返回 Expert 笔记
Expert Day 44

JPM Onyx / Kinexys — 银行级Permissioned区块链

深入研究JPM Onyx/Kinexys平台架构、JPM Coin的批发CBDC定位、Onyx Digital Assets链上回购机制

2026-06-14
Phase 1 - 机构DeFi与桥接系统设计 (Day 43-56)
JPMOnyxKinexysJPMCoin批发CBDC链上回购

日期: 2026-06-14 方向: 机构DeFi / RWA 阶段: Phase 1 - 机构DeFi与桥接系统设计 (Day 43-56) 标签: #JPM #Onyx #Kinexys #JPMCoin #批发CBDC #链上回购

今日目标

类型内容
学习深入研究JPM Onyx/Kinexys平台架构、JPM Coin的批发CBDC定位、Onyx Digital Assets链上回购机制
实操拆解Onyx Digital Assets的Tri-Party Repo流程,复现一笔T+0回购交易的完整序列图
产出案例分析#1:Onyx深度报告 — 包含技术架构、产品矩阵、商业指标、监管定位四个维度

一、Onyx的战略地位:为什么是JPMorgan,而不是Goldman先做这件事

JPMorgan在2020年推出Onyx(2024年改名Kinexys),是第一个上线生产环境的TradFi银行级区块链平台。要理解Onyx的设计,必须先理解JPMorgan的战略动机:

1.1 三个核心驱动力

  1. Wholesale Payment市场份额防御

    • JPM处理全球美元支付的~25%,每年清算$10T+
    • 担心Stablecoin(USDC/PYUSD)和CBDC会抽走这块业务
    • Onyx是"如果客户要链上结算,至少在JPM自己的链上"

  2. Treasury Settlement的T+0革命

    • 美债结算在2024年5月从T+2缩到T+1
    • 行业方向是T+0,传统DTCC基础设施做不到
    • Onyx Digital Assets从Day 1就是T+0原子结算

  3. 机构客户的链上需求

    • 2020年起,JPM大客户(BlackRock、Pimco、Goldman)开始主动询问"能不能在链上做"
    • JPM选择"自己造"而不是"接入公链",因为合规成本可控

1.2 为什么不是Goldman/Morgan Stanley/BNY

  • GS DAP晚了2年,2022年才发EIB债券,且更偏向投行业务(发行)而非清算
  • MS没有机构clearing业务,只有买方(资管)业务
  • BNY做了Pershing X,但偏向Custody而非清算
  • JPM = 全球最大美元清算行 + 最大美债主交易商(Primary Dealer)+ 最大Repo做市商,三位一体的优势

二、Onyx → Kinexys品牌演化

2016 → Quorum (基于Ethereum的Permissioned Fork,开源给金融业)
2020 → Onyx by J.P. Morgan (业务平台)
       ├─ JPM Coin
       ├─ Liink (跨境支付信息)
       └─ Onyx Digital Assets (回购+RWA)
2024 → Kinexys (rebrand,强调"互联")
       ├─ Kinexys Digital Payments (旧JPM Coin)
       ├─ Kinexys Digital Assets (旧ODA)
       └─ Kinexys Liink (旧Liink)

为什么改名:Onyx过于聚焦"机构链"概念,Kinexys强调"连接(Kinetics)"——JPM的链作为多链生态的Hub,能够桥接Public Chain(如以太坊主网的BUIDL/USDC)和Private Chain(Kinexys自身),定位从"自己造车"变成"造高速路"。

三、技术架构:Quorum / Hyperledger / Hub模型

3.1 底层链选型演化

阶段底层原因
2017-2020Quorum (Ethereum fork, Java)自己开发,已知EVM
2020-2022Quorum + Hyperledger BesuQuorum捐给ConsenSys,转向Besu维护
2022-2024Onyx Chain (Besu变体)添加Privacy Group, Permission Layer
2024-Multi-chain Routing同时支持Onyx Chain + Public L1/L2

3.2 Onyx Chain关键特性

┌──────────────────────────────────────────────────────┐
│  Layer: Application                                   │
│  - JPM Coin Token Contract (ERC-20变体)               │
│  - Tokenized Asset Contracts (ERC-1400变体)           │
│  - Repo Smart Contract (Tri-Party Logic)              │
├──────────────────────────────────────────────────────┤
│  Layer: Permissioning                                 │
│  - Whitelist Smart Contract                           │
│  - JPM作为唯一root admin                              │
├──────────────────────────────────────────────────────┤
│  Layer: Privacy                                       │
│  - Tessera (Private Transaction Manager)              │
│  - Privacy Groups (子账本可见性控制)                   │
├──────────────────────────────────────────────────────┤
│  Layer: Consensus                                     │
│  - IBFT 2.0 (Istanbul BFT)                            │
│  - JPM控制validator set,~5个节点                      │
│  - 不需要PoW/PoS,已知验证者                           │
├──────────────────────────────────────────────────────┤
│  Layer: Execution                                     │
│  - EVM (兼容Solidity)                                 │
│  - Block time: ~3 seconds                             │
│  - Finality: instant (BFT保证)                         │
└──────────────────────────────────────────────────────┘

3.3 Privacy Group机制(关键创新)

不是所有交易都对所有节点可见。JPM设计了Privacy Group:

  • 一笔回购交易A↔B,只有A、B和JPM作为Tri-party Agent能看见
  • 其他节点只能看见交易哈希和事件,不能看见金额、抵押品
  • 实现机制:Tessera做off-chain encrypted payload交换,链上只存hash承诺

四、产品矩阵:JPM Coin / Onyx Digital Assets / Liink

4.1 JPM Coin (现Kinexys Digital Payments)

定位:批发型(Wholesale)数字代币,仅银行间和机构间结算,不是零售CBDC

关键参数(2024年公开数据):

  • 日均交易量:$1B+(2024年Q1)
  • 累计结算:$1.5T+(2020年-2024年)
  • 币种支持:USD、EUR(2024年6月新增),未来扩展GBP、SGD
  • 客户数:80+ institutional clients(包括Siemens、BlackRock、HSBC)
  • 结算时间:从T+2/T+1缩短到 near real-time(<1分钟)

关键技术决策

  • 不是稳定币:JPM Coin的token不在公开市场流通,仅在Onyx Chain内部,价值1:1锚定客户在JPM的存款
  • 本质是存款凭证:每个JPM Coin对应JPM银行账户中的1 USD/EUR
  • 赎回机制:客户随时1:1转回银行存款(vs Stablecoin需要去CEX交易)

4.2 Onyx Digital Assets (现Kinexys Digital Assets)

这是机构级DeFi最重要的产品。两大业务线:

A. Tri-Party Repo(链上回购)

  • 2020年12月首笔交易
  • 2024年日均交易$2B
  • 累计交易$1.5T+(截至2024)
  • 首次实现T+0 settlement in cash market

B. Tokenized Collateral

  • 客户可以把传统资产(如MMF、Treasury)token化
  • 用token化资产做抵押,借入JPM Coin
  • 2024年BlackRock成为首个把MMF token化在Onyx上做抵押的客户

4.3 Liink — 跨境支付信息层

不直接结算,是信息层(Layer below SWIFT):

  • 解决"Beneficiary验证"问题:发送方付款前先确认收款人信息
  • 减少跨境支付的Compliance Hold(避免触发AML警报)
  • 470+成员银行
  • 与SWIFT GPI共存,不替代

五、架构详细设计:Onyx链上回购序列图

5.1 业务背景

传统Tri-Party Repo流程:

[Cash Borrower] ─── borrows cash ───> [Cash Lender]
       ↓                                     ↑
   Collateral (Treasuries) → [Tri-Party Agent (BNY/JPM)] → 监管+估值+替换

链上版本把Tri-Party Agent的中介角色由Smart Contract替代。

5.2 关键流程序列图

sequenceDiagram
  participant Borrower as Borrower (Hedge Fund)
  participant Lender as Lender (MMF)
  participant RepoSC as RepoContract
  participant CollSC as CollateralContract
  participant CashSC as JPMCoinContract
  participant JPMOracle as JPM Pricing Oracle

  Note over Borrower,Lender: T0: 发起回购交易
  
  Borrower->>RepoSC: initiateRepo(amount=$100M, term=overnight, rate=5.3%)
  RepoSC->>CollSC: lockCollateral(borrower, USTreasury_2030, $102M_marked)
  CollSC->>JPMOracle: getMarkPrice(USTreasury_2030)
  JPMOracle-->>CollSC: $99.85, last_updated=10s_ago
  CollSC-->>RepoSC: locked, haircut=2%
  
  RepoSC->>CashSC: transfer($100M USD, lender → borrower)
  CashSC-->>RepoSC: confirmed, settlement=instant
  
  Note over Borrower,Lender: T+overnight: 到期赎回
  
  Borrower->>CashSC: approve($100.0146M for repo repayment)
  Borrower->>RepoSC: closeRepo(repoId)
  RepoSC->>CashSC: transfer($100.0146M, borrower → lender)
  RepoSC->>CollSC: unlockCollateral(borrower)
  CollSC-->>Borrower: USTreasury_2030 returned
  
  Note over Borrower,Lender: 到期 = 0小时延迟,T+0原子结算

5.3 关键合约接口(简化)

interface IOnyxRepo {
    struct Repo {
        address borrower;
        address lender;
        address collateralAsset;
        uint256 collateralAmount;
        uint256 cashAmount;
        uint256 rate;          // BPS
        uint64 startTime;
        uint64 maturityTime;
        RepoStatus status;
    }
    
    enum RepoStatus { Pending, Active, Closed, Defaulted }
    
    function initiateRepo(
        address lender,
        address collateralAsset,
        uint256 collateralAmount,
        uint256 cashAmount,
        uint256 rate,
        uint64 term
    ) external returns (uint256 repoId);
    
    function acceptRepo(uint256 repoId) external;  // Lender确认
    function closeRepo(uint256 repoId) external;
    function defaultRepo(uint256 repoId) external; // 仅JPM Tri-Party Agent
    
    // 链上Margin Call
    function topUpCollateral(uint256 repoId, uint256 additionalAmount) external;
    function substituteCollateral(uint256 repoId, address newAsset) external;
}

5.4 与传统Repo的关键差异

维度传统Tri-Party Repo (BNY/JPM)Onyx Tri-Party Repo
结算时间T+0但有2小时窗口<1分钟
Cut-off Time下午3:30 ET24/7
Margin CallT+1人工通知链上自动触发
抵押品替换需要Tri-Party Agent人工链上自动(满足规则)
透明度仅交易方+Tri-Party Agent加上链上事件审计
故障恢复法律框架(MRA)法律(MRA)+ Smart Contract紧急冻结

六、设计决策与权衡

6.1 为什么JPM Coin而不是USDC?

选择JPM Coin的理由

  • 完全绕过Stablecoin的Reserve争议(Tether式的不透明)
  • 直接挂钩JPM存款(JPM是Tier-1银行,AA-评级)
  • 不需要独立Banking Charter(USDC的Circle就需要)
  • 与现有JPM Treasury Operations完全集成

代价

  • 仅JPM客户能用,封闭生态
  • 不可与USDC直接互换(需要外部桥接)
  • 客户必须在JPM开户(KYC摩擦)

Kinexys 2024的修正:通过桥接逐步与USDC/EURC互通,承认封闭生态的局限。

6.2 为什么Permissioned Chain而不是公链L2?

Permissioned优势

  • 完全控制Validator(合规、运维、应急)
  • Privacy Group(满足银行保密要求)
  • 不需要公链Gas波动
  • 监管friendly(OCC可以审计validator)

代价

  • 与公链生态隔离
  • Web3原生开发者工具受限
  • 网络效应弱于公链

Kinexys的策略转变:2024年起增加公链桥接能力,BlackRock BUIDL在以太坊公链发行,但通过Onyx做交易。

6.3 为什么用IBFT 2.0而不是Tendermint?

  • IBFT 2.0:EVM原生兼容,Hyperledger Besu维护,金融机构熟悉
  • Tendermint:Cosmos生态,但需要Cosmos SDK,迁移成本高
  • Solana:性能好但运维复杂,validator硬件要求高
  • 结论:IBFT 2.0对JPM最务实

七、风险与攻击面

7.1 中心化风险(最大)

威胁:JPM作为唯一root admin,可单方面冻结资产、回滚交易、修改规则。 缓解

  • OCC(美国货币监理署)持续审计
  • 内部多签(5+个签名人)
  • 法律协议保护客户权益
  • 本质问题:客户必须信任JPM,与传统Custody相同信任假设

7.2 Privacy Group的Off-chain数据风险

威胁:私密交易的实际数据存在Tessera节点中,链上只有哈希。如果Tessera节点丢失数据,链上交易不可还原。 缓解

  • 多Tessera节点冗余(每个PG至少3个)
  • 定期备份+灾难恢复演练
  • 链上记录足以做事后追溯(即使off-chain数据丢失,事件链可重建)

7.3 跨链桥接风险

威胁:Kinexys 2024扩展到公链后,JPM Coin↔USDC的桥成为攻击目标。 缓解

  • 仅与Tier-1机构桥(不接入Wormhole这类公开桥)
  • 限额控制(单笔$10M上限)
  • T+1延迟+人工Review(与Onyx Chain内部T+0差异化)

7.4 监管对手风险

威胁:OCC/SEC监管立场变化,可能要求JPM披露Privacy Group数据。 缓解

  • 与监管预先沟通(OCC的Interpretive Letter#1170允许Stablecoin业务)
  • 设计可监管查询接口(Reg-friendly Privacy)
  • 法律文件明确告知客户数据可能被监管要求披露

八、TradFi对照

Onyx/Kinexys模块TradFi对应关键差异
JPM CoinFederal Reserve master account转账24/7 vs Fedwire 21/5(2024年Q3起24/7)
Onyx Tri-Party RepoBNY/JPM传统Tri-PartyT+0 vs T+0但有窗口期
Tokenized CollateralDTCC的可质押Pool链上自动 vs DTCC的批量处理
LiinkSWIFT MT103/202信息验证前置 vs 事后处理
Privacy GroupBilateral Custody链上事件 vs SWIFT MT940报表

九、关键速查

Kinexys产品速查表(2024年数据)

产品上线累计交易量日均交易量客户数
JPM Coin2020/10$1.5T+$1B+80+
Onyx Tri-Party Repo2020/12$1.5T+$2B50+
Onyx Tokenized Collateral2023/05$200B+$500M30+
Liink2017N/A (info layer)信息层470+ banks

关键时间线

日期事件
2016/10Quorum开源
2020/10JPM Coin上线
2020/12首笔Onyx Repo
2022/06Polygon与Onyx合作(Project Guardian)
2023/05BlackRock成为Tokenized Collateral客户
2024/01累计交易突破$1T
2024/11Onyx改名Kinexys
2025/Q2Kinexys支持EUR结算(与EU银行合作)

十、面试题(资深级)

Q1: Onyx Digital Assets的成功为什么没能复制到其他银行(GS/MS/Citi)?

深度回答

  1. 网络效应壁垒:JPM作为最大美元清算行+主交易商,已有客户网络。其他银行造链,客户没动力迁移
  2. 客户基础差异:GS主要服务投行客户(发行端),MS主要服务买方资管,没有JPM的全场景优势
  3. 运营成本:维护一条Permissioned Chain+24/7运维,每年$50M+,只有Tier-1银行能负担
  4. 正确的策略:其他银行应该接入JPM Onyx作为参与方,而非自建(BNY、HSBC正在这么做)
  5. 类比:就像SWIFT,全球只能有1-2个主导网络,第二名几乎没有市场

Q2: 设计一个JPM Coin↔USDC的双向桥接,如何处理监管和流动性?

深度回答

  • 架构:Lock-and-Mint模型,JPM Coin锁在Onyx Chain合约,等量USDC在以太坊主网铸造(反之亦然)
  • Mint权限:Circle授权一个JPM operator多签,仅在Onyx Chain事件确认后才mint
  • 流动性管理:维持双边$100M储备,通过Circle Mint API实时调节
  • 合规处理:每笔跨链都需要双方KYC一致(避免OFAC违规)
  • 监管路径:OCC视作Stablecoin业务(在JPM的Interpretive Letter#1174范围内),Circle视作USDC distribution
  • 限额:单日$1B总额,单笔$50M(防止操纵)
  • 失败处理:双向都有"timeout cancel"机制,超过2小时未确认自动回滚

Q3: Privacy Group对监管和审计的挑战?如何在链上实现"Reg-Friendly Privacy"?

深度回答

  • 挑战:传统监管要求查阅交易细节(Trade Blotter),但Privacy Group默认只对参与方可见
  • 方案A:监管节点(Regulator Node):让OCC/SEC作为只读validator,所有Privacy Group默认包含监管节点
  • 方案B:可选披露(Selective Disclosure):交易方可以"披露"特定交易给监管,但默认私密
  • 方案C:ZK证明:用zkSNARK证明合规性(如"所有交易满足KYC要求")而不暴露细节
  • JPM实际做法:方案A+B组合,OCC有审查权但不日常监控
  • 未来趋势:方案C(ZK)随着技术成熟会成为主流,已有实验(如Polygon ID)

Q4: 如果Kinexys要支持RWA(如私募信贷),架构需要怎么扩展?

深度回答

  • Token化层:使用ERC-3643变体,每个RWA Token有独立Compliance合约(jurisdiction、investor type等限制)
  • Oracle层:传统资产估值不可能链上原生,必须依赖外部Pricing Service(JPM Custom Index、Bloomberg)
  • 托管层:底层资产仍由Custodian持有(如StateStreet),链上Token是"指代"
  • 赎回机制:Token赎回需要T+1(从Custodian提取实物资产)
  • 法律结构:每个Tokenized资产对应一个SPV,Token持有者是SPV的limited partner
  • 二级市场:链上交易自由,但仅限合规白名单地址(与第一天讲的Permissioned Pool架构一致)
  • 关键:RWA链上化的瓶颈不是技术,是法律框架。Kinexys的优势是JPM的法律部门能批量处理SPV结构

Q5: 与Hyperledger Fabric相比,Quorum/Besu的优势是什么?为什么JPM选EVM而不是Fabric?

深度回答

  • Fabric优势:更细粒度的Privacy(Channel级别),Chaincode可用Go/Java,IBM背书
  • Quorum/Besu优势:EVM兼容(Solidity开发者多),可以运行公链合约(兼容性),Tessera做Privacy
  • JPM选择理由
    1. Solidity开发者池更大,招聘容易
    2. 与公链生态兼容(未来桥接成本低)
    3. JPM早在2016年就fork了Ethereum,技术债务在Quorum方向
    4. Fabric的Channel设计太重,Quorum的Privacy Group更轻
  • 现实趋势:Hyperledger Fabric在央行/政府用得多(如香港金管局),银行业更多Quorum/Besu

十一、明日预告

Day 45: Goldman Sachs DAP / HSBC Orion — 链上债券发行平台。重点研究Goldman DAP在2022年帮助欧洲投资银行(EIB)发行EUR 100M两年期数字债券的具体流程;HSBC Orion 2023年发行HKD12B数字债券(首笔区块链记账的政府债券);以及瑞士DLT法案对链上证券发行的法律基础。

上一篇
Day 43: 机构级DeFi定义 — Permissioned vs Permissionless
下一篇
Day 45: Goldman DAP / HSBC Orion — 链上债券发行平台