Livre blanc / OPÉRATIONS, SURVEILLANCE ET SÉCURITÉ
Livre blanc Dexter

SÉCURITÉ

Dexter est la première prop firm on-chain. Les traders payent 49 $, 99 $, 199 $ ou 299 $ pour un pack de challenge, atteignent la cible de +10 % sans franchir les limites de -4 % quotidien ou -8 % traînant, et reçoivent un compte financé 90 / 10 dont chaque paiement se poste sur Base. Le modèle de sécurité derrière ce cashier est ce qui détermine si le partage des bénéfices atterrit. Cette page expose les frontières — un runtime à écrivain unique, des surfaces de permission de passerelle séparées, des retraits conditionnés par preuves, des contrôles multi-sig du vault avec un seuil opérations 2-sur-3 au-dessus de 10 000 $ et une gouvernance 3-sur-5 avec au moins un signataire externe, des flags de pause gardien, et des fenêtres de contestation sur chaque racine de règlement publiée. Les mécaniques plus profondes vivent sur les trois pages qui suivent.

Dernière mise à jour : 24 mai 2026
Sections 3 Lecture 2 min Chapitre du livre blanc

L'autorité est divisée sur cinq couches pour qu'aucun composant unique ne puisse déplacer la valeur de trésorerie ou finaliser un retrait sur sa propre assertion. Chaque couche a un ensemble de signataires différent, un rayon d'impact différent et un chemin de récupération différent.

Frontière de sécurité Ce qu'elle protège
Discipline du runtime Ordonnancement à écrivain unique sur les fills, le financement, les liquidations et les mises à jour de mark ; aucun écrivain concurrent ne peut altérer l'état d'échange
Frontières de la passerelle Lectures publiques, vues de compte authentifiées, routes de trading signées et routes opérateur-seul portent chacune une auth distincte — un token public n'atteint jamais une surface de trésorerie
Rails de preuve et de contestation Les retraits ne finalisent que contre une racine publiée, une preuve de Merkle correspondante, un nonce lié et une fenêtre de litige satisfaite
Multi-sig vault et gouvernance Multi-sig opérations 2-sur-3 sur les mouvements au-dessus de 10 000 $ ; gouvernance et assurance 3-sur-5 avec au moins un signataire externe pour les changements de paramètres et de réserve
Surveillance et récupération Signaux continus de fraîcheur des flux, de liveness des racines, de santé de la passerelle et de réconciliation de trésorerie avec autorité de pause gardien sur n'importe lequel

#La sécurité n'est pas un seul plan de contrôle

L'état d'échange avance à travers un runtime à écrivain unique qui possède les accumulations de financement, les mises à jour de mark, les déclencheurs de liquidation, le contrôle du skew, et la publication de l'état de règlement. Rien d'autre n'est autorisé à muter cet état en parallèle, ce qui est le prérequis de chaque garantie en aval — une preuve ne peut être fiable que s'il existe exactement une histoire canonique contre laquelle elle peut prouver.

La passerelle expose ensuite cet état à travers cinq surfaces de permission distinctes : lectures de marché anonymes, vues de compte authentifiées par wallet, flux de trading signé, routes de télémétrie opérateur-seul, et routes de transfert de valeur qui exigent à la fois la signature et une allowlist côté serveur. Aucun token émis pour une surface n'est honoré par une autre, donc une session produit compromise n'hérite jamais de l'autorité de trésorerie et une clé de lecture publique n'hérite jamais de la visibilité opérateur.

Sur Base, la couche contrat ajoute un second périmètre que le runtime ne peut pas contourner. Les flags de pause gardien peuvent halter les dépôts, les retraits ou tout le pipeline de règlement en une seule transaction. Les gardes de racine rejettent tout commit dont le timestamp, le nonce ou le parent référencé diverge de l'historique on-chain. Les hooks de vérificateur de fraude et le disputeWindowSec configurable maintiennent les racines douteuses dans un état contestable jusqu'à ce que la fenêtre expire. Ensemble, ils garantissent que le règlement ralentit ou s'arrête toujours quand les conditions du runtime sont périmées, contestées ou en revue — même si le runtime lui-même croit que tout va bien.

#Pourquoi les sorties basées sur preuves comptent

Les USDC quittent le vault uniquement quand quatre conditions indépendantes s'accordent dans le même bloc : le nonce requestWithdraw de l'utilisateur existe on-chain, le runtime a inclus cette demande dans une racine de règlement, la preuve de Merkle soumise reconstruit la feuille de l'utilisateur contre cette racine exacte, et disputeWindowSec s'est écoulé sans contestation réussie. Un solde que le runtime croit vous devoir n'est pas suffisant. Le contrat doit vérifier indépendamment que l'état publié le dit vraiment.

Cela importe parce que l'authentification de route et la correction d'état sont des menaces différentes. Une clé d'opérateur volée laisserait un attaquant appeler des endpoints privilégiés, mais il ne peut pas fabriquer une preuve de Merkle contre une racine dont les feuilles sont publiquement reconstructibles. Un runtime bogué pourrait publier une racine erronée, mais la fenêtre de litige la garde contestable via challengeRootFraudProof, challengeRootInvalidLeaf ou challengeRootConflict avant qu'aucun USDC ne bouge. Les deux périmètres doivent échouer en même temps pour qu'un mauvais paiement atterrisse.

TEXT
 le runtime reste à écrivain unique
   -> la passerelle expose des surfaces auth séparées
   -> racine et contexte de commit publiés sur Base
   -> les retraits exigent nonce + preuve + historique de racine
   -> disputeWindowSec reste ouvert pour les contestations de preuve de fraude
   -> ce n'est qu'alors que finalizeWithdraw libère les USDC

#Ce que la sécurité signifie en pratique

Pour un trader financé, le modèle de sécurité détermine un petit nombre de choses concrètes. Les retraits de partage des bénéfices jusqu'à 5 000 $ et hors du top trois du podium du classement sont mis en file pour un traitement automatisé et visent une libération dans les 24 heures suivant la validation d'un KYC de type Sumsub. Tout ce qui est au-dessus de 5 000 $, tout paiement du top trois du podium, et tout premier paiement au-dessus de 50 $ cumulés sont routés vers une revue manuelle par le multi-sig opérations — le même seuil 2-sur-3 qui signe chaque mouvement de trésorerie au-dessus de 10 000 $. Les wallets des juridictions IR, KP, SY et CU sont bloqués au moment de la demande, et chaque demande est filtrée contre les listes de sanctions OFAC, EU et UK avant qu'elle n'atteigne la file. Rien dans ce flux n'est optionnel ou négociable.

Ce à quoi vous devez vous attendre d'une plateforme digne de confiance pour du capital financé : un prix périmé n'a jamais l'air tradable, un marché contraint n'a jamais l'air live, une route de trésorerie n'hérite jamais des permissions d'une lecture publique, et un retrait ne finalise jamais sur une assertion d'opérateur seule. Dexter est conçu pour que la défaillance soit bruyante et contestable plutôt que silencieuse — et pour que chaque transition sensible doive passer par plus d'une hypothèse saine en même temps.

Retour en haut
Précédent TRÉSORERIE ET COMPTABILITÉ Suivant CONTRÔLE D'ACCÈS, GOUVERNANCE ET RAILS DE SÉCURITÉ