a16z: 5 nguyên tắc cho việc lưu ký tài sản được mã hóa

Tác giả: Scott Walker, Kate Dellolio, David Sverdlov Nguồn: a16zcrypto
Bản dịch: Shan Ou Ba, Golden Finance

Các cố vấn đầu tư đã đăng ký (RIA) đầu tư vào tài sản tiền điện tử phải đối mặt với tình trạng khó khăn kép là thiếu rõ ràng về mặt quy định và hạn chế các lựa chọn lưu ký khả thi. Làm cho vấn đề phức tạp hơn nữa, tài sản tiền điện tử có rủi ro sở hữu và chuyển nhượng khác với tài sản mà RIA trước đây chịu trách nhiệm. Các nhóm nội bộ của RIA—hoạt động, tuân thủ, pháp lý, v.v.—dành nhiều nỗ lực để tìm một bên giám sát thứ ba sẵn sàng đáp ứng các kỳ vọng. Tuy nhiên, đôi khi RIA không thể tìm được người giám hộ hoặc người giám hộ có thể thực hiện đầy đủ các quyền kinh tế và quản lý đối với tài sản, dẫn đến việc RIA phải trực tiếp nắm giữ các tài sản đó. Do đó, thực tế hiện tại trong lĩnh vực lưu ký tiền điện tử mang đến những rủi ro và bất ổn đáng kể về mặt pháp lý và hoạt động.

Ngành công nghiệp này cần có một phương pháp tiếp cận dựa trên nguyên tắc để giải quyết vấn đề quan trọng này nhằm phục vụ các nhà đầu tư chuyên nghiệp lưu ký tài sản tiền điện tử thay mặt cho khách hàng của họ. Để đáp lại yêu cầu cung cấp thông tin gần đây của SEC, chúng tôi đã xây dựng các nguyên tắc mà nếu được thực hiện sẽ mở rộng các mục tiêu của các quy tắc lưu ký của Đạo luật cố vấn - bảo mật, công bố thông tin thường xuyên và xác minh độc lập - sang các loại tài sản mã thông báo mới.

Tiền điện tử: Sự khác biệt của chúng

Việc một người nắm giữ quyền kiểm soát các tài sản truyền thống có nghĩa là không ai khác có quyền kiểm soát. Nhưng điều này không đúng với tài sản tiền điện tử. Nhiều thực thể có thể có quyền truy cập vào khóa riêng liên quan đến một tập hợp tài sản tiền điện tử và nhiều người có thể chuyển nhượng các tài sản tiền điện tử đó bất kể quyền hợp đồng.

Tài sản tiền điện tử thường đi kèm với nhiều quyền kinh tế và quản lý vốn có làm cơ sở cho tài sản đó. Các chứng khoán nợ hoặc vốn truyền thống có thể tạo ra thu nhập (như cổ tức hoặc lãi suất) một cách "thụ động" (tức là người nắm giữ không cần phải chuyển nhượng tài sản hoặc thực hiện bất kỳ hành động nào khác sau khi nhận được). Ngược lại, người nắm giữ tài sản tiền điện tử có thể cần phải hành động để mở khóa một số nguồn thu nhập hoặc quyền quản lý liên quan đến tài sản của họ. Tùy thuộc vào năng lực của bên giám hộ thứ ba, RIA có thể cần tạm thời chuyển những tài sản này ra khỏi nơi giám hộ để mở khóa những quyền này. Ví dụ, một số tài sản tiền điện tử nhất định có thể kiếm thu nhập thông qua việc đặt cược hoặc canh tác lợi nhuận, hoặc có quyền biểu quyết trong các đề xuất quản trị để nâng cấp giao thức hoặc mạng lưới. Những điểm khác biệt so với tài sản truyền thống này tạo ra những thách thức mới cho việc lưu ký tài sản tiền điện tử.

Để theo dõi thời điểm thích hợp để tự lưu trữ, chúng tôi đã phát triển sơ đồ sau.

Nguyên tắc

Các nguyên tắc mà chúng tôi trình bày ở đây được thiết kế để làm sáng tỏ quyền giám hộ đối với RIA trong khi vẫn bảo vệ trách nhiệm bảo vệ tài sản của khách hàng. Hiện nay, thị trường cho các đơn vị lưu ký đủ tiêu chuẩn (ví dụ: ngân hàng hoặc công ty môi giới) chuyên về tài sản tiền điện tử còn rất hạn chế; do đó, trọng tâm chính của chúng tôi là khả năng của một tổ chức lưu ký trong việc đáp ứng các biện pháp bảo vệ cơ bản mà chúng tôi cho là cần thiết để lưu ký tài sản tiền điện tử—không chỉ đơn thuần là tình trạng pháp lý của tổ chức đó với tư cách là bên lưu ký đủ điều kiện theo Đạo luật Cố vấn Đầu tư.

Chúng tôi cũng khuyến nghị rằng các RIA có thể đáp ứng các biện pháp bảo vệ thực chất này nên cân nhắc tự lưu ký khi các giải pháp lưu ký của bên thứ ba đáp ứng các biện pháp bảo vệ thực chất này không khả dụng hoặc khi các giải pháp này không hỗ trợ các quyền kinh tế và quản trị.

Mục tiêu của chúng tôi không phải là mở rộng phạm vi của các quy tắc lưu ký vượt ra ngoài chứng khoán. Các nguyên tắc này áp dụng cho tài sản tiền điện tử là chứng khoán và nêu rõ các tiêu chuẩn mà RIA phải tuân theo khi thực hiện trách nhiệm ủy thác của mình đối với các loại tài sản khác. RIA nên tìm cách duy trì các tài sản tiền điện tử không phải là chứng khoán trong các điều kiện tương tự và nên ghi lại các hoạt động lưu ký của mình đối với tất cả các tài sản, bao gồm mọi lý do về sự khác biệt đáng kể giữa các hoạt động lưu ký đối với các loại tài sản khác nhau.

Nguyên tắc 1: Tình trạng pháp lý không nên quyết định trình độ của bên lưu ký tiền điện tử

Tình trạng pháp lý và các biện pháp bảo vệ liên quan đến một tình trạng pháp lý cụ thể rất quan trọng đối với khách hàng của bên lưu ký, nhưng không phải là toàn bộ câu chuyện khi nói đến tài sản tiền điện tử được lưu ký. Ví dụ, các ngân hàng và công ty môi giới chứng khoán được cấp phép liên bang phải tuân theo các quy định về lưu ký nhằm bảo vệ đáng kể cho khách hàng của họ, nhưng các công ty tín thác được cấp phép của tiểu bang và các bên lưu ký thứ ba khác có thể cung cấp mức độ bảo vệ tương tự (như chúng tôi sẽ thảo luận thêm trong Nguyên tắc 2).

Việc đăng ký của bên lưu ký không phải là yếu tố duy nhất quyết định liệu bên đó có đủ điều kiện lưu ký chứng khoán tài sản tiền điện tử hay không. Danh mục “người giám hộ đủ điều kiện” trong Quy tắc giám hộ nên được mở rộng trong không gian tiền điện tử để bao gồm:

• Các công ty tín thác do tiểu bang cấp phép (có nghĩa là họ không cần đáp ứng các tiêu chí về định nghĩa “ngân hàng” trong Đạo luật cố vấn đầu tư, mà chỉ cần được các cơ quan tiểu bang hoặc liên bang có thẩm quyền quản lý đối với các ngân hàng giám sát và kiểm tra).

• Bất kỳ thực thể nào được đăng ký theo luật cấu trúc thị trường tiền điện tử liên bang (được đề xuất).

• Bất kỳ thực thể nào khác, bất kể tình trạng đăng ký, có thể chứng minh rằng mình đáp ứng các tiêu chuẩn nghiêm ngặt để bảo vệ khách hàng.

Nguyên tắc 2: Người lưu ký tiền điện tử phải thiết lập các biện pháp bảo vệ thích hợp

Bất kể các công cụ kỹ thuật cụ thể được sử dụng, người lưu ký tiền điện tử phải thực hiện một số biện pháp bảo vệ nhất định xung quanh việc lưu ký tài sản tiền điện tử. Các biện pháp này bao gồm:

• Phân chia quyền hạn: Người lưu ký tiền điện tử không được chuyển tài sản tiền điện tử ra khỏi nơi lưu ký mà không có sự hợp tác của RIA (ví dụ: ký giao dịch và/hoặc xác minh danh tính dựa trên thiết bị).

• Phân loại: Người lưu ký tiền điện tử không được trộn lẫn bất kỳ tài sản nào do RIA nắm giữ với bất kỳ tài sản nào do các tổ chức khác nắm giữ. Tuy nhiên, một nhà môi giới chứng khoán đã đăng ký có thể sử dụng một ví tổng hợp duy nhất, với điều kiện là họ luôn duy trì hồ sơ cập nhật về quyền sở hữu các tài sản đó và kịp thời tiết lộ sự việc trộn lẫn đó cho các RIA có liên quan.

• Nguồn phần cứng lưu ký: Người lưu ký tiền mã hóa không nên sử dụng bất kỳ phần cứng lưu ký hoặc công cụ nào làm tăng rủi ro bảo mật hoặc gây ra nguy cơ bị xâm phạm.

• Kiểm toán: Người lưu ký tiền điện tử phải trải qua quá trình kiểm soát tài chính và kiểm toán kỹ thuật ít nhất mỗi năm một lần. Các cuộc kiểm toán đó phải bao gồm:

• Chứng nhận ISO 27001;

• kiểm tra thâm nhập (“pen testing”); và

• kiểm tra các quy trình phục hồi sau thảm họa và kế hoạch duy trì hoạt động kinh doanh.

• Kiểm toán Kiểm soát Tổ chức Dịch vụ (SOC) 1;

• Kiểm toán SOC 2; và

• Nhận dạng, đo lường và trình bày tài sản tiền điện tử theo quan điểm của người nắm giữ;

• Kiểm toán kiểm soát tài chính do một kiểm toán viên đã đăng ký với Hội đồng giám sát kế toán công ty đại chúng (PCAOB) thực hiện:

• Kiểm toán kỹ thuật:

• Bảo hiểm: Người lưu ký tiền điện tử phải có phạm vi bảo hiểm đầy đủ (bao gồm bảo hiểm "bảo hiểm chung") hoặc nếu không có, phải lập dự trữ đầy đủ hoặc kết hợp cả hai.

• Tiết lộ: Người lưu ký tiền điện tử phải cung cấp cho RIA hàng năm danh sách các rủi ro chính liên quan đến việc lưu ký tài sản tiền điện tử của họ, cũng như các quy trình giám sát bằng văn bản và kiểm soát nội bộ có liên quan để giảm thiểu những rủi ro đó. Người lưu ký tiền điện tử sẽ đánh giá tình hình này theo quý và xác định xem có cần cập nhật thông tin hay không.

• Địa điểm lưu ký: Người lưu ký tiền điện tử không được lưu ký tài sản tiền điện tử tại một địa điểm nếu luật pháp địa phương quy định rằng tài sản lưu ký đó sẽ trở thành một phần của tài sản phá sản trong trường hợp người lưu ký phá sản.

Ngoài ra, chúng tôi khuyến nghị người lưu ký tiền điện tử triển khai các biện pháp bảo vệ liên quan đến các quy trình sau ở mỗi giai đoạn:

• Giai đoạn chuẩn bị: Xem xét và đánh giá các tài sản tiền điện tử sẽ được lưu ký - bao gồm quy trình tạo khóa và quy trình ký giao dịch, liệu chúng có được hỗ trợ bởi ví mã nguồn mở hay phần mềm hay không và nguồn gốc của từng phần cứng và phần mềm được sử dụng trong quy trình quản lý khóa.

• Tạo khóa: Mã hóa phải được sử dụng ở mọi cấp độ của quy trình này và cần nhiều khóa mã hóa để tạo một hoặc nhiều khóa riêng. Quá trình tạo khóa phải theo cả "ngang" (tức là nhiều người giữ khóa mã hóa ở cùng một cấp) và "dọc" (tức là nhiều cấp mã hóa). Cuối cùng, các yêu cầu trọng tài cũng phải yêu cầu sự hiện diện vật lý của người xác thực, những người này phải được bảo vệ và giám sát để ngăn ngừa sự can thiệp.

• Lưu trữ khóa: Không bao giờ lưu trữ khóa ở dạng văn bản thuần túy, chỉ lưu trữ ở dạng được mã hóa. Các chìa khóa phải được phân tách vật lý theo vị trí địa lý hoặc theo từng cá nhân có quyền truy cập khác nhau. Nếu sử dụng mô-đun bảo mật phần cứng (hoặc tương tự) để lưu giữ bản sao khóa, thì mô-đun đó phải tuân thủ xếp hạng bảo mật theo Tiêu chuẩn xử lý thông tin liên bang (“FIPS”) của Hoa Kỳ. Cần phải thực hiện các biện pháp tách biệt và cấp phép vật lý nghiêm ngặt để đảm bảo cách ly khe hở không khí. (Xem phản hồi đầy đủ của chúng tôi để biết các biện pháp mẫu). Người quản lý tiền điện tử phải duy trì ít nhất hai lớp mã hóa dự phòng để có thể duy trì hoạt động trong trường hợp xảy ra thiên tai, mất điện hoặc thiệt hại tài sản.

• Cách sử dụng chính: Ví phải yêu cầu xác thực danh tính; nói cách khác, họ phải xác minh rằng người dùng chính là người mà họ tuyên bố và chỉ những bên được ủy quyền mới có thể truy cập vào nội dung của ví. (Xem phản hồi đầy đủ của chúng tôi để biết mẫu biểu xác thực). Ví nên sử dụng các thư viện mã hóa nguồn mở tiên tiến. Một biện pháp tốt nhất khác là tránh sử dụng một khóa duy nhất cho nhiều mục đích. Ví dụ, mã hóa và ký phải sử dụng các khóa khác nhau. Điều này tuân theo “nguyên tắc đặc quyền tối thiểu” để ngăn chặn sự xâm nhập, nghĩa là quyền truy cập vào bất kỳ tài sản, thông tin hoặc hoạt động nào chỉ nên giới hạn cho các bên hoặc mã hoàn toàn cần thiết để hệ thống hoạt động.

Nguyên tắc 3: Các quy tắc lưu ký tiền điện tử phải cho phép RIA thực hiện các quyền kinh tế hoặc quản lý liên quan đến tài sản tiền điện tử mà họ lưu ký

Trừ khi khách hàng chỉ thị khác, RIA phải có thể thực hiện các quyền kinh tế hoặc quản lý liên quan đến tài sản tiền điện tử mà họ lưu ký. Theo chính quyền SEC trước đây, do sự không chắc chắn xung quanh việc phân loại mã thông báo, nhiều RIA đã áp dụng cách tiếp cận bảo thủ bằng cách nắm giữ toàn bộ tài sản tiền điện tử của họ với một bên giám sát đủ điều kiện (trừ khi không có bên giám sát đủ điều kiện nào). Như đã đề cập trước đó, thị trường người giám hộ để lựa chọn có hạn, điều này thường dẫn đến việc chỉ có một người giám hộ đủ tiêu chuẩn sẵn sàng hỗ trợ một tài sản cụ thể.

Trong những trường hợp này, RIA có thể yêu cầu được phép thực hiện các quyền kinh tế hoặc quyền quản lý, nhưng bên lưu ký tiền điện tử có thể chọn không cung cấp các quyền đó dựa trên nguồn lực nội bộ hoặc các yếu tố khác. Đổi lại, RIA không tin rằng họ có quyền lựa chọn bên giám hộ thứ ba khác hoặc tự giám hộ để thực hiện các quyền này. Ví dụ về các quyền kinh tế và quản lý này bao gồm đặt cược, canh tác năng suất hoặc bỏ phiếu.

Tuân theo các nguyên tắc này, chúng tôi tin rằng các RIA nên lựa chọn bên lưu ký tiền điện tử thứ ba tuân thủ các biện pháp bảo vệ có liên quan cho phép các RIA thực hiện các quyền kinh tế hoặc quyền quản lý liên quan đến tài sản tiền điện tử mà họ lưu ký. Nếu bên thứ ba không thể đáp ứng cả hai yêu cầu này, thì việc RIA tạm thời chuyển tài sản sang quyền tự lưu ký để thực hiện các quyền kinh tế hoặc quản trị không nên được coi là chuyển ra khỏi quyền lưu ký, ngay cả khi tài sản được triển khai cho bất kỳ giao thức không lưu ký hoặc hợp đồng thông minh nào.

Tất cả bên giám hộ thứ ba phải nỗ lực hết sức để cung cấp cho RIA khả năng thực hiện các quyền này trong khi tài sản vẫn thuộc về bên giám hộ và, sau khi được RIA cho phép, phải được phép thực hiện các hành động hợp lý về mặt thương mại có thể cần thiết để thực thi bất kỳ quyền nào liên quan đến tài sản trên chuỗi. Điều này bao gồm quyền ủy quyền rõ ràng bất kỳ tài sản tiền điện tử nào cho ví của RIA để thực hiện bất kỳ quyền nào liên quan đến tài sản đó.

Trước khi lấy bất kỳ tài sản tiền điện tử nào khỏi quyền lưu ký để thực hiện các quyền liên quan đến tài sản đó, RIA hoặc bên lưu ký, tùy từng trường hợp, trước tiên phải xác định một cách hợp lý bằng văn bản xem các quyền đó có thể được thực hiện mà không cần lấy tài sản đó khỏi quyền lưu ký hay không.

Nguyên tắc 4: Quy định về lưu ký tiền điện tử phải linh hoạt để thực hiện tốt nhất

RIA có nghĩa vụ thực hiện tốt nhất đối với các tài sản mà họ giao dịch. Để đạt được mục đích này, RIA có thể chuyển tài sản sang các nền tảng giao dịch tiền điện tử để đảm bảo thực hiện tốt nhất cho tài sản đó, bất kể trạng thái của tài sản hoặc bên lưu ký, với điều kiện RIA đã thực hiện các bước cần thiết để đảm bảo khả năng phục hồi và an ninh của địa điểm giao dịch hoặc, ngược lại, RIA đã chuyển tài sản tiền điện tử sang một thực thể được quản lý theo luật về cấu trúc thị trường tiền điện tử sau khi luật có liên quan được hoàn thiện.

Việc chuyển tài sản tiền điện tử đến một địa điểm giao dịch không được coi là rút quyền lưu ký nếu RIA xác định rằng việc chuyển tài sản tiền điện tử đến địa điểm đó là nên làm để có được hiệu quả thực hiện tốt nhất. Điều này đòi hỏi RIA phải xác định một cách hợp lý rằng địa điểm đó phù hợp để thực hiện tốt nhất. Nếu giao dịch không thể được thực hiện đúng cách tại địa điểm đó, tài sản phải được trả lại ngay cho bên lưu ký tiền điện tử để lưu ký.

Nguyên tắc 5: RIA nên được phép tự lưu giữ trong một số trường hợp nhất định

Mặc dù việc sử dụng bên lưu giữ thứ ba vẫn là lựa chọn chính đối với tài sản tiền điện tử, RIA nên được phép tự lưu giữ tài sản tiền điện tử trong các trường hợp sau:

• RIA xác định rằng không có bên lưu giữ thứ ba nào có thể lưu giữ tài sản tiền điện tử đáp ứng các biện pháp bảo vệ theo yêu cầu của RIA.

• Các thỏa thuận lưu ký riêng của RIA cung cấp ít nhất cùng mức độ bảo vệ cho tài sản tiền điện tử như một bên lưu ký thứ ba có sẵn hợp lý.

• Tự lưu ký là cần thiết để thực hiện tối ưu bất kỳ quyền kinh tế hoặc quyền quản lý nào liên quan đến tài sản tiền điện tử.

Khi một RIA quyết định tự lưu ký tài sản tiền điện tử vì một trong những lý do được liệt kê ở trên, RIA phải xác nhận hàng năm rằng các trường hợp biện minh cho việc tự lưu ký vẫn giữ nguyên, tiết lộ việc tự lưu ký cho khách hàng và áp dụng các yêu cầu kiểm toán của Quy tắc lưu ký đối với các tài sản tiền điện tử đó, trong đó kiểm toán viên có thể xác nhận rằng các tài sản được tách biệt khỏi các tài sản khác của RIA và được bảo vệ đầy đủ.

Phương pháp tiếp cận dựa trên nguyên tắc đối với việc lưu ký tiền điện tử đảm bảo rằng RIA có thể hoàn thành trách nhiệm ủy thác của mình đồng thời đáp ứng các đặc điểm riêng biệt của tài sản tiền điện tử. Bằng cách tập trung vào các biện pháp bảo vệ thực chất thay vì phân loại cứng nhắc, các nguyên tắc này cung cấp một con đường thực tế để bảo vệ tài sản của khách hàng và mở khóa chức năng của tài sản. Khi môi trường pháp lý phát triển, các tiêu chuẩn rõ ràng dựa trên các biện pháp bảo vệ này sẽ cho phép các RIA quản lý các khoản đầu tư tiền điện tử một cách có trách nhiệm.