你的供应商采购流程并非为区块链而生

当一家金融机构引入新服务商时，采购流程已十分成熟：注册地核查、背景调查、财务健康评估、IT 安全审查以及符合 ISO 27001 或 SOC 2 等公认安全框架。这些是经过数十年发展出来的合理管控措施，用以管理传统服务商关系中最重要的风险。但传统金融正在迁移到链上，而现有框架并非为这类服务商环境而设计。

区块链服务商带来了标准采购流程未涉及的两类不同风险。第一类是服务商智能合约风险：托管解决方案、代币化平台和稳定币发行方均需要对智能合约安全和运营管控进行区块链特定的尽职调查，而标准框架并未对此做出规定。

第二类是基础设施风险：服务商所依托的区块链网络、桥接和预言机通常没有法律上的对手方、没有合同追索权，也没有单一所有者对安全负责。

SOC 2 和标准采购协议是不够的。一个服务商可以满足传统合规框架的每一项要求，但仍可能运行着从未经过独立审计的智能合约，并且每次代码变更都会引入新的漏洞。结果便是一个结构性缺口：机构对服务商组织进行了全面的尽职调查，却完全依赖该服务商对实际承载客户资本的智能合约层的判断。

服务商格局并非千篇一律

金融机构在链上工作流中最常接触的服务商各自具有独特的风险特征：

• 托管解决方案提供数字资产和私钥的安全存储与管理。其安全态势既涉及智能合约风险，也包括链下运营管控，如密钥管理实践、签名基础设施和访问控制。
• 代币化平台允许机构将其资产证券化并引入链上。访问控制、价格预言机操纵和升级机制是严重性较高的攻击向量，需要独立的安全审查。
• 稳定币发行方铸造并流通链上数字货币。未经授权的铸币、储备证明操纵和地址白名单添加是最重要的攻击面之一，可能损害锚定完整性、暴露储备短缺，并引发基于其上的机构和平台的级联风险。

底层技术栈

除了直接的服务商关系外，机构还会承担其服务商所依赖的区块链基础设施带来的风险，而这些基础设施通常没有正式的对手方可以追责：

• 一层网络和二层网络构成基础基础设施层。在许多情况下，没有正式的法律对手方能够承担合同义务或分配风险。此处的尽职调查需要评估网络的共识机制、验证者集合、治理流程和升级历史。
• 预言机和数据馈送将链外价格和参考数据引入链上，代表了集中的依赖关系，曾导致重大损失。其安全态势涉及智能合约风险和链下运营风险。
• 桥接和跨链基础设施是任何链上工作流中风险最高的组件之一。桥接漏洞在区块链历史上造成了一些最大规模的损失。任何跨链路由资金的机构都在承担桥接风险，无论是否明确承认。
• DeFi 协议随着机构探索收益生成应用或流动性基础设施而日益相关。治理结构差异很大，安全标准高度不统一。

智能合约供应链

链上金融基础设施中一个常被低估的方面是：在机构与其客户之间存在多少智能合约。在代币化资产工作流中，客户资本可能流经管理发行、转账限制、托管、结算和跨链桥接的合约，每个合约都嵌入在不同服务商的解决方案中，各有其安全态势，并代表独立的故障点。

机构需要将其视为一个供应链：服务商解决方案中与客户资本交互的每个智能合约是否经过审计？审计时间、审计方、审计方法是什么？审计范围是否实际覆盖了已部署的代码？

第三方风险如果被递延，就等于保留了机构自身风险。允许服务商为其基础设施中嵌入的智能合约设定自己的安全标准，是一种没有问责制的风险递延，而受监管的机构在接受监管机构检查时很可能不会接受这种做法。

资本流动链条中的每一环都是一个独特的攻击向量。每家机构都有责任对每个智能合约设置防护标准，并制定关于什么可接受、什么不可接受的标准。

激励问题

区块链服务商市场的激励结构使这一问题更加严峻。构建稳健的安全程序需要大量时间、投资和组织成熟度。许多区块链服务商处于早期阶段，由风险投资支持，安全通常是公司在扩张过程中最后全面发展的职能之一。如果没有合同要求或独立标准规定最低安全态势，市场上就没有一致的基线，也没有可靠的机制让机构评估特定服务商的实际水平。

这不是假设性的。近几年主要的数字资产损失主要是由智能合约漏洞、密钥管理失败和运营安全缺口造成的，而标准采购框架并非旨在发现这些问题。金融机构本能地向服务商索取安全保证，但标准采购框架并非为测试这些特定风险而设计，服务商的自我声明也无法替代独立评估。

链上对手方尽职调查应该是什么样子

除了现有的财务、法律和 IT 管控之外，与区块链服务商打交道的机构应就其相关链上基础设施的完整风险特征提出一系列独特的问题。OpenZeppelin 的技术风险评估框架将这些分为五个领域：

一个无法在这些领域提供明确答案的服务商，尚未将机构级风险管理付诸实践。 这对任何机构的风险评估都是一个有意义的信号。

内部构建框架

将尽职调查向这个方向扩展，要求机构建立关于区块链安全风险的内部素养，或引入同时精通区块链和机构框架的顾问。风险和合规团队不需要成为安全工程师，但他们确实需要足够的熟练度来评估服务商的回应、识别缺口并恰当上报。

这也是一个治理问题。机构内部谁拥有第三方关系的智能合约风险：IT、法务，还是专门的数字资产风险职能？在大多数机构中，这一责任目前分散在各个团队之间，而评估这些风险所需的熟练度并不总是与责任落脚点相匹配。建立清晰的职责归属是构建连贯程序的前提。

OpenZeppelin 如何提供帮助

OpenZeppelin 已对各类区块链服务商和基础设施进行了超过 1000 次安全评估，涵盖托管解决方案、开发工作室、一层和二层网络、桥接、预言机、DeFi 协议和代币化平台。这一深厚的经验是我们技术风险评估的基础，该评估提供结构化方法，用于在合约安全、密钥管理、监控、治理和事件响应准备方面评估链上对手方。对于关注区块链服务商运营和链下表面的机构，我们的区块链运营安全评估评估标准采购框架遗漏的管控措施：密钥托管实践、多签配置、签名基础设施、部署流水线和特权操作监控。

随着银行和金融服务领域对区块链的采用不断增长，区块链服务商的采购流程必须随之演进。否则，每一次安全事件或合规失败都会使后续客户更难进入机构领域。现在建立正确服务商风险框架的公司，将在链上机构采用持续增长时更好地保障客户资本。

寻找安全合作伙伴？

与专家交谈 →

常见问题

为什么标准服务商尽职调查对于区块链服务商是不够的？

标准合规框架本质上是基于原则和高层次的。它们没有规定智能合约安全测试、链上代码的审计节奏，或区块链基础设施特有的运营管控。一个服务商可以完全满足标准框架的要求，但仍可能在智能合约层存在未经检查的重大风险。

什么是智能合约风险，为什么它对金融机构很重要？

智能合约风险是指管理机构交易的链上代码包含漏洞、监控不足或在未进行适当安全审查的情况下升级的风险。它之所以重要，是因为客户资本直接流经这些合约，而漏洞利用造成的损失通常是不可逆的。

区块链风险如何因服务商和基础设施而异？

服务商风险和基础设施风险是截然不同的类别，需要不同的尽职调查方法。托管解决方案、审计公司和开发工作室等服务商可以通过传统的对手方框架进行评估，并补充关于智能合约安全和运营管控的区块链特定问题。基础设施选择（例如选择哪个区块链网络、桥接或预言机）则具有完全不同的风险特征，通常没有法律对手方、没有合同追索权，也没有单一所有者对安全负责。对这两类应用统一的清单，大多数情况下会遗漏最重要的风险。

欧盟机构面临哪些相关监管框架？

受 DORA 和 MiFID II（针对代币化证券）约束的机构面临延伸到技术基础设施的特定第三方风险管理义务。MiCA 为数字资产发行方增加了关于系统和基础设施安全的要求。这两个框架目前都没有提供智能合约特定的指导，但都明确要求管理整个运营栈中的技术风险。

金融机构如何评估区块链服务商的智能合约安全？

通过要求提供完整的合约清单、审计历史和审计方法、升级和部署程序以及监控实践。OpenZeppelin 的技术风险评估框架和区块链运营安全评估为评估链上和运营层面提供了结构化方法，并根据被评估服务商的具体类型进行了校准。

• 原文链接： openzeppelin.com/news/bl...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～