DeFi策展人风险管理的失效点
- mixbytes
- 发布于 2天前
- 阅读 95
文章深入分析了 DeFi 许可型借贷中“风险策展人”所承担的核心职责与暴露面,指出真正造成损失的往往不是合约漏洞,而是预言机失真、自动化资金再分配、密钥与治理被攻破、流动性集中、上游抵押品失效、参数激进、组合集成风险、自动化基础设施被入侵以及 AI 代理失控等运营与经济层面的攻击面。文章进一步从激励机制、责任缺口与防御纵深三个角度,给出预部署、运行中、事故响应和事后修复的系统化风控清单,并用指标体系衡量一个策展人是否“稳健可托付”。
引言
在 permissionless lending protocols 中,risk curators 已悄然成为 DeFi 中最重要、也最暴露的参与者。他们是独立团队和专家,负责设计、部署和管理 curated vaults:一种 non-custodial credit strategies,将数十亿美元的存款人资金分配到各个 lending markets 中。curator 决定 接受哪些 collateral、承担多少 风险敞口、将流动性路由到哪里,以及 何时 撤出。本质上,他们充当链上 credit 的专业 portfolio managers,而存款人获得的全部收益,都取决于这些决策的质量。
这项责任的范围极其庞大:collateral due diligence、risk parameter 配置(supply caps、LLTVs、concentration limits)、position sizing 以确保 vault 始终能够退出而不会变成流动性陷阱、跨 isolated markets 的 capital allocation 和 rebalancing、oracle 部署与监控,以及与 guardians 和 sentinels 的 governance 协调。最优秀的 curators 还会更进一步——在 forked environments 上持续运行基于 Agent 的模拟,在部署资金之前,对相关性崩盘、oracle 延迟和流动性枯竭等情形进行压力测试。
curator 模型已经成为 DeFi lending 的主导范式。像 Morpho、Euler 等 protocols,已经将 risk management 的责任从单体化 governance 转移给专业 curators,让他们在 risk-adjusted returns 上相互竞争。这种架构非常强大——它将 infrastructure 和 strategy 分离,允许 permissionless market creation,并让存款人选择适合自己的 risk profile。
但它也创造了一个 regulatory vacuum。curators 所做的事情,在功能上与传统金融中的 broker-dealers 并无二致:分配客户资金、设定 risk limits,并按业绩收取费用。在 TradFi 中,这一职能伴随着 fiduciary duty、capital adequacy 要求、监管 stress testing,以及强制披露;而在 DeFi 中,这些都不存在:
| Control | 传统 Broker-Dealer | DeFi Risk Curator |
|---|---|---|
| Licensing and registration | Required (SEC, FCA, BaFin, etc.) | None |
| Fiduciary / suitability duty | Legally enforced | Absent, reputation only |
| Capital adequacy / reserves | Mandatory minimums (Basel III, net capital rules) | Voluntary, no standard |
| Stress testing | Regulatory requirement (CCAR, EBA) | Best-practice, not mandatory |
| Disclosure to clients | Standardized (prospectus, KID, Form ADV) | Ad hoc, no minimum standard |
| Loss compensation | Investor protection schemes (SIPC, FSCS) | None by default, curator discretion |
当 curator 的纪律性或存款人的尽职调查失效时,并没有兜底机制。而这两者都可能在压力之下失效。
在过去 18 个月里,这一模式已经变得非常清晰。Stablecoin depeg、发行方 key 被攻破、硬编码 oracle 配置错误——一次又一次的事件中,损失并非来自损坏的代码。合约经过审计,并且按设计正常运行。真正失效的是 配置和运行上下文:一个持续报告 $1 的 oracle,而资产已经崩塌;一个 auto-allocator 因为 utilization 驱动的 APY 看起来很有吸引力,就把新资金继续投入被攻破的市场;一个 vault 已经成为单一市场中占主导地位的供给方,却无法退出。2025–2026 年间数以亿计的 bad debt,全都源于 smart-contract audit 覆盖不到的一层:operational、economic 和 compositional 风险,存在于经过审计的代码与真实市场行为之间的缝隙中。这一层由 curators 负责——而攻击者也正在学会利用它。
本文梳理了针对这一层的具体攻击向量。本文面向 curators、vault deployers,以及依赖他们的 protocols,聚焦其机制、后果,以及在“最大威胁并不来自损坏代码”的环境中生存所需的 defense-in-depth 思维。
不断扩展的前沿
curator 模型诞生于 credit markets,但其逻辑——在 vault 架构内进行动态 risk parameterization 加资本分配——是可迁移的。凡是 protocol 需要在存款人资金与不断演化的机会集之间加入专业判断的地方,curators 都可以扩展。
credit markets 仍然是核心:collateral selection、LTVs、supply caps、oracles、bad debt management。Yield strategies 和 Earn Vaults 紧随其后——在多个 lending markets 之间优化收益,而 automation risk 是主要的新攻击面。RWA(tokenized Treasuries、private credit)是增长最快的前沿,需要 curators 将链下尽职调查(法律结构、counterparty risk、redemption mechanics)与链上 parameter management 结合起来。Institutional wrappers 也是一个明确的增长方向,因为 allocators 正在寻求具有更强 risk controls 的 non-custodial 结构。用于 concentrated liquidity 的 LP vaults 需要在波动条件下进行动态 range management。Stablecoin strategies——delta-neutral、basis trading、reserve management——要求防止 depeg cascades 向 lending markets 外溢。Restaking 目前看起来更偏次要,curator 采用速度更慢,增长叙事也不够持久。
再往外看:derivatives 和 structured products(options vaults、tranched risk)、DeFi insurance(underwriting parameter curation)、AI-agent-managed vaults(agentic allocation and execution)、cross-chain liquidity management,以及新兴的 L1/L2 ecosystems(Solana/Kamino、Berachain、Monad、Hyperliquid)。
市场依然高度集中。新团队通常从 niche verticals 切入,在这些领域中,domain expertise 比 incumbency 更重要。下文描述的攻击向量主要来自 credit markets,但经过适当调整后,也适用于本列表中的所有 verticals。
攻击向量
下列向量并非假设情景。每一种都已在生产环境中出现——有些甚至反复发生。它们大致分为两类:infrastructure 和 access 风险(针对合约、角色和集成)以及 economic attacks(在完全审计的系统中利用 incentives、参数和 oracle 行为)。在实践中,最具破坏性的事件往往同时结合了两者。
有一个特性使得攻击面尤其广阔:现代 vault 框架允许 curators 执行几乎任意交易——部署 adapters、通过 multi-hop strategies 路由资金、配置 oracles、调整 permissions。这意味着,仅对 vault 本身做一次标准的 smart-contract audit 是不够的。漏洞可能并不存在于任何单个合约中——它可能只会在 curator strategy 将原本安全的组件拼接在一起时,于 composition 中显现。
1. Oracle Failure
陈旧、错误或被操纵的价格源
工作方式。oracle 持续报告某个 collateral asset 被高估的价格——可能是因为它被硬编码为固定值、依赖一个陈旧的链上源,或者被 flash loans 和 AMM 失衡暂时操纵。借款人以“纸面”collateral 为抵押,建立最大杠杆仓位。liquidations 要么根本不触发,要么触发得太晚。
危险性。vault 会被系统性地抽干。bad debt 悄无声息地累积,并被社会化到所有 liquidity providers 身上。这个向量会被 automation 放大(见 Vector 2),并且与上游 collateral failure(见 Vector 5)高度相关——当发行方被攻破而 oracle 仍持续报告 $1 时,两者叠加会造成毁灭性后果。oracle misconfiguration 是 2025–2026 年 curator losses 最常见的根本原因。
2. 作为被迫退出流动性的 Automated Allocators
工作方式。在上游事件之后——collateral depeg、protocol hack、key compromise——受影响 lending market 的 utilization 会飙升,表面上的 APY 也随之激增。一个 automated allocator(public allocator、基于 keeper 的 rebalancer,或规则驱动的 bot)将此解读为一个有吸引力的机会,并把 vault 中的新资金路由进这个陷入困境的市场。
危险性。vault 不再撤出,而是成为攻击者的退出流动性——或者,在 depeg 情况下,继续按面值承接一个毫无价值的 collateral。这是最昂贵的失败模式,会把局部的上游问题转化为系统性的 vault-level loss,并且在人工 curator 介入之前就能耗尽数百万资金。每延迟一小时,损失的资金都可能是永久性的。
3. 角色与治理被攻破
Owner / Curator / Guardian
工作方式。攻击者获取 vault owner 的 key 或 multisig 控制权,然后替换 curator、移除 timelocks、添加危险市场、提高 supply caps,或修改费用结构。另一种情况是 curator 自己的 operational key 被攻破——由于 curator 角色通常拥有 fast-path permissions(没有 timelock 延迟),攻击者可以在几分钟内重新配置 vault。
这也包括一种更隐蔽的失败模式:signer key 本身完好,但 signing interface 被攻破,并显示误导性的交易数据。Bybit 事件就是最明确的提醒——一个已授权的 signer 批准了一笔在被攻破的 frontend context 中被篡改的交易。
危险性。curator 是 vault 架构中的单点信任。一个被攻破的 key 就能同时覆盖所有 risk parameters。timelock 可以为某些 governance 攻击提供缓冲,但它并不能防御一个直接拥有 operational access 的被攻破 curator。而且,长时间持续的 social-engineering 攻击——攻击者在数周内缓慢提升权限——可以完全绕过 timelock。
4. 集中度与流动性陷阱
工作方式。vault 成为某个单一 lending market 中占主导地位的供给方——占全部流动性的 50%、70%,有时甚至超过 90%。当 curator 需要降低风险时,几乎没有可供撤出的流动性:utilization 接近 100%,借款人不还款,liquidations 又太慢。
危险性。vault 被困住了,存款人也无法提款。知情存款人会争相通过剩余的闲置缓冲区退出,导致缓冲区被耗尽,使陷阱进一步恶化——这是一种经典的 bank-run 动态,在链上上演。
5. 上游 Collateral 风险
发行方 depeg、被黑、key 被攻破
工作方式。风险完全来自 lending protocol 之外。某个 collateral 发行方遭遇私钥被攻破、minting contract 中的 bug、储备支持丧失,或 governance attack。collateral 变得部分或完全无价值。oracle——尤其是硬编码的或更新缓慢的 oracle——无法反映新的现实。liquidators 不会启动,bad debt 悄无声息地累积。
危险性。这是 curator 最难控制的向量。即使保守的 LLTV 和严格的 supply caps,也无法完全防止某种 collateral 在一夜之间归零。curator 唯一真正的防御,是事件发生前的尽职调查(评估发行方的 key management、minting process、reserve proof mechanisms 和合约升级路径),以及带有自动 circuit breakers 的实时监控,以便在 oracle 追上之前冻结分配。
6. Front-Running Curator 行动与参数操纵
工作方式。curator 提交一笔 timelocked 交易——移除市场、下调 supply cap、修改费用——攻击者对此进行 front-run,利用提案与执行之间的窗口。在某些设计中,攻击者可以在 mempool 或链上队列中观察到待执行操作,并在中间状态中布局以提取价值。通过在低流动性 vault 中 donation 实现的 share-price 操纵,是一种相关变体。
危险性。存款人获得的 shares 比预期更少,或者 vault 承担了 curator 正在试图降低的风险。核心问题在于,timelocked governance 的透明性是其设计使然——这意味着 sophisticated actors 可以预判并利用 curator 的每一次行动。这在 governance transparency(有利于存款人信任)与 operational security(易受 front-running 影响)之间制造了张力。
7. 激进的参数博弈与收益追逐
工作方式。curator——或自动化策略——通过设置过于激进的 supply caps、高 LLTV,或引入高收益但了解不足的 collateral 来追求最大收益。参数是按照最佳情形来调校的。一旦市场冲击到来——哪怕只是温和冲击——仓位也会剧烈回撤。
危险性。这不是外部攻击,而是由 curator 自身激励结构(与收益Hook的 performance fees)驱动的内部经济风险。等损失显现时,存款人会把它视为被利用。声誉损害非常严重:TVL outflows、社交媒体反弹,以及对 curator 模型本身的信任流失。更糟的是,激进的参数设置会放大本列表中的每一种其他向量——高 LLTV 会让 oracle failure 更致命,过大的 cap 会加深流动性陷阱,而快速 allocator 配合宽松限制,会把每一次上游事件都变成 vault-level 危机。
8. Bad Debt 社会化
损失如何扩散到无关的存款人
工作方式。当某个市场累积 bad debt 时,损失会按比例社会化到 所有 vault 存款人身上——即使他们的资金原本位于完全不同、健康的市场中。在某些架构里,未实现的 bad debt 会被隐藏,直到有人提款时才突然结算,使损失以不可预测的方式显现。
危险性。局部失败会变成整个 vault 的损失。存款人看到的是 headline APY,而不是他们对 curator 所分配的每个市场的敞口。较新的架构通过 per-adapter loss tracking 和在流动性不足期间的 in-kind redemption paths 改善了这一点,但根本矛盾依旧存在:pooled vaults 意味着共享风险。
9. 组合性与集成风险
审计之间的空白
工作方式。每个组件——vault contract、adapter、lending market、oracle、allocator——都可能单独经过审计且本身正确。但漏洞却可能从它们的 composition 中产生:意外的 callback sequence、特定 adapter-oracle 交互中的 rounding error、单独看起来安全、但当两个 adapter 同时激活时就可被利用的 permission boundary。
危险性。compositional risk 是涌现式的,且在触发前不可见。仅审计单独合约无法发现它——只能通过把完整部署策略作为一个集成系统来审查。随着 vault 架构日益复杂,这一攻击面扩展的速度远超任何一次点时审计所能覆盖,因此每一次重大的 strategy 或配置变更都应重新审计。
10. Automation Infrastructure 被攻破
Keepers、Bots、链下系统
工作方式。Keepers、rebalancers、monitoring bots,以及云托管的 allocator scripts,都对 vault 资金拥有直接执行权限。攻击者可以攻破 keeper 的 hot-wallet key,利用托管基础设施(AWS credentials、未轮换的 API keys),或者在危机中直接让 bot 下线。
危险性。链下 automation 拥有与 curator 相同的权力,却很少受到同等强度的安全审查。一个被攻破的 keeper 可以强制进行不利 rebalances、提取 MEV、抽干闲置缓冲区,或者在最糟糕的时刻停止运作。这是许多原本设计良好的 vault 架构中最薄弱的一环。
11. AI-Agent Curator 风险
Agentic Vault Management
工作方式。在由 Agent 管理的 vault 中,策略决策与执行被委托给 AI agents,它们消费市场数据、risk signals 和工具输出。攻击者可以通过数据投毒、借助工具集成进行 prompt/context injection、操纵外部信号、objective gaming(让策略优化错误目标),或攻破 agent stack 中的执行权限来利用这一层。
危险性。AI agents 提高了速度和覆盖面,但也创造了一个新的 control plane,而这个平面可能以不透明的方式失效。人类 curator 能发现明显异常;agent 则可以以机器速度在多个市场上执行这些异常操作。若没有严格的 guardrails(硬性 risk limits、allowlisted actions、确定性的 fallback rules,以及对策略更新的人类 veto),agentic vaults 会比人工操作更快地放大损失。
为什么这很重要
这些都不是理论漏洞。它们是 operational realities——数千万美元的损失,全部来自 permissionless composability、以机器速度放大错误的 automation、curator 无法消除的外部依赖,以及只需一个错误配置的 cap 就能把最优变成灾难的人为设置之间的交汇点。
对 curated vaults 最危险的威胁并不来自损坏的代码,而是来自经过审计的代码在对抗性条件下被正确执行。一个优秀的 curator 会构建 defense in depth——但首先,值得审视一下决定 curator 如何应对这些向量的激励结构。
激励张力
Curator 费用 vs. 存款人安全
Curators 赚取 performance fees——通常是 vault yield 的 5–15%。更高的 APY 意味着更高的费用,这就直接激励 curator 设定更激进的 LLTV、更宽松的 supply caps,以及更薄的闲置缓冲。与之相抗衡的力量是 reputation:存款人可以随时退出,而糟糕的 risk management 会立即导致资金外流。但 reputation 有其极限——散户存款人看到的是 APY,不是 LLTV;看到的是 TVL,不是 concentration;看到“audited”就默认“safe”。
实际结论是:让费用结构与风险画像保持一致。一个被宣传为“safe”的高收益 vault,一旦不可避免的事件发生,就会造成灾难性的声誉损失。
责任缺口
这种激励张力带来了一个更深层的问题:收益私有化,尾部损失社会化。curators 通过 performance fees 获取上行收益。当尾部风险显现时,存款人损失本金;curator 损失未来的费用收入和声誉——但不会损失资本。
这里没有可被 slash 的 bond,没有强制保险基金,也没有法定赔偿机制。有些 curator 会自愿用储备金覆盖 bad debt——并因此赢得合理的信任——但这完全取决于其自主裁量。大多数 vault 的损失瀑布很简单:存款人首先承担损失。
在 protocols 强制最低标准、而外部评级框架让这种不对称变得可见之前,存款人应将每一个 curated vault 都视为未投保头寸。
风险缓解手册
上面的攻击向量有一个共同点:没有一个可以被彻底消除。permissionless composability、外部依赖,以及链上执行的极速,决定了风险永远存在。目标不是零风险——而是结构化韧性:确保没有任何单点失败模式能够演变成灾难性事件,确保检测速度快于利用速度,并且在事件发生前就已规划好恢复方案。
以下是一份围绕 curator operational lifecycle 组织的实用手册:在资金部署之前、资产活跃期间、事件发生期间,以及恢复之后。
部署前
在你投入一美元之前先打好基础
- 深入的 collateral 尽职调查——在被证明安全之前,把每一种新资产都视为敌对对象。
在将某个 collateral asset 列入白名单之前,调查完整的 trust chain:minting key management、multisig threshold、mint volume sanity checks、reserve backing 可验证性、合约升级路径,以及 depeg 时的 oracle 行为。为每一种 collateral 制作书面的 risk profile——而不是一次性检查——并在每次发行方升级时重新审视。
在可用时,辅以外部 risk ratings(例如 Credora/RedStone scoring:根据 Probability of Default 和 Probability of Significant Loss 给出 A+ 到 D 的等级)。外部评分不能替代内部分析,但它增加了一个独立验证层。
- 完整部署的安全审查——不仅仅是 vault contract。**
单独对 vault 做 audit 会漏掉最危险的攻击面:composition。在部署前,对整个配置进行端到端审查——每一个 adapter、外部 protocol 交互、oracle 配置和参数选择。特别检查 flash-loan 可利用性、oracle 操纵面、通过第三方合约进行的权限升级,以及意外的调用流程。
- 保守的初始参数设置——先收紧,再根据数据逐步放宽。**
将 supply caps 设得保守:每个市场设绝对 cap,同时 cap 也应为 vault TVL 的某个百分比(常见起始范围为 10–30%)。确保 vault 在任何单一市场中的总供给占比不超过 25–30%,否则退出就会变成流动性陷阱。LLTV 应设置在比最坏情形模拟结果更有余量的位置,而不是贴着边界。保留 5–15% 的 TVL 作为未分配的闲置缓冲,以便吸收赎回激增而不触发紧急重新分配。
- 在部署前做模拟——并在部署后持续模拟。**
在向新市场分配资金之前,先在 forked environments 上运行基于 Agent 的压力测试。模拟相关性崩盘(1 小时内下跌 −30% 或更多)、oracle 延迟、突然 depeg、阻止 liquidators 运作的 gas-price 飙升,以及多个市场同时出现流动性枯竭。验证 vault 即使在最坏情况下,也能在 1–4 小时内退出其最大仓位。随着市场条件、TVL 和 utilization 的变化,持续重新运行这些模拟。
- 把角色架构设计成具备抵御攻破的能力。
将 Owner、Curator、Allocator 和 Sentinel 角色分离,并使用不同的 keys。Sentinel——一个只负责安全的角色——可以 deallocate 和 veto,但不能引入新的风险;被攻破的 Sentinel 会让 vault 更不活跃,而不是 更危险。对所有会扩大参数风险的操作应用 timelock(24h+)。将 Sentinel 分配给多个独立地址。所有特权角色都使用 multisig。
活跃管理
监控、约束、响应
- 多层 oracle 监控——不要相信单一价格源。**
部署独立监控,将 oracle 价格与多个链下和链上参考源(CEX feeds、DEX TWAPs、其他 oracle providers)进行交叉检查。为价格偏离设置告警阈值——例如,如果 oracle 价格与参考中位数偏离超过 1–2%,就触发警报。对于硬编码或更新缓慢的 oracle,独立监控底层资产的市场价格,并在 oracle 追上之前触发 circuit breakers。
- Circuit breakers 和自动化遏制——以机器速度行动。**
人类的反应时间是分钟到小时,攻击则在区块内展开。部署自动化 circuit breakers,能够在 oracle 偏离时暂停分配,在异常活动时将 supply caps 设为零,冻结 public allocator,并通知 Guardian veto 待执行操作。
最有效的 breakers 是链上的:攻击者若攻破了特权 key,就能在单个原子交易中 mint、supply 和 borrow——没有任何链下 bot 能在那之前作出反应。链上 supply rate limits、按区块的 borrow caps,以及异常触发的暂停,是唯一能够拦截 intra-block exploit 的机制。但要谨慎校准:过于激进的阈值会造成误报或 denial-of-service 向量。
实践中,最具韧性的设置会结合三层:用于原子攻击的链上 breakers、用于较慢场景(逐步 depeg、utilization 漂移)的链下 sentinels,以及用于边缘情况的人工接管。所有层都应使用专用 keys 和最小权限——权限足以停止,但绝不足以提取。
- 集中度纪律——强制硬限制,而不是指导意见。**
持续跟踪 vault 在其参与的每个市场中占总供给的份额。设置硬性的链上 caps(而不仅是 dashboard alerts),防止 vault 超过任何市场总供给的既定百分比。当某个市场增长而 vault 的份额被动上升(因为其他供给者离开)时,应将其视为一个需要主动重新分配的风险事件——不要等到仓位变得不可流动才采取行动。
- Automation 安全——把 bots 当成特权用户。**
使用专用 keys、最小权限、轮换计划、基础设施加固和访问日志。实现 dead-man switches——如果 keeper 未按计划执行,就升级处理或冻结。审计 automation 架构,而不仅仅是它调用的合约。
对于 AI-agent-managed vaults,设定严格基线:仅允许白名单动作、对每个市场和每笔交易都设定硬性的 risk caps、在数据缺失或矛盾时采用确定性的 fallback rules,并且策略更新必须有人类 veto。
- 持续的升级影响评估。
当依赖链中的任何 protocol 升级时,都应将其视为潜在的 breaking change。评估它是否改变了信任假设、permissions 或经济逻辑。在恢复分配前重新运行模拟。
在事件发生期间
前一小时决定结果
- 预先写好的事件响应手册——要演练,而不只是写下来。**
为每个主要场景准备一份书面的、逐步执行的响应计划:collateral depeg、oracle failure、key compromise、上游 hack、liquidity crunch。手册应明确:
- 谁来行动(哪个角色、哪把 key)。
- 他们做什么(将 cap 设为零、冻结 allocator、触发 Guardian veto、向存款人沟通)。
- 按什么顺序(triage、contain、communicate、remediate)。
- 在什么时间范围内(目标:第一次遏制动作应在几分钟内完成,而不是几小时)。
每季度进行一次桌面演练。最糟糕的情况,不是在事后才发现手册有漏洞,而是在真实事件发生时才发现这一点。
- 立即遏制——先止血,再诊断。**
一旦检测到异常:(1) 将受影响市场的 caps 设为零,(2) 如果范围不清楚则暂停新存款,(3) 冻结自动分配,(4) 调用 Sentinel/Guardian veto 待执行操作,(5) 仅在资金外流停止后再开始人工评估。诊断应在 vault 停止失血之后进行。
- 透明沟通——沉默比损失更快侵蚀信任。**
在采取遏制措施后尽快通知存款人。存款人可以接受被管理的损失;他们无法接受自己成为最后一个知道的人。
事件之后
学习、补偿、加固
- 取证分析与根因识别。
重建交易序列,识别根因,量化损失,并判断手册是否奏效。发布 post-mortem——透明的 curators 更容易吸引资金,因为他们展现了 accountability。
- 补偿框架——在需要之前先计划好。**
预先定义损失如何处理:费用储备、treasury、保险,或者带有透明账务的社会化损失。事先理解这一机制的存款人,在事件之后更有可能留下来。
- 更新参数、手册和监控——然后重新模拟。**
每次事件都应产生具体改动。如果经过你的“修复”后,同样的向量仍然能产生同样的结果,那么这个修复就是不完整的。
总结:Defense-in-Depth 栈
上面的手册不是可随意挑选的菜单——它是一套 stack,其中每一层都在弥补下层的局限性:
| Layer | Function | Catches what the layer below misses |
|---|---|---|
| Collateral due diligence | Prevent exposure to fundamentally unsafe assets | — |
| Full-deployment security review | Catch compositional vulnerabilities before go-live | Risks invisible to isolated contract audits |
| Conservative parameterization | Limit blast radius of any single failure | Risks that pass security review but materialize under stress |
| Continuous simulation | Validate that parameters hold under adversarial conditions | Parameter drift as markets evolve |
| Multi-source oracle monitoring | Detect price-feed failures in real time | Scenarios not covered by simulation |
| Automated circuit breakers | Contain damage at machine speed | Human reaction-time gaps |
| Incident-response playbook | Coordinate human response when automation is insufficient | Novel attacks that bypass automated rules |
| Post-incident hardening | Close the loop, prevent recurrence | Everything that got through |
没有任何单一层是足够的。能够幸存下来的 curators,是那些假设每一层最终都会失效——并构建下一层去接住漏网风险的人。
衡量真正重要的东西
存款人、protocols 和 curators 需要可量化的信号来评估 operational risk discipline。以下指标提供了一份实用的安全评分表:
| Metric | Healthy Range | What It Signals |
|---|---|---|
| Max market dominance | < 25–30% of any market's total supply | Exit is feasible under stress, no liquidity trap |
| Idle buffer | 5–15% of vault TVL | Redemptions absorb without forced reallocation |
| Simulation frequency | Continuous (re-run on TVL / market changes) | Parameters reflect current conditions, not launch-day assumptions |
| Timelock duration | 24h+ for parameter-widening actions | Depositors have time to exit before risky changes take effect |
| Sentinel / Guardian coverage | Multiple independent addresses, 24/7 | Emergency intervention does not depend on one operator |
| Transparency | Public risk reports, open dashboards, disclosed methodology | Depositors can evaluate risk, not just yield |
| External risk rating | Rated by an independent framework (e.g., Credora A+ to D) | Third-party validation of collateral, market, and vault risk |
| Incident response track record | Published post-mortems, demonstrated containment speed | Proven ability to manage the inevitable |
没有任何单一指标能够一锤定音——但如果一个 curator 在大多数指标上得分都很差,那么它承担的风险很可能并未得到相应补偿。
展望未来
生态系统正积极演进,朝着更具韧性的设计发展:
- 更细粒度的角色分离——新的 vault 框架将 Sentinel 设定为仅能阻止、不能升级风险的 safety-only 角色。
- 实时 bad debt 跟踪——per-adapter loss reporting 和在流动性不足期间的 in-kind redemption paths,取代了早期设计中简单粗暴的即时社会化。
- 链上 risk oracles——外部评分(例如通过 RedStone 提供的 Credora)以链上形式交付,使 risk assessment 朝着可验证、持续更新的 intelligence 发展。
- 将模拟变成标准——基于 Agent 的压力测试正从竞争优势变成预期基线,而开源工具(Foundry/Anvil、agent SDKs)正在降低门槛。
- 新 verticals、新 risk primitives——增长最强的赛道是 RWA 和 institutional products,LP vaults 也在扩张。Restaking 目前看来仍更偏次要。与此同时,AI-agent-managed vaults 正作为一种新的 curator 模型出现,并拥有自己的攻击面(数据投毒、prompt/context injection、objective misalignment,以及 execution-key abuse)。
“已审计合约”与“安全的 vault operation”之间的鸿沟,正在通过更好的架构、更好的工具,以及这样一种认知被逐步填补:最重要的安全层不是代码,而是配置、监控和管理代码的系统。
风险 curators 的下一轮增长将来自新市场。但真正的赢家,会是那些把安全纪律扩张得和 TVL 一样快的团队。
- 原文链接: mixbytes.io/blog/where-d...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
