defi被盗的硬约束 vs 可控杠杆 硬约束 代码一旦上链，攻击窗口是 24/7 开放的。 链上资产可组合、可闪电贷、可原子执行，攻击速度远高于人工响应速度。 高 TVL 会天然吸引更强攻击者。 用户通常无法完整理解授权、签名和合约风险。 外部依赖无法完全消除，只能限制和隔离。 可控杠杆 权限最小化：降低管理员、升级、提款、参数修改权限。 Timelock + 多签 + 权限分层：让控制权被滥用时有反应时间。 形式化验证、审计、模糊测试、单元测试、集成测试。 预言机防操纵：TWAP、多源报价、流动性阈值、异常价格保护。 授权治理：限制无限授权，定期 revoke，前端提示授权范围。 监控与熔断：异常提款、价格偏离、TVL 快速变化、治理异常投票。 运维安全：硬件钱包、多签隔离、域名保护、CI/CD 权限控制。