代币化经济中金融市场基础设施的演变

CN
2小时前

撰文:Yaiza Cabedo, Tommaso Mancini-Griffoli, Fabian Schär, Nicolas Zhang | IMF Monetary and Capital Markets Department

编译:Gandalf,Techub News

探讨在发行、中央清算、结算和报告中的区块链实施方案

摘要 (ABSTRACT): 本文探讨了代币化和分布式账本技术将如何通过使智能合约能够执行传统上由中央证券存管机构(CSD)、中央对手方(CCP)和交易报告库(TR)承担的越来越大比例的功能,从而改变金融市场基础设施(FMI)。文章认为,尽管记录保存、结算、抵押品管理和报告可以越来越多地在链上执行,但需要法律确定性、治理、问责制和自由裁量权的关键功能在本质上仍然是制度性的。该分析评估了在发行、清算、结算和报告生命周期中,哪些活动可以迁移到代码上,哪里仍然存在局限性,以及在代币化环境中风险如何演变。研究发现,代币化更有可能重构而不是消除FMI,在创造新效率的同时引入了新的操作和治理风险。最合理的结果是混合FMI模型,在该模型中,技术和机构共同提供金融稳定所需的信任、弹性和监督。

引言 (Introduction)

金融市场基础设施 (FMIs) 应该如何为资产被代币化的世界做准备?

本文认为,智能合约和分布式账本可以执行目前由中央证券存管机构 (CSDs)、证券结算系统 (SSSs)、中央对手方 (CCPs) 和交易报告库 (TRs) 执行的大部分功能,特别是在流程具有确定性、基于规则和数据驱动的情况下。记录保存、结算、抵押品转移和报告可以转移到链上。然而,代码本身无法提供法律确定性、承担问责制或在压力下行使自由裁量权。

代币化并不意味着去中介化,而是制度重设。最合理的结果是混合 FMI 模型,在该模型中,智能合约执行更大比例的运营和交易功能,而法律实体仍然负责治理、合规、风险管理以及为了保持业务连续性而进行的干预。特别是当功能依赖于链下输入、跨账本协调、监管访问,或者在调整保证金或管理违约时需要人为判断时,这一点尤为正确。

本文考察了发行、清算、结算和报告方面的转变。 它探讨了哪些 CSD、CCP 和 TR 功能可以迁移到链上,主要的限制仍然存在于何处,以及混合安排可能在哪里出现。目标不是预测单一的最终状态,而是阐明权衡取舍,并确定在代币化金融系统中责任可能如何在技术和机构之间重新分配。

此分析旨在供政策制定者、监管机构和市场参与者参考。 它旨在支持对以下方面进行更系统的评估:现有基础设施如何适应、信任和问责制如何在机构和技术之间重新分配,以及如何在不破坏金融稳定的情况下实现效率的提升。

本文围绕证券和衍生品交易的生命周期展开(遵循图1所示的逻辑)。 第1部分介绍了当今金融市场交易的生命周期,交易各方面临的风险,以及 FMI 如何帮助缓解这些风险。第2部分探讨了代币化金融资产的特征、区块链生态系统中的治理,以及由账本、资产和所有者之间的关系产生的三种可能的架构——单一模型、兼容模型和通用模型。第3部分探讨了交易的生命周期在代币化环境中可能如何演变,哪些风险将持续存在,以及如何缓解这些风险。最后,本文提供了结论以及四个附件(附件中的表格总结了当今 FMI 的价值主张,以及 CSD、SSS、CCP 和 TR 的功能如何在三种不同架构模型的区块链上实现)。

一、交易生命周期、风险以及金融市场基础设施的作用

(I. Transaction Lifecycle, Risks, and the Role of Financial Market Infrastructures)

本节探讨当今金融交易是如何构建的,以及金融市场基础设施(FMIs)在缓解市场参与者在交易证券和衍生品时面临的风险方面所发挥的作用。本节首先概述了交易的生命周期——从发行到交易后流程(包括清算、结算和报告)——并确定了在每个阶段产生的主要风险。然后解释了FMIs是如何通过结合操作、法律和金融保障措施来缓解这些风险的。最后,本节概述了FMI生态系统及其治理安排。该框架可作为基准,用于评估这些功能以及FMIs应对的风险在代币化环境中可能如何演变。

交易的生命周期:发行、交易和交易后

(The lifecycle of a transaction: issuance, trading, and post-trading)

发行是证券市场的基础,它是证券的创造及其在一级市场的配售。最初,证券以实物证书的形式发行,但这已演变为无纸化过程,证券通过账簿记账账户进行电子转移。该过程从开设发行账户以记录所创建资产的数量开始。

发行记录的准确性对于市场信心至关重要。市场参与者依赖于发行系统的完整性,这些系统负责维护准确的记录以防止创建未经授权的证券,从而确保发行过程的透明度和可信度。

交易涉及就交换资产的条款达成一致。这些条款包括价格、息票和结算日期,以及各方之间交易细节的核实和书面确认。交易通过汇集买家和卖家的匹配平台进行。资产生命周期的所有后续阶段都被称为交易后(post-trading)。

清算是确定参与者义务的过程。通过中央对手方(CCP)进行清算涉及对初始交易对手的合同进行约当更替(novating),CCP成为交易的买方和卖方。清算是计算净头寸并确保有可用资金或证券来履行这些承诺。CCP使用多边净额结算将义务合并为每个参与者的单一头寸,从而降低风险。

结算发生在交易执行之后,它完成了所有权的转移,在中央证券存管机构(CSD)通过账簿记账账户以电子方式更新所有权记录。在交易和结算之间的时间里(T和T+x),交易对手面临诸如资产销毁、未能收到资产、各方违约或在未收到任何回报的情况下交付资产等风险。为了减轻这些风险,交易对手可以从进入交易的那一刻起全额预先存入要交付的资产,或者使用风险管理技术,例如提供抵押品。

交易生命周期的最后一步是报告。报告涉及提供已执行交易的数据,以提高透明度并确保监管机构能够访问。报告信息的准确性、完整性和及时性至关重要,因为错误或延迟可能会破坏透明度并阻碍有效的监督。

市场参与者依赖于准确的记录和协调的流程。结算过程依赖于CSD所有权记录的准确性,以及托管人和登记机构等中介机构之间的协调,以维持证券所有权的完整性。明确的运营边界和稳健的对账过程至关重要,特别是在由登记机构(而非CSD)监督初始发行的司法管辖区。

交易的生命周期依赖于跨系统和参与者的协调。各方需要在由FMI、参与者和中介机构孤立运营的不同IT系统、账本和平台之间进行协调和对账。这些实体之间可靠的关系和定期的数​​据核对对于维持运营完整性、降低风险和确保金融市场的平稳运行至关重要。

与交易生命周期相关的风险

(Risks associated with the lifecycle of a transaction)

金融市场的交易面临一系列风险,这些风险产生于其生命周期的不同阶段,从执行到清算、结算和资产托管。这些风险直接影响交易对手,塑造了他们按预期完成交易并保留交换资产价值的能力。

法律风险可发生于交易生命周期的任何阶段,是指意外应用法律或法规导致损失的可能性。这包括由于法律不确定性,支撑交易的合同被法院认定为非法或不可执行的情况。这些风险在跨境环境中尤为严重。

操作风险源于信息技术系统的缺陷、人为错误、管理失败或系统中断,这些缺陷可能会延迟、改变或阻止交易的执行和完成。网络风险构成操作风险的一个关键子集。

托管风险出现在代表交易对手持有资产的情况下,反映了由于托管人或次级托管人的破产、疏忽、欺诈、管理不善或记录保存不当而导致损失的可能性

随着交易走向完成,结算风险成为一个核心问题。结算风险是指结算未按预期发生的可能性,使得一方交易对手交付了金融资产但没有收到相应的付款。货银对付(DvP)是旨在通过确保证券和现金同时交换来减轻结算风险的核心机制。通过将资产的转移与资金的转移联系起来,DvP显著降低了一方履约而另一方未能履约的风险。结算风险与信用、流动性、法律和操作风险密切相关,在证券交易中尤为重要。

在实践中,DvP依赖于相关系统和参与转移证券与现金的代理人之间的协调流程与标准化消息传递,确保交易的双边(两条腿)同时执行。DvP的有效性取决于这些过程的可靠同步,以使任何一端都不会被孤立地完成。现金流转端通常以央行货币或商业银行货币结算,央行货币由于没有信用风险通常被认为更安全。在1987年股市危机之后,DvP的重要性得到了加强,此后G-30建议在结算系统中实施它,G-10随后制定了其框架。此要求现在已嵌入CPMI-IOSCO金融市场基础设施原则(PFMIs)中,构成确保交易安全高效完成的关键保障。

信用风险产生于交易对手无法(在到期时或未来任何时候)履行其财务义务的可能性。而流动性风险产生于交易对手未能按时履行其义务,即使其保持偿付能力并可能在以后能够履约。这些风险也可被称为交易对手风险,与清算和结算阶段相关,在这些阶段,财务义务具体化并必须得到履行。

FMIs 概述及其如何缓解风险

(An overview of FMIs and how they mitigate risks)

FMI对于金融市场的稳定性、效率和弹性至关重要。通过为清算、结算和记录金融交易提供多边安排,FMI降低了交易对手、结算和操作风险,限制了传染,并提高了透明度。这些功能的集中化实现了净额结算的效率、风险共担以及跨参与者的协调风险管理,从而支持有序的市场运作和金融稳定。

这些目标是通过一套多样化的基础设施实现的,每个基础设施专门在交易生命周期中执行不同的功能。因此,FMI涵盖了一系列在范围、设计和风险管理职责上各不相同的系统。

本文主要关注中央证券存管机构(CSD)、中央对手方(CCP)、证券结算系统(SSS)和交易报告库(TR),它们是主要参与证券和衍生品交易的FMI。同时,支付系统也与其他FMI相连,因为它们涉及证券和衍生品交易中的现金流转端或支付。主要的相关FMI类型在专栏1中概述。

专栏 1. 与本文相关的FMIs (Box 1. FMIs relevant to this paper)

中央证券存管机构 (CSDs) 负责证券的保管、维护和转移。此外,许多CSD还充当证券登记机构并提供辅助服务,例如公司行为处理或证券借贷。国际CSD通过容纳一系列全球交易的工具,进一步支持跨境金融交易。发行过程在不同司法管辖区有所不同。在许多国家,发行发生在CSD,而在其他司法管辖区,官方注册机构服务处理该过程并确保在初始发行中准确记录和保管证券。

证券结算系统 (SSSs) 按照一套预定的多边规则,促进证券的簿记转移和结算。当证券交易涉及支付时,SSS确保货银对付(DvP),这是一种保证只有在进行相应支付时才发生证券转移的机制,从而降低了结算风险。在许多司法管辖区,CSD运营一个SSS。例如,在欧盟,SSS必须由CSD运营。

中央对手方 (CCPs) 介入金融交易的交易对手之间,承担交易双方的交易对手风险,并确保合同义务的履行。此外,CCP通过交易的多边净额结算,以及对所有参与者施加风险控制,显著降低了参与者的风险。例如,CCP要求参与者提供抵押品以覆盖风险敞口,并制定了在参与者违约情况下分担损失的机制。因此,CCP降低了系统性风险。

交易报告库 (TRs) 为交易数据提供集中的电子存储库,并促进金融市场的透明度。TR在场外交易(OTC)衍生品市场中尤为重要,在该市场中,提供准确和及时的交易数据对于风险监控至关重要。通过汇总并与监管机构和市场参与者共享信息,TR在降低系统性风险和支持运营效率方面发挥着关键作用。

FMI通过管理在金融交易整个生命周期中出现的风险,并通过向当局提供对交易和所有权数据的访问来创造价值。因此,管理良好的FMI对于金融稳定至关重要。在本节中,我们概述了主要的风险类别以及FMI缓解这些风险的方式,为评估这些功能在代币化环境中如何演变奠定了基础。附件1概述了FMI的价值主张和功能。

法律风险 (Legal risk) FMI在明确且可执行的法律框架下运作,并由全面定义其规则和程序的规则手册作为支撑。这一框架确保了交易的有效性和可执行性,减少了与合同执行、资产回收和潜在争议相关的不确定性。在跨境交易中,FMI通过遵守统一的国际原则(PFMIs),建立解决管辖权冲突的机制,并确保FMI规则在所有相关管辖区均可执行,从而缓解冲突的法律制度带来的风险。

操作风险(包括网络风险)(Operational risk including cyber risk) FMI实施严格的操作风险管理,以确保系统的安全、可靠和弹性。他们识别、监控并响应威胁,包括网络风险和外部中断,并制定有计划,以实现在重大中断期间的及时恢复和服务延续。通过实施具有稳健控制和风险管理的集中式严格审慎要求,FMI在整个参与者、服务提供商和互联基础设施网络中培养了信任。

托管风险 (Custody risk) FMI通过稳健的托管安排确保资产的安全保管,从而降低托管风险。它们建立参与者资产的明确隔离,保持全面的记录保存,并对登记机构和托管人进行尽职调查,以最大程度地降低由于破产、疏忽、欺诈或不良管理而导致的损失或管理不善的风险。 此外,CSD通过防止未经授权的证券记录的创建、销毁或更改,来保护托管证券的完整性。它们通过维护准确的证券账户、端到端审计和严格的对账过程来实现这一目标。通过验证初始发行并与发行人、登记机构和代理人核对记录,CSD确保记录的证券与发行的数量相匹配,从而保护投资者。

结算风险 (Settlement risk) SSS及其运营的CSD通过货银对付(DvP)机制来降低结算风险,确保只有在付款发生时才转移证券。如果结算未按约定进行且转移失败,这可能导致重置成本或全部本金损失。此外,在明确的法律基础上,FMI还提供结算最终性,使交易在法律规定的点上成为不可撤销和无条件的,从而增强市场的稳定性和信心。 当结算不是即时进行而发生延迟(从T到T+x)时,需要采取交易对手和流动性风险管理措施。当结算不是即时发生时,各方必须减轻交易对手违约风险以及按约定条款交付资产但未收到回报的风险。解决方案范围很广,从消除风险但占用流动性的全额预先注资,到完全没有风险缓解措施(这使风险敞口最大化)。为交易提供抵押品,提供部分担保,允许在保持流动性的同时管理风险。 FMI通过优先使用免受信用和流动性风险的中央银行货币来减轻结算风险。结算风险可由信用和流动性风险引起,或一方未能按时履行财务义务引起。与带有交易对手风险的商业银行货币不同,中央银行货币增加了稳定性,减少了结算失败并增强了系统弹性,特别是在压力时期。

交易对手风险:信用风险和流动性风险

(Counterparty risks: credit and liquidity risk)

如今CCP对于风险缓解和市场稳定不可或缺。CCP采用风险管理措施,如抵押品要求和通过违约基金进行的损失共担,以解决在合同到期之前参与者的风险敞口问题。它们还进行日常压力测试,以确保其财务和运营框架的弹性。 FMI通过稳健的风险管理框架减轻信用风险。它们要求参与者维持充足的财务资源、抵押品和风险控制,同时监控对结算银行、托管人和相连FMI的风险敞口,以防止系统性中断。FMI的风险管理框架旨在避免道德风险。 CCP吸收交易双方的信用风险,并在发生违约时为交易提供担保。它们通过保证金系统(即初始保证金和变动保证金要求),以及旨在覆盖极端但看似合理的市场冲击的违约基金来管理风险。 CCP通过结构化的损失瀑布(loss waterfall)管理违约,以遏制风险并维持稳定性。如果违约参与者的保证金不足,CCP首先使用该参与者的违约基金捐款。然后,CCP在动用非违约成员的捐款之前,用自己的资本(即“风险共担资金”)来弥补部分剩余缺口。成员可能被要求补充这些资金。一些CCP在向成员催缴资金之前注入额外资本,以此提供第二层风险共担保障。通过分散损失,这些机制防止了传染并加强了金融稳定。 FMI通过流动性缓冲、风险控制和压力测试来管理流动性风险。FMI维持流动性资源,如央行存款、承诺的信贷额度和高流动性的抵押品,以抵御压力情景。实时监控、敞口限制和资金来源的多元化降低了脆弱性。鉴于CCP具有更高的流动性需求,它们需要额外的预先注资资源。 CCP通过多边净额结算来减轻系统性风险和传染,将多个双边义务合并为每个参与者的单一净头寸。这降低了风险敞口,限制了流动性压力,并最大程度地减少了义务的数量和价值。具有法律效力的净额结算框架确保净额义务的可执行性,防止在破产情况下出现可能使参与者暴露于总额结算金额的挑战。

集中数据以供监管访问

(Centralize data for regulatory access)

TR(交易报告库)集中衍生品交易数据,为当局提供监控系统性风险的及时访问。通过汇总、验证和维护交易记录,TR提高了数据的准确性,减少了差异,并改善了系统性风险评估。

虽然FMI降低了交易生命周期各个环节的风险,但它们也可能引起投资风险。投资风险是指由于投资FMI自身资源或其参与者的资源(如提供的抵押品)而产生的潜在损失。为了控制这些风险,FMI在保守和透明的投资政策下运作,旨在保持流动性并确保持续履行其义务。投资通常仅限于高流动性、低风险且可随时转换为现金的工具,例如以政府证券为抵押的隔夜逆回购协议。这些投资政策受监管要求的约束,嵌入在FMI的风险管理框架中,并向参与者披露。

FMI生态系统和治理

(FMIs’ ecosystem and governance)

FMI并非孤立运作,而是作为在不同系统、运营商和规则下运作的庞大实体生态系统的一部分。本小节将FMI置于该更广泛的网络中,并探讨如何管理它们与参与者、客户和其他相关代理的关系。

FMI的生态系统 (FMIs’ ecosystem)

FMI与交易生命周期中起重要作用的不同代理、实体和服务提供商相连。如今,FMI运营商通过具有法律责任的实体确保强大的系统运作和监管合规。运营商负责管理运营、制定参与规则(FMI规则手册)以及定义风险管理协议以维护监督标准。

FMI参与者在FMI规则手册中明确定义的准入标准下运作。他们通过直接会员、间接(通过FMI会员)或代理框架等模式进行参与,遵循确保有序市场行为和有效风险缓解的既定规则手册。

FMI的访问权限通常是分层的。参与者根据FMI规则手册中定义的准入标准通过不同的模式访问FMI。对于证券,大多数发行人可能无法访问CSD,而是通过与CSD建立预先合同关系并充当发行人代理的银行进行发行。在CCP的情况下,有直接清算成员(他们是CCP的参与者)以及通过直接成员访问CCP的间接成员。

CSD拥有不同的模型来记录证券的所有权,称为直接持有和间接持有。在间接持有模型中,CSD仅将托管人记录为证券所有者,而托管人维护实益拥有人持有量的记录。这种结构依赖于托管人在维护所有权记录方面的准确性和完整性。相比之下,直接持有模型要求CSD直接注册实益拥有人,提供更高的透明度并减少对中介系统的依赖。

托管人是持有证券实益拥有人账户的信贷机构或投资公司。托管人与CSD建立有预先关系,并向其客户提供访问权限。托管人需要遵守隔离要求,以确保客户的资产在破产情况下与其自身资产区分开来,并且他们还通过综合账户和隔离账户为客户资产提供不同级别的隔离。

清算成员具有直接访问CCP的权限,并可以将此访问权限扩展到客户或间接成员。清算成员维持与CCP的预先关系,并将预先提供资金的资源投入违约基金。由于重大的财务、运营和合规要求(例如满足严格的风险标准、经历漫长的入职流程以及投资于IT基础设施),成为清算成员对于所有市场参与者而言是不现实的。因此,清算成员促进了在CCP为各参与者设定的风险范围内的客户交易。

涉及的其他相关实体包括结算代理,它们促进证券DvP中资金端的结算。结算代理有助于资金无缝转移并提供重要的日内流动性。结算代理可以是中央或商业银行,在其簿记中记录FMI的信贷和借贷。当结算代理是中央银行时,交易以央行货币结算且被认为是无风险的。这要求FMI连接到中央银行支付系统网络。结算代理也可以是商业银行,它们用商业银行货币结算FMI的交易。结算代理还促成FMI向其参与者进行日内信贷操作,确保提供流动性并在同一天内偿还。

关键服务提供商支持运营效率和技术创新。像SWIFT和其他外包服务提供商等实体,提供关键的交易后和优化功能,提升了FMI的性能。

治理

(Governance)

匹配平台、FMI与交易对手之间有效关系对于交易至关重要。参与者依靠交易平台的功能和治理来有效执行订单并维护有序的市场。他们也依赖交易对手的合法性和由FMIs维持的所有权记录的准确性。

如前所述,当今的证券和衍生品市场需要不同参与者之间复杂的联系。这些关系通过参与各方、交易场所和FMI之间的标准化合同予以记录。而在双边OTC市场,交易通过各方与FMI之间的双边协议予以记录。不同的市场协会为特定案例的交易开发了市场上广泛使用的标准化文档(例如用于OTC衍生品的ISDA合同、用于证券借贷的GMSLA,或者用于回购协议的GMRA)。

FMIs拥有规则手册(rulebook),其中包含了管理市场参与者和FMI之间关系的所有规则。规则手册描述了FMI运作中所有相关方面和流程,比如向客户提供的不同类型账户、提供的结算和清算服务、承接交易所需的内部和外部指令、FMI投资规则、抵押品管理规则、追加保证金、损失共担机制以及FMI可能提供的任何其他服务(如融资服务)。

二、代币化金融资产的特征

(II. Features of Tokenized Financial Assets)

本节概述了本文设想的金融资产主要被代币化的情景。本节首先明确了代币化的含义,然后回顾了区块链的治理安排以及可能的架构。治理涵盖了适用于资产生命周期和交易各方的规则。而架构描述了区块链、资产和资产所有者之间的相互作用。治理和架构共同决定了可发生的交易的效率和类型。

金融资产的代币化

(Tokenization of financial assets)

代币化是指在区块链上创建资产或资产的表征(Schär 2021; Aldasoro 等人, 2023; Mancini-Griffoli 等人, 2024; Agur 等人, 2025)。因此,代币化的好处建立在区块链技术更广泛的优势之上。

区块链依赖于共享账本和标准化的交易执行规则。参与者可以运营所谓的节点,这些节点根据一组确定性的执行规则处理交易。这反映了一种技术设计选择。为了确保所有参与者对账本的当前状态(包括但不限于资产所有权)保持共同的视图,交易的包含和排序由共识协议管辖。从这个意义上说,可以认为区块链由两种协调机制组成:一种与执行规则的标准化有关,另一种与共识协议的标准化有关。

共识协议在不同的区块链系统中表现出显著差异,反映了在达成关于交易有效性和排序的协议方面的不同方法。最常见的变体依赖于计算资源或经济利益作为投票权的代理(工作量证明和权益证明)。在授予某些实体特殊特权的许可模型中,通常采用分配给指定参与者的明确投票权。共识协议的选择是系统开放性及其相关风险状况的关键决定因素。

由单一节点运营的许可区块链实际上类似于传统的集中式数据库。虽然它可能仍采用类似的执行引擎,包括使用智能合约和代币表征,但它引入了单点故障,并丧失了本节讨论的通常与共享账本相关的主要好处。

智能合约是部署并存储在区块链上的一组基于代码的指令和变量。这些指令定义了确定性规则,当交易明确调用合约的某项功能时,这些规则作为交易的一部分被执行。在这个意义上,交易作为执行的触发器,其结果完全由合约代码、输入参数以及区块链的当前状态决定,确保在所有节点上相同的条件始终产生相同的结果。

可组合性是指智能合约与其他智能合约交互并调用其功能的能力。因此,单笔交易可能会引发一系列合约执行,其中一个合约触发另一个合约,从而创建一系列操作。此属性允许智能合约被重用并组合成更大的模块化系统,通常称为协议。可组合性的一个有用类比是乐高积木,其中各个组件可以组装成复杂的结构。

由同一笔交易发起的一系列智能合约调用作为不可分割的单元执行。在这种背景下,不可分割性——或原子性——意味着要么所有子步骤都成功执行,要么全都不执行。例如,如果一个智能合约同时将证券代币从Alice转移到Bob,并将稳定币从Bob转移到Alice,原子性确保这些转移不能孤立发生:两个操作要么一起完成,要么整个交易被撤销。

代币代表区块链上的资产,通常通过智能合约实现。代币合约维护所有权和账户余额的记录,同时提供一组定义的功能,根据预定规则修改这些值。诸如在账户之间转移代币之类的核心功能在几乎所有的代币合约中都是标准的。调用此类功能时,代币合约会自动验证发送方的余额是否充足,然后相应地更新发送方和接收方的余额。

代币合约具有高度适应性,可以量身定制以包括针对特定资产的监管要求或治理功能。除了所有代币合约共有的基本功能之外,发行人还可以添加定制功能,例如将某些地址列入黑名单、实现自动利息支付或启用基于代币的投票机制。例如,将某些有风险的金融工具的交易限制在成熟的参与者中。这种灵活性使代币化能够复制或增强传统资产特征,同时将它们直接嵌入代币合约代码中。

然而,代币安全性不能仅由区块链协议来保证;它还取决于底层智能合约的设计和实现。虽然区块链确保了确定性执行,并可能支持资产保管和数据完整性,但代币的行为完全由合约的逻辑定义。如果合约设计不当或含有恶意代码,这种灵活性可能会引入重大风险,可能允许未经授权的冻结、任意余额调整或其他偏离预期资产属性的情况。因此,对代币智能合约代码进行彻底的审查和审计至关重要,这既是为了评估其安全性,也是为了评估其功能设计的合理性。

数据可读性和加密技术的进步可以为监管带来新的方法。在传统的金融IT系统中,审计师和监管机构依赖于由运营账本的法律实体提取和准备的数据,这造成了依赖性以及信息不完整或被篡改的潜在风险。区块链的共享账本结构可以允许监管机构和审计师直接在链上验证数据,从而提高一致性并减少欺诈的机会。

同时,更高的透明度引发了对隐私的担忧,需要加密和隐私保护技术以确保敏感信息受到保护。最近的研究探索了此类解决方案,包括ZkLedgers、隐私池或代币的同态加密。

区块链治理 (Blockchain governance)

区块链治理可以通过四个关键维度来理解:(1) 记账或共识,(2) 交易验证,(3) 访问权限,以及 (4) 升级策略。记账是指确认新交易并更新账本状态的过程。验证涉及验证交易是否已正确且按照平台规则执行的能力。访问权限定义了谁可以发起交易或更广泛地说与平台互动。升级策略解决了如何决定和实施对共识机制和执行规则的更改。

记账或共识部分已在区块链特征部分进行了讨论。本质上,共识规则确定了可以将新交易添加到区块链的条件,并指定该权限是分配给特定参与者,还是根据计算能力或经济利益等资源进行分配。

开放的验证和广泛的数据访问是维护区块链无信任和分布式性质的基础,因为它们允许任何参与者独立验证交易的正确性。如果验证交易遵循账本规则的能力受到限制,控制访问的实体可能会阻止或限制独立验证,从而有效地集中了监督。此类限制可能会引入单点故障并增加信任假设,从而破坏系统的整体完整性和弹性。

访问限制可以在账本或智能合约层面实施。区块链可以限制在一组被许可的参与者范围内,也可以是无许可且对应用不可知的。类似地,在无许可和许可区块链中,都可以实施智能合约级别的访问控制,例如在代币或基础设施合约中设置白名单。

区块链的升级策略可以说是治理中最关键的方面,因为它有可能改变系统的所有其他规则。治理和网络升级的发展值得仔细审查,因为通过此过程引入的更改可能会影响共识协议、执行规则,并进而影响网络的安全性及经济激励措施。在智能合约级别的治理和区块链级别的治理之间存在明显的层级关系。智能合约级别的治理仅适用于特定的应用程序和资产,而区块链级别的治理则为整个平台建立规则,作为所有应用程序和资产具有约束力的基准。智能合约可以引入更严格的规则。但不可能制定比账本层级定义更宽松的规则。

账本的分布越广,能够以可组合和原子化方式利用的资产和基础设施范围就越大。账本在市场参与者之间被采用和互操作的程度越广泛,资产和金融基础设施就能越无缝地交互。这方面的一个例子是扩大资产池以优化净额结算。

无许可区块链可能允许这种广泛的参与和对应用不可知的基础层。更严格的规则可以通过术语表中定义的第2层(layer 2s)来实施,这些层可以专门设计以适应特定FMI的监管和运营要求。

同时,账本共享越广泛,规则制定和治理就越复杂。更广泛的参与增加了利益相关者的多样性,使得在治理框架和协议升级上达成共识变得更具挑战性。部署在区块链上的主导应用和资产可能会赋予其重要的治理权和隐性的否决权。这些所谓的反向依赖可能会出现,例如,当占主导地位的稳定币发行人利用其市场地位来影响区块链的治理过程时,特别是在升级策略方面。

在不损害区块链其他核心属性的情况下进行扩容仍然是一个重大挑战。提高交易吞吐量给网络节点带来了更重的负担,并有将使用低端硬件的参与者排除在外的风险。这种动态可能导致网络变得更加中心化,只有拥有高度专业化、机构级硬件的运营商才能参与。解决这些问题的潜在方法包括基于简洁证明的验证。

简洁有效性证明能够证明交易的有效性,而不需要所有参与者重新执行所有的底层计算。该方法依赖于少数具有高端硬件访问权限的参与者来组装区块并生成简洁证明。该证明可以证实所产生的状态变化源自基础交易并遵守区块链协议的规则。验证证明的成本远低于重新执行交易的成本。因此,其他参与者,即使是计算资源有限的参与者,也能有效地验证主张并确认所有状态变化的有效性,而无需单独处理每笔交易。这些系统通常被不太准确地称为零知识验证。虽然有可能获得潜在的隐私收益,但这里利用的主要属性是简洁性,而不是零知识。一个证明系统可以在不隐藏任何信息的情况下实现简洁性。

第2层(Layer 2s)是分层的扩展机制,其中批量交易最终以聚合形式在基础区块链上得到确认。主要目标是通过避免单独验证每笔交易的需要,减少基础层的计算和存储负担。Layer 2 的变体包括链接状态通道、乐观汇总和零知识汇总。尽管它们的技术设计和基本假设不同,但它们有一个共同的原则:通过加密证明,或者通过可以在争议窗口期提出异议的未经证明的状态变化,定期将聚合状态变化记录在基础区块链上。在这个框架中,基础区块链充当最终的结算和争端解决层。

可能的架构 (Possible architectures)

前面两节抽象地讨论了区块链的属性。在现实中,链、资产和所有者之间的关系——即代币化金融系统的架构——至关重要。架构涵盖了用于代币化资产的链的数量、链之间的兼容性,以及资产所有者(或其中介机构)对底层链的访问权限(即他们持有资产并向任何给定链传递指令的能力)。架构对交易的效率和风险有重要影响。我们将在下面介绍可能的架构,然后第三部分将讨论与每种架构中涉及的FMI相关的不同风险。

存在三种可能的架构,并且无论资产是否代币化,它们普遍适用。这些架构简单地源于账本、资产和所有者之间可能的关系,如矩阵所示。行表示正在交易的资产(如货币和债券)是否记录在同一个账本上。列表示旨在进行交易的所有者是否可以访问记录资产的所有账本。架构模型源于矩阵捕获的可能组合。

第一种模型被称为单一账本模型,意味着所有所有者都可以访问记录交易资产的同一账本。例如,两方可能在同一账本上用债券兑换货币。交易的简单性很有吸引力。但在实践中,涵盖大量资产的单一账本示例尚不存在。CSD可能是最接近的例子,但它们通常只记录和交易一部分债券。

第二种是兼容账本模型,适用于资产记录在不同的账本上,但所有者可以访问两者的情况。例如,货币可能在一个账本上,而债券在另一个账本上。然后,协调实体可以同时向两个账本传递转账指令,从而使接收债券和进行支付的时间大致相同。一个例子是欧洲央行(ECB)的T2S平台,它协调在欧洲央行RTGS账本上的央行货币支付以及跨欧盟CSD账本上的证券转移。

第三种是通用账本模型,用于每个所有者只能访问记录其想要出售的资产的账本的情况。最明显的例子是跨境交易,其中一家国内银行和一家外国银行希望交换最终记录在各自国家RTGS中的货币。或者一个更简单的例子是一家国内银行的客户想要向另一家银行的客户付款。在这种情况下,资产首先转移到交易双方共有的中介机构的所有权和账本中,然后中介机构发行自己的负债用于结算。在上述简单情况中,该中介机构就是中央银行,能够在两家银行均可访问的RTGS账本上以央行准备金进行结算。在跨境情况下,中介机构是代理行。

信任假设根据所选平台模型而有所不同。通常,用户必须信任所有涉及的账本、代币合约以及潜在的协调者。在单一账本模型中,用户必须信任该单一账本及其上部署的代币合约。在通用账本模型中,用户必须信任原生资产账本、通用账本本身以及部署在所有账本上的资产合约。在兼容账本模型中,用户必须信任资产的原生账本以及协调实体。

在单一账本和通用账本模型中,区块链可以提供共享的真实数据源。相比之下,如今的传统IT系统很大程度上依赖于可互操作但独立的账本,极少有例外。区块链使多个账本副本能够在参与节点之间同步,确保每个副本反映了过去和当前交易的一致记录。然而,该记录不可篡改的程度取决于底层共识机制。在完全中心化的安排中,不可篡改性最终基于对该实体的信任,而不是有技术保障的。相反,在更去中心化的设置中,不可篡改性取决于协议本身提供的安全性及结算最终性。根据具体实现方式的不同,基于区块链的互操作账本也可能提供比传统账本系统更强的安全属性。

当不同的账本登记所有权记录时,确立哪个账本作为代币化证券所有权的权威记录非常重要。关键在于确立哪个账本作为真实数据源具有层级优先权。根据平台模型的不同,可能会有不同的账本登记所有权记录,这就要求其中一个是起决定性作用的。在单一账本模型中这不是问题,但在通用模型中,原生资产账本优先于通用账本。在兼容模型中,由于资产在多个账本上发行,建立这种权威性更加困难,有时协调这些不同账本的协调者会被授予这种权威。

严格的原子性只能在具有单一、统一状态和执行环境的账本上得到保证。当交易涉及多个账本时,无法直接实现真正的原子性。相反,链接这些交易的尝试依赖于中介机构以及账本之间的协调机制,并受制于额外的假设条件,例如所有涉及的账本都处于活动状态且不可篡改。

当涉及多个账本时,对账过程仍然是必要的,以确保各系统之间的一致性。通用账本模型和兼容账本模型都是如此。然而,区块链的透明度和不断增加的标准化努力可能会促进对账过程,减少发生错误的可能并增强可审计性。

三、代币化世界中的FMI功能

(III. FMI Functions in a Tokenized World)

本节假设一个资产主要被代币化的世界。尽管如此,资产生命周期仍然存在,随之而来的是前面确定的风险。本节首先提出一些适用于所有架构的共同考量,然后继续解释资产生命周期的每个阶段在代币化下将如何执行,这在很大程度上取决于现有的治理和架构安排。附件2-4总结了如何在三种架构模型中执行不同的功能——发行和结算(附件2),净额结算、追加保证金和损失共担(附件3),以及集中式数据存储库(附件4)。然后,本节将研究每个阶段的风险和缓解选项,探讨与当今很大程度上未代币化的世界相比,代币化是使这些风险基本保持不变、减少了它们,还是引入了新风险。

代币化资产生命周期

(Tokenized asset lifecycle)

在代币化交易中,生命周期大致与传统市场相似。对于证券和衍生品而言,它通常包括发行、交易、清算、结算和报告。

发行

(Issuance)

发行是在区块链上创建资产的代币化表示并使其可用的功能。它的实施因平台模型而异。 在单一账本配置中,资产作为代币通过管理代币创建和转移的代币智能合约在同一区块链上原生发行,发行和记录保存在单一环境中统一。在通用账本模型中,资产保留在独立的原始账本上,但在通用账本上被镜像或重新发行,这需要强大的技术和法律可执行性以确保资产的完整性。在兼容账本模型中,发行在不同的资产账本上独立进行,需要额外的安排来协调和跟踪跨账本的资产流动。

一旦资产被发行,区块链和代币化可以确保记录的安全保管和完整性,尽管实施和保证在不同架构中有所不同。 在单一账本配置中,分布式共识确认所有交易并由此执行代币的规则,这可以防止双重支付和未经授权的资产创建。在通用账本模型中,除了每个账本内的共识外,还要通过部署在通用账本上、受其自身共识机制管辖的独立代币合约进行额外的代币表示补充。在兼容账本模型中,共识在每个账本上独立建立。

资产发行可以通过标准化的代币智能合约或通过平台的原生发行机制进行。代币的设计决定了发行在实践中是如何进行的。 标准化智能合约接口(如 ERC-20)指定了标准化的方法和事件,以一致的结构提供日志数据。代币智能合约还可以被设计为需要包含更多信息,确保区块链上的发行记录符合当前监管要求的颗粒度。

交易

(Trading)

交易可以在链上或链下进行,选择受平台模型的影响。 在单一账本上,交易可以在链上原生执行,例如通过自动做市商 (AMM),以便随后诸如清算之类的功能可以作为同一执行的一部分原子化地执行。在通用账本模型中,如果资产在通用账本上被镜像,链上交易仍然可行,这同样为下游步骤保留了原子性。在兼容账本模型中,资产跨越独立的资产账本进行交易,因此原子性保证减弱。链下交易在所有平台模型中仍然可行,并继续类似于现有的安排,但它放弃了与后续步骤的严格原子性保证。

清算

(Clearing)

大多数清算功能可以在链上实现自动化,尽管有些将需要链下和更多可自由裁量的流程。作为一个经验法则,某个功能的执行越具有确定性,就越容易在链上完全自动化。 例如,合同的约当更替(novation)是确定性的,因为所涉及的操作始终以相同的方式应用,而保证金模型可以从一定程度的自由裁量调整中受益,特别是在市场压力时期。基于此,区块链有利于抵押品管理功能、违约基金的管理和保证金执行,但在管理风险模型方面会引入挑战。

智能合约可以被设计为交易的对手方,类似于 CCP 的运作方式。在单一账本和通用账本平台模型中,当交易也在链上发生时,约当更替可以原子化地执行。 在兼容账本的情况下,由于资产跨越不同账本进行交易,因此只能实现弱原子性。当交易在链下发生时,约当更替仍然可以自动化,类似于现有系统,但没有任何严格的原子性保证,并且这种限制适用于所有平台模型。自动化的约当更替可能需要隐私增强技术,在防止敏感信息泄露的同时保持链上可组合性。

风险模型数据和保证金计算可能将在链下处理,只有产生的保证金要求记录在区块链上。考虑到保护交易对手风险敞口隐私的重要性、更新频率以及潜在手动调整的可能性,此类计算通常在链下进行更具操作性。 虽然底层的风险模型数据应保留在链下,但保证金计算本身既可以在链下进行,也可以在链上进行。链上计算可以通过部署在基础层或第2层(layer 2)解决方案上的智能合约来实现。不同计算方式的选择涉及分布式验证、可组合性、速度、可扩展性和隐私保护方面的权衡。从监管角度来看,清算和保证金计算的一个关键方面是问责制,并了解谁对风险模型负责。

风险模型所需的市场价格数据在所有平台模型中都需要从链下提供商处获取,这就产生了对所谓预言机(oracles)的依赖。即使交易发生在同一区块链上,此类数据通常也不适合作为参考价格。 另一种方法是在链下进行所有风险模型计算,仅将产生的输出记录在区块链上。考虑到根据市场条件进行潜在手动调整的频率,此类计算在任何情况下都更适合在链下实施。

根据平台模型的不同,风险敞口的计算和追加保证金通知的发出可以原子化地实施。基于链下计算,可以调用智能合约来验证保证金要求,并在不足时要求从参与者的账户中转账。 将风险模型保留在链下可以缓解对个人风险敞口隐私的担忧,并保护 CCP 的专有规范。然而,将模型保留在链下也限制了自动化,并需要外部触发器。

在单一账本平台上,保证金转移可以更有效率、步骤更少地执行。 在参与者同意预先提供资金或指定抵押品的情况下,智能合约可以原子化地提取所需资金。从合同约当更替到提取和转移,可以扩展为一个单一的原子化过程。该程序应允许在商定的时间范围内进行多次提取尝试,然后再宣布参与者违约。如果不能一开始就提取抵押品,由此产生的延迟将损害原子性。

在通用账本平台上,只有当被提取的资金记录在运行清算和保证金协议的账本上时,才能实现原子性。 作为执行追加保证金通知的先决条件,抵押品必须首先转移到该账本。

在兼容账本平台上,不可能实现严格的原子性。 要求所有涉及的资产账本保持同步性和不可篡改性的较弱形式的原子性,只有在清算和保证金协议在每个相关资产账本上实施并积极运行时才能实现。

智能合约可以在所有平台模型中执行多边净额结算。 净额结算算法必须定义符合条件的资产及其之间的相关性。

损失共担的实施将因平台模型和预先注资的违约捐款的位置而异。 在单一账本平台上,违约基金捐款直接在链上预先注资,使交互实现自动化并原子化执行。在通用账本平台上,流程大致相似,但跨账本转移会增加复杂性。在兼容账本平台上,损失共担的协调将主要在链下进行,类似于现有安排。

结算

(Settlement)

区块链和代币化可以通过实现资产或支付的安全透明转移来支持结算功能。结算流程因平台模型而异。 在单一账本配置中,结算可以通过智能合约原子化地发生。在通用账本模型中,原子化结算只能在通用账本内实现,跨账本交易依赖于桥梁并提供较弱的原子性保证。兼容账本模型需要受信任的第三方,并且通常需要对交易进行预先注资。兼容模型缺乏可组合性和严格原子性,但在无法使用单一或通用账本的情况下连接独立系统方面仍然有效。

净额结算与由此产生的义务的结算之间的原子性将减少风险敞口并降低所需的预先注资水平。 这只有对于单一和通用账本才有可能。在兼容账本的情况下,如果没有预先注资就无法保证货银对付(DvP)。

在衍生品合同到期时,净头寸可以在链上或链下结算,具体取决于平台模型和实施选择。 资金的净额转移将发生在统一的单一或通用账本上,或者在兼容模型的情况下发生在独立的资产账本上。

严格的原子性不能扩展到交易和结算被分为两个独立交易的情况。 但是,就像传统的基础设施一样,当市场参与者选择延迟结算时,结算可以被推迟。

报告

(Reporting)

区块链可以作为交易的集中式存储库,为当局提供可信的信息和直接访问权限。 数据完整性受益于区块链的不可篡改性和增强的验证机制。直接在链上记录所有交易数据可以减少额外的报告义务。

根据共识协议和执行环境,区块链可以确保记录交易的完整性。 数据可以以标准化格式并近乎实时地提供。 代币智能合约可以被设计为包含符合当前监管要求颗粒度的数据。

区块链数据天生非常适合自动解析和处理。 它们还实现了对公共内存池的可见性。然而,监管价值受到一些私下路由订单流的限制。

信息跨账本的分布取决于平台模型。 在兼容账本模型中,必须从所有相关的资产账本及协调实体收集数据。在单一账本模型中,一个账本可以作为主要数据源。在通用账本模型中,原始资产账本仍然包含重要的所有权信息。

风险及缓解措施

(Risks and risk mitigation)

风险在整个资产生命周期中依然存在,并且出现了特定于代币化的新风险。这些风险可以根据其产生的阶段——发行、交易、清算、结算和报告——进行分组,并且大多数风险可以通过架构选择、隐私增强技术、立法、监管以及负有责任的法律实体的参与等某种组合来得到缓解。下文的讨论首先确定了每个阶段的残余风险和新风险,然后探讨了如何应对这些风险。

发行风险

(Issuance Risks)

其中一项风险涉及发行的治理,即谁有权铸造资产以及在何种保障措施下进行。 对铸币权限的薄弱控制可能会导致未经授权或超额的发行,从而稀释资产价值并破坏信心。

代币化资产的支持物引入了超出代币本身的托管风险。 如果代币代表的是并非在区块链上原生发行的链下资产,或者是代币赎回时的交付承诺,那么该主张的可执行性取决于代币与底层资产之间清晰且具有约束力的法律联系;如果没有这种法律确定性,链上记录的价值将受到限制。操作的完整性还取决于这些链下资产的管理方式,需要做出安排以防止未经授权的创建并确保准确的表征。虽然当今的托管人管理着固定化或无纸化的证券,但代币化市场可能需要新的运营模式,特别是对于诸如代币化房地产等非金融工具,这些领域可能需要专门的托管和验证角色。

代币合约本身的设计可能成为一种风险和潜在的攻击载体。 嵌入在代币智能合约中的自定义功能可能会偏离传统的发行规则,通过引入特殊权限或改变代币分配的其他机制来实现。虽然这些功能增加了灵活性并可能促进监管合规,但它们也创造了被滥用的可能性,使得恶意的代币发行人能够操纵余额或改变代币分配。

底层区块链的分叉可以通过产生账本的竞争版本来造成法律上的不确定性。 区块链在商定的规则集下运行,在大多数情况下,遵循这些规则的版本很容易被识别,但客户端实现中的微小差异可能会因为不同的解释而引发意外的分叉。对于由链下资产支持的代币,必须指定一条规范链(canonical chain)用于赎回,因为只有那条链上的代币才能兑换为链下抵押品。一种资产A遵循链X而资产B遵循链Y的情况将造成重大的市场混乱,法院可能会宣布其中一条链上的交易无效并要求撤销,从而破坏合同确定性,并使各方面临其财产权受到损害的主张。

占主导地位的资产或协议可能会捕获底层基础层的治理,从而影响依赖于它的FMI(金融市场基础设施)功能。 当大量协议依赖于同一个稳定币或使用一个占主导地位的预言机作为其数据提供者时,这些所谓的“反向依赖”就会出现,这实际上赋予了该资产或协议对区块链发展治理的否决权(参见European Commission and Schär 2024)。由此产生的权力集中会破坏去中心化和市场完整性。

缓解选项

(Mitigation options)

代币合约上的铸币功能应受到严格控制。 能够补充和强化制度解决方案的有效技术保障措施,范围从简单的多重签名方案(如2-of-3或4-of-7)到涉及时间锁和随发行数量及频率缩放的分层审批要求等更复杂的安排。

对由链下资产支持的代币的托管安排可能需要专门的实体。 可能需要新的市场角色来保护、审计和验证链下资产的存在和状况,确保区块链代币与其支持的链下资产保持一致。代币与资产之间主张的可执行性取决于代币与底层资产之间明确且具有约束力的法律联系,并且这种联系应在监管或平台规则手册中加以规定,而不是仅仅留给私人合同安排。

应审计支持证券发行和安全保管的智能合约,以确保可靠性并保障金融稳定。 审计应确认其符合市场法规、识别安全漏洞、优化效率,并验证合约是否按预期运行。应特别注意治理安排,包括对受限功能的执行要求和智能合约升级机制。此类审计可加强风险管理,并增强对基于智能合约的市场基础设施的信任。

有效的治理机制和法律框架是管理分叉风险和维持结算最终性的关键。 资产发行人和金融协议应协调规范链的选择,以避免针对不同资产产生相互竞争的规范引用而造成的混乱,并且平台规则手册应明确规定如何处理分叉。

交易和清算风险

(Trading and clearing risks)

在同一平台上结合多项功能会产生集中和传染风险。 当一个平台结合了发行、订单匹配、所有权记录、交易数据管理和DvP(货银对付)等活动时,需要采取保障措施,确保某一项功能的操作风险不会危及其他功能。这些风险并非完全是新出现的:像欧盟的TARGET这样设计良好的系统(该系统集成了实时全额结算TARGET2和证券结算TARGET2-Securities)展示了在内聚框架内实现效率和广泛市场准入的诸多好处,但2020年和2025年的TARGET事件表明,一项服务的中断如何可能同时影响支付和证券结算。

代币化可能会加剧流动性碎片化。 如果代币化资产在缺乏互操作性的闭环平台上交易,流动性可能会被分割,从而限制资产跨区块链的流动性。在资产既在传统交易所又在基于区块链的平台上交易的过渡阶段,可能会出现若干风险。同一资产类别的流动性可能会被分割,这种碎片化可能会影响金融稳定。此外,如果在不同账本之间以及链上与链下交易之间出现差异,监管必须为交易优先权确立明确的规则。

清算操作的原子性并不总是可以实现的,这限制了代币化降低风险的潜力。 多边净额结算、损失共担和保证金转移都涉及多个步骤(腿),在缺乏原子性的情况下会引入风险。兼容账本模型(compatible-ledger model)从原子性中获益极少,对于这些清算功能相比传统IT系统的改进有限,而从通用账本(common ledger)到原生资产账本的桥梁仍然是操作脆弱性的来源。所有三种平台模型也都需要依赖可靠且安全的智能合约来执行其功能。

强制执行追加保证金或违约声明的自动化可能在操作上是不可取的。 如果由于操作障碍而未能及时满足追加保证金的要求,自动强制执行在技术上是可行的(通过外部触发器),但可能是不合适的,特别是在市场压力时期,因为这意味着自动宣布违约并激活损失吸收和共担机制。因此,需要人手操作的灵活性来应对特殊的市场情况,这可能是一种弹性的体现,尽管引入这种灵活性会破坏可组合性和原子性。

隐私是代币化交易和交易后系统中的一个关键问题,因为在可验证性和敏感信息保护之间存在固有的权衡。 代币和交易数据的更广泛可访问性增加了隐私风险,特别是在所有参与者都能查看相同记录的单一账本(single-ledger)配置中。虽然透明度促进了广泛的验证并增强了信任,但它也会暴露交易细节和个人持有量。对公共内存池(mempool)的可见性虽然有助于监管,但同样可能会引入额外的隐私风险,并为验证者通过重新排序交易提取租金创造机会(Auer等人,2022)。不同的平台模型面临的隐私挑战也有所不同:在通常依赖于许可型区块链的通用和兼容账本模型中,隐私保护可以遵循传统的IT方法,由指定实体执行专门角色(参见IMF 2024 CBDC手册);而构建在无许可型区块链上的单一账本平台面临的巨大技术挑战,但通常不需要受信任的第三方。

对预言机(Oracle)的依赖产生了进一步的风险渠道。 链上价格源通常面临及时性与抗操纵性之间的权衡。AMM(自动做市商)通常不适合作为参考价格,因为它们容易被操纵(Mackinga等人,2022)。在链下进行风险模型计算并将结果记录在区块链上,有助于缓解这种风险,但这引入了对链下数据提供商可信度的依赖。考虑到根据市场条件进行手动调整的频率,这种计算无论如何在链下实施都会更加实用。

不清晰或相互冲突的法律为清算操作增加了另一层风险。 市场参与者在其各自司法管辖区内,就代币化资产的资质界定可能会受到不同且有时相互冲突的法律法规的约束,这可能会影响抵押品的可执行性。

可扩展性限制在单一账本模型中最为明显。 此类平台可能需要基于Layer 2的扩展解决方案,或者基于简洁有效性证明的区块验证,以实现足够的性能;而Layer 2解决方案本身通过在基础区块链上确认交易之前聚合交易,会降低可组合性和严格的原子性。

跨账本核对和桥接可能需要一个法律实体,这取决于平台的设计。 智能合约只能访问它们部署所在的账本上记录的数据,因此当涉及多个账本时,必须将账本A上的交易密码学证明传输到账本B,而这些证明通常无法确保交易的确认或不可篡改性。因此,支持清算操作的跨链桥和多账本平台可能需要一个法律实体来确保问责制、监督运营并处理故障。

还必须解决特定于区块链的新型网络风险和市场操纵风险。 对自动化和软件定义的执行条件的更大依赖,增加了独立审计、系统测试和具备弹性的故障保护机制的重要性。这些要求不仅适用于跨链桥和跨账本协调会引入额外操作依赖的通用和兼容账本架构,也适用于单一账本内具有可组合性的智能合约环境。此外,验证者对交易的重新排序可以为所有三种平台模型中提取租金创造机会。通用和兼容账本模型还可能暴露于一种额外风险之下:账本操作员可以任意撤销单个交易环节(leg),使多步过程仅被部分执行。

缓解选项

(Mitigation options)

平台在设计上应当隔离不同的操作功能,以缓解集中风险。 理想的设置在使平台最大限度地包容参与者和资产的同时,确保某一功能的故障不会级联传播到其他功能,从而维护整体系统的弹性和稳定性。该设计应特别防止系统性风险的产生并限制冲击传播的潜在可能。

当流动性碎片化分布在多个交易场所时,需要清晰的监管。 例如,代币化法律可以赋予在基于区块链的平台上的交易优先于传统交易所和账本上的交易,从而在出现差异时提供法律确定性。

在单一账本上原子化地执行智能合约可以极大地降低交易对手和操作风险。 智能合约可以自动执行净额结算、缴纳保证金、释放多余保证金以及违约基金捐款的管理,从而通过有保障的执行降低交易对手违约的风险,并最大程度地减少纠纷的风险。单一账本模型允许完全的原子性,通用账本模型也支持共享账本内的原子化执行,提供了相似的效率和安全性;在兼容账本模型中,跨越连接原生资产账本的桥梁进行结算仍然是非原子化的,因此面临的风险更高。

单一和通用账本平台允许在预定义条件下带有执行保证地划拨(earmark)资金,用可编程的资产池取代隔离的抵押品账户。 抵押品可以在无需赎回的情况下被动态组合或分配,从而提高抵押品管理的效率和灵活性,并实现新形式的流动性优化。技术保障仅在单一账本模型中能得到充分应用;在通用账本模型中,需要法律安排来保护连接原生资产账本的桥梁,而在兼容账本模型中,较高的操作风险可能使得抵押品可组合性和再抵押(rehypothecation)变得不切实际。

隐私增强技术可以缓解透明度与机密性之间的权衡。 零知识证明和机密交易通常需要用于平衡可验证性的需求与敏感数据的保护。隐私解决方案本身可能伴随与原子性的权衡,因为依赖受信任的第三方或不同的预注资要求可能会削弱原子性保障,即便是在本就缺乏严格原子性的模型中也是如此。

预言机(Oracles)可以被结构化为单一的受监管实体或去中心化网络。 一个受监管的单一预言机可以提供价格数据,并在法律上负责确保合规性和可靠性。或者,去中心化的预言机网络涉及多个参与者提供价格数据,并配有严格的机制来保持准确性和信任:参与者将需要提供抵押品,如果他们提供不准确或具有误导性的信息将面临处罚,以此来激励问责制并降低被操纵的风险。完全内源的替代方案(如时间加权平均价格 TWAP)是存在的,但它们容易受到操纵并且未被广泛使用;而任何人都可以提交价格的完全去中心化系统可能容易受到女巫攻击(sybil attacks)。

法律冲突可以通过精心设计的平台规则手册来解决。 规则手册应考虑到并缓解参与者所在司法管辖区之间的潜在冲突,并明确划定针对链下输入数据(如预言机数据)的责任,包括可能要求受监管实体履行该角色的规定。

可以通过技术提高可扩展性,同时不牺牲信任。 Layer 2解决方案通过在基础区块链上确认之前对交易进行聚合,可以显著提高吞吐量;而基于简洁有效性证明(succinct validity-proof-based)的区块验证,将区块和证明的创建委托给拥有高端硬件的专用节点,使得使用消费级设备的参与者也能验证所有交易是否已被正确执行且符合平台规则。这种方法保留了安全性和可验证性,同时减轻了各个验证者的计算负担。

跨平台模型中,部分CCP(中央对手方)功能仍将需要法律实体。 多边净额结算依赖于由一个中央对手方持有所有头寸,以确保风险被集中管理;虽然智能合约可以执行净额结算算法,但要管理CCP合规性、监管要求和风险管理框架,负责任的实体仍然是必不可少的。CCP的损失共担机制虽然可以自动化,但保留自由裁量权也有好处,例如在触发违约瀑布之前,为延迟的保证金支付提供宽限期,这有助于维持市场稳定。风险模型和保证金的计算同样应该由负责任的实体来管理,以确保其稳健性和合规性。

在危机情况下确保持续运营可能需要运营商或其他中心化实体的干预。 这样的角色不应必然落到验证者或其他与共识相关的参与者头上,因为在此层面的干预可能会破坏平台的去中心化属性。这一角色更有可能被分配给代币发行人或基于智能合约的基础设施运营商。更广泛地说,高效的基于区块链的市场基础设施很可能需要具有明确界定责任的新角色,包括代币发行、智能合约开发与审计、平台运营以及恢复计划。

结算风险

(Settlement risks)

代币化证券的结算关键取决于所选架构的原子性保证。 在单一账本模型中,严格的原子性和可组合性是可以实现的,尽管结算仍然依赖于代币智能合约的正确运行。在通用账本模型中,原子性在通用账本内得到保留,但跨账本交易依赖于桥梁或消息传递系统,提供的原子性保证较弱,原生资产账本只能实现较弱的原子性。在兼容账本模型中,较弱的原子性、缺乏可组合性以及跨账本同步问题造成了结算挑战,并增加了对DvP(货银对付)、DvD(券券对付)和PvP(同步交收)交易进行预先注资的需求。

结算最终性(Settlement finality)取决于底层区块链的治理框架和共识规则。 在对共识相关资源没有设定上限的系统(例如工作量证明 Proof of Work)中,账本结算是概率性的;而在任何给定区块高度共识相关资源集固定的系统中,阈值和检查点可以提供更强的最终性保证(Schuler 等人,2024)。根据具体应用,像概率最终性这样较弱的最终性形式可能就足够了,而严格的最终性通常受到重大信任假设的制约,应在更广泛的治理框架内进行评估(European Commission and Schär, 2024)。

不应将最终性(Finality)误解为绝对无法逆转交易的影响。 智能合约层面存在这种干预手段,即拥有特权访问权的个人可以通过受限功能修改状态。最终性保证的是原始交易永久且不可篡改地记录在账本上,但它并不内在地阻止撤销该交易的影响,这种可能性在传统系统中同样存在。

区块链结算在大多数司法管辖区缺乏法律承认,这增加了一层风险。 现今的大多数司法管辖区要求证券在授权的SSS(证券结算系统,通常由CSD运营)内进行结算,这在监管要求与区块链的去中心化运作之间造成了不匹配,因为在区块链中,结算功能可能由众多验证者的集体来执行,而不是单一受法律承认的实体。如果区块链结算没有获得法律承认,交易必须精确地镜像在CSD的所有权记录中,这就要求区块链平台与现有的市场基础设施进行集成,随之而来的便是其中的操作依赖性。

缓解选项

(Mitigation options)

在兼容账本模型中,哈希时间锁合约 (HTLCs) 和跨链桥可以支持跨账本结算,具体是否需要法律实体取决于设计。 HTLC可以在没有独立法律实体的情况下支持某些操作,但它们无法完全消除一笔交易的某个或某些环节被单独的账本运营商错误执行或更改的风险。因此,支持跨账本DvP或PvP的桥梁可能需要一个法律实体来确保问责并监督运营。

与现有的证券结算系统相比,区块链技术在抵御对已结算交易的更改或删除方面可以提供更高的鲁棒性。 在传统的IT数据库中,系统运营商持有管理员权限,允许其单方面修改记录,而且这类更改的日志可能不存在,或完全被运营商控制。相比之下,区块链的共识协议强化了交易历史更强的不可篡改性,因为撤销交易需要很大比例的验证者达成协调一致。区块链自身作为一个关于所有状态更改的完整且不可篡改的记录发挥作用,从而增强了透明度和可追溯性。

指定一个权威账本可为所有权和结算记录提供法律确定性。 在有多个账本记录所有权的模型中,必须确立哪个账本具有作为最终事实来源(definitive source of truth)的首要地位:在单一账本模型中,这个问题不存在;在通用账本模型中,原生资产账本通常优先于通用账本;在兼容账本模型中,指定权威记录可能需要正式将此角色分配给负责协调各个账本的协调者(orchestrator)。

在区块链结算未获法律承认的地方,与现有市场基础设施的整合仍然是必要的。 在监管发展完善之前,区块链平台必须在CSD的所有权记录中精确反映交易,这需要这两个系统之间拥有稳健的整合安排。在代币化市场中,某些CSD功能可能不需要法律实体:在单一和通用账本模型中,证券的安全保管和结算可以通过智能合约和分布式共识来执行,从而减少甚至消除对中介的需求。尽管如此,如果证券是在链下发行随后被代币化,仍然需要一个负责任的实体来担保发行并确保发行过程的完整性,作为结算的先决条件;而在兼容账本模型中,需要一个协调者来跨多个账本协调交易,这通常涉及一个能够查看所有相关资产账本的法律实体。

报告风险

(Reporting risks)

当信息跨账本碎片化分布时,就会产生对账(reconciliation)风险。 在单一或通用平台上,碎片化报告的风险降低了,因为共享账本捕获并记录了所有执行的操作。这一优势在通用账本模型中较为有限,因为有些变动仍发生在超出共享账本范围的原生资产账本上;而且该优势不适用于兼容账本模型,因为在该模型中,不同账本之间的对账以及对多个独立账本运营商完整性的依赖可能会引入额外的风险。Layer 2解决方案引发了类似的担忧:不同的数据可能驻留在不同的Layer 2中,需要有某个实体负责从每个Layer 2访问、收集和汇总数据。

不可篡改的审计追踪可以缓解错报(misreporting)问题,但无法彻底消除它。 这种保障在所有操作记录在同一账本上的单一账本平台中最为强效,特别是有大量且多样化验证者集合时。在通用账本平台中,共享的区块链也可以为其范围内的操作提供不可篡改的记录,但原生资产账本上的交易仍依赖于每个原生账本操作员的准确报告。在兼容账本平台中,必须信任更多的操作员,从而增加了潜在的风险。

中心化验证为滥用行为创造了新的载体。 当区块链依赖于由单一或少数验证者组成的中心化且基于信任的共识协议时,操作员可能有能力单方面更改交易记录,从而造成操作、结算和错报风险。虽然账本被操纵的风险并非新事,但“所有区块链本质上都是不可篡改的”这一假设可能会产生一种虚假的安全感,当涉及多个小规模且高度中心化的区块链时,这种风险会变得更加显著。

缓解选项

(Mitigation options)

稳健的共识机制是单一账本模型中的主要保障。 如果共识机制足够强大,足以防止单方面修改历史记录,那么基础记录就可以被视为可靠的,即使智能合约包含自定义功能也是如此。去中心化的治理进一步限制了任何一方更改记录的能力。

在通用和兼容账本模型中,要求受监管实体执行对账和审计。 依赖多个不同的共识机制增加了确保跨账本数据完整性和一致性的复杂性,产生了——记录不一致、更新延迟、潜在操纵——等难以仅通过技术完全缓解的风险。因此,要求受监管的法律实体执行对账、进行独立审计并强制遵守报告要求,其运作方式类似于当今的交易报告库(trade repositories)。

隐私增强型密码学扩展了报告的覆盖范围。 先进的技术——包括同态加密和零知识证明(如zk-SNARKs)——可以支持一种既保护数据安全又能实现监管合规的平衡方法。通过允许在不泄露不必要或敏感信息的情况下执行计算和验证,这些技术可以扩大交易报告库及其他链上功能的潜在范围与作用。

结论

(Conclusion)

代币化重塑金融市场基础设施的潜力可能比证券无纸化以来的任何技术转变都更加深远。同时,金融交易的生命周期——发行、清算、结算、托管和报告——在代币化环境中仍然存在, 这与 FMIs 过去被设计出来用于管理其中的许多风险是一样的。因此,代币化更有可能重构而不是消除 FMIs。变化的不是对这些功能的需求,而是它们被提供的方式。智能合约和分布式账本可以履行大量 FMI 功能,特别是在流程具有确定性、基于规则并由数据驱动的地方。

从技术角度来看,基于区块链的系统可以在代码中直接复制许多 FMI 的功能,包括记录保存、对账、货银对付(DvP)以及抵押品转移。 这些功能可以嵌入在智能合约中,从而减少操作摩擦,并在某些架构下减轻交易对手风险和结算风险。在资产、现金和抵押品存在于一个共享的可编程环境中的情况下,生命周期步骤可以被压缩和更紧密地协调,为更高效的抵押品使用、更低的对账需求以及更强的跨金融功能的可组合性打开了空间。

但并非所有 FMI 的功能都可以简化为代码。有些功能由于依赖法律确定性、负有责任的治理、监管准入以及在压力下的自由裁量权,在本质上依然是制度性的。 对于风险模型治理、保证金校准、违约管理、损失分摊、业务连续性,以及对链下依赖项的处理(如预言机输入和对现实世界资产的法定债权),这尤为真实。即使在技术层面上智能合约可以执行某个功能,只要需要明确责任分配、行使判断力或需要可能进行的干预,法律实体依然必不可少。

因此,最合理的结果是混合型 FMI 的出现。 在这样的安排中,智能合约承担更高比例的运营和交易功能,而法律实体依旧负责治理、合规、问责以及在市场事件中进行干预。在区块链结算缺乏法律认可、所有权主张依赖于链下执行力、或者交易跨越多重账本且需要的协调超出了代码安全保障范围的地方,这种混合模型也很可能持续存在。

代币化也重塑了风险格局。智能合约的漏洞、治理过度集中、依赖预言机、隐私方面的权衡以及跨平台碎片化在减少了一些现有摩擦的同时引入了新风险。 因此,政策挑战不在于 FMI 是否能保持其相关性,而在于它们将如何演变。关键的界限在于哪些内容可以被可靠地通过代码执行,而哪些内容必须根植于负责任的制度中。因此,FMI 的未来不是彻底的去中介化,而是制度的重新设计。

术语表

(Glossary)

原子性 (Atomicity): 交易的一种属性,其所有子步骤要么全部成功执行,要么全都不执行——不存在部分结果。原子性只有在单一账本上才能严格实现。跨账本交易只能实现弱原子性,这取决于额外的假设,例如所有涉及的账本必须同时处于活动状态且不可篡改。

自动做市商 (Automated Market Maker): 一种在无需传统订单簿的情况下实现链上资产交易的协议,它针对一个汇集的资产池(流动性池)执行交换操作,其价格由池中储备的算法公式(例如恒定乘积公式 x · y = k)设定,因此每笔交易都会推动价格变动。流动性提供者向池中存入和提取资产,通常以赚取交易费份额作为回报。

基础层 / 第一层 (Base Layer / Layer 1, L1): 基础区块链,所有交易最终都在此结算和验证。它为网络建立共识规则和执行环境。第二层 (Layer 2) 解决方案建立在其之上,并定期将其状态锚定到基础层(见“第二层”)。

区块链 (Blockchain): 一种分布式数字账本,其中记录(交易)被分组到按顺序排列的区块中,并通过密码学链接进行保护。所有参与节点都维护一份账本的副本,新条目的添加需要通过共识协议达成一致。关键属性包括交易历史的透明性、抗追溯更改(不可篡改性)以及通过智能合约实现的可编程性。这些属性在实践中能够在多大程度上得以保持,在很大程度上取决于区块链的具体设计和治理。

区块 (Block): 区块是附加到区块链上的一批已验证交易。

桥 / 跨链桥 (Bridge): 用于在两个独立区块链之间转移资产或数据的技术机制。桥通常将资产锁定在源链上,并在目标链上发行相应的表示。它们是多账本架构中操作风险和网络风险的主要来源,因为它们引入了任一单独区块链安全模型范围之外的依赖关系、信任假设和潜在的攻击向量。

可组合性 (Composability): 智能合约在同一笔交易中调用其他智能合约功能的能力,这使得能够利用模块化的组件构建复杂的多步骤金融操作。通常使用乐高积木的类比来描述。可组合性只有在单一、统一的执行环境中才能实现;跨账本交易不能以相同的原子化方式进行组合。例如,基于智能合约的借贷协议,在清算过程中可以连接到基于智能合约的交易所来交换资产。

共识机制 / 共识协议 (Consensus Mechanism / Consensus Protocol): 区块链网络中分布式参与者就哪些交易有效以及它们以何种顺序添加到账本达成一致的一组规则。常见的变体包括:工作量证明 (PoW),其中参与者(矿工)竞争解决计算量大的难题,获胜者提出下一个区块;权益证明 (PoS),根据验证者作为抵押品所质押的加密货币数量按比例选择验证者;以及许可型/指定验证者方案的变体,由一组预先批准的实体拥有区块提议权,类似于传统的联盟安排。共识机制的选择是决定区块链开放性、能源消耗、交易吞吐量和最终性保证的主要决定因素。

加密密钥 / 私钥 (Cryptographic Key / Private Key): 私钥是一段秘密数据(一长串数字),它在数学上授权所有者在区块链上签署和执行交易。拥有私钥等同于拥有相关资产。丢失或被盗私钥会导致永久的、不可逆转地失去对资产的访问权。因此,私钥的机构托管是代币化系统中的一项关键操作风险。

去中心化金融 (Decentralized Finance, DeFi): 在无需传统中介的情况下,通过公共区块链上的智能合约提供的金融服务——借贷、交易、衍生品、资产管理。DeFi协议具有可组合性和无许可性,但带有显著的智能合约、治理、预言机和流动性风险。

ERC-20: 以太坊虚拟机上广泛采用的可替代代币技术标准。它定义了一组代币合约必须实现的通用功能(例如转移、批准、限额)和事件日志,从而实现跨钱包、交易所和协议的互操作性。许多代币化证券使用 ERC-20 或类似标准作为其基础接口,并叠加了监管和转移控制扩展,以使代币契合其用途。

同质化代币 / 可替代代币 (Fungible Token): 每一个单位都与其他同种代币的任何单位相同且可互换的代币(例如,一个单位的代币化欧元价值与任何其他单位完全相同)。与非同质化代币 (NFT) 形成对比,后者的每个代币都有其独特的属性。

Gas 费用 / 交易费用 (Gas / Transaction Fees): 在许多公共区块链上,用户必须支付一笔费用(在以太坊上通常称为“gas”),以保护网络免受拒绝服务攻击,并将处理其交易所消耗的计算资源成本内部化。费用水平随网络拥堵情况波动,对于高频或大额的金融操作来说,可能会变成一笔可观的成本。

哈希 / 密码学哈希 (Hash / Cryptographic Hash): 通过数学函数运行数据产生的固定长度指纹。输入数据的任何变化——哪怕是一个字符——都会产生完全不同的哈希值。区块链使用哈希值将区块链接在一起(每个区块包含前一个区块的哈希值),使历史记录产生防篡改证明。

哈希时间锁合约 (Hashed Timelock Contract, HTLC): 一种用于在没有受信任中间人的情况下促进跨账本资产交换的智能合约。HTLC 锁定一项资产,且仅当接收者能够在规定的时间窗口内提供哈希的密码学原像时才释放该资产;否则资产将被退还给发送者。HTLC 使独立的区块链之间能够进行原子交换,但不能完全消除一个账本操作员更改或撤销其交易环节的风险。

同态加密 (Homomorphic Encryption): 一种高级的加密技术,允许在不对加密数据进行解密的情况下执行计算,因此结果得以保持机密性。在代币化资产的背景下,它可以允许监管机构在不访问单个交易细节的情况下验证汇总的头寸或合规指标。

第二层 (Layer 2, L2): 建立在基础区块链 (Layer 1) 之上的扩展解决方案,它在主链之外处理交易,并定期将汇总结果提交到主链。主要目的是在不修改基础层的情况下提高交易吞吐量并降低费用。L2 实际上从 Layer 1 继承多少安全性取决于其具体实现及相关的信任假设。常见的变体包括:Optimistic rollups(默认假设交易是有效的;任何人都可以在争议窗口期提出挑战)和 ZK-rollups(在提交到 Layer 1 之前,使用简洁的密码学证明来证明有效性)。第二层解决方案可能会降低可组合性和严格的原子性,因为交易在基础链上确认之前会被聚合。详细的交易数据可能仅驻留在第二层上,需要专用实体收集和汇总以用于报告。然而在第二层内部,带有严格原子性的可组合性依然存在。

账本架构模型 (Ledger architecture models, 单一、通用、兼容): 平台、其上记录的资产以及交易这些资产的各方之间的三种可能关系。在“单一账本”模型中,交易的所有资产都记录在同一个账本上,所有所有者都可以访问该账本。这允许严格的原子性和完全的可组合性,但前提是该账本足够广泛以容纳所有相关资产。在“通用账本”模型中,资产保留在独立的原始账本上,但在所有所有者均可访问的共享账本上被镜像或重新发行。原子性在通用账本内部适用,但对于跨账本操作而言较弱。在“兼容账本”模型中,资产保留在不同的账本上,所有者通常只能访问自己的账本;跨账本的交易必须由协调实体进行协调,不能在严格意义上原子化执行。

内存池 (Mempool, Memory Pool): 已广播到区块链网络但尚未包含在区块中的未决交易的队列。验证者从内存池中选择交易(通常优先选择提供更高费用的交易)。内存池的可见性对于监管监控非常有价值,但也产生了通过交易重排序进行抢先交易和其他形式的租金提取的风险(参见 MEV),并且在内存池之外存在私人的订单流。

MEV / 交易重排序 (MEV, Maximal Extractable Value / Transaction Reordering): 验证者(或矿工)通过在其生成的区块内重新排序、插入或审查交易来提取利润的能力。在金融市场中,这类似于抢先交易:验证者看到一笔待处理的大额交易后,可以将自己的交易插在前面,以从预期的价格影响中获利。MEV 是公共区块链的固有特征,构成了一类新的市场完整性风险。

多重签名 (Multisig): Multisig 是 multisignature 的缩写,是一种数字安全机制,需要两个或多个私钥共同授权一笔交易。与由单一密钥控制的标准数字钱包不同,多重签名的设置就像一个联名银行账户或带有多个锁的保险箱,需要几个预先批准的参与方用他们各自的私钥对交易进行密码学签名才能授权。

节点 (Node): 参与区块链网络的计算机,它通过维护账本的副本来运作,并根据其角色,验证和/或提出新交易。“全节点”根据协议规则独立验证所有交易。节点的分布和多样性是决定去中心化和弹性的关键因素。

预言机 (Oracle): 向区块链上的智能合约提供链下数据(例如市场价格、利率、汇率)的服务。因为区块链无法原生访问外部信息,智能合约依靠预言机获取用于风险模型计算、追加保证金以及衍生品结算的输入。预言机的可靠性是一个关键的漏洞:如果预言机提供不正确或被操纵的数据,智能合约将发生错误执行。选择范围从单一受监管实体(负有责任但存在单点故障)到拥有质押参与者和惩罚机制的去中心化预言机网络。

许可型与无许可型区块链 (Permissioned vs. Permissionless Blockchain): 无许可型:任何实体都可以作为节点参与、提交交易或验证区块,无需事先授权。例如:以太坊、比特币。这提供了最高程度的开放性和抗审查性,但面临着更大的治理复杂性和隐私挑战。许可型:参与需要经过管理机构的事先批准。这种方式更容易锚定并且易于控制隐私,但引入了中心化并需要对准入机构的信任。在两种类型的区块链上,都可以(例如通过白名单)在智能合约层面限制访问权限。

隐私池 (Privacy Pool): 一种密码学协议,使用户能够证明他们的资金并非来自受制裁的地址,而无需透露这些资金的完整交易历史。提出该协议是为了在 AML/CFT(反洗钱/反恐怖融资)合规性与链上隐私之间取得平衡。

反向依赖 (Reverse Dependencies): 一种治理风险,其中区块链上占主导地位的资产或协议获得了对平台升级策略的有效否决权。例如,如果许多金融协议依赖于单一稳定的币发行人,该发行人就可以影响底层区块链接受哪些协议升级。这种权力集中可能会破坏去中心化和市场完整性。

智能合约 (Smart Contract): 部署在区块链上的由代码编写的指令和条件集,在由交易触发时能自动和确定性地执行。智能合约强制执行预定义的规则,无需人工干预或信任受托的中介。它们的行为完全由其代码决定——包括任何漏洞或恶意功能——因此严格的审计至关重要。关键的金融应用包括代币发行、DvP 结算、追加保证金、约当更替和净额结算。

有效性证明 / 简洁证明 (Validity proof, succinct proof): 一种证明计算(或一批状态转换)被正确执行的密码学证明,它的验证成本比重新运行计算要低。实现可扩展验证的属性是简洁性,而非隐私性。一个简洁的有效性证明也可以是零知识的,除了正确性之外不透露任何其他信息,但这只是可选的。“ZK-rollups”主要依赖于简洁性,零知识属性通常是不存在的。

女巫攻击 (Sybil Attack): 对去中心化网络的一种攻击,恶意行为者创建大量虚假身份(节点)以获得对网络不成比例的影响力——例如,去操纵预言机的价格源头或主导共识投票。使用女巫抵抗机制(例如,要求质押抵押品或提供身份证明)来减轻这种风险。

代币 (Token): 区块链上资产(或资产权利)的数字表示形式,通过记录所有权并执行转移规则的智能合约来实现。代币可以代表金融证券(股票、债券、衍生品)、货币(稳定币、CBDC)、大宗商品或现实世界资产(如房地产)。

代币合约 (Token Contract): 实现代币逻辑的特定智能合约——维护所有权记录、强制执行转移条件,并提供任何定制功能(例如,黑名单、自动利息支付、投票权)。代币的安全性和可靠性关键取决于其代币合约的设计和可审计性。

代币化 (Tokenization): 在区块链上创建数字代币以代表资产的过程——既可以是原生代表(资产仅存在于链上),也可以作为链下资产的表示形式。代币化可以简化结算,实现可编程的资产管理,并促进跨资产的原子级交易,但也引入了新的法律风险,包括与代币及其基础资产之间法律联系相关的风险。

TWAP / 时间加权平均价格 (Time-Weighted Average Price): 将一项资产的价格在指定时间窗口内基于时间加权平均计算出来的价格。链上 TWAP 有时被提出作为抗操纵的价格预言机,但它们仍然容易受到持续操纵攻击的影响,且未在受监管环境下的保证金计算中被广泛使用。

验证者 / 质押者 (Validator/Stakers): 负责验证交易,并在某些共识机制中负责提议并证明新区块的网络参与者。验证者通常将加密货币作为抵押品进行质押,如果他们存在不诚实的行为,这些抵押品可能会被“削减”(部分销毁)。验证者的分布、多样性和独立性是区块链去中心化和安全性的核心。

白名单 / 黑名单 (Whitelist / Blacklist): 智能合约级别的访问控制列表。白名单指定了仅被允许与合约进行交互的地址(例如持牌金融机构)。黑名单指定了被禁止交互的地址(例如受制裁实体)。这些控制措施可用于在应用层强制执行监管合规,而不会限制底层区块链本身。

零知识证明 (Zero-Knowledge Proof, ZK Proof): 一种密码学技术,允许一方(证明者)向另一方证明一项陈述是真实的(例如,“我的余额足以支付这笔交易”),而无需透露该陈述真实性之外的任何信息。ZK 证明支持保护隐私的合规检查、机密交易的验证,并经常在简洁且可扩展的区块验证 (ZK-rollups) 的背景下被提及。它们的计算量要求很高,但随着专用硬件的发展正变得越来越实用。

ZK-Rollup: 参见“第二层”。一种 Layer 2 扩展解决方案,其中批量交易在链下执行,并向基础区块链提交证明产生状态转换的正确性的简洁有效性证明予以验证。这些系统传统上被称为“零知识” rollups,但使扩展成为可能的属性主要是证明的简洁性,而非零知识。在许多实现中,交易数据并未被隐藏。

附件 1. FMIs 的价值主张和功

(Annex 1. FMIs’ value propositions and functions)

价值主张 (Value Proposition)功能 (Functions)中央对手方 (CCP)证券存管/结算机构 (CSD/SSS)交易报告库 (TR)
节省流动性多边净额结算X
降低交易对手和信用风险介入交易各方之间;要求保证金;共担损失;为适当的风险行为提供网络激励;高准入成本是对不够稳健实体的威慑XX (SSSs)
降低托管风险集中证券记录;作为受信任的所有权登记机构X
降低结算风险确保最终性(不可撤销性);缩短结算周期XX
确保证券完整性协调初始发行记录与二级市场记录X
将交易记录集中在一个(不完美的)账本中作为交易的登记机构XX
促进对市场中建立的系统性风险的监测对报告的数据进行准确性检查;向当局提供访问权限X
降低操作风险建立一个枢纽网络,所有交易对手都信任 FMI 使用的系统;连续性计划;网络弹性XXX
高度监管和监督的环境具有严格风险要求的入网流程;对 FMIs(特别是 CCPs)应用的风险模型进行多重控制XXX
防止道德风险风险承担者及其同行承担不负责任行为的后果(无需公共资金救助)XX
降低流动性风险通过交易的抵押化和 DvP 机制XX
降低货币结算风险FMIs 优先以无信用风险的央行货币进行结算XX
降低投资和一般商业风险FMIs 在其活动中受到严格的监管和监控;投资仅限于高流动性资产XXX
最小化法律风险FMIs 获得其运营所在司法管辖区法律的承认;规则手册确定 FMI 遵循的规则和程序;FMIs 需要解决任何可能影响其运营的法律冲突XXX

[注:源文档脚注提及 CCP 的多边净额结算可大大减少参与者违约事件中的潜在损失,且要求强有力的法律基础,如果破产时网状清算不具执行力则会受阻;CCP 必须能够承受严重冲击,防止道德风险意味着无需公共资金救助]

附件 2. 跨平台模型中的发行、资产安全保管和结算功能

(Annex 2. Issuance, safekeeping of assets and settlement functions across platform models)

功能 (Function)单一账本 (Single Ledger)通用账本 (Common Ledger)兼容账本 (Compatible Ledger)
发行 (Issuance)资产通过代币智能合约在账本上原生发行。发行和记录保存在单一环境中统一。资产在独立的原始账本上发行,并通过智能合约在通用账本上被镜像或重新发行。资产也可以直接在通用账本上发行。资产在独立的原始账本上独立发行。跨账本链接提供协调,但发行和记录保存保留在各自相关的原始账本上。
证券记录的安全保管和完整性 (Safekeeping and integrity of securities records)分布式共识和确定性的智能合约执行为原生发行的资产提供了安全保管保证。记录的完整性取决于代币智能合约的正确设计,包括任何受限功能。记录保存由每个原始账本的共识机制确保。通用账本上的智能合约依赖项要求信任原始账本与通用账本之间的技术和法律对账。记录的完整性取决于每个单独账本的共识机制。智能合约依赖项跨越所有涉及的账本,要求信任跨所有账本以及在协调者上的对账。任何给定交易都需要所有账本处于可用状态。
结算 (Settlement)结算依赖于经验证的应用程序合约。可实现严格的原子性和可组合性,能够在不预先注资的情况下实现原子级 DvP、DvD 和 PvP。结算依赖于跨所有账本的经验证应用程序合约,以及桥接或消息传递基础设施。在通用账本内部可实现严格的原子性和可组合性。对于跨账本操作只适用弱原子性。结算依赖于跨所有账本的经验证应用程序合约以及桥接或消息传递基础设施。只能实现弱原子性;可组合性无法实现。DvP 需要预先注资以减轻交易对手风险。

附件 3. 跨平台模型中的约当更替、多边净额结算和追加保证金功能

(Annex 3. Novation, multilateral netting and margin call functions across platform models)

功能 (Function)单一账本 (Single Ledger)通用账本 (Common Ledger)兼容账本 (Compatible Ledger)
约当更替(介入交易各方之间) (Novation)约当更替可在链上进行原子化执行。参与者账户和 CCP 投资组合头寸记录在同一个账本上,实现了原子的介入。约当更替在通用账本内部可实现原子化。如果资产留存在原始账本上,则需要账本之间的协调,且仅适用弱原子性。约当更替依赖于链下协调。无法实现严格的原子性;受制于所有相关账本同时可用且不可篡改的前提下,仅可能实现弱原子性。
多边净额结算 (Multilateral netting)净额结算由账本上的智能合约执行。由此产生的净义务可实现原子结算,减少了风险敞口而无需全额预先注资。净额结算可在通用账本内部实现。净义务结算在通用账本范围内是原子的,但对于跨账本头寸,需要与原始资产账本进行协调。每个账本上的智能合约在其各自范围内执行净额结算。跨账本的严格原子性无法实现。净头寸的结算取决于所有账本同时可用。没有预先注资就无法保证 DvP。
保证金要求 (Margin requirements)保证金计算在链下使用外部价格数据(预言机)执行,并记录在链上。智能合约可自动从参与者账户中提取抵押品,并为宣布违约留出时间窗口余地。追加保证金通知需要通用账本和原始资产账本之间进行协调。存放在原始账本上的抵押品必须首先转移到通用账本,然后才能用于履行保证金义务。保证金操作需要跨多个账本的链下协调。跨账本的追加保证金通知无法以严格的原子性执行;跨账本的同步风险可能会延迟或阻碍执行。
损失共担(违约瀑布) (Loss mutualization)违约基金捐款在链上预先注资。损失共担大部分可通过智能合约实现自动化,尽管在特殊的市场条件下可能需要一定程度的人工干预。在通用账本范围内可实现自动化。与原始资产账本的额外协调引入了复杂性,并且针对跨账本组件可能需要手动流程。损失共担主要在链下进行协调,非常类似于现有的非代币化安排。较高的操作复杂性可能限制自动化的范围。

附件 4. 跨平台模型中的衍生品数据集中功能

(Annex 4. Derivatives data centralization functions across platform models)

TR 功能 (TR Function)单一账本 (Single Ledger)通用账本 (Common Ledger)兼容账本 (Compatible Ledger)
交易数据的集中存储库 (Centralized repository of transaction data)账本提供了所有已结算交易的透明、近乎实时的记录。标准事件日志使交易数据能够被解析并映射到法人实体标识符。结算前的交易条款不被记录;账本仅捕获已结算的交易。失败或被取消的交易不会留下记录,这可能会限制对企图操纵市场的监控。通用账本在合并记录中捕获了其范围内的所有操作。原始资产账本上的交易必须被单独访问和聚合。交易条款必须单独向 TR 报告,因为通用账本仅反映已结算的交易。交易数据分布在多个资产账本上;TR 必须访问所有账本以编制完整记录。交易条款必须被单独报告,因为账本仅记录已结算的交易。当账本数据加密时,解密需要获得明确的授权或是具备支持监管访问的隐私方案。
当局获取交易数据 (Access for authorities to trade data)交易数据可直接在链上访问。需要将区块链地址映射到法人实体标识符。监管访问可以内置于智能合约框架中,或在平台治理层启用。监管访问需要汇总来自通用账本和所有原始资产账本的数据。需要一个协调实体来汇编并提供全面视图。全面的监管访问需要整合来自所有资产账本以及协调者管理的链下来源的数据。需要一个 TR 或等效受监管的实体来收集、核对并提供信息访问权限。
确保交易数据的准确性 (Ensuring accuracy of transaction data)由共识机制强制执行的不可篡改的交易记录,提供了防止操纵的主要保障。一个大型且多样化的验证者集合强化了这一保障。代币合约标准可强制实施标准化且可审计的报告字段。通用账本在其范围内提供不可篡改的记录。原始资产账本上的准确性取决于其各自的共识机制和治理框架。通用账本和原生账本之间的核对需要受监管实体的介入。准确性取决于每个独立账本的共识机制以及所有账本之间的核对。考虑到涉及多个独立运营商,出现不一致或记录被操纵的风险较高。要求受监管实体执行对账、进行独立审计并强制遵守报告标准。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接