【友财网讯】-当大卫·施韦德（David Schwed）和世界上其他人一起等待首只比特币ETF获得批准时，有一件事一直困扰着他：除了富达(Fidelity)和VanEck等少数例外，几乎所有比特币现货ETF的申请人都打算使用Coinbase作为托管人。

大卫·施韦德是区块链网络安全公司Halborn的首席运营官。

作为专注于区块链的网络安全领导者，这种风险的集中，加上加密货币托管固有的高风险性质，以及安全最佳实践仍在不断发展的性质，让施韦德犹豫了一下。

让施韦德担心的不是Coinbase本身。该公司从未遭受过已知的黑客攻击，这就解释了为什么这么多传统机构信任它的技术。然而，没有什么是不可攻破的目标——只要有足够的时间和资源，任何东西和任何人都可以被攻破，这是施韦德在网络安全和资产管理交叉领域的职业生涯中学到的教训。

让施韦德担心的是资产极度集中在一个托管人手中。考虑到加密货币资产的现金性质，这种情况本身就令人担忧。

也许是时候重新考虑“合格托管人”的称号了，这是一种监管签字，以目前的形式并不一定能确保基于区块链的风险资产一定(或最好)得到保护。此外，理想情况下，数字资产托管人应该受到比现在更严格的州和联邦标准下训练有素的监管机构的更多监督。

今天，大多数合格的托管人都可以担保股票、债券或数字跟踪的法定货币余额，所有这些都是根本上的法律协议，不能简单地“窃取”。但比特币，像现金和黄金一样，被称为无记名票据。一次成功的加密货币黑客攻击就像在狂野的西部抢劫银行，一旦它落入小偷手中，钱就没了。

因此，对于加密货币托管人来说，一个错误就能让资产完全消失。

人们也知道，全球加密货币犯罪的力量是强大而坚定的。仅举一个臭名昭著的例子，拉撒路集团(Lazarus Group)黑客团伙据信在过去六年中窃取了价值30亿美元的加密货币，而且没有任何停止的迹象。预计在第一个交易周，流入比特币ETF的资金将超过60亿美元，这使得这些基金成为主要目标。

如果Coinbase的数字金库中有数百亿比特币，黑客可以轻而易举地组织一次5000万美元的行动来窃取这些资金，即使这需要数年时间。像Cozy Bear/APT29组织这样的威胁行为者可能也会发现，随着机构加密货币池变得越来越大——追逐机构加密货币越来越有吸引力。

这是各大银行准备应对的威胁级别。金融机构风险管理的一种普遍模式利用了三层监督。首先，业务管理层设计和实现安全实践；第二，风险层监督和评估这些做法；第三，审计层确保风险缓解实践实际上是有效的。

最重要的是，传统金融机构将拥有外部审计员和外部IT监督，以及众多的州和联邦监管机构。很多人会检查风险和安全的各个方面。

但是这些多级冗余和嵌套故障安全需要一个看似简单的东西：人数。

在施韦德担任纽约梅隆银行(BNY Mellon)数字资产技术全球主管期间，这家投资银行大约有5万名员工，其中约1000人(占2%)从事安全工作。即使经过最近的扩张，Coinbase的员工人数也不到5000人。BitGo也是一家由纽约州和其他司法管辖区认证的合格托管人，只有几百个。

这并不是要质疑任何这些组织或其雇员的意图或技能。但真正的监督需要冗余，这些新机构可能难以提供足够的冗余，以确保数百亿美元的无记名票据的安全。

在这些数字变得更大(对坏人来说更有吸引力)之前，完善合格托管指定的网络安全标准已经是过去的事了。目前，这一称号伴随着信托或银行牌照，由州和联邦监管机构监管。这些金融监管机构主要关注传统银行业，而不是网络安全专家，当然也不是加密货币专家。他们专注于资产负债表、法律程序和其他金融操作，这是可以理解的。

但对于加密货币托管人来说，这些并不是唯一重要的监督，甚至不一定是最重要的。目前还没有针对加密货币托管人的网络安全和风险管理实践的行业标准，这意味着“合格托管人”的地位并不像听起来那么令人放心。这不仅让投资者，也让整个新兴行业面临不透明的风险，可能带来可怕的后果。

一系列比特币ETF的批准，只是数字资产持续融入金融体系的最新举措。在这一预测上，你不必相信加密货币支持者——问问支持ETF的老牌巨头贝莱德(Blackrock)就知道了。随着这些事态的发展，真正对投资者保护感兴趣的监管机构将专注于适应这个新世界：在这个新世界里，严格的网络安全标准与诚实的信息披露和财务审计对金融稳定同样重要。