机构级安全：第一章：防护栏与角色分离

机构级别的安全性。第一章：防护措施和角色分离

机构参与者不会信任一个仅由 DAO 管理的池子；他们希望自己管理市场。这个认识成为了重新设计我们系统的关键驱动力。

挑战

我们的核心问题很简单：我们如何在不强迫用户转移流动性的情况下，从一个拥有约 4 亿美元 TVL 的系统迁移到一个免许可模型？

这个问题可以分为两部分：

A 部分。保护用户免受恶意管理者的侵害 允许个人免许可地管理市场会引入风险。管理者需要灵活性来应对紧急情况，但不能拥有足够的权力来滥用系统或使用户面临风险。传统的 时间锁 单独无法解决这个问题。

B 部分。保护协议免受潜在的错误配置的影响 即使是善意的管理者也可能犯下灾难性的错误。历史清楚地表明了这一点：

在 @Morpho PAXG/USDC 市场中，一个错误配置的预言机将代币化的黄金价值定为每盎司 2.6 万亿美元。攻击者迅速利用了价格过高的抵押品，并带着约 23 万美元退出。

这样的案例高亮显示了一个简单的道理：协议必须最大限度地减少人为错误的影响。

设计防护措施

为了在免许可环境中实现机构级的安全性，我们首先列出了我们能想到的每一个可能的边缘情况。几个月来，我们分析了恶意管理者可能如何为 LP 或借款人创建蜜罐并提取资金。

市场配置截图

示例：LTV（贷款价值比）配置 一方面，这个参数是管理者职责的一部分，所以他们应该能够随时调整它。另一方面，如果管理者突然将 LTV 设置得太低，可能会引发一波清算，耗尽 AMM 池，并且——一旦价格影响通过价格预言机传播回来——产生一个以坏账结束的死亡螺旋。

经过一系列讨论，我们得出了一个用于更改 LTV 的单一安全机制：渐变调整。没有立即更改该值的功能（即使在 时间锁 之后）。相反，管理者只能定义随时间推移的线性调整，最短持续时间为 24 小时。这确保了任何降级都是逐渐发生的，防止了突然的清算级联，并避免了过度的市场压力。

24 小时的最短时间是硬编码的，管理者无法修改，但系统仍然为他们提供了足够的灵活性来安全地管理风险。

紧急工具集

我们还开发了一套全面的紧急行动工具集，专为需要立即干预的情况而设计。这些工具在 XUSD 崩盘期间被证明是非常宝贵的，Gearbox 避免了 3000 万美元的潜在坏账，正如 Invariant 团队所描述的那样：

示例：安全地切换价格预言机 Gearbox 完全不受预言机问题的影响。如果一个预言机停止更新或返回不正确的数据，管理者可以立即从链上目录切换到另一个预言机（一个存储每个资产的多个批准的价格馈送的映射，我将在第 5 章中更详细地介绍这一点）。

为什么更改预言机的能力如此重要？因为像某些协议那样保持预言机的不可变性，会产生一种危险的故障模式：如果预言机中断或无法访问，用户资金可能会被永久锁定。允许预言机轮换消除了这种系统性风险。

但这引入了一个新的风险：实例所有者（管理目录的人）可以在没有 时间锁 的情况下添加新的预言机。理论上，一个恶意的管理者 + 恶意的实例所有者可以添加一个恶意的预言机，然后立即切换到它，从而损害用户。

为了消除这种攻击媒介，我们引入了一个简单而有效的保障措施：即使在紧急模式下，一个新添加的预言机也必须在目录中存在至少 2 天才能使用。这保持了 时间锁 保证的完整性，同时仍然允许管理者快速响应真正的紧急情况。

角色分离

下一个主要步骤是引入明确的职责分离：

今天，DAO 的运作影响力被有意地限制。即使治理受到损害，它也不能直接改变用户仓位或干预托管市场。这是经过设计的。

Gearbox 使用几个独立的层： DAO（代币持有者） 仅负责具有严格合约级别限制的 高层、全局参数，管理白名单审计员和新的协议版本。 实例所有者 维护链特定的参数，例如价格馈送允许列表，并确保配置在网络中保持准确。 市场管理者 负责创建、管理和关闭市场。 任何影响借款限额、抵押参数或用户仓位的操作都必须通过 时间锁。

这种分离确保了没有一个角色——即使是 DAO——可以损害协议的完整性。有关这种多层结构如何在网络中工作、为什么它不依赖桥以及治理批次如何链接在一起的更多详细信息将在下一章中介绍。敬请关注！

• 原文链接： x.com/0xmikko_eth/status...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～