慢雾：香港稳定币发行商智能合约实施指南

slowmist
发布于 2025-05-27 10:55
阅读 61

该文章是SlowMist安全团队发布的关于香港稳定币发行商智能合约实施指南。该指南旨在帮助发行商理解和部署符合香港金融管理局监管要求的智能合约框架，涵盖底层分布式账本的选择、核心代币标准和监管功能扩展、合规模型、访问控制系统、发行和赎回机制、紧急控制、地址过滤和黑名单机制、智能合约升级以及链上事件日志等方面，为香港稳定币生态系统的稳健发展提供技术支持。

![](https://img.learnblockchain.cn/2025/07/23/1ksDHbdT_KGmKfCljRJHjAw.jpeg)
在稳定币法案正式通过后，香港金融管理局（HKMA）于 2025 年 5 月 26 日发布了 **《持牌稳定币发行人监管指引草案》**。该指引详细阐述了持牌稳定币发行人必须持续遵守的监管要求和运营标准，旨在确保本地稳定币生态系统的稳定、安全和监管一致性。
近几个月来，慢雾安全团队收到了越来越多机构关于智能合约合规实施的咨询。为了帮助发行人更好地理解和部署合规的智能合约框架，我们准备了 **《香港稳定币发行人智能合约实施指南》**。本文档提供了清晰的技术路线图和实践建议，以支持香港稳定币生态系统的健康发展。

## 第一部分：基础架构与合规策略
本节旨在建立稳定币系统的高层架构基础，所有架构决策完全由香港金融管理局（HKMA）框架中概述的核心要求驱动。此处做出的选择将影响整个实施路径，确保从一开始就将合规性深入嵌入到技术堆栈中。

### 1. 底层分布式账本的选择
**监管指令**
持牌人必须评估其使用的底层分布式账本技术（DLT）的稳健性。该评估应涵盖安全基础设施、抵御常见攻击（如 51% 攻击）的弹性、交易最终性保证以及共识算法的可靠性。¹

**慢雾技术解读**
这不仅仅是技术偏好问题，而是一项核心合规义务。基础区块链的选择必须经过正式的尽职调查，整个评估过程必须记录在案，以便在监管审查期间提供充分的理由。这种选择有效地为整个稳定币系统的安全性和稳定性定下了基调。

香港金管局对账本稳健性的强调本质上是对发行人的警告，告诫他们不要采用未经证实的、过度中心化的或安全性存在问题的**新兴**区块链。举证责任完全在于发行人。如果所选账本缺乏对其安全属性的广泛验证，则发行人必须设计和实施额外的补偿性控制措施。

**实施指南**
  * **优先考虑成熟的公共区块链**
建议优先考虑成熟、高安全性的公共区块链，例如以太坊或 Arbitrum。这些网络由于其经过验证的弹性、广泛的验证者生态系统以及持续的公众监督而具有内在优势。它们的高攻击成本（经济安全性）直接解决了围绕 51% 攻击抵抗和交易最终性的监管担忧。
  * **严格评估替代方案**
如果考虑联盟链或其他类型的 DLT，则必须进行严格且可量化的比较分析——例如慢雾的安全审计——以证明其安全标准不低于甚至优于主流公链。
  * **风险评估文档**
评估报告必须全面解决系统抵御常见攻击的能力、所采用的共识机制类型以及与代码缺陷、漏洞、利用和其他威胁相关的风险²。它应进一步分析这些风险如何影响稳定币的发行、赎回和日常运营。该文档将作为关键依据，向监管机构证明所做技术选择的审慎性。

### 2. 核心代币标准和监管功能扩展
**监管指令**
监管文件没有强制要求使用特定的代币标准（例如 ERC-20）。但是，它们明确要求实施一组核心管理功能，包括铸造、销毁、升级、暂停、恢复、冻结、拉黑和白名单³。

**慢雾技术解读**
实际上，香港金管局已经定义了一个“监管增强型”代币标准，该标准远远超出了 ERC-20。该标准不仅需要基本的代币转账功能，而且还强调运营安全、精细的访问控制和风险可追溯性。为了满足合规义务并最大限度地提高安全性，最有效和最稳健的开发路径是采用经过广泛审计和社区验证的标准库（例如 OpenZeppelin）作为基础，并使用所需的功能对其进行扩展。

**实施指南**
**基础标准**
使用 ERC-20 作为基础代币标准，以确保在更广泛的生态系统中的同质性和互操作性。
**功能扩展**
必须集成以下功能模块以满足监管要求：
  * **Pausable（可暂停）**
启用所有代币活动的全局暂停和恢复。这是应对重大安全事件的关键工具。
  * **Mintable（可铸造）**
允许持牌发行人通过严格控制的流程铸造新代币，确保流通供应始终得到法币储备的充分支持。
  * **Burnable（可销毁）**
提供销毁代币的能力。在实践中，必须通过严格的访问控制来限制此功能，而不是允许任意用户销毁代币。
  * **Freezable（可冻结）**
启用特定帐户的冻结以防止代币转账，尤其是在涉及可疑交易的情况下。
  * **Whitelist（白名单）**
通过仅允许经过批准的地址（即经过尽职调查的地址）参与关键操作（例如，接收新铸造的代币）来增加额外的安全层⁴。
  * **Blacklist（黑名单）**
阻止参与非法活动（例如，洗钱、欺诈）的地址发送或接收代币。黑名单机制应与 AML/CFT 监控系统集成，以实现实时检测和执行。
  * **AccessControl（访问控制）**
作为精细的、基于角色的权限管理系统的基础。所有管理功能都必须通过此模块进行门控，以确保职责的适当分离⁵。

### **3. 主要合规模型：黑名单与白名单方法**
**监管指导**
关于持续监控，AML/CFT 咨询文件概述了若干措施，包括“将识别为受制裁或与非法活动相关的钱包地址列入黑名单”，或采取更严格的方法，例如“将稳定币持有人的所有钱包地址列入白名单或实施闭环模型”⁶。
**慢雾技术解读**
这是整个系统中最关键的架构决策之一，直接决定了稳定币的开放性、可用性和运营复杂性。
**黑名单模型：**
一种“默认开放”模型。默认情况下允许所有地址进行交易，除非明确识别并添加到链上黑名单中的地址。
**白名单模型：**
一种“默认关闭”模型。除非某个地址经过发行人的尽职调查并已明确批准并添加到链上白名单中，否则任何地址都不能持有或接收代币。
虽然白名单模型提供了强大的 AML 控制，但对于旨在广泛使用的稳定币，严格的白名单制度会将流通限制为仅预先批准的参与者——有效地将系统转变为封闭的银行账本，而不是灵活的数字货币。
因此，黑名单模型（监管文本中也明确提到）与强大的链下分析工具相结合，提供了一个更平衡的解决方案。它满足了监管期望，同时保留了资产的效用。
从设计的角度来看，可以构建该系统以支持升级或同时实施这两种模型，以便在法规收紧或业务模型发生变化时平稳过渡到白名单制度。
**实施指南**
**黑名单模型（默认推荐方法）**
  * **优点：**
提供更大的可用性以及与更广泛的去中心化金融 (DeFi) 生态系统的无缝互操作性，降低了准入门槛并增强了用户体验。
  * **缺点：**
合规性在很大程度上依赖于强大、实时的链下监控和分析来检测和响应非法活动。
  * **实施：**
在智能合约的 `transfer` 函数中添加逻辑检查，以确保发送者 (`from`) 和接收者 (`to`) 都没有列入黑名单。

**白名单模型**
  * **优点：**
提供最高级别的 AML/CFT 控制，从而实现主动预防而不是被动补救。
  * **缺点：**
严重限制了稳定币的通用性和采用。管理白名单会带来巨大的运营开销，可能会使其不适合作为广泛接受的交换媒介。
  * **实施：**
在 `transfer` 函数中添加逻辑检查，以确保发送者 (`from`) 和接收者 (`to`) 都存在于白名单中。建议开发一个专用的基于 Web 的管理门户来促进白名单管理。

## 第二部分：智能合约实施
本节提供了实施核心智能合约功能的详细蓝图，将复杂的监管要求转化为具体的代码级逻辑、安全模式和运营协议。
### 1. 设计精细的访问控制系统
**监管指导**
高风险操作的设计必须“防止任何一方单方面执行这些操作（例如，通过多重签名协议）”⁷。应明确划分不同操作的角色和职责。
**慢雾技术解读**
这意味着必须采用稳健的、基于角色的访问控制系统 (RBAC)。任何依赖于单个“所有者”或“管理员”私钥的设置都不合规。
**实施指南**
必须建立一组明确定义的角色并分配给不同的实体或人员，每个角色都由多重签名钱包管理。这实现了**职责分离**，并最大限度地减少了与单点故障或勾结相关的风险⁸。每个角色应该严格限定于特定功能。所有特权操作都必须通过多重签名批准授权，并且任何人都不得控制多个高风险角色。所有操作必须记录在案，接受年度第三方审计，并由管理员或理事会监督。
  * **MINTER_ROLE（铸币者角色）**
负责铸造稳定币，包括在收到有效的发行请求时创建代币单位。铸造必须与储备资产支持的比例增加精确一致。
  * **BURNER_ROLE（销毁者角色）**
处理稳定币的销毁，包括在处理有效的赎回请求后销毁代币单位。
  * **PAUSER_ROLE（暂停者角色）**
有权在响应异常情况（例如，安全威胁）时暂停系统，暂时中止转移、铸造或赎回。
  * **RESUME_ROLE（恢复者角色）**
有权在事件解决后恢复操作，重新启用暂停的功能，例如转移、铸造或赎回。
  * **FREEZER_ROLE（冻结者角色）**
管理特定钱包或代币的冻结和解冻——通常在检测到可疑活动（例如，潜在的洗钱）时使用。
  * **WHITELISTER_ROLE（白名单管理者角色）**
管理白名单，包括添加和删除批准的钱包地址。例如，可以将铸造限制为白名单地址。
  * **BLACKLISTER_ROLE（黑名单管理者角色）**
管理黑名单，包括将可疑钱包列blacklist或从blacklist中删除，以防止它们转移代币。
  * **UPGRADER_ROLE（升级者角色）**
如果使用可升级的合约模型，则此角色负责部署智能合约升级，例如修复漏洞或添加功能。

**表 1：基于角色的访问控制矩阵（RBAC 矩阵）**
下表为开发人员和审计员提供了清晰直观的规范，将每个特权操作映射到其所需的角色和控制类型。
![](https://img.learnblockchain.cn/2025/07/23/18C0vuhDygEERxXCJlXsVNQ.png)

### **2. 发行（铸造）机制**
**监管指令**
发行必须“谨慎而稳健”。铸造必须“与相关储备资产池的比例增加相对应”。发行人只有在收到资金和有效的发行请求后，才能向其客户发行代币⁹。
**慢雾技术解读**
智能合约本身无法也不需要强制执行“全额储备”要求。相反，它充当受控账本，其中铸造权限是关键控制点。全额储备合规性是一个链下运营流程，可以通过审计进行验证。 监管机构将铸造活动与两个链下事件联系起来：“有效的发行请求”和“收到资金”。 因此，链上铸造功能必须设计为只能由受信任的实体（即发行人本身）调用，该实体可以验证这些链下条件是否已满足。
**实施指南**
**预检查：**
在执行铸造之前，该功能必须验证目标地址 _to_ 是否在黑名单中或被冻结。
**运营流程：**
  * **链下尽职调查：**
客户完成所有必要的链下 KYC（了解你的客户）和 CDD（客户尽职调查）程序¹⁰。 此外，AML/CFT 法规要求对建立业务关系或进行超过一定门槛（例如，8,000 港元）的偶发交易的客户执行 CDD¹¹。
  * **资金接收：**
客户将等值的法币资金转移到发行人指定的银行账户。
  * **内部验证：**
发行人的内部系统确认收到资金，并相应地更新储备资产的会计记录。
  * **链上执行：**
运营团队创建并签署多重签名交易以调用智能合约的铸造功能，并将新铸造的稳定币发送到客户预先注册和验证的钱包地址。

### **3. 赎回（销毁）机制**
**监管指令**
持牌实体必须“在收到有效的赎回请求后，尽快并在一个工作日内”处理这些请求¹²。 储备资产的提取必须“与指定稳定币的未偿本金金额的比例减少相对应”¹³。
**慢雾技术解读**
赎回是一个涉及链上和链下交互的两步过程。 考虑到法币转移失败的风险，代币销毁操作必须仅在确认法币结算后发生，而不是之前。 这可以保护发行人免于因最终失败的赎回而过早销毁代币。
如果发行人先销毁代币但银行转账失败，则会导致没有相应资产的负债。 相反，如果发行人先用法币付款但无法销毁相应的代币，则会遭受损失。
因此，在赎回期间，用户必须首先将代币转账到由发行人控制的指定地址。 然后，发行人仅在完成法币付款后才执行销毁。 这种模式允许用户“锁定”他们的代币以进行赎回，而发行人仅在履行法币付款义务后才销毁代币，从而为双方提供了更安全的操作流程。
**实施指南**
**赎回准备：**
用户必须首先将要赎回的代币转账到由发行人控制的指定地址。
**运营流程：**
  * **链下请求：**
用户通过发行人的平台提交链下赎回请求。 在处理之前，发行人必须进行适当的客户尽职调查 (CDD)。
  * **系统验证：**
发行人的系统验证请求的有效性，并检查用户是否已完成相应的链上代币转账。
  * **法币付款：**
发行人将等值的法币资金转移到用户预先注册和验证的银行账户。
  * **链上销毁：**
在确认法币转账成功后，持有 BURNER_ROLE 的多重签名钱包调用销毁函数以从指定地址销毁相应数量的代币。

### **4. 紧急控制：暂停和冻结**
**监管指令**
合约必须支持暂停、恢复、blacklist、从blacklist中删除、冻结和解冻操作。 这些是事件管理框架的关键组成部分¹⁴。
**慢雾技术解读**
监管机构将“暂停”和“冻结”列为单独的项目，表明期望具有灵活的、分层的事件响应能力。
  * **暂停**是针对重大危机的措施（例如，合约利用）。
  * **冻结**是用于处理特定法律或合规性问题的精确工具（例如，针对个人帐户的法院命令）。

它们在功能上是不同的，必须单独实施：
  * **暂停：**
一个全局“紧急停止开关”，可立即停止所有核心合约功能，包括转移、铸造和销毁。
  * **冻结：**
一种帐户级别的限制，可防止特定地址发送或接收代币，而不会影响网络上的其他地址。

**实施指南**
  * **暂停功能：**
只能由持有 PAUSER_ROLE 的多重签名钱包调用以全局暂停合约功能。 触发条件包括检测到的异常情况（例如，网络攻击或储备资产错配），并且需要董事会或高级管理层的批准。 恢复功能由单独的 RESUME_ROLE 处理，以确保职责的分离。
  * **冻结功能：**
可由持有 FREEZER_ROLE 的多重签名钱包调用以限制特定地址的转移。 触发条件包括可疑活动（例如，AML 警报或法院命令），需要在执行前进行链下验证。 解冻由同一角色管理，但需要额外的审计验证和公开声明以防止滥用。

### **5. 地址过滤和黑名单机制**
**监管指令**
持牌实体应实施诸如“将识别为受制裁或与非法活动相关的钱包地址列入黑名单”¹⁵的措施。 这是持续监控的核心控制方法。 发行人应使用区块链分析工具来识别与非法或可疑活动相关的交易¹⁶。
**慢雾技术解读**
这必须在链上强制执行。 仅在链下发出的警告是不够的； 必须在协议级别阻止交易。 blacklist要求迫使发行人采用实时区块链分析工具/服务（例如，MistTrack、Chainalysis、Elliptic）。 合规团队使用这些工具生成结论，这些结论安全地转换为多重签名交易以更新链上 blacklist。
**实施指南**
  * **功能实施：**
实施用于在 blacklist添加或从blacklist中删除地址的功能，只能由持有 BLACKLISTER_ROLE 的多重签名钱包调用。
  * **转移限制：**
禁止 blacklist上的地址发送或接收代币。
  * **运营流程：**
分析工具触发警报，提示内部合规审查。 确认后，BLACKLISTER_ROLE 多重签名钱包启动 blacklist添加交易。

### **6. 智能合约可升级性**
**监管指令**
所有与稳定币相关的智能合约架构都可以采用“可升级性”¹⁷。 每个合约“升级”都必须经过审计¹⁸。
**慢雾技术解读**
可升级性设计是技术灵活性和风险管理监管框架中的核心要求。 它允许发行人在不中断现有合约状态的情况下更新逻辑，从而解决错误修复、功能扩展或法规变更。
但是，这带来了高风险：升级可能会被滥用，导致意外的合约行为更改或引入新的漏洞。 因此，升级必须被视为高风险操作，旨在防止单方（例如，通过多重签名协议）单方面执行，并与基于角色的访问控制 (RBAC) 系统集成。
监管机构对审计的强调意味着升级不仅仅是代码替换，而是嵌入严格变更管理流程的受控事件。 新的逻辑合约必须在部署之前经过第三方验证，以确保没有漏洞或安全缺陷。
**实施指南**
  * **代理模式：**
对于基于 EVM 的智能合约，可以使用成熟的 ERC-1967 代理模式来实现可升级性。
  * **访问控制：**
升级功能只能由持有 UPGRADER_ROLE 的多重签名钱包调用。
  * **变更管理流程：**
在提议任何升级之前，必须完成严格的变更管理流程，包括对新逻辑合约进行全面、独立的第三方安全审计。

**7. 用于分析和报告的链上事件日志**
**监管指令**
持牌实体必须建立稳健的“信息和会计系统”，以“及时、准确地记录所有业务活动，包括链上和链下信息”，并“保留适当的审计跟踪”¹⁹。
**慢雾技术解读**
智能合约是所有链上活动的主要真实来源。 它们必须为每个重要的状态更改发出详细的事件，以使链下系统能够记录、监控和生成报告。 这些事件在区块链上创建了一个不可变且永久的日志，作为所有链下监控、会计和报告系统的主要数据源，为审计提供了坚实的基础。
**实施指南**
除了Transfer 和 Approval 等 ERC-20 标准事件之外，合约还必须为所有管理操作和状态更改定义和发出自定义事件，包括：
  * Token Minted / Burned 事件（代币铸造/销毁 事件）
  * Contract Paused / Resumed 事件（合约暂停/恢复 事件）
  * Blacklist Added / Removed 事件（黑名单添加/删除 事件）
  * Whitelist Added / Removed 事件（白名单添加/删除 事件）
  * Address Frozen / Unfrozen 事件（地址冻结/解冻 事件）
  * Role Granted / Revoked 事件（角色授予/撤销 事件）
  * Contract Upgraded 事件（合约升级 事件）

## **第三部分：运营安全和生命周期管理**
本节详细介绍了围绕智能合约的关键运营安全程序。 这些程序与代码本身同等重要，并且对于全面的安全性和合规性是必要的。
### 1. 安全密钥管理架构
**监管指令**
这是监管文件中规定的最详细和最严格的领域之一。 持牌实体必须对私钥的整个生命周期（包括生成、存储、使用、备份和销毁）施加强大的控制²⁰。 “重要的种子和/或私钥”（例如，用于升级、角色管理、大规模铸造的私钥）必须遵循更高的安全标准，包括在“气隙环境”²¹ 中进行离线生成，并在硬件安全模块 (HSM)²² 中进行存储。
**慢雾技术解读**
香港金融管理局本质上要求将“传统金融级”安全姿势应用于加密原生操作。 实施这种级别的密钥管理会产生巨大的成本和复杂性，并将构成任何持牌发行人运营的核心。 这种安全模型远远超过了典型的 DeFi 项目标准。 监管文件提供了用于密钥管理的详细清单，明确提到了 HSM、气隙环境、密钥仪式和多重签名。 这有效地强制执行了一种深度防御的密钥管理架构：存储在硬件钱包中的帐户充当多重签名钱包的签名者，而多重签名钱包本身在智能合约上拥有管理角色。 对于最高安全角色，这些硬件钱包必须在指定的、物理上安全的气隙环境中进行管理。 整个结构构建了一个针对密钥泄漏的多层防御系统。
**实施指南**
  * **密钥生成：**
必须通过记录在案的“密钥仪式”²³完成，该仪式在物理上安全、完全气隙的环境中进行，该环境与任何外部网络隔离。
  * **密钥存储：**
所有管理角色必须由多重签名钱包控制。 用于这些多重签名钱包的签名者的私钥必须存储在 HSM 或其他安全的硬件钱包中。 对于最关键的角色，相应的密钥必须保存在与任何在线环境物理隔离的气隙系统中。
  * **密钥使用：**
必须严格执行多重签名策略。 对于涉及“重要私钥”的交易，相关人员可能需要亲自到场才能执行操作²⁴。
  * **备份和恢复：**
密钥碎片或助记词的备份必须使用防篡改包装²⁵存储在香港（或其他监管机构批准的地点）内的多个安全、地理位置分散的地点。

### 2. 全面的部署过程和运行时监控
**监管指令**
持牌实体必须聘请“合格的第三方实体来审计智能合约”，至少每年一次，并在每次部署、重新部署或升级时进行审计。 审计必须确保合约已正确实施、按预期运行并且不存在漏洞或安全缺陷，达到“高度可信赖的水平”²⁶。 持牌人应实施措施来监控助记词和/或私钥的使用（例如，IP 检查、行为监控、关键活动警报、设备筛选、链上监控、访问控制监控）²⁷。 他们还应采取适当步骤来监控威胁情报，以检测新兴威胁，并分析此类情报以进行及时缓解²⁸。
**慢雾技术解读**
部署过程和运行时监控直接扩展了监管技术风险管理框架，强调从源头上预防漏洞以及持续监控运营风险。 部署前审计将智能合约视为关键基础设施，需要多层验证（例如，单元测试、独立审计、代码冻结）以确保无缺陷代码——反映了监管机构对“高度可信赖”标准的追求，以避免因错误或漏洞利用而导致的发行、赎回或运营中断。 运行时监控侧重于实时威胁检测，结合私钥使用监控（例如，行为分析）和威胁情报分析，形成闭环响应机制。 这满足了事件管理框架的要求并确保了动态风险响应。 从技术上讲，这需要集成链上和链下工具，形成可追踪的审计跟踪，以将被动防御转变为主动合规。
**实施指南**
在正式部署之前，必须创建并遵循严格的“部署前清单”：
  * **全面测试：**
确保单元测试覆盖率高于 95%，核心代码覆盖率 100%，并生成单元测试覆盖率报告。
  * **独立审计：**
至少由一家（最好是两家）信誉良好的审计公司完成独立的安全性审计。
  * **代码冻结：**
在审计后冻结代码，直到启动，禁止进一步更改。
  * **回归测试：**
在部署之前执行单元测试和回归测试。
  * **合规审批：**
从内部合规团队获得正式签字，确认合约逻辑符合所有相关的监管要求。
  * **部署演练：**
准备详细的部署脚本并在与主网相同的测试网环境中进行完整的部署演练。
  * **授权部署：**
最终部署必须由授权钱包执行。

部署后，应建立适当的监控，以及时缓解特权角色使用情况和新兴威胁：
  * **链上活动监控：**
监控管理角色的使用情况（例如，使用慢雾的 MistEye 安全监控系统添加关键角色活动跟踪），及时检测未经授权的活动。
  * **威胁情报监控：**
及时检测新兴威胁（例如，通过 MistEye 的威胁情报订阅）并分析威胁情报以进行及时缓解。

### 3. 为业务连续性和退出计划提供技术支持
**监管指令**
持牌实体必须制定“业务退出计划，以实现其持牌稳定币运营的有序关闭”²⁹。 该计划必须包括清算储备资产并将收益分配给持有人的程序。
**慢雾技术解读**
这意味着智能合约必须从设计之初就考虑其自身的“退休”过程，并结合状态和机制来实现有序关闭。 退出要求意味着合约生命周期不会在部署时结束，而必须具有明确定义的协议级别的“寿命终止”协议。 对于许多习惯于构建“永久”合约的开发人员来说，这个概念是新颖的，它促进了一种“为终止而设计”的思维模式。 有序关闭需要一份干净、最终且无可争议的记录，以明确关闭时的所有权。 在混乱、持续的交易中关闭会破坏此目标。 因此，能够冻结合约状态的功能是此监管要求的直接技术体现。 因此，链上状态成为清算人的最终、可审计的真实来源。
**实施指南**
  * **制定业务退出计划：**
该计划应涵盖可能导致有序终止的情况，并包括对实际或潜在发生的监测措施。
  * **链上退出流程：**
智能合约应暂停，以停止所有代币转账，从而最大限度地实现储备资产，并最大限度地减少对市场稳定性的影响。
利用赎回和白名单功能，协助稳定币持有者提交赎回请求。
## **第四部分：附录 — 监管要求对照表**
此表将智能合约系统的每个技术特性直接映射到规定它的特定监管文本：
![](https://img.learnblockchain.cn/2025/07/23/1EbALNsfaMqPpYtTeGqPrdA.png)
![](https://img.learnblockchain.cn/2025/07/23/1Vd5rsyaV_FhEyX03S4XOng.png)
### 相关材料
[1]香港金融管理局。(2025年5月26日)。**关于受监管稳定币活动的拟议反洗钱/打击资助恐怖主义要求的咨询文件**。<https://www.hkma.gov.hk/media/eng/regulatory-resources/consultations/20250526_Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf>
[2]香港金融管理局。(2025年5月)。**持牌稳定币发行人监管指引草案**。<https://www.hkma.gov.hk/media/eng/regulatory-resources/consultations/20250526_Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf>
### 正文中的引用
[1]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5
[2]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5
[3]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3
[4]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3
[5]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.4
[6]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 13, 3.6.2
[7]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3
[8]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.4
[9]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 10, 3.1.1
[10]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 12, 3.4.1
[11]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 9, 3.2.1
[12]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 11, 3.2.3
[13]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 11, 3.2.5
[14]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 38, 6.8.2
[15]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 13, 3.6.2
[16]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 11, 3.4.2
[17]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.2
[18]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5
[19]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 51, 8.1.1
[20]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 22, 6.5.8
[21]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 23, 6.5.8(ii)
[22]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 23, 6.5.8(iv)
[23]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 22, 6.5.8(ii)
[24]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 24, 6.5.8(vii)
[25]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 25, 6.5.8(x)
[26]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5
[27]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 24 6.5.8(ix)
[28]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 34 6.5.20(ii)
[29]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 42, 6.8.16
[30]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 42, 6.8.16
## 关于 SlowMist
SlowMist 是一家成立于 2018 年 1 月的区块链安全公司。该公司由一支拥有超过十年网络安全经验的团队创立，旨在成为全球力量。我们的目标是使区块链生态系统对每个人来说都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾参与过各种知名项目，如 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等。
SlowMist 提供多种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他与安全相关的服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，如 Akamai、BitDefender、RC²、天际伙伴、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被国际组织和政府机构引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。
通过提供为单个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布几个高风险的区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

>- 原文链接： [medium.com/@slowmist/slo...](https://medium.com/@slowmist/slowmist-smart-contract-implementation-guidelines-for-stablecoin-issuers-in-hong-kong-0274842fc8a9)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

在稳定币法案正式通过后，香港金融管理局（HKMA）于 2025 年 5 月 26 日发布了 《持牌稳定币发行人监管指引草案》。该指引详细阐述了持牌稳定币发行人必须持续遵守的监管要求和运营标准，旨在确保本地稳定币生态系统的稳定、安全和监管一致性。近几个月来，慢雾安全团队收到了越来越多机构关于智能合约合规实施的咨询。为了帮助发行人更好地理解和部署合规的智能合约框架，我们准备了 《香港稳定币发行人智能合约实施指南》。本文档提供了清晰的技术路线图和实践建议，以支持香港稳定币生态系统的健康发展。

第一部分：基础架构与合规策略

本节旨在建立稳定币系统的高层架构基础，所有架构决策完全由香港金融管理局（HKMA）框架中概述的核心要求驱动。此处做出的选择将影响整个实施路径，确保从一开始就将合规性深入嵌入到技术堆栈中。

1. 底层分布式账本的选择

监管指令 持牌人必须评估其使用的底层分布式账本技术（DLT）的稳健性。该评估应涵盖安全基础设施、抵御常见攻击（如 51% 攻击）的弹性、交易最终性保证以及共识算法的可靠性。¹

慢雾技术解读 这不仅仅是技术偏好问题，而是一项核心合规义务。基础区块链的选择必须经过正式的尽职调查，整个评估过程必须记录在案，以便在监管审查期间提供充分的理由。这种选择有效地为整个稳定币系统的安全性和稳定性定下了基调。

香港金管局对账本稳健性的强调本质上是对发行人的警告，告诫他们不要采用未经证实的、过度中心化的或安全性存在问题的新兴区块链。举证责任完全在于发行人。如果所选账本缺乏对其安全属性的广泛验证，则发行人必须设计和实施额外的补偿性控制措施。

实施指南

优先考虑成熟的公共区块链 建议优先考虑成熟、高安全性的公共区块链，例如以太坊或 Arbitrum。这些网络由于其经过验证的弹性、广泛的验证者生态系统以及持续的公众监督而具有内在优势。它们的高攻击成本（经济安全性）直接解决了围绕 51% 攻击抵抗和交易最终性的监管担忧。
严格评估替代方案 如果考虑联盟链或其他类型的 DLT，则必须进行严格且可量化的比较分析——例如慢雾的安全审计——以证明其安全标准不低于甚至优于主流公链。
风险评估文档 评估报告必须全面解决系统抵御常见攻击的能力、所采用的共识机制类型以及与代码缺陷、漏洞、利用和其他威胁相关的风险²。它应进一步分析这些风险如何影响稳定币的发行、赎回和日常运营。该文档将作为关键依据，向监管机构证明所做技术选择的审慎性。

2. 核心代币标准和监管功能扩展

监管指令 监管文件没有强制要求使用特定的代币标准（例如 ERC-20）。但是，它们明确要求实施一组核心管理功能，包括铸造、销毁、升级、暂停、恢复、冻结、拉黑和白名单³。

慢雾技术解读 实际上，香港金管局已经定义了一个“监管增强型”代币标准，该标准远远超出了 ERC-20。该标准不仅需要基本的代币转账功能，而且还强调运营安全、精细的访问控制和风险可追溯性。为了满足合规义务并最大限度地提高安全性，最有效和最稳健的开发路径是采用经过广泛审计和社区验证的标准库（例如 OpenZeppelin）作为基础，并使用所需的功能对其进行扩展。

实施指南 基础标准 使用 ERC-20 作为基础代币标准，以确保在更广泛的生态系统中的同质性和互操作性。 功能扩展 必须集成以下功能模块以满足监管要求：

Pausable（可暂停） 启用所有代币活动的全局暂停和恢复。这是应对重大安全事件的关键工具。
Mintable（可铸造） 允许持牌发行人通过严格控制的流程铸造新代币，确保流通供应始终得到法币储备的充分支持。
Burnable（可销毁） 提供销毁代币的能力。在实践中，必须通过严格的访问控制来限制此功能，而不是允许任意用户销毁代币。
Freezable（可冻结） 启用特定帐户的冻结以防止代币转账，尤其是在涉及可疑交易的情况下。
Whitelist（白名单） 通过仅允许经过批准的地址（即经过尽职调查的地址）参与关键操作（例如，接收新铸造的代币）来增加额外的安全层⁴。
Blacklist（黑名单） 阻止参与非法活动（例如，洗钱、欺诈）的地址发送或接收代币。黑名单机制应与 AML/CFT 监控系统集成，以实现实时检测和执行。
AccessControl（访问控制） 作为精细的、基于角色的权限管理系统的基础。所有管理功能都必须通过此模块进行门控，以确保职责的适当分离⁵。

3. 主要合规模型：黑名单与白名单方法

监管指导 关于持续监控，AML/CFT 咨询文件概述了若干措施，包括“将识别为受制裁或与非法活动相关的钱包地址列入黑名单”，或采取更严格的方法，例如“将稳定币持有人的所有钱包地址列入白名单或实施闭环模型”⁶。 慢雾技术解读 这是整个系统中最关键的架构决策之一，直接决定了稳定币的开放性、可用性和运营复杂性。 黑名单模型： 一种“默认开放”模型。默认情况下允许所有地址进行交易，除非明确识别并添加到链上黑名单中的地址。 白名单模型： 一种“默认关闭”模型。除非某个地址经过发行人的尽职调查并已明确批准并添加到链上白名单中，否则任何地址都不能持有或接收代币。虽然白名单模型提供了强大的 AML 控制，但对于旨在广泛使用的稳定币，严格的白名单制度会将流通限制为仅预先批准的参与者——有效地将系统转变为封闭的银行账本，而不是灵活的数字货币。因此，黑名单模型（监管文本中也明确提到）与强大的链下分析工具相结合，提供了一个更平衡的解决方案。它满足了监管期望，同时保留了资产的效用。从设计的角度来看，可以构建该系统以支持升级或同时实施这两种模型，以便在法规收紧或业务模型发生变化时平稳过渡到白名单制度。 实施指南 黑名单模型（默认推荐方法）

优点： 提供更大的可用性以及与更广泛的去中心化金融 (DeFi) 生态系统的无缝互操作性，降低了准入门槛并增强了用户体验。
缺点： 合规性在很大程度上依赖于强大、实时的链下监控和分析来检测和响应非法活动。
实施： 在智能合约的 transfer 函数中添加逻辑检查，以确保发送者 (from) 和接收者 (to) 都没有列入黑名单。

白名单模型

优点： 提供最高级别的 AML/CFT 控制，从而实现主动预防而不是被动补救。
缺点： 严重限制了稳定币的通用性和采用。管理白名单会带来巨大的运营开销，可能会使其不适合作为广泛接受的交换媒介。
实施： 在 transfer 函数中添加逻辑检查，以确保发送者 (from) 和接收者 (to) 都存在于白名单中。建议开发一个专用的基于 Web 的管理门户来促进白名单管理。

第二部分：智能合约实施

本节提供了实施核心智能合约功能的详细蓝图，将复杂的监管要求转化为具体的代码级逻辑、安全模式和运营协议。

1. 设计精细的访问控制系统

监管指导 高风险操作的设计必须“防止任何一方单方面执行这些操作（例如，通过多重签名协议）”⁷。应明确划分不同操作的角色和职责。 慢雾技术解读 这意味着必须采用稳健的、基于角色的访问控制系统 (RBAC)。任何依赖于单个“所有者”或“管理员”私钥的设置都不合规。 实施指南 必须建立一组明确定义的角色并分配给不同的实体或人员，每个角色都由多重签名钱包管理。这实现了职责分离，并最大限度地减少了与单点故障或勾结相关的风险⁸。每个角色应该严格限定于特定功能。所有特权操作都必须通过多重签名批准授权，并且任何人都不得控制多个高风险角色。所有操作必须记录在案，接受年度第三方审计，并由管理员或理事会监督。

MINTER_ROLE（铸币者角色） 负责铸造稳定币，包括在收到有效的发行请求时创建代币单位。铸造必须与储备资产支持的比例增加精确一致。
BURNER_ROLE（销毁者角色） 处理稳定币的销毁，包括在处理有效的赎回请求后销毁代币单位。
PAUSER_ROLE（暂停者角色） 有权在响应异常情况（例如，安全威胁）时暂停系统，暂时中止转移、铸造或赎回。
RESUME_ROLE（恢复者角色） 有权在事件解决后恢复操作，重新启用暂停的功能，例如转移、铸造或赎回。
FREEZER_ROLE（冻结者角色） 管理特定钱包或代币的冻结和解冻——通常在检测到可疑活动（例如，潜在的洗钱）时使用。
WHITELISTER_ROLE（白名单管理者角色） 管理白名单，包括添加和删除批准的钱包地址。例如，可以将铸造限制为白名单地址。
BLACKLISTER_ROLE（黑名单管理者角色） 管理黑名单，包括将可疑钱包列blacklist或从blacklist中删除，以防止它们转移代币。
UPGRADER_ROLE（升级者角色） 如果使用可升级的合约模型，则此角色负责部署智能合约升级，例如修复漏洞或添加功能。

表 1：基于角色的访问控制矩阵（RBAC 矩阵） 下表为开发人员和审计员提供了清晰直观的规范，将每个特权操作映射到其所需的角色和控制类型。

2. 发行（铸造）机制

监管指令 发行必须“谨慎而稳健”。铸造必须“与相关储备资产池的比例增加相对应”。发行人只有在收到资金和有效的发行请求后，才能向其客户发行代币⁹。 慢雾技术解读 智能合约本身无法也不需要强制执行“全额储备”要求。相反，它充当受控账本，其中铸造权限是关键控制点。全额储备合规性是一个链下运营流程，可以通过审计进行验证。监管机构将铸造活动与两个链下事件联系起来：“有效的发行请求”和“收到资金”。因此，链上铸造功能必须设计为只能由受信任的实体（即发行人本身）调用，该实体可以验证这些链下条件是否已满足。 实施指南 预检查： 在执行铸造之前，该功能必须验证目标地址 to 是否在黑名单中或被冻结。 运营流程：

链下尽职调查： 客户完成所有必要的链下 KYC（了解你的客户）和 CDD（客户尽职调查）程序¹⁰。此外，AML/CFT 法规要求对建立业务关系或进行超过一定门槛（例如，8,000 港元）的偶发交易的客户执行 CDD¹¹。
资金接收： 客户将等值的法币资金转移到发行人指定的银行账户。
内部验证： 发行人的内部系统确认收到资金，并相应地更新储备资产的会计记录。
链上执行： 运营团队创建并签署多重签名交易以调用智能合约的铸造功能，并将新铸造的稳定币发送到客户预先注册和验证的钱包地址。

3. 赎回（销毁）机制

监管指令 持牌实体必须“在收到有效的赎回请求后，尽快并在一个工作日内”处理这些请求¹²。储备资产的提取必须“与指定稳定币的未偿本金金额的比例减少相对应”¹³。 慢雾技术解读 赎回是一个涉及链上和链下交互的两步过程。考虑到法币转移失败的风险，代币销毁操作必须仅在确认法币结算后发生，而不是之前。这可以保护发行人免于因最终失败的赎回而过早销毁代币。如果发行人先销毁代币但银行转账失败，则会导致没有相应资产的负债。相反，如果发行人先用法币付款但无法销毁相应的代币，则会遭受损失。因此，在赎回期间，用户必须首先将代币转账到由发行人控制的指定地址。然后，发行人仅在完成法币付款后才执行销毁。这种模式允许用户“锁定”他们的代币以进行赎回，而发行人仅在履行法币付款义务后才销毁代币，从而为双方提供了更安全的操作流程。 实施指南 赎回准备： 用户必须首先将要赎回的代币转账到由发行人控制的指定地址。 运营流程：

链下请求： 用户通过发行人的平台提交链下赎回请求。在处理之前，发行人必须进行适当的客户尽职调查 (CDD)。
系统验证： 发行人的系统验证请求的有效性，并检查用户是否已完成相应的链上代币转账。
法币付款： 发行人将等值的法币资金转移到用户预先注册和验证的银行账户。
链上销毁： 在确认法币转账成功后，持有 BURNER_ROLE 的多重签名钱包调用销毁函数以从指定地址销毁相应数量的代币。

4. 紧急控制：暂停和冻结

监管指令 合约必须支持暂停、恢复、blacklist、从blacklist中删除、冻结和解冻操作。这些是事件管理框架的关键组成部分¹⁴。 慢雾技术解读 监管机构将“暂停”和“冻结”列为单独的项目，表明期望具有灵活的、分层的事件响应能力。

暂停是针对重大危机的措施（例如，合约利用）。
冻结是用于处理特定法律或合规性问题的精确工具（例如，针对个人帐户的法院命令）。

它们在功能上是不同的，必须单独实施：

暂停： 一个全局“紧急停止开关”，可立即停止所有核心合约功能，包括转移、铸造和销毁。
冻结： 一种帐户级别的限制，可防止特定地址发送或接收代币，而不会影响网络上的其他地址。

实施指南

暂停功能： 只能由持有 PAUSER_ROLE 的多重签名钱包调用以全局暂停合约功能。触发条件包括检测到的异常情况（例如，网络攻击或储备资产错配），并且需要董事会或高级管理层的批准。恢复功能由单独的 RESUME_ROLE 处理，以确保职责的分离。
冻结功能： 可由持有 FREEZER_ROLE 的多重签名钱包调用以限制特定地址的转移。触发条件包括可疑活动（例如，AML 警报或法院命令），需要在执行前进行链下验证。解冻由同一角色管理，但需要额外的审计验证和公开声明以防止滥用。

5. 地址过滤和黑名单机制

监管指令 持牌实体应实施诸如“将识别为受制裁或与非法活动相关的钱包地址列入黑名单”¹⁵的措施。这是持续监控的核心控制方法。发行人应使用区块链分析工具来识别与非法或可疑活动相关的交易¹⁶。 慢雾技术解读 这必须在链上强制执行。仅在链下发出的警告是不够的；必须在协议级别阻止交易。 blacklist要求迫使发行人采用实时区块链分析工具/服务（例如，MistTrack、Chainalysis、Elliptic）。合规团队使用这些工具生成结论，这些结论安全地转换为多重签名交易以更新链上 blacklist。 实施指南

功能实施： 实施用于在 blacklist添加或从blacklist中删除地址的功能，只能由持有 BLACKLISTER_ROLE 的多重签名钱包调用。
转移限制： 禁止 blacklist上的地址发送或接收代币。
运营流程： 分析工具触发警报，提示内部合规审查。确认后，BLACKLISTER_ROLE 多重签名钱包启动 blacklist添加交易。

6. 智能合约可升级性

监管指令 所有与稳定币相关的智能合约架构都可以采用“可升级性”¹⁷。每个合约“升级”都必须经过审计¹⁸。 慢雾技术解读 可升级性设计是技术灵活性和风险管理监管框架中的核心要求。它允许发行人在不中断现有合约状态的情况下更新逻辑，从而解决错误修复、功能扩展或法规变更。但是，这带来了高风险：升级可能会被滥用，导致意外的合约行为更改或引入新的漏洞。因此，升级必须被视为高风险操作，旨在防止单方（例如，通过多重签名协议）单方面执行，并与基于角色的访问控制 (RBAC) 系统集成。监管机构对审计的强调意味着升级不仅仅是代码替换，而是嵌入严格变更管理流程的受控事件。新的逻辑合约必须在部署之前经过第三方验证，以确保没有漏洞或安全缺陷。 实施指南

代理模式： 对于基于 EVM 的智能合约，可以使用成熟的 ERC-1967 代理模式来实现可升级性。
访问控制： 升级功能只能由持有 UPGRADER_ROLE 的多重签名钱包调用。
变更管理流程： 在提议任何升级之前，必须完成严格的变更管理流程，包括对新逻辑合约进行全面、独立的第三方安全审计。

7. 用于分析和报告的链上事件日志 监管指令 持牌实体必须建立稳健的“信息和会计系统”，以“及时、准确地记录所有业务活动，包括链上和链下信息”，并“保留适当的审计跟踪”¹⁹。 慢雾技术解读 智能合约是所有链上活动的主要真实来源。它们必须为每个重要的状态更改发出详细的事件，以使链下系统能够记录、监控和生成报告。这些事件在区块链上创建了一个不可变且永久的日志，作为所有链下监控、会计和报告系统的主要数据源，为审计提供了坚实的基础。 实施指南 除了Transfer 和 Approval 等 ERC-20 标准事件之外，合约还必须为所有管理操作和状态更改定义和发出自定义事件，包括：

Token Minted / Burned 事件（代币铸造/销毁事件）
Contract Paused / Resumed 事件（合约暂停/恢复事件）
Blacklist Added / Removed 事件（黑名单添加/删除事件）
Whitelist Added / Removed 事件（白名单添加/删除事件）
Address Frozen / Unfrozen 事件（地址冻结/解冻事件）
Role Granted / Revoked 事件（角色授予/撤销事件）
Contract Upgraded 事件（合约升级事件）

第三部分：运营安全和生命周期管理

本节详细介绍了围绕智能合约的关键运营安全程序。这些程序与代码本身同等重要，并且对于全面的安全性和合规性是必要的。

1. 安全密钥管理架构

监管指令 这是监管文件中规定的最详细和最严格的领域之一。持牌实体必须对私钥的整个生命周期（包括生成、存储、使用、备份和销毁）施加强大的控制²⁰。 “重要的种子和/或私钥”（例如，用于升级、角色管理、大规模铸造的私钥）必须遵循更高的安全标准，包括在“气隙环境”²¹ 中进行离线生成，并在硬件安全模块 (HSM)²² 中进行存储。 慢雾技术解读 香港金融管理局本质上要求将“传统金融级”安全姿势应用于加密原生操作。实施这种级别的密钥管理会产生巨大的成本和复杂性，并将构成任何持牌发行人运营的核心。这种安全模型远远超过了典型的 DeFi 项目标准。监管文件提供了用于密钥管理的详细清单，明确提到了 HSM、气隙环境、密钥仪式和多重签名。这有效地强制执行了一种深度防御的密钥管理架构：存储在硬件钱包中的帐户充当多重签名钱包的签名者，而多重签名钱包本身在智能合约上拥有管理角色。对于最高安全角色，这些硬件钱包必须在指定的、物理上安全的气隙环境中进行管理。整个结构构建了一个针对密钥泄漏的多层防御系统。 实施指南

密钥生成： 必须通过记录在案的“密钥仪式”²³完成，该仪式在物理上安全、完全气隙的环境中进行，该环境与任何外部网络隔离。
密钥存储： 所有管理角色必须由多重签名钱包控制。用于这些多重签名钱包的签名者的私钥必须存储在 HSM 或其他安全的硬件钱包中。对于最关键的角色，相应的密钥必须保存在与任何在线环境物理隔离的气隙系统中。
密钥使用： 必须严格执行多重签名策略。对于涉及“重要私钥”的交易，相关人员可能需要亲自到场才能执行操作²⁴。
备份和恢复： 密钥碎片或助记词的备份必须使用防篡改包装²⁵存储在香港（或其他监管机构批准的地点）内的多个安全、地理位置分散的地点。

2. 全面的部署过程和运行时监控

监管指令 持牌实体必须聘请“合格的第三方实体来审计智能合约”，至少每年一次，并在每次部署、重新部署或升级时进行审计。审计必须确保合约已正确实施、按预期运行并且不存在漏洞或安全缺陷，达到“高度可信赖的水平”²⁶。持牌人应实施措施来监控助记词和/或私钥的使用（例如，IP 检查、行为监控、关键活动警报、设备筛选、链上监控、访问控制监控）²⁷。他们还应采取适当步骤来监控威胁情报，以检测新兴威胁，并分析此类情报以进行及时缓解²⁸。 慢雾技术解读 部署过程和运行时监控直接扩展了监管技术风险管理框架，强调从源头上预防漏洞以及持续监控运营风险。部署前审计将智能合约视为关键基础设施，需要多层验证（例如，单元测试、独立审计、代码冻结）以确保无缺陷代码——反映了监管机构对“高度可信赖”标准的追求，以避免因错误或漏洞利用而导致的发行、赎回或运营中断。运行时监控侧重于实时威胁检测，结合私钥使用监控（例如，行为分析）和威胁情报分析，形成闭环响应机制。这满足了事件管理框架的要求并确保了动态风险响应。从技术上讲，这需要集成链上和链下工具，形成可追踪的审计跟踪，以将被动防御转变为主动合规。 实施指南 在正式部署之前，必须创建并遵循严格的“部署前清单”：

全面测试： 确保单元测试覆盖率高于 95%，核心代码覆盖率 100%，并生成单元测试覆盖率报告。
独立审计： 至少由一家（最好是两家）信誉良好的审计公司完成独立的安全性审计。
代码冻结： 在审计后冻结代码，直到启动，禁止进一步更改。
回归测试： 在部署之前执行单元测试和回归测试。
合规审批： 从内部合规团队获得正式签字，确认合约逻辑符合所有相关的监管要求。
部署演练： 准备详细的部署脚本并在与主网相同的测试网环境中进行完整的部署演练。
授权部署： 最终部署必须由授权钱包执行。

部署后，应建立适当的监控，以及时缓解特权角色使用情况和新兴威胁：

链上活动监控： 监控管理角色的使用情况（例如，使用慢雾的 MistEye 安全监控系统添加关键角色活动跟踪），及时检测未经授权的活动。
威胁情报监控： 及时检测新兴威胁（例如，通过 MistEye 的威胁情报订阅）并分析威胁情报以进行及时缓解。

3. 为业务连续性和退出计划提供技术支持

监管指令 持牌实体必须制定“业务退出计划，以实现其持牌稳定币运营的有序关闭”²⁹。该计划必须包括清算储备资产并将收益分配给持有人的程序。 慢雾技术解读 这意味着智能合约必须从设计之初就考虑其自身的“退休”过程，并结合状态和机制来实现有序关闭。退出要求意味着合约生命周期不会在部署时结束，而必须具有明确定义的协议级别的“寿命终止”协议。对于许多习惯于构建“永久”合约的开发人员来说，这个概念是新颖的，它促进了一种“为终止而设计”的思维模式。有序关闭需要一份干净、最终且无可争议的记录，以明确关闭时的所有权。在混乱、持续的交易中关闭会破坏此目标。因此，能够冻结合约状态的功能是此监管要求的直接技术体现。因此，链上状态成为清算人的最终、可审计的真实来源。 实施指南

制定业务退出计划： 该计划应涵盖可能导致有序终止的情况，并包括对实际或潜在发生的监测措施。
链上退出流程： 智能合约应暂停，以停止所有代币转账，从而最大限度地实现储备资产，并最大限度地减少对市场稳定性的影响。利用赎回和白名单功能，协助稳定币持有者提交赎回请求。
第四部分：附录 — 监管要求对照表

此表将智能合约系统的每个技术特性直接映射到规定它的特定监管文本：

相关材料

[1]香港金融管理局。(2025年5月26日)。关于受监管稳定币活动的拟议反洗钱/打击资助恐怖主义要求的咨询文件。<https://www.hkma.gov.hk/media/eng/regulatory-resources/consultations/20250526_Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf> [2]香港金融管理局。(2025年5月)。持牌稳定币发行人监管指引草案。<https://www.hkma.gov.hk/media/eng/regulatory-resources/consultations/20250526_Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf>

正文中的引用

[1]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5 [2]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5 [3]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3 [4]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3 [5]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.4 [6]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 13, 3.6.2 [7]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.3 [8]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.4 [9]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 10, 3.1.1 [10]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 12, 3.4.1 [11]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 9, 3.2.1 [12]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 11, 3.2.3 [13]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 11, 3.2.5 [14]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 38, 6.8.2 [15]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 13, 3.6.2 [16]Consultation_Paper_on_the_Proposed_AMLCFT_Req_for_Regulated_Stablecoin_Activities.pdf, p. 11, 3.4.2 [17]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 20, 6.5.2 [18]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5 [19]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 51, 8.1.1 [20]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 22, 6.5.8 [21]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 23, 6.5.8(ii) [22]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 23, 6.5.8(iv) [23]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 22, 6.5.8(ii) [24]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 24, 6.5.8(vii) [25]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 25, 6.5.8(x) [26]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 21, 6.5.5 [27]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 24 6.5.8(ix) [28]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 34 6.5.20(ii) [29]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 42, 6.8.16 [30]Consultation_on_Draft_Guideline_on_Supervision_of_Licensed_Stablecoin_Issuers.pdf, p. 42, 6.8.16

关于 SlowMist

SlowMist 是一家成立于 2018 年 1 月的区块链安全公司。该公司由一支拥有超过十年网络安全经验的团队创立，旨在成为全球力量。我们的目标是使区块链生态系统对每个人来说都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾参与过各种知名项目，如 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等。 SlowMist 提供多种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他与安全相关的服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，如 Akamai、BitDefender、RC²、天际伙伴、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被国际组织和政府机构引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。通过提供为单个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布几个高风险的区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

原文链接： medium.com/@slowmist/slo...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。