Self-custody for security tokens: what you control and what you don’t

安全代币的自我保管:你控制什么,你不控制什么

By AI News Crypto Editorial Team阅读 10 分钟

安全代币的自我保管意味着投资者控制持有代币化证券的钱包的私钥,但转移权限通常与嵌入代币轨道中的身份和合规控制共享。安全代币可以存放在自我保管钱包中,但仍然可能是不可转让的、可恢复的或受到中介授权的,因为证券规则和“代码合规”功能在原始密钥控制之上。

关键要点

  • 自我保管对于安全代币是一个三层控制堆栈:私钥、与身份相关的转移权限,以及当中介持有头寸时对“占有/控制”的监管期望。
  • 如果代币是一个许可代币,在允许转移之前会检查资格或白名单,那么它可以在自我保管钱包中,但仍然无法转移。
  • SEC工作人员对规则15c3-3(b)(1)的看法将单方面客户转移能力视为问题,当经纪交易商应该保持“实物占有”加密资产证券时。
  • 一些安全代币框架在身份验证后支持恢复,这改变了通常的加密假设,即密钥丢失总是永久的。

安全代币自我保管的不同之处

三个独立的“控制”可以位于同一个钱包地址之上,安全代币往往使用这三者。第一层是密钥控制:任何能够从地址签名的人都可以尝试转移。第二层是转移权限:代币合约可以拒绝执行该签名转移,除非发送者和接收者满足身份或资格规则。第三层是对谁被允许在受监管中介持有客户头寸时拥有有效转移能力的监管解释。

这个堆栈就是为什么保管代币化资产与在硬件钱包中持有BTC不是同一个问题。对于许多代币化证券,代币合约本身是为了强制执行传统市场管道通常在链下处理的限制。这是“代码合规”理念的纯粹形式:资产的转移功能成为合规检查点。

操作后果简单但不明显:“在我的钱包中”并不等于“我可以将其发送到任何地方。”安全代币可以存在于您控制的地址上,如果接收者未被批准、发行人施加了限制,或者代币的身份注册未识别目的地,链仍会拒绝转移。

这也重新框定了经典的保管问题。对于普通加密货币,关键问题是“谁拥有密钥”。对于安全代币的自我保管,更高价值的问题是“谁可以使这个代币在密钥、身份门和任何发行人或中介控制之间移动(或不移动)”。

密钥、钱包和安全权衡

密钥管理仍然重要,因为区块链最终将私钥视为授权交易的凭证。Fireblocks的保管概述对核心机制直言不讳:保管实际上是保护加密密钥,如果密钥丢失或被盗,资产可能无法恢复。

钱包的“温度”是大多数持有者实际感受到的第一个控制旋钮。热钱包将密钥保持在线并优先考虑速度,因签名环境始终连接而暴露更多风险。冷钱包将密钥保持离线并优先考虑安全,但由于人类必须将签名设备引入循环而减慢执行速度。温暖钱包介于两者之间,保持密钥在线,同时需要人类批准以进行签名。安全代币往往将持有者拖向温暖风格的工作流,因为公司行为、合规驱动的转移和批准可能比原始速度更重要。

共享控制设置增加了另一个维度。多重签名需要多个密钥来授权交易,这可以减少单点妥协,但带来了操作上的僵化。Fireblocks指出,多重签名可能不灵活,因为更改签名者阈值可能需要新的钱包和新地址,资产支持各不相同。MPC(多方计算)以不同的方式解决同样的问题,通过将密钥分割成在设备或环境之间的份额。Fireblocks的描述突出了桌面操作的优势:签名者和阈值配置可以在不更改钱包地址的情况下更新。

对于安全代币来说,“同一地址,不同控制集”的特性并非表面现象。如果代币的合规轨道白名单地址,改变地址可能意味着重新入驻、重新批准,或者在新地址被识别之前转移失败。

转移的合规性和身份约束

身份检查并不是许多安全代币的附加功能。Tokeny的框架是,发行人需要识别钱包所有者并确认拥有证券的资格,而基于区块链的身份可以解决这一合规要求。在该模型中,钱包并不是身份。身份是一个单独的链上或链接凭证,代币的转移逻辑可以参考。

一个常见的实施模式是许可代币设计,其中智能合约强制执行转移规则。持有者签署交易,但合约仅在发送者和接收者满足代币的合规政策时执行。Tokeny使用ONCHAINID(在此呈现为onchainid)作为标准化身份/KYC验证步骤的示例,用于验证恢复请求的来源并将新钱包链接到投资者的身份。

如果将“自我保管”视为绝对主权,这里就是一个误称。投资者可以控制密钥,但仍然无法转移到未经批准的地址。发行人也可以保留一些对加密原住民来说看起来陌生的权力,例如冻结或行政移动。一些代币标准和发行人设置还支持强制转移能力,在定义条件下,授权方可以移动代币。

用户面临的后果是,转移变成了两部分授权:加密授权(签名)和合规授权(代币的规则)。这就是安全代币自我保管感觉像是有护栏的保管,而不是没有中介的保管的核心原因。

当经纪交易商保管进入画面时

规则15c3-3(b)(1)是将“合格保管人vs自我保管”转变为真正冲突的约束,当经纪交易商持有该头寸时。该规则要求经纪交易商迅速获得并随后保持其为客户持有的全额支付和超额保证金证券的实物占有或控制。SEC的2025年交易和市场工作人员声明(日期为2025年12月17日)将其观点应用于作为证券的加密资产,并明确将代币化的股权或债务证券版本包含在“加密资产证券”中。

自我保管的关键点在于SEC工作人员如何框定私钥访问。SEC的2020年委员会声明表示,如果未经授权的人知道或可以访问私钥并且可以在没有经纪交易商授权的情况下转移,则数字资产证券不符合规则15c3-3的占有/控制。2025年交易和市场工作人员声明通过描述旨在确保没有其他人,包括客户,可以在没有经纪交易商授权的情况下转移资产的私钥保护控制,收紧了操作期望。

这就是屏幕级的现实:如果经纪交易商应该是“占有”方,则客户单方面转移能力被视为保管失败,而不是特性。这也是“合格保管人”一词出现在对话中的地方,尽管SEC在这里的材料专注于经纪交易商和规则15c3-3(b)(1),而不是针对每个市场参与者的普遍保管制度。

两个警告事项很重要。首先,2020年和2025年SEC工作人员的材料都强调它们没有法律效力或效果,并且不改变或修订适用法律。其次,2025年工作人员声明明确限于第(b)(1)段,并未涉及其他经纪交易商的义务。将这些声明视为监管机构和中介如何看待密钥控制和转移权限的地图。

恢复、干扰和实际风险

恢复是最清晰地区分许多安全代币设计与典型加密假设的特征。Tokeny认为,由于发行人对投资者负有法律责任,数字身份可以在身份验证后将安全代币恢复到新钱包。他们描述的流程在操作上是直接的:投资者声明丢失,发行人或代理使用onchainid风格的KYC验证身份,然后发行人触发恢复功能将代币移动到新钱包。这是有后备的自我保管,它改变了备份和丢失场景的建模方式。

关键风险并不会消失,而是改变形状。Fireblocks的警告在密钥层面仍然成立:丢失密钥,资产可能无法恢复。Tokeny的模型引入了第二个依赖:特定代币的发行人和智能合约是否实际支持恢复,以及在什么法律和操作条件下。简报明确指出,市场范围内的发行人触发的恢复的普遍性是不确定的。

SEC的保管声明还迫使人们关注大多数钱包指南忽略的风险,因为它们不是“种子短语”问题。SEC的2020年声明强调盗窃和欺诈、私钥丢失、转移到意外地址,以及与传统证券基础设施相比,撤销错误或未经授权的交易的能力有限。2025年交易和市场工作人员声明进一步呼吁制定干扰计划,以预见区块链故障、51%攻击、硬分叉和空投,以及遵守合法命令以扣押、冻结、销毁或防止转移的安排。

对于自我保管持有者来说,关键在于不是记住每种场景。关键在于认识到安全代币继承了加密的最终性和证券义务,而这些在干扰期间会发生冲突。

选择自我保管或托管

一旦控制堆栈明确,决策很少是意识形态的。自我保管意味着持有者签署交易,但代币的合规轨道和中介的义务仍然可以决定转移是否被允许。托管设置可以减少操作负担,但它将关键风险和政策风险集中在托管方。

一个有用的尽职调查顺序是按照系统实际失败的顺序提问:

1. 映射转移权限。识别代币是否为许可代币,存在哪些资格检查,以及发行者的管理功能是否包括冻结、强制转移或恢复。 2. 澄清身份绑定。确认使用了什么身份系统,是否需要onchainid风格的验证,以及当钱包被替换时会发生什么。 3. 确定持有模型。如果经纪交易商持有该头寸,则将自我保管期望与规则15c3-3(b)(1)的占有逻辑和SEC工作人员的观点进行调和,即客户在没有经纪交易商授权的情况下不应能够转移。 4. 选择与工作流程匹配的钱包控制。决定热存储、温存储或冷存储是否适合预期活动,以及多重签名或MPC是否在不破坏基于地址的白名单的情况下可操作。 5. 压力测试中断处理。询问在分叉、空投或网络事件期间会发生什么,以及如果服务提供商失败,停业或转移计划是什么。

这也是“合格托管人 vs 自我保管”成为具体比较而非口号的地方。真正的问题是,当出现问题时,哪个方被期望展示控制、连续性和合规性。这是合规设计代币化的核心。

总结

我看到聪明的人将自我保管视为一种二元徽章,然后在代币表现得像一个有门槛的工具而不是持有资产时感到措手不及。昂贵的误解是认为私钥就是全部故事。对于安全代币,转移规则可以存在于合同中,身份层可以决定谁有资格,发行者可以保留恢复或强制转移等权力。

另一个陷阱出现在涉及经纪交易商时。SEC在2020年的声明和2025年12月17日的交易与市场工作人员声明都在规则15c3-3(b)(1)上指向同一个方向:如果客户可以在没有经纪交易商授权的情况下移动资产,那就被视为占有问题。这就是为什么在接受安全代币进入个人钱包之前,唯一值得问的问题是:“谁可以使这个代币移动,条件是什么?”

来源

常见问题

我可以在自己的钱包中自我保管证券代币吗?

是的,证券代币可以保存在自我保管钱包中,投资者控制私钥。代币是否可以从该钱包转移取决于代币的合规规则,例如身份和资格检查,以及代币设计中嵌入的任何发行人或中介控制。

为什么证券代币可以在我的钱包中但不可转让?

许多证券代币被构建为权限代币,在转移逻辑中强制执行合规检查。即使有有效的签名,合约也可以阻止转移到不符合资格或未获批准的地址。

保管代币化资产与持有常规加密货币有什么区别?

常规加密货币的保管主要涉及谁控制私钥和转移的最终性。保管代币化资产通常增加身份绑定、资格限制,有时还包括发行人启用的恢复或管理操作,因为该资产是受监管的证券。

经纪商的持有和控制如何影响自我保管?

规则15c3-3(b)(1)要求经纪商保持其为客户持有的全额支付和超额保证金证券的实物持有或控制。SEC工作人员的声明描述了旨在确保没有其他人,包括客户,可以在经纪商将自己视为“持有”时未经经纪商授权转移加密资产证券的私钥保护。

如果我丢失私钥,是否可以恢复证券代币?

一些证券代币框架支持与数字身份相关的恢复工作流程,其中发行人或代理验证身份(例如使用onchainid风格的KYC)并触发恢复功能,将代币移动到新钱包。这在所有证券代币中并不保证,恢复取决于发行人的智能合约特性和政策。