从 Hyperliquid 事件 拆解 Perp DEX 的底层博弈

为什么 Perp DEX 的竞争，本质是"风险模型"的竞争？

永续合约，是链上金融生态中价值最高、交易最频繁，同时也是系统性风险最突出的产品。

Perp DEX 的风险模型：协议的生命线

风险模型是协议的动态风控中枢，决定了其在极端行情下能否存活。它类似于传统金融的风险引擎，但复杂度更高，因为链上系统无法进行临时人工干预。

一个成熟的 Perp DEX 风险模型，是由多个核心组件构成的系统，其架构与联动关系如下图所示：

图 1：（该图展示了风险模型如何从价格输入开始，经由核心风控层处理，最终通过风险缓冲层，输出系统的整体稳定与资本效率。它揭示了价格模型、保证金规则、清算机制、保险基金等模块之间的内在联系。）

这些模块共同构成了协议的“风险骨架”。任何一环的薄弱，都可能导致在大行情中出现结构性故障：

• LP 或做市商遭遇不可控亏损（AMM 模式常见）
• 协议整体资不抵债，保险基金被迅速耗尽
• 清算延迟，引发连锁式爆仓与社会化亏损
• Oracle 被操纵，引发套利者攻击
• 多资产、多杠杆下的组合风险失控，导致全局性穿仓

换而言之，风险模型决定了协议能承载多少资本、能服务什么类型的交易者、能否在极端行情中“活下来”。因此，风险模型最终决定了交易体验、深度、资本效率、协议收入、代币价值捕获等所有指标的上限。

这便是近两年 Perp DEX 的竞争转向底层风控架构，而不再仅仅是交易挖矿或手续费战的原因。

主流 Perp 架构及风险模型的核心模块拆解

Perp DEX 的架构演进，本质上是一条“风险如何被重新分配”的路径。

• 第一阶段（链下订单簿）：风险集中于中心化撮合节点的稳健性。以 dYdX 为代表，在这种设计下，交易效率得到保障，但风险高度集中在链下撮合的可用性与安全性。
• 第二阶段（AMM）：风险转移至流动性池的方向性敞口。例如 GMX，AMM 的模式下 LP 承担了极强的方向性风险，使永久性损失、极端行情偏移以及 MEV 成为该架构绕不开的问题。
• 第三阶段（链上订单簿-CLOB）：风险转变为对底层公链性能与确定性的依赖。代表项目如 Hyperliquid，目前 70–80% 的永续交易量已经集中在订单簿模型中。这种高性能链上环境也意味着系统对 TPS、内存池稳定性和合约执行安全性有着前所未有的依赖。
• 前沿探索（混合模式-Hybrid）：风险在于订单簿与流动性池之间动态切换的逻辑与反馈回路。以 Solana 上的 Drift 为例，它将 AMM 作为深度后备机制，并在订单薄缺乏流动性时自动补全报价，从而在执行质量与资金效率之间寻找新的平衡。

不同架构的差异，最终都体现在以下四个核心风控模块的设计中：

2.1. 价格模型：系统的基准

价格模型决定了交易的公平性、清算触发与资金费率，是永续合约系统的底层基准。它面临预言机延迟、操纵和 MEV 等挑战。成熟的系统采用多源聚合、TWAP 与最大偏离限制来增强抗攻击性。AMM 架构还需内部定价机制来模拟流动性深度，这是其风险暴露的核心变量。

2.2. 清算模型：关键的风险缓冲层

清算机制决定了系统承受价格波动的能力，是永续协议最关键的风险缓冲层。其安全边界由初始保证金、维持保证金和清算缓冲区构成。执行逻辑（部分清算、全额清算、拍卖）直接影响用户体验和系统效率。清算本身也面临链上拥堵、竞价操纵等攻击面。

2.3. 保险基金：最后的防线

保险基金用于吸收穿仓损失，其规模和使用规则直接反映协议的风险承受能力，是系统在极端行情下的“最后防线”。设计需要在安全性与资本效率间平衡：规模过大影响收益，过小则易触发自动减仓，损害协议声誉。

2.4. 仓位管理：系统的全局风险控制器

仓位管理确保系统不会因单边仓位过度集中而失控。通过仓位上限、动态保证金和资金费率等机制，调节市场多空力量。对于多资产和长尾资产，还需管理相关性风险和操纵风险，挑战更大。

主流案例的风险模型权衡（Trade-off）分析

当前主流平台正朝着 CLOB 或 CLOB-Centric 的混合方案转型，以追求更好的撮合精度与资本效率。以下表格系统对比了四个代表性项目的风险模型特点与核心权衡：

图表 2 (该表从核心架构、价格模型、清算机制、保险基金、主要风险与核心权衡六个维度，对 Hyperliquid、Aster、edgeX 和 Lighter 进行了并置对比，展示了不同技术路线下的风险偏好与取舍。)

案例分析要点：

• Hyperliquid：实现了接近 CEX 的效率和深度，但其撮合逻辑结合了链上结算和订单簿验证，增加了系统复杂性和对风控机制的依赖，必须配备庞大的 HLP 资金池和复杂的风控机制，将极高的风控压力转移给了流动性提供者和协议本身。
• Aster：清算机制以“逐层削减风险”为原则，通过“风险池化”策略提升了资本效率和低波动期的稳健性，但代价是风险传导路径更复杂，对参数设置极其敏感。
• edgeX：以 ZK-Rollup 技术确保了极高的透明度和可验证性，弱化了对外部保险基金的依赖，但其代价是性能受限于 L2 的数据可用性与状态提交延迟。系统需依靠冗余机制、可验证回放与强监控来降低这些风险对整体稳定性的影响。
• Lighter：在“可验证的链下订单簿”架构下，优先考虑了可审计性与链上可信度，但其代价是性能上无法达到纯链下撮合的上限，因此更适合偏好透明性、可验证性以及更低系统性风险的用户。

结论：安全边界与未来趋势

至 2025 年，Perp DEX 的安全边界已从“智能合约安全”过渡到“系统级安全”。链上撮合、预言机价格源、清算逻辑、风险参数、LP 资金池敞口控制、做市机制的健壮性，以及跨链消息的完整性，共同构成了一个相互依赖的安全框架。

未来三大趋势：

1. 风控半自动化：链上机制不足以应对复杂攻击，未来将结合链下实时监控与动态参数调整，形成“半自动化治理”体系。

2. 合规化融合：“无需托管但受监管”的混合形态将成为吸引机构级流动性的关键。可验证 KYC、合规流动性池将成为新的基础设施。

3. 技术驱动安全边界扩张：零知识证明、高性能 L2、模块化设计等技术，将使复杂的实时风险模型在链上运行成为可能，将风控能力提升至金融基础设施级别。

未来的胜者，不再是手续费或深度的竞争，而是技术安全、金融工程与合规框架融合能力的竞争。