护措施的 ria 考虑自托管。
我们的目标不是将托管规则的范围扩大到证券以外。这些原则适用于属于证券的加密资产,并阐述了 ria 对其他资产类型履行信托责任的标准。ria 应寻求在类似条件下维护非证券的加密资产,并应记录所有资产的托管惯例,包括不同类型资产托管惯例之间存在重大差异的任何原因。
原则 1:法 律地位不应决定加密托管人的资格
法律地位以及与特定法律地位相关的保护措施对于托管人的客户很重要,但在托管加密资产方面并非全部。例如,联邦特许银行和经纪交易商受制于为客户提供重要保护的托管法规,但州特许信托公司和其他第三方托管人可以提供类似水平的保护(我们将在原则 2 中进一步讨论)。
托管人的注册不应成为其是否有资格托管加密资产证券的唯一决定因素。《托管规则》中“合格托管人”的类别应在加密领域扩大,以包括:
州特许信托公司(这意味着它们不需要满足《投资顾问法》中“银行”定义的标准,只需受到对银行具有监管权的州或联邦机构的监督和检查)。
根据(拟议的)联邦加密市场结构立法注册的任何实体。
任何其他实体,无论其注册状态如何,只要能够证明其符合保护客户的严格标准。
原则 2:加密托管人应建立适当的保护措施
无论使用何种具体的技术工具,加密托管人都应围绕加密资产的托管采取某些保护措施。这些措施包括:
权力分离: 未经 ria 合作(例如,签署交易和/或基于设备的身份验证),加密托管人不得将加密资产从托管中转移出去。
隔离: 加密托管人不得将为 ria 持有的任何资产与为其他实体持有的任何资产混淆。但是,注册经纪交易商可以使用单一的综合钱包,前提是它始终维护这些资产所有权的最新记录,并及时向相关的 ria 披露此类混淆的事实。
托管硬件的来源: 加密托管人不应使用任何会增加安全风险或存在被入侵风险的托管硬件或其他工具。
审计: 加密托管人应至少每年接受财务控制和技术审计。此类审计应包括:
iso 27001 认证;
渗透测试 (“pen test”);以及
灾难恢复程序和业务连续性计划的测试。
服务组织控制 (soc) 1 审计;
soc 2 审计;以及
从持有者角度对加密资产的确认、计量和列报;
由美国公众公司会计监督委员会 (pc a o b) 注册的审计师进行的财务控制审计:
技术审计:
保险: 加密托管人应拥有足够的保险覆盖(包括“伞式”保险),如果无法获得,则应建立足够的储备金,或者选择两者结合。
披露: 加密托管人必须每年向 ria 提供一份与其加密资产托管相关的主要风险清单,以及减轻这些风险的相关书面监督程序和内部控制。加密托管人将每季度评估此情况,并确定是否需要更新披露。
托管地点: 如果当地法律规定,在托管人破产的情况下,此类托管资产将成为破产财产的一部分,则加密托管人不应在该地点托管加密资产。
此外,我们建议加密托管人在每个阶段实施与以下流程相关的保护措施:
准备阶段: 审查和评估要托管的加密资产——包括密钥生成过程和交易签名程序,是否受开源钱包或软件支持,以及密钥管理过程中使用的每件硬件和软件的来源。
密钥生成: 此过程的所有级别都应使用加密,并且需要多个加密密钥才能生成一个或多个私钥。密钥生成过程应同时是“水平的”(即,同一级别的多个加密密钥持有者)和“垂直的”(即,多个加密级别)。最后,仲裁要求还应要求验证器的物理存在,这些验证器应受到保护和监控,以防止干扰。
密钥存储: 绝不以明文形式存储密钥,只能以加密形式存储。密钥必须通过地理位置或具有不同访问权限的个人进行物理分离。如果使用硬件安全模块(或类似模块)来维护密钥副本,则必须符合美国联邦信息处理标准 (“fips”) 安全评级。应采取严格的物理隔离和授权措施以确保气隙隔离。(有关示例措施,请参阅我们的完整回复)。加密托管人应至少保持两层加密的冗余,以便在发生自然灾害、停电或财产损毁时能够维持运营。
密钥使用: 钱包应要求身份验证;换句话说,它们应验证用户是否是他们所声称的人,并且只有授权方才能访问钱包的内容。(有关示例身份验证形式,请参阅我们的完整回复)。钱包应使用成熟的开源密码学库。另一个最佳实践是避免将一个密钥用于多个目的。例如,加密和签名应使用不同的密钥。这遵循“最小权限原则”,以防被入侵,这意味着对任何资产、信息或操作的访问应仅限于系统运行绝对需要的当事方或代码。
原则 3:加密托管规则应允许 ria 行使其托管加密资产相关的经济或治理权利
除非客户另有指示,否则 ria 应能够行使其托管加密资产相关的经济或治理权利。在前 sec 管理部门领导下,鉴于代币分类的不确定性,许多 ria 采取了保守策略,将其所有加密资产托管给合格托管人(除非没有合格托管人可用)。正如我们之前提到的,可供选择的托管人市场有限,这通常导致只有一个合格托管人愿意支持特定资产。
在这些情况下,ria 可以要求允许其行使经济或治理权利,但加密托管人可以根据其内部资源或其他因素选择不提供这些权利。反过来,ria 也不认为自己有权选择其他第三方托管人或进行自托管以行使这些权利。这些经济和治理权利的示例包括质押、收益耕种或投票。
根据本原则,我们认为 ria 应选择符合相关保护措施的第三方加密托管人,这些措施允许 ria 行使其托管加密资产相关的经济或治理权利。如果第三方无法同时满足这两个要求,则 ria 将资产临时转移到自托管以行使经济或治理权利不应被视为转出托管——即使资产部署到任何非托管协议或智能合约。
所有第三方托管人都应尽最大努力在资产保留在托管人处时提供 ria 行使这些权利的能力,并且在获得 ria 授权后,应允许采取商业上合理的行动,这些行动可能是执行与链上资产相关的任何权利所必需的。这包括将任何加密资产明确委托给 ria 的钱包以实现与该资产相关的任何权利的权利。
在将任何加密资产从托管中取出以行使与该资产相关的权利之前,ria 或托管人(视情况而定)必须首先以书面形式合理确定是否可以在不将资产从托管中取出的情况下行使这些权利。
原则 4:加密托管规则应具有灵活性,以允许最佳执行
ria 在交易资产方面负有最佳执行的义务。为此,无论资产或托管人的状态如何,ria 都可以将资产转移到加密交易平台以确保该资产的最佳执行,前提是 ria 已采取必要步骤以确保交易场所的弹性和安全性,或者,ria 已在相关立法最终确定后将加密资产转移到根据加密市场结构立法受到监管的实体。
如果 ria 确定将加密资产转移到此类场所是为了获得最佳执行是可取的,则将加密资产转移到交易场所不应被视为撤回托管。这将要求 ria 合理确定该场所适合最佳执行。如果在该场所无法妥善执行交易,则资产应及时返回给加密托管人进行托管。
原则 5:在特定情况下应允许 ria 进行自托管
虽然使用第三方托管人应仍然是加密资产的主要选择,但在以下情况下应允许 ria 进行自托管加密资产:
ria 确定没有能够满足 ria 所需保护措施的第三方托管人可以托管该加密资产。
ria 自身的托管安排至少与合理可用的第三方托管人对该加密资产的保护水平相当。
自托管对于最佳地行使与该加密资产相关的任何经济或治理权利是必要的。
当 ria 因上述原因之一决定自托管加密资产时,ria 必须每年确认证明自托管合理性的情况保持不变,向客户披露自托管情况,并使此类加密资产符合《托管规则》的审计要求,审计师可以在其中确认资产与 ria 的其他资产隔离并得到充分保护。
基于原则的加密托管方法确保 ria 能够在适应加密资产独特特性的同时履行其信托责任。通过关注实质性保护而不是僵硬的分类,这些原则为保护客户资产和解锁资产功能提供了一条务实的道路。随着监管环境的发展,植根于这些保护措施的明确标准将使 ria 能够负责任地管理加密投资。
以上就是a16z:代币化资产托管的5项原则的详细内容,更多关于加密托管人应建立适当的保护措施的资料请关注代码网其它相关文章!
发表评论