根據RWA.xyz網站的(de)(de)數據，除穩定(ding)幣外(wai)，RWA市場(chang)總價值已接(jie)近200億美元。這(zhe)一巨大增長的(de)(de)背后，是全球金融(rong)市場(chang)對(dui)資產(chan)(chan)數字化(hua)轉(zhuan)型的(de)(de)強烈需求以(yi)及技術創新的(de)(de)有力推動。美國、香(xiang)港、迪(di)拜等地區敏銳地捕捉到(dao)這(zhe)一趨(qu)勢，逐步推出(chu)清晰、完善的(de)(de)監管框(kuang)架，為RWA資產(chan)(chan)的(de)(de)上鏈提(ti)供明確的(de)(de)政策指引和保(bao)障(zhang)。

在此(ci)背景(jing)下，金(jin)融機構和項目方開始加(jia)速布局RWA賽道，涵蓋RWA公鏈、代(dai)幣(bi)化平臺、RWA交易市場等領域，整個賽道呈(cheng)現出迅猛的增長態勢(shi)。作為多個RWA產品如廣發證券（香(xiang)港(gang)）代(dai)幣(bi)化債券、USDO、USDI、MNER Club的安(an)全(quan)服(fu)務(wu)提供商(shang)，Beosin將(jiang)為大家對RWA的技術(shu)框架和審計(ji)要(yao)點進行梳理與分析。

RWA概念與技術實現

現實世界(jie)資產(chan)(chan)(chan)（RWA）代幣化是指利用區(qu)塊(kuai)鏈(lian)技術將物理世界(jie)中的資產(chan)(chan)(chan)轉化為(wei)數字(zi)代幣進行鏈(lian)上流通的過(guo)程。這些資產(chan)(chan)(chan)類別非常廣泛，包括但不限(xian)于房地產(chan)(chan)(chan)、藝(yi)術品、大宗商品、知(zhi)識產(chan)(chan)(chan)權(quan)、公司股權(quan)以(yi)及債務工具。代幣化的核心在于創建這些資產(chan)(chan)(chan)的數字(zi)表(biao)示(shi)形式(shi)，使(shi)其能夠在區(qu)塊(kuai)鏈(lian)網(wang)絡上被安全地持有、轉讓和交易。

技術實現(xian)方面，RWA項(xiang)目(mu)主要(yao)需要(yao)完成(cheng)(cheng)鏈下合(he)規、信息橋接(jie)和鏈上集成(cheng)(cheng)三個環節(jie)以成(cheng)(cheng)功(gong)實現(xian)RWA產品的(de)發行(xing)與運轉：

- 鏈下合規（Off-Chain Formalization）：明確項目(mu)資產價值，確保業務的(de)合(he)(he)規性，大多(duo)數 RWA 產品(pin)通過 SPV（特殊(shu)目(mu)的(de)實體）作為(wei)資金管(guan)(guan)控方來實現(xian)風(feng)險(xian)隔(ge)離，并通過該實體確保其RWA產品(pin)符合(he)(he)當地的(de)合(he)(he)規要(yao)求。如Ondo Finance發行的(de)OUSG產品(pin)，該產品(pin)的(de)基金管(guan)(guan)理(li)方為(wei)美國實體公(gong)司Ondo I LP。

- 信息橋接（Information Bridging）：RWA項(xiang)目需要利(li)用智能合約、預(yu)言機(ji)等技術將鏈(lian)(lian)下(xia)資(zi)產上(shang)鏈(lian)(lian)，并確保資(zi)產數據(ju)更新的(de)實(shi)時性、準確性和(he)透(tou)明(ming)性。如螞(ma)蟻(yi)數科在(zai)2024年在(zai)香港發行了首個跨境新能源實(shi)體資(zi)產RWA，通過“資(zi)產鏈(lian)(lian)+交(jiao)易鏈(lian)(lian)”架構(gou)實(shi)現內地與香港的(de)跨境資(zi)產流通和(he)交(jiao)易信息確認。

- 鏈上集成（On-Chain Integration）：通過(guo) DeFi 協議（如借(jie)貸、交易）釋放 RWA 應用(yong)價值(zhi)，如Ondo Finance將USDY接入Ethereum、Mantle、Sui等多個區塊鏈生態的(de)DeFi協議，進一步提高USDY的(de)采用(yong)率和資金利用(yong)率。

代幣化平臺

概述

代(dai)幣(bi)化(hua)平臺（Tokenization Platform/Engine）是RWA的核心，主要功能是為有RWA需(xu)求(qiu)的企業(ye)提供一套全面的、標(biao)準化(hua)的RWA解決(jue)方案，滿足(zu)企業(ye)進行鑄造、托管(guan)(guan)、分發(fa)和管(guan)(guan)理代(dai)幣(bi)化(hua)資產(chan)的業(ye)務需(xu)求(qiu)。

目前，RWA賽道中已(yi)涌現多個代幣(bi)(bi)化平(ping)臺(tai)以服務不同(tong)地區的(de)金融(rong)機構、政府和(he)私營(ying)公(gong)司，如Tether推出的(de)資產(chan)代幣(bi)(bi)化平(ping)臺(tai)Hadron by Tehter，獲得BlackRock投資的(de)資產(chan)代幣(bi)(bi)化平(ping)臺(tai)Securitize（為BlackRock、Hamilton Lane、KKR 等多家機構提供代幣(bi)(bi)化基金發(fa)(fa)行(xing)(xing)服務），香港的(de)ABT（發(fa)(fa)行(xing)(xing)黃金實物(wu)的(de)代幣(bi)(bi)GoldZip與支持(chi)廣發(fa)(fa)證券(quan)（香港）發(fa)(fa)行(xing)(xing)代幣(bi)(bi)化債券(quan)）與NVT（支持(chi)廣發(fa)(fa)證券(quan)（香港）發(fa)(fa)行(xing)(xing)代幣(bi)(bi)化證券(quan)和(he)信達國際資產(chan)管理公(gong)司發(fa)(fa)行(xing)(xing)代幣(bi)(bi)化債券(quan)）。

架構分析

以Hadron by Tehter為例，代幣化平(ping)臺主要功能可分為

- 對現實(shi)資(zi)產和(he)資(zi)產發(fa)行方的審(shen)查：注冊賬戶與完(wan)成KYC流程(cheng)

- 資產代幣化：選擇發行代幣化資產的(de)區塊鏈(lian)和 KYC 模(mo)板，設置(zhi)代幣的(de)白名單/訪問權(quan)限(xian)，配(pei)置(zhi)多(duo)簽(qian)錢包與密(mi)鑰管理(li)

- 代幣分發(fa)：投(tou)資(zi)者需完成KYC流程，執行認(ren)購和(he)贖回(hui)操作(zuo)

- 代幣(bi)增發與(yu)贖(shu)回：發行方管理鏈上和鏈下的認購與(yu)贖(shu)回流程(cheng)

審計項

代(dai)(dai)幣化平臺涉及代(dai)(dai)幣鑄造、贖回(hui)以及資產價格更新等業務，主(zhu)要(yao)審計(ji)項有：

• 溢出漏洞
• 重放攻擊
• 不安全的隨機數
• 交易順序依賴
• 拒絕服務
• 訪問控制
• 權限不當
• 變量覆蓋
• 業務設計
• 業務實現
• 可操縱的代幣價格
• 套利攻擊
• Gas優化
• 第三方模塊安全
• 升級安全
• 中心化風險

此外，針對代(dai)幣(bi)化平臺的合規性，Beosin還為代(dai)幣(bi)化平臺提供全面的合規服務，包括KYT/AML、交(jiao)易監(jian)控、生(sheng)態系統監(jian)控和風(feng)險管(guan)理。

//beosin.com/solutions/kyt

RWA區塊鏈

概述

RWA區塊(kuai)鏈(lian)是RWA賽道的(de)(de)(de)基礎設(she)施。由(you)于(yu)RWA市場的(de)(de)(de)快速發展，對于(yu)專(zhuan)(zhuan)門處理RWA業務的(de)(de)(de)區塊(kuai)鏈(lian)需求(qiu)開始顯現，當前市場中已(yi)有多(duo)條專(zhuan)(zhuan)注于(yu)RWA業務的(de)(de)(de)區塊(kuai)鏈(lian)，如Plume Network、Mantra和Pharos Network。

此外，原先(xian)做(zuo)美(mei)債RWA業務的(de)Ondo Finance與生息穩定幣協議(yi)的(de)Ethena也分(fen)別宣布即將推出(chu)RWA專有鏈(lian)，以期(qi)望通(tong)過更高(gao)效的(de)技術底(di)層(ceng)架構和(he)完(wan)整的(de)生態系統，在鏈(lian)上應用中提高(gao)RWA資產的(de)利用效率。

架構分析

RWA區塊鏈(lian)的技術框(kuang)架(jia)可大致分為以(yi)下5部分：

- 代幣(bi)(bi)化(hua)平臺(tai)：每條RWA區塊鏈(lian)都有官方(fang)代幣(bi)(bi)化(hua)平臺(tai)，如Plume Network的(de)Arc代幣(bi)(bi)化(hua)引擎(qing)，Converge則與Securitize合作，選擇Securitize為其(qi)官方(fang)代幣(bi)(bi)化(hua)平臺(tai)。代幣(bi)(bi)化(hua)平臺(tai)的(de)分析已在前文詳細介紹，不(bu)再贅述(shu)。

- 實(shi)時監控系統(tong)：由于(yu)合規要求，RWA區(qu)塊(kuai)鏈需要對RWA資產(chan)運作(zuo)狀態、鏈上交(jiao)易進行實(shi)時監控，識別(bie)高風險的交(jiao)易和可(ke)能的洗錢(qian)行為(wei)。

- 智能(neng)合約錢包(bao)：RWA資(zi)(zi)產(chan)與原生加密資(zi)(zi)產(chan)有非常大(da)的區別(bie)，其資(zi)(zi)產(chan)收益(yi)來(lai)源(yuan)于現實(shi)。針對此，多(duo)簽錢包(bao)Safe，Plume Passport等解決(jue)方案成為比EOA賬(zhang)戶更為安全和合規的選(xuan)擇。

- 預言機：RWA區(qu)塊鏈需集成可靠的預言機以確保(bao)整(zheng)個生態的數據(ju)可靠性(xing)和準確性(xing)，避免受到價(jia)格操縱攻(gong)擊(ji)。目前Chainlink、RedStone以及新型預言機Chronicle、Switchboard等已經為(wei)多條RWA區(qu)塊鏈提(ti)供喂價(jia)服務。

- 鏈平臺(tai)：作為(wei)RWA資產和相關(guan)DeFi協議的(de)運(yun)行平臺(tai)，提(ti)供(gong)交易、結(jie)算服務。

審計項

RWA區塊鏈(lian)是(shi)一個(ge)完整的(de)區塊鏈(lian)系統，因此(ci)公鏈(lian)的(de)通用(yong)審計(ji)項也適用(yong)于此(ci)類RWA區塊鏈(lian)網絡，具(ju)體見本文末(mo)尾附錄。

此外(wai)，針對使用(yong)Rollup框架（OP Stack/Arbitrum Orbit）的RWA區(qu)塊鏈(lian)，如Converge還需要(yao)進行一些額外(wai)的審計：

• 數據可用性證(zheng)明(ming)：確保 Layer2 交(jiao)易數據在 Layer1 上可用，防止數據丟失。

• 數據同步(bu)機(ji)制(zhi)：檢查 Layer1 和(he) Layer2 之間的數據同步(bu)機(ji)制(zhi)是(shi)否健全，是(shi)否能夠處理網絡分區等(deng)異常情況(kuang)。

• 欺(qi)(qi)詐(zha)證明合約：驗證欺(qi)(qi)詐(zha)證明（Fraud Proof）合約的(de)實(shi)現是否正(zheng)確。

• 挑戰期(qi)機(ji)制：檢查挑戰期(qi)的長度是(shi)否(fou)合理，能否(fou)在規定時間(jian)內完(wan)成欺詐證明。

• 欺詐證(zheng)明提交流程：檢查提交欺詐證(zheng)明的流程是否安全。

• 存款和(he)取款流(liu)(liu)程：檢查(cha)從 Layer1 到 Layer2 以及從 Layer2 到 Layer1 的存款和(he)取款流(liu)(liu)程，確保流(liu)(liu)程安(an)全。

• 資產鑄(zhu)造(zao)和銷毀：檢查資產在 Layer2 上(shang)的(de)鑄(zhu)造(zao)和銷毀邏輯，確保與 Layer1 資產的(de)對應關系(xi)正確。

• 流動性提供者機制(zhi)：如果有流動性提供者（LP）機制(zhi)，需要檢(jian)查(cha) LP 的操作流程及其安全性。

總結 

隨著區塊(kuai)(kuai)鏈(lian)技術(shu)的(de)不(bu)斷成熟(shu)和(he)傳(chuan)統(tong)金融機構的(de)深度參與(yu)，一個真正合規、安全、透明的(de)鏈(lian)上金融新(xin)階段即將到來，RWA有望(wang)從(cong)根(gen)本上改變(bian)用(yong)戶持有、交易(yi)和(he)管理資(zi)產(chan)的(de)方式。通過將傳(chuan)統(tong)資(zi)產(chan)引入區塊(kuai)(kuai)鏈(lian)生態系統(tong)，區塊(kuai)(kuai)鏈(lian)技術(shu)為解決長期存在的(de)市場低效問題包括流動性不(bu)足、準入限制(zhi)和(he)結算延遲(chi)等(deng)提供了(le)創新(xin)的(de)技術(shu)方案。

Beosin作為全(quan)球領先的(de)Web3安全(quan)合規公司(si)，對RWA產品中(zhong)的(de)智能(neng)合約與區塊(kuai)鏈部(bu)分提供(gong)全(quan)面的(de)安全(quan)審(shen)(shen)計服務。此前(qian)已審(shen)(shen)計的(de)RWA項目包括廣發證券（香港）代幣化證券、Ova.fi的(de)USDO、Inovab Digital Labs的(de)USDI。

通(tong)過集(ji)成(cheng)安全與合規服務，整(zheng)個RWA市場將為用(yong)戶提供(gong)更(geng)為安全、透明的金融服務，全球資(zi)產(chan)管理(li)行(xing)業將邁(mai)向更(geng)加高效(xiao)、安全、創新的未來。

附錄

公鏈通用審計項：

• 整數溢出：檢查整數上溢和整數下溢
• 死循環：檢查程序的循環判斷條件是否合理
• 無限遞歸調用：檢查程序遞歸調用的退出條件是否合理
• 競爭條件：檢查在并發狀態下，對共享資源的訪問操作
• 異常崩潰：檢查能讓程序主動退出的異常拋出代碼
• 除0漏洞：檢查是否有除以0的情況
• 類型轉換：檢查類型轉換是否正確，轉換過程中是否丟失重要信息
• 數組越界：檢查是否訪問超出數組界限的元素
• 反序列化漏洞：檢查反序列化過程中有沒有問題
• 功能實現安全：檢查各RPC接口實現是否存在安全隱患，是否與RPC接口功能設計相符

• 敏感RPC接口權限設置是否合理：檢查敏感RPC接口的訪問權限設置
• 加密傳輸機制：檢查是否用加密傳輸協議，比如TLS等
• 請求數據格式解析：檢查對請求數據的格式解析過程
• 錢包解鎖攻擊：節點解鎖其錢包的時候，被RPC請求竊取資金
• 傳統Web安全：檢查是否存在以下漏洞：跨站點腳本 （XSS） / 模板注入 / 第三方組件漏洞 / HTTP 參數污染 / SQL 注入 / XXE 實體注入 / 反序列化漏洞 / SSRF 漏洞 / 代碼注入 / 本地文件包含 / 遠程文件包含 / 命令執行注入等傳統漏洞
• 網絡節點身份認證和識別機制：檢查是否存在節點身份識別機制，節點身份識別機制能否被繞
• 路由表污染：檢查路由表是否能夠被隨意插入或覆蓋數據
• 節點發現算法：檢查節點發現算法是否均衡且不可預測，比如距離算法不平衡等問題
• 連接數占用審計：檢查p2p網絡連接節點數的限制和管理是否合理
• 日蝕攻擊：評估日食攻擊的成本與危害，必要時提供量化分析
• 女巫攻擊：評估投票共識機制，分析投票資格檢查策略
• 竊聽攻擊：檢查通信協議是否泄露隱私

• 異形攻擊：評估節點是否能識別同類鏈節點
• 時間劫持：檢查節點的網絡時間計算機制
• 內存耗盡攻擊：檢查大內存消耗的地方
• 硬盤耗盡攻擊：檢查大文件存儲的地方
• socket壓力攻擊：檢查鏈接數量的限制策略
• 內核句柄耗盡攻擊：檢查內核句柄創建的限制，比如文件句柄等
• 持續性的內存泄露：檢查內存泄露的地方
• 哈希算法安全性：檢查哈希算法的抗碰撞性
• 數字簽名算法安全性：檢查簽名算法安全性，算法實現的安全性
• 加密算法安全性：檢查加密算法安全性，算法實現的安全性
• 隨機數生成器安全性：檢查關鍵隨機數生成算法是否合理
• BFT實現安全：評估BFT算法的實現安全性
• 分叉選擇規則：檢查分叉選擇規則以確保安全性
• 中心化程度檢測：鑒別系統設計中是否存在過度中心化設計
• 激勵機制審計：評估激勵機制對安全性的影響
• 雙花攻擊：檢查共識是否可以防御雙花攻擊
• MEV攻擊審計：檢查區塊打包節點的MEV對鏈公平的影響
• 區塊同步過程審計：檢查同步過程中的安全問題
• 區塊格式解析過程審計：檢查格式解析過程中的安全問題，比如解析錯誤導致奔潰
• 區塊生成過程審計：檢查區塊生成過程中的安全問題，包括Merkle tree root構建方式是否合理
• 區塊校驗過程審計：檢查區塊簽名內容項及驗證邏輯是否充分
• 區塊確認邏輯審計：檢查區塊確認算法及實現是否合理
• 區塊哈希碰撞：檢查區塊哈希碰撞的構造方式，及碰撞時的處理是否合理
• 區塊處理資源限制：檢查孤兒區塊池、驗證計算、硬盤尋址等資源限制是否合理
• 交易同步過程審計：檢查同步過程中的安全問題
• 交易哈希碰撞：檢查交易哈希碰撞的構造方式，及碰撞時的處理
• 交易格式解析：檢查格式解析過程中的安全問題，比如解析錯誤導致奔潰
• 交易合法性校驗：檢查各類型交易簽名內容項及驗證邏輯是否充分
• 交易處理資源限制：檢查交易池、驗證計算、硬盤尋址等資源限制是否合理
• 交易延展性攻擊：交易是否可以改變內部字段(比如ScriptSig)從而改變交易hash而不影響交易的有效性
• 交易重放攻擊審計：檢查系統對交易重放的檢測

• 合約字節碼校驗：檢查虛擬機校驗合約的過程的安全問題，比如整數溢出、死循環等
• 合約字節碼執行：檢查虛擬機執行字節碼的過程的安全問題，比如整數溢出、死循環等
• gas模型：檢查交易處理/合約執行的各原子操作對應的手續費是否與資源消耗成正比
• 日志記錄的完整性：檢查關鍵信息是否被日志記錄
• 日志記錄的安全性：檢查處理日志的過程中，是否因處理不當造成安全問題，比如整數溢出等
• 日志包含隱私信息：檢查日志是否包含密鑰等隱私信息
• 日志存儲：檢查日志是否記錄過多內容，導致節點資源消耗
• 節點代碼供應鏈安全：檢查所有第三方庫、組件及公鏈框架對應版本的已知問題

Beosin作為全球最早一批從事形式化驗證的區塊鏈安全公司，主打”安全+合規“全生態業務，在全球10多個國家和地區設立了分部，業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控與阻斷、被盜追回、虛擬資產反洗錢（AML）以及符合各地監管要求的合規評估等“一站式”區塊鏈合規產品+安全服務。歡迎(ying)點(dian)擊公眾號留言框，與我們聯系(xi)。