Nguồn gốc: Beosin

Vào ngày 1 tháng 8 năm 2025, chế độ quản lý dành cho các đơn vị phát hành stablecoin tại Hồng Kông chính thức có hiệu lực. "Hướng dẫn về Giám sát các Đơn vị Phát hành Stablecoin Được Cấp phép" và " Hướng dẫn về Chống Rửa tiền và Tài trợ Khủng bố (Áp dụng cho các Đơn vị Phát hành Stablecoin Được Cấp phép)" của HKMA cũng có hiệu lực đồng thời, nhằm mục đích cung cấp hướng dẫn quản lý chi tiết cho các đơn vị phát hành stablecoin.

Tài liệu "Hướng dẫn Giám sát các Tổ chức Phát hành Stablecoin Được Cấp phép" cung cấp các thông số kỹ thuật chi tiết cho khuôn khổ quản lý của Hồng Kông đối với stablecoin, nhằm đảm bảo các mục tiêu quản lý như tính ổn định giá trị của stablecoin (dự trữ đầy đủ), khả năng hoàn trả (hoàn trả kịp thời), phân lập rủi ro (độc lập với tài sản dự trữ) và bảo vệ người tiêu dùng. Sau đây là diễn giải và kế hoạch kiểm toán của đội ngũ bảo mật Beosin về các thông số kỹ thuật công nghệ blockchain trong "Hướng dẫn Giám sát các Tổ chức Phát hành Stablecoin Được Cấp phép" nhằm giúp các bên được cấp phép đáp ứng các yêu cầu về công nghệ blockchain được quy định trong hướng dẫn.

1. Giải thích các thông số kỹ thuật của blockchain

Theo Điều 2.1, 3.3 và 5.4 của Hướng dẫn về chống rửa tiền và tài trợ khủng bố, người được cấp phép phải áp dụng phương pháp tiếp cận dựa trên rủi ro để xây dựng và thực hiện các chính sách, thủ tục và biện pháp kiểm soát chống rửa tiền và tài trợ khủng bố dựa trên bản chất, quy mô và mức độ phức tạp của doanh nghiệp, triển khai hệ thống giám sát giao dịch hiệu quả tại thời điểm phát hành và mua lại để xác định và báo cáo các giao dịch đáng ngờ, đồng thời quản lý và giảm thiểu hiệu quả các rủi ro rửa tiền và tài trợ khủng bố có liên quan.

1. Sổ cái phân tán

Hướng dẫn Quy định không chỉ định một sổ cái phân tán cụ thể (chẳng hạn như Ethereum) là mạng lưới phát hành stablecoin. Tuy nhiên, Điều 6.5.5 khuyến nghị rõ ràng rằng các bên được cấp phép nên tiến hành đánh giá chi tiết về tính bảo mật và độ tin cậy của sổ cái phân tán (ví dụ: khả năng chống chịu các cuộc tấn công phổ biến, lỗi mã, rủi ro khai thác, v.v.).

Bên được cấp phép phải đánh giá nghiêm ngặt các sổ cái phân tán mà stablecoin của họ được phát hành, ưu tiên những sổ cái hoạt động trên các blockchain công khai đã được chứng minh là ổn định và đã được thị trường chứng minh. Hơn nữa, bên được cấp phép phải triển khai các biện pháp bổ sung để tạo điều kiện thuận lợi cho việc quy đổi stablecoin trong trường hợp sổ cái phân tán gặp sự cố không thể phục hồi, đảm bảo tính bảo mật và ổn định cho hệ sinh thái stablecoin của họ.

2. Quản lý mã thông báo

2.1 Tài liệu kỹ thuật

Đối với mỗi loại stablecoin cụ thể mà bên được cấp phép dự định phát hành, bên được cấp phép phải ghi rõ:

• Tiêu chuẩn mã thông báo được sử dụng
• Sổ cái phân tán mà trên đó đồng tiền ổn định cụ thể được phát hành;
• Kiến trúc của tất cả các hợp đồng thông minh liên quan đến stablecoin (bao gồm hợp đồng mã thông báo, hợp đồng proxy, hợp đồng đa chữ ký, v.v.), bao gồm khả năng nâng cấp (nếu có), biến trạng thái, hàm, trình sửa đổi hàm, thư viện, giao diện, v.v.

2.2 Kiểm soát quyền

Điều 6.5.3 của "Hướng dẫn giám sát" khuyến nghị rằng người được cấp phép nên xác định rõ ràng mọi hoạt động liên quan đến việc quản lý toàn bộ vòng đời của từng loại stablecoin cụ thể mà họ phát hành, bao gồm triển khai, cấu hình, đúc, hủy, nâng cấp, tạm ngừng, khôi phục, đưa vào danh sách đen, xóa khỏi danh sách đen, đóng băng, mở đóng băng, đưa vào danh sách trắng và sử dụng bất kỳ ví hoạt động nào .

Đối với mỗi hoạt động trong vòng đời của stablecoin, bên được cấp phép phải triển khai các mức độ ủy quyền và điều kiện kích hoạt phù hợp. Các hoạt động rủi ro cao (như triển khai/nâng cấp hợp đồng, đúc tiền quy mô lớn và đóng băng tài khoản) phải được thực hiện thông qua thỏa thuận đa chữ ký (ví dụ: ba chữ ký trên năm chữ ký).

Các biện pháp kiểm soát rủi ro bổ sung:

• Đặt giới hạn tốc độ giao dịch
• Chỉ những địa chỉ được liệt kê trắng mới được phép đúc tiền xu
• Đặt thời gian khóa cho một hoạt động cụ thể
• Ký trước các giao dịch cho một số hoạt động nhất định, thực hiện xác minh mô phỏng ngoài chuỗi trước khi phát sóng các giao dịch và kiểm tra các giao dịch đã ký

2.3 Kiểm toán kỹ thuật

Kiểm toán hàng năm và kiểm toán theo sự kiện: Điều 6.5.5 của Hướng dẫn Quy định khuyến nghị các bên được cấp phép nên ủy quyền cho một công ty chuyên nghiệp bên thứ ba (chẳng hạn như Beosin) kiểm toán các hợp đồng thông minh liên quan đến stablecoin do họ phát hành ít nhất mỗi năm một lần. Hơn nữa, việc kiểm toán nên được thực hiện ngay lập tức bất cứ khi nào hợp đồng thông minh của một stablecoin cụ thể được triển khai lần đầu, triển khai lại hoặc nâng cấp. Cách tiếp cận này nhằm giải quyết các lỗ hổng trong kiểm toán nội bộ, đảm bảo rằng các hợp đồng thông minh thực thi đúng như thiết kế và đáp ứng chức năng mong muốn, đồng thời cung cấp mức độ đảm bảo cao rằng các hợp đồng không có lỗ hổng hoặc lỗi bảo mật.

2.4 Hệ thống giám sát Stablecoin

Điều 6.5.6 và 6.8.3 của Hướng dẫn giám sát khuyến nghị rằng người được cấp phép thực hiện các biện pháp để liên tục theo dõi tính khả dụng, năng lực, hiệu suất và các bản cập nhật hoặc thay đổi dự kiến đối với công nghệ cơ bản và báo cáo bất kỳ bất thường nào (lỗ hổng hợp đồng thông minh; các sự kiện liên quan đến sổ cái phân tán như hard fork và soft fork, tắc nghẽn mạng nghiêm trọng, sự cố ngừng hoạt động, tấn công và lỗi không thể khôi phục; sử dụng khóa riêng trái phép, v.v.).

3. Bảo mật khóa

Quản lý khóa (bao gồm khóa riêng và thuật ngữ ghi nhớ) là một trong những lĩnh vực chi tiết và quan trọng nhất của Hướng dẫn Quy định. Bên được cấp phép nên thiết lập các biện pháp quản lý toàn diện và quy trình vận hành bao trùm toàn bộ vòng đời khóa, bao gồm nhưng không giới hạn ở việc tạo, phân phối, lưu trữ, sử dụng, sao lưu, phục hồi và hủy khóa. Đặc biệt, đối với các hoạt động quan trọng liên quan đến hợp đồng thông minh stablecoin, chẳng hạn như triển khai và nâng cấp hợp đồng, quản lý quyền và vai trò, cũng như việc đúc và hủy khóa trên quy mô lớn, cần áp dụng các tiêu chuẩn bảo mật cao hơn để đảm bảo an toàn khóa và ngăn chặn truy cập trái phép cũng như các rủi ro tiềm ẩn.

Sau đây là các triển khai được đề xuất của các vòng đời chính:

• Tạo khóa: Đối với các khóa quan trọng, quá trình tạo khóa nên được thực hiện trong môi trường hoàn toàn ngoại tuyến và sử dụng mức độ bảo mật cao hơn. Trên thực tế, việc tạo khóa hạt giống và/hoặc khóa riêng nên được thực hiện trong môi trường biệt lập về mặt vật lý với các biện pháp kiểm soát an ninh vật lý nghiêm ngặt để ngăn chặn truy cập hoặc tiết lộ trái phép.
• Lưu trữ khóa: Khóa Mô-đun Bảo mật Phần cứng (HSM) với cơ chế xác thực phù hợp nên được lưu trữ trong các phương tiện lưu trữ an toàn, chẳng hạn như . Vị trí lưu trữ này nên được đặt tại Hồng Kông với hệ thống kiểm soát và giám sát truy cập nghiêm ngặt, hoặc tại một vị trí an toàn khác được Cơ quan Tiền tệ Hồng Kông phê duyệt. Các thiết bị phần cứng hoặc phần mềm khác được sử dụng để quản lý seed và/hoặc khóa riêng cũng nên được bảo vệ đúng cách trong một môi trường an toàn tương đương. Nhiều mã ghi nhớ và/hoặc khóa riêng liên quan đến các chương trình đa chữ ký nên được lưu trữ trong các môi trường an toàn riêng biệt để giảm thiểu rủi ro tập trung.
• Phân phối Khóa: Người được cấp phép phải phân phối các mã ghi nhớ và/hoặc khóa riêng một cách an toàn và đáng tin cậy để đảm bảo tính toàn vẹn và bảo mật của chúng. Các biện pháp cụ thể bao gồm áp dụng các cơ chế xác minh tính toàn vẹn, các biện pháp bảo mật vật lý (đối với các trường hợp phân phối thủ công) và sử dụng các thuật toán mã hóa đã được xác thực để truyền tải và lưu trữ nhằm ngăn chặn rò rỉ hoặc giả mạo trong quá trình phân phối.
• Sử dụng khóa: Người được cấp phép phải tuân thủ nguyên tắc đặc quyền tối thiểu và hạn chế nghiêm ngặt quyền truy cập vào khóa. Khóa chỉ nên được sử dụng trong môi trường an toàn đáng tin cậy hoặc được cách ly vật lý để giảm nguy cơ rò rỉ hoặc sử dụng sai mục đích khóa.
• Luân chuyển và Hủy Khóa: Người được cấp phép nên cân nhắc luân chuyển khóa thường xuyên để giảm thiểu rủi ro bảo mật liên quan đến việc đánh cắp khóa. Họ cũng nên xây dựng và triển khai quy trình hủy khóa để đảm bảo khóa không sử dụng hoặc hết hạn bị hủy hoàn toàn nhằm ngăn chặn việc khôi phục hoặc sử dụng trái phép.
• Sao lưu khóa: Người được cấp phép phải đảm bảo khóa hạt giống và/hoặc khóa riêng được sao lưu tại nhiều địa điểm an toàn ở Hồng Kông (hoặc các địa điểm khác được HKMA phê duyệt) . Địa điểm và bản chất của các bản sao lưu phải được bảo mật tuyệt đối với bên thứ ba. Người được cấp phép phải đảm bảo rằng không thể khôi phục khóa hạt giống và/hoặc khóa riêng chỉ bằng cách dựa vào các bản sao lưu tại một địa điểm vật lý duy nhất. Các bản sao lưu phải được lưu trữ trên các phương tiện đáng tin cậy và có các biện pháp bảo mật cần thiết để ngăn chặn truy cập trái phép và các tính năng chống giả mạo để đảm bảo tính toàn vẹn và bảo mật của các bản sao lưu.

Chương trình kiểm toán bảo mật Stablecoin

Để đáp ứng các yêu cầu về bảo mật hợp đồng thông minh và quản lý hoạt động của stablecoin, Beosin đã đưa ra các giải pháp kiểm toán sau đây để cung cấp cho bên được cấp phép các cuộc kiểm toán chi tiết và hỗ trợ kỹ thuật về công nghệ blockchain, nhằm đảm bảo rằng bên được cấp phép tiếp tục đáp ứng các yêu cầu quy định có liên quan và tiêu chuẩn hoạt động của HKMA.

1. Kiểm toán hợp đồng thông minh

1.1 Phạm vi kiểm toán:

Kiểm toán bảo mật hợp đồng bao gồm những nội dung sau:

• Các chức năng cốt lõi của hợp đồng Stablecoin (đúc, hủy, chuyển nhượng, đóng băng, tạm ngừng, v.v.)
• Thiết kế và triển khai hệ thống quản lý quyền hạn và vai trò
• Cơ chế nâng cấp (UUPS / Proxy trong suốt)
• Các chức năng liên quan đến cơ chế khẩn cấp (Tạm dừng, Đóng băng, Danh sách đen, Danh sách trắng, v.v.)
• Ghi lại sự kiện và theo dõi hành vi trên chuỗi
• Khả năng tương thích tiêu chuẩn giao diện (ERC 20, Giấy phép, Siêu dữ liệu, v.v.)

1.2 Nội dung kiểm toán:

(1) Đúc và hủy

• Liệu hàm mint() chỉ có thể được gọi bởi những vai trò được ủy quyền hay không.
• burn() giảm số dư và tổng cung một cách chính xác.
• Có bất kỳ đường dẫn bỏ qua hoặc lỗ hổng logic nào không (ví dụ: bỏ qua kiểm tra quyền thông qua leo thang).
• Có hỗ trợ xác nhận tiền gửi ngoài chuỗi (như chữ ký PoR hoặc xác nhận của quản trị viên) không.

(2) Logic chuyển giao

• Liệu transfer() và transferFrom() có tuân thủ tiêu chuẩn ERC 20 không.
• Có nên ngăn chặn các địa chỉ bị đóng băng hoặc các địa chỉ bị đưa vào danh sách đen thực hiện chuyển tiền hay không.
• Có thể ngăn chặn hiệu quả việc mã thông báo di chuyển trong trạng thái tạm dừng hay không.

(3) Treo và đông lạnh

• Liệu pause() / unpause() và freeze() / unfreeze() có bị giới hạn ở những vai trò cụ thể hay không.
• Liệu trạng thái tạm dừng có thể đóng băng hoàn toàn các hoạt động như chuyển mã thông báo, đúc và hủy hay không.
• Chức năng đóng băng địa chỉ có hiệu quả đối với việc chuyển tiền và đúc tiền không.

1.2.2 Cấu trúc thẩm quyền và quản lý vai trò

(1) Định nghĩa vai trò (không đầy đủ)

• QUẢN TRỊ VIÊN: Người có thẩm quyền cao nhất, quản lý mọi vai trò và hoạt động nâng cấp.
• MINTER: Quyền đúc token.
• NGƯỜI TẠM DỪNG: Quyền tạm dừng và tiếp tục hợp đồng.
• FREEZER: có quyền đóng băng và mở khóa địa chỉ.
• NGƯỜI NÂNG CẤP: Có quyền khởi tạo các nâng cấp hợp đồng.

(2) Kiểm tra cấu hình quyền

• Mọi vai trò có được phân bổ hợp lý trong quá trình triển khai hoặc khởi tạo không?
• Các vai trò có thẩm quyền cao có được kiểm soát bởi ví đa chữ ký để tránh mất quyền kiểm soát tại một điểm duy nhất không?
• Có hỗ trợ việc thu hồi và thay thế khẩn cấp (chẳng hạn như quản lý khóa thời gian) hay không.

(3) Kiểm soát đa chữ ký và khóa thời gian

• Các hoạt động có độ nhạy cao như đúc tiền và nâng cấp có yêu cầu quy trình đa chữ ký + khóa thời gian không?
• Việc trì hoãn thời gian khóa >= 48 giờ giúp người được cấp phép và cơ quan quản lý dễ dàng quan sát và phản hồi hơn.
• Hợp đồng có sử dụng chế độ proxy nâng cấp an toàn (như UUPS) hay không.
• Liệu hàm initialize() có thêm trình sửa đổi khởi tạo hay không.
• Có nguy cơ khởi tạo thứ cấp không?
• _authorizeUpgrade() Cho phép chỉ những vai trò cụ thể mới được gọi đến.
• Kiểm tra xem cấu trúc lưu trữ trước và sau khi nâng cấp có còn nhất quán hay không để tránh ghi đè biến.

1.2.4 Ghi nhật ký sự kiện và theo dõi hoạt động

Liệu tất cả các thao tác chính có phát ra sự kiện rõ ràng không.

Các sự kiện được đề xuất như sau:

• Mint(địa chỉ đến, số tiền uint 256, địa chỉ bởi)
• Ghi(địa chỉ từ, số lượng uint 256, địa chỉ bởi)
• Tạm dừng (địa chỉ theo) / Bỏ tạm dừng (địa chỉ theo)
• Đóng băng (địa chỉ mục tiêu, địa chỉ theo) / Gỡ đóng băng (địa chỉ mục tiêu, địa chỉ theo)
• Nâng cấp (địa chỉ newImpl, địa chỉ by)
• Mỗi đề xuất sự kiện bao gồm: toán tử, địa chỉ mục tiêu, dấu thời gian và các tham số chi tiết.
• Thông tin nhật ký sẽ giúp theo dõi kiểm toán và xem xét theo quy định.

1.2.5 Khả năng tương thích giao diện tiêu chuẩn

• Giao diện chuẩn ERC 20 có được triển khai đầy đủ hay không (tên, ký hiệu, số thập phân, balanceOf, v.v.).
• Có hỗ trợ EIP-2612 (Giấy phép, không ủy quyền khí) không.
• Liệu siêu dữ liệu ERC 20 có được hỗ trợ để nhận dạng và hiển thị ví không.
• Liệu tất cả các giao diện chuẩn có trả về giá trị theo đúng thông số kỹ thuật và xử lý các đầu vào bất thường không.

2. Quản trị vận hành và bảo trì và nâng cấp chiến lược bảo mật

2.1 Phạm vi kiểm toán

Tập trung vào thiết kế cấu trúc quản trị, logic quản lý thẩm quyền, bảo mật quy trình nâng cấp hợp đồng và các cơ chế kiểm soát vận hành chính của hệ thống hợp đồng stablecoin trong quá trình vận hành và bảo trì dài hạn. Điều này nhằm đảm bảo dự án có khả năng vận hành và bảo trì bền vững cùng các cơ chế chống lại các rủi ro như lạm dụng thẩm quyền và chiếm đoạt phiên bản.

2.2 Nội dung kiểm toán

• Kế hoạch nâng cấp hợp đồng: Đánh giá xem chế độ nâng cấp an toàn (như UUPS hoặc Transparent Proxy) có được sử dụng hay không, kiểm tra xem chức năng nâng cấp có kiểm soát quyền và hạn chế truy cập hay không và xác nhận xem bố cục lưu trữ của hợp đồng logic và hợp đồng proxy có nhất quán để tránh rủi ro xung đột lưu trữ hay không.
• Giới hạn quyền nâng cấp và cơ chế ủy quyền: Xác minh xem các hoạt động nâng cấp có bị giới hạn đối với các vai trò cụ thể (chẳng hạn như UPGRADER) hay không, xem các cơ chế như _authorizeUpgrade() có được sử dụng để bảo vệ quyền hay không và xác nhận rằng các quyền đó không bị bỏ qua bởi logic khác.
• Cơ chế kiểm soát hoạt động có thẩm quyền cao: Kiểm tra xem hệ thống có nguyên tắc phân tách quyền hạn và phân quyền tối thiểu hay không, chẳng hạn như các hoạt động như đúc, nâng cấp và đóng băng có được quản lý bởi các vai trò độc lập để tránh nguy cơ lạm dụng quyền hạn do nhiều trách nhiệm.
• Cấu hình ví đa chữ ký và khóa thời gian: Xác nhận xem quyền khóa (như ADMIN và UPGRADER) có được ví đa chữ ký kiểm soát hay không và liệu có tăng cửa sổ trễ cho các hoạt động khóa thông qua hợp đồng Khóa thời gian để giới thiệu giai đoạn quan sát quản trị và vùng đệm rủi ro hay không.
• Quản lý vòng đời hệ thống vai trò và quyền: Đánh giá xem các vai trò vận hành và bảo trì dài hạn và vai trò tạm thời (như tài khoản vận hành, quản trị viên nâng cấp, v.v.) có được phân chia rõ ràng hay không và kiểm tra xem có cơ chế chuyển giao, thu hồi và khôi phục quyền để ngăn chặn vai trò không bị mất kiểm soát trong thời gian dài hay không.
• Cơ chế kiểm soát khẩn cấp: Phân tích xem các biện pháp khẩn cấp như tạm dừng hợp đồng, đóng băng vai trò và thu hồi quyền có được hỗ trợ để ngăn ngừa rủi ro hệ thống do các cuộc tấn công tiềm ẩn, sự cố bảo mật bên ngoài hoặc lỗi vận hành nội bộ gây ra hay không.
• Bản ghi hành vi nâng cấp và nhật ký kiểm tra: Xác minh xem các sự kiện liên quan đến nâng cấp và vận hành và bảo trì có nhật ký trên chuỗi (chẳng hạn như Nâng cấp, GrantRole, Tạm dừng, v.v.) hay không để đảm bảo khả năng truy xuất sau sự kiện và tạo điều kiện cho việc kiểm tra và điều tra tuân thủ.
• Khả năng thích ứng và khả năng mở rộng quản trị trên chuỗi: Nếu có kế hoạch triển khai mô-đun quản trị trên chuỗi trong tương lai, nên đánh giá xem cấu trúc cấp phép hiện tại có hỗ trợ hoạt động tiếp quản hợp đồng quản trị hay không và liệu nó có thể kích hoạt nâng cấp, thu hồi, đóng băng và các hoạt động khác dựa trên kết quả quản trị hay không.

3. Phân tích nhật ký và giám sát rủi ro

3.1 Phạm vi kiểm toán

Tập trung vào nhật ký hành vi trên chuỗi của các hợp đồng stablecoin trong quá trình vận hành và các rủi ro phát sinh từ đó, Beosin cung cấp dịch vụ thu thập nhật ký, mô hình hóa hành vi, xác định rủi ro, báo cáo tuân thủ và hệ thống giám sát thời gian thực để đảm bảo rằng bên được cấp phép có khả năng truy xuất hoạt động toàn diện, kiểm soát rủi ro trực quan và khả năng phản hồi tuân thủ.

• Thu thập và phân tích nhật ký trên chuỗi

Dựa trên các sự kiện trên chuỗi được kích hoạt bởi hợp đồng (như Mint, Burn, Transfer, Freeze, RoleGranted, v.v.), bản ghi hoạt động của toàn bộ vòng đời của stablecoin sẽ được thiết lập và hỗ trợ phân tích khả năng tương thích nhật ký của các phiên bản hợp đồng khác nhau và các môi trường triển khai khác nhau.

• Phân tích hành vi tự động

Kết hợp nhật ký với ảnh chụp nhanh trạng thái trên chuỗi, mô hình hành vi được sử dụng để tự động xác định các đường dẫn hoạt động bất thường, tần suất giao dịch bất thường và các hành vi đáng ngờ/rủi ro cao khác.

• Xác định mức độ rủi ro và tạo báo cáo

Xuất báo cáo kiểm toán hành vi chuẩn hóa, bao gồm thời gian, địa chỉ, mã băm giao dịch, loại hoạt động, đường dẫn cấp phép và thông tin khác để các bên trong dự án lưu giữ và HKMA xem xét; đồng thời đánh dấu mức độ rủi ro hoạt động trong báo cáo để tham khảo nội bộ của dự án.

• Tích hợp hệ thống giám sát và cơ chế báo động

Beosin cung cấp hệ thống giám sát chuyên dụng trên chuỗi, hỗ trợ giám sát theo thời gian thực nhiều chỉ báo (chẳng hạn như phát hành coin quy mô lớn, phá hủy bất thường, thay đổi quyền, kích hoạt giao dịch trong danh sách đen, v.v.). Khi ngưỡng rủi ro được đặt trước được kích hoạt, hệ thống sẽ ngay lập tức phát ra cảnh báo để hỗ trợ dự án phản ứng kịp thời.