GENIUS法案奠定基础,但安全手册由谁来写?

OpenZeppelin 发布于 2026-06-05 阅读 91

美国GENIUS法案为稳定币建立了联邦框架,但缺乏具体区块链安全标准,导致发行者面临合规挑战。文章分析了法案的原则性要求与执行之间的差距,指出稳定币发行者需从智能合约、区块链协议和操作层三个层面进行风险评估,并建议尽早构建安全基础设施。同时,欧盟的MiCA和DORA已实施可执行的安全要求。OpenZeppelin通过全栈风险评估帮助发行者应对监管,参与全球标准制定。

《GENIUS法案》的通过标志着一个转折点:美国现在有了一个管理支付型稳定币的联邦框架,同时也发出了一个明确信号——传统金融正在认真地向链上迁移。但如果你仔细阅读该法案,你会发现它有意在细节上轻描淡写,这给稳定币发行方带来了真正的挑战。

原则而非操作指南

《GENIUS法案》围绕储备管理、赎回权、安全性和运营韧性建立了高层次要求。规则制定权主要下放给相关监管机构:OCC、美联储、FDIC、NCUA 和各州监管机构。这些机构早期的拟议规则和指导方针也大致遵循了相同的模式,提供了基于原则的框架,规定了发行方必须达到的目标,却没有说明如何实现。

结果便是一个重大的悬而未决问题:对于基于区块链的稳定币基础设施来说,“安全性”和“运营韧性”究竟意味着什么?

稳定币发行方在分层堆栈(智能合约、底层区块链协议和运营基础设施)中运营,每一层都有不同的风险特征,这些特征并不能直接映射到银行监管机构为传统金融基础设施花了数十年时间打磨的控制框架上。像“维持足够的运营韧性”这样的原则只是一个起点,而不是链上金融的安全标准。

控制缺口就是合规缺口

现有指引中缺乏具体的区块链安全控制措施,这意味着发行方必须自己摸索,在申请许可证时面临重重挑战,或者在检查员上门时发现自己毫无准备。

与其等待一本规定明确的规则手册,更难的问题是:我们应该用什么标准来衡量自己?

弥合这一差距需要就区块链特定的安全控制在实践中是什么样的建立共识:识别风险、应用技术缓解措施、建立治理结构,以及开发覆盖整个区块链应用堆栈、解决安全严谨性的评估方法。这项工作不仅限于稳定币发行方,还包括托管、分销或结算稳定币的金融服务和技术机构,这些机构对监管机构承担着他们自身对第三方的和操作风险的责任

链上金融的安全标准必须从零开始建立,基于区块链系统如何运作、哪里可能失败以及如何使其具备韧性的现实情况。

等待最终规则的代价

一些发行方倾向于等到最终规则发布后再行动。但安全态势不会一夜之间改善,与传统安全计划的类比具有启发性。首次建立 SOC 2 或 ISO 27001 合规性的过程众所周知地困难:第一年花在建立流程、分配所有权和生成审计师期望的文档记录上。随着时间的推移,它会变得更容易,但这仅仅是因为有了组织的记忆。区块链安全计划也不例外。

现在就开始行动的发行方将在许可窗口打开之前度过那个艰难的第一阶段。而那些等待的人将面临监管机构,同时还在打基础。智能合约中的漏洞不会等到 OCC 最终确定其指引后才被利用。安全事件的市场和声誉后果是立竿见影的。

全球维度:欧盟已经就位

当美国在推进《GENIUS法案》实施时间表时,其他司法管辖区并没有等待。欧盟的 MiCA 法规今天已经对资产参考代币和电子货币代币施加了可执行的要求。DORA(数字运营韧性法案)广泛地对金融机构(包括那些运营基于区块链产品的机构)施加了运营韧性义务。预计将于 2027 年生效的欧盟《网络韧性法案》将进一步将横向网络安全期望扩展到包含数字元素的产品。

对于在欧洲市场运营或与欧洲机构交易对手合作的稳定币发行方来说,这些都是当前的义务。MiCA 自 2024 年 6 月起适用于稳定币发行方,DORA 自 2025 年 1 月起适用,并且监管期望仍在不断强化。

OpenZeppelin 如何评估稳定币安全风险

OpenZeppelin 的方法始于一个覆盖整个堆栈的结构化风险评估。我们评估为应对已识别风险而实施的控制措施,将其映射到我们的内部框架以及从《GENIUS法案》和相关规则制定中涌现的预期要求,覆盖美国和欧盟的监管背景。这一差距评估成为优先级建议的基础,帮助发行方在人员、流程和技术上改进安全态势,并根据区块链的现实情况进行校准。

这意味着在三个层面评估风险:

  1. 智能合约应用层: 访问控制模型是什么?如何管理升级?稳定币系统的逻辑引入了哪些攻击面?它与外部协议、预言机或桥接器如何交互?
  2. 区块链协议层: 底层链在对抗条件下如何表现?发行方的系统对最终性、排序或验证者行为做出了什么假设?
  3. 运营层: 特权密钥如何管理和保护?事件响应是什么样的?如何跟踪和评估第三方依赖项?

输出是一组以可审计方式展示安全态势的产物,与预期的监管要求和行业最佳实践保持一致。进行这项演练的发行方将在《GENIUS法案》开放申请时,在许可合规方面更具优势。同样的方法适用于各种监管框架,包括欧盟的 MiCA 和 DORA,以及香港金管局的《稳定币条例》制度。

行业在设定标准中的作用

当前法规中区块链特定安全控制的空白提供了一个机会,可以帮助界定什么是严格的安全,提出缓解真实区块链风险的技术控制措施,并在这些标准被信息不足的默认值填充之前将其纳入监管结构。

对于 OpenZeppelin 来说,这意味着与监管机构互动,为政策讨论带来技术深度,并与发行方合作实施超越最低要求的控制措施。OpenZeppelin 积极参与全球标准机构,包括 ISO、企业以太坊联盟和区块链安全标准委员会,以帮助建立一个全球市场在向链上迁移时所需的基础。

对于正在应对《GENIUS法案》合规性的稳定币发行方来说,这意味着在许可窗口打开之前,建立一份有文档记录的风险评估、映射好的控制措施以及准备好接受检查员审查的安全态势。

正在寻找安全合作伙伴?

咨询专家 →

常见问题解答

什么是《GENIUS法案》,它对稳定币安全有何要求?

《GENIUS法案》是美国第一部管理支付型稳定币的联邦框架。它围绕储备、赎回和运营韧性设定了高层次要求,但将详细的规则制定委托给了 OCC 等机构。发行方实际必须实施哪些区块链特定安全控制措施仍未明确。

稳定币发行方应为遵守《GENIUS法案》实施哪些区块链安全控制措施?

发行方应解决三个层面的风险:智能合约漏洞(访问控制、升级机制、逻辑错误)、区块链协议级风险(最终性假设、特定链行为)和运营风险(密钥管理、事件响应、第三方依赖)。

在最终规则发布前,稳定币发行方如何为《GENIUS法案》许可做准备?

通过现在进行技术风险评估。在许可之前识别差距、实施控制措施并记录安全态势的发行方将更有利于获得简化的合规流程。安全基础设施需要时间来建设,提前开始会带来显著优势。

欧盟目前有生效的稳定币安全要求吗?

是的。欧盟发行方需遵守 MiCA 和 DORA,这两者现在都施加了可执行的安全和运营韧性要求。OpenZeppelin 与欧盟发行方合作,根据这两个框架评估其态势,因此这对任何在欧洲市场运营或进入欧洲市场的发行方都是相关的。

  • 原文链接: openzeppelin.com/news/th...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论