Ủy ban Chứng khoán và Hàng hóa tương lai của Hong Kong đã ban hành ngay lập tức quy tắc lưu ký cấm hợp đồng thông minh trong ví lạnh và yêu cầu giám sát an ninh 24/7, đáp ứng hơn 3 tỷ đô la mất mát tiền điện tử toàn cầu trong nửa đầu năm 2025, bao gồm vụ hack kỷ lục 1,5 tỷ đô la của Bybit vào tháng Hai do các tác nhân quốc gia Bắc Triều Tiên thực hiện.
Ủy ban Chứng khoán và Hàng hóa tương lai của Hong Kong đã thực hiện các tiêu chuẩn lưu ký tiền điện tử mới nghiêm ngặt cấm sử dụng hợp đồng thông minh trong các triển khai ví lạnh, đánh dấu một trong những phản ứng điều chỉnh quan trọng nhất đối với cuộc khủng hoảng an ninh tiền điện tử toàn cầu gia tăng mà đã mất hơn 3 tỷ đô la trong nửa đầu năm 2025.
Thông tư, được ban hành vào thứ Sáu và có hiệu lực ngay lập tức, thiết lập yêu cầu an ninh toàn diện cho các nền tảng giao dịch tài sản ảo (VATP) có giấy phép và đặt nền tảng cho khung pháp lý tài sản số rộng hơn của thành phố dưới lộ trình ASPIRe của nó.
Động thái này xuất hiện khi Hong Kong định vị mình là trung tâm tiền điện tử hàng đầu của châu Á đồng thời đối mặt với những mối đe dọa an ninh chưa từng có đã tàn phá các sàn giao dịch trên toàn thế giới.
Cải tổ an ninh toàn diện đối phó với bối cảnh mối đe dọa toàn cầu
Hành động của SFC đáp ứng trực tiếp với những gì Tiến sĩ Eric Yip, Giám đốc Điều hành của Ủy ban đối với các Trung gian, mô tả là "nguy cơ gia tăng trên toàn cầu" sau một làn sóng tấn công mạng tàn phá đã thay đổi cơ bản bối cảnh mối đe dọa tiền điện tử. Thiệt hại tiền điện tử toàn cầu đã đạt 2,47 tỷ đô la qua 344 vụ trong nửa đầu năm 2025, với các vi phạm liên quan đến ví chiếm 1,7 tỷ đô la chỉ qua 34 cuộc tấn công.
Sự can thiệp điều chỉnh được khai hỏa bởi chính cuộc đánh giá mục tiêu của SFC được thực hiện trước đó trong năm, đã "tiết lộ sự thiếu hụt trong vòng kiểm soát của một số nhà điều hành" trong số các nền tảng có giấy phép của Hong Kong. Đánh giá này tìm thấy những điểm yếu quan trọng trong khả năng phản ứng của các sàn giao dịch đối với các cuộc tấn công mạng, bao gồm sự phụ thuộc vào giải pháp ví của bên thứ ba đã bị xâm nhập và quy trình xác minh giao dịch không đủ.
Đặc biệt, thời điểm trùng khớp với vụ hack sàn giao dịch Bybit vào tháng Hai, dẫn tới việc trộm cắp khoảng 1,5 tỷ đô la mã thông báo Ethereum bởi các tác nhân nhà nước Bắc Triều Tiên, được coi là vụ chiếm đoạt tiền điện tử lớn nhất trong lịch sử. FBI chính thức đổ lỗi cho cuộc tấn công là thuộc về hoạt động "TraderTraitor" của Bắc Triều Tiên, nêu bật khả năng tinh vi của các tác nhân đe dọa được nhà nước tài trợ, nhắm đến cơ sở hạ tầng tiền điện tử.
Lệnh cấm hợp đồng thông minh gây gián đoạn tiêu chuẩn ngành
Khía cạnh nổi bật nhất của các quy tắc mới là lệnh cấm rõ ràng đối với hợp đồng thông minh trong triển khai ví lạnh. Thông tư lưu ý rằng "việc triển khai ví lạnh không nên bao gồm các hợp đồng thông minh trên chuỗi khối để giảm thiểu khả năng tấn công trực tuyến liên quan đến hợp đồng thông minh trên chuỗi."
Yêu cầu này trực tiếp thách thức các quy tắc đã được thiết lập của ngành, vì hợp đồng thông minh được sử dụng rộng rãi bởi các người giám hộ tổ chức cho cả hoạt động ví nóng và lạnh. Các công ty lớn bao gồm BitGo tận dụng hợp đồng thông minh Ethereum tối ưu cho các hoạt động lưu ký, trong khi Safe (trước đây là Gnosis Safe) đã trở thành một giải pháp lưu ký dựa trên hợp đồng thông minh chiếm dụng 72 tỷ đô la trên hơn 25 tài khoản thông minh được triển khai tính tới quý 3 năm 2024.
Coinbase, sàn giao dịch tiền điện tử lớn nhất của Mỹ, trước đây gọi Safe là "nhà cung cấp hàng đầu" dịch vụ đa chữ ký, nhấn mạnh khả năng kháng cự của ngành đối với lệnh cấm của Hong Kong. Lệnh cấm buộc các nền tảng có giấy phép phải thiết kế lại cơ sở hạ tầng lưu ký của mình, có thể yêu cầu sự cải tổ hoạt động đáng kể và đầu tư công nghệ.
Các quy định về hạn chế hợp đồng thông minh phản ánh mối quan ngại về các lỗ hổng chuỗi đã bị khai thác trong các cuộc tấn công gần đây. Vụ hack Bybit cụ thể ban đầu liên quan đến việc thao túng giao diện người dùng Safe{Wallet}, nơi mà tin tặc đã tiêm mã JavaScript độc hại giữa ngày 19 và 21 tháng 2 năm 2025, cho phép chúng chặn và chuyển hướng các giao dịch hợp pháp.
Triển khai khung an ninh toàn diện
Ngoài lệnh cấm hợp đồng thông minh, các tiêu chuẩn mới thiết lập một khung an ninh toàn diện bao trùm mọi khía cạnh của hoạt động lưu giữ tiền điện tử. Các nền tảng có giấy phép phải triển khai các mô-đun an ninh phần cứng được chứng nhận, duy trì những môi trường không có mạng cho các hoạt động liên quan đến chìa khóa riêng, và thành lập các trung tâm vận hành an ninh 24/7 để giám sát hệ thống, mạng lưới, ví và cơ sở hạ tầng.
Các quy định yêu cầu rằng việc rút tiền chỉ có thể được xử lý tới những địa chỉ được duyệt sẵn, với các bản kiểm tra giao dịch hệ thống bắt buộc cho mọi sự di chuyển quỹ. Môi trường nơi mà chìa khóa riêng được sử dụng để ký giao dịch phải không có mạng và được bảo vệ vật lý, với chìa khóa được tạo ra và lưu trữ ngoại tuyến dưới sự kiểm soát truy cập nhiều lớp vật lý chặt chẽ.
Trách nhiệm quản lý cấp cao là một yếu tố quan trọng khác, với các giám đốc điều hành được giao trách nhiệm trực tiếp trong việc bảo vệ tài sản của khách hàng. Khung này yêu cầu các đánh giá an ninh từ bên thứ ba độc lập thường xuyên cùng các chương trình đào tạo toàn diện cho nhân viên để ngăn chặn các cuộc tấn công tấn công kỹ thuật con người và các lỗ hổng an ninh khác.
Các tiêu chuẩn giải quyết các hướng tấn công cụ thể được xác định trong những sự kiện gần đây, bao gồm việc di chuyển quỹ nhanh chóng đặc trưng của vụ tấn công Bybit. Công ty phân tích chuỗi khối Global Ledger tiết lộ rằng tội phạm đã di chuyển quỹ trong 68% trường hợp trước khi các cuộc tấn công được công khai biết đến, với một phần tư phần nào rửa sạch tài sản bị đánh cắp trước khi có bất kỳ cảnh báo nào.
Lộ trình ASPIRe thúc đẩy vị thế cạnh tranh
Các yêu cầu lưu ký là một phần của lộ trình pháp lý ASPIRe rộng lớn hơn của Hong Kong, đại diện cho Truy cập, Bảo vệ, Sản phẩm, Hạ tầng, và Mối quan hệ. Khung này đại diện cho chiến lược của Hong Kong cạnh tranh để trở thành trung tâm tài sản kỹ thuật số của châu Á trong khi phân biệt mình khỏi đối thủ trong khu vực, Singapore, nơi đã có cách tiếp cận hạn chế hơn đối với dịch vụ tiền điện tử cho lẻ.
Trụ bảo vệ cụ thể nhằm "cho phép khung bảo vệ và sản phẩm thích ứng tập trung vào an ninh" trong khi xây dựng hạ tầng cho phép tài chính truyền thống "khai thác hiệu quả của chuỗi khối." Tiêu chuẩn lưu ký không chỉ dành cho các sàn giao dịch mà còn bao gồm quầy đối chiếu trực tiếp và các người giám hộ độc lập theo lộ trình cấp phép của Hong Kong cho các dịch vụ lưu ký.
Tính tới tháng 7 năm 2025, Hong Kong đã cấp phép chỉ 11 nền tảng tài sản ảo, với chín đơn xin đang xem xét, áp dụng các thủ tục cấp phép nhanh chóng từ tháng Giêng. Chính phủ đã tăng tốc các nỗ lực mã hóa với các sản phẩm được phê duyệt bao gồm mã thông báo vàng và quỹ thị trường tiền bạc, đồng thời khám phá mã hóa bất động sản và vốn đầu tư tư nhân thông qua cơ sở hạ tầng của Dự án Ensemble.
Quy định về Stablecoin hoàn tất khung tài sản số
Quy tắc lưu ký bổ sung cho quy định stablecoin toàn diện của Hong Kong có hiệu lực ngày 1 tháng 8 năm 2025, theo Quy định Stablecoins. Chương trình đòi hỏi các nhà phát hành stablecoin phải có giấy phép từ Cơ quan Tiền tệ Hong Kong và duy trì hỗ trợ dự trữ đầy đủ với các tài sản có chất lượng và thanh khoản cao.
Hơn 40 công ty đã đệ đơn hỏi cấp phép stablecoin trước khi quy định có hiệu lực, với các công ty chính bao gồm JD.com, Ant Group, Standard Chartered, và Circle tuyên bố ý định đăng ký công khai. Khung stablecoin này định vị Hong Kong để thách thức sự thống trị của các stablecoin dựa trên đô la Mỹ trong các thị trường châu Á bằng cách cho phép các lựa chọn thay thế hỗ trợ đồng đô la Hong Kong và nhân dân tệ.
Tổng Giám đốc HKMA Eddie Yue đã xác nhận rằng chỉ một số lượng nhỏ giấy phép stablecoin sẽ được cấp ban đầu mặc dù đã làm việc với hàng chục bên quan tâm, duy trì kiểm soát chất lượng trong khi xây dựng nền tảng pháp lý cho sự phát triển thị trường rộng lớn hơn.
Phản hồi của ngành và thách thức tuân thủ
Việc triển khai ngay lập tức các tiêu chuẩn lưu ký tạo ra các thách thức hoạt động lớn cho các nền tảng được cấp phép, đặc biệt là lệnh cấm hợp đồng thông minh yêu cầu thay đổi cơ sở hạ tầng cơ bản. Các sàn giao dịch phải phát triển các giải pháp lưu ký thay thế để duy trì an ninh trong khi tuân thủ các giới hạn mới về hợp đồng thông minh dựa trên chuỗi khối.
Các yêu cầu điều chỉnh tiêu chuẩn của Hong Kong với các quy định về quán có lợi, bảo mật mạng, và tiêu chuẩn phân loại tài sản của người giám hộ tài chính truyền thống. Tuy nhiên, các hạn chế riêng về tiền điện tử, đặc biệt liên quan đến hợp đồng thông minh, tạo ra những gánh nặng tuân thủ độc nhất không gặp phải ở các tổ chức tài chính truyền thống.
Các quan sát viên thị trường ghi nhận rằng trong khi các thách thức hoạt động ngắn hạn là đáng kể, các lợi ích dài hạn bao gồm tăng cường sự tin tưởng của nhà đầu tư và giảm thiểu các rủi ro về sự khác biệt quy định. Khung pháp lý rõ ràng cung cấp sự chắc chắn cho các nhà đầu tư tổ chức đang cân nhắc tiếp xúc tiền điện tử thông qua các nền tảng được cấp phép của Hong Kong.
Các quy định cũng tạo ra lợi thế cạnh tranh cho các nền tảng có thể chứng minh sự tuân thủ với các tiêu chuẩn an ninh nâng cao, có khả năng thu hút vốn đầu tư tổ chức tìm cách tiếp cận tiền điện tử được điều chỉnh với các biện pháp bảo vệ thích hợp.
Bối cảnh toàn cầu và xu hướng điều chỉnh
Hành động của Hong Kong diễn ra trong một xu hướng toàn cầu rộng lớn hơn đối với sự điều chỉnh tiền điện tử được củng cố sau những sự cố an ninh nổi tiếng. Phản ứng này tương đồng với sự siết chặt pháp lý ở các khu vực pháp lý khác, bao gồm Đạo luật GENIUS của Mỹ về stablecoin và quy định Thị trường trong Tài sản Tiền điện tử (MiCA) của Liên minh Châu Âu.
Mối đe dọa đặc biệt của Bắc Triều Tiên đã thúc đẩy các phản ứng quốc tế phối hợp, với các cơ quan chức năng Mỹ đổ lỗi cho các nhóm liên kết với DPRK hơn 1,6 tỷ đô la hay 70% các vụ trộm tiền điện tử trong nửa đầu năm 2025. Nội dung: các tác nhân phức tạp thường lên kế hoạch di chuyển trùng với hoạt động giao dịch bình thường, tấn công vào các khoảng thời gian chuyển ca của nhân viên trong tổ chức khi sự cảnh giác có thể giảm.
Nỗ lực phục hồi đã chỉ trả lại được 187 triệu đô la thông qua cơ quan thực thi pháp luật, sắp xếp của hacker mũ trắng và sự hợp tác của các sàn giao dịch, chỉ đại diện cho 4,2% số tiền bị đánh cắp. Tỷ lệ thu hồi thấp nhấn mạnh tầm quan trọng của các biện pháp an ninh phòng ngừa hơn là việc khắc phục sau sự cố.
Bạo lực thể chất đối với người giữ tiền điện tử cũng đã leo thang, với 32 cuộc tấn công "bằng cờ lê" được báo cáo trên toàn cầu vào năm 2025, khiến năm này dự kiến vượt qua kỷ lục của năm 2021. Xu hướng đáng lo ngại này đã củng cố sự tập trung của quy định vào an ninh lưu ký và các biện pháp bảo vệ cấp thể chế.
Ảnh hưởng Thị trường và Hàm ý Tương lai
Ảnh hưởng thị trường ngay lập tức bao gồm các điều chỉnh hoạt động cho các nền tảng được cấp phép ở Hồng Kông và có thể hợp nhất lại khi các nhà điều hành nhỏ hơn gặp khó khăn với chi phí tuân thủ. Tuy nhiên, ảnh hưởng lâu dài nhằm củng cố vị thế của Hồng Kông như một địa phương đáng tin cậy cho đầu tư tiền điện tử cấp tổ chức.
Các tiêu chuẩn nâng cao tạo ra những rào cản gia nhập mà có thể mang lại lợi ích cho các nền tảng đã được thành lập đủ khả năng đáp ứng các yêu cầu về an ninh trong khi có thể cản trở các nhà điều hành kém phát triển hơn. Cấu trúc thị trường này phù hợp với mục tiêu của Hồng Kông là thu hút các khách hàng tổ chức chất lượng cao hơn là tạo điều kiện cho giao dịch bán lẻ mang tính đầu cơ.
Việc cấm hợp đồng thông minh trong ví lạnh có thể ảnh hưởng đến thực tiễn lưu ký toàn cầu nếu các địa phương khác áp dụng các hạn chế tương tự. Tuy nhiên, nó cũng có thể tạo ra những bất lợi cạnh tranh cho nền tảng ở Hồng Kông nếu các hạn chế làm ảnh hưởng đáng kể đến hiệu quả hoạt động so với các địa phương ít hạn chế hơn.
Khung toàn diện đặt Hồng Kông vào danh sách những địa phương có tiêu chuẩn lưu ký tiền điện tử nghiêm ngặt nhất thế giới, có thể thu hút những nhà đầu tư tổ chức tìm kiếm đảm bảo an ninh tối đa trong khi ngăn cản các thành viên thị trường kém phát triển hơn.
Khi Hồng Kông tiếp tục triển khai chương trình nghị sự về quy định tài sản kỹ thuật số, các tiêu chuẩn lưu ký đại diện cho nền tảng quan trọng để xây dựng lòng tin của các tổ chức trong hạ tầng tiền điện tử của thành phố. Thành công của cách tiếp cận này trong việc thu hút vốn tổ chức trong khi duy trì an ninh có khả năng ảnh hưởng đến sự phát triển quy định khắp khu vực Châu Á-Thái Bình Dương và toàn cầu.