Hong Kong uyumlu sanal varlık ticaretinin temeli: güvenli Cüzdan yönetimi ve varlık suç ortağı

Son günlerde, Hong Kong'daki iki sanal dijital varlık borsası, Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu tarafından onaylanan sanal varlık hizmet sağlayıcısı lisansı aldı ve resmi olarak Hong Kong'daki perakende yatırımcılara sanal varlık ticaret hizmeti sunabileceklerini duyurdu. Bu, Hong Kong'daki perakende yatırımcıların bu iki borsada kayıt olmaları durumunda, doğrudan Bitcoin ve Ethereum gibi sanal varlıkları satın alabilecekleri anlamına geliyor. Bu hamle, uyumlu borsaların sanal varlık alanındaki konumuna ve stratejisine kesinlikle büyük bir ivme kazandırdı.

Geçen yılın Ekim ayından bu yana, Hong Kong düzenleyici kurumları sanal varlık ticareti ile ilgili bir dizi önlem yayımladı. 1 Haziran 2023'ten itibaren, daha fazla sanal varlık borsası Hong Kong Menkul Kıymetler ve Borsa Komisyonu'na resmi olarak uyumlu sanal varlık borsa lisansı başvurusu yapabilir.

Böyle bir politika ortamında, birçok borsa Hong Kong'da lisans başvurusu yapmak ve uyumlu merkezi borsa haline gelmek istiyor. Belirli bir sanal varlık ticaret platformu da bu yılın sonunda Sermaye Piyasası Kurulu'na resmi başvuru yapmayı planlıyor ve geleneksel finans ile Web3 dünyasından daha fazla profesyonel ve yatırımcıya katma değerli hizmetler sunmayı hedefliyor.

Peki, Hong Kong Menkul Kıymetler ve Borsa Komisyonu'nun merkezi borsa için belirlediği özel gereksinimler nelerdir? Hukuki belgelerdeki tüm süreçlerin yanı sıra, teknik olarak hangi özel yapılandırma gereksinimleri bulunmaktadır?

Gerçekten de, Hong Kong'un mevcut uyumluluk ticaret düzenleme çerçevesi, borsa için yazılım ve donanım uyumluluğu açısından teknik gereksinimleri oldukça yüksektir. Uluslararası düzeyde, bu borsalara uyumluluk çerçevesi altında çeşitli teknik hizmetler sunan bazı tedarikçiler bulunmaktadır. Bunlar arasında, müşteri varlıklarının Cüzdanı, en önemli alanlardan biridir ve Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu'nun en çok dikkate aldığı konudur.

Geleneksel Finans ile Sanal Varlık Borsası'nın Varlık Suç Ortağı Farklılıkları

Geleneksel finansal sistemde, kullanıcılar genellikle hisse senetlerini aracı kurumlar aracılığıyla satın alırlar. Kullanıcı deneyimi açısından bakıldığında, kullanıcıların fonlarını aracı kurum hesaplarına yatırdığı, aracı kurumun hisse senedi işlemleri yaptığı ve bunların kullanıcı adına hesapta saklandığı görülmektedir.

Ancak, aslında kullanıcıların fonları aracı kurum hesaplarında bulunmamaktadır, çünkü aracı kurumlar, bir mali kuruluş olarak müşteri fonlarını doğrudan tutamazlar. Kullanıcıların fonları aslında bankada tutulmaktadır. Banka, bu aracı kurum için büyük bir hesap açmış ve bu hesap içinde kullanıcı fonlarını tutmak için birden fazla küçük hesap bulunmaktadır. Bu nedenle, aracı kurum kullanıcı fonlarının saklayıcısı olarak, kullanıcı fonlarını gerçekten hareket ettiremez. Banka, aracı kurumun müşteri talimatını aldığını "kontrol eder" ve yalnızca bu durumda aracı kurumun müşteri adına tutulan fonları çekmesine izin verir.

Genel olarak, geleneksel finans dünyasında hisse senetleri, tahviller gibi varlıklar, son derece merkeziyetçi ve yüksek güvenlik garantisine sahip kuruluşlar tarafından saklanmaktadır. Bu kuruluşlar, ağ ve iç denetim dahil olmak üzere yazılım ve donanım açısından kapsamlı güvenlik korumalarına sahiptir. Menkul kıymet hizmet sağlayıcıları aslında müşterilerin saklama yönetim süreçlerine yardımcı olmaktadır; arka planda, kullanıcıların varlıklarını saklayıp koruyan, birçok nesil teknoloji güncellemesi geçirmiş büyük finansal kuruluşlar bulunmaktadır. Bu da insanların geleneksel finansal işlemlerde kendilerini çok güvende hissetmelerinin bir nedenidir.

Hong Kong'daki uyumlu sanal varlık ticaret çerçevesinde, kullanıcıların varlıklarının suç ortağı olması oldukça farklıdır. Hong Kong, uyumlu sanal varlık ticareti için düzenleyici gerekliliklerin borsa tarafından banka benzeri bir rol üstlenmesini gerektiriyor. Müşterilerin sanal varlıkları doğrudan borsanın soğuk cüzdanında saklanmaktadır. Bu, banka ve suç ortağı gibi birçok geleneksel finansal saklama sisteminin işlevlerini uyumlu borsa gibi bir varlıkta merkezileştirmeyi gerektirir ve müşteri varlıklarından sorumlu olmaktadır. Bu nedenle, herhangi bir uyumlu borsa için gereken yazılım ve donanım teknolojisi gereksinimleri, aracılara göre çok daha fazladır, banka seviyesine yakın olmakta ve ayrıca kriptoloji boyutunu da artırması gerekmektedir.

Sanal Varlık Ticaret Alanındaki Güvenlik Sorunları

Güvenlik açısından blok zinciri, basitçe çevrimiçi ve çevrimdışı olarak ikiye ayrılabilir. Çevrimiçi akıllı sözleşmeler, önceden belirlenmiş koşullar altında otomatik olarak yürütülen programlardır ve çeşitli hacker saldırılarına maruz kalabilir, akıllı sözleşme açıklarından yararlanarak fon transferi veya sızıntı gibi durumlarla karşılaşabilirler. Çevrimdışı, işletme platformları için güvenlik yetenekleri açısından bir sistem mühendisliğidir: kullanıcı uç noktalarındaki kimlik doğrulama sisteminden, şirket içindeki siber güvenlik, terminal güvenliği, acil durum yanıt mekanizmasına ve yönetilen teknik yol seçimlerine kadar.

Uyumluluk açısından bakıldığında, sanal varlık sektörü 2018 öncesindeki vahşi büyüme durumundan, giderek düzenlenmiş bir yapıya geçiş yapmaktadır. Çin anakarası ve Hong Kong bölgelerindeki politika oluşturma ve düzenleyici politikalar daha çok yasaklama ve sürgün üzerine yoğunlaşsa da, Japonya 2017'de Asya genelinde erken bir lisanslama sistemini başlatmış, Japon finansal kurumları borsalara lisans yönetimi uygulamış ve siber güvenlik, veri güvenliği gibi bir dizi güvenlik gereksinimi sunmuştur.

Son zamanlarda Singapur ve Hong Kong'un politikaları arasında, Hong Kong'un düzenleme sistemi en önemli olanı olabilir. Bu politikaların bir kısmı, geçen yılki FTX olayının insanlara uyumluluk ve düzenlemenin yüzeyde kalmaması gerektiğini, yönetim kurallarının ve sisteminin net bir şekilde uygulanması gerektiğini fark ettirmesidir; böylece yatırımcıların çıkarlarını gerçekten koruyabiliriz. Bu nedenle, Hong Kong bu yıl sanal varlık lisans düzenleme politikasını, işlem platformlarıyla başlatacak şekilde çok net bir şekilde açıkladı.

Varlık Cüzdan Uyumluluğu için Regülasyon Gereksinimleri

Bir güvenlik şirketinin Hong Kong, Japonya, Singapur gibi yerlerde lisanslı müşterileri bulunmaktadır. Farklı bölgelerdeki lisans gerekliliklerinin karşılaştırılması sonucunda, Hong Kong Menkul Kıymetler ve Borsa Komisyonu/hükümetinin düzenleyici politikalarının mantıksal ve kapsamlı açıdan oldukça güçlü olduğu değerlendirilmektedir.

Başlıca şu birkaç alanda kendini gösteriyor:

Öncelikle, jeopolitik faktörleri göz önünde bulundurarak, Hong Kong hükümeti dijital varlıkların arkasındaki özel anahtarların Hong Kong'da yerel olarak bulunmasını kesin bir şekilde talep etmektedir.

İkincisi, düzenleyici sistemin olgunluk düzeyi açısından, düzenleyici düşünceler oldukça kapsamlıdır. Şu anda Hong Kong'da olgun ve tamamlanmış bir üçüncü taraf saklama düzenleme sistemi yoktur, bu nedenle Hong Kong hükümetinin düzenleyici politikası, sanal varlık lisans başvuru sahiplerinin sanal varlık güvenli saklama sistemini kendilerinin inşa etmelerini zorunlu kılmakta ve birçok ayrıntı talep etmektedir. Teknoloji yolunun seçimi örneğinde olduğu gibi, Hong Kong hükümetinin önemli bir değerlendirme ilkesi, teknolojinin kendisinin olgunluk düzeyidir.

Olgunluk, bu teknolojik yolun kullandığı anahtar teknolojik aşamaların uluslararası alanda önde gelen yetkili güvenlik sertifikasyon kuruluşları tarafından tanınıp tanınmadığı ile kendini gösterir; bu, çok önemli bir değerlendirme kriteridir. Bu nedenle, Hong Kong hükümetinin tutumu "hem muhafazakâr hem de açık" olarak tanımlanabilir. Muhafazakârlık, Hong Kong hükümetinin geleneksel finans güvenliği alanında defalarca doğrulanmış daha olgun teknolojik yolları seçmesinde kendini gösterirken; açıklık ise hükümetin birçok yeni teknolojik çözümü incelemesi ve açık bir tutum sergilemesinde ortaya çıkmaktadır.

Hong Kong hükümeti sanal varlık ticaret platformlarının müşteri varlıklarını kendilerinin saklamasını talep etmiş ve net düzenleyici gereklilikler belirlemiş olmasına rağmen, borsa kendisinin gereklilikleri karşıladığını iddia etmesi, lisans almak için yeterli değildir. Ayrıca, yetkili bir üçüncü taraf değerlendirme kuruluşunun değerlendirmesi gerekmektedir; yalnızca yetkili üçüncü taraf değerlendirme kuruluşu, borsanın gereklilikleri karşıladığını kanıtladığında, lisans başvurusu yapma imkanı doğar.

Sonuç olarak, Hong Kong hükümetinin düzenlemesinin mantık, yöntem ve detaylar açısından son derece kapsamlı bir şekilde düşünüldüğü anlaşılmaktadır.

Kullanıcı Varlıklarının Güvenliğini Sağlama Yöntemleri

1. BT ile ilgili gereksinimler arasında siber güvenlik, BT altyapısı, uç nokta güvenliği, felaket kurtarma acil yanıtı ve Cüzdan suç ortağı sistemi gibi unsurlar yer almaktadır. Önemli bir gereksinim, varlıkların %98'inin soğuk cüzdanlarda saklanmasıdır.

Soğuk cüzdan tamamen çevrimdışı ve internetsiz bir cüzdandır. Ancak yalnızca çevrimdışı ve internetsiz olmak yeterli değildir; kullanıcıların dijital varlıklarını korumak için uluslararası alanda tanınan kriptografik güvenlik cihazları kullanarak dijital varlık kasası oluşturmak da gereklidir. Ayrıca, bu bilgilerin saklandığı donanımın (kasalar) fiziksel ortamına da bazı gereksinimler vardır, örneğin sıcaklık ve nemin korunması, izlenmeye karşı korunma, sinyal engelleme gibi.

Kullanıcı varlık kaybını önlemek amacıyla, düzenleyicilerin dikkate almadığı boşluklar veya işletme platformu hataları nedeniyle, teknik ve uygulama çözümleri gibi her şey belirlendikten sonra, kullanıcı varlıklarını daha fazla korumak gerekir; bu da, müşterilere tazminat sağlama kapasitesine sahip olmak için zorunlu olarak bir risk tazminat fonu oluşturulmasını veya özel sigorta satın alınmasını gerektirir.

2. Uyumluluk açısından, kara para aklama ve terörün finansmanına karşı önlemler, düzenleyicilerin çok önem verdiği konulardır. Bu nedenle, her borsa profesyonel bir "Baş Uyum Yöneticisi" ile donatılmalıdır. Uyum, işlemlerin tamamında geçerlidir; sadece kullanıcıların katılım aşamasında müşteri kimliğinin güvenliğini ve fon güvenliğini (KYC) belirlemekle kalmaz, aynı zamanda her işlemde işlem fonlarının kaynağının ve akışının gerekliliklere uygun olup olmadığını da değerlendirmek gerekir (Travel Rule).

3. Risk yönetimi birçok alanda kendini gösterir, her platformun piyasa manipülasyonu, kullanıcı dolandırıcılığı riski, karşı taraf riski, kredi riski gibi unsurları yönetmesi gerekir.

4. Yönetim açısından, kapsamlı bir yönetim sistemi kurulması gerekmektedir; bunun temelinde rollerin netleştirilmesi yatmaktadır:

Öncelikle, anahtarın rolleri ayrılmalıdır. Hong Kong'daki benzer lisans düzenlemeleri, ticaret platformunun bağımsız bir varlık olmasını gerektirirken, ayrıca müşteri varlıklarının güvenliğinden sorumlu başka bir varlığın da bulunmasını sağlamalıdır ve bu varlık tamamen ticaret platformuna hizmet etmelidir; diğer varlıklara hizmet edemez, yani anahtar üzerindeki sorumluluk net olmalıdır.

İkincisi, finansal açıdan, sorumluluk da net olmalıdır. İşlem platformunun fonları ile kullanıcıların fonları arasında net bir ayrım yapılmalı, hiçbir şekilde fon karışıklığı olmamalıdır; işlem gerçekleştirmek için ödenmesi gereken Gas Fee bile net bir şekilde ayrılmalıdır.

Üçüncüsü, "rol ve sorumlulukların ayrılması" prensibi de oldukça önemlidir. İş süreçlerinin herhangi bir aşamasında tek nokta riski olmamalı ve yetki kötüye kullanımı gibi durumlar ortaya çıkmamalıdır. Örneğin, soğuk cüzdan fon transferi yapılırken, "dört göz prensibi"ne uyulmalıdır.

Gelecekte Olası Olarak Getirilecek Çözümler

Mevcut güvenlik seviyesini etkilemeden, borsa ve kullanıcılara daha fazla kolaylık sağlayacak bir çerçevede, Hong Kong uyumlu sanal varlık borsası müşteri varlıklarının yönetimi konusunda gelecekte hangi çözümleri benimseyebilir?

Ticaret platformu işletme açısından bakıldığında, bu alanda gerçekten birçok mükemmel teknoloji var, örneğin çok popüler olan MPC (Multi-Party Computation güvenli çok taraflı hesaplama) teknolojisi. Regülasyon bu teknolojileri reddetmek istemiyor, daha çok teknolojinin olgunluk seviyesini dikkate almak istiyor. Zamanla, bu mükemmel teknolojilerin de dünya çapında kabul gören bir sertifikasyon sistemi altında daha olgun hale geleceğine inanıyorum.

Diğer yandan, birçok işlem platformu daha fazla C son kullanıcıya nasıl ulaşacağını düşünmek zorundadır. Şu anda merkezi bir şekilde C son kullanıcıların katılım sağlaması ve işlem yapmasını sağlamak, büyük bir kısmı kullanıcı talebini karşılıyor, kullanıcıların özel anahtar ve kurtarma kelimelerini yönetmelerine gerek kalmıyor. Aynı zamanda, Web3 dünyasında birçok yenilikçi görüyoruz, gelecekte birçok kişisel Cüzdan ile ilgili çözüm ortaya çıkabilir ve merkezi borsa ile tamamlayıcı bir ilişki hatta etkileşim içinde olabilir.

Geleneksel finansal operasyon deneyiminden yola çıkarak, her borsa için kendi Cüzdan sistemine sahip olmasına gerek yoktur; piyasanın tüm varlık yönetimini 1-2 Cüzdan kuruluşu tamamlayabilir. Gelecekte, MPC gibi teknolojilerin güvenliği ve uygulanabilirliği daha fazla uluslararası sertifikasyon kuruluşu tarafından tanındığında, Cüzdan alanı muhtemelen birkaç önde gelen Cüzdan kuruluşunda toplanacaktır.

İki katmana özgü:

1. Sorumluluk ve yetki ayrımı açısından: Şu anda lisans başvurusunda bulunan borsalar hala suç ortağı rolünü üstlenmektedir. Regülasyon sisteminin daha da geliştirilmesiyle, gelecekte suç ortağı bölümünün denetiminin bağımsız ve net bir şekilde ayrılabileceğine inanıyorum. Bu, suç ortağının nasıl denetleneceği ve borsaların üçüncü taraf suç ortağı hizmetlerini kullanarak müşterilere nasıl varlık yönetimi yapacağı gibi konuları içermektedir. Regülasyon netleştikçe, sorumluluklar ayrılabilir.

2. Teknik yön açısından: Şu anda yaygın olarak talep edilen, geleneksel finans güvenlik seviyesine dayanan bir kripto makinesi çözümüdür. Gelecekte, diğer yeni teknolojik yollar olgunlaştıkça ve küresel test sertifikası onayını aldıkça, saklama hizmet sağlayıcılarının teknolojik seçimleri artık tek bir çözümle sınırlı olmayacak, daha fazla seçenek elde edilecektir.

Her zaman teknoloji sürekli ilerledikçe ve piyasanın düzenleyicilerden sektör profesyonellerine kadar bu sektörü anlama derinleştikçe, gelecekte bu alana daha fazla insanın gireceğine ve pazarın giderek daha fazla canlanacağına inanıyoruz.