2.85 亿美元 DeFi 传染危机解剖:Stream Finance xUSD 崩盘
2025 年 11 月 4 日,Stream Finance 披露因外部基金经理操作不当,造成了 9300 万美元的损失,引发了当年最严重的稳定币失败事件之一。在 24 小时内,其生息代币 xUSD 从 1.00 美元暴跌 77% 至 0.26 美元,冻结了 1.6 亿美元的用户存款,并暴露了 DeFi 生态系统中超过 2.85 亿美元的相互关联债务。这并非智能合约被攻击或预言机被操纵,而是一次操作性失误,揭示了新兴的“循环收益”经济和混合 CeDeFi 模型中的根本性缺陷。
此次崩盘事件之所以重要,是因为它揭示了一个危险的幻象:协议承诺 DeFi 的透明性和可组合性,却依赖不透明的链下基金经理。当外部经理失败时,Stream 没有链上应急工具来追回资金,没有熔断机制来限制传染,也没有赎回机制来稳定挂钩。结果是一场反射性银行挤兑,蔓延至 Elixir 的 deUSD 稳定币(其价值损失了 98%)以及 Euler、Morpho 和 Silo 等主要借贷协议。
理解这一事件对于任何在 DeFi 领域进行建设或投资的人都至关重要。Stream Finance 几个月来一直通过递归循环进行 4 倍以上的杠杆操作,将 1.6 亿美元的用户存款变成了声称的 5.2 亿美元资产——这是一个在审查下崩溃的会计海市蜃楼。该事件发生在 Balancer 1.28 亿美元漏洞利用事件之后仅一天,形成了一场完美的恐惧风暴,加速了脱钩。现在,三周后,xUSD 仍以 0.07-0.14 美元的价格交易,没有恢复路径,�数亿美元仍处于法律悬而未决的状态。
背景:Stream Finance 的高杠杆收益机器
Stream Finance 于 2024 年初推出,是一个跨以太坊、Arbitrum、Avalanche 和其他网络的多链收益聚合器。其核心主张看似简单:存入 USDC 并获得 xUSD,这是一种生息的封装代币,将通过“机构级”DeFi 策略产生被动收益。
该协议将用户资金部署到 50 多个流动性池中,采用递归循环策略,承诺稳定币收益率高达 12%——大约是 Aave (4.8%) 或 Compound (3%) 等平台用户收益的三倍。Stream 的活动涵盖借贷套利、做市、提供流动性和激励耕作。到 2025 年 10 月下旬,该协议报告的总管理资产约为 5.2 亿美元,但实际用户存款总额仅为 1.6 亿美元左右。
这种差异并非会计错误,而是其特点。Stream 采用了一种杠杆放大技术,其工作原理如下:用户存入 100 万美元 USDC → 收到 xUSD → Stream 将 100 万美元作为抵押品存入平台 A → 借入 80 万美元 → 将其作为抵押品存入平台 B → 借入 64 万美元 → 重复。通过这种递归过程,Stream 将 100 万美元变成了大约 300-400 万美元的部署资本,使其有效杠杆翻了两番。
xUSD 本身并非传统稳定币,而是对杠杆收益投资组合的代币化债权。与纯算法稳定币(Terra 的 UST)或完全储备的法币支持稳定币(USDC、USDT)不同,xUSD 采用混合模型:它有真实的抵押品支持,但这些抵押品被积极部署在高风险 DeFi 策略中,其中一部分由链下运营的外部基金经理管理�。
挂钩机制依赖于两个关键要素:充足的储备资产和可操作的赎回途径。当 Stream Finance 在基金经理损失后禁用赎回时,维持稳定币挂钩的套利机制——购买廉价代币,赎回 1 美元的储备——就停止了运作。由于只有浅薄的 DEX 流动性作为退出途径,恐慌性抛售淹没了可用的买家。
这种设计使 Stream 同时面临多个攻击面:来自 50 多个集成协议的智能合约风险、来自杠杆头寸的市场风险、来自分层平仓要求的流动性风险,以及最关键的,来自外部基金经理的交易对手风险,这些基金经理的操作超出了协议的控制范围。
11 月 3-4 日:崩盘时间线
10 月 28 日至 11 月 2 日:在官方公告发布前几天,预警信号就已出现。链上分析师 CBB0FE 于 10 月 28 日标记了可疑指标,指出 xUSD 仅有 1.7 亿美元的储备资产支持 5.3 亿美元的借贷——杠杆率高达 4.1 倍。Yearn Finance 贡献者 Schlag 发布了详细分析,揭露了 Stream 和 Elixir 之间的“循环铸造”,警告称这是“加密领域一段时间以来未见的庞氏骗局”。该协议平坦的 15% 收益率表明是手动设定的回报,而非有机市场表现,这是对资深观察者的另一个危险信号。
11 月 3 日(上午):Balancer 协议因其 manageUserBalance 函数中存在错误的访问控制,在多链上遭受了1 亿至 1.28 亿美元的漏洞利用。这引发了更广泛的 DeFi 恐慌,并触发了整个生态系统的防御性部署,为 Stream 的公告产生了最大影响奠定了基础。
11 月 3 日(下午晚些时候):在 Stream 官方披露前大约 10 小时,用户开始报告提款延迟和存款问题。Chaos Labs 创始人 Omer Goldberg 观察到 xUSD 开始从 1.00 美元的挂钩价位下滑,并警告了他的关注者。二级 DEX 市场显示,随着知情参与者开始退出头寸,xUSD 开始低于目标范围交易。
11 月 4 日(UTC 凌晨):Stream Finance 在 X/Twitter 上发布了官方公告:“昨天,一名负责 Stream 资金的外部基金经理披露,Stream 基金资产损失了约 9300 万美元。”该协议立即暂停了所有存款和提款,聘请了 Perkins Coie LLP 律师事务所进行调查,并开始提取所有流动资产。在宣布重大损失的同时冻结运营的决定被证明是灾难性的——它移除了稳定挂钩所需的精确机制。
11 月 4 日(0-12 小时):xUSD 经历了首次大幅下跌。区块链安全公司 PeckShield 报告称,xUSD 最初脱钩 23-25%,价格从 1.00 美元迅速跌至约 0.50 美元。由于赎回暂停,用户只能通过二级 DEX 市场退出。大规模抛售压力和浅薄的流动性池相结合,造成了死亡螺旋——每一次抛售都将价格推得更低,引发更多恐慌和更多抛售。
11 月 4 日(12-24 小时):加速阶段。xUSD 跌破 0.50 美元,并继续下跌至 0.26-0.30 美元区间,价值损失 70-77%。随着持有者争相挽救剩余价值,交易量激增。CoinGecko 和 CoinMarketCap 都记录了约 0.26 美元的低点。DeFi 的相互关联性意味着损害并未止于 xUSD——它蔓延到所有接受 xUSD 作为抵押品或暴露于 Stream 头寸的协议。
系统性传染(11 月 4-6 日):Elixir Network 的 deUSD 是一种合成稳定币,其65% 的储备暴露于 Stream(通过私人 Morpho 金库借出了 6800 万美元),从 1.00 美元暴跌 98% 至 0.015 美元。主要借贷协议面临流动性危机,因为使用 xUSD 作为抵押品的借款人由于预言机硬编码而无法被清算(协议将 xUSD 的价格设定为 1.00 美元以防止连锁清算,从而制造了稳定假象,同时使贷方暴露于巨额坏账)。Compound Finance 暂停了某些以太坊借贷市场。Stream Finance 的总锁定价值 (TVL) 在 24 小时内从 2.04 亿美元暴跌至 9800 万美元。
当前状况(2025 年 11 月 8 日):xUSD 仍严重脱钩,目前交易价格为 0.07-0.14 美元(低于挂钩价 87-93%),几乎没有流动性。24 小时交易量已降至约 3 万美元,表明市场缺乏流动性,可能已死亡。存款和提款仍被冻结,没有恢复时间表。Perkins Coie 的调查仍在进行中,没有公开结果。最关键的是,尚未宣布任何恢复计划或赔偿机制,导致数亿美元资产被冻结,债权人优先级不明。
根本原因:递归杠杆与基金经理失败的结合
Stream Finance 崩盘从根本上说是一次由结构性漏洞放大的操作性失败,而非技术漏洞利用。了解其崩溃原因对于未来评估类似协议至关重要。
导火索:9300 万美元的外部经理损失——11 月 3 日,Stream 披露,一名负责 Stream 资金的匿名外部基金经理损失了约 9300 万美元。目前尚未发现智能合约被攻击或漏洞利用的证据。损失似乎源于资金管理不善、未经授权的交易、风险控制不力或不利的市场波动。关键的是,这位基金经理的身份尚未公开披露,导致损失的具体策略也仍然不透明。
这揭示了第一个关键性失败:链下交易对手风险。Stream 承诺 DeFi 的优势——透明性、可组合性、无信任中介——同时却依赖于链下运营的传统基金经理,这些经理拥有不同的风险框架和监管标准。当该经理失败时,Stream 没有可用的链上应急工具:没有带追回功能的多重签名,没有合约级别的恢复机制,也没有能在区块周期内执行的 DAO 治理。像 StakeWise 这样能够从 Balancer 漏洞利用中追回 1930 万美元的工具箱,对于 Stream 的链下损失根本不起作用。
递归循环创造了虚假抵押品——最危险的结构性因素是 Stream 通过递归循环实现的杠杆放大。这创造了分析师所称的“虚高的总锁定价值 (TVL) 指标”和“虚假抵押品”。该协议反复将相同的资本部署到多个平台以放大收益,但这意味著 100 万美元的用户存款可能在“管理资产”中显示为 300-400 万美元。
这种模式存在严重的流动性错配:平仓需要逐层偿还多个平台上的贷款,这是一个耗时的过程,在危机期间不可能迅速执行。当用户想要退出时,Stream 无法简单地返还他们按比例分配的资产——它需要首先平仓跨越数十个协议的复杂杠杆头寸。
DeFiLlama 作为一个主要的 TVL 追踪平台,对 Stream 的方法论提出异议,并将其计算中排除了递归循环,显示为 2 亿美元,而非 Stream 声称的 5.2 亿美元。这种透明度差距意味着用户和策展人无法准确评估协议的真实风险状况。
与 Elixir 的循环铸造制造了纸牌屋——也许最令人震惊的技术细节来自 Yearn Finance 首席开发者 Schlag 的分析:Stream 和 Elixir 进行了相互代币的递归交叉铸造。这个过程是这样的:Stream 的 xUSD 钱包收到 USDC → 兑换成 USDT → 铸造 Elixir 的 deUSD → 使用借来的资产铸造更多 xUSD → 重复。他们仅用 190 万美元的 USDC,通过循环套利创造了大约 1450 万美元的 xUSD。
Elixir 通过 Morpho 上私人、隐藏的借贷市场向 Stream 借出了 6800 万美元(占 deUSD 抵押品的 65%),Stream 是唯一的借款人,并使用其自身的 xUSD 作为抵押品。这意味着 deUSD 最终由 xUSD 支持,而 xUSD 又部分由借来的 deUSD 支持——这种递归依赖关系保证了两者将一同崩溃。链上分析估计实际抵押品支持“每 1 美元不到 0.10 美元”。
复杂性掩盖下的严重抵押不足——崩盘前几天,分析师 CBB0FE 计算出 Stream 实际储备资产约为 1.7 亿美元,支持 5.3 亿美元的总借贷——杠杆率超过 4 倍。这代表了超过 300% 的有效杠杆。该协议在未披露保险资金的情况下运作(用户后来指责团队在未披露的情况下保留了约 60% 的利润),但无论存在何种保险,都完全不足以弥补 9300 万美元的损失。
预言机硬编码阻止了正常清算——包括 Morpho、Euler 和 Elixir 在内的多个借贷协议将 xUSD 的预言机价格硬编码为 1.00 美元,以防止 DeFi 生态系统中的大规模清算和连锁故障。尽管初衷良好,但这造成了巨大的问题:当 xUSD 在二级市场以 0.30 美元交易时,借贷协议仍将其估值为 1.00 美元,从而阻止了风险控制的触发。贷方最终持有毫无价值的抵押品,没有任何自动清算来保护他们。这放大了整个生态系统中的坏账,但并未导致最初的脱钩——它只是在脱钩发生后阻止了适当的风险管理。
未发生的情况:澄清此事件并非什么很重要。xUSD 的核心代码中没有智能合约漏洞。没有导致初始脱钩的预言机操纵攻击。没有闪电贷漏洞利用或复杂的 DeFi 套利耗尽资��金。这是一次发生在链下的传统基金管理失败,暴露了 DeFi 透明性承诺与依赖不透明外部经理的现实之间的根本不兼容性。
财务影响和生态系统传染
Stream Finance 的崩盘表明,集中的杠杆和相互关联的协议如何将 9300 万美元的损失转化为 DeFi 生态系统中超过 2.5 亿美元的风险敞口。
直接损失:披露的 9300 万美元基金经理损失代表了主要的、已确认的资本损失。此外,1.6 亿美元的用户存款仍被冻结,恢复前景不明。xUSD 的市值从约 7000 万美元暴跌至约 2000 万美元(按当前 0.30 美元的价格计算),尽管实际已实现损失取决于持有者何时出售或他们是否仍被冻结在协议中。
借贷协议的债务敞口——DeFi 研究小组 Yields and More (YAM) 发布了全面分析,确定了多个借贷平台中2.85 亿美元的直接债务敞口。最大的债权人包括:TelosC,拥有 1.2364 亿美元以 Stream 资产为担保的贷款(单一最大策展人敞口);Elixir Network,通过私人 Morpho 金库借出 6800 万美元(占 deUSD 储备的 65%);MEV Capital,拥有 2542 万美元;Varlamore 和 Re7 Labs 各有数千万美元的额外敞口。
这些并非抽象的链上头寸——它们代表了真实的贷方,他们将 USDC、USDT 和其他资产存入协议,然后这些协议再借给 Stream。当 xUSD 崩盘时,这些贷方要么面临全部损失(如果借款人违约且抵押品一文不值),要么面临严重减值(如果发生任何追回)。
TVL 毁灭:Stream Finance 的总锁定价值 (TVL) 从 10 月下旬的 2.04 亿美元峰值暴跌至 11 月 5 日的 9800 万美元——单日损失超过 50%。但损害远不止 Stream 本身。随着恐慌蔓延,用户从收益协议中撤资,借贷市场收紧,DeFi 整体 TVL 在 24 小时内下降了约 4%。
通过相互关联的稳定币产生的连锁效应——Elixir 的 deUSD 经历了最剧烈的次生失败,当其对 Stream 的巨大敞口变得明显时,从 1.00 美元暴跌 98% 至 0.015 美元。Elixir 曾将自己定位为拥有“与 Stream 以 1 美元全额赎回的权利”,但当 Stream 无法处理支付时,这些权利被证明毫无意义。Elixir 最终在暂停运营前为 80% 的 deUSD 持有者处理了赎回,并对剩余余额进行了快照,宣布该稳定币退市。据报道,Stream 持有剩余 deUSD 供应量的 90%(约 7500 万美元),但无力偿还。
其他多种合成稳定币也面临压力:Stable Labs 的 USDX 因 xUSD 敞口而脱钩;各种衍生代币,如 sdeUSD 和 scUSD(deUSD 的质押版本)变得实际上毫无价值。Stream 自己的 xBTC 和 xETH 代币,也使用了类似的递归策略,也随之崩盘,尽管具体的定价数据有限。
借贷协议功能失调——Euler、Morpho、Silo 和 Gearbox 上接受 xUSD 作为抵押品的市场面临即时危机。一些市场利用率达到 100%,借款利率飙升至 88%,这意味着贷方实际上无法提取他们的资金——每一美元都被借出,而借款人没有偿还,因为他们的抵押品已经暴跌。Compound Finance 根据风险经理 Gauntlet 的建议,暂停了 USDC、USDS 和 USDT 市场以遏制传染。
预言机硬编码意味着尽管头寸灾难性地抵押不足,但并未自动清算。这使得协议背负了巨额坏账,他们仍在努力解决。标准的 DeFi 清算机制——当价值低于阈值时自动出售抵押品——根本没有触发,因��为预言机价格和市场价格已经严重背离。
更广泛的 DeFi 信心损害——Stream 崩盘发生在一个特别敏感的时期。比特币刚刚在 10 月 10 日经历了其有史以来最大规模的清算事件(加密市场约 200 亿美元被抹去),但 Stream 却可疑地未受影响——这是一个危险信号,暗示存在隐藏杠杆或会计操纵。然后,在 Stream 披露前一天,Balancer 遭受了 1.28 亿美元的漏洞利用。这种结合创造了分析师所称的“DeFi 不确定性的完美风暴”。
加密恐惧与贪婪指数暴跌至 21/100(极度恐惧区域)。Twitter 投票显示,60% 的受访者表示即使 Stream 恢复运营,也不愿再信任它。更广泛地说,该事件加剧了对生息稳定币和承诺不可持续回报的协议的怀疑。此次崩盘立即引发了与 Terra UST(2022 年)的比较,并重新引发了关于算法或混合稳定币模型是否从根本上可行性的辩论。
应对、恢复和未来之路
Stream Finance 对危机的回应特点是:立即采取运营决策、持续进行法律调查,但明显缺乏具体的恢复计划或用户赔偿机制。
即时行动(11 月 4 日)——披露后数小时内,Stream 暂停了所有存款和提款,有效地冻结了 1.6 亿美元的用户资金。该协议聘请了 Perkins Coie LLP 律师事务所(一家主要的区块链和加密货币业务律所)的 Keith Miller 和 Joseph Cutler 牵头对损失进行全面调查。Stream 宣布正在“积极提取所有流动资产”,并预计“在短期内”完成此项工作,但未提供具体时间表。
这些决定,虽然在法律上可能是必要的,但却带来了毁灭性的市场后果。**在信心危机期间暂停赎回,正是加剧银行挤兑的原因。**在官方公告发布前注意到提款延迟的用户,他们的怀疑得到了证实——Omer Goldberg 在 Stream 声明发布前 10-17 小时就警告了脱钩,这凸显了严重的沟通滞后,造成了有利于内部人士和资深观察者的信息不对称。
透明度失败——最具破坏性的方面之一是 Stream 声明的价值观与实际做法之间的对比。该协议的网站上有一个“透明度”部分,在崩盘时显示“即将推出!”。Stream 后来承认:“我们没有像我们应该的那样,在保险基金的运作方式上做到透明。”用户 chud.eth 指责团队保留了未披露的 60% 费用结构并隐藏了保险基金的详细信息。
损失 9300 万美元的外部基金经理的身份从未被披露。所采用的具体策略、损失的时间线、这是否代表突然的市场波动还是逐渐流失——所有这些都仍然未知。这种不透明性使得受影响的用户或更广泛的生态系统无法评估实际发生了什么以及是否存在不当行为。
法律调查和债权人冲突——截至 2025 年 11 月 8 日(崩盘后三周),Perkins Coie 的调查仍在进行中,没有公开结果。调查旨在确定原因、识别责任方、评估追回可能性,以及关键地,为任何最终分配建立债权人优先级。最后一点已经造成了即时冲突。
Elixir 声称拥有“与 Stream 以 1 美元全额赎回的权利”,并表示它是“唯一拥有这些 1:1 权利的债权人”,这暗示在任何追回中都应获得优先待遇。据报道,Stream 告诉 Elixir,它“在律师确定债权人优先级之前无法处理支付”。TelosC(1.23 亿美元敞口)、MEV Capital(2500 万美元)和 Varlamore 等其他主要债权人面临不确定的地位。与此同时,散户 xUSD/xBTC 持有者则属于另一类潜在债权�人。
这造成了一个复杂的类似破产的局面,缺乏明确的 DeFi 原生解决方案机制。谁将首先获得偿付:直接的 xUSD 持有者、借给策展人的借贷协议存款人、策展人本身,还是像 Elixir 这样的合成稳定币发行方?传统的破产法已经建立了优先框架,但尚不清楚这些框架是否适用于此处,或者是否会出现新颖的 DeFi 特定解决方案。
未宣布赔偿计划——Stream 回应中最引人注目的是尚未发生的事情:**没有正式的赔偿计划,没有评估完成时间表,没有估计的追回百分比,也没有分配机制。**社区讨论中提到了 10-30% 的减值预测(意味着用户每美元可能追回 70-90 美分,或遭受 10-30% 的损失),但这只是基于感知到的可用资产与索赔之间的猜测,而非官方指导。
Elixir 为其特定用户采取了最积极主动的方法,在暂停运营前为 80% 的 deUSD 持有者处理了赎回,对剩余余额进行了快照,并创建了一个用于 1:1 USDC 赎回的索赔门户。然而,Elixir 本身面临的问题是 Stream 持有剩余 deUSD 供应量的 90% 且尚未偿还——因此 Elixir 履行赎回的能力取决于 Stream 的追回情况。
当前状况和前景——xUSD 继续以 0.07-0.14 美元交易,代表脱钩 87-93% 的损失。市场定价远低于保守的追回估计(10-30% 的减值将意味着 0.70-0.90 美元的价值),这一事实表明市场预期:调查结果将导致巨额损失、在任何分配之前进行长达数年的法律战,或者完全损失。约 3 万美元的 24 小时交易量表明市场基本已死,缺乏流动性。
Stream Finance 的运营无限期冻结。除了最初的 11 月 4 日公告之外,沟通极少——承诺的“定期更新”并未定期实现。该协议没有显示出即使在有限能力下恢复运营的迹象。相比之下,当 Balancer 在同一天被利用 1.28 亿美元时,该协议使用了紧急多重签名并相对迅速地追回了 1930 万美元。Stream 的链下损失不提供此类追回机制。
社区情绪和信任破坏——社交媒体的反应揭示了深深的愤怒和背叛感。CBB0FE 和 Schlag 等分析师的早期警告为一些用户提供了证实(“我早就告诉过你”),但对那些损失资金的人没有帮助。批评集中在几个主题上:策展人模式灾难性地失败了(策展人本应进行尽职调查,但显然没有识别出 Stream 的风险);不可持续的收益率本应是一个危险信号(当 Aave 提供 4-5% 时,稳定币提供 18%);以及混合 CeDeFi 模型从根本上说是不诚实的(承诺去中心化却依赖中心化基金经理)。
专家分析师的评价很严厉。Yearn Finance 的 Schlag 指出,“所发生的一切并非凭空出现”,并警告称“Stream Finance 绝非唯一有秘密可藏的协议”,暗示类似的协议可能面临类似的命运。更广泛的行业已将 Stream 视为一个警示故事,强调透明度、储备金证明以及理解协议如何产生收益的重要性。
技术尸检:究竟哪里出了问题
对于开发者和协议设计者而言,理解具体的技术故障对于避免类似错误至关重要。
智能合约按设计运行——这一点既重要又具有毁灭性。xUSD 的核心代码中没有漏洞,没有可利用的重入漏洞,没有整数溢出,也没有访问控制缺陷。智能合约完美执行。这意味着专注于发现技术漏洞的合约代码安全审计在这里将毫无用处。Stream 的失败发生在操作层,而非代码层。
这挑战了 DeFi 中的一个普遍假设:CertiK、Trail of Bits 或 OpenZeppelin 等公司的全面审计可以识别风险。Stream Finance 似乎没有获得主要公司的正式安全审计,但即使有,这些审计也会检查智能合约代码,而不是基金管理实践、杠杆率或外部经理监督。
递归循环机制——Stream 杠杆策略的技术实现方式如下:
- 用户存入 1,000 USDC → 收到 1,000 xUSD
- Stream 的智能合约将 USDC 作为抵押品存入平台 A
- 智能合约从平台 A 借入 750 USDC(75% 贷款价值比 LTV)
- 将借入的 USDC 作为抵押品存入平台 B
- 从平台 B 借入 562.5 USDC
- 在平台 C、D、E 等重复此过程...
经过 4-5 次迭代,用户存入的 1,000 USDC 变成了大约 3,000-4,000 USDC 的部署头寸。这会放大收益(如果头寸盈利,利润将按更大的金额计算),但也会放大损失并造成严重的平仓问题。要返还用户的 1,000 USDC,需要:
- 从最终平台提款
- 向前一个平台偿还贷款
- 提取抵押品
- 向前一个平台偿还贷款
- 等等,沿着整个链条反向操作
如果这条链中的任何平台出现流动性危机,整个平仓过程就会停止。这正是发生的情况——xUSD 的崩盘意味着许多平台利用率达到 100%(没有可用流动性),即使 Stream 想要平仓也无法做到。
隐藏市场和循环依赖——Schlag 的分析揭示,Stream 和 Elixir 在 Morpho 上使用了私人、未上市的市场,普通用户无法看到其中的活动。这些“隐藏市场”意味着即使链上透明度也是不完整的——你必须知道要检查哪些特定的合约地址。循环铸造过程创建了一个图结构,如下所示:
Stream xUSD ← 由 (deUSD + USDC + 头寸) 支持 Elixir deUSD ← 由 (xUSD + USDT + 头寸) 支持
这两种代币相互��依赖以获得支持,当其中一个失败时,就会形成一个相互强化的死亡螺旋。这在结构上类似于 Terra 的 UST 和 LUNA 如何创建反射性依赖,从而放大了崩盘。
预言机方法和清算预防——多个协议明确决定在其预言机系统中将 xUSD 的价值硬编码为 1.00 美元。这很可能是为了防止连锁清算:如果 xUSD 的价格在预言机中跌至 0.50 美元,任何使用 xUSD 作为抵押品的借款人将立即抵押不足,从而触发自动清算。这些清算将向市场抛售更多 xUSD,进一步压低价格,触发更多清算——一个经典的清算瀑布。
通过将价格硬编码为 1.00 美元,协议阻止了这种连锁反应,但却制造了一个更糟糕的问题:借款人严重抵押不足(每 1.00 美元的预言机价值仅持有 0.30 美元的真实价值),但无法被清算。这使得贷方背负了坏账。正确的解决方案应该是接受清算并拥有充足的保险资金来弥补损失,而不是用虚假的预言机价格来掩盖问题。
流动性碎片化——由于赎回暂停,xUSD 只能在去中心化交易所交易。主要市场是 Balancer V3(Plasma 链)和 Uniswap V4(以太坊)。这些场所的总流动性可能最多只有几百万美元。当数亿美元的 xUSD 需要退出时,即使是几百万美元的抛售压力也会大幅推动价格。
这揭示了一个关键的设计缺陷:稳定币不能仅仅依靠 DEX 流动性来维持其挂钩。DEX 流动性本身是有限的——流动性提供者不会向池中投入无限的资本。处理大规模赎回压力的唯一方法是通过与发行方直接的赎回机制,而 Stream 通过暂停运营取消了这一机制。
预警信号和检测失败——链上数据在崩盘前几天就清楚地显示了 Stream 的问题。CBB0FE 从公开数据中计算出杠杆率。Schlag 通过检查合约交互识别出循环�铸造。DeFiLlama 公开质疑 TVL 数据。然而,大多数用户,以及本应进行尽职调查的大多数风险策展人,都错过了或忽视了这些警告。
这表明 DeFi 生态系统需要更好的风险评估工具。原始链上数据是存在的,但分析它需要专业知识和时间。大多数用户没有能力审计他们使用的每个协议。策展人模式——据称由资深方进行这种分析——失败了,因为策展人被激励去最大化收益(从而最大化费用),而不是最小化风险。他们拥有不对称的激励:在好时光赚取费用,在坏时光将损失外部化。
无技术恢复机制——当 Balancer 漏洞利用事件在 11 月 3 日发生时,StakeWise 协议使用带有追回功能的紧急多重签名追回了 1930 万美元。这些链上治理工具可以在区块周期内执行,以冻结资金、逆转交易或实施紧急措施。Stream 对于其链下损失没有这些工具。外部基金经理在传统金融系统中运作,超出了智能合约的范围。
这是混合 CeDeFi 模型的根本技术限制:你不能使用链上工具来解决链下问题。如果故障点存在于区块链之外,那么 DeFi 的所有所谓优势——透明性、自动化、无需信任——都将变得无关紧要。
稳定币设计和 DeFi 风险管理的教训
Stream Finance 的崩盘为任何构建、投资或监管稳定币协议的人提供了关键见解。
赎回机制不容谈判——最重要的一课:当信心下降时,如果赎回暂停,稳定币就无法维持其挂钩。Stream 的 9300 万美元损失是可控的——它大约占用户存款的 14%(如果无杠杆,存款为 9300 万美元 / 1.6 亿美元,如果你相信 5.2 亿美元的数字,则更少)。14% 的减值虽然痛苦,但不应导致 77% 的脱钩。造成灾难性失败的原因是取消了赎回能力。
赎回机制通过套利运作:当 xUSD 以 0.90 美元交易时,理性参与者会购买它并以 1.00 美元的储备资产赎回,赚取 0.10 美元的利润。这种购买压力将价格推回 1.00 美元。当赎回暂停时,这种机制就完全失效了。价格完全取决于可用的 DEX 流动性和市场情绪,而非底层价值。
对于协议设计者:构建在压力下仍能正常运作的赎回回路,即使需要对其进行限速。在紧急情况下,用户每天可以赎回 10% 的排队系统,远优于完全暂停赎回。后者保证会引发恐慌;前者至少提供了一条通往稳定的道路。
透明度不可选择——Stream 的运作存在根本性的不透明:未披露的保险基金规模、隐藏的费用结构(据称保留 60%)、未具名的外部基金经理、普通用户不可见的私人 Morpho 市场,以及“动态对冲高频交易和做市”等模糊的策略描述,这些都毫无具体意义。
历史上每一次成功的稳定币恢复(硅谷银行事件后的 USDC、DAI 的各种小幅脱钩)都涉及透明的储备和清晰的沟通。每一次灾难性失败(Terra UST、Iron Finance,现在的 Stream)都涉及不透明。这种模式是不可否认的。用户和策展人如果没有关于以下方面的完整信息,就无法正确评估风险:
- 抵押品构成和位置:稳定币由哪些资产支持,以及它们存放在哪里
- 托管安排:谁控制私钥,多重签名阈值是多少,哪些外部方有访问权限
- 策略描述:具体而非模糊——“我们将 40% 借给 Aave,30% 借给 Compound,20% 借给 Morpho,10% 作为储备”,而不是“借贷套利”
- 杠杆率:显示实际支持与未偿代币的实时仪表板
- 费用结构:所有费用均披露,无隐藏费用或利润保留
- 外部依赖:如果使用外部经理,其身份、业绩记录和具体授权
协议应实施任何人都能在链上验证的实时储备金证明仪表板(如 Chainlink PoR)。技术已经存在;未能使用它应被视为一个危险信号。
混合 CeDeFi 模型需要非凡的保障措施——Stream 承诺 DeFi 的优势,却依赖中心化基金经理。这种“两头不讨好”的方法结合了链上可组合性风险和链下交易对手风险。当基金经理失败时,Stream 无法使用链上应急工具进行追回,也缺乏传统金融的保障措施,如保险、监管或托管控制。
如果协议选择混合模型,它们需要:外部经理的实时头寸监控和报告(而非每月更新——实时 API 访问);多个冗余经理,拥有多样化的授权以避免集中风险;外部头寸实际存在的链上证明;与信誉良好的机构托管人明确的托管安排;对链下操作进行定期第三方审计,而不仅仅是智能合约;以及披露的、足以覆盖外部经理失败的保险。
或者,协议应该拥抱完全去中心化。DAI 表明,纯链上、超额抵押模型可以实现稳定(尽管存在资本效率低下的成本)。USDC 表明,具有透明度和监管合规性的完全中心化模型是可行的。混合中间路线被证明是最危险的方法。
杠杆限制和递归策略需要约束——Stream 通过递归循环实现的 4 倍以上杠杆将可控的损失变成了系统性危机。协议应实施:硬性杠杆上限(例如,最高 2 倍,绝不能 4 倍以上);当比率超过时自动去杠杆,而不仅仅是警告;对递归循环的限制——它会虚增 TVL 指标而没有创造真实价值;以及跨场所的多样化要求,以避免集中于任何单一协议。
DeFi 生态系统还应标准化 TVL 计算方法。DeFiLlama 排除递归循环的决定是正确的——多次计算同一美元会歪曲实际风险资本。但争议凸显了行业标准缺失。监管机构或行业团体应建立明确的定义。
预言机设计至关重要——多个协议决定将 xUSD 的预言机价格硬编码为 1.00 美元以防止连锁清算,结果适得其反。当预言机与现实脱节时,风险管理变得不可能。协议应:使用多个独立的报价源,将 DEX 的现货价格与 TWAP(时间加权平均价格)一起纳入,实施熔断机制以暂停操作而非用虚假价格掩盖问题,并维持充足的保险资金以处理清算瀑布,而不是通过虚假定价来阻止清算。
反驳意见——允许清算会导致连锁反应——是成立的,但却忽略了重点。真正的解决方案是构建足够健壮的系统来处理清算,而不是回避它们。
不可持续的收益率预示危险——当 Aave 提供 4-5% 的收益时,Stream 为稳定币存款提供了 18% 的年化收益率 (APY)。这种差异本应是一个巨大的危险信号。在金融领域,回报与风险相关(风险-回报权衡是根本)。当一个协议提供的收益比成熟的竞争对手高出 3-4 倍时,额外的收益就来自额外的风险。这种风险可能是杠杆、交易对手风险、智能合约复杂性,或者像 Stream 的情况一样,不透明的外部管理。
用户、策展人和集成协议需要要求解释收益差异。“我们只是更擅长优化”是不够的——要具体说明额外的收益来自哪里,哪些风险促成了它,并提供可比较的例子。
策展人模式需要改革——像 TelosC、MEV Capital 等风险策展人本应在将资金部署到 Stream 等协议之前进行尽职调查。他们拥有超过 1.23 亿美元的敞口,表明他们相信 Stream 是安全的。他们犯了灾难性的错误。策展人商业模式产生了问题激励:策展人从部署的资本中赚取管理费,激励他们最大化管理资产 (AUM) 而非最小化风险。他们在好时光保留利润,但在失败时将损失外部化给他们的贷方。
更好的策展人模式应包括:强制性的“利益攸关”要求(策展人必须在自己的金库中保留大量资本);定期公开报告尽职调查流程;使用标准化方法进行清晰的风险评级;由策展人利润支持的保险基金以弥补损失;以及声誉问责制——未能尽职调查的策展人应失去业务,而不仅仅是道歉。
DeFi 的可组合性既是优势也是致命弱点——Stream 的 9300 万美元损失之所以蔓延至 2.85 亿美元的风险敞口,是因为借贷协议、合成稳定币和策展人全部通过 xUSD 相互连接。DeFi 的可组合性——将一个协议的输出作为另一个协议的输入的能力——创造了令人难以置信的资本效率,但也带来了传染风险。
协议必须了解其下游依赖:谁接受我们的代币作为抵押品,哪些协议依赖我们的价格馈送,我们的失败可能导致哪些二级效应。他们应实施对任何单一交易对手敞口的集中度限制,在协议之间保持更大的缓冲(减少再抵押链),并定期进行压力测试,询问“如果我们依赖的协议失败了怎么办?”
这类似于 2008 年金融危机的教训:通过信用违约互换和抵押贷款支持证券的复杂相互关联,将次级抵押贷款损失转变为全球金融危机。DeFi 正在通过可组合性重现类似的动态。
Stream 与历史稳定币失败事件的比较
在以往主要脱钩事件的背景下理解 Stream,可以揭示模式并有助于预测接下来可能发生什么。
Terra UST(2022 年 5 月):死亡螺旋原型——Terra 的崩盘仍然是典型的稳定币失败案例。UST 纯粹是算法稳定币,由 LUNA 治理代币支持。当 UST 脱钩时,协议铸造 LUNA 以恢复平价,但这导致 LUNA 超级通胀(供应量从 4 亿增加到 320 亿代币),形成了一个死亡螺旋,每次干预都使问题恶化。规模巨大:UST 峰值 180 亿美元 + LUNA 峰值 400 亿美元,直接损失 600 亿美元,对更广泛市场影响 2000 亿美元。崩盘发生在 2022 年 5 月的 3-4 天内,引发了破产(三箭资本、Celsius、Voyager)和持续的监管审查。
与 Stream 的相似之处:两者都经历了集中风险(Terra 的 UST 有 75% 存放在 Anchor Protocol,提供 20% 的收益;Stream 有不透明的基金经理敞口)。两者都提供了不可持续的收益,预示着隐藏的风险。两者都因信心丧失而引发赎回螺旋。一旦赎回机制成为加速器而非稳定器,崩盘就迅速发生。
差异:Terra 的规模是 Stream 的 200 倍。Terra 的失败是数学/算法性的(销毁和铸造机制创造了可预测的死亡螺旋)。Stream 的失败是操作性的(基金经理失败,而非算法设计缺陷)。Terra 的影响对整个加密市场具有系统性;Stream 的影响更多地局限于 DeFi 内部。Terra 的创始人(Do Kwon)面临刑事指控;Stream 的调查是民事/商业性质的。
关键教训:没有足够真实抵押品的算法稳定币无一例外地失败了。Stream 拥有真实抵押品,但不足够,而且赎回途径恰好在需要时消失了。
USDC(2023 年 3 月):通过透明度成功恢复——当硅谷银�行于 2023 年 3 月倒闭时,Circle 披露有 33 亿美元(占储备的 8%)面临风险。USDC 脱钩至 0.87-0.88 美元(损失 13%)。脱钩持续了周末 48-72 小时,但在联邦存款保险公司 (FDIC) 担保所有 SVB 存款后完全恢复。这代表了一次干净的交易对手风险事件,并得到了迅速解决。
与 Stream 的相似之处:两者都涉及交易对手风险(银行合作伙伴与外部基金经理)。两者都有一定比例的储备面临风险。两者都出现了暂时的赎回途径限制和转向替代方案的情况。
差异:USDC 始终保持透明的储备支持和定期证明,使用户能够计算风险敞口。政府干预提供了后盾(FDIC 担保)——DeFi 中不存在这样的安全网。USDC 保持了大部分支持;用户知道即使在最坏的情况下也能追回 92% 以上。由于这种清晰度,恢复迅速。脱钩严重程度为 13% 对 Stream 的 77%。
教训:透明度和外部支持至关重要。如果 Stream 披露了 xUSD 的确切支持资产,并且政府或机构担保覆盖了部分,那么恢复可能成为可能。不透明性消除了这种选择。
Iron Finance(2021 年 6 月):预言机滞后和反射性失败——Iron Finance 采用了一种部分算法模型(75% USDC,25% TITAN 治理代币),其设计存在一个关键缺陷:10 分钟的 TWAP 预言机在预言机价格和实时现货价格之间造成了差距。当 TITAN 迅速下跌时,套利者无法获利,因为预言机价格滞后,从而破坏了稳定机制。TITAN 在数小时内从 65 美元暴跌至接近零,IRON 从 1 美元脱钩至 0.74 美元。马克·库班和其他知名投资者受到影响,引起了主流关注。
与 Stream 的相似之处:两者都有部分抵押模型。两者都依赖二级代币来维持稳定。两者都在价格发现中遭受了预言机/时间问题。两者都经历了“银行挤�兑”动态。两者都在 24 小时内崩盘。
差异:Iron Finance 是部分算法的;Stream 是收益支持的。TITAN 没有外部价值;xUSD 声称有真实资产支持。Iron 的机制缺陷是数学性的(TWAP 滞后);Stream 的缺陷是操作性的(基金经理损失)。Iron Finance 在绝对值上较小,但在百分比上较大(TITAN 归零)。
从 Iron 中吸取的技术教训:使用时间加权平均值的预言机无法响应快速的价格变动,从而造成套利脱节。即使它们会引入短期波动,实时价格馈送也是必不可少的。
DAI 及其他:超额抵押的重要性——DAI 在其历史上经历过多次小幅脱钩,通常范围在 0.85 美元到 1.02 美元之间,持续数分钟到数天,并且通常通过套利自行纠正。DAI 是加密抵押的,具有超额抵押要求(通常 150% 以上的储备)。在 USDC/SVB 危机期间,DAI 与 USDC 一同脱钩(相关性 0.98),因为 DAI 在储备中持有大量 USDC,但在 USDC 恢复时也随之恢复。
模式:具有透明链上支持的超额抵押模型可以经受住风暴。它们资本效率低下(你需要 150 美元才能铸造 100 美元的稳定币),但具有显著的弹性。抵押不足和算法模型在压力下始终失败。
系统性影响层级——比较系统性影响:
- 第一级(灾难性):Terra UST 造成 2000 亿美元市场影响,多起破产,全球监管回应
- 第二级(重大):Stream 造成 2.85 亿美元债务敞口,次生稳定币失败(deUSD),暴露借贷协议漏洞
- 第三级(可控):Iron Finance,各种较小的算法失败影响了直接持有者但传染有限
Stream 处于中间层——对 DeFi 生态系统造成了重大损害,但尚未威胁到更广泛的加密市场或导致主要公司破产(尽管某些结果仍不确��定)。
恢复模式是可预测的——成功的恢复(USDC、DAI)涉及:发行方的透明沟通、清晰的偿付能力路径、外部支持(政府或套利者)、维持大部分储备,以及强大的现有声誉。失败的恢复(Terra、Iron、Stream)涉及:操作不透明、根本机制崩溃、无外部支持、信心丧失变得不可逆转,以及漫长的法律战。
Stream 没有任何成功模式的迹象。正在进行的调查没有更新,缺乏披露的恢复计划,持续脱钩至 0.07-0.14 美元,以及冻结的运营都表明 Stream 正在遵循失败模式,而非恢复模式。
更广泛的教训是:稳定币设计从根本上决定了从冲击中恢复的可能性。透明、超额抵押或完全储备的模型可以存活。不透明、抵押不足的算法模型则不能。
Web3 的监管和更广泛影响
Stream Finance 的崩盘发生在加密货币监管的关键时刻,并引发了关于 DeFi 可持续性的令人不安的问题。
强化了稳定币监管的理由——Stream 事件发生在 2025 年 11 月,此前关于稳定币的监管辩论已持续数年。美国 GENIUS 法案于 2025 年 7 月签署,为稳定币发行方创建了框架,但执行细节仍在讨论中。Circle 曾呼吁对不同发行方类型一视同仁。Stream 的失败为监管机构提供了一个完美的案例研究:一个监管不足的协议,承诺稳定币功能,却承担着远超传统银行业的风险。
预计监管机构将利用 Stream 作为理由,要求:强制披露储备金并由独立审计师定期证明;限制可支持稳定币的资产(可能限制奇特的 DeFi 头寸);类似于传统银行业的资本要求;排除无法满足透明度标准的协议的许可制度;以及可能完全限制生息稳定币。
欧盟的 MiCAR(加密资产市场监管)已于 2023 年禁止算法稳定币。Stream 并非纯粹的算法稳定币,但它在一个灰色地带运作。监管机构可能会将限制扩展到混合模型或任何其支持不透明、非静态且不足的稳定币。
DeFi 监管困境——Stream 暴露了一个悖论:DeFi 协议通常声称自己“只是代码”,没有受监管的中心化运营者。然而,当失败发生时,用户却要求问责、调查和赔偿——这些本质上都是中心化的回应。Stream 聘请了律师,进行了调查,并且必须决定债权人优先级。这些都是中心化实体的职能。
监管机构可能会得出结论,拥有紧急权力 DAO 实际上具有信托义务,应受到相应监管。如果一个协议可以暂停操作、冻结资金或进行分配,它就拥有足够的控制权来证明监管监督的合理性。这威胁到 DeFi 在没有传统中介的情况下运作的基本前提。
保险和消费者保护缺口——传统金融拥有存款保险(美国联邦存款保险公司 FDIC,全球类似计划)、清算所保护以及银行资本缓冲的监管要求。DeFi 没有这些系统性保护。Stream 未披露的“保险基金”被证明毫无价值。单个协议可能维持保险,但没有行业范围的安全网。
这暗示了几种可能的未来:对提供稳定币或借贷服务的 DeFi 协议强制要求保险(类似于银行保险);由协议费用资助的行业范围保险池;政府支持的保险扩展到符合严格标准的某些类型的加密资产;或者持续缺乏保护,实际上是买者自负。
对 DeFi 采用和机构参与的影响——Stream 的崩盘强化了机构采用 DeFi 的障碍。传统金融机构面临严格的风险管理、合规性和信��托义务要求。像 Stream 这样的事件表明,DeFi 协议通常缺乏传统金融认为强制性的基本风险控制。这给机构带来了合规风险——养老基金如何证明其暴露于具有 4 倍杠杆、未披露的外部经理和不透明策略的协议是合理的?
机构 DeFi 的采用可能需要一个分叉市场:符合机构标准的受监管 DeFi 协议(可能为了合规而牺牲一些去中心化和创新)与以更高风险和买者自负原则运作的实验性/零售 DeFi。Stream 的失败将推动更多机构资本流向受监管的选择。
集中风险和系统重要性——Stream 失败的一个令人不安的方面是,它在崩盘前变得多么相互关联。在主要借贷协议中有超过 2.85 亿美元的敞口,Elixir 65% 的支持,以及 50 多个流动性池中的头寸——Stream 在没有任何传统监督的情况下获得了系统重要性。
在传统金融中,机构可以被指定为“系统重要性金融机构”(SIFIs),并受到更严格的监管。DeFi 没有相应的概念。达到一定 TVL 阈值或集成水平的协议是否应面临额外要求?这挑战了 DeFi 的无需许可创新模式,但可能对于防止传染是必要的。
透明度悖论——DeFi 的所谓优势是透明度:所有交易都在链上,任何人都可以验证。Stream 表明这还不够。原始链上数据确实存在并显示了问题(CBB0FE 发现了,Schlag 发现了),但大多数用户和策展人没有分析它或没有采取行动。此外,Stream 在 Morpho 上使用了“隐藏市场”和链下基金经理,在 supposedly 透明的系统中制造了不透明性。
这表明仅靠链上透明度是不够的。我们需要:用户实际能够理解的标准化披露格式;分析协议并发布风险评估的第三方评级机构或服务;监管要求某些信息以通俗易懂的语言呈现,而不仅仅是原始区块链数据;以及为非专业人士聚合�和解释链上数据的工具。
生息稳定币的长期可行性——Stream 的失败引发了关于生息稳定币是否可行的根本性问题。传统稳定币(USDC、USDT)很简单:法币储备 1:1 支持代币。它们之所以稳定,正是因为它们不试图为持有者产生收益——发行方可能从储备中赚取利息,但代币持有者获得的是稳定性,而非收益。
生息稳定币试图兼顾两者:维持 1 美元挂钩并产生回报。但回报需要风险,而风险会威胁到挂钩。Terra 曾尝试通过 Anchor 提供 20% 的收益。Stream 曾尝试通过杠杆 DeFi 策略提供 12-18% 的收益。两者都灾难性地失败了。这表明存在根本性的不兼容性:你不能在不承担最终打破挂钩的风险的情况下,同时提供收益和绝对的挂钩稳定性。
这意味着:稳定币市场可能会围绕完全储备、不生息的模型(USDC、USDT 附带适当证明)和超额抵押的去中心化模型(DAI)进行整合。生息实验将继续进行,但应被视为高风险工具,而非真正的稳定币。
给 Web3 建设者的教训——除了稳定币本身,Stream 还为所有 Web3 协议设计提供了教训:
透明度无法事后补救:从第一天起就将其融入设计。如果你的协议依赖链下组件,请实施非凡的监控和披露。
可组合性带来责任:如果其他协议依赖你的协议,即使你“只是代码”,你也负有系统性责任。请相应地进行规划。
收益优化有其局限性:用户应对远超市场利率的收益持怀疑态度。建设者应诚实地说明收益来源以及实现这些收益所伴随的风险。
用户保护需要机制:紧急暂停功能、保险基金、恢复程序——这些需要在灾难发生前而非发生时构建。
去中心化是一个光谱:决定你的协议在这个光谱上的位置,并诚实地说明权衡。部分去中心化(混合模型)可能会结合两者的最差方面。
Stream Finance xUSD 崩盘将在未来多年被作为反面案例进行研究:不透明伪装成透明、不可持续的收益率预示着隐藏风险、递归杠杆创造虚假价值、混合模型结合了多个攻击面,以及声称无需信任的系统中的操作性失败。Web3 若要成熟并成为传统金融的真正替代品,就必须吸取这些教训,并构建不重复 Stream 错误的系统。