Phần lớn các tổ chức phát hành quỹ ETF bitcoin đã chọn Coinbase làm nơi giám sát, đây là nơi tập trung rủi ro. Ngay cả khi đó là lựa chọn an toàn nhất, các tiêu chuẩn an ninh mạng mới vẫn cần thiết để đảm bảo việc lưu ký tiền điện tử thực sự an toàn.
Khi tôi cùng cả thế giới chờ đợi quỹ ETF bitcoin đầu tiên được chấp thuận, có một điều khiến tôi trăn trở: Với một số ngoại lệ bao gồm Fidelity và VanEck, gần như mọi người đăng ký quỹ ETF bitcoin giao ngay đều có ý định sử dụng Coinbase làm người giám hộ.
David Schwed là giám đốc điều hành của Halborn.
Với tư cách là một nhà lãnh đạo an ninh mạng tập trung vào các chuỗi khối, sự tập trung rủi ro này cùng với tính chất rủi ro cao vốn có của quyền giám sát tiền điện tử và tính chất vẫn đang phát triển của các phương pháp hay nhất về bảo mật khiến tôi phải tạm dừng.
Điều khiến tôi lo lắng ở đây không phải là Coinbase. Công ty chưa bao giờ bị tấn công bởi một vụ hack nào, điều này giải thích tại sao rất nhiều tổ chức truyền thống tin tưởng vào bí quyết của công ty. Tuy nhiên, không có mục tiêu nào là không thể tấn công được – bất kỳ thứ gì và bất kỳ ai cũng có thể bị xâm phạm nếu có đủ thời gian và nguồn lực. Đó là bài học tôi đã học được trong sự nghiệp giao thoa giữa an ninh mạng và quản lý tài sản.
Điều khiến tôi lo lắng là sự tập trung tài sản quá mức vào một người giám sát duy nhất. Và do tính chất giống tiền mặt của tài sản tiền điện tử, điều đó khiến tình hình trở nên đáng lo ngại.
Có lẽ đã đến lúc phải suy nghĩ lại về việc chỉ định “người giám sát đủ điều kiện”, một sự phê chuẩn theo quy định mà ở dạng hiện tại không nhất thiết đảm bảo các tài sản dựa trên blockchain rủi ro nhất thiết phải được bảo đảm (hoặc tốt nhất). Hơn nữa, lý tưởng nhất là những người giám sát tài sản kỹ thuật số phải chịu sự giám sát nhiều hơn bởi các cơ quan quản lý được đào tạo tốt hơn, theo các tiêu chuẩn nghiêm ngặt hơn của tiểu bang và liên bang so với hiện tại.
Hầu hết những người giám sát đủ điều kiện ngày nay đều đảm bảo an toàn cho cổ phiếu, trái phiếu hoặc số dư tiền pháp định được theo dõi kỹ thuật số, tất cả đều là những thỏa thuận pháp lý cơ bản, không thể đơn giản bị “đánh cắp”. Nhưng bitcoin (BTC), giống như tiền mặt và vàng, được biết đến như một công cụ vô giá. Một vụ hack tiền điện tử thành công giống như một vụ cướp ngân hàng ở miền Tây hoang dã, ngay khi nó lọt vào tay kẻ trộm, số tiền sẽ biến mất.
Vì vậy, đối với người giám sát tiền điện tử, chỉ cần một sai lầm là tài sản sẽ biến mất hoàn toàn.
Chúng tôi cũng biết thế lực của tội phạm tiền điện tử toàn cầu rất ghê gớm và quyết tâm. Chỉ lấy một ví dụ khét tiếng, nhóm hacker Lazarus Group của Triều Tiên được cho là đã đánh cắp số tiền điện tử trị giá 3 tỷ USD trong sáu năm qua và nó không có dấu hiệu dừng lại. Dòng vốn vào quỹ ETF bitcoin đã được dự đoán ở mức trên 6 tỷ USD trong tuần giao dịch đầu tiên – khiến các quỹ này trở thành mục tiêu hàng đầu.
Nếu Coinbase có hàng chục tỷ bitcoin trong kho kỹ thuật số của mình, Triều Tiên có thể dễ dàng tổ chức một hoạt động trị giá 50 triệu USD để đánh cắp số tiền đó, ngay cả khi phải mất nhiều năm. Những kẻ đe dọa như nhóm Cosy Bear/APT29 của Nga cũng có thể thấy việc theo đuổi tiền điện tử của tổ chức ngày càng hấp dẫn khi các nhóm đó ngày càng lớn hơn – có khả năng lớn hơn rất nhiều.
Đây là mức độ đe dọa mà các ngân hàng lớn đã chuẩn bị sẵn sàng. Một mô hình quản lý rủi ro phổ biến cho các tổ chức tài chính sử dụng ba lớp giám sát. Đầu tiên, lớp quản lý doanh nghiệp thiết kế và triển khai các biện pháp bảo mật; thứ hai, lớp rủi ro giám sát và đánh giá những hoạt động đó; và thứ ba, lớp kiểm toán đảm bảo rằng các biện pháp giảm thiểu rủi ro thực sự hiệu quả.
Trên hết, một tổ chức tài chính kế thừa sẽ có các kiểm toán viên bên ngoài và giám sát CNTT bên ngoài, cũng như nhiều cơ quan quản lý tiểu bang và liên bang giám sát họ. Rất nhiều con mắt sẽ xem xét mọi khía cạnh của rủi ro và an ninh.
Nhưng nhiều cấp độ dự phòng và lồng ghép các lỗi an toàn này đòi hỏi một điều có vẻ đơn giản: số lượng nhân viên.
Trong thời gian tôi làm người đứng đầu toàn cầu về công nghệ tài sản kỹ thuật số tại BNY Mellon, ngân hàng đầu tư có khoảng 50.000 nhân viên, trong đó khoảng 1.000 – hay 2% – giữ vai trò bảo mật. Coinbase, ngay cả sau khi mở rộng gần đây, vẫn có ít hơn 5.000 nhân viên. BitGo, cũng là người giám sát đủ tiêu chuẩn được chứng nhận bởi Bang New York và các khu vực pháp lý khác, chỉ có vài trăm.
Điều này không nhằm mục đích chê bai ý định hoặc kỹ năng của bất kỳ tổ chức nào trong số này hoặc nhân viên của họ. Nhưng sự giám sát thực sự đòi hỏi sự dư thừa mà các tổ chức mới này có thể gặp khó khăn trong việc cung cấp ở mức phù hợp để đảm bảo đảm bảo các công cụ vô danh trị giá hàng chục tỷ đô la.
Trước khi những con số đó thậm chí còn lớn hơn (và hấp dẫn hơn đối với kẻ xấu), đã đến lúc phải tinh chỉnh các tiêu chuẩn an ninh mạng để chỉ định người giám sát đủ tiêu chuẩn. Hiện tại, việc chỉ định này đi kèm với ủy thác hoặc giấy phép ngân hàng, được giám sát bởi các cơ quan quản lý tiểu bang và liên bang. Đây là những cơ quan quản lý tài chính chủ yếu tập trung vào ngân hàng truyền thống, không phải chuyên gia an ninh mạng và chắc chắn không phải chuyên gia về tiền điện tử. Dễ hiểu là họ tập trung vào bảng cân đối kế toán, quy trình pháp lý và các hoạt động tài chính khác.
Nhưng đối với những người giám sát tiền điện tử, đó không phải là loại giám sát duy nhất quan trọng hoặc thậm chí nhất thiết là quan trọng nhất. Không có tiêu chuẩn toàn ngành nào đối với các biện pháp quản lý rủi ro và an ninh mạng cụ thể của người giám sát tiền điện tử, có nghĩa là trạng thái “người giám sát đủ điều kiện” không hoàn toàn yên tâm như người ta tưởng. Điều đó khiến không chỉ các nhà đầu tư mà cả toàn bộ khu vực non trẻ phải đối mặt với rủi ro không rõ ràng với những hậu quả thảm khốc tiềm ẩn.
Việc phê duyệt một loạt quỹ ETF bitcoin chỉ là bước mới nhất trong việc tiếp tục tích hợp các tài sản kỹ thuật số vào hệ thống tài chính. Bạn không cần phải tin tưởng vào dự đoán đó của những người ủng hộ tiền điện tử – chỉ cần hỏi Blackrock, một gã khổng lồ kế thừa đã ủng hộ ETF. Khi những diễn biến này tiếp tục diễn ra, các cơ quan quản lý thực sự quan tâm đến việc bảo vệ nhà đầu tư sẽ tập trung vào việc thích ứng với thế giới mới này: một thế giới trong đó các tiêu chuẩn an ninh mạng nghiêm ngặt cũng quan trọng đối với sự ổn định tài chính như việc tiết lộ trung thực và kiểm toán tài chính.
