深度拆解 Spark 生态多层安全防护与风控体系。

撰文：Sam MacPherson，Spark 主要贡献者 Phoenix Labs 的联合创始人

编译：Luffy，Foresight News

Spark 一直在快速发展，不断地添加新的安全功能。我们认为现在是时候发布一份关于 Spark 风险管理功能的全面概述了。

Spark Savings

Spark Savings 是一套非托管储蓄金库，允许用户存入 USDT、USDC、USDS 等稳定币以赚取链上收益。

Spark Saving 所有美元存款均由 USDS 提供 1:1 担保。Spark Savings 与 USDS 享有同等优先权，每一笔存款均由 Sky 的全部财务储备提供保障。

多层亏损缓冲机制

USDS 及 Spark Savings 产品搭建了六级风险防护体系，逐级抵御资产亏损风险：

第一层，内部次级风险资本（基础层级）。次级风险资本是资金配置体系中，首个用于承接投资亏损的缓冲资金。各基础业务单元需根据风险加权持仓比例，在国库中储备次级资本，作为抵御亏损的第一道防线。目前 Spark 资本储备充足，稳定币权益资本规模超 3500 万美元。

第二层，外部次级风险资本。各业务单元可跨主体拆借额外次级风险资本，与自有内部次级资本享有同等偿付顺位，共同覆盖配置资产及风险敞口产生的亏损。

第三层，外部高级风险资本（srUSDS，即将上线）。用户可通过 srUSDS 智能合约向 Sky 核心协议注入 USDS，作为高级风险资本。该资金仅在全部次级资本耗尽后，才会承接后续亏损。

第四层，盈余储备池（内部高级风险资本）。Sky 协议盈余储备池，由协议长期累积的稳定费、清算罚金组成，用于核销次级资本耗尽后产生的坏账。

第五层，全域盈余储备池。若单一储备池资金耗尽，协议将调用 Sky 全域盈余储备，划拨生态内其他业务单元的原生次级储备资金，应对极端亏损事件。

第六层，代币兜底机制。当以上所有风险资本全部耗尽时，Sky 将铸造 SKY 代币补充协议资本金，弥补剩余坏账。

当全部次级风险资本、代币兜底机制均耗尽时，所有 USDS 持有者（含全额 USDS 背书的 Spark Savings 金库）将按比例共同分摊剩余亏损。

Sky 生态的多层资本兜底架构，极大降低了 Spark Savings 用户的亏损概率。综合所有防护资金规模，Spark Savings 产品拥有数亿美元级别的风险抵御储备。

流动性保障

Spark Savings 金库具备行业顶尖的即时流动性，可满足机构级资金存取需求。Spark Savings USDT 金库常备 4 亿枚 USDT 即时赎回缓冲资金；USDC 金库依托 Sky 稳定币兑换模块，可承载数十亿美元级赎回需求。

储蓄金库合约预留千万美元级小额流动性储备，支持链上即时兑付。针对大额提现，平台采用异步流动性意向机制：用户可无门槛提交任意金额赎回申请，依托 Spark 流动性中台快速清算，多数大额提现可在 1 分钟内完成。

透明度与第三方评级

Spark Savings 产品全面披露底层资产与配置策略，实时数据可通过官方渠道查询：Spark 数据面板、Sky 生态数据面板、Spark 官方客户端。

同时，Spark 已获得加密领域独立头部风险评级机构 Credora 的专项评级，报告入口同步上架客户端，完整内容可在 Credora 官网查阅。

突发事件响应

如果储蓄金库遭遇潜在风险，Spark 可启动恢复模式、临时暂停提现，保障所有用户权益平等，杜绝挤兑风险。

未来升级规划

我们正在努力开发更多改进措施和功能，以进一步加强 Spark Savings 金库的安全性，其中包括：

Spark 与 Sky 正在落地「第一损失资本金库」（ first-loss capital vaults）机制，用户可通过投入资金为协议提供亏损兜底，换取更高收益。该机制将大幅扩充专项第一损失资本规模，强化对 Spark 储蓄存款用户的防护能力。

Spark 将上线无许可提币功能，确保储蓄存款用户可随时自主提取资产；即便在极端情况下 Spark 基础设施无法正常访问，用户资产提取权限不受影响。

此外，团队正积极对接传统金融头部机构，推进更多机构级风险评估与信用评级合作，持续佐证 Spark 储蓄金库符合最高安全标准与风控规范。

SparkLend

SparkLend 是 Spark 生态的去中心化货币市场。相较于同类协议，其长期采用保守化运营策略：严格限制抵押资产范围、采用多预言机定价机制、设置严格利率上限并叠加第一损失资本防护。rsETH 风险事件充分说明，各项风控支柱并非独立运行，而是层层联动。该设计确保单一环节（预言机、资产发行方、清算体系、市场流动性）出现故障时，不会引发连锁反应、滋生坏账。

现行风控架构

受限抵押资产范围

SparkLend 刻意精简抵押资产品类。ETH 高效借贷模式仅开放 wstETH 与 rETH；BTC 高效借贷模式将全面下架。该计划已在 Sky 社区公示，暂定 6 月 4 日执行参数调整，6 月 8 日对遗留持仓实施强制清算。目前相关业务板块风险敞口已处于低位，仅存在一位约 160 万美元规模的核心借款用户及少量小额持仓。本次功能下线将遵循公示的时间规划，而非仓促临时调整参数。

严控重复质押

存入 SparkLend 储备池的抵押资产将留存于池内，不会被调配至外部策略复用。

限额机制

SparkLend 所有跨模块资金流转均在智能合约层面设置额度限制，涵盖存款、提现、跨链桥接及稳定币兑换等全部操作。在此基础上，Spark 资金配置体系为各借贷市场单独设置债务上限与库存区间约束。单一存款用户或单次极端风险事件，无法在单个区块内抽空协议资金；额度限制同步锁定单一渠道单位时间内的最大风险资金规模。

三重预言机定价

资产定价聚合三个预言机数据源：RedStone、Chainlink、Chronicle。三组数据源均返回有效且未过期价格时，取中位数定价；两组数据有效时，取两者平均值；同时预留单数据源兜底方案。该机制可杜绝单一预言机被篡改或故障，进而错误干预 SparkLend 资产定价。

锚定资产熔断预言机

针对采用固定汇率 / 锚定定价的抵押资产（wstETH、rETH、weETH、cbBTC、WBTC、LBTC），锚定比率预言机持续比对资产二级市场价格与底层标的价值。一旦价格偏离突破单资产预设阈值，熔断机制将暂停 SparkLend 新增借贷，防止用户以失真的账面价格抵押受损资产、恶意套取优质负债。

程序化流动性注入

SparkLend 流动性缓冲并非静态储备。Spark 流动性层将根据目标借贷利率、资金利用率及跨平台库存余量，自动调配 USDS、USDC、USDT 资金进出借贷市场。当 SparkLend 资金利用率走高时，流动性层自动补充闲置资金，保障提币与清算流程顺畅执行；若外部市场可提供更优风险调整收益，闲置资本将有序轮换配置。这也是 Spark 作为自身借贷市场最大存款方的核心逻辑：流动性随需求动态调节，而非单纯依靠资金利用率管控。

未来升级方向

持续进行抵押品风险审查

团队正在对 SparkLend 全部抵押资产开展全面风险复盘，涵盖单项资产独立风险、发行主体风险、托管机制、预言机数据源、二级市场流动性及赎回链路。该工作后续将转为常态化复核机制，确保抵押资产风险随市场变化持续监测、动态调整。

预言机机制升级

团队正在研发梯度化预言机架构：常规场景默认采用固定锚定或基准汇率定价，仅当价格出现长期持续偏离时，自动切换至市场定价模式。升级目标为：保留现有防范闪崩、价格插针的防护能力，同时让协议可更快速、自动化应对长期性资产脱锚风险，保障清算有序推进，避免因价格滞后持续累积坏账。全新机制将与现有熔断系统形成互补，而非相互替代：预言机负责常态化市场异动自动响应，熔断机制保留作为极端故障的终极安全开关。

市场参数快速迭代

目前，SparkLend 大部分参数调整需走完完整治理投票流程，会造成数天的延迟。该模式适用于常规稳态调控，但难以应对黑天鹅事件。团队计划将限定范围的风控参数调整权限下放至风控管理员角色，抵押率下调、存款上限收紧、利率模型调整等操作可在数小时内完成，协议最终决策权仍归属 Spark 与 Sky 治理体系。

Spark 隔离市场

聚合借贷市场可提供更优质的用户体验，但存在天然局限性。针对风险属性特殊的抵押资产，Spark 依托 Morpho 搭建隔离借贷市场。

隔离借贷模式可实现精细化风险定价，清退风险收益不匹配的抵押资产品类。除此之外，所有非以太坊上的链上借贷业务，均统一采用隔离市场架构。该模式可无缝对接交易所与金融服务商生态，无需独立部署和维护底层基础设施。

未来升级计划

Spark 后续将优先布局搭载多预言机、具备单点故障抵御能力的成熟借贷市场；客户端将新增功能入口，支持用户通过 Spark 应用直接参与其他公链借贷业务。

Spark 流动性层（SLL）

Spark 流动性层作为非托管资金调度枢纽，为 Spark 统筹调配 DeFi、CeFi 及传统金融场景下的资本配置，自 2024 年 11 日上线以来一直稳定运行。

SLL 的核心设计目标是确保所有市场环境下（包含极端行情），资金流转全程可控、可预测、有边界约束。

SLL 的核心安全特性在于，所有可合作平台需提前通过 Spark 治理审批列入白名单，且全部资金操作严格限制额度。自动化钱包仅可在预设白名单范围内、遵照既定额度规则划转资金。

该约束机制可避免资金在压力行情下无序快速抽离、防止单一平台资金枯竭，从根源杜绝跨市场连锁风险传导，直击近期行业事件中暴露的核心缺陷。

SLL 的威胁是，自动化钱包可能完全被攻破，而不会对协议造成任何实质性风险。在此极端假设下，资金仍被限制于预设合作渠道与流转额度内，杜绝单一模块引发系统性无限风险敞口。

未来升级计划

这种方法不仅限于设计，还延伸到积极的风险管理和资源配置决策中：

Spark 已经下线多个高风险市场业务，持续主动收缩资产范围，顺应行业收益格局整合趋势。

Spark 将从 SLL 将彻底移除 Aave 全系市场白名单权限。继 rsETH 事件后，相关资金已全部撤出，本次将永久关闭二次存款通道。

团队将引入人工智能自动化风控工具，实时监测全 DeFi 生态风险异动，自动执行标准化防御操作。

跨链桥

目前 Sky、Spark 生态系统中有 2 个跨链桥正在运行。

SkyLink：Sky 官方治理与资产跨链桥

SkyLink 负责连接 Sky 的治理机制以及跨链 USDS。治理模块采用 4/7 多节点验证架构，具备高分散性与冗余防护；资产跨链模块采用 2/2 双节点验证。SkyLink 已部署至 Solana 与 Avalanche 公链。基础架构成熟稳固，团队正持续加码防御措施，应对日益复杂的定向攻击行为。

团队将联合 LayerZero 技术方，增加资产跨链验证节点规模，打破现有 2/2 验证架构。

Spark 治理跨链桥（Avalanche）

Spark 基于 LayerZero 自研治理跨链桥，以支持 Avalanche 上的 Spark Savings USDC 业务。当前采用 2/2 验证模式，计划于未来数周内完成架构升级，对标 SkyLink 4/7 多签验证标准。该跨链桥无配套代币跨链功能，涉险资金规模极低，约 200 万美元。