Etana 客户损失 70%：不是托管商的错，是缺少了机构自控

Etana Clients Lost 70% - The Real Failure Was the Absence of Institutional Asset Sovereignty

写给机构客户的风控、资金管理与合规负责人。

一个最高合规标准下的失效样本

2026 年 5 月 4 日，Kraken 母公司 Payward 递交了第二次修正起诉书，起诉前合作托管商 Etana，指控对方挪用 2500 万美元客户资产。

Etana 不是无照机构。它持有科罗拉多州银行业监管局颁发的信托公司特许牌照，2021 年起就是受监管的“合格托管商”(qualified custodian)——注册投资顾问可以合法地把客户资产托付给它。Etana 把“受监管的全球数字资产托管商”作为 4 年来对外的核心卖点。它的 CEO 在拿到牌照时说：这“给客户带来安心”。

接管人最新披露：Etana 账上现金 683 万美元，负债 2600 万美元。客户名义可回收上限约 26%——纸面上至少 70% 的客户资产已经回不来了。

真正的代价：不是 70% 的钱，是 100% 的控制权

机构客户在 Etana 这种事件里能依靠的三条“救命绳”，每一条都很细：

• 接管追偿受限于剩余资产规模，683 万美元对 2600 万美元缺口结构性无解

• 保险赔付通常不覆盖故意挪用，欺诈型损失有充分的合同理由被拒赔

• 合同追责几乎走不通。Etana 标准客户协议中，免责条款覆盖了“代理人造成的损失”和“非过失情形下的损失”

Kraken 之所以能起诉，是因为它走的是欺诈和民事盗窃，这两项无法被合同免除。但普通机构客户走违约追责路径，会发现合同里早就把责任都免了。

根本问题是：Etana 客户在事件爆发前，对自己的资产没有任何独立验证的能力。链上有什么、对应给谁、是否被挪用——他们能看到的只有 Etana 自己生成的数据看板。资产实际上在 2024 年就开始被混同处置，但客户在 2025 年 4 月 Kraken 提出大额提币之前，完全不知情。

这笔账不是超 70% 的损失，是 100% 的控制权从来就不在自己手里。

机构自控：Etana 案给行业的真正答案

过去十年，加密行业把“持牌 + 审计 + 保险”当作机构托管的最高标准。但 FTX（2022）、Prime Trust（2023）、Etana（2026）三个案件的牌照含金量从州 MTL 到信托公司到合格托管商依次递增，失效模式却如出一辙。这三件套是必要的，但远远不够。

机构在 Etana 之后，如果只是换一家“看起来更靠谱”的持牌托管商，本质上还是在押注主体信誉。下一家不出事的可能性更大，但赌输的代价依然是 70%+ 的本金。

真正的答案不是“找一家更可信的托管商”，而是机构自控——无论选择哪种托管模式，机构对自己的核心资产都保有可以独立验证的控制能力。

机构自控不是在自托管和第三方托管之间二选一，而是一种能力标准：无论资产存放在什么形式的安排下，机构都应当能够回答针对四个维度的具体问题。

机构自控的四个维度

维度一：密钥控制权

机构应当自己持有密钥分片，作为资产移动的必需签名方。托管合作方内部即便完全共谋，也无法在客户不知情时动资产。

Etana 案中，CEO 被指控对公司运营具备近乎完全的控制，内部分级审批结构在治理顶层串通时就守不住了。机构自控的密钥结构，把签名权分布在客户方与独立第三方，任何一方不参与，资产就移动不了。

维度二：规则不可绕过性

白名单、限额、审批层级等约束规则，应当作为签名生成的密码学前置条件，而不是托管方承诺会遵守的运营流程。

Etana 把客户资金转入自营外汇头寸和违约票据时，没有任何机制拦截，因为约束只停留在合同层面。机构自控的策略引擎把规则编码进签名协议，违反规则的交易技术上根本签不出去。

维度三：资产归属可独立验证

机构应当拥有独立的链上钱包结构，不依赖托管方对账单，直接在链上验证资产归属。

加密资产的客户资金隔离不天然存在于链上。一家托管方完全可以在内部账本里把客户 A 与 B 的资产分别记账，但在链上放在同一个钱包里。机构自控的钱包结构确保每个客户对应独立的链上地址——你的资产是否还在，不需要相信对账单，直接在链上查证。

维度四：出事时资产独立存活

托管合作方出事时，机构应当能凭借自己持有的分片、独立的钱包结构、预先准备好的恢复材料，在数小时到数天内把资产转移到任何其他地方——不依赖托管方存续，不需要在接管程序中排队。

这一条是最关键的，也是 Etana 案里切得最深的一刀。如果机构客户在 2025 年 9 月 Etana 停业令发出的那一刻就能独立行使资产控制权，后面的 70% 损失根本就不会发生。

这是 Safeheron 在做的事

Safeheron 是亚太地区领先的数字资产运营基础设施提供方，以机构自控为核心路径，已经服务 250+ 机构客户——覆盖 OTC、稳定币支付服务商、数字银行、资产管理机构，横跨香港、新加坡、日本、韩国等亚太核心司法区。

我们的差异化在两点：

MPC + TEE 双重架构：Safeheron 将 MPC 门限签名与 TEE 可信执行环境深度结合，是行业内少数真正做到这一点的基础设施提供方。MPC 解决“密钥不在单一方”的问题，TEE 解决“策略不可被篡改”的问题。两者叠加，机构自控才不只是产品理念，而是架构上写死的事实。

底层开源：Safeheron 是全球首个、也是目前唯一同时开源 MPC 协议和 TEE 框架的机构自控基础设施提供方。任何机构都可以自行审计代码——“动不了客户的钱”不是承诺，是代码决定的结论。

我们已经为亚太 250+ 机构提供了机构自控运营基础设施，覆盖核心储备资产、客户资金隔离、分层钱包体系。

下一步

Etana 不是最后一例。下一次类似事件之后，机构需要回答自己一个问题：当托管方出事时，我的核心资产能不能独立存活？

如果答案是“不能”或者你不确定，值得认真对待了。

与 Safeheron 团队联系，我们可以基于你的现有托管方式，做一份“机构自控”评估：你的核心储备资产目前在四个维度上各处于什么位置，以及如何在不影响现有运营的前提下，逐步迁移到机构自控架构。

本文事实依据：Payward Interactive 等诉 Etana Custody Limited 等（美国科罗拉多联邦地区法院案号 1:2025-cv-02829）；科罗拉多州银行业监管局停业令（2025 年 9 月 19 日）及非自愿清算令（2025 年 11 月 7 日，丹佛县地区法院案号 2025CV034004）；Etana 接管人 Randel Lewis 在 etanareceivership.com 公开发布的资产负债数据；CoinDesk 等公开报道。