受监管金融领域的区块链网络风险:六大网络的技术风险评估

OpenZeppelin 发布于 2026-05-05 阅读 150

OpenZeppelin发布了针对六大区块链网络(以太坊、Solana、BNB Smart Chain、XRP Ledger、Tron、Canton)的技术风险评估报告。

金融机构不再问是否要部署到链上,而是问:选择哪个网络、有哪些保障、出问题时会发生什么——监管机构也要求他们给出答案。

2025年12月,摩根大通在以太坊上推出了首个代币化货币市场基金,初始资本为其自有资金1亿美元。到2025年中,市值排名前10的代币化货币市场基金全部使用OpenZeppelin合约构建。BCG和Ripple估计到2033年代币化资产市场将达到18.9万亿美元。2026年4月,Jamie Dimon的股东信将区块链、稳定币和代币化列为摩根大通核心业务的直接竞争威胁。

全球监管机构已明确表示,区块链基础设施与其他关键依赖项一样需要承担相同的运营风险预期。例如,欧盟的《数字运营韧性法案》同样适用于MiFID II下的传统金融活动和MiCA下的加密资产活动。这要求受监管机构将以原则为基础的审慎要求转化为针对区块链技术特点的具体、可评估的风险和控制措施,包括:运营韧性、结算保证、治理责任、第三方集中度风险。

监管机构提出的第一个关键问题,正是大多数机构准备最不充分的问题:在将客户资产放到该网络之前,底层网络是如何评估的?

当前区块链网络选择中的缺口

区块链网络选择的典型方法往往是非正式的。团队评估吞吐量基准、流动性、开发者生态系统规模以及竞争对手选择了哪些网络。这些是有用的参考,但不等同于风险评估。同一个指标在不同网络中的含义不同,而一个经得起推敲的答案需要结构化的框架,而不是一张基准表。

以最终性为例。有些网络提供确定性最终性,即已确认的交易通过协议设计不可逆转。其他网络提供经济最终性,即理论上有逆转可能,但攻击者必须销毁已知数量的质押抵押品。第三类提供概率最终性,即置信度随时间增长,但协议从未正式宣布交易最终性。这些是不同的设计选择,各自有不同的运营和法律含义。

向监管机构说明结算最终性的机构,需要了解其构建网络所基于的最终性模型,如果该模型受到挑战会发生什么,以及如何准备采取相应行动。

OpenZeppelin的技术风险评估

OpenZeppelin发布了针对六大区块链网络的技术风险评估以太坊、Solana、BNB Smart Chain、XRP Ledger、Tron和Canton

技术风险评估是OpenZeppelin用于评估区块链系统风险的方法。OpenZeppelin的技术风险评估方法也可应用于协议、数字资产以及其他关键基础设施组件(如桥和预言机)。本次网络评估覆盖了六个主要网络,相同的方法也适用于其他网络和链上基础设施层。

该方法论基于公开文档、链上数据、事件记录和治理实践。它是可重现的、基于证据的,并且与网络无关。它不对网络进行排名,也不推荐任何一个。 它揭示了那些通常在基准测试中看不到、但在监管提交中又不可避免的结构性权衡。

在我们的工作中,六个关键风险维度始终浮现:

维度 监管机构提出的问题
成熟度与运营记录 该网络在压力下表现如何?
最终性 网络提供了什么保证,以及依靠什么支撑?
技术韧性与集中度 单点故障在哪里(客户端、地理位置、托管)?
治理与权威 谁可以更改规则、更改速度有多快、需要怎样的共识?
持续性与可持续性 网络能否在其主要赞助者失败的情况下继续运行?
网络活动与采用 使用量能否支撑机构级部署?

区块链网络技术风险评估揭示的内容

评估的六个网络在设计意图上存在根本差异。有些是通用可编程平台,有些则专门为机构金融工作流而设计,默认具备隐私保护。有些优先考虑最大程度去中心化,其他则通过较小的验证者集优先考虑吞吐量。如果不了解背景,直接看这些发现,可能会把设计选择视为缺陷,或者反过来。

  • 运营记录差异可达一个数量级。 被评估的网络从超过十年的生产历史到刚满一年不等。六个网络中有五个至少发生过一次交易处理中断。恢复机制也各不相同:有些网络通过协议逻辑自行恢复,有些则需要协调补丁和验证者共同行动。中断时长、原因和恢复模型对业务连续性规划各有不同的影响。
  • 地理和基础设施集中度跨度很大,从广泛分布到超过90%集中在三个司法管辖区不等。 评估范围内的至少一个网络曾发生过主要托管商阻止验证者访问的事件,导致大量验证者集在一次事件中离线。仅凭验证者数量无法捕捉这一维度的风险。
  • 各评估网络中,创世时的内部代币分配比例从约17%到超过90%不等。 在权益加权网络中,这转化为治理权威。通过代币收购单方面影响共识所需的最低资本,根据网络不同,从数十亿到数百亿美元不等。
  • 所评估的网络中,没有一个在生产环境中实现了抗量子密码学。 路线图的可见性各异:有的已开展积极研究并公布时间表,而有的则没有任何公开记录的计划。将实时金融基础设施迁移到后量子密码学需要以年为单位的时间准备。
  • 客户端多样性差异很大。 有些网络在整个验证者集上运行单一代码库;其他则运行多个独立实现。当单一代码库占主导时,一个关键漏洞会同时影响所有验证者,没有实现多样性来遏制损害。

没有一个网络在所有维度上表现出统一的优势。每个网络都呈现出独特的设计选择和权衡组合。技术风险评估的目的不是排名,而是让这些权衡变得清晰可见。

什么是经得起推敲的网络选择

监管和牌照申请不是简单的问答式交流。机构必须提交全面的申请,说明为何所选基础设施适合其业务性质,以及如何履行监管义务。一份扎实的申请,配合第三方专家的独立报告,有助于加快审批和审查速度。

一份经得起监管标准考验的提交材料不能仅靠基准表或几个关键指标。在评估区块链网络时,需要按照监管机构期望的粒度——正常运行时间和影响、事件记录、验证者分布、地理分布、客户端多样性、罚没经济学、治理节奏、审计历史、后量子姿态以及每个网络设计产生的特定集中度向量——针对每个网络,根据与监管要求对应的维度(成熟度、最终性、技术集中度、治理、连续性和采用)进行审查。

OpenZeppelin的技术风险评估从大约25个因素出发,归入上述六个维度,对区块链网络进行审查。其输出不是评分卡,而是一个有记录的决策基础,机构可以将其纳入自己的申请材料,旨在经受各司法管辖区的审查。


获取完整的区块链网络技术风险评估报告。

提交你的详细信息以获取完整报告。

名字*

姓氏*

公司邮箱*

公司名称*

  • 我同意接收来自OpenZeppelin的市场营销通讯。

请查看我们的隐私政策


常见问题解答

  1. 什么是区块链网络的技术风险评估?

技术风险评估是对区块链网络运营、治理和安全特性的结构化评估。例如,它考察网络在压力下的表现、对交易最终性提供何种保证、单点故障在哪里,以及治理如何分布。OpenZeppelin的技术风险评估采用一致的方法,可应用于网络、协议、代币及其他数字资产。

  1. OpenZeppelin用于评估区块链网络风险的六个维度是什么?

OpenZeppelin的区块链网络技术风险评估涵盖六个关键维度:成熟度与运营记录、最终性、技术韧性与集中度、治理与权威、持续性与机构可持续性、网络活动与采用。这些维度评估了适用法规中要求的运营韧性、结算保证、第三方集中度风险和治理责任原则。

  1. 确定性最终性、经济最终性和概率最终性之间有什么区别?

确定性最终性意味着已确认的交易通过协议设计不可逆转。经济最终性意味着理论上有逆转可能,但攻击者必须销毁已知数量的质押抵押品。概率最终性意味着不可逆性的置信度随着每个新区块而增加,但协议从未正式宣布交易为最终。每种模型对结算保证有不同的影响。

  1. 为什么金融监管机构询问区块链网络选择?

监管机构将区块链基础设施视为与其他技术一样的关键依赖项,需满足相同的运营风险预期。监管机构期望对网络选择进行彻底的尽职调查,包括记录在案的评价,内容涉及网络运营历史和事件响应记录、对其最终性模型和结算影响的评估、治理集中度的说明以及连续性风险。这种尽职调查还可以通过与其他网络的比较来加强。OpenZeppelin的技术风险评估旨在帮助金融机构满足合规要求。

  1. 金融机构如何获取完整的区块链网络技术风险评估报告?

完整的区块链网络技术风险评估报告可应要求提供。通过本页面的表格提交你的详细信息后,你将立即收到报告,同时一份副本将发送到你的收件箱,以便将来参考。该报告支持机构进行网络选择、编写尽职调查文档以及链上部署的监管提交。

  • 原文链接: openzeppelin.com/news/te...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论