本指南内容
从不可妥协的条件开始
在评估细节前,先定义你的要求。
对大多数严肃持有人而言:
- 可以链上提币到你控制的地址。
- 客户比特币按 1:1 持有,不用于借贷、抵押或收益。
- 在存入前,条款清晰、稳定且可理解。
如果其中任何一条不成立,这种关系就不是严格意义上的托管,而是另一种金融产品。
储备与资产使用
直接询问:
- 是否为客户比特币持有1:1 储备?
- 客户比特币是否会被用于任何目的(借贷、rehypothecation、抵押、内部融资)?
- 是否存在比特币被设定负担的情况(质押、池化或被索赔)?
清晰的回答至关重要。托管服务商应明确说明客户比特币完全储备且不被动用。
隔离与失败场景
隔离托管可能有不同含义。请对方用通俗语言说明。
- 所有权是作为内部余额记录,还是资产可明确归属于客户?
- 如果服务商破产,客户资产会怎样?
- 客户资产是作为客户财产处理,还是纳入服务商资产?
- 托管协议受哪一司法辖区管辖?
如果服务商无法清晰说明失败场景,你就不知道自己买的是什么。
提币政策与退出能力
提币是信任测试。在存入前评估政策:
- 链上结算:提币是否在比特币链上结算?
- 地址控制:能否提到自己的钱包?
- 时间:声明的处理窗口是什么,哪些条件会延长?
- 限额:每日限额、最低余额或其他限制?
- 验证:有哪些要求(KYC/KYB、白名单地址),是否会变更?
然后实际测试。运营健康的服务商把提币当作日常流程。
安全架构
安全是消除失败模式,而不是营销口号。
询问服务商如何防范:
- 远程攻陷(密钥隔离、热钱包暴露与控制)
- 内部风险(职责分离、审批、最小权限)
- 密钥丢失(冗余、地理分散、恢复流程)
- 运营漂移(流程测试、定期审查、事件响应)
也要问清哪些内容不对外公开以及原因。良好的安全策略不会把敏感细节变成公开说明。
→ 阅读:比特币安全指南 → 阅读:重要的披露
透明度与证据
询问有哪些证据,以及它们实际覆盖什么:
| 证据类型 | 覆盖内容 | 局限性 |
|---|---|---|
| SOC 2 Type I | 某一时间点的控制设计 | 不测试运行有效性 |
| SOC 2 Type II | 一段时期内的控制运行 | 范围可能排除关键领域 |
| 储备证明 | 某一时点持有的资产 | 无法证明负债或偿付能力 |
| 证明文件 | 某一时点的特定声明 | 范围有限,并非完整审计 |
接着追问:
- 证据覆盖的是控制(如何运行)还是资产与负债(持有与欠款)?
- 是某个时间点还是覆盖一个时期的行为?
- 明确不在范围内的是什么?
目标不是一份决定性文件,而是可验证行为的长期一致性,再加上你可以测试的提币流程。
商业模式与激励
商业模式决定激励。
- 服务商如何盈利?托管费用、交易、点差还是收益?
- 如果客户多年只持有不交易,业务能否存续?
- 还有哪些产品,会不会促使其动用客户资产?
复杂性带来风险。专注于托管的服务商通常比同时提供交易、借贷与持续功能扩张的平台更安全。
可打印清单
托管模式
- 服务商声明客户比特币为 1:1 储备
- 服务商声明客户比特币不被出借、质押或再质押
- 资产隔离方式清晰且服务商能明确说明
- 失败场景(资不抵债、运营中断)有书面说明
提币
- 提币链上结算至你控制的地址
- 政策包含清晰的时间、限额、费用与验证步骤
- 没有允许广泛裁量暂停提币的措辞
- 可定期无障碍测试提币
安全与控制
- 热钱包暴露受限且受控
- 存在多方审批与职责分离
- 流程定期测试与复审
- 恢复与业务连续性流程已定义
透明度与证据
- 服务商提供有意义的证据并解释范围
- 服务商能解释储备证明能证明什么、不能证明什么
- 沟通清晰客观,不过度营销
激励
- 服务商收入不依赖客户交易活动
- 服务商无需动用客户资产即可生存
- 产品范围聚焦
若无法获得清晰答案,假定你接受了额外风险。按此调整规模,并保持真实可行的退出路径。
进一步来源
- SEC Investor Bulletin: Crypto Asset Custody Basics for Retail Investors. 以清单形式介绍托管风险。
- Interagency Statement: Crypto-Asset Safekeeping by Banking Organizations (FDIC/OCC/Fed). 风险管理期望。
- AICPA: SOC 2 overview. 理解 SOC 2 Type I 与 Type II。
- Bitcoin Core: Output script descriptors. 表示钱包策略的标准。
