香港のステーブルコイン発行者向けスマートコントラクト実施ガイド

第一部 インフラストラクチャとコンプライアンス戦略

1. 基盤となる分散型台帳の選択

EthereumやArbitrumなどの成熟していて高い安全性を備えたパブリックブロックチェーンを優先的に選ぶことをお勧めします。このようなネットワークは、長年の実績に裏打ちされたレジリエンス、大規模なバリデータノードネットワーク、そして継続的な公共の監視によって、自然な優位性を持っています。その高い攻撃コストは、51%攻撃を防ぐことや取引の最終性を保証することに対する規制の関心に直接応えることができます。

もしコンソーシアムチェーンやその他のタイプの分散型台帳の採用を検討する場合、その安全基準が主流のパブリックチェーンと同等またはそれ以上であることを証明するために、厳密かつ定量的な比較分析を実施する必要があります。

リスク評価報告書は、一般的な攻撃に対する耐性能力、コンセンサスアルゴリズムの種類、コードの欠陥、脆弱性、脆弱性の悪用およびその他の脅威に関連するリスクを包括的にカバーし、これらのリスクがステーブルコインの発行、償還および日常運営にどのように潜在的な影響を与えるかを詳細に分析する必要があります。この文書は、規制当局に対して技術選定の慎重さを証明するための重要な文書です。

2. コアトークン標準と規制機能の拡張

ERC-20を基本標準として採用することをお勧めします。これにより、トークンの同質化とより広範なエコシステム内での相互運用性が確保されます。

以下の機能モジュールを統合する必要があります。規制要件を満たすために:

• 一時停止可能:すべてのトークンの活動をグローバルに一時停止および再開する機能を実装するためのものであり、重大なセキュリティ事件に対処するための重要なツールです。
• 発行可能:ライセンスを持つ発行者が制御されたプロセスを通じて新しいトークンを鋳造し、トークンの発行量が十分な法定通貨の準備資産に厳密に対応することを保証するために使用されます。
• バーナブル:トークンを焼却する機能を提供します。具体的な実装では、この機能は任意のユーザーによる焼却を許可するのではなく、厳格な権限管理の下で制御されます。
• フリーズ可能: 特定のアカウントの通貨転送機能を一時停止するために使用( 疑わしい取引が関与している場合)。
• ホワイトリスト: 追加のセキュリティ対策を実施するために、デューデリジェンスと承認を受けたアドレスのみがコア操作(に参加することを許可します。新たに発行された通貨)を受け取ることなどです。
• ブラックリスト: 不正活動(（マネーロンダリング、詐欺)）に関与するアドレスに対して取引禁止令を実施し、通貨の送受信を禁止します。ブラックリストの管理はAML/CFTシステムと連動し、疑わしい取引をリアルタイムで監視する必要があります。
• AccessControl:これは、細分化された役割ベースの権限管理システムを実現するための基礎です。すべての管理機能は、このモジュールを通じて権限管理を行う必要があり、職務分離の要件を満たす必要があります。

3. 主なコンプライアンスモデル: ブラックリストとホワイトリストの選択

デフォルトの推奨ソリューションとしてブラックリストモードの採用を推奨します:

• 利点:より高い実用性を持ち、広範な分散型金融(DeFi)エコシステムとシームレスに相互運用でき、ユーザーにとってより低い使用のハードルとよりスムーズな体験を提供します。
• 欠点:コンプライアンスは強力でリアルタイムのオフチェーン監視分析能力に高度に依存しており、違法なアドレスを迅速に発見し封鎖することが求められます。
• 実現方法:スマートコントラクトの送金関数に、ロジックチェックを追加して、取引の送信者(from)と受信者(to)のアドレスがいずれもブラックリストに記録されていないことを確認します。

! 技術ガイダンス:香港ステーブルコイン発行者向けスマートコントラクト実装ガイド

第二部分 スマートコントラクト実現

1. 精密なアクセス制御システムを設計する

明確な役割を定義し、これらの役割を異なる、マルチシグウォレットによって制御される実体または従業員に割り当てる必要があります。これにより、職務分離が実現され、単一障害点や共謀操作のリスクが最小限に抑えられます。各役割は特定の機能に限定され、すべての操作にはマルチシグの承認が必要であり、一人の従業員が複数の高リスク役割を同時に持つことはできません。すべての操作はログに記録され、年次の第三者監査を受け、権限の割り当ては管理者または取締役会によって監視されます。

ロールの定義:

• MINTER_ROLE: ステーブルコインの発行(mint)操作を担当します
• BURNER_ROLE:ステーブルコインの発行(burn)操作を処理する責任がある
• PAUSER_ROLE:(の操作を一時停止する責任がある)ステーブルコイン
• RESUME_ROLE:(resume)のステーブルコインの操作を復元することを担当する
• FREEZER_ROLE:特定のウォレットまたはトークン(remove freeze) (freeze)の凍結と凍結解除を担当します
• WHITELISTER_ROLE:ホワイトリスト・(whitelist)の管理を担当
• BLACKLISTER_ROLE:ブラックリスト(blacklist)の管理とブラックリスト(remove blacklist)の削除を担当します。
• UPGRADER_ROLE:もしアップグレード可能なモデルを採用する場合、(upgrade)スマートコントラクトのアップグレードを担当します。

2. 発行(通貨)メカニズム

前置チェック: 関数はコインの鋳造を実行する前に、ターゲットアドレスtoがブラックリストに載っているか、凍結されている状態にあるかどうかを確認する必要があります。

操作フロー:

1. オフチェーンデューデリジェンス: 顧客はすべての必要なオフチェーン顧客識別(KYC)および顧客デューデリジェンス(CDD)プロセスを完了します。
2. 資金の受領:クライアントは、同額の不換紙幣資金を発行者が指定した銀行口座に送金します。
3. 内部検証:発行者の内部システムが資金の受領を確認し、対応して準備資産の会計記録を更新します。
4. チェーン上での実行: オペレーションチームは、スマートコントラクトの発行トークン関数を呼び出すマルチシグ交易を作成し署名し、新たに発行されたステーブルコインを顧客が事前に登録し検証されたウォレットアドレスに送信します。

3. 赎回(の廃棄)メカニズム

償還準備: ユーザーはまず、償還したい通貨を発行者が管理する指定されたアドレスに移動する必要があります。

操作フロー:

1. オンチェーンリクエスト: ユーザーは発行者のプラットフォームを通じてオフチェーンの償還リクエストを提出します。リクエストを処理する前に、発行者は顧客に適切な顧客デューデリジェンス(CDD)を行う必要があります。
2. システム検証:発行者のシステム検証リクエストの有効性を確認し、ユーザーがオンチェーンで対応する通貨移転操作を完了しているかどうかをチェックします。
3. 法定通貨の支払い: 発行者は、ユーザーが事前に登録し検証した銀行口座に等価の法定通貨を振り込みます。
4. チェーン上の焼却: 法定通貨の送金が成功したことを確認した後、BURNER_ROLEを持つマルチシグウォレットが焼却関数を呼び出し、指定されたアドレスから対応する数量の通貨を焼却します。

4. 緊急コントロールの実施: 停止と凍結

機能停止: PAUSER_ROLEを持つマルチシグウォレットのみが呼び出すことができ、契約機能を全体的に中止するために使用されます。トリガー条件には、ネットワーク攻撃や準備資産の不一致(などの異常イベント)が検出されることが含まれ、取締役会または上級管理職の承認が必要です。機能の復元は独立したRESUME_ROLEによって処理され、職務の分離を実現します。

凍結機能: FREEZER_ROLEを持つマルチシグウォレットが呼び出し、特定のアドレスに対する送金制限に使用されます。トリガー条件には疑わしい活動(、AMLアラートや裁判所命令)が含まれ、オフチェーン検証後に実行される必要があります。凍結解除は同じ役割で処理されますが、追加の監査検証が必要であり、悪用を防ぐために関連の公告を発表します。

5. アドレスフィルタリングとブラックリストメカニズム

• 関数実装: ブラックリストの追加、ブラックリストの削除機能を実装する関数で、持っているのはBLACKLISTER_ROLEのマルチシグウォレットのみが呼び出すことができます。
• 振込制限: ブラックリストに登録されたアドレスによるトークンの移転/受信は禁止されています。
• 操作フロー:分析ツールがアラートを発信し、内部コンプライアンスレビューをトリガーし、コンプライアンスチームが確認した後、BLACKLISTER_ROLEのマルチシグウォレットがブラックリスト追加取引を開始します。

6. スマートコントラクトのアップグレード性

• プロキシモデル:EVMタイプのスマートコントラクトに対しては、成熟したERC-1967プロキシモデルを採用してアップグレード可能性を実現できます。
• 権限管理:アップグレード関数はUPGRADER_ROLEを持つマルチシグウォレットのみが呼び出すことができます。
• 変更管理プロセス: 規制要件に基づき、アップグレードを提案する前に、厳格な変更管理プロセスを完了する必要があります。このプロセスには、新しいロジックコントラクトに対する包括的で独立した第三者のセキュリティ監査が含まれます。

7. 分析と報告のためのオンチェーンイベントログ

ERC-20標準の要求する転送(Transfer)、承認(Approval)イベントの他に、契約は全ての管理行為と状態変更のためにカスタムイベントを定義し、発行しなければならない。

• トークンの鋳造/バーン(Minted/Burned)イベント
• 先物の一時停止/再開(Paused/Resume)イベント
• ブラックリストからの(BlacklistAdded/BlacklistRemoved)イベントの追加/削除
• ホワイトリストからの(WhitelistAdded/WhitelistRemoved)イベントの追加/削除
• (AddressFrozen/AddressUnfrozen)イベントのフリーズ/フリーズ解除に対応
• 特権ロールの変更(RoleGranted/RoleRevoked)イベント
• コントラクトアップグレード(Upgraded)イベント

! 技術ガイダンス:香港ステーブルコイン発行者向けスマートコントラクト実装ガイド

第三部分 运营安全与ライフサイクル管理

1. セキュアキー管理アーキテクチャ

• キー生成:詳細な文書に記録された"キー儀式"(key ceremony)を、物理的に安全で外部ネットワークから完全に隔離された空間で行う必要があります。
• 秘密鍵の保管: すべての管理役割はマルチシグウォレットによって制御されなければなりません。これらのマルチシグウォレットの署名者が使用する秘密鍵は、HSMまたはその他の安全なハードウェアウォレットに保管する必要があります。最も重要な役割に対応する鍵は、オフラインシステムに保存され、オンライン環境と物理的に隔離されている必要があります。
• キーの使用: マルチシグネチャポリシーを必ず実施する必要があります。"重要な秘密鍵"が関与する取引の署名には、関連する人々が直接現場で操作することが求められる場合があります。
• バックアップと復元: キーシェアまたはニーモニックフレーズのバックアップは、香港国内(または規制当局に承認された場所)の複数の安全で地理的に分散した場所に保存する必要があり、改ざん防止の包装を使用する必要があります。

2. 完全なデプロイプロセスと実行時監視

正式な展開の前に、"展開前チェックリスト"を策定し、厳密に実施する必要があります。

• 全面テスト: ユニットテストのカバレッジが95%以上であることを確認し、コアコードのカバレッジが100%であることを確認し、出力ユニットテストのカバレッジレポートを確保する。
• 独立監査:少なくとも1社、できれば2社の評判の良い監査会社による独立したセキュリティ監査報告書を完成させる。
• コード凍結: 監査完了後、コードを凍結し、リリースまで変更を加えない。
• 回帰テスト:正式なデプロイの前に、ユニットテストを実行し、回帰テストを行います。
• コンプライアンス承認:内部コンプライアンスチームからの正式な承認を得て、契約の論理がすべての関連する規制要件を満たしていることを確認します。
• デプロイ演習:詳細なデプロイスクリプトを準備し、メインネット環境と完全に一致するテストネットで完全なデプロイ演習を行います。
• 権限のあるデプロイ: 権限のあるウォレットによって最終的なデプロイ操作が実行されます。

デプロイメントが完了した後、特権ロールの使用状況および新たに発生した脅威に対して適切な監視措置を講じ、迅速に緩和策を実施する必要があります。

• チェーン上の活動モニタリング:管理ロールの使用状況を監視し、未承認の状況の発生を迅速に発見する。
• 脅威情報監視:新たに現れる脅威をタイムリーに発見し、脅威情報を分析して、迅速に緩和措置を実施できるようにする。

3. 事業継続性と退出計画のための技術支援を提供します

ビジネス退出計画の策定:この計画は、秩序ある終了を引き起こす可能性のあるさまざまな状況をカバーし、これらの状況の実際の発生または潜在的な発生に対する監視措置を含んでいます。

オンチェーンの退出プロセス:

• スマートコントラクトを一時停止し、すべての通貨の移転行為を停止することで、準備資産の現金化利益を最大化し、市場全体の安定への影響を最小化することを確保する。
• 赎回機能とホワイトリスト機能を利用して、ステーブルコイン保有者が赎回申請を提出するのを支援します。