GENIUS法案奠定基础,但谁将编写安全手册?

OpenZeppelin 发布于 2026-06-05 阅读 174

美国GENIUS法案为稳定币建立了联邦监管框架,但缺乏具体的区块链安全标准。文章分析了法案的原则性要求与执行之间的差距,指出发行商需主动构建涵盖智能合约、区块链协议和运营层的安全控制。当前美国规则尚不明确,而欧盟MiCA和DORA已生效。OpenZeppelin建议发行商尽早进行风险评估和合规准备,以应对即将到来的许可申请和监管审查。

GENIUS 法案的通过标志着一个转折点:美国现在拥有了一个联邦层面的支付型稳定币监管框架,同时也发出了一个明确的信号——传统金融正在认真地向链上迁移。但如果你仔细阅读该法案,会发现它有意在具体细节上着墨不多,这给稳定币发行者带来了真正的挑战。

只有原则,没有行动手册

GENIUS 法案围绕储备管理、赎回权、安全性和运营韧性建立了高层次要求。规则制定权主要交由相关监管机构:OCC、美联储、FDIC、NCUA 和各州监管机构。这些机构早期发布的拟议规则和指南也大多遵循相同模式,提供基于原则的框架,规定发行者必须实现什么,而不规定如何实现。

这导致了一个重大的悬而未决的问题:对于基于区块链的稳定币基础设施来说,“安全性”和“运营韧性”实际上意味着什么?

稳定币发行者在多层堆栈(智能合约、底层区块链协议和运营基础设施)上运营,每个层级都有不同的风险特征,这些特征无法直接映射到银行监管机构几十年来为传统金融基础设施精心打磨的控制框架上。像“保持充分的运营韧性”这样的原则是一个起点,但并非链上金融的安全标准。

控制缺口即合规缺口

现有指南中缺乏具体的区块链安全控制,这意味着发行者要么必须自己摸索,要么在申请许可证时困难重重,要么在监管机构检查时措手不及。

与其等待一份指令性的规则手册,更棘手的问题是:我们应该以什么标准来衡量自己?

弥合这一缺口需要就区块链特定的安全控制在实践中的具体表现达成共识:识别风险、应用技术缓解措施、建立治理结构,并开发能够解决整个区块链应用堆栈安全严谨性的评估方法。这项工作不仅涉及稳定币发行者,还包括托管、分发或结算稳定币的金融服务和技术机构,这些机构对监管机构负有自身的第三方和运营风险义务(链上金融安全专题)。

链上金融的安全标准必须从头开始构建,基于对区块链系统如何运作、可能在何处失败以及如何构建其韧性的现实认知。

等待最终规则的代价

一些发行者倾向于等待最终规则公布后再行动。但安全态势不会一夜之间改善,与传统安全项目的类比很有启发性。首次建立 SOC 2 或 ISO 27001 合规性是出了名的痛苦:第一年都在构建流程、分配责任和生成审计师期望的文档记录。随着时间的推移,它会变得容易,但这只是因为机构形成了这种经验习惯。区块链安全项目也不例外。

现在就开始行动的发行者将在许可窗口开放之前度过那个艰难的第一阶段。而那些等待的人,在面对监管机构时,仍处于打基础的阶段。智能合约的漏洞不会等到 OCC 最终确定其指南才被利用。安全事故的市场和声誉后果是立竿见影的。

全球视角:欧盟已经先行一步

在美国推进 GENIUS 法案实施时间表的同时,其他司法管辖区并未等待。欧盟的 MiCA 法规现已对资产参考代币和电子货币代币设定了可执行的要求。DORA(数字运营韧性法案)广泛地对金融机构施加运营韧性义务,包括那些运营基于区块链产品的机构。欧盟的《网络韧性法案》预计于 2027 年生效,将进一步将对网络安全的横向期望扩展到包含数字元素的产品。

对于在欧洲市场运营或有欧洲机构交易对手的稳定币发行者来说,这些是当前的义务。MiCA 自 2024 年 6 月起已适用于稳定币发行者,DORA 自 2025 年 1 月起适用,监管期望仍在不断强化。

OpenZeppelin 如何评估稳定币安全风险

OpenZeppelin 的方法始于一个覆盖完整堆栈的结构化风险评估。我们评估为应对已识别风险而实施的控制措施,将其映射到我们的内部框架以及 GENIUS 法案和相关规则制定中预期出现的要求,涵盖美国和欧盟的监管背景。该差距评估成为确定优先建议的基础,指导发行者如何在其人员、流程和技术方面(根据区块链的实际情况进行校准)改进安全态势。

这意味着在三个层面评估风险:

  1. 智能合约应用层: 访问控制模型是什么?升级如何管理?稳定币系统的逻辑引入了哪些攻击面?它如何与外部协议、预言机或跨链桥交互?
  2. 区块链协议层: 底层链在对抗条件下的表现如何?发行者的系统对最终性、排序或验证者行为做了哪些假设?
  3. 运营层: 特权密钥如何管理和保护?应急响应是什么样的?第三方依赖关系如何跟踪和评估?

输出是一组可审计地展示安全态势的工件,与预期的监管要求和行业最佳实践保持一致。进行这项工作的发行者将在 GENIUS 法案开放申请时,更有利于实现顺畅的许可合规。相同的方法适用于各种监管框架,包括欧盟的 MiCA 和 DORA 以及香港金管局的《稳定币条例》制度。

行业在制定标准中的作用

现行法规中区块链特定安全控制的缺口提供了一个机会,可以共同定义严谨的安全是什么样的,揭示能够缓解真实区块链风险的技术控制措施,并在这些标准被信息不足的默认做法填补之前,将其纳入监管架构。

对 OpenZeppelin 而言,这意味着与监管机构互动,将技术深度带入政策讨论,并与发行者合作实施超出最低要求的控制措施。OpenZeppelin 积极参与包括 ISO、企业以太坊联盟和区块链安全标准委员会在内的全球标准组织,帮助建立一个全球市场在向链上迁移时所需的基础。

对于正在应对 GENIUS 法案合规的稳定币发行者来说,这意味着在许可窗口开放之前,完成有文档记录的风险评估、映射控制措施,并准备好接受监管机构审查的安全态势。

寻找安全合作伙伴?

与专家交流 →

常见问题

什么是 GENIUS 法案?它对稳定币安全有什么要求?

GENIUS 法案是美国首个联邦层面的支付型稳定币监管框架。它围绕储备、赎回和运营韧性设定了高层次要求,但将详细的规则制定权力下放给了 OCC 等机构。发行者实际上必须实施哪些区块链特定的安全控制措施仍未定义。

稳定币发行者应实施哪些区块链安全控制措施以符合 GENIUS 法案?

发行者应应对三个层面的风险:智能合约漏洞(访问控制、升级机制、逻辑错误)、区块链协议级风险(最终性假设、链特定行为)和运营风险(密钥管理、应急响应、第三方依赖关系)。

在最终规则公布之前,稳定币发行者如何为 GENIUS 法案许可做准备?

立即进行技术风险评估。在许可前识别差距、实施控制措施并记录安全态势的发行者将更有可能实现顺畅的合规。安全基础设施需要时间构建,早期行动会带来显著优势。

欧盟目前是否有生效的稳定币安全要求?

是的。欧盟发行者受 MiCA 和 DORA 约束,这两项法规目前都规定了可执行的安全和运营韧性要求。OpenZeppelin 与欧盟发行者合作,评估他们针对这两个框架的态势,这对于在任何欧洲市场运营或进入该市场的发行者都具有相关性。

  • 原文链接: openzeppelin.com/news/th...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论