Web3生态加密交易所安全监管政策与事件观察

加密交易所存在的一些财务问题

自从FTX暴雷之后，有很多交易所都公开了自己的资产情况即储备金证明Proof of Reserve(POR)，然而问题在于，这些资产往往指向了操作层面上交易所具有支配权的资产，比如我们常见的交易所出金钱包，这些钱包的私钥是掌控在交易所手中，因此交易所对这些钱包中的资产具有支配权。

然而大多数人常常会忽略的一点是，这些操作层面上能支配的资产并不意味着合规程序上能支配的资产，因为这些资产除了交易所通过日常运营而产生的收入与利润，绝大多数都是客户托管在交易所内的资产。

那么除了要求交易所披露他们的资产状况外，用户还需要了解什么呢？那就是他们的资产结构与负债情况。

举一个例子，用户在银行A里存了1万美金，那么这1万美金会出现在银行的资产部分，与此同时这1万美金也会出现在银行的负债部分，因为客户的存款本质上是银行对客户的欠款。

对于大多数交易所来说，他们的问题就在于只披露“资产”但是不披露“负债”。举个例子，某交易所B做了一个POR，证明自己持有的钱包中存放了价值100万美金的资产，但交易所没有说明的是，是这100万美金中，有90万美金都是用户的资产，只有10万美金是交易所自有资产。

对于这个交易所B来说，100万美金在账上躺着肯定不划算，于是高管们做出了一个“有利于客户利益”的决定，其中30万美金去Uniswap进行LP投资，赚取一些稳定年化5%收益，50万美金放到一个创始人朋友介绍的中心化借贷平台C，这个平台承诺给到15%的预期年化收益，剩下20万美金存放在冷钱包里以供日常运营。

在这种情况下，如果用户申请提现的金额不超过20万美金，那么这个交易所是可以轻松应对的。如果超过20万美金，那么就需要从放在uniswap的token中取出一部分用来兑付给用户。

问题将会出现在兑付需求超过50万美金的时候，这时候平台需要去C平台取出剩下的50万。那么此时将会面临两种情况：

1. C平台此时有流动性，并且愿意将交易所B的投资返还一部分。

2. C平台此时把所有钱都借出去了，并且一时间收不回来，因此无法返还交易所B的投资款。

我们都知道，一旦出现了第二种情况，交易所B就出现了兑付危机。而这个危机是由C平台的流动性不足导致的。

基于避免此情况的出现，当前监管对于客户资产的保管安全与相应披露要求也都提出了明确的要求。

案例研究：Coinbase是怎么做的？

作为目前最大的合规交易所，Coinbase在用户安全上投入了巨大的成本，作为一个好的研究案例，我们将会从Coinbase公开的财务报表出发，来看看一个合规交易所具体会披露哪些信息。

哪些是用户的钱？

在Coinbase的资产负债表中，单独列出了“受保护的客户加密资产”这个项目，与其他资产进行了严格的区分。从具体的数字中也可以看到，Coinbase替客户保管的加密资产占了整个Coinbase资产科目的92%以上，作为一个已经运营了10年以上的交易所，Coinbase累计的自有资产应该是比较多的，可想而知，对于其他更“年轻”的交易所，其持有的资产中客户资产占比会更高。

用户的钱受到了怎样的保护？

在财务报表附注中的“客户资产与负债”章节，Coinbase列出了持有的客户资产与对应的客户负债，并对其保管用户资产的政策进行了说明：

公司为客户的数字钱包中的加密资产以及访问公司平台上的加密资产所需的部分加密密钥提供保护。公司保护这些资产和/或密钥，并有义务防止其丢失、被盗或其他滥用。公司根据员工会计公告 121（“SAB 121”）记录保护客户加密资产和负债的情况。公司保留公司平台上数字钱包中所有加密资产的记录，以及代表客户维护的全部或部分私钥（包括备份密钥）。

公司承诺安全存储其代表客户持有的所有客户加密资产和加密密钥（或其部分），这些资产的价值已记录为保障客户加密负债和相应的保障客户加密资产。因此，公司可能对其客户因私钥被盗或丢失而造成的损失承担责任。公司没有理由相信其将承担与此类潜在责任相关的任何费用，因为（i）其没有已知或历史的索赔经验可用作计量基础,（ii）其核算并持续验证索赔金额其平台上的加密资产，以及 (iii) 围绕私钥管理建立了安全机制，以最大限度地降低被盗或丢失的风险。公司采取了多种措施来保护其所保障的加密资产，包括但不限于以1:1的方式持有客户加密资产，以及使用公司的冷存储流程战略性地将托管资产离线存储。除非法律要求或机构客户明确同意，否则公司不会重复使用或重新抵押客户加密资产，也不会授予客户加密资产的担保权益。任何丢失或被盗都会影响客户加密资产的计量。截至2023年9月30日的九个月和截至2022年12月31日的年度，受保护的客户加密资产没有发生任何损失。

我们可以看到这份说明中的几个重点：

1. 客户钱包的私钥由Coinbase托管并保护。

2. 对于Coinbase托管的钱包，发生了被盗或丢失事件后，由Coinbase来承担责任。

3. Coinbase按照1:1的比例保管用户资产，不会动用客户的钱去进行抵押。

为什么美国SEC还是起诉了Coinbase？

看上去Coinbase对于客户资产的保护从流程上非常到位，并且从结果上也是可信的（财务报表中用户的资产和负债相等、过去一年内没有发生用户密钥被盗窃或丢失的情况），那为什么美国SEC在今年6月份还要对Coinbase发起起诉呢？

SEC认为Coinbase的主要罪名是“未注册的交易所、经纪商和清算机构”。简单来说，这个起诉相当于在说，Coinbase卖了他不能卖的东西；而这背后的主要原因是美国当前没有一个统一的对于虚拟资产是否为“证券”的认定，与Coinbase对用户资产安全的保障关系不大。

与其他地区不同，由于政治上是联邦制，所以美国的加密货币监管会在联邦政府和州政府上同时发生。目前在州政府层面并没有推出一个通用的类似于中国香港“持牌虚拟资产交易平台”的牌照，更多的是政府不断推出各类法案以及对各头部公司的各类诉讼来落地政策推动。

并且在联邦层面，加密货币究竟应该属于哪方管辖，没有具体划分。特别是CFTC和SEC，这两个机构对加密货币的定义依旧充满分歧，这导致加密公司受美国监管存在很多不确定性。

目前主要是“负责任的金融创新法案”（Lummis-Gillibrand Responsible Financial Innovation Act,“RFIA”或“法案”）中提到了和加密货币交易所的相关用户保护政策，主要包含两个要求：

1. 对加密货币交易所实施强制隔离和第三方托管要求来明确禁止客户资金混合。

2. 对数字资产借贷设定了限制，并授权 CFTC 监管加密货币交易所和附属公司之间潜在的利益冲突。

横向对比：不同地区的交易所安全监管政策

通过下面的表格可以看到，现在不同地区虽然都是在谈论“监管”，但是各自对于监管的实施路径并不相同，总体而言有三种不同的风格：

中国香港：单独明确加密货币监管方案：代表地区为中国香港，中国香港是几个主要加密资产活跃地区中唯一一个针对加密货币交易所提出明确规定的地区，直接就推出了针对加密货币的「适用于虚拟资产交易平台营运者的指引」。

新加坡：在已有监管框架下兼容加密货币：代表地区为新加坡，新加坡目前主要依据2021年推出的”支付服务法案”，对于合规的机构一般取得的牌照是「主要支付机构牌照」MPI（Major Payment Institution）。

美国：多个机构参与，监管框架复杂：代表地区为美国，美国主要参与了加密货币监管的机构至少有四个（证券交易委员会、金融犯罪执法网络、商品期货交易委员会、国家税务局），并且由于政治上是联邦制，所以美国的加密货币监管会在联邦政府和州政府上同时发生。

总体来看，这些政策基本指向了三个大的原则：

1. 独立保管用户资产，避免和公司自有资产混淆。

2. 不允许使用用户资产进行任何投资，避免出现任何流动性风险。

3. 对于交易所内可交易的资产类型进行一定程度的审核，保障客户交易的资产是有一定可靠性。

中国香港

根据中国香港《证券及期货条例》，在中国香港提供或积极推广证券型代币交易服务的虚拟资产交易平台需要获得中国香港证监会颁发的第1类受监管业务（证券交易）及第7类受监管业务（提供自动化交易服务）牌照（“1、7号牌照”）。

随着《2022年打击洗钱及恐怖分子资金筹集（修订）条例草案》获立法会通过，在中国香港提供或积极推广非证券型代币交易服务的中心化虚拟资产交易平台在2023年6月起，需要获得证监会颁发的虚拟资产服务提供商牌照（“VASP牌照”）（或符合被当作获发牌的要求）。

中国香港也是几个主要加密资产活跃地区中唯一一个针对加密货币交易所提出明确规定的地区，在中国香港证监会（SFC）发布的“适用于虚拟资产交易平台营运者的指引”中，明确地在“保管客户资产”部分指出了交易所对于用户的资产保管规范：

及时记账：在处理客户的交易及客户资产（即客户款项及客户虚拟资产）时，平台营运者应采取行动，确保客户资产妥善地及尽快加以记账。当平台营运者或其有联系实体管有或控制客户资产时，平台营运者应确保客户资产得到充分的保障。

客户资产独立托管：平台营运者应确保所有客户虚拟资产获得适当的保障，及存放在由其有联系实体开立且指定作持有客户虚拟资产用途的钱包地址。平台营运者应确保客户虚拟资产从平台营运者及其有联系实体的资产分隔出来。平台营运者应确保有联系实体符合此规定。

客户资产禁止用于投资活动：平台营运者及其有联系实体不应存入、转移、 借出、质押、再质押或以其他方式买卖客户的虚拟资产，或就客户的虚拟资产产生任何产权负担。

并且SFC也在今年5月份发布的咨询文件中，明确指出了“POR证明的是资产而非负债”这个问题。提出需要通过第三方审计来进行核验。

在OSL母公司BC Group 财报中，可以找到相应对客户资产保护实施的声明部分：

1. 客户资产通过一个子公司的信托服务进行保管。

2. 根据客户协议，在分隔的钱包中保管的资产并不被认为是公司的资产。

新加坡

目前新加坡主要依据2021年推出的“支付服务法案”，通过金融管理局（MAS）对加密货币交易和AML进行监督。对于合规的机构一般取得的牌照是“主要支付机构牌照”（Major Payment Institution (MPI) license）。

对于客户资产保护要求，MAS也在今年给出了一系列的具体条款，主要包含：

1. 将客户资产与自身资产分开，并以信托方式持有

2. 保护客户的资金

3. 对客户资产进行日常对账，并妥善保存账簿和记录

4. 对客户在新加坡的加密货币进行访问和操作上的控制

5. 确保托管职能在业务上独立于其他业务部门

6. 向客户明确披露由加密货币服务提供商保管其资产所涉及的风险

对于在合规交易所内挂牌进行交易的代币（token），需要交易所内部进行严格的审核，并要求符合2020年MAS发布的数字代币发行指南。

日本

在日本和加密货币的主要监管机构是日本金融厅（FSA），其主要是通过支付服务法与数字货币交易所运营许可来对日本当地的运营的加密货币交易所进行管理。

在这一份由FSA公布的“日本的加密资产合规格局”中，详细地说明了交易所需要符合的客资管理要求：

1. 至少 95% 的用户加密资产应在离线环境中管理

2. 用户的资金应以信托方式管理

3. 建设信息管理系统来维护系统安全和用户

4. 在审计财务报表对用户资产进行资产分离

5. 用户加密资产泄漏时进行及时通报

同时一项很重要的要求是，对于交易所内的代币（token），需要先由一个自律组织（SRO，比如日本区块链协会）来审核，并知会金融厅后才能正式在交易所挂牌交易。

与Coinbase类似，日本最大的合规交易所Bitflyer在其发布的财务报告中也详细披露了其托管用户的资产情况。

韩国

韩国主要的加密货币监管机构是韩国金融服务委员会（FSC），相关的法规有电子金融交易法 、特定财务信息的报告和使用法 、虚拟资产用户保护法。 并且交易所需要在FSC下的金融情报机构（FIU）下进行注册。

根据新颁布的《虚拟资产用户保护法》，虚拟资产服务提供商必须实施某些消费者保护措施，包括：

1. 将用户存放的资产与自有资产分开，将其存放或委托给银行等保管方。

2. 将自己的加密资产与用户加密资产隔离，并实际上持有与用户委托的加密资产类型和数量相同的加密资产。

3. 采取必要措施，在黑客攻击和计算机故障造成损失时履行其责任/义务。

在韩国最大的合规交易所Upbit母公司Dumanu的财报中，详细展示了用户在Upbit托管的加密货币。

泰国

泰国的加密货币相关监管机构是证券交易委员会（SEC）与财政部（MOF）。相关法案与牌照包含、支付系统法 、数字资产业务紧急法令、数字资产业务皇家法令、数字资产业务经营者指引。目前的合规交易所牌照经证券交易委员会（SEC）推荐由财政部（MOF）颁发。

根据泰国证监会要求：

1. 凡是带有“资产保管性质的”公司，需要将客户总资产的 90% 以上保存在冷钱包中。

2. 如果客户的资产总值低于 1,500 万泰铢，可以放在公司自有的冷钱包中。

3. 如果总价值为 1,500 万泰铢或以上，且运营商将资产保存超过连续五天，则必须将资产保存在托管服务提供商的钱包中。

4. 禁止将客户的资产、法定货币或数字资产用于其他客户或任何其他人。

5. 禁止从客户的数字资产中谋取利益，禁止从客户的数字资产中以包括以存款和借贷的形式谋取利益。

6. 必须每个工作日核对客户资产，以确保客户资产记录的准确性和更新性；客户的资产记录必须准确无误并及时更新。

以泰国最大的合规交易所Bitkub为例，在其2022年的年度财务报告中（经由GrantThornton会计师事务所审计），专门强调了交易所保管的客户资产与对应的负债是1:1，也就是说所有客户都能够随时提出存放的加密货币。

新的准则与框架

FASB: 明确范畴，加强披露

FASB（美国财务会计准则委员会）于 2023年12月13日发布了针对加密资产的新会计准则。

这份提案中明确了加密货币的定义：（1）该资产为无形资产；（2）该资产持有人不享有可强制执行的权利，比如获得索赔、兑换基础商品、服务或其他资产；（3）该资产创建并留存于基于分布式账本的区块链技术上；（4）该资产安全受到加密技术保护；（5）该资产是同质化的；（6）该资产非此会计报告主体及其关联公司所创建。

明确了加密会计准则的适用主体（1）上市公司（2）私营企业（3）投资机构（4）非营利实体（5）雇员福利计划

与此同时，企业需要在资产负债表中将加密资产从企业的无形资产中分离出来，以公允价值计量单独披露；在损益表中，将加密资产公允价值计量的变化与其他无形资产账面价值的变动分开单独列示。过去，如果一家企业购买了100万美元的比特币并将其列入其资产负债表，但尽管BTC上涨了20%，该企业也无法在其财务报告中列出收益，而BTC在其资产负债表上的价格仍保持在100万美元。

然而，如果BTC下跌30%，该企业将不得不将下降视为价值减值，并将损失列入资产负债表。即使比特币得以回升，70万美元的BTC仍将是该企业未来资产负债表上的账面价值，唯一的解决办法是出售比特币并触发资本利得。这就是微策略（Micro Strategy）企业存在的问题，这个问题一直是许多企业投资比特币和其他加密资产的阻碍。

采用公允价值计量，将准确记录波动损益。当企业大量投资加密资产，披露加密资产的财务报告可以更适当地实时反映这些加密资产的影响，有助于相关企业做出更好的财务管理。

例如，如果一些企业持有的比特币价值1000万美元比特币，而BTC的价格明年翻一番，那么浮盈收益将反映在企业的损益表上。

此外，新的指导方针还确立了加密资产的资产状况，可以直接核算，这意味着作为一个单独的资产类别，其在政府监管和企业财务中的地位得到正式承认。

与以往的减值方法相比，公允价值计量法能够更合理地反映加密资产的损益价值，促进企业在投资和支付中更广泛地采用加密货币。

此外，各种类型的加密资产的新披露将有助于提高市场透明度，并避免出现类似FTX的恶性事件。

微策略（Micro Strategy）首席执行官Michael Saylor也于准则发布后在社交平台上转发此消息，认为会计标准的升级，将促进全球企业采用 BTC 作为储备资产。

针对加密资产的特点，FASB 明确了表外披露的要求，包括：重要持仓分布、锁定状态和会计期间公允价值的变化都有清晰披露，任何一个要素波动引起的价值变动都了了分明。

1.重要持仓表：在半年和年度报告期，实体应披露关于每个重要加密资产的持仓信息，包括加密资产名称、成本基础、公允价值、持有的单位数量。

2.锁定状态表：在半年和年度报告期，实体应披露受卖出锁定限制的加密资产的信息，包括锁定加密资产的公允价值、限制的性质和剩余期限、可能导致限制失效的情况。

3.加密资产期间变动表：在年度报告期，实体应披露从期初至期末余额的变动表，分别提供因为加密资产增加（例如，购买、客户收款或挖矿活动）、处置（例如，销售或用于支付服务的费用）、收益 / 损失（无论是已实现还是未实现）等导致的期间变动。

有了重要持仓表、锁定状态表、加密资产期间变动表这三张表，交易所以及其他涉及加密货币的机构用户就能清晰地看到企业持有的加密货币数量以及对应的流动性状态，避免出现流动性风险，同时也能使自身财务更加透明，以便于动态分析财务来赋能于公司战略决策，也在日益严格的监管框架下更合规地进行财务管理。

OECD: 更新框架，明确义务

今年6月，经济合作与发展组织发布了针对加密货币的报告框架（CARF）。CARF 在很大程度上参考了CRS（Common Reporting Standard），CRS是 OECD 制定了国际自动交换金融账户信息规则。由于CRS难以对加密资产金融活动进行有效监管，CARF被构建为一个框架体系，可以从两个方面对加密资产进行独立运营和监管：

首先，CRS只能覆盖通过传统金融机构持有或交易加密资产的客户，而不能覆盖直接使用加密资产服务提供商的客户。这意味着 CRS 将错过许多加密资产客户，尤其是那些使用去中心化平台或钱包的客户。

CRS 只能报告客户金融账户的余额，而不能报告他们的加密资产交易。这意味着 CRS 无法反映客户的加密资产交易行为，也很难对价值增值进行说明。

在新的框架，中对于加密货币服务提供方提出了下列具体的要求：

尽职调查： 服务提供方有责任完成框架第III节中概述的尽职调查程序。这包括获取和核实加密资产用户的相关信息（KYC）

信息保留： 服务提供方必须确保与尽职调查程序相关的所有文件和数据保留不少于五年。这包括用于识别加密资产用户和任何外部钱包地址的信息

遵守报告义务： 服务提供方必须报告框架中列出的所需信息（收到的各类加密货币、支出的各类加密货币，对应的公允市场价值等）

作为合资格投资者，我们应该怎么做？

对于像交易所这样的平台，我们应该怎么做才能保护好自己的财产安全？

尽量选择合规交易所。合规交易所的财务实践需要经过严格的财务审核，包括平台流动性评估与用户资产安全评估，因此选择合规交易所意味着已经有一群非常专业的人帮你做了一次检查。

对于未获得合规牌照的交易所，确认他们是否有对自有资产和客户资产进行分割-从资金运用到资金保管都要进行严格的分割，才能保证你的资产安全。或者可以参考一些政府机构给出的有风险的交易所地址，比如中国香港SFC就列出了可疑虚拟资产交易平台的列表。

如果完全无法获得交易所对于客户财产保管的相关规定，那么尽量不要把钱放在交易所账户，每一次完成交易之后就取出token到自己的钱包。"Not Your Keys, Not Your Crypto"。这样做虽然会增加交易的成本，但是为了避免本金损失的风险而把交易成本看作‘保险费用’不失为一种好的方法。

对于声称能够提供异常高回报的投资项目要保持警惕。过于夸张或不合理的预期收益可能存在欺诈风险。合理的投资回报通常伴随着相应的风险，投资者应保持理性并避免盲目追逐高回报。

了解投资的风险和潜在问题，并进行适当的风险管理。不要轻信所谓的“零风险”投资，要有正确的投资心态，避免盲目跟风或冲动投资。

在使用投资平台时，注意保护个人信息和资金安全。避免在不可信的网络环境中进行投资交易，确保使用安全的网络连接。此外，可以采用第三方受信任的平台对交易所地址进行监控和预警，以及确保个人资金的安全。

谨慎对待来自陌生人或未经验证的投资建议和推销。不要受到高压销售或急于推动投资决策的影响。进行独立的研究和判断，避免盲目相信他人的承诺。

如果发现自己受到投资诈骗，立即向警方报案，并寻求法律援助。及早采取行动可以提高追回损失的可能性。保持警惕、加强投资知识，选择合规的投资平台，并采取适当的安全措施是防范虚假投资平台诈骗的关键。谨慎决策和风险管理是投资过程中的重要方面，确保投资安全和个人财务安全。

相信监管机构和执法部门会采取更加严格的监管措施，以确保金融市场的健康发展和投资者的保护。加强对虚假投资平台的监测和打击，加大对不符合合规要求的平台的处罚力度，有助于降低类似JPEX，Hounax诈骗事件的发生频率，并维护投资者的利益和市场的稳定性。