第 08 讲：借贷、清算、预言机与 DeFi 风险

• 链上借贷：抵押 → 借出 → 还款，全流程由合约执行
• 超额抵押：用规则替代征信与法律追索
• 清算：系统性风控装置，而非"惩罚机制"
• 预言机（Oracle）：价格输入的单点脆弱性
• 闪电贷（Flash Loan）：放大攻击能力与套利速度
• 风险图谱：技术 × 市场 × 治理 × 组合（耦合）风险

上讲回顾与本讲定位

• 上讲（第 07 讲）核心：AMM 定价原理 ($x \cdot y = k$)、无常损失推导、Uniswap v3 集中流动性
• 本讲位置：金融应用主线——从交易到借贷，DeFi 的第二个核心模块
• 关键追问：超额抵押是"信任的替代品"还是"资本的浪费"？清算机制在极端行情下是稳定器还是放大器？
• 预习回顾：DEX 提供资产兑换场所 → 借贷协议在此基础上提供杠杆与流动性管理

DeFi 借贷的基本逻辑

• 用户把资产抵押到协议（自托管到合约地址）
• 协议允许借出另一类资产（形成债务头寸）
• 生成与偿还由合约规则执行：无需人工授信
• 信用判断被"参数与机制"替代：抵押率、利率、清算阈值等
• 结论：去人工信用并不等于无风险，而是换成"机制风险"

DeFi 借贷 vs 传统借贷

关键洞察：DeFi 用机制设计替代制度信任，风险形态不同但并未消失。

借贷协议的三种基本模式

// 借贷合约核心逻辑示意
contract LendingPool {
    function deposit(address token, uint amount) public {
        // 存入资产进入流动性池
        deposit[msg.sender][token] += amount;
        // 开始计息
    }
    function borrow(address token, uint amount) public {
        // 检查抵押是否充足
        require(checkCollateral(msg.sender) >= minRatio);
        // 从池中借出
    }
}

为什么链上借贷普遍采用超额抵押

• 缺少传统征信：难以评估借款人外部偿付能力
• 缺少法律追索：违约难以通过线下司法强制执行
• 缺少人工审核：协议无法做主观判断，只能依赖可验证的链上状态
• 抵押率（Collateralization Ratio）成为核心风控指标
• 结论：超额抵押提升稳健性，但资本效率未必最优

超额抵押中的关键指标

• LTV（Loan-to-Value）：借出金额 / 抵押品价值，决定最大借款能力
  • 例：ETH LTV = 75%，即存入 100 ETH 最多可借 75 ETH 等值资产
• 清算阈值（Liquidation Threshold）：触发清算的 LTV 上限
• 清算罚金（Liquidation Penalty）：被清算时额外扣除的抵押品比例
• 健康因子（Health Factor）：（抵押品价值 × 清算阈值）/ 债务价值
  • HF < 1 → 触发清算
• 这些参数构成协议的风控边界，由治理投票动态调整

资本效率与超额抵押的权衡

Maker 作为借贷与稳定币协议

• Maker 同时具备：借贷逻辑 + 稳定币发行逻辑 + 风控逻辑
• 用户抵押资产生成 DAI：本质上是在"借入流动性"
• 关键机制：超额抵押、持续监控、自动清算与坏账处置
• 与"单纯稳定币"区别：稳定来自一整套资产负债表与风控流程
• 教学要点：把 DAI 理解为"抵押驱动的负债"更贴近金融本质

CDP（抵押债仓）运作详解

• CDP (Collateralized Debt Position)：用户存放抵押资产的智能合约金库
• 抵押要求：150%（即每 100 DAI 债务需对应至少 150 USD 等值抵押品）

CDP 交互四步流程：

1. 创建并注资：用户创建 CDP，存入抵押品（如 ETH）
2. 生成 DAI：从 CDP 检索所需 DAI 数量，产生等额债务
3. 偿还债务与稳定费：归还 DAI + 累积的稳定费（以 MKR 支付）
4. 取回抵押品关闭 CDP：债务清零后提取全部抵押品

核心特点：活跃 CDP 始终超额抵押，抵押品价值 > 债务价值。

稳定费与 MKR 治理机制

抵押、借出、还款、清算的完整链条

• 抵押资产进入金库（Vault/CDP）：形成抵押品头寸
• 按规则生成可借出资产：形成债务（debt）
• 持续监控抵押率：价格波动驱动风险变化
• 抵押率不足触发清算：处置抵押物以覆盖债务
• 回收债务后返还剩余资产：机制目标是维护系统偿付能力
• 结论：理解全链路才能理解"参数设计为何关键"

CDP 金库生命周期：从创建到关闭

清算触发机制详解

清算池与坏账处理机制

• 清算的核心目标：覆盖债务缺口，保护系统偿付能力
• 设计难点：清算速度、折价（discount）、拍卖/撮合效率
• 极端行情风险：价格快速下跌 + 流动性不足 → 清算失败或低价处置
• 结果可能是坏账（bad debt）与连锁清算（liquidation cascade）
• 结论：清算机制是"系统稳定器"，但在压力情景下也可能放大冲击

Maker 清算拍卖机制详解

连锁清算与极端行情分析

抵押品价格下跌
      ↓
抵押率下降 → 头寸接近清算阈值
      ↓
清算触发 → 抵押品被抛售
      ↓
卖压增加 → 抵押品价格进一步下跌
      ↓
更多头寸进入清算范围 → 连锁清算

Aave：池化借贷与利率机制

• 模式：流动性池（pool-based lending），而非单一稳定币逻辑
• 存款人把资产存入池子赚利息；借款人从池子借出
• 利率随资金利用率（utilization）动态调整
• 机制含义：利率既是价格，也是风险与流动性调节器
• 对比 Maker：Maker更像"抵押—生成稳定币"；Aave更像"多资产的池化借贷市场"

Aave 利率模型详解

核心公式 — 利用率驱动利率：

• 资金利用率 $U$ = 已借用资金 / 总存款
• 当 $U$ 较低时：利率较低 → 鼓励借款，提高资金效率
• 当 $U$ 较高时：利率快速上升 → 鼓励存款、抑制借款、避免流动性枯竭

最优利用率（Optimal Utilization）：

• 一般在 70-80% 之间
• $U < U_{optimal}$：利率缓慢上升（斜率 1）
• $U > U_{optimal}$：利率急剧上升（斜率 2，通常为斜率 1 的 10 倍以上）

利率
  ↑
  |           /
  |          /  <-- 斜率急剧变化
  |         /
  |   -----    <-- 最优利用率
  |  /
  | /
  +------→ 利用率 (U)
         U_opt

设计目标：通过价格信号自动调节市场供需，避免资金池被借空。

Aave V3 核心创新

• 跨链门户（Portals）：

  • 安全资产迁移机制，允许资产在不同链的 Aave 实例间流动
  • 降低跨链攻击风险，实现资金高效流动

• 高效模式（Efficiency Mode / eMode）：

  • 同类资产（如稳定币间）的借贷率可达 97% LTV
  • 大幅优化资本效率，同时保持风险可控

• 隔离模式（Isolation Mode）：

  • 新资产作为"隔离资产"上架，限制其可借资产范围
  • 允许安全整合新资产，同时限制潜在风险传染

• 风险管理升级：精细化风险参数、供应上限、清算优化

数据表现：

• 总存款：150亿美元 | 总借款：80亿美元
• 支持网络：增加至11个 | 稳定币 eMode LTV：97%

预言机的作用与风险

• 链上协议无法直接获取链外价格（如交易所现货、宏观事件）
• 预言机为：借贷定价、抵押率计算、清算触发提供关键输入
• 一旦价格喂价失真：清算与风控会被错误触发或被阻断
• 单点脆弱性：预言机既可能被操纵，也可能因延迟/故障而失效
• 结论：预言机是 DeFi 的关键基础设施与系统性风险源

预言机攻击类型与案例

预言机安全设计原则

闪电贷与预言机操纵

• 闪电贷（Flash Loan）：单笔交易内"借入—使用—归还"，无需抵押
• 正面作用：提高套利与市场效率，促进价格纠偏
• 风险：攻击者可瞬时调动大量资金，放大操纵与攻击能力
• 典型路径：操纵可被影响的池内价格 → 协议引用该价格 → 错误清算/错误借贷
• 结论：价格源选择与抗操纵设计是借贷协议安全边界的一部分

闪电贷攻击的完整流程

1. 闪电贷：从协议瞬时借入大额资金（如 10 万 ETH）
      ↓
2. 价格操纵：用借入资金在 DEX 池中交易，扭曲 AMM 价格
      ↓
3. 协议误读：目标协议读取被操纵的池价格作为喂价
      ↓
4. 攻击获利：
   a) 错误清算：以有利价格获取抵押品
   b) 超额借贷：以虚高抵押品价值借出大于应得金额
      ↓
5. 归还闪电贷：在同一个交易中偿还本金 + 手续费
      ↓
6. 净收益：攻击获利 = 获取资产 - 闪电贷成本 - 交易费用

典型闪电贷攻击案例

bZx 攻击（2020.2） — 首次重大闪电贷攻击

• 手法：闪电贷借入 ETH → 在 dYdX 和 Compound 间操纵价格 → 利用 bZx 的借贷限制
• 损失：约 35 万美元
• 教训：协议使用未经防操纵处理的 DEX 价格

Harvest Finance（2020.10） — Curv 池操纵

• 手法：闪电贷操纵 USDT/USDC Curve 池价格 → 利用收益聚合器的再平衡逻辑套利
• 损失：约 2400 万美元
• 教训：收益聚合策略对价格操纵敏感

PancakeBunny（2021.5） — AMM 价格操纵

• 手法：闪电贷借入大量 BNB → 操纵 PancakeSwap 池价 → 利用 Bunny 的铸币机制套利
• 损失：约 4.5 亿美元（代币价格暴跌后市值损失）
• 教训：铸币/销毁依赖外部池价格时需多重验证

共同模式：攻击针对的是价格源设计缺陷，而非闪电贷本身。

DeFi 2.0 对资本效率的再讨论

• 机制设计长期在"安全（稳健）—效率（资本利用率）"之间权衡
• 更高效率通常意味着更低缓冲空间：对极端波动更敏感
• "效率提升"不等于"系统更稳健"：可能改变尾部风险分布
• 教学要点：讨论效率时必须同时讨论压力情景下的清算与流动性
• 课堂锚点：把资本效率视作风险偏好的体现，而非单向优化目标

协议拥有流动性（POL）模型

DeFi 1.0 的流动性困境：

• 流动性租赁：协议支付高额奖励吸引 LP 提供流动性
• 流动性随时可能撤走（"吸血鬼攻击"风险）
• 大量协议收入用于流动性激励，不可持续

Olympus DAO 的 POL 解决方案：

• 协议通过债券机制购买并获得流动性所有权
• 用户以 LP Token 折价购买 OHM，协议获得 LP Token
• 协议自身成为流动性提供者，不再依赖外部租赁
• 关键创新：从"租用"流动性到"拥有"流动性

影响：

• 永久流动性：协议控制的 LP 不会突然撤走
• 收入再分配：交易手续费归协议（进而归国库）
• 风险提示：POL 模型本身也有市值依赖和复杂度风险

资本效率创新的风险边界

自偿还贷款（Alchemix）：

• 存入资产生成"生息头寸"，借出资金后利息自动偿还贷款
• 用户"一次存入，被动还贷"：理论上只需存款一次即可循环使用资金
• 风险：收益率假设长期不变，收益率下降则还贷周期拉长

Uniswap V3 集中流动性：

• LP 可指定价格区间，资本效率提升 4000%
• 风险：价格脱离区间则收益大幅下降，需主动管理

Aave eMode 高效模式：

• 同类资产（稳定币间）LTV 达 97%
• 风险：稳定币信用差异（如 USDC 与 DAI 并非完全等价）

核心问题：

• 高资本效率 = 低缓冲空间
• 尾部风险分布发生改变：正常市场运行良好，但极端行情更脆弱
• 设计者需要在效率改进与系统韧性之间做审慎权衡

DeFi 风险图谱

• 技术风险：漏洞、权限配置错误、可升级/代理合约风险
• 市场风险：价格波动、清算踩踏、流动性枯竭与滑点
• 治理风险：参数错误、投票失灵、治理攻击与激励扭曲
• 组合风险：跨协议耦合、抵押品共用、清算与价格源共用
• 关键点：风险往往"相互触发、相互放大"，不是孤立事件

各风险类别深度分析

技术风险

• 智能合约漏洞：重入攻击、整数溢出、权限控制缺失
• 可升级合约：代理合约模式下逻辑合约可被替换，存在治理滥用可能
• 典型：Wormhole 跨链桥（2022），验证签名绕过，损失 3.2 亿美元

市场风险

• 价格波动：加密货币日波动率 5-20% 远超传统资产
• 清算踩踏：多个头寸同时清算引起抵押品价格螺旋下跌
• 流动性枯竭：极端行情下 AMM 滑点急剧扩大，清算无法有效执行

治理风险

• 参数设置不当：LTV 过高或清算阈值不合理
• 治理攻击：获取足够投票权后通过恶意提案
• 激励扭曲：短期激励与长期健康不兼容

合规风险

• 稳定币监管、抵押品属性、KYC/AML 要求的不确定性

组合风险与风险耦合

组合风险是 DeFi 最独特的风险形态：

• 抵押品共用：

  • ETH 同时作为 Aave、Compound、Maker 的抵押品
  • ETH 价格下跌 → 三个协议同时触发清算 → 连锁反应

• 价格源共用：

  • 多个协议使用同一个 Chainlink 喂价
  • 若该喂价源出现问题 → 多个协议同时受影响

• 清算传导：

  • 协议 A 的清算卖压压低价格 → 协议 B 的头寸也进入清算
  • 市场和协议之间的反馈耦合

• 协议依赖链：

  • Lido（stETH）→ 作为抵押品在 Aave/Maker 中使用
  • stETH 流动性问题 → 影响上层借贷协议的健康

可视化比喻：DeFi 协议之间通过抵押品、价格源、清算路径形成了金融网络，节点之间的连接是风险传导的管道。

从单协议风险到系统性风险传导

• 抵押品价格下跌：触发抵押率下降与清算
• 清算带来卖压：进一步压低价格，形成反馈回路
• DEX 深度不足/市场流动性下降：滑点扩大，清算效率下降
• 预言机受价格冲击与噪声影响：误触发/迟触发加剧不确定性
• 多协议共用抵押品与价格源：冲击沿连接关系扩散为系统性事件

风险传导中的反馈回路

正反馈回路 1 — 清算—价格螺旋：

价格下跌 → 抵押率下降 → 清算触发 → 抵押品被出售 → 卖压增大 → 价格进一步下跌 ...

这一回路是 DeFi 系统性风险的核心机制。

正反馈回路 2 — 流动性—信心螺旋：

价格急跌 → 流动性提供者撤回流动性 → DEX 深度不足 → 滑点爆增 → 清算效率下降 → 用户信心动摇 → 更多资金撤出 ...

预言机延迟的回馈效应：

• 市场已暴跌，预言机尚未更新价格
• 延迟期间价格持续下跌 → 更新后大量头寸一次性达到清算触发线
• 造成集中清算，压力瞬间释放，加剧市场冲击

打破反馈回路的机制设计：

• 清算缓冲区、断路器、渐进式价格更新、备用预言机

系统性事件回顾与教训

312 黑天鹅（2020.3.12）

• 触发：COVID-19 恐慌导致 ETH 日跌超 50%
• 连锁反应：网络拥堵 → Maker 预言机延迟 → 部分头寸 0 元清算 → 约 400 万美元坏账
• Maker 通过 MKR 增发拍卖吸收损失
• 教训：预言机延迟在极端拥堵下成为系统性漏洞；需要备用清算机制

LUNA/UST 崩溃（2022.5）

• 触发：UST 脱锚 → LUNA 无限增发 → LUNA 价格归零
• 连锁反应：bLUNA 抵押品价值归零 → 借贷协议大规模坏账
• 影响：影响多个借贷协议和 CeFi 机构（Celsius、三箭资本）
• 教训：算法稳定币的"自主修复"机制在极端场景下完全失效

共同模式：杠杆累积 → 触发事件 → 流动性收缩 → 去杠杆螺旋 → 跨协议传染

案例讨论：参数设计与风险预警

• 关键参数：LTV（Loan-to-Value）、清算阈值、清算罚金、利率曲线
• 关键输入：价格源（oracle）与更新频率、异常值处理机制
• 压力测试思路：价格跳跌、流动性枯竭、预言机延迟三类情景
• 风险监控重点：参数 + 市场波动 + 链上行为（清算量、利用率、抵押集中度）
• 课堂任务：用"参数—情景—结果"框架评估协议稳健性，而非只看 TVL/收益率

压力测试：三类核心情景

情景 1：价格跳跌

• ETH 价格 1 小时内下跌 30%
• 问题：哪些头寸进入清算？清算总量多少？系统是否有足够清算人？
• 评估指标：低于清算阈值的头寸数量与总债务价值

情景 2：流动性枯竭

• DAI/USDC 池流动性下降 80%
• 问题：清算能否有效执行？滑点对回收率的影响？是否产生坏账？
• 评估指标：预期回收率 vs 债务总额

情景 3：预言机延迟

• 主要预言机价格更新滞后 1 小时
• 问题：延迟期间市场变动多大？价格更新后有多少头寸集中触发清算？
• 评估指标：集中清算压力 vs 网络处理能力

课堂练习：给定一个协议的参数配置，模拟三种情景下系统是否能稳健运行。

链上风险监控指标体系

实时监控指标：

分析工具：

• DefiLlama：TVL、协议数据、市场全景
• Dune Analytics：自定义链上分析仪表盘
• Gauntlet / Chaos Labs：协议风险模拟与参数建议

核心转变：从事后响应（损失发生后处理）转向事前预警（指标异常时提前干预）。

新型借贷协议：Morpho、Spark 与模块化借贷

Morpho Blue（2024 年 1 月上线）：

• 无需许可的市场创建：任何人可为任意资产对创建借贷市场
• 将风控参数（LTV、预言机、利率曲线）的选择权交给市场创建者而非协议治理
• 更大的市场灵活性，但也将风险评估责任转移给用户
• 类比：从"Aave 的银行模式"到"Morpho 的市场模式"——更接近点对点匹配

Spark（MakerDAO 生态，2023 年上线）：

• MakerDAO 旗下的借贷协议，与 Maker 的 DAI 生态深度整合
• 直接使用 Maker 的抵押品和利率参数
• 将 DAI 的"稳定币发行"和"借贷市场"统一在同一生态内
• 代表趋势：稳定币协议向借贷市场扩张，形成生态闭环

模块化借贷的趋势：

• 传统 DeFi 借贷（Aave/Compound）：一体化——协议决定所有参数
• 模块化借贷（Morpho Blue）：分层——基础层提供匹配引擎，上层提供风险管理
• 这与区块链从单链走向模块化的逻辑一致：核心功能极简化 + 周边功能市场化

值得关注的问题：

• 如果风控参数选择权交给市场，普通用户是否有能力评估？
• 模块化是否会进一步集中在少数高效的风控"策划者"手中？

本讲总结：DeFi 借贷的核心逻辑链

超额抵押 → 参数设计（LTV/清算阈值）
     ↓
CDP/金库 → 价格源（预言机）
     ↓
持续监控 → 清算触发（健康因子）
     ↓
拍卖/池回收 ===== 坏账处置（MKR 兜底）
     ↓
风险传导 → 系统性事件 → 从参数与监控中学习