CONTRÔLES ET PERMISSIONS
Chaque dollar qui quitte un vault Dexter passe par un seuil signé par plusieurs clés, posté comme transaction Base et visible sur Basescan. Cette page liste les paliers de permission qui régissent ces mouvements : quelles surfaces sont anonymes, lesquelles sont authentifiées par wallet, lesquelles sont opérateur-seul, et lesquelles exigent un consensus multi-sig. Les seuils sont des paramètres fixes, pas de la politique. Le multi-sig opérations est 2-sur-3 pour tout mouvement de trésorerie au-dessus de 10 000 $ ; le multi-sig gouvernance et assurance est 3-sur-5 avec au moins un signataire externe pour les changements de paramètres, le rééquilibrage de réserve et la rotation du rôle gardien. Rien de privilégié ne ship sous une seule clé.
Six paliers, chacun avec un type de credential distinct, un rayon d'impact distinct et un seuil distinct. Un token émis pour un palier n'autorise jamais une action sur un autre.
| Couche de contrôle | Credential et seuil | Portée |
|---|---|---|
| Surface publique de la plateforme | Aucun — lecture anonyme | Carnets d'ordres, prix de mark, historique de financement, classements, statistiques de challenge |
| Routes authentifiées par wallet | Signature SIWE contre le wallet connecté | Soldes de compte, état des positions, fills, demandes de retrait, soumission KYC |
| Flux de trading signé | Signature d'ordre typée EIP-712 par intention | Nouveaux ordres, annulations, changements de mode de marge, mises à jour stop et limit |
| Télémétrie opérateur | Allowlist côté serveur plus clé API rotative | Endpoints de santé du runtime, profondeur de file, vues de réconciliation internes |
| Multi-sig opérations | Seuil 2-sur-3 au-dessus de 10 000 $ par mouvement | Rééquilibrage de trésorerie de routine, balayages de frais, paiements en revue manuelle, libérations du top trois du podium |
| Multi-sig gouvernance et assurance | 3-sur-5 avec au moins un signataire externe | Changements de paramètres, mises à jour de paliers de frais, mouvements de réserve d'assurance, rotation gardien, mises à niveau de contrat |
#Comment l'autorité est segmentée
Le multi-sig opérations est le signataire de trait. Il détient trois clés — détenues par l'équipe fondatrice, le lead d'ingénierie de garde et le head of operations — et signe chaque mouvement de trésorerie au-dessus de 10 000 $. Cela inclut le rééquilibrage de routine entre le wallet d'exploitation et le deep-cold vault, le balayage hebdomadaire des frais, chaque paiement de trader financé revu manuellement et chaque libération du top trois du podium du classement saisonnier. Les mouvements en dessous de 10 000 $ vers des destinations whitelistées (top-ups de gas, réconciliation on-ramp, dépenses d'infrastructure récurrentes) peuvent passer avec une seule clé sur un compte d'automation rate-limité, mais uniquement contre des destinations pré-approuvées par le même 2-sur-3.
Le multi-sig gouvernance et assurance est délibérément plus lent et plus large. Cinq clés, trois requises pour signer, et au moins une de ces trois doit être une partie externe — actuellement un partenaire d'une firme de sécurité indépendante sans rôle opérationnel chez Dexter. Tout ce qui change la manière dont la plateforme se comporte passe par cet ensemble de signataires : paliers de frais, rééquilibrage de la réserve d'assurance, ajustements de disputeWindowSec, rotation du rôle gardien, promotion ou rétrogradation de source oracle, et toute mise à niveau de contrat. Le signataire externe est la raison structurelle pour laquelle une équipe Dexter unanime ne peut toujours pas changer les paramètres du protocole unilatéralement.
L'autorité gardien s'assoit sous les deux multi-sigs. N'importe lequel des trois gardiens peut mettre en pause les dépôts, les retraits ou tout le pipeline de règlement en une seule transaction, sur sa propre clé, sans seuil requis. La mise en pause est à sens unique — seul le multi-sig gouvernance 3-sur-5 peut remettre en marche, ce qui est intentionnel : le coût d'une pause injustifiée est une courte interruption ; le coût d'une remise en marche injustifiée est un mauvais retrait.
lecture anonyme -> données de marché seulement
wallet signé -> état du compte, demande de retrait
ordre EIP-712 -> intention de trade, jamais changement de solde
clé opérateur -> télémétrie, aucune autorité on-chain
ops 2-sur-3 -> mouvement de trésorerie > 10 000 $
gouvernance 3-sur-5 -> paramètre, réserve, mise à niveau
gardien (1) -> pause seulement, remise en marche exige 3-sur-5#Ce que les contrôles segmentés accomplissent
Le design de seuils existe pour rendre des scénarios de compromission spécifiques survivables. Une signature de wallet volée atteint au plus l'état du compte d'un utilisateur — jamais celui d'un autre, jamais la trésorerie, jamais un paramètre. Une clé API d'opérateur volée expose la télémétrie mais ne peut pas déplacer d'USDC, signer un retrait ou altérer un palier de frais. Une seule clé opérations compromise ne peut pas libérer de fonds parce que le deuxième signataire revoit la destination, le montant et le contexte de la file avant de co-signer. Une majorité de clés opérations compromises ne peut toujours pas changer les paramètres du protocole parce que ce chemin est gouvernance-seul et exige également que le signataire externe signe.
Chaque transaction multi-sig est postée sur Base avec l'adresse de destination, le montant, le calldata et l'ensemble de signataires visibles dans le log de transaction Basescan. Les utilisateurs avec des alertes de surveillance Basescan sur le wallet d'exploitation et le vault de trésorerie reçoivent une notification dans les secondes suivant chaque paiement signé. Les propositions de gouvernance sont publiées avec le calldata proposé 24 heures avant que le quorum 3-sur-5 ne soit demandé, pour que tout membre de la communauté puisse simuler indépendamment l'appel avant qu'il n'atterrisse. Il n'y a pas de couche de consentement hors-chaîne qui supplante ce que le ledger Base montre.