传统采购框架（如SOC 2和ISO 27001）不足以审查区块链服务提供商，后者引入了两种不同的风险类别：供应商智能合约风险和基础设施风险。文章概述了托管解决方案、代币化平台、稳定币发行商以及底层技术栈（包括L1/L2网络、预言机、跨链桥和DeFi协议）的风险特征。强调了智能合约供应链，其中客户资本经过多个合约，每个都是独立的故障点。供应商市场的激励问题导致安全基线不一致。文章提出了一个包含五个领域的技术风险评估框架：区块链基础设施、抵押品/储备、市场/流动性、运营控制/密钥管理以及智能合约安全。机构必须要求独立审计、最近的审计时间表以及对这些领域的明确回答，以避免保留转移的第三方风险。

关键事实

• SOC 2 和标准采购忽略了智能合约缺陷、基础设施依赖等区块链特有风险。
• 供应商包括托管、代币化、稳定币发行商，各有不同攻击向量。
• 智能合约供应链在不同供应商间创建多个互联故障点。
• 激励错导致早期区块链供应商安全基线不一致。
• 提出了五个领域的技术风险评估框架用于链上尽职调查。

KeyAudit 数据视角