Usual 是一家 DeFi 银行。每个产品、每一笔余额、每一次交易都运行在 Ethereum 和其他链的智能合约之上。这意味着智能合约风险无法避免——只能管理,不能消除。本文说明 Usual 如何管理这一风险。
什么是智能合约风险
智能合约风险是指代码中的漏洞、被攻击或意外交互导致资金损失的可能性。常见攻击向量:
算术溢出或下溢——计算产生错误结果
重入——一个函数调用另一个函数,后者又回调第一个
访问控制缺陷——未授权地址可以执行特权操作
预言机操纵——价格 feed 可被推至使攻击有利可图的方向
升级路径被利用——升级引入漏洞或权限提升
意料之外的交互——两个各自安全的合约相互作用时产生漏洞
每一个 DeFi 协议都暴露于这类风险。问题在于你能将其缓解到什么程度。
Usual 如何管理智能合约风险
1. 审计——超过 20 次
Usual 已被以下机构审计超过 20 次:
Cantina
Sherlock
Spearbit
Halborn
Hexens
Paladin
Blackthorne
每次审计都有明确的范围(新合约、升级或特定功能),并发布公开报告。审计中发现的问题会在部署前解决。报告可在 docs.usual.money 查阅。
2. 漏洞赏金——通过 Cantina 提供 $7.5M
Usual 在 Cantina 上运行公开漏洞赏金计划,对关键漏洞提供高达 $750 万的奖励。这是 Usual 生态中最大的漏洞赏金,也是 DeFi 中最大之一。通过该计划进行的负责任披露会得到奖励。
(注:Fira 在 Sherlock 上有独立的 $500K 漏洞赏金——请勿混淆。)
3. 暂停机制
在发现关键漏洞时,协议拥有紧急暂停机制。暂停可以:
停止新存款
停止赎回
停止铸造 / 销毁
由多签紧急委员会按照明确的访问规则控制。暂停是一种防御工具——它为分析问题和协调修复争取时间,避免进一步损失。
4. 治理对升级的审查
任何改变合约行为的协议升级都需要 DAO 通过 UIP 批准。这阻止了单方面升级可能引入的漏洞或特权后门。
5. 开源代码
所有 Usual 合约都是开源的。任何人都可以审查代码、提出改进或识别漏洞。这是防范不透明代码风险的最终防御手段。
6. 多个独立部署
不同产品线(USD0、bUSD0、ETH0、USUALx)作为独立的合约集部署。一个合约中的漏洞不会自动危及其他合约。这种分隔限制了任何攻击的影响范围。
残余风险
即使有 20+ 次审计和 $7.5M 的赏金,智能合约风险依然不为零。审计可能遗漏问题;赏金计划依赖研究者在攻击者之前找到漏洞;暂停机制依赖快速的事件响应。
这对你意味着什么:
不要仅凭审计记录就假设某个 DeFi 产品是安全的
将敞口匹配你的风险承受能力
将大额持仓放在更简单的产品(USD0)中,而非更复杂的产品(Vaults、Alpha)
大额余额使用硬件钱包
分散持有多个产品和链
关注官方沟通渠道的事件公告
一个心智模型
把智能合约风险想象成航空安全。现代飞机非常安全,得益于分层防御:多次检查、冗余系统、训练有素的响应者、透明的事故报告。但飞机偶尔仍会发生事故。Usual 采取类似的方式:分层防御,但并非绝对可靠。
正确的反应不是拒绝飞行——而是在充分了解风险和缓解措施的前提下飞行。
如何保持知情
审计报告——发布在 docs.usual.money
漏洞赏金——由 Cantina 管理,通过官方渠道公告
事件沟通——Discord、X、博客、治理论坛
治理提案——与安全与升级相关的 UIP
提示: 再多的审计也无法完全消除智能合约风险。如果你不能承受失去所投入的资金,就不要投入。这是一条通用的 DeFi 规则,并非 Usual 独有。
技术说明(面向 DeFi 用户): Usual 合约部署在 Ethereum、Arbitrum、Base 和 BNB Chain 上。紧急暂停机制由具有明确法定人数要求的多签控制。可升级模式使用具有治理控制升级路径的代理合约。完整合约地址、代理模式和审计范围请见文档。
相关文章
