คำเตือนความเสี่ยง: ระวังความเสี่ยงจากการระดมทุนที่ผิดกฎหมายในนาม 'สกุลเงินเสมือน' 'บล็อกเชน' — จากห้าหน่วยงานรวมถึงคณะกรรมการกำกับดูแลการธนาคารและการประกันภัย
ข่าวสาร
ค้นพบ
ค้นหา
เข้าสู่ระบบ
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
ดูตลาด
กฎระเบียบ Stablecoin ของฮ่องกง: การตีความข้อกำหนดของเทคโนโลยี Blockchain และแผนการตรวจสอบความปลอดภัย
星球君的朋友们
Odaily资深作者
เมื่อวาน 10:46
บทความนี้มีประมาณ 5183 คำ การอ่านทั้งหมดใช้เวลาประมาณ 8 นาที
ช่วยให้ผู้รับใบอนุญาตปฏิบัติตามข้อกำหนดด้านเทคโนโลยีบล็อคเชนตามแนวทางปฏิบัติ

ที่มา: Beosin

เมื่อวันที่ 1 สิงหาคม 2568 ระบบการกำกับดูแลผู้ออก Stablecoin ในฮ่องกงได้มีผลบังคับใช้อย่างเป็นทางการ HKMA ได้ออก "แนวปฏิบัติเกี่ยวกับการกำกับดูแลผู้ออก Stablecoin ที่ได้รับใบอนุญาต" และ " แนวปฏิบัติเกี่ยวกับการต่อต้านการฟอกเงินและการสนับสนุนทางการเงินแก่การก่อการร้าย (สำหรับผู้ออก Stablecoin ที่ได้รับใบอนุญาต)" พร้อมกัน โดยมีวัตถุประสงค์เพื่อให้คำแนะนำเกี่ยวกับการกำกับดูแลอย่างละเอียดสำหรับผู้ออก Stablecoin

เอกสาร "แนวทางการกำกับดูแลผู้ออก Stablecoin ที่ได้รับอนุญาต" ระบุข้อกำหนดทางเทคนิคโดยละเอียดสำหรับกรอบการกำกับดูแลของฮ่องกงสำหรับ Stablecoin โดยมีวัตถุประสงค์ เพื่อให้มั่นใจว่าวัตถุประสงค์ในการกำกับดูแล เช่น เสถียรภาพของมูลค่า Stablecoin (เงินสำรองเต็มจำนวน) ความสามารถในการไถ่ถอน (การไถ่ถอนตรงเวลา) การแยกความเสี่ยง (ความเป็นอิสระของสินทรัพย์สำรอง) และการคุ้มครองผู้บริโภค ต่อไปนี้คือแผนการตีความและการตรวจสอบข้อกำหนดของเทคโนโลยีบล็อกเชนของทีมรักษาความปลอดภัย Beosin ใน "แนวทางการกำกับดูแลผู้ออก Stablecoin ที่ได้รับอนุญาต" เพื่อช่วยให้ผู้ได้รับใบอนุญาตสามารถปฏิบัติตามข้อกำหนดด้านเทคโนโลยีบล็อกเชนที่กำหนดไว้ในแนวทางดังกล่าว

1. การตีความข้อกำหนดทางเทคนิคของบล็อคเชน

ตามข้อ 2.1, 3.3 และ 5.4 ของแนวปฏิบัติเกี่ยวกับการต่อต้านการฟอกเงินและการสนับสนุนการก่อการร้าย ผู้รับใบอนุญาตควรใช้แนวทางตามความเสี่ยงในการกำหนดและปฏิบัติตามนโยบาย ขั้นตอนปฏิบัติ และมาตรการควบคุมด้านการต่อต้านการฟอกเงินและการสนับสนุนการก่อการร้ายโดยพิจารณาจากลักษณะ ขนาด และความซับซ้อนของธุรกิจของตน ปฏิบัติตามระบบตรวจสอบธุรกรรมที่มีประสิทธิผล ณ เวลาที่ออกและไถ่ถอนเพื่อระบุและรายงานธุรกรรมที่น่าสงสัย และ จัดการและบรรเทาความเสี่ยงที่เกี่ยวข้องด้านการฟอกเงินและการสนับสนุนการก่อการร้ายอย่างมีประสิทธิภาพ

1. บัญชีแยกประเภทแบบกระจาย

แนวปฏิบัติด้านกฎระเบียบไม่ได้ระบุถึงบัญชีแยกประเภทแบบกระจายศูนย์ (เช่น Ethereum) ที่เฉพาะเจาะจงว่าเป็นเครือข่ายการออกสกุลเงินดิจิทัลที่มีเสถียรภาพ อย่างไรก็ตาม ข้อ 6.5.5 แนะนำให้ ผู้รับใบอนุญาตทำการประเมินความปลอดภัยและความน่าเชื่อถือของบัญชีแยกประเภทแบบกระจายศูนย์อย่างละเอียด (เช่น ความสามารถในการต้านทานการโจมตีทั่วไป การมีข้อบกพร่องของโค้ด ความเสี่ยงจากการถูกนำไปใช้ประโยชน์ ฯลฯ)

ผู้รับใบอนุญาตต้องประเมินบัญชีแยกประเภทแบบกระจายศูนย์ (distributed ledger) ที่ใช้ออก stablecoin ของตนอย่างเข้มงวด โดยให้ความสำคัญกับบัญชีแยกประเภทที่ดำเนินการบนบล็อกเชนสาธารณะที่ได้รับการพิสูจน์แล้วว่ามีเสถียรภาพและได้รับการพิสูจน์ในตลาด นอกจากนี้ ผู้รับใบอนุญาตต้องดำเนินมาตรการเพิ่มเติมเพื่ออำนวยความสะดวกในการแลกรับ stablecoin ในกรณีที่บัญชีแยกประเภทแบบกระจายศูนย์เกิดความล้มเหลวและไม่สามารถกู้คืนได้ เพื่อสร้างความมั่นใจในความปลอดภัยและเสถียรภาพของระบบนิเวศ stablecoin ของตน

2. การจัดการโทเค็น

2.1 เอกสารทางเทคนิค

สำหรับ stablecoin เฉพาะแต่ละรายการที่ผู้รับใบอนุญาตตั้งใจจะออก ผู้รับใบอนุญาตควรบันทึกอย่างชัดเจน:

  • มาตรฐานโทเค็น ที่ใช้
  • บัญชีแยกประเภทแบบกระจายศูนย์ที่ใช้ออก stablecoin เฉพาะเจาะจง
  • สถาปัตยกรรมของ สัญญาอัจฉริยะทั้งหมดที่เกี่ยวข้องกับ stablecoin (รวมถึงสัญญาโทเค็น สัญญาพร็อกซี สัญญาหลายลายเซ็น ฯลฯ) รวมถึงความสามารถในการอัปเกรด (ถ้ามี) ตัวแปรสถานะ ฟังก์ชัน ตัวปรับแต่งฟังก์ชัน ไลบรารี อินเทอร์เฟซ ฯลฯ

2.2 การควบคุมการอนุญาต

บทความ 6.5.3 ของ "แนวปฏิบัติด้านการกำกับดูแล" แนะนำว่าผู้รับใบอนุญาตควรระบุ การดำเนินการทั้งหมดที่เกี่ยวข้องกับการจัดการวงจรชีวิตทั้งหมดของ stablecoin เฉพาะที่พวกเขาออกอย่างชัดเจน ซึ่งครอบคลุมถึงการปรับใช้ การกำหนดค่า การสร้าง การทำลาย การอัปเกรด การระงับ การคืนค่า การขึ้นบัญชีดำ การลบออกจากบัญชีดำ การอายัด การยกเลิกการอายัด การขึ้นบัญชีขาว และการใช้กระเป๋าเงินปฏิบัติการใดๆ

สำหรับการดำเนินการแต่ละครั้งในวงจรชีวิตของ stablecoin ผู้รับใบอนุญาตควร กำหนดระดับการอนุญาตและเงื่อนไขการกระตุ้นที่เหมาะสม การดำเนินการที่มีความเสี่ยงสูง (เช่น การปรับใช้งาน/อัปเกรดสัญญา การสร้างเหรียญขนาดใหญ่ และการระงับบัญชี) จะต้องดำเนินการผ่านข้อตกลงแบบหลายลายเซ็น (เช่น สามลายเซ็นจากห้าลายเซ็น)

มาตรการควบคุมความเสี่ยงเพิ่มเติม:

  • ตั้งค่าขีดจำกัดความเร็วการทำธุรกรรม
  • อนุญาตให้สร้างเหรียญได้เฉพาะที่อยู่ที่อยู่ในบัญชีขาวเท่านั้น
  • ตั้งค่าการล็อคเวลาสำหรับการดำเนินการเฉพาะ
  • ลงนามธุรกรรมล่วงหน้าสำหรับการดำเนินการบางอย่าง ดำเนินการตรวจสอบจำลองนอกเครือข่ายก่อนทำธุรกรรมออกอากาศ และตรวจสอบธุรกรรมที่ลงนามแล้ว

2.3 การตรวจสอบทางเทคนิค

การตรวจสอบประจำปีและการตรวจสอบตามเหตุการณ์: ข้อ 6.5.5 ของแนวทางการกำกับดูแลแนะนำให้ผู้รับใบอนุญาต มอบหมายให้บริษัทมืออาชีพภายนอก (เช่น Beosin) ตรวจสอบสัญญาอัจฉริยะที่เกี่ยวข้องกับ stablecoin ที่ตนออกอย่างน้อยปีละครั้ง นอกจากนี้ ควรดำเนินการตรวจสอบทันทีทุกครั้งที่มีการนำ smart contract ของ stablecoin นั้นๆ ไปใช้ ใช้งานซ้ำ หรืออัปเกรดเป็นครั้งแรก แนวทางนี้มีจุดมุ่งหมายเพื่อแก้ไขช่องว่างในการตรวจสอบภายใน เพื่อให้มั่นใจว่า smart contract ทำงานได้อย่างถูกต้องตามที่ออกแบบไว้และตรงตามฟังก์ชันการทำงานที่ต้องการ และให้ความมั่นใจระดับสูงว่าสัญญาเหล่านั้นปราศจากช่องโหว่หรือข้อบกพร่องด้านความปลอดภัย

2.4 ระบบตรวจสอบ Stablecoin

บทความ 6.5.6 และ 6.8.3 ของแนวปฏิบัติด้านการกำกับดูแลแนะนำให้ผู้รับใบอนุญาตใช้มาตรการเพื่อ ตรวจสอบความพร้อมใช้งาน ความจุ ประสิทธิภาพ และการอัปเดตหรือการเปลี่ยนแปลงที่คาดว่าจะเกิดขึ้นกับเทคโนโลยีพื้นฐานอย่างต่อเนื่อง และรายงานความผิดปกติใดๆ (ช่องโหว่ของสัญญาอัจฉริยะ เหตุการณ์ที่เกี่ยวข้องกับบัญชีแยกประเภทแบบกระจาย เช่น ฮาร์ดฟอร์กและซอฟต์ฟอร์ก ความแออัดของเครือข่ายอย่างรุนแรง การหยุดให้บริการ การโจมตี และความล้มเหลวที่ไม่สามารถกู้คืนได้ การใช้คีย์ส่วนตัวโดยไม่ได้รับอนุญาต ฯลฯ)

3. ความปลอดภัยที่สำคัญ

การจัดการคีย์ (รวมถึงคีย์ส่วนตัวและตัวช่วยจำ) เป็นหนึ่งในหัวข้อที่ละเอียดและสำคัญที่สุดของแนวปฏิบัติด้านกฎระเบียบ ผู้รับใบอนุญาตควรกำหนดมาตรการการจัดการและขั้นตอนการปฏิบัติงานที่ครอบคลุมครอบคลุมวงจรชีวิตคีย์ทั้งหมด ซึ่งรวมถึงแต่ไม่จำกัดเพียงการสร้างคีย์ การแจกจ่าย การจัดเก็บ การใช้งาน การสำรองข้อมูล การกู้คืน และการทำลายคีย์ โดยเฉพาะอย่างยิ่ง การดำเนินงานที่สำคัญที่เกี่ยวข้องกับสัญญาอัจฉริยะ stablecoin เช่น การปรับใช้และอัปเกรดสัญญา การจัดการสิทธิ์และบทบาท รวมถึงการสร้างและการทำลายเหรียญขนาดใหญ่ ควรใช้มาตรฐานความปลอดภัยที่สูงขึ้นเพื่อรับรองความปลอดภัยของคีย์และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและความเสี่ยงที่อาจเกิดขึ้น

ต่อไปนี้เป็นการใช้งานวงจรชีวิตที่สำคัญที่แนะนำ:

  • การสร้างคีย์: สำหรับคีย์สำคัญ กระบวนการสร้างควรดำเนินการในสภาพแวดล้อมออฟไลน์อย่างสมบูรณ์ และใช้ระดับความปลอดภัยที่สูงขึ้น ในทางปฏิบัติ การสร้างคีย์เริ่มต้นและ/หรือคีย์ส่วนตัวควรดำเนินการในสภาพแวดล้อมที่แยกจากกันทางกายภาพ โดยมีการควบคุมความปลอดภัยทางกายภาพที่เข้มงวดเพื่อป้องกันการเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาต
  • การจัดเก็บคีย์: ควรจัดเก็บ คีย์โมดูลความปลอดภัยฮาร์ดแวร์ (HSM) ที่มีกลไกการตรวจสอบสิทธิ์ที่เหมาะสม ในสื่อจัดเก็บข้อมูลที่ปลอดภัย เช่น . สถานที่จัดเก็บนี้ควรอยู่ในฮ่องกงที่มีระบบควบคุมและติดตามการเข้าถึงที่เข้มงวด หรือในสถานที่ปลอดภัยอื่นที่ได้รับการอนุมัติจากธนาคารกลางฮ่องกง อุปกรณ์ฮาร์ดแวร์หรือซอฟต์แวร์อื่นๆ ที่ใช้จัดการ seed และ/หรือ private key ควรได้รับการปกป้องอย่างเหมาะสมในสภาพแวดล้อมที่ปลอดภัยเท่าเทียมกัน คีย์ช่วยจำและ/หรือ private key หลายรายการที่เกี่ยวข้องกับระบบลายเซ็นหลายรายการควรจัดเก็บในสภาพแวดล้อมที่ปลอดภัยแยกกันเพื่อลดความเสี่ยงในการกระจุกตัว
  • การแจกจ่ายคีย์: ผู้ได้รับอนุญาตต้องแจกจ่ายคีย์ส่วนตัว (Mnemonics) และ/หรือคีย์ส่วนตัวอย่างปลอดภัยและเชื่อถือได้ เพื่อรับประกันความสมบูรณ์และความลับของคีย์ มาตรการเฉพาะประกอบด้วยการใช้กลไกการตรวจสอบความสมบูรณ์ มาตรการรักษาความปลอดภัยทางกายภาพ (สำหรับสถานการณ์การแจกจ่ายด้วยตนเอง) และการใช้อัลกอริทึมการเข้ารหัสที่ผ่านการตรวจสอบแล้วสำหรับการส่งและจัดเก็บ เพื่อป้องกันการรั่วไหลหรือการปลอมแปลงในระหว่างกระบวนการแจกจ่าย
  • การใช้คีย์: ผู้ได้รับอนุญาต ควรปฏิบัติตามหลักการสิทธิ์ขั้นต่ำและจำกัดการเข้าถึงคีย์อย่างเคร่งครัด ควรใช้คีย์ในสภาพแวดล้อมที่ปลอดภัยที่เชื่อถือได้หรือแยกออกจากกันทางกายภาพเท่านั้น เพื่อลดความเสี่ยงของการรั่วไหลของคีย์หรือการใช้งานในทางที่ผิด
  • การหมุนเวียนและการทำลายคีย์: ผู้รับใบอนุญาต ควรพิจารณาหมุนเวียนคีย์ของตนเป็นประจำ เพื่อลดความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับการถูกบุกรุกคีย์ นอกจากนี้ ควรพัฒนาและนำกระบวนการทำลายคีย์มาใช้เพื่อให้แน่ใจว่าคีย์ที่ไม่ได้ใช้หรือหมดอายุจะถูกทำลายอย่างสมบูรณ์ เพื่อป้องกันการกู้คืนหรือการใช้งานที่ไม่ได้รับอนุญาต
  • การสำรองข้อมูลคีย์: ผู้รับใบอนุญาตควรตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลคีย์เริ่มต้นและ/หรือคีย์ส่วนตัวไว้ในสถานที่ปลอดภัยหลายแห่งในฮ่องกง (หรือสถานที่อื่นๆ ที่ HKMA อนุมัติ) ตำแหน่งและลักษณะของการสำรองข้อมูลต้องเป็นความลับอย่างเคร่งครัดจากบุคคลที่สาม ผู้รับใบอนุญาตควรตรวจสอบให้แน่ใจว่าไม่สามารถกู้คืนคีย์เริ่มต้นและ/หรือคีย์ส่วนตัวได้หากใช้การสำรองข้อมูลในสถานที่ทางกายภาพเพียงแห่งเดียว การสำรองข้อมูลควรจัดเก็บไว้ในสื่อที่เชื่อถือได้และมีมาตรการรักษาความปลอดภัยที่จำเป็นเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และมีคุณสมบัติป้องกันการปลอมแปลง เพื่อให้มั่นใจถึงความสมบูรณ์และความปลอดภัยของข้อมูลสำรอง

โปรแกรมตรวจสอบความปลอดภัยของ Stablecoin

เพื่อตอบสนองต่อความปลอดภัยของสัญญาอัจฉริยะและข้อกำหนดการจัดการปฏิบัติการของ stablecoin บริษัท Beosin ได้เปิดตัวโซลูชันการตรวจสอบต่อไปนี้เพื่อให้ผู้รับใบอนุญาตได้รับการตรวจสอบโดยละเอียดและการสนับสนุนทางเทคนิคในเทคโนโลยีบล็อคเชน โดย มีเป้าหมายเพื่อให้แน่ใจว่าผู้รับใบอนุญาตยังคงปฏิบัติตามข้อกำหนดด้านกฎระเบียบที่เกี่ยวข้องและมาตรฐานปฏิบัติการของ HKMA

1. การตรวจสอบสัญญาอัจฉริยะ

1.1 ขอบเขตการตรวจสอบ:

การตรวจสอบความปลอดภัยของสัญญาครอบคลุมถึงสิ่งต่อไปนี้:

  • ฟังก์ชันหลักของสัญญา Stablecoin (การสร้าง การทำลาย การโอน การแช่แข็ง การระงับ ฯลฯ)
  • การออกแบบและการนำระบบจัดการการอนุญาตและบทบาทมาใช้
  • กลไกการอัพเกรด (UUPS / Transparent Proxy)
  • ฟังก์ชันที่เกี่ยวข้องกับกลไกฉุกเฉิน (หยุดชั่วคราว, หยุดชั่วคราว, แบล็คลิสต์, ไวท์ลิสต์ ฯลฯ)
  • การบันทึกเหตุการณ์และการติดตามพฤติกรรมบนเชน
  • ความเข้ากันได้ของมาตรฐานอินเทอร์เฟซ (ERC 20, ใบอนุญาต, เมตาดาต้า ฯลฯ)

1.2 เนื้อหาการตรวจสอบ:

(1) การผลิตและการทำลาย

  • ว่าฟังก์ชัน mint() สามารถเรียกใช้ได้โดยบทบาทที่ได้รับอนุญาตเท่านั้นหรือไม่
  • burn() ลดความสมดุลและอุปทานทั้งหมดได้อย่างถูกต้อง
  • มีเส้นทางเลี่ยงผ่านหรือช่องโหว่ทางตรรกะใดๆ หรือไม่ (เช่น การเลี่ยงผ่านการตรวจสอบสิทธิ์ผ่านการยกระดับสิทธิ์)
  • ไม่ว่าจะรองรับการยืนยันการฝากเงินนอกเครือข่าย (เช่น ลายเซ็น PoR หรือการยืนยันของผู้ดูแลระบบ) หรือไม่

(2) ตรรกะการถ่ายโอน

  • ไม่ว่า transfer() และ transferFrom() จะสอดคล้องกับมาตรฐาน ERC 20 หรือไม่
  • ไม่ว่าจะป้องกันไม่ให้ที่อยู่ที่ถูกตรึงหรือที่อยู่ที่อยู่ในบัญชีดำเริ่มทำการโอน
  • ว่าสามารถป้องกันไม่ให้โทเค็นเคลื่อนที่ในสถานะหยุดชั่วคราวได้อย่างมีประสิทธิภาพหรือไม่

(3) การแขวนลอยและการแช่แข็ง

  • ไม่ว่า pause() / unpause() และ freeze() / unfreeze() จะถูกจำกัดให้เฉพาะบทบาทที่เฉพาะเจาะจงหรือไม่
  • สถานะหยุดชะงักสามารถหยุดการทำงานได้อย่างสมบูรณ์ เช่น การโอนโทเค็น การสร้าง และการทำลาย
  • ฟังก์ชันการตรึงที่อยู่จะมีประสิทธิภาพต่อการโอนและการสร้างหรือไม่

1.2.2 โครงสร้างอำนาจและการจัดการบทบาท

(1) คำจำกัดความบทบาท (ไม่ครอบคลุมทั้งหมด)

  • ADMIN: ผู้มีอำนาจสูงสุด จัดการบทบาททั้งหมดและดำเนินการอัพเกรด
  • MINTER: สิทธิ์ในการผลิตโทเค็น
  • PAUSER: สิทธิในการระงับและดำเนินสัญญาต่อ
  • FREEZER : มีสิทธิ์ในการอายัดและยกเลิกการอายัดที่อยู่
  • ผู้อัพเกรด: มีสิทธิ์ในการเริ่มการอัปเกรดตามสัญญา

(2) การตรวจสอบการกำหนดค่าการอนุญาต

  • บทบาททั้งหมดได้รับการจัดสรรอย่างถูกต้องในระหว่างการปรับใช้หรือการเริ่มต้นหรือไม่
  • บทบาทที่มีอำนาจสูงได้รับการควบคุมโดยกระเป๋าเงินที่มีลายเซ็นหลายรายการเพื่อหลีกเลี่ยงการสูญเสียการควบคุมจากจุดเดียวหรือไม่
  • ไม่ว่าจะสนับสนุนการเพิกถอนและการเปลี่ยนทดแทนฉุกเฉิน (เช่น การจัดการการล็อคเวลา)

(3) การควบคุมลายเซ็นหลายรายการและการล็อคเวลา

  • การดำเนินการที่มีความละเอียดอ่อนสูง เช่น การสร้างและการอัปเกรด จำเป็นต้องใช้กระบวนการหลายลายเซ็น + ล็อคเวลาหรือไม่
  • ไม่ว่าการหน่วงเวลาจะมากกว่าหรือเท่ากับ 48 ชั่วโมง จะทำให้ผู้รับใบอนุญาตและหน่วยงานกำกับดูแลสามารถสังเกตและตอบสนองได้ง่ายขึ้น
  • ไม่ว่าสัญญาจะใช้โหมดพร็อกซีอัปเกรดที่ปลอดภัยหรือไม่ (เช่น UUPS)
  • ว่าฟังก์ชัน initialize() มีการเพิ่มตัวปรับเปลี่ยน initializer หรือไม่
  • มีความเสี่ยงในการเริ่มต้นระบบครั้งที่สองหรือไม่?
  • _authorizeUpgrade() ว่าจะอนุญาตให้เรียกเฉพาะโดยบทบาทที่ระบุเท่านั้นหรือไม่
  • ตรวจสอบว่าโครงสร้างการจัดเก็บข้อมูลก่อนและหลังการอัพเกรดยังคงสอดคล้องกันเพื่อป้องกันการเขียนทับตัวแปร

1.2.4 การบันทึกเหตุการณ์และการติดตามการทำงาน

ไม่ว่าการดำเนินการคีย์ทั้งหมดจะปล่อยเหตุการณ์ที่ชัดเจนหรือไม่

กิจกรรมที่แนะนำมีดังนี้:

  • มิ้นต์(ที่อยู่ถึง, จำนวนเงิน 256, ที่อยู่โดย)
  • เผา(ที่อยู่จาก, uint 256 จำนวนเงิน, ที่อยู่โดย)
  • หยุดชั่วคราว (ที่อยู่โดย) / ยกเลิกการหยุดชั่วคราว (ที่อยู่โดย)
  • แช่แข็ง (ที่อยู่เป้าหมาย, ที่อยู่โดย) / ยกเลิกการแช่แข็ง (ที่อยู่เป้าหมาย, ที่อยู่โดย)
  • อัพเกรด(ที่อยู่ใหม่Impl, ที่อยู่โดย)
  • ข้อเสนอแนะแต่ละเหตุการณ์ประกอบด้วย: ผู้ปฏิบัติงาน, ที่อยู่เป้าหมาย, ไทม์สแตมป์ และพารามิเตอร์โดยละเอียด
  • ข้อมูลบันทึกควรอำนวยความสะดวกในการติดตามการตรวจสอบและการตรวจสอบตามกฎระเบียบ

1.2.5 ความเข้ากันได้ของอินเทอร์เฟซมาตรฐาน

  • ไม่ว่าอินเทอร์เฟซมาตรฐาน ERC 20 จะถูกนำไปใช้งานเต็มรูปแบบหรือไม่ (ชื่อ สัญลักษณ์ ทศนิยม balanceOf ฯลฯ)
  • รองรับ EIP-2612 (ใบอนุญาต ไม่ต้องมีใบอนุญาตก๊าซ) หรือไม่
  • ว่า ERC 20 Metadata จะได้รับการรองรับสำหรับการระบุและแสดงกระเป๋าสตางค์หรือไม่
  • ไม่ว่าอินเทอร์เฟซมาตรฐานทั้งหมดจะส่งคืนค่าตามข้อกำหนดและจัดการกับอินพุตที่ผิดปกติหรือไม่

2. การกำกับดูแลการดำเนินงานและการบำรุงรักษาและกลยุทธ์การอัพเกรดความปลอดภัย

2.1 ขอบเขตการตรวจสอบ

มุ่งเน้น การออกแบบโครงสร้างการกำกับดูแล ตรรกะการจัดการสิทธิ์ ความปลอดภัยของกระบวนการอัปเกรดสัญญา และกลไกการควบคุมการดำเนินงานหลักของระบบสัญญา stablecoin ในกระบวนการดำเนินงานและการบำรุงรักษาระยะยาว วัตถุประสงค์นี้เพื่อให้มั่นใจว่าโครงการมีศักยภาพในการดำเนินงานและการบำรุงรักษาที่ยั่งยืน และมีกลไกในการต้านทานความเสี่ยงต่างๆ เช่น การใช้สิทธิ์ในทางที่ผิดและการแฮ็กเวอร์ชัน

2.2 เนื้อหาการตรวจสอบ

  • แผนการอัปเกรดสัญญา: ประเมินว่ามีการใช้โหมดอัปเกรดที่ปลอดภัย (เช่น UUPS หรือ Transparent Proxy) หรือไม่ ตรวจสอบว่าฟังก์ชันอัปเกรดมีการควบคุมสิทธิ์และข้อจำกัดการเข้าถึงหรือไม่ และยืนยันว่าโครงร่างการจัดเก็บข้อมูลของสัญญาตรรกะและสัญญาพร็อกซีสอดคล้องกันเพื่อหลีกเลี่ยงความเสี่ยงจากการขัดแย้งในการจัดเก็บข้อมูลหรือไม่
  • ขอบเขตการอนุญาตการอัพเกรดและกลไกการอนุญาต: ตรวจสอบว่าการดำเนินการอัพเกรดถูกจำกัดเฉพาะบทบาทเฉพาะ (เช่น UPGRADER) หรือไม่ มีการใช้กลไกเช่น _authorizeUpgrade() สำหรับการป้องกันการอนุญาตหรือไม่ และยืนยันว่าการอนุญาตดังกล่าวไม่ได้ถูกข้ามโดยตรรกะอื่น
  • กลไกการควบคุมการปฏิบัติงานที่มีอำนาจสูง: ตรวจสอบว่าระบบมีหลักการแบ่งแยกอำนาจและการอนุญาตน้อยที่สุดหรือไม่ เช่น การดำเนินงานต่างๆ เช่น การคัดเลือก การอัพเกรด และการแช่แข็ง ได้รับการจัดการโดยบทบาทอิสระหรือไม่ เพื่อหลีกเลี่ยงความเสี่ยงจากการใช้อำนาจในทางที่ผิดอันเนื่องมาจากความรับผิดชอบหลายประการ
  • การกำหนดค่ากระเป๋าเงินลายเซ็นหลายรายการและการล็อคเวลา: ยืนยันว่าการอนุญาตคีย์ (เช่น ADMIN และ UPGRADER) ได้รับการควบคุมโดยกระเป๋าเงินลายเซ็นหลายรายการหรือไม่ และขยายหน้าต่างการหน่วงเวลาสำหรับการดำเนินการคีย์ผ่านสัญญา Timelock เพื่อแนะนำช่วงเวลาสังเกตการณ์การกำกับดูแลและบัฟเฟอร์ความเสี่ยงหรือไม่
  • การจัดการระบบบทบาทและวงจรชีวิตการอนุญาต: ประเมินว่าบทบาทการดำเนินงานและการบำรุงรักษาในระยะยาวและบทบาทชั่วคราว (เช่น บัญชีการดำเนินงาน ผู้ดูแลระบบอัปเกรด ฯลฯ) ถูกแบ่งแยกอย่างชัดเจนหรือไม่ และตรวจสอบว่ามีกลไกการโอนการอนุญาต การเพิกถอน และการกู้คืนเพื่อป้องกันไม่ให้บทบาทอยู่นอกเหนือการควบคุมเป็นเวลานานหรือไม่
  • กลไกการควบคุมภาวะฉุกเฉิน: วิเคราะห์ว่ามาตรการฉุกเฉิน เช่น การหยุดสัญญา การหยุดบทบาท และการเพิกถอนอนุญาต ได้รับการรองรับเพื่อป้องกันความเสี่ยงในระบบที่เกิดจากการโจมตีที่อาจเกิดขึ้น เหตุการณ์ด้านความปลอดภัยจากภายนอก หรือข้อผิดพลาดในการปฏิบัติงานภายในหรือไม่
  • บันทึกพฤติกรรมการอัพเกรดและบันทึกการตรวจสอบ: ตรวจสอบว่าเหตุการณ์ที่เกี่ยวข้องกับการอัพเกรด การดำเนินการ และการบำรุงรักษามีบันทึกบนเชน (เช่น การอัพเกรด GrantRole หยุดชั่วคราว ฯลฯ) หรือไม่ เพื่อให้แน่ใจถึงการติดตามหลังเหตุการณ์ และอำนวยความสะดวกในการตรวจสอบและการสืบสวนการปฏิบัติตาม
  • ความสามารถในการปรับตัวและความสามารถในการปรับขนาดของการกำกับดูแลแบบออนเชน: หากมีแผนที่จะเปิดตัวโมดูลการกำกับดูแลแบบออนเชนในอนาคต ขอแนะนำให้ประเมินว่าโครงสร้างการอนุญาตปัจจุบันรองรับการดำเนินการเข้าควบคุมสัญญาการกำกับดูแลหรือไม่ และสามารถเรียกใช้การอัปเกรด การเพิกถอน การหยุดการทำงาน และการดำเนินการอื่นๆ ได้หรือไม่ โดยอิงตามผลการกำกับดูแล

3. การวิเคราะห์บันทึกและการติดตามความเสี่ยง

3.1 ขอบเขตการตรวจสอบ

Beosin มุ่งเน้นที่การบันทึกพฤติกรรมแบบออนเชนของสัญญาสกุลเงินดิจิทัลที่มีเสถียรภาพระหว่างการดำเนินการและความเสี่ยงที่เกิดขึ้นจากการบันทึกดังกล่าว โดยให้บริการระบบการรวบรวมบันทึก การสร้างแบบจำลองพฤติกรรม การระบุความเสี่ยง การรายงานการปฏิบัติตามข้อกำหนด และระบบการตรวจสอบแบบเรียลไทม์ เพื่อให้แน่ใจว่าผู้รับใบอนุญาตมีการติดตามการปฏิบัติงานที่ครอบคลุม การควบคุมความเสี่ยงด้วยภาพ และความสามารถในการตอบสนองการปฏิบัติตามข้อกำหนด

  • การรวบรวมและวิเคราะห์บันทึกแบบออนเชน

บันทึกการดำเนินการของวงจรชีวิตทั้งหมดของ stablecoin ได้รับการสร้างขึ้นโดยอิงตามเหตุการณ์บนเครือข่ายที่เกิดจากสัญญา (เช่น Mint, Burn, Transfer, Freeze, RoleGranted ฯลฯ) และรองรับการวิเคราะห์ความเข้ากันได้ของบันทึกของสัญญาเวอร์ชันต่างๆ และสภาพแวดล้อมการใช้งานที่แตกต่างกัน

  • การวิเคราะห์พฤติกรรมอัตโนมัติ

การรวมบันทึกกับภาพรวมสถานะบนเชน จะใช้การสร้างแบบจำลองพฤติกรรมเพื่อระบุเส้นทางการทำงานที่ผิดปกติ ความถี่ของธุรกรรมที่ผิดปกติ และพฤติกรรมที่น่าสงสัย/มีความเสี่ยงสูงอื่นๆ โดยอัตโนมัติ

  • การระบุระดับความเสี่ยงและการสร้างรายงาน

จัดทำรายงานการตรวจสอบพฤติกรรมที่ได้มาตรฐาน ซึ่งรวมถึง เวลา ที่อยู่ แฮชธุรกรรม ประเภทการดำเนินการ เส้นทางอนุญาต และข้อมูลอื่นๆ เพื่อให้ฝ่ายต่างๆ ของโครงการเก็บไว้และให้ HKMA ตรวจสอบ โดยระดับความเสี่ยงในการดำเนินการจะถูกทำเครื่องหมายไว้ในรายงานเพื่อใช้เป็นข้อมูลอ้างอิงภายในของโครงการในเวลาเดียวกัน

  • การบูรณาการระบบการตรวจสอบและกลไกการแจ้งเตือน

Beosin นำเสนอระบบตรวจสอบแบบออนเชนเฉพาะทางที่รองรับการตรวจสอบแบบเรียลไทม์ของตัวบ่งชี้หลายตัว (เช่น การสร้างขนาดใหญ่ การทำลายที่ผิดปกติ การเปลี่ยนแปลงสิทธิ์อนุญาต การทริกเกอร์ธุรกรรมแบล็คลิสต์ ฯลฯ) เมื่อถึงเกณฑ์ความเสี่ยงที่กำหนดไว้ ระบบจะส่งสัญญาณเตือนทันทีเพื่อช่วยให้โครงการตอบสนองได้อย่างทันท่วงที


สกุลเงินที่มั่นคง
ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily
กลุ่มสมาชิก
https://t.me/Odaily_News
กลุ่มสนทนา
https://t.me/Odaily_CryptoPunk
บัญชีทางการ
https://twitter.com/OdailyChina
กลุ่มสนทนา
https://t.me/Odaily_CryptoPunk
บทความแนะนำ
ระเบิดภาษีของทรัมป์ระเบิด และตลาดคริปโตก็เข้าสู่ "โหมดป้องกัน" ตลาดจะไปทางไหนในเดือนสิงหาคมนี้?
การเจรจาด้านกฎระเบียบ การได้มาซึ่งใบอนุญาต การก่อตั้งพันธมิตร: พิจารณาความเคลื่อนไหวล่าสุดของ Ondo ผู้นำ RWA
โครงการโต้ตอบเด่นประจำสัปดาห์นี้: ภารกิจ Galxe ใหม่ 0G; การซื้อขายเหรียญทดสอบ Superp; รายชื่อรอวงกลม
สรุปโดย AI
กลับไปด้านบน
  • 核心观点:香港实施稳定币监管新规,强化技术合规要求。
  • 关键要素:
    1. 稳定币需全额储备、及时赎回、资产隔离。
    2. 智能合约需年度审计+事件驱动审计。
    3. 密钥管理需全生命周期安全控制。
  • 市场影响:提升稳定币安全性,加速合规化进程。
  • 时效性标注:中期影响。
คลังบทความของผู้เขียน
星球君的朋友们
กฎระเบียบ Stablecoin ของฮ่องกง: การตีความข้อกำหนดของเทคโนโลยี Blockchain และแผนการตรวจสอบความปลอดภัย
Baby BTC Strategic Capital ได้ลงนามในข้อตกลงร่วมกับ ATA Creativity Global ซึ่งเป็นบริษัทที่จดทะเบียนในตลาดหลักทรัพย์ Nasdaq เพื่อซื้อโทเค็น Baby เพื่อพัฒนา BTCFi ต่อไป
เครือข่ายสาธารณะเฉพาะของ Stablecoin อย่าง Stable เสร็จสิ้นการระดมทุนรอบเริ่มต้นมูลค่า 28 ล้านดอลลาร์ โดยมุ่งเน้นไปที่การสร้างโครงสร้างพื้นฐานทางการเงิน USDT
อันดับบทความร้อน
Daily
Weekly
เปิดเผยบุคคลสำคัญสองคนที่อยู่เบื้องหลังการพุ่งสูงของ ETH ในปัจจุบัน: Tom Lee ปะทะ Joseph Rubin
เปิดเผยบุคคลสำคัญสองคนที่อยู่เบื้องหลังการพุ่งสูงของ ETH ในปัจจุบัน: Tom Lee ปะทะ Joseph Rubin
นับถอยหลังสู่เมนเน็ต อัปเกรด BRC 2.0 จุดประกายระบบนิเวศ BTC ผลักดันให้ NFT เติบโต 100 เท่าในหนึ่งเดือน | ระบบนิเวศ BTC
YZi Labs, CEA และสถาบัน 140 แห่งทุ่มเงิน 500 ล้านเหรียญสหรัฐฯ เดิมพันกับ BNB Treasury
โมเดลเศรษฐกิจโทเค็นของ Linea ได้รับการเผยแพร่แล้ว การประเมินมูลค่าที่สมเหตุสมผลของคะแนน LXP คือเท่าใด
Ethereum เผชิญปัญหาสิบปี: อุดมคติ ปัญหาที่กลืนไม่เข้าคายไม่ออก และทางออกนอกโลก
ดาวน์โหลดแอพ Odaily พลาเน็ตเดลี่
ให้คนบางกลุ่มเข้าใจ Web3.0 ก่อน
IOS
Android