香港證監會強化虛擬資產託管規範：冷錢包、盲簽、實時監控全上陣

為防範資產遭受駭客入侵及內部欺詐，香港證券及期貨事務監察委員會（證監會）於 2025 年 8 月 15 日發出通函，針對持牌虛擬資產交易平台的資產託管安排提出明確標準。該通函為業界設立最低門檻，並提供最佳實務參考，盼建立統一、穩健的虛擬資產託管框架。

海外事故頻傳 暴露資產託管五大漏洞

根據證監會引述的多宗海外案例，虛擬資產平台普遍存在五大資安隱患，包括惡意程式入侵錢包系統、監控設備失效、盲目簽署交易、缺乏獨立驗證及冷錢包設計不當。即使平台採用HSM（硬體安全模組）、MPC（多方計算）或 Multi-Sig（多重簽署）等技術，仍無法完全杜絕風險。

對抗風險　證監會主打「技術中立」+「結果導向」

通函強調，證監會不強制平台採用特定的託管技術，而是聚焦於整體內控及審計可行性。只要平台能證明其解決方案具備足夠的安全性、完整性與可追溯性，創新技術也將被允許採用。這反映出監管機構正從傳統硬體導向，轉向更具彈性的風險管理策略。

高層負責任明確 指定專人監管託管架構

根據新規定，平台營運者需由高級管理層負責制定並實施有效的託管策略，並指定專人或主管監察託管相關事宜，包括系統、政策、內控與審查流程，確保全公司上下落實一致的風控文化。

冷錢包成安全關鍵 不得使用智能合約

通函對冷錢包的要求極為嚴格：私鑰與種子應離線生成並保存在安全環境中（例如：HSM），避免接觸網路。此外，平台不應在公鏈上部署智能合約以儲存冷錢包資產，以降低智能合約遭攻擊的可能性。

操作上嚴格控管 禁止「盲簽」交易

在實際操作層面，平台需制定詳盡程序，防止詐騙性提款或非授權交易，包括限制交易簽署設備功能、使用白名單確認轉出地址、分層驗證以及端對端的完整性檢查。平台應避免讓員工「盲目簽署」未經審核的交易，這已被界定為一種高風險行為。

第三方服務也納入監管 程式碼需定期審查

如平台使用第三方錢包或託管服務，亦需進行全面盡職審查與定期監控。包括供應商的程式碼開發流程、漏洞管理、復原能力測試等，皆須有審計記錄與獨立評估。任何重大系統變更都應事前經測試及風險評估。

建立全天候實時威脅監控 強化 SOC 角色

證監會要求平台設立保安運作中心（SOC）或同等功能部門，24小時監控所有資安事件，包括冷錢包保管庫、交易簽署設備、區塊鏈網絡等潛在威脅。一旦出現可疑交易或資產異常變動，應即時回報並啟動應對程序。

員工訓練成必須 強調反釣魚與驗證意識

平台應定期為所有相關職員提供培訓，涵蓋交易驗證程序、資安意識及緊急處理流程，尤其強調如何防止因社交工程（如釣魚電郵）而導致的安全漏洞。有公司甚至每月進行釣魚模擬測試，以強化員工防範能力。

新標準即時生效 平台須即時評估與調整

本次通函所列標準即時生效，平台營運者應全面評估其資產託管架構是否達標，並納入每年的合規與技術審查報告中。證監會未來也將針對虛擬資產託管服務制定更具體規管，以推動整體行業更安全、透明地發展。

這篇文章 香港證監會強化虛擬資產託管規範：冷錢包、盲簽、實時監控全上陣 最早出現於 鏈新聞 ABMedia。