Chapter V: Custody Fundamentals¶
Section I: Cryptographic Foundations¶
The Custody Paradigm Shift¶
Cryptocurrency fundamentally transforms value into information. This shift eliminates the need for physical trucks and armored vaults but creates a new reality: keys equal control. If a party can authorize a transaction, they effectively own the asset, creating new opportunities for self-sovereignty and different categories of risk. Custody can exist entirely in memory. A 12-word mnemonic can hold millions of dollars with no physical footprint. For refugees or anyone living under hostile or bad faith governments, this enables value to cross borders in someone's head, resist confiscation, evade capital controls, and be reconstructed anywhere with an internet connection.
This capability comes with corresponding responsibility. Whether for individuals or institutions, the shift from physical to informational value creates new failure modes. One forgotten passphrase or compromised backup can mean permanent loss. Sophisticated custody operations become a discipline of minimizing online exposure, implementing tested recovery procedures, and ensuring provable operations. The implications are clear: transactions are irreversible, and most losses stem from operational lapses rather than cryptographic vulnerabilities. To see how control is enforced in practice, we start with keys, addresses, and signatures.
Public Keys, Private Keys, and Digital Signatures¶
At the heart of custody lies a fundamental cryptographic relationship: public keys and private keys. Think of this as a mathematical lock-and-key system where the lock (public key) can be shared freely, but only the corresponding key (private key) can unlock it.
A private key is a large random number, typically 256 bits of entropy, that serves as the holder's secret. In practice, private keys are usually derived from 12 or 24-word mnemonic seed phrases rather than generated directly. From this private key, mathematical operations generate a corresponding public key. While it's computationally easy to derive a public key from a private key, the reverse is practically impossible with current technology. (Chapter XIV examines how quantum computers could change this equation.)
Digital signatures prove ownership without revealing the private key. When someone wants to spend cryptocurrency, they create a digital signature using their private key and the transaction details. Anyone can verify this signature using the public key, confirming that only the holder of the corresponding private key could have created it.
Digital signatures enable non-repudiation: once someone signs a transaction, they cannot later claim they didn't authorize it. The mathematics provides cryptographic proof of authorization.
Different blockchains use different signature algorithms. Bitcoin and Ethereum rely on ECDSA (Elliptic Curve Digital Signature Algorithm), while Solana uses EdDSA (Edwards-curve Digital Signature Algorithm). Bitcoin's Taproot upgrade introduced Schnorr signatures, which enable multiple parties to jointly sign transactions in ways that appear identical to single-signature transactions on-chain. These algorithmic differences become relevant when designing multi-party custody arrangements, as some schemes work better with certain signature types than others. The practical implications will become clearer when we examine institutional custody models in Section III.
Addresses: Public Identifiers¶
Addresses serve as public identifiers for receiving cryptocurrency, derived from public keys through cryptographic hashing. Different blockchains use different address formats. Bitcoin addresses come in several types, including Legacy addresses starting with "1", Script Hash addresses starting with "3", and modern Bech32 formats starting with "bc1". Ethereum addresses are 40-character hexadecimal strings that always start with 0x, derived from the last 20 bytes of the public key hash. Solana addresses are 44-character strings representing Ed25519 public keys directly.
This fundamental asymmetry enables the entire cryptocurrency ecosystem: addresses can be shared publicly for receiving funds, but spending requires the corresponding private key.
Mnemonic Seed Phrases: Human-Readable Keys¶
While the cryptographic primitives above provide the mathematical foundation for custody, they create a practical problem: how do humans safely manage these keys? Raw private keys are 64-character hexadecimal strings like e9873d79c6d87dc0fb6a5778633389f4453213303da61f20bd67fc233aa33262, which are impossible to memorize, prone to transcription errors, and difficult to store securely.
Mnemonic seed phrases solve this usability problem by encoding cryptographic entropy into human-readable words.
BIP-39 (Bitcoin Improvement Proposal 39) standardizes mnemonic phrases using a dictionary of 2048 words. A 12-word phrase encodes approximately 128 bits of entropy, while a 24-word phrase provides approximately 256 bits. These words encode cryptographic entropy plus a checksum to catch transcription errors. The phrase is processed through a key stretching algorithm that applies many iterations of cryptographic hashing to generate a master seed, making brute-force attacks computationally expensive. From this master seed, hierarchical deterministic (HD) wallets derive unlimited addresses and keys following related BIP standards (BIP-32 defines the derivation method, BIP-44 standardizes the path structure across different cryptocurrencies).
These seed phrases have several important properties. They are deterministic, meaning the same phrase always generates the same keys and addresses. They are hierarchical, allowing one seed to generate keys for multiple cryptocurrencies and accounts. And they are recoverable, meaning the phrase alone can restore an entire wallet across different software applications.
The 25th word: An optional passphrase can be added to the mnemonic, creating an additional security layer. This passphrase effectively creates different wallets from the same seed phrase, providing plausible deniability and additional security.
High-quality random number generation is important when creating seed phrases. Weak randomness can lead to predictable keys that attackers could guess. When restoring a wallet from a seed phrase, using the same derivation path (the specific method for generating addresses from the seed) as the original wallet ensures all addresses are recovered correctly. Different wallets may use different derivation paths, so compatibility matters when moving between wallet software.
수탁 패러다임의 전환¶
암호화폐는 가치를 근본적으로 정보로 변환한다. 이러한 전환은 물리적 운송 차량과 무장 금고의 필요성을 없애지만 새로운 현실을 만들어낸다: 키(Key)가 곧 통제권이다. 만약 어떤 당사자가 거래를 승인할 수 있다면, 그들은 사실상 해당 자산을 소유하는 것이며, 이는 자기 주권(Self-sovereignty)을 위한 새로운 기회와 다른 범주의 위험을 동시에 창출한다. 수탁(Custody)은 전적으로 기억 속에 존재할 수 있다. 12개의 단어로 된 니모닉(Mnemonic)은 어떤 물리적 흔적도 없이 수백만 달러를 보관할 수 있다. 난민이나 적대적이거나 악의적인 정부 아래 사는 사람들에게, 이것은 가치가 누군가의 머릿속에서 국경을 넘고, 압수에 저항하고, 자본 통제를 회피하며, 인터넷 연결만 있으면 어디서든 재구성될 수 있게 해준다.
이러한 능력에는 상응하는 책임이 따른다. 개인이든 기관이든, 물리적 가치에서 정보적 가치로의 전환은 새로운 실패 양식을 만들어낸다. 하나의 잊어버린 암호문이나 손상된 백업이 영구적인 손실을 의미할 수 있다. 정교한 수탁 운영은 온라인 노출을 최소화하고, 검증된 복구 절차를 구현하며, 증명 가능한 운영을 보장하는 규율이 된다. 그 함의는 명확하다: 거래는 되돌릴 수 없으며, 대부분의 손실은 암호학적 취약점이 아닌 운영상의 실수에서 비롯된다. 통제가 실제로 어떻게 시행되는지 보기 위해, 키, 주소, 서명부터 시작한다.
공개키, 개인키, 그리고 디지털 서명¶
수탁의 핵심에는 근본적인 암호학적 관계가 있다: 공개키(Public Key)와 개인키(Private Key). 이것을 자물쇠(공개키)는 자유롭게 공유할 수 있지만, 오직 해당하는 열쇠(개인키)만이 열 수 있는 수학적 자물쇠-열쇠 시스템으로 생각하면 된다.
개인키는 일반적으로 256비트의 엔트로피(Entropy)를 가진 큰 난수로, 보유자의 비밀 역할을 한다. 실제로 개인키는 보통 직접 생성되기보다 12개 또는 24개 단어로 된 니모닉 시드 구문(Seed Phrase)에서 파생된다. 이 개인키로부터 수학적 연산을 통해 해당하는 공개키가 생성된다. 개인키에서 공개키를 파생하는 것은 계산적으로 쉽지만, 그 역방향은 현재 기술로는 사실상 불가능하다. (제14장에서 양자 컴퓨터가 이 방정식을 어떻게 바꿀 수 있는지 살펴본다.)
디지털 서명(Digital Signature)은 개인키를 노출하지 않고 소유권을 증명한다. 누군가가 암호화폐를 지출하고자 할 때, 그들은 개인키와 거래 세부 사항을 사용하여 디지털 서명을 생성한다. 누구나 공개키를 사용하여 이 서명을 검증할 수 있으며, 해당 개인키의 보유자만이 이를 생성할 수 있었음을 확인한다.
디지털 서명은 부인 방지(Non-repudiation)를 가능하게 한다: 누군가가 거래에 서명하면, 나중에 그들이 승인하지 않았다고 주장할 수 없다. 수학이 승인의 암호학적 증거를 제공한다.
서로 다른 블록체인은 서로 다른 서명 알고리즘을 사용한다. 비트코인과 이더리움은 ECDSA(타원 곡선 디지털 서명 알고리즘, Elliptic Curve Digital Signature Algorithm)에 의존하는 반면, 솔라나는 EdDSA(에드워즈 곡선 디지털 서명 알고리즘, Edwards-curve Digital Signature Algorithm)를 사용한다. 비트코인의 탭루트(Taproot) 업그레이드는 슈노르 서명(Schnorr Signatures)을 도입했는데, 이는 여러 당사자가 온체인에서 단일 서명 거래와 동일하게 보이는 방식으로 공동으로 거래에 서명할 수 있게 해준다. 이러한 알고리즘적 차이는 다자간 수탁 체계를 설계할 때 중요해지는데, 일부 방식은 특정 서명 유형과 더 잘 작동하기 때문이다. 실용적 함의는 제3절에서 기관 수탁 모델을 검토할 때 더 명확해질 것이다.
주소: 공개 식별자¶
주소(Address)는 암호화폐를 수신하기 위한 공개 식별자 역할을 하며, 암호학적 해싱을 통해 공개키에서 파생된다. 서로 다른 블록체인은 서로 다른 주소 형식을 사용한다. 비트코인 주소는 "1"로 시작하는 레거시(Legacy) 주소, "3"으로 시작하는 스크립트 해시(Script Hash) 주소, 그리고 "bc1"으로 시작하는 현대적인 Bech32 형식을 포함한 여러 유형이 있다. 이더리움 주소는 항상 0x로 시작하는 40자의 16진수 문자열로, 공개키 해시의 마지막 20바이트에서 파생된다. 솔라나 주소는 Ed25519 공개키를 직접 나타내는 44자 문자열이다.
이러한 근본적인 비대칭성이 전체 암호화폐 생태계를 가능하게 한다: 주소는 자금 수신을 위해 공개적으로 공유할 수 있지만, 지출에는 해당 개인키가 필요하다.
니모닉 시드 구문: 인간이 읽을 수 있는 키¶
위의 암호학적 기본 요소들이 수탁의 수학적 기반을 제공하지만, 실용적인 문제를 만들어낸다: 인간이 이러한 키들을 어떻게 안전하게 관리할 수 있는가? 원시 개인키는 e9873d79c6d87dc0fb6a5778633389f4453213303da61f20bd67fc233aa33262와 같은 64자의 16진수 문자열로, 암기가 불가능하고 필사 오류가 발생하기 쉬우며 안전하게 저장하기 어렵다.
니모닉 시드 구문은 암호학적 엔트로피를 인간이 읽을 수 있는 단어로 인코딩하여 이 사용성 문제를 해결한다.
BIP-39(비트코인 개선 제안 39)는 2048개 단어의 사전을 사용하여 니모닉 구문을 표준화한다. 12개 단어 구문은 약 128비트의 엔트로피를 인코딩하고, 24개 단어 구문은 약 256비트를 제공한다. 이 단어들은 암호학적 엔트로피와 필사 오류를 잡기 위한 체크섬을 인코딩한다. 이 구문은 마스터 시드를 생성하기 위해 암호학적 해싱을 여러 번 반복 적용하는 키 스트레칭(Key Stretching) 알고리즘을 통해 처리되어, 무차별 대입 공격(Brute-force Attack)을 계산적으로 비용이 많이 들게 만든다. 이 마스터 시드로부터 계층적 결정론적(HD, Hierarchical Deterministic) 지갑이 관련 BIP 표준에 따라 무제한의 주소와 키를 파생한다(BIP-32는 파생 방법을 정의하고, BIP-44는 다양한 암호화폐에 걸쳐 경로 구조를 표준화한다).
이러한 시드 구문은 몇 가지 중요한 특성을 가진다. 결정론적(Deterministic)이어서 동일한 구문은 항상 동일한 키와 주소를 생성한다. 계층적(Hierarchical)이어서 하나의 시드가 여러 암호화폐와 계정에 대한 키를 생성할 수 있다. 그리고 복구 가능(Recoverable)하여 구문만으로 다양한 소프트웨어 애플리케이션에서 전체 지갑을 복원할 수 있다.
25번째 단어: 선택적 암호문(Passphrase)을 니모닉에 추가하여 추가 보안 계층을 만들 수 있다. 이 암호문은 동일한 시드 구문에서 효과적으로 다른 지갑을 생성하여, 부인 가능성(Plausible Deniability)과 추가적인 보안을 제공한다.
시드 구문을 생성할 때 고품질의 난수 생성이 중요하다. 약한 무작위성은 공격자가 추측할 수 있는 예측 가능한 키로 이어질 수 있다. 시드 구문에서 지갑을 복원할 때, 원래 지갑과 동일한 파생 경로(Derivation Path, 시드에서 주소를 생성하는 특정 방법)를 사용하면 모든 주소가 올바르게 복구된다. 다른 지갑은 다른 파생 경로를 사용할 수 있으므로, 지갑 소프트웨어 간에 이동할 때 호환성이 중요하다.
Section II: Individual Self-Custody¶
With the cryptographic primitives established, we now apply them to real-world personal custody workflows and threat models.
Software Wallets: Convenience vs. Security¶
Software wallets store private keys on general-purpose devices like smartphones or computers. Popular examples include MetaMask, Trust Wallet, and Phantom. These wallets offer excellent user experience and seamless integration with DeFi applications, making them ideal for active trading and frequent transactions.
However, software wallets inherit all the security vulnerabilities of their host devices. Unlike traditional finance where banks worry about physical robbery and wire fraud, cryptocurrency custody must defend against a fundamentally different threat landscape.
External attackers represent the most visible threat category. Malware and viruses can scan for wallet files or record keystrokes to capture passwords. Targeted phishing campaigns trick users into entering seed phrases on fake websites designed to look like legitimate wallet interfaces. Supply chain attacks can compromise wallet software, browser extensions, or even hardware during shipping. Device theft creates opportunities for key extraction through forensic techniques. Clipboard hijackers silently replace copied addresses with attacker-controlled ones, redirecting funds during seemingly normal transactions. Man-in-the-middle attacks can intercept and modify transactions before they reach the blockchain. These adversaries range from opportunistic malware to sophisticated attackers with state-level capabilities targeting high-value individuals. Their methods constantly evolve, requiring layered technical defenses and heightened operational awareness.
Best practices for software wallets include using dedicated devices for crypto activities, keeping software updated, enabling all available security features, verifying addresses character-by-character before transactions, and limiting stored amounts to acceptable loss levels.
Hardware Wallets: The Gold Standard¶
Hardware wallets represent the current best practice for individual custody. These specialized devices store private keys in tamper-resistant hardware that never exposes them to potentially compromised computers or networks. The core security model is straightforward. Private keys are generated and stored on the device (often in a Secure Element, depending on model), transactions are signed internally, and only the signatures are transmitted to host computers. Users maintain control by physically pressing buttons to approve each transaction, while a mnemonic seed phrase provides recovery capabilities.
A Secure Element is a tamper-resistant hardware chip designed to securely store cryptographic keys and perform sensitive operations in isolation from the main processor. It provides hardware-level protection against both physical and software attacks, ensuring private keys cannot be extracted even if the device is compromised. At institutional scale, similar protections are delivered by Hardware Security Modules (HSMs) and secure enclaves, covered in Section III.
Choosing Between Security Philosophies¶
When selecting a hardware wallet, individuals can choose between different security philosophies offered by leading manufacturers. Ledger devices combine proprietary secure elements with closed-source firmware, prioritizing hardware-level tamper resistance and broad token support. In contrast, Trezor maintains fully open-source firmware across all models, enabling community auditing and verifiable security. Trezor's original models achieved security without secure elements through open-source transparency, while newer models (Safe lineup) add secure elements while maintaining open-source firmware, representing a hybrid approach that combines hardware protection with code transparency.
Despite these philosophical differences, both Ledger and Trezor deliver substantial security advantages over software-based storage. Private keys never leave the secure hardware environment, making remote attacks nearly impossible. Devices are tamper-resistant and enforce PIN protections. Ledger wipes after three incorrect PIN attempts. Trezor applies exponential timeouts on wrong PINs; users can optionally configure a wipe code (a self-destruct PIN that wipes the device if entered). Firmware updates are cryptographically verified to prevent malicious modifications.
Operational Best Practices¶
Regardless of which security philosophy or device you choose, maximizing these hardware protections requires careful attention to operational practices. The most important consideration is secure offline storage of seed phrases, which serve as the ultimate backup for wallet recovery. Regular firmware updates help patch newly discovered vulnerabilities, while proper physical storage protects devices when not in use. Device loss doesn't mean fund loss. PIN protection secures the hardware while seed phrase backups enable full recovery on replacement devices. This resilience represents a key advantage over purely digital storage methods.
For individuals managing significant holdings, advanced custody strategies can eliminate single points of failure through redundancy and geographic distribution. The foundation of this approach involves creating multiple copies of seed phrases and storing them in different secure locations. If one backup is destroyed in a fire or in a flood, others remain accessible. These backups require either exceptional concealment or storage in fireproof safes to prevent theft while ensuring disaster resilience. For sophisticated backup strategies involving secret splitting across multiple geographic locations, institutions typically employ cryptographic techniques discussed in Section III.
Recovery Testing and Maintenance¶
Regardless of the backup strategy chosen, testing recovery procedures is non-negotiable. At minimum, perform an initial test restore on a second device to verify backups work correctly and to familiarize yourself with emergency procedures before they're actually needed. More sophisticated operators implement periodic recovery drills that simulate complete loss scenarios. These drills involve restoring from backups on fresh devices, measuring how long recovery takes and whether any recent data is lost, documenting any issues encountered, and updating procedures annually or after significant changes to holdings or infrastructure.
Individual self-custody through hardware wallets and tested backup procedures works well for personal holdings. However, as holdings grow beyond $1M, operational complexity increases (active trading, DeFi, multi-chain operations), or organizational needs emerge (businesses, DAOs, investment funds), individual custody models reach their limits. These situations require multi-party approval processes, institutional-grade security measures, compliance capabilities, and audit trails that hardware wallets cannot provide. Section III explores the specialized custody architectures designed to address these fundamentally different challenges.
암호학적 기본 요소가 확립되었으니, 이제 이를 실제 개인 수탁 워크플로우와 위협 모델에 적용한다.
소프트웨어 지갑: 편의성 대 보안¶
소프트웨어 지갑(Software Wallet)은 스마트폰이나 컴퓨터와 같은 범용 기기에 개인키를 저장한다. 인기 있는 예로는 MetaMask, Trust Wallet, Phantom이 있다. 이러한 지갑들은 뛰어난 사용자 경험과 DeFi 애플리케이션과의 원활한 통합을 제공하여, 활발한 거래와 빈번한 트랜잭션에 이상적이다.
그러나 소프트웨어 지갑은 호스트 기기의 모든 보안 취약점을 상속받는다. 은행이 물리적 강도와 전신 사기를 걱정하는 전통 금융과 달리, 암호화폐 수탁은 근본적으로 다른 위협 환경을 방어해야 한다.
외부 공격자는 가장 가시적인 위협 범주를 대표한다. 악성코드와 바이러스는 지갑 파일을 스캔하거나 키 입력을 기록하여 비밀번호를 캡처할 수 있다. 표적화된 피싱 캠페인은 사용자를 속여 합법적인 지갑 인터페이스처럼 보이도록 설계된 가짜 웹사이트에 시드 구문을 입력하게 한다. 공급망 공격(Supply Chain Attack)은 지갑 소프트웨어, 브라우저 확장 프로그램, 또는 배송 중인 하드웨어까지 손상시킬 수 있다. 기기 도난은 포렌식 기법을 통한 키 추출 기회를 만든다. 클립보드 하이재커(Clipboard Hijacker)는 복사된 주소를 공격자가 통제하는 주소로 조용히 대체하여, 겉보기에 정상적인 거래 중에 자금을 전용한다. 중간자 공격(Man-in-the-middle Attack)은 거래가 블록체인에 도달하기 전에 가로채고 수정할 수 있다. 이러한 적들은 기회주의적 악성코드부터 고가치 개인을 표적으로 하는 국가 수준의 역량을 가진 정교한 공격자까지 다양하다. 그들의 방법은 끊임없이 진화하여, 계층적 기술 방어와 높아진 운영 인식을 요구한다.
소프트웨어 지갑의 모범 사례에는 암호화폐 활동을 위한 전용 기기 사용, 소프트웨어 업데이트 유지, 사용 가능한 모든 보안 기능 활성화, 거래 전 주소를 문자 단위로 확인, 그리고 저장 금액을 허용 가능한 손실 수준으로 제한하는 것이 포함된다.
하드웨어 지갑: 골드 스탠다드¶
하드웨어 지갑(Hardware Wallet)은 개인 수탁의 현재 모범 사례를 대표한다. 이러한 전문 기기들은 잠재적으로 손상된 컴퓨터나 네트워크에 노출되지 않는 변조 방지 하드웨어에 개인키를 저장한다. 핵심 보안 모델은 간단하다. 개인키는 기기에서 생성되고 저장되며(모델에 따라 종종 보안 요소(Secure Element)에), 거래는 내부적으로 서명되고, 서명만이 호스트 컴퓨터로 전송된다. 사용자는 각 거래를 승인하기 위해 물리적으로 버튼을 눌러 통제권을 유지하며, 니모닉 시드 구문은 복구 기능을 제공한다.
보안 요소(Secure Element)는 암호학적 키를 안전하게 저장하고 메인 프로세서와 격리된 상태에서 민감한 작업을 수행하도록 설계된 변조 방지 하드웨어 칩이다. 기기가 손상되더라도 개인키를 추출할 수 없도록 하드웨어 수준의 물리적 및 소프트웨어 공격에 대한 보호를 제공한다. 기관 규모에서는 유사한 보호가 제3절에서 다루는 하드웨어 보안 모듈(HSM, Hardware Security Module)과 보안 엔클레이브(Secure Enclave)에 의해 제공된다.
보안 철학 간의 선택¶
하드웨어 지갑을 선택할 때, 개인은 주요 제조업체가 제공하는 서로 다른 보안 철학 중에서 선택할 수 있다. Ledger 기기는 독점적인 보안 요소와 폐쇄 소스 펌웨어를 결합하여, 하드웨어 수준의 변조 저항성과 광범위한 토큰 지원을 우선시한다. 반면, Trezor는 모든 모델에서 완전한 오픈 소스 펌웨어를 유지하여, 커뮤니티 감사와 검증 가능한 보안을 가능하게 한다. Trezor의 원래 모델들은 오픈 소스 투명성을 통해 보안 요소 없이 보안을 달성했으며, 최신 모델(Safe 라인업)은 오픈 소스 펌웨어를 유지하면서 보안 요소를 추가하여, 하드웨어 보호와 코드 투명성을 결합한 하이브리드 접근 방식을 대표한다.
이러한 철학적 차이에도 불구하고, Ledger와 Trezor 모두 소프트웨어 기반 저장소에 비해 상당한 보안 이점을 제공한다. 개인키는 절대로 안전한 하드웨어 환경을 떠나지 않아, 원격 공격을 거의 불가능하게 만든다. 기기는 변조 방지 기능이 있고 PIN 보호를 시행한다. Ledger는 세 번의 잘못된 PIN 시도 후 초기화된다. Trezor는 잘못된 PIN에 대해 지수적 시간 지연을 적용한다; 사용자는 선택적으로 입력 시 기기를 초기화하는 삭제 코드(Wipe Code, 자체 파괴 PIN)를 설정할 수 있다. 펌웨어 업데이트는 악의적인 수정을 방지하기 위해 암호학적으로 검증된다.
운영 모범 사례¶
어떤 보안 철학이나 기기를 선택하든, 이러한 하드웨어 보호를 최대화하려면 운영 관행에 대한 세심한 주의가 필요하다. 가장 중요한 고려 사항은 지갑 복구를 위한 궁극적인 백업 역할을 하는 시드 구문의 안전한 오프라인 저장이다. 정기적인 펌웨어 업데이트는 새로 발견된 취약점을 패치하는 데 도움이 되며, 적절한 물리적 저장은 사용하지 않을 때 기기를 보호한다. 기기 분실이 자금 손실을 의미하지는 않는다. PIN 보호가 하드웨어를 보호하는 동안 시드 구문 백업은 교체 기기에서 전체 복구를 가능하게 한다. 이러한 회복력은 순수하게 디지털 저장 방법에 비해 핵심적인 이점을 나타낸다.
상당한 보유량을 관리하는 개인의 경우, 고급 수탁 전략은 중복성과 지리적 분산을 통해 단일 장애점을 제거할 수 있다. 이 접근 방식의 기반은 시드 구문의 여러 사본을 만들고 서로 다른 안전한 위치에 저장하는 것이다. 하나의 백업이 화재나 홍수로 파괴되더라도 다른 것들은 접근 가능하게 남는다. 이러한 백업은 도난을 방지하면서 재해 복원력을 보장하기 위해 탁월한 은닉 또는 내화 금고에 저장이 필요하다. 여러 지리적 위치에 걸친 비밀 분할을 포함하는 정교한 백업 전략의 경우, 기관들은 일반적으로 제3절에서 논의되는 암호학적 기법을 사용한다.
복구 테스트 및 유지 관리¶
선택한 백업 전략에 관계없이, 복구 절차 테스트는 협상의 여지가 없다. 최소한, 백업이 올바르게 작동하는지 확인하고 실제로 필요하기 전에 긴급 절차에 익숙해지기 위해 두 번째 기기에서 초기 테스트 복원을 수행해야 한다. 더 정교한 운영자는 완전 손실 시나리오를 시뮬레이션하는 주기적 복구 훈련을 구현한다. 이러한 훈련은 새로운 기기에서 백업으로부터 복원하고, 복구에 걸리는 시간과 최근 데이터 손실 여부를 측정하고, 발생한 문제를 문서화하고, 절차를 매년 또는 보유량이나 인프라에 중요한 변경이 있을 때 업데이트하는 것을 포함한다.
하드웨어 지갑과 테스트된 백업 절차를 통한 개인 자기 수탁은 개인 보유량에 대해 잘 작동한다. 그러나 보유량이 100만 달러를 초과하거나, 운영 복잡성이 증가하거나(활발한 거래, DeFi, 멀티체인 운영), 조직적 필요가 나타나면(기업, DAO, 투자 펀드), 개인 수탁 모델은 한계에 도달한다. 이러한 상황은 하드웨어 지갑이 제공할 수 없는 다자간 승인 프로세스, 기관급 보안 조치, 컴플라이언스 기능, 감사 추적을 필요로 한다. 제3절에서는 이러한 근본적으로 다른 과제를 해결하기 위해 설계된 전문적인 수탁 아키텍처를 탐구한다.
Section III: Institutional Custody Models and Architecture¶
The techniques described above serve individuals well, but organizations face fundamentally different challenges. A company treasury, investment fund, or exchange cannot rely on a single person holding a hardware wallet. What happens when that person leaves, becomes incapacitated, or acts maliciously? Institutional custody must solve a more complex problem: protecting the organization from itself.
As custody scales from individual to institutional operations, the threat landscape fundamentally shifts. External attackers remain a concern, but new categories of risk emerge that individual security models cannot address.
Insider risk represents a persistent challenge in privileged access scenarios. Administrators with signing authority can potentially abuse their position through malice or error. The temptation to downgrade security policies during stressful situations "just this once" to meet a deadline creates vulnerabilities that sophisticated security architecture alone cannot prevent. The human element remains the weakest link, with a single administrator potentially undoing robust technical controls.
Operational failures compound these risks through seemingly mundane issues that are devastating in practice: lost key shards that cannot be recovered, disaster recovery procedures that have never been tested, and weak change management processes that allow configuration drift. These vulnerabilities often remain hidden during normal operations, only revealing themselves when crisis situations place systems under significant stress, precisely when reliable operation becomes most important. The historical failures examined later in this section demonstrate these risks in practice across different custody models.
Institutional custody models address these challenges through different architectural approaches, each offering distinct trade-offs between transparency, operational flexibility, and risk mitigation.
Primary Custody Models¶
Multisig: The Transparency Standard¶
Multisig enforces spending policies directly on the blockchain where they become visible, open-source, and auditable. By requiring multiple signatures from independent keys, organizations create high transparency. Stakeholders can verify governance decisions and audit the exact conditions for treasury movements. DeFi protocols and DAOs particularly benefit from this public verification of approval thresholds, which builds community trust. Implementation typically relies on Bitcoin's native capabilities or Ethereum's Safe contracts (formerly Gnosis Safe), which have secured billions across thousands of organizations.
This transparency carries operational trade-offs. Larger transaction sizes increase fees, while public policy structures reveal organizational decision-making processes. Different blockchains have varying implementations, complicating multi-chain support. For legacy Bitcoin scripts, changing thresholds or keys requires moving all funds to a new address, while Ethereum using Safe allows owner updates without changing the address.
Recent protocol upgrades address these limitations. As covered in Chapter I, Bitcoin's Taproot upgrade introduced Schnorr signatures that enable multi-party custody arrangements to appear identical to single-signature transactions on-chain. This greatly reduces the transparency trade-offs of traditional multisig while maintaining the same security guarantees.
MPC and Threshold Signatures: Privacy with Speed¶
Multi-Party Computation (MPC) enables multiple parties to jointly perform cryptographic operations without any single party ever possessing the complete private key. Rather than splitting an existing key into pieces, MPC systems generate and use keys in a distributed fashion from the start.
Through distributed key generation and signing protocols, multiple parties maintain security while eliminating extra on-chain coordination overhead. Participants interact off-chain to jointly produce one signature, with the final signature emerging from combined cryptographic contributions rather than sequential blockchain operations. This differs fundamentally from Shamir's Secret Sharing (discussed below), which requires reconstructing the key before signing.
Rather than managing a single private key, MPC removes that concept entirely. Secrets are randomized across multiple endpoints that never share them, engaging in decentralized protocols for wallet creation and quorum-based signing. The result includes enhanced resilience against threats; operational flexibility for modifying signers without new addresses; simplified disaster recovery; and seamless multi-chain support.
These advantages make MPC ideal for active trading desks and multi-chain operations prioritizing speed and flexibility over transparency. Trading firms can implement complex approval workflows across Bitcoin, Ethereum, and Solana simultaneously without managing separate contracts on each network.
The risk profile, however, shifts toward platform and vendor quality. Since cryptographic operations occur within specialized software or hardware, operators must trust implementation correctness and procedure compliance. Prominent providers like Fireblocks and Copper have deployed MPC, though the technology's complexity has revealed vulnerabilities in some widely-used protocols, including risks of private key extraction. This less-standardized approach demands transparent vendor updates, verifiable logs, and careful auditing of distributed key generation processes.
Shamir's Secret Sharing: Storage and Recovery¶
Shamir's Secret Sharing (SSS) takes a different approach than MPC. Rather than generating keys in a distributed fashion, SSS splits an existing private key into multiple shares where only a subset can reconstruct the original. For example, you might split a key into five shares where any three can recover it. This provides fault tolerance against lost shares and enables distributed backup storage across multiple locations.
The crucial difference from MPC lies in how signing works. With SSS, shares must be brought together to reconstruct the complete private key before signing a transaction, creating a temporary single point of failure. MPC systems, by contrast, produce signatures collaboratively without ever reconstructing the full key. This makes SSS better suited for backup and recovery scenarios rather than frequent signing operations. SSS works with any blockchain since it operates entirely off-chain, though best practice calls for using separate keys per chain rather than reusing one key across multiple blockchains.
Qualified Custodians: Regulatory Framework¶
Regulated banks and trust companies bring traditional custody expertise with legal segregation, examiner oversight, and insurance coverage that many institutional investors require. Operating under established regulatory frameworks, these institutions provide legal clarity, fiduciary protections, and bankruptcy remoteness (legal structures ensuring client assets are segregated from the custodian's own assets and protected in insolvency scenarios) that technology alone cannot ensure.
Operationally, qualified custodians layer multiple security approaches. At the infrastructure level, they deploy Hardware Security Modules (HSMs). While the Secure Elements in consumer hardware wallets protect individual keys, HSMs are industrial-grade equivalents designed for enterprise scale. These rack-mounted devices handle key management for thousands of accounts, enforce complex approval policies, and perform cryptographic operations in isolated environments. Custodians often house HSMs in physically secured facilities, sometimes deep underground. These technical controls frequently combine with MPC for distributed key management, creating defense-in-depth architectures. Strict temperature segregation policies maintain specific hot/warm/cold storage thresholds, while automated systems enforce cold storage policies without human discretion.
Withdrawal processes introduce deliberate friction through multi-day verification periods with authentication through multiple channels before accessing segregated systems. This deliberate friction, while slower than technical solutions, provides security layers many institutional clients require.
Regulatory oversight provides unique advantages: bankruptcy remoteness, clear legal title, and compliance with evolving requirements. Clients benefit from established legal precedents, regulatory oversight, and private crime/specie policies (digital assets are not FDIC-insured). While DeFi composability remains limited and withdrawal timeframes can extend to days, fiduciaries with regulatory obligations often find this the only acceptable path for significant allocations.
Global regulatory variation affects implementation, stricter U.S. fiduciary rules contrast with flexible frameworks in Singapore, impacting legal protections and innovation. In qualified custody, client assets are held separately from the custodian's property, generally excluded from bankruptcy estates. Recovery timing varies: clean segregation enables prompt transfers to successor custodians, while complex estates can extend timelines to months.
Major Institutional Custodians¶
Different providers emphasize different aspects of the custody spectrum, from regulatory compliance to technical flexibility, reflecting the diverse needs of institutional clients.
Coinbase Custody (NY limited purpose trust) emphasizes segregated cold storage under qualified custodian frameworks with examiner oversight. The model centers on offline key material, institutional approvals, and insurance coverage. Fees are tiered or negotiated based on assets under custody and services provided. Public agreements show ranges of approximately 0.25% to 0.35% annually, plus minimum fees. Under NYDFS rules, client assets are held in trust with bankruptcy remoteness protections, though crypto-specific treatment remains legally uncertain.
Anchorage Digital (federally chartered bank) operates "active custody" combining HSMs, secure enclaves, and biometric approvals for near real-time operations. Secure enclaves are isolated execution environments within processors that protect code and data even from privileged system access, providing an additional layer of protection beyond traditional HSMs. Under OCC oversight, client assets should be segregated. In an insolvency scenario, treatment and transfer timing depend on the receivership and specific facts.
BitGo (SD and NY trust companies) historically associated with on-chain multisig, has added threshold signature schemes for broader asset support. Offering both hot and cold workflows with insurance coverage, pricing varies from monthly percentage-based tiers to fees based on total assets under management. State laws provide receivership with segregated accounts considered bankruptcy-remote.
Custody Technology Platforms¶
While the custodians above provide comprehensive services including regulatory compliance and insurance, some institutions prefer to separate custody technology from qualified custodian relationships. Technology platforms offer MPC infrastructure and policy engines without the regulatory overhead, allowing organizations to build custom solutions while potentially partnering with separate qualified custodians where regulatory requirements demand it. This architectural separation enables greater flexibility while maintaining the option for regulatory compliance through partnerships.
Fireblocks provides MPC-based wallet infrastructure positioned as technology rather than qualified custody. Many institutions use Fireblocks for MPC wallets and policy engines while appointing separate qualified custodians where required. Pricing follows subscription and usage models rather than percentage-based fees on assets.
Copper focuses on institutional infrastructure with MPC technology and segregated accounts. Like Fireblocks, it operates as a technology platform with custody potentially provided via partners. Pricing tends toward subscription and service fees.
Exchange Custody: Operational Considerations¶
Even with robust self-custody or qualified custodian relationships, active market participation often requires maintaining balances on exchanges; this introduces a distinct trust surface. Many institutions maintain assets on centralized exchanges for active trading, lending, or liquidity provision. This operational necessity creates distinct custody considerations, as exchange custody involves different risk profiles and trust assumptions than self-custody or qualified custodian relationships.
Exchange Custody Risks¶
Assets on exchanges inherit solvency and operational risks through tiered wallet structures (hot/warm/cold), margin and lending accounting, and the possibility that exchanges may lend out or reuse customer collateral. When extreme market moves occur, exchanges may socialize losses across users through insurance funds or by automatically reducing winning positions to cover losing ones.
Proof-of-Reserves¶
Proof-of-Reserves (PoR) demonstrates exchange solvency through on-chain or custodian-verified attestations paired with client-verifiable liability proofs. Effective PoR includes clear exclusion proofs and published scope under independent auditor oversight, Kraken's Merkle-tree liabilities with per-client inclusion proofs exemplify best practices.
However, PoR is a point-in-time attestation and can miss off-chain liabilities or short-term borrowings; helpful but not a full solvency guarantee. Timing windows between snapshots create blind spots, making PoR necessary but insufficient for complete assurance.
Segregation¶
Professional custody implements value-based asset separation with systematic tiering. Illustrative policy targets include cold storage for ≥90% of assets, warm storage for approximately 5 to 10%, and hot storage for <5%. Actual ratios vary by risk tolerance and product mix. These represent enforced ceilings, not targets, with automated systems monitoring thresholds and maintaining strict boundaries between customer and proprietary holdings.
Historical Custody Failures: Lessons from Practice¶
The architectural choices and best practices described above were forged by failure; the cases below show how custody breakdowns happen in practice. Several high-profile failures demonstrate how custody breakdowns occur, not through sophisticated attacks on cryptography but rather through operational lapses, poor segregation, and insider risks. These cases illustrate why institutional custody requires more than technical sophistication; it demands rigorous processes, proper oversight, and unwavering adherence to segregation principles.
Mt. Gox (2014) demonstrated the severe consequences of blurred hot/cold segregation and absent reconciliation procedures. The exchange operated for years with inadequate controls and no real-time visibility into actual versus reported balances. When the collapse occurred, investigators discovered that hackers had been slowly draining funds since 2011, while the exchange continued operating normally. Approximately 850,000 BTC were initially reported lost; about 200,000 BTC were later recovered, leaving approximately 650,000 BTC permanently missing. These losses could have been detected and limited through proper segregation and daily reconciliation.
Parity Multisig (2017) revealed how shared dependencies create systemic risks in smart contract systems. Parity Technologies developed a popular multisig wallet implementation used by numerous DAOs, projects, and institutional treasuries for Ethereum custody. A single library bug affected multiple organizational wallets simultaneously, freezing approximately 513,000 ETH across hundreds of entities, including major projects like Polkadot, Web3 Foundation, and Ethereum development funds. The incident emphasized that formal verification and careful dependency management aren't optional luxuries but rather important safeguards when smart contracts control significant value. Poor implementations enabled hacks, including a $30 million ETH theft from individual wallets and a subsequent library bug that permanently froze over $300 million across organizational treasuries, highlighting multisig's protocol-specific vulnerabilities and the dangers of shared infrastructure.
Ronin Bridge (2022) concentrated validator control in too few hands while missing important anomaly detection opportunities. Ronin is an Ethereum sidechain built for Axie Infinity, a popular blockchain game with millions of users. The bridge, securing assets moving between Ethereum and Ronin, used a 9-validator multisig for custody. Attackers compromised 5 of 9 validator keys (primarily the four validators controlled by Sky Mavis for performance reasons, plus one allow-listed Axie DAO validator) and drained approximately 173,600 ETH and 25.5M USDC (≈$615M at the time) over six days before anyone noticed. The incident highlighted how decentralized systems can become centralized through operational shortcuts and why robust monitoring systems must detect unusual patterns even when they appear technically valid.
FTX (2022) commingled customer and proprietary assets while operating without proper segregation or independent oversight. Despite advanced technical infrastructure, the fundamental custody failure of using customer deposits for proprietary trading created systemic risk that technical security could not address. The collapse demonstrated why regulatory frameworks and independent auditing remain important even for technically advanced operations.
위에서 설명한 기법들은 개인에게 잘 작용하지만, 조직은 근본적으로 다른 과제에 직면한다. 회사 자금, 투자 펀드, 또는 거래소는 한 사람이 하드웨어 지갑을 보유하는 것에 의존할 수 없다. 그 사람이 떠나거나, 무능력해지거나, 악의적으로 행동하면 어떻게 되는가? 기관 수탁은 더 복잡한 문제를 해결해야 한다: 조직을 자기 자신으로부터 보호하는 것이다.
수탁이 개인에서 기관 운영으로 확장됨에 따라, 위협 환경이 근본적으로 바뀐다. 외부 공격자는 여전히 우려 사항이지만, 개인 보안 모델로는 해결할 수 없는 새로운 범주의 위험이 나타난다.
내부자 위험(Insider Risk)은 권한 있는 접근 시나리오에서 지속적인 과제를 나타낸다. 서명 권한이 있는 관리자는 잠재적으로 악의 또는 오류를 통해 그들의 위치를 남용할 수 있다. 기한을 맞추기 위해 스트레스 상황에서 "단 한 번만" 보안 정책을 낮추려는 유혹은 정교한 보안 아키텍처만으로는 방지할 수 없는 취약점을 만든다. 인간 요소가 가장 약한 고리로 남아 있으며, 단일 관리자가 잠재적으로 견고한 기술적 통제를 무력화할 수 있다.
운영 실패는 실제로는 치명적인 겉보기에 사소한 문제들을 통해 이러한 위험을 가중시킨다: 복구할 수 없는 분실된 키 샤드, 한 번도 테스트되지 않은 재해 복구 절차, 그리고 구성 드리프트를 허용하는 약한 변경 관리 프로세스. 이러한 취약점은 종종 정상 운영 중에는 숨겨져 있다가, 위기 상황에서 시스템이 상당한 스트레스를 받을 때에야 드러나며, 이는 정확히 신뢰할 수 있는 운영이 가장 중요해지는 때이다. 이 섹션 후반부에서 검토할 역사적 실패 사례들은 다양한 수탁 모델에 걸쳐 이러한 위험을 실제로 보여준다.
기관 수탁 모델은 서로 다른 아키텍처 접근 방식을 통해 이러한 과제를 해결하며, 각각 투명성, 운영 유연성, 위험 완화 사이에서 서로 다른 트레이드오프를 제공한다.
주요 수탁 모델¶
멀티시그: 투명성 표준¶
멀티시그(Multisig, 다중 서명)는 지출 정책을 블록체인에 직접 시행하여 가시적이고, 오픈 소스이며, 감사 가능하게 만든다. 독립적인 키들로부터 여러 서명을 요구함으로써, 조직은 높은 투명성을 창출한다. 이해관계자들은 거버넌스 결정을 검증하고 자금 이동을 위한 정확한 조건을 감사할 수 있다. DeFi 프로토콜과 DAO는 특히 이러한 공개적인 승인 임계값 검증에서 혜택을 받으며, 이는 커뮤니티 신뢰를 구축한다. 구현은 일반적으로 비트코인의 네이티브 기능이나 수천 개의 조직에서 수십억 달러를 보호해온 이더리움의 Safe 컨트랙트(이전의 Gnosis Safe)에 의존한다.
이러한 투명성에는 운영상의 트레이드오프가 따른다. 더 큰 거래 크기는 수수료를 증가시키고, 공개적인 정책 구조는 조직의 의사 결정 프로세스를 드러낸다. 다른 블록체인은 다양한 구현을 가지고 있어 멀티체인 지원을 복잡하게 한다. 레거시 비트코인 스크립트의 경우 임계값이나 키를 변경하려면 모든 자금을 새 주소로 이동해야 하지만, Safe를 사용하는 이더리움은 주소 변경 없이 소유자 업데이트를 허용한다.
최근 프로토콜 업그레이드는 이러한 한계를 해결한다. 제1장에서 다룬 바와 같이, 비트코인의 탭루트 업그레이드는 다자간 수탁 체계가 온체인에서 단일 서명 거래와 동일하게 보이도록 하는 슈노르 서명을 도입했다. 이는 동일한 보안 보장을 유지하면서 전통적인 멀티시그의 투명성 트레이드오프를 크게 줄인다.
MPC와 임계값 서명: 속도와 프라이버시¶
다자간 연산(MPC, Multi-Party Computation)은 어떤 단일 당사자도 완전한 개인키를 보유하지 않으면서 여러 당사자가 공동으로 암호학적 작업을 수행할 수 있게 한다. 기존 키를 조각으로 분할하는 것이 아니라, MPC 시스템은 처음부터 분산된 방식으로 키를 생성하고 사용한다.
분산 키 생성 및 서명 프로토콜을 통해, 여러 당사자는 추가적인 온체인 조정 오버헤드를 제거하면서 보안을 유지한다. 참가자들은 오프체인에서 상호 작용하여 공동으로 하나의 서명을 생성하며, 최종 서명은 순차적인 블록체인 작업이 아닌 결합된 암호학적 기여로부터 나온다. 이는 서명 전에 키를 재구성해야 하는 샤미르의 비밀 공유(아래에서 논의)와 근본적으로 다르다.
단일 개인키를 관리하는 대신, MPC는 그 개념을 완전히 제거한다. 비밀은 절대 공유되지 않는 여러 엔드포인트에 걸쳐 무작위화되어, 지갑 생성 및 정족수 기반 서명을 위한 분산 프로토콜에 참여한다. 그 결과에는 위협에 대한 향상된 회복력; 새 주소 없이 서명자를 수정할 수 있는 운영 유연성; 단순화된 재해 복구; 그리고 원활한 멀티체인 지원이 포함된다.
이러한 장점은 MPC를 투명성보다 속도와 유연성을 우선시하는 활발한 트레이딩 데스크와 멀티체인 운영에 이상적으로 만든다. 트레이딩 회사는 각 네트워크에서 별도의 컨트랙트를 관리하지 않고도 비트코인, 이더리움, 솔라나에 걸쳐 복잡한 승인 워크플로우를 동시에 구현할 수 있다.
그러나 위험 프로파일은 플랫폼과 벤더 품질 쪽으로 이동한다. 암호학적 작업이 전문 소프트웨어 또는 하드웨어 내에서 발생하기 때문에, 운영자는 구현의 정확성과 절차 준수를 신뢰해야 한다. Fireblocks와 Copper 같은 저명한 제공업체들이 MPC를 배포했지만, 기술의 복잡성으로 인해 개인키 추출 위험을 포함하여 일부 널리 사용되는 프로토콜에서 취약점이 드러났다. 이 덜 표준화된 접근 방식은 투명한 벤더 업데이트, 검증 가능한 로그, 그리고 분산 키 생성 프로세스의 신중한 감사를 요구한다.
샤미르의 비밀 공유: 저장 및 복구¶
샤미르의 비밀 공유(SSS, Shamir's Secret Sharing)는 MPC와 다른 접근 방식을 취한다. 분산된 방식으로 키를 생성하는 대신, SSS는 기존 개인키를 여러 샤드(Share)로 분할하여 일부만으로도 원본을 재구성할 수 있게 한다. 예를 들어, 키를 5개의 샤드로 분할하고 그 중 3개로 복구할 수 있게 할 수 있다. 이는 분실된 샤드에 대한 내결함성을 제공하고 여러 위치에 걸친 분산 백업 저장을 가능하게 한다.
MPC와의 결정적인 차이점은 서명 방식에 있다. SSS에서는 거래에 서명하기 전에 샤드를 모아 완전한 개인키를 재구성해야 하며, 이는 일시적인 단일 장애점을 만든다. 반면 MPC 시스템은 전체 키를 재구성하지 않고 협력적으로 서명을 생성한다. 이것은 SSS를 빈번한 서명 작업보다는 백업 및 복구 시나리오에 더 적합하게 만든다. SSS는 완전히 오프체인에서 작동하므로 모든 블록체인에서 작동하지만, 모범 사례는 하나의 키를 여러 블록체인에서 재사용하기보다 체인별로 별도의 키를 사용하는 것이다.
적격 수탁기관: 규제 프레임워크¶
규제를 받는 은행과 신탁 회사는 많은 기관 투자자가 요구하는 법적 분리, 감독관 감시, 그리고 보험 적용과 함께 전통적인 수탁 전문성을 가져온다. 확립된 규제 프레임워크 하에서 운영되는 이러한 기관들은 기술만으로는 보장할 수 없는 법적 명확성, 수탁자 보호, 그리고 도산 격리(Bankruptcy Remoteness)(고객 자산이 수탁기관 자체 자산과 분리되어 파산 시나리오에서 보호되도록 보장하는 법적 구조)를 제공한다.
운영적으로, 적격 수탁기관은 여러 보안 접근 방식을 계층화한다. 인프라 수준에서 그들은 하드웨어 보안 모듈(HSM)을 배포한다. 소비자용 하드웨어 지갑의 보안 요소가 개별 키를 보호하는 반면, HSM은 기업 규모를 위해 설계된 산업용 등급의 동등물이다. 이러한 랙 장착 장치는 수천 개의 계정에 대한 키 관리를 처리하고, 복잡한 승인 정책을 시행하며, 격리된 환경에서 암호학적 작업을 수행한다. 수탁기관은 종종 HSM을 물리적으로 보안된 시설, 때로는 지하 깊숙이에 보관한다. 이러한 기술적 통제는 종종 분산 키 관리를 위한 MPC와 결합되어 심층 방어 아키텍처를 만든다. 엄격한 온도 분리 정책은 특정 핫/웜/콜드 스토리지 임계값을 유지하며, 자동화된 시스템은 인간의 재량 없이 콜드 스토리지 정책을 시행한다.
출금 프로세스는 분리된 시스템에 접근하기 전에 여러 채널을 통한 인증과 함께 며칠에 걸친 검증 기간을 통해 의도적인 마찰을 도입한다. 이러한 의도적인 마찰은 기술적 솔루션보다 느리지만, 많은 기관 고객이 요구하는 보안 계층을 제공한다.
규제 감독은 고유한 이점을 제공한다: 도산 격리, 명확한 법적 소유권, 그리고 진화하는 요구 사항에 대한 컴플라이언스. 고객은 확립된 법적 선례, 규제 감독, 그리고 민간 범죄/종류 정책(디지털 자산은 FDIC 보험 대상이 아님)의 혜택을 받는다. DeFi 조합 가능성은 제한적이고 출금 기간이 며칠까지 연장될 수 있지만, 규제 의무가 있는 수탁자는 종종 상당한 배분에 대해 이것이 유일하게 허용 가능한 경로라고 판단한다.
글로벌 규제 변동은 구현에 영향을 미치며, 더 엄격한 미국 수탁자 규칙은 싱가포르의 유연한 프레임워크와 대조되어, 법적 보호와 혁신에 영향을 미친다. 적격 수탁에서 고객 자산은 수탁기관의 재산과 별도로 보유되어, 일반적으로 파산 재산에서 제외된다. 복구 시기는 다양하다: 깨끗한 분리는 후임 수탁기관으로의 신속한 이전을 가능하게 하지만, 복잡한 재산은 기간을 몇 달까지 연장할 수 있다.
주요 기관 수탁기관¶
다양한 제공업체들은 규제 컴플라이언스에서 기술적 유연성까지 수탁 스펙트럼의 다양한 측면을 강조하며, 기관 고객의 다양한 요구를 반영한다.
Coinbase Custody(뉴욕 한정 목적 신탁)는 감독관 감시와 함께 적격 수탁기관 프레임워크 하에서 분리된 콜드 스토리지를 강조한다. 이 모델은 오프라인 키 자료, 기관 승인, 그리고 보험 적용을 중심으로 한다. 수수료는 수탁 자산과 제공되는 서비스에 따라 계층화되거나 협상된다. 공개 계약은 연간 약 0.25%에서 0.35%의 범위와 최소 수수료를 보여준다. NYDFS 규칙에 따라, 고객 자산은 도산 격리 보호와 함께 신탁에 보유되지만, 암호화폐 특정 처리는 법적으로 불확실한 상태로 남아 있다.
Anchorage Digital(연방 인가 은행)은 실시간에 가까운 운영을 위해 HSM, 보안 엔클레이브, 생체 승인을 결합한 "능동적 수탁"을 운영한다. 보안 엔클레이브(Secure Enclave)는 특권 시스템 접근으로부터도 코드와 데이터를 보호하는 프로세서 내의 격리된 실행 환경으로, 전통적인 HSM을 넘어서는 추가적인 보호 계층을 제공한다. OCC 감독 하에, 고객 자산은 분리되어야 한다. 파산 시나리오에서 처리 및 이전 시기는 수탁관리와 구체적인 사실에 따라 달라진다.
BitGo(사우스다코타 및 뉴욕 신탁 회사)는 역사적으로 온체인 멀티시그와 연관되었으며, 더 광범위한 자산 지원을 위해 임계값 서명 방식을 추가했다. 보험 적용과 함께 핫 및 콜드 워크플로우를 제공하며, 가격은 월별 비율 기반 계층부터 총 관리 자산 기반 수수료까지 다양하다. 주법은 분리된 계정이 도산 격리되는 것으로 간주되는 수탁관리를 제공한다.
수탁 기술 플랫폼¶
위의 수탁기관들이 규제 컴플라이언스와 보험을 포함한 포괄적인 서비스를 제공하는 반면, 일부 기관은 수탁 기술을 적격 수탁기관 관계에서 분리하는 것을 선호한다. 기술 플랫폼은 규제 오버헤드 없이 MPC 인프라와 정책 엔진을 제공하여, 조직이 규제 요구 사항이 있는 경우 별도의 적격 수탁기관과 잠재적으로 파트너십을 맺으면서 맞춤형 솔루션을 구축할 수 있게 한다. 이러한 아키텍처적 분리는 파트너십을 통한 규제 컴플라이언스 옵션을 유지하면서 더 큰 유연성을 가능하게 한다.
Fireblocks는 적격 수탁이 아닌 기술로 포지셔닝된 MPC 기반 지갑 인프라를 제공한다. 많은 기관들은 MPC 지갑과 정책 엔진을 위해 Fireblocks를 사용하면서, 필요한 경우 별도의 적격 수탁기관을 지정한다. 가격은 자산에 대한 비율 기반 수수료가 아닌 구독 및 사용량 모델을 따른다.
Copper는 MPC 기술과 분리된 계정을 갖춘 기관 인프라에 집중한다. Fireblocks와 마찬가지로 수탁이 잠재적으로 파트너를 통해 제공되는 기술 플랫폼으로 운영된다. 가격은 구독 및 서비스 수수료 쪽으로 기울어진다.
거래소 수탁: 운영 고려 사항¶
견고한 자기 수탁이나 적격 수탁기관 관계가 있더라도, 활발한 시장 참여는 종종 거래소에 잔액을 유지해야 한다; 이는 별개의 신뢰 표면을 도입한다. 많은 기관들은 활발한 거래, 대출, 또는 유동성 공급을 위해 중앙화 거래소에 자산을 유지한다. 이러한 운영적 필요성은 별개의 수탁 고려 사항을 만든다, 거래소 수탁은 자기 수탁이나 적격 수탁기관 관계와 다른 위험 프로파일과 신뢰 가정을 수반하기 때문이다.
거래소 수탁 위험¶
거래소의 자산은 계층화된 지갑 구조(핫/웜/콜드), 마진 및 대출 회계, 그리고 거래소가 고객 담보를 대출하거나 재사용할 가능성을 통해 지급 능력과 운영 위험을 상속받는다. 극심한 시장 변동이 발생할 때, 거래소는 보험 펀드를 통해 또는 손실 포지션을 커버하기 위해 승리 포지션을 자동으로 줄임으로써 사용자 전체에 손실을 사회화할 수 있다.
준비금 증명¶
준비금 증명(PoR, Proof-of-Reserves)은 온체인 또는 수탁기관이 검증한 증명과 고객이 검증 가능한 부채 증명을 결합하여 거래소 지급 능력을 입증한다. 효과적인 PoR은 독립 감사인 감독 하에 명확한 제외 증명과 공개된 범위를 포함하며, Kraken의 머클 트리 부채와 고객별 포함 증명이 모범 사례를 예시한다.
그러나 PoR은 특정 시점의 증명이며 오프체인 부채나 단기 차입을 놓칠 수 있다; 도움이 되지만 완전한 지급 능력 보장은 아니다. 스냅샷 간의 시간 창은 사각지대를 만들어, PoR을 필요하지만 완전한 보증에는 불충분하게 만든다.
분리¶
전문적인 수탁은 체계적인 계층화와 함께 가치 기반 자산 분리를 구현한다. 예시적인 정책 목표에는 자산의 90% 이상에 대한 콜드 스토리지(Cold Storage), 약 5~10%의 웜 스토리지, 5% 미만의 핫 스토리지가 포함된다. 실제 비율은 위험 허용도와 제품 믹스에 따라 다양하다. 이것들은 목표가 아닌 시행되는 상한선을 나타내며, 자동화된 시스템이 임계값을 모니터링하고 고객과 자사 보유 자산 사이의 엄격한 경계를 유지한다.
역사적 수탁 실패: 실제로부터의 교훈¶
위에서 설명한 아키텍처 선택과 모범 사례는 실패로부터 형성되었다; 아래 사례들은 수탁 붕괴가 실제로 어떻게 발생하는지 보여준다. 몇 가지 주목할 만한 실패는 수탁 붕괴가 암호학에 대한 정교한 공격이 아닌 운영상의 실수, 열악한 분리, 내부자 위험을 통해 어떻게 발생하는지 보여준다. 이러한 사례들은 왜 기관 수탁이 기술적 정교함 이상의 것을 요구하는지 설명한다; 엄격한 프로세스, 적절한 감독, 그리고 분리 원칙에 대한 확고한 준수가 필요하다.
Mt. Gox(2014)는 핫/콜드 분리의 모호함과 조정 절차의 부재가 가져오는 심각한 결과를 보여주었다. 거래소는 부적절한 통제와 실제 대 보고된 잔액에 대한 실시간 가시성 없이 수년간 운영되었다. 붕괴가 발생했을 때, 조사관들은 해커들이 2011년부터 자금을 천천히 빼돌리고 있었으며, 거래소는 정상적으로 계속 운영되고 있었음을 발견했다. 초기에 약 85만 BTC가 손실된 것으로 보고되었다; 약 20만 BTC가 나중에 회수되어, 약 65만 BTC가 영구적으로 분실되었다. 이러한 손실은 적절한 분리와 일일 조정을 통해 탐지되고 제한될 수 있었다.
Parity Multisig(2017)는 스마트 컨트랙트 시스템에서 공유 의존성이 어떻게 시스템적 위험을 만드는지 드러냈다. Parity Technologies는 이더리움 수탁을 위해 수많은 DAO, 프로젝트, 기관 자금이 사용하는 인기 있는 멀티시그 지갑 구현을 개발했다. 단일 라이브러리 버그가 Polkadot, Web3 Foundation, 이더리움 개발 자금을 포함한 주요 프로젝트를 포함하여 수백 개의 엔티티에 걸쳐 약 513,000 ETH를 동시에 동결시켰다. 이 사건은 스마트 컨트랙트가 상당한 가치를 통제할 때 형식 검증과 신중한 의존성 관리가 선택적 사치가 아닌 중요한 보호 장치임을 강조했다. 열악한 구현은 개별 지갑에서 3천만 달러 ETH 도난과 이후 조직 자금에 걸쳐 3억 달러 이상을 영구적으로 동결시킨 라이브러리 버그를 포함한 해킹을 가능하게 했으며, 멀티시그의 프로토콜 특정 취약점과 공유 인프라의 위험을 부각시켰다.
Ronin Bridge(2022)는 검증자 통제를 너무 적은 손에 집중시키면서 중요한 이상 탐지 기회를 놓쳤다. Ronin은 수백만 명의 사용자를 가진 인기 있는 블록체인 게임인 Axie Infinity를 위해 구축된 이더리움 사이드체인이다. 이더리움과 Ronin 사이를 이동하는 자산을 보호하는 브릿지는 수탁을 위해 9명의 검증자 멀티시그를 사용했다. 공격자들은 9명의 검증자 키 중 5개(주로 성능 이유로 Sky Mavis가 통제하는 4명의 검증자와 허용 목록에 있는 1명의 Axie DAO 검증자)를 손상시키고 누군가가 알아차리기 전 6일 동안 약 173,600 ETH와 2,550만 USDC(당시 약 6억 1,500만 달러)를 빼돌렸다. 이 사건은 분산 시스템이 운영 단축을 통해 어떻게 중앙화될 수 있는지, 그리고 왜 강력한 모니터링 시스템이 기술적으로 유효해 보이는 경우에도 비정상적인 패턴을 탐지해야 하는지를 부각시켰다.
FTX(2022)는 적절한 분리나 독립적인 감독 없이 고객과 자사 자산을 혼합했다. 발전된 기술 인프라에도 불구하고, 자사 거래에 고객 예치금을 사용하는 근본적인 수탁 실패는 기술적 보안으로는 해결할 수 없는 시스템적 위험을 만들었다. 이 붕괴는 왜 규제 프레임워크와 독립적인 감사가 기술적으로 발전된 운영에서도 여전히 중요한지를 보여주었다.