控制与权限
每一美元离开 Dexter 金库时,都会经过由多把密钥签署的阈值、作为 Base 交易发布,并在 Basescan 上可见。本页列出治理这些移动的权限层级:哪些面是匿名的、哪些是钱包认证的、哪些是运营者专用的,以及哪些需要多签共识。这些阈值是固定参数,而不是政策。对任何 $10K 以上的国库移动,运营多签为 2-of-3;对参数变更、储备再平衡与守护者角色轮换,治理与保险多签为至少包含一名外部签署人的 3-of-5。任何特权操作都不会在单一密钥下发布。
六个层级,每个都有不同的凭证类型、不同的爆炸半径与不同的阈值。一个层级签发的令牌永远不会授权另一个层级上的行为。
| 控制层 | 凭证与阈值 | 范围 |
|---|---|---|
| 公共平台面 | 无——匿名读取 | 订单簿、标记价格、资金费率历史、排行榜排名、挑战赛统计 |
| 钱包认证路由 | 对已连接钱包的 SIWE 签名 | 账户余额、持仓状态、成交、提款请求、KYC 提交 |
| 已签名交易流 | 每笔意图的 EIP-712 typed 订单签名 | 新订单、取消、保证金模式变更、止损与限价更新 |
| 运营者遥测 | 服务器端白名单加轮换 API 密钥 | 运行时健康端点、队列深度、内部对账视图 |
| 运营多签 | 对每笔 $10K 以上的移动采用 2-of-3 阈值 | 常规国库再平衡、手续费清扫、人工审核支付、领奖台前三释放 |
| 治理与保险多签 | 至少包含一名外部签署人的 3-of-5 | 参数变更、手续费等级更新、保险储备移动、守护者轮换、合约升级 |
#权限如何分段
运营多签是承担主要工作的签署者。它持有三把密钥——分别由创始团队、值班工程负责人与运营负责人持有——并签署每一笔 $10K 以上的国库移动。这包括运营钱包与深度冷存金库之间的常规再平衡、每周手续费清扫、每一次经过人工审核的资金交易者支付,以及季节性排行榜上每一次领奖台前三释放。低于 $10K 且流向白名单目的地的移动(gas 充值、入金通道对账、定期基础设施支出)可以在限速的自动化账户上以单密钥清算,但仅针对同样由 2-of-3 预先批准的目的地。
治理与保险多签有意更慢、更宽。五把密钥,需要三人签署,其中至少一人必须是外部方——当前是一家独立安全公司的合伙人,在 Dexter 没有任何运营角色。任何改变平台行为的事情都通过这一签署人集合:手续费等级、保险储备再平衡、disputeWindowSec 调整、守护者角色轮换、预言机来源提升或降级,以及任何合约升级。外部签署人是即使 Dexter 团队全体一致也仍无法单方面修改协议参数的结构性原因。
守护者权限置于两个多签之下。三名守护者中的任何一人都可以在单笔交易内、以其自有密钥、无需阈值地暂停存款、提款或整个结算管道。暂停是单向的——只有 3-of-5 治理多签可以解除暂停,这是有意为之:无正当理由的暂停代价是短暂停机;无正当理由的解除暂停代价是一笔坏提款。
匿名读取 -> 仅市场数据
钱包签名 -> 账户状态、提款请求
EIP-712 订单 -> 交易意图,绝不更改余额
运营者密钥 -> 遥测,无链上权限
运营 2-of-3 -> 国库移动 > $10K
治理 3-of-5 -> 参数、储备、升级
守护者(1) -> 仅暂停,解除需要 3-of-5#分段控制取得什么效果
这种阈值设计的目的是让特定的入侵情境可以幸存。被窃取的钱包签名最多触及一个用户的账户状态——永远不会触及另一个用户的、永远不会触及国库、永远不会触及参数。被窃取的运营者 API 密钥能呈现遥测,但无法移动 USDC、签署提款或更改手续费等级。单个被入侵的运营密钥无法释放资金,因为第二位签署人会在共同签署前审查目的地、金额与队列上下文。被入侵的运营密钥多数仍无法变更协议参数,因为该路径仅属治理且也要求外部签署人签署。
每一笔多签交易都发布在 Base 上,目的地址、金额、calldata 与签署人集合在 Basescan 交易日志中可见。在运营钱包与国库金库上设置 Basescan 监视警报的用户,会在每一次签署支付后的几秒内收到通知。治理提案在请求 3-of-5 法定人数前 24 小时连同提议的 calldata 发布,使任何社区成员可以在调用落地前独立模拟该调用。不存在凌驾于 Base 账本所示之上的链下同意层。