香港證監會已即時發出託管新規,明令禁止冷錢包中採用智能合約,並強制所有持牌平台須24小時實時安全監測;此舉源於2025年上半年全球加密貨幣損失突破30億美元,包括2月北韓國家黑客入侵Bybit,史上最嚴重單一事件損失15億美元。
香港證監會剛實施更嚴格的新加密貨幣託管標準,嚴禁冷錢包實施智能合約,成為針對新興全球加密攻擊潮最具力度的監管行動 — 單首半年全球被盜資產已達30億美元。
這份通函於周五發出並即時生效,為獲發牌的虛擬資產交易平台(VATPs)定下完備的安全條件,並成為香港數碼資產監管藍圖(ASPIRe)下的重要基石。
香港正全力打造亞洲加密樞紐,面對前所未有的全球網絡安全威脅,各地交易平台損失慘重。
全面安全改革應對全球威脅格局
證監會所作即時行動正面回應中介人部總監葉偉平的觀點,他指近年加密貨幣爆發網攻,整個威脅格局已根本改變,全球損失2025年首半年已高達24.7億美元(共344宗事故),錢包漏洞引致的損失佔17億美元,只涉及34宗大案。
監管介入主要由證監早前自發檢視持牌平台控制措施後觸發,發現不少營運商風險控制明顯不足,部分依賴有漏洞第三方錢包方案,交易驗證程序亦不嚴謹。
尤以今年2月Bybit遭駭案為導火線,北韓國家級黑客攻破該平台盜走約15億美元乙太幣,創全球史上最大加密竊案。美國FBI確認這是北韓「TraderTraitor」行動所為,突顯國家級威脅者正瞄準加密基礎設施。
智能合約禁令衝擊行業慣例
最具轟動性的新規元素,是明確禁止冷錢包採用智能合約。通函明述:「冷錢包實施不得包含於公有鏈上的智能合約,以最大程度減少鏈上合約帶來的潛在網攻風險。」
這直接挑戰業界慣例:智能合約長期被機構級託管人廣泛應用於熱、冷錢包。大行如BitGo亦大量使用Ethereum智能合約處理託管,而Safe(前稱Gnosis Safe)更是主導多簽智能合約託管方案,截至2024年第三季,累積管理逾720億美元。
美國最大交易所Coinbase更曾點名Safe為「多簽服務領導者」,可見業界或大表反彈。禁令迫使持牌機構重建託管架構,預計耗費大量資源。
當局針對近年鏈上智能合約漏洞頻現而設,例如Bybit案黑客就是透過Safe{Wallet}用戶介面植入惡意JavaScript,在2025年2月19至21日期間實時攔截和轉移合法交易。
全面安全框架落實細節
除嚴禁智能合約外,新標準建立覆蓋所有操作層面的安全框架。持牌平台須裝置已認證的硬件安全模組(HSM)、嚴格採用「空氣斷離」環境處理私鑰簽名,並設立24小時安全運作中心實時監控系統、網絡、錢包基建。
規例要求所有用戶提幣只限事先白名單審批地址,並對資金流動設有嚴格交易稽核。所有簽名操作須於空氣隔離及實體保安的環境下,私鑰必須於線下生成並分層加鎖,嚴格實體多重驗證。
高層須為客戶資產安全直接問責。安全框架亦要求定期委託第三方安全審計、全員參與防社交工程攻擊等定期培訓,以堵塞現實和潛在安全漏洞。
新標準針對如Bybit案般「極速清洗資金」的新攻擊手法。區塊鏈分析公司Global Ledger發現,黑客有68%案件會在公佈前已將資產全部轉移,其中四分之一在警告出現前便已經完成漂白。
ASPIRe藍圖強化競爭定位
託管新規隸屬香港ASPIRe監管藍圖(Access、Safeguards、Products、Infrastructure、Relationships)一環,展現本地如何定位亞洲數碼資產樞紐,與主打嚴控零售客戶的新加坡區別。
保護措施專注於「靈活合規及產品安全框架」,同時促進金融基建連接區塊鏈效益。託管新規日後除適用於交易所,亦將覆蓋OTC櫃檯及獨立託管人,配合託管牌照架構推行。
截至2025年7月,香港僅發出11個虛擬資產平台牌照,另有9宗申請審批中,1月起已啟動加快審批程序。港府加快推動資產代幣化,包括已批出的金條代幣、貨幣市場基金產品,也正透過Project Ensemble基建試行地產及私募股權代幣化。
穩定幣法例為資產監管拼圖最後一塊
託管新規亦支持8月1日生效的《穩定幣條例》,該法例規定所有穩定幣發行人必須向金管局申領牌照,持有100%優質流動資產備付。
法例生效前已有超過40家公司查詢申請牌照,包括京東、螞蟻、渣打、Circle等巨企已表明申請意願。穩定幣新制令港元及人民幣為本選項進軍亞洲市場,有望挑戰美元穩定幣霸主地位。
金管局總裁余偉文表示,雖有逾數十間公司查詢,短期內只會批出少量穩定幣牌照,作為優質管控及完善監管基石。
行業反應及合規挑戰
持牌平台需即時配合新託管規定,特別是智能合約禁令,勢將面對龐大運作挑戰。交易平台需自行研發無智能合約的新託管方案,既要保障安全又要合規。
新規令本地託管理念與傳統金融看齊,要求足夠資本、嚴格網絡保安、資產隔離等,但加密貨幣特有條款如智能合約全面禁制,為合規帶來全新難題。
市場觀察家指,短期需投入大量資本及人手應對新法規,但長遠有助提升投資者信心、減低監管套利風險。定義明確的規則吸引機構資金經合規平台入場。
遵從新安全標準的平台將獲額外競爭優勢,有望吸引更多機構客戶,尋求受監管的安全加密配置。
全球趨勢與監管新向
香港新規正值全球主要經濟體因大型安全事故紛紛加強加密監管。美國推出GENIUS穩定幣法案、歐盟實行MiCA,與本地加強措施同趨。
北韓威脅促使各國聯動打擊,加美等國指2025年上半年有16億美元加密貨幣遭DPRK黑客集團竊取,佔整體被盜總額約七成。 sophisticated actors typically plan movements to coincide with normal transaction activity, striking during organizational staff shifts when vigilance may be reduced.
有經驗的攻擊者通常會將行動安排在與正常交易活動重疊的時段,並選擇在機構員工換班、警覺性較低時發動攻擊。
Recovery efforts have returned only $187 million through law enforcement, white-hat arrangements, and exchange cooperation, representing just 4.2% of stolen funds. The low recovery rate underscores the importance of preventive security measures rather than post-incident remediation.
經執法部門、白帽協議及交易所合作,目前僅成功追回1.87億美元,被盜款項的回收率僅達4.2%。這個低回收率反映出預防性保安措施,比事發後的補救行動更為重要。
Physical violence against cryptocurrency holders has also escalated, with 32 "wrench attacks" reported globally in 2025, putting the year on pace to exceed 2021's record. The concerning trend has reinforced regulatory focus on custody security and institutional-grade safeguards.
針對加密貨幣持有人的暴力襲擊同樣有所上升,2025年全球已錄得32宗“板手襲擊”,有望超過2021年創下的紀錄。這個令人憂慮的趨勢令監管機構更加著重託管安全和機構級保障措施。
Market Impact and Future Implications
The immediate market impact includes operational adjustments for Hong Kong-licensed platforms and potential consolidation as smaller operators struggle with compliance costs. However, the long-term effect aims to solidify Hong Kong's position as a trusted jurisdiction for institutional cryptocurrency investment.
即時市場影響包括持牌香港平台需作出業務調整,而較小型的營運者則可能因應合規成本而面臨整合。從長遠來看,這一舉措旨在鞏固香港作為機構加密貨幣投資可信賴司法管轄區的地位。
The enhanced standards create barriers to entry that may benefit established platforms capable of meeting the security requirements while potentially deterring less sophisticated operators. This market structure aligns with Hong Kong's goal of attracting high-quality institutional participants rather than facilitating speculative retail trading.
加強的標準設立了進入門檻,有利於已具備相應安全條件的平台,並可能令較缺乏經驗的營運者卻步。這種市場結構配合香港吸引高質素機構參與者、而非推動散戶投機交易的目標。
The prohibition on smart contracts in cold wallets may influence global custody practices if other jurisdictions adopt similar restrictions. However, it could also create competitive disadvantages for Hong Kong platforms if the limitations significantly impact operational efficiency compared to less restrictive jurisdictions.
禁止冷錢包使用智能合約,若其他司法管轄區跟隨,可能會影響全球託管操作做法。不過,若這項限制明顯影響操作效率,亦可能令香港平台在與限制較少的地區競爭時處於不利位置。
The comprehensive framework positions Hong Kong as having among the world's strictest cryptocurrency custody standards, potentially attracting institutional investors seeking maximum security assurances while deterring less sophisticated market participants.
這一套全面監管框架,令香港成為全球加密貨幣託管標準最嚴格的地區之一,有望吸引尋求最高安全保障的機構投資者,同時令部份欠經驗的市場參與者卻步。
As Hong Kong continues implementing its digital asset regulatory agenda, the custody standards represent a critical foundation for building institutional confidence in the city's cryptocurrency infrastructure. The success of this approach in attracting institutional capital while maintaining security will likely influence regulatory developments across the Asia-Pacific region and globally.
隨著香港繼續推行其數字資產監管藍圖,託管標準將成為建立機構對本地加密貨幣基建信心的關鍵基石。這種既能保障安全、又能吸引機構資本的做法,如能成功,預料將會對亞太區以至全球的監管政策產生深遠影響。