# 管理员 大多数代理只能提出建议。Underscore 让它们真正执行,而且可以使用真实资金,但从不接触你的私钥。 管理员是你[可编程钱包](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/user-wallet)中的被授权操作员,可以执行策略并处理付款,但永远拿不到完全控制权。你可以设置精确权限,例如“最多交易 50,000 美元的 USDC,但绝不能碰我的 ETH”;也可以按协议限制它们,例如“只允许在 Aave、Morpho、Euler 和 Compound 之间再平衡”;再进一步定义支出上限,例如“每日 10,000 美元、每月 100,000 美元”;还可以加上基于时间的控制,到期后自动失效,并在需要时一键撤销。 让 AI 代理在凌晨 3 点抓住收益峰值。让交易代理自己支付数据源和算力成本。让 CFO 支付供应商发票而无需接触储备金。让交易员在精确边界内管理特定仓位。每一次操作都会在链上按你的规则验证。 ## 为什么需要管理员 ### 代理问题 AI 代理需要用真实资金去执行交易,再平衡收益仓位、支付数据源费用、购买算力资源。但把私钥或无限制访问权直接交给代理,会带来不可接受的风险。传统 API key 和钱包委托缺乏链上强制执行机制,一次漏洞、一次被利用,可能就全没了。 管理员的作用就是在智能合约强制执行的边界内,把执行权交给代理。代理只能做你授权的事,不多也不少。预算、资产限制、协议范围和到期窗口全都由代码强制执行,而不是依赖政策或承诺。 ### 手动管理钱包的问题 如果你单独运营一个[可编程钱包](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/user-wallet),会面临几乎无法兼顾的取舍: * **24/7 机会**:DeFi 不会睡觉,但你会 * **重复任务**:付款给供应商、[领取奖励](https://docs.underscore.finance/zh/jing-ji-mo-xing/rewards)、再平衡,这些都会持续耗费时间 * **专业门槛**:复杂策略可能需要你并不具备的经验 * **紧急访问**:如果你突然无法操作,资金就会被锁住 传统解决方案都不理想: * **共享密钥**:一个密钥被攻破,就可能损失全部资产 * **多签**:速度慢,每笔交易都需要协调 * **托管服务**:你失去控制权,还要支付高额成本 ### 管理员方案 管理员通过可编程委托实现精确控制: * **有限权限**:只授予特定动作,例如借贷、兑换、给[收款人](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees)付款等 * **支出上限**:为单笔和周期性金额设置硬性封顶 * **资产限制**:限定管理员能操作哪些代币 * **即时撤销**:一笔交易就能取消权限 * **时间延迟**:对敏感动作增加可选的冷却期 ### 两阶段安全检查 每一项管理员操作都会自动经过两轮验证: **操作前检查:** * ✓ 这个管理员当前是否仍然有效? * ✓ 它是否具有执行该具体操作的权限? * ✓ 它是否可以触碰这项资产? * ✓ 它是否正在使用被批准的协议? * ✓ 距离它上次操作是否已经过了足够的时间? **操作后检查:** * ✓ 它是否仍在单笔交易上限内? * ✓ 它是否还在自己的日/周/月预算范围内? * ✓ 它是否超过了自己的终身总额度? 这两轮检查都会在同一笔交易中原子执行。只要任何一项失败,整笔操作就会回滚。 ## 权限:管理员能做什么 权限是你授予管理员的细粒度能力。你可以自由组合这些权限,创建出恰好符合需求的角色配置:比如一个只负责付款给供应商的 CFO,或者一个管理整个 DeFi 策略的 AI。每项权限都是独立的,可以和其他权限一起组合使用。 ### 转账与支付操作 | 权限 | 能力 | 示例用途 | | ----------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------- | | **通用转账** | 向[收款人](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees)、[白名单](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/whitelist)地址,或通过[数字支票](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/cheques)发送资产 | 支付月度开销 | | **创建**[**数字支票**](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/cheques) | 安排一次性付款 | 延迟支付供应商 | | **提议**[**收款人**](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees) | 新增周期性付款对象 | 为新承包商办理收款配置 | ### DeFi 操作 | 权限 | 能力 | 示例用途 | | --------- | ------------- | ------------------------------------------------------------------------ | | **买入与卖出** | 兑换代币、再平衡投资组合 | 维持 60/40 的 ETH/USDC 配比 | | **管理收益** | 在收益协议中存入/提取 | 在 Morpho 和 Aave 之间再平衡 | | **管理债务** | 处理贷款和抵押品 | 维持 150% 抵押率 | | **管理流动性** | 提供/移除 DEX 流动性 | 优化 Uniswap V3 价格区间 | | **领取奖励** | 收割协议激励 | 收集并再投资[挖矿奖励](https://docs.underscore.finance/zh/jing-ji-mo-xing/rewards) | ### 行政操作 | 权限 | 能力 | 示例用途 | | -------------- | ---------------- | ---------------------------------------------------------------------- | | **白名单管理** | 添加/移除已批准地址 | 维护供应商列表 | | **领取协议奖励** | 领取 Underscore 激励 | 自动领取[平台奖励](https://docs.underscore.finance/zh/jing-ji-mo-xing/rewards) | | **领取 Loot 分成** | 收取收益分成 | 最大化[协议收益](https://docs.underscore.finance/zh/jing-ji-mo-xing/rewards) | > **提示:Underscore 中的时间单位** 所有基于时间的设置(延迟、冷却期、周期)都以区块而非现实时间存储。在 Base L2 上,区块间隔约为 2 秒: > > * 1 小时 = 1,800 个区块 > * 1 天 = 43,200 个区块 > * 1 周 = 302,400 个区块 > > 本文中的示例都基于 Base 约 2 秒的区块时间。 ## 控制:安全边界 权限定义了管理员能做什么,而控制项则定义了他们能在什么边界内做。这些限制确保即便是你信任的管理员,也无法因失误或恶意行为超出你的风险承受能力或把钱包掏空。每一项管理员操作都必须通过这些安全检查点。 ### 财务限制 **单笔交易上限** * 任意单次交易允许的最大美元价值 * 示例:5,000 美元上限能防止一次性的大额损失 **周期性上限** * 在重复时间窗口内允许的总美元价值 * 周期长度通过全局设置中的 `managerPeriod` 指定(例如 1 天 = 43,200 个区块) * 当前周期结束时,上限会自动重置 * 示例:交易操作每天最多 10,000 美元 ``` 第 1 周:10,000 美元额度中已用 7,000 美元 → 第 2 周:重新获得 10,000 美元 未使用的额度不会滚入下一周期,每个周期都会重新开始 ``` **终身上限** * 管理员整个任期内的累计美元总额上限 * 示例:某个持续一年的 AI 服务,累计上限为 500,000 美元 ### 操作控制 **交易冷却期** * 两次交易之间必须等待的时间 * 以区块计量(例如在 Base 上,1 小时 = 1,800 个区块) * 防止连续快速交易导致失误或被攻击 **资产限制** * 把管理员限制在特定代币上(例如只允许稳定币) * 细粒度控制它能碰哪些资产 * 每个管理员最多可配置 40 种不同资产 **协议限制(Legos)** * 通过协议 ID 把管理员限制在特定 DeFi 协议上 * 每个协议(Lego = 标准化集成,例如 Aave、Curve)都注册在 LegoBook 中 * 示例:只允许与 Aave 和 Compound 交互 * 每个管理员最多可配置 25 个不同协议 **仅允许已批准的收益协议** * 限制管理员只能把资金存入预先批准的收益类 Vault 代币 * 防止把资金存进高风险、未审查或未知协议 * 通过协议的 VaultRegistry 白名单进行管理 * 通过 `onlyApprovedYieldOpps` 设置启用 **收款人限制** * 只允许把资金转给预先批准的地址 * 非常适合只与已知供应商交互的业务场景 * 每个管理员最多可配置 40 个已批准的[收款人](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees) **价格为零则失败** * 当资产价格为 0 时,自动阻止交易 * 防止预言机故障期间继续交易 * 在价格不可用时防止被操纵 ### 兑换控制 系统还提供专门的兑换权限控制,用来防止过度亏损和价格操纵: | 设置 | 作用 | 示例 | | ------------- | --------------- | ---------- | | **最大滑点** | 限制兑换时可接受的最大价格偏移 | 默认最多 5% | | **每周期最大兑换次数** | 限制交易频率 | 默认每天最多 2 次 | | **要求存在美元价格** | 两种代币都必须有价格数据 | 防止交易无报价代币 | **滑点保护如何运作:** 在每次兑换前,系统会根据你的滑点设置计算可接受的最小输出值。如果实际输出低于该阈值,交易会自动回滚。 ``` 示例:以最多 5% 滑点把 1,000 美元 USDC 换成 ETH 最低可接受值:价值 950 美元的 ETH 如果 DEX 只能返回价值 940 美元的 ETH → 交易回滚 ``` 这能防止: * MEV 夹子攻击 * 执行过程中的价格操纵 * 极端市场波动 * 意外的糟糕交易 系统会同时比较全局设置和管理员单独设置,并采用其中更严格的那一项。 ### 基于时间的安全控制 **激活延迟** * 新增管理员后,需要等待一段时间权限才会生效 * 你可以自行设置延迟长度(例如 1 小时、1 天、1 周) * 给你时间核验新增操作,发现异常时及时取消 * 防止仓促或恶意添加管理员 **激活时长** * 为管理员设置到期时间 * 例如:30 天(试用)、90 天(季度)、365 天(年度) * 到期后自动撤销,无需手动处理 ### 全局设置与单独设置 Underscore 使用双层配置系统,且始终以更严格的设置为准: **全局管理员设置** * 你的钱包中所有管理员的总模板 * 设定任何管理员都不能突破的最大边界 * 包含 `canOwnerManage` 标志,用于决定钱包所有者(owner)是否也受这些限制约束 **单独管理员设置** * 针对某个管理员的个性化配置 * 可以比全局更严格,但绝不能更宽松 * 某项操作必须同时被全局设置和单独设置允许 ``` 示例:权限层级 全局:可交易 = 是,单笔最大金额 = 100,000 美元 管理员 A:可交易 = 是,单笔最大金额 = 50,000 美元 → 实际只能到 50,000 美元 管理员 B:可交易 = 否,单笔最大金额 = 200,000 美元 → 实际完全不能交易 ``` ## 真实使用示例 ### 收益优化 **配置**:100,000 美元稳定币,由 YieldMaxAI 代理管理 **权限:** * 资产:只允许稳定币(USDC、USDT、DAI) * 协议:只允许 Aave、Morpho、Euler * 限制:每笔 20,000 美元,6 小时冷却期 **结果:** * 在凌晨 3 点抓住 Morpho 的 5.2% 收益率 * 切换到 Euler 的 6.1% 促销利率 * 自动领取此前遗漏的 312 美元[奖励/激励](https://docs.underscore.finance/zh/jing-ji-mo-xing/rewards) * 每年额外多赚约 3,000 美元收益 ### 代理服务付款 **配置**:一个需要实时数据、推理 API 和算力资源的交易代理 **权限:** * 通用转账:仅允许向已批准的[收款人](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees)转账 * 创建[数字支票](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/cheques):用于一次性购买数据 * 资产:仅 USDC * 限制:每笔 500 美元,每月 5,000 美元 * 冷却期:两次付款间隔 1 小时 **结果:** * 代理可以让自己的数据源、推理 API 和 GPU 供应商持续在线 * 3-50 美元的小额数据采购可通过数字支票即时完成 * 所有支出都被跟踪、封顶,并且可随时撤销 * 代理永远没有托管权、私钥或无限访问权 ### 企业运营 **配置**:一家全球加密公司,拥有 30+ 名承包商和供应商,由 CFO 担任管理员 **权限:** * 收款对象:仅限预先批准的承包商和供应商地址 * 限制:每笔支付 2,500 美元,每周 25,000 美元 * 冷却期:两次付款间隔 1 小时 * 资产:仅 USDC **结果:** * CFO 可独立处理供应商付款 * 每月减少约 1,750 美元的电汇费用 * 钱包所有者不再被日常付款占用精力 * 投资资金仍然不可触碰 ### 家族办公室交易 **配置**:5 名专业交易员分别作为独立管理员 **每位交易员的权限:** * 资产:ETH、BTC、稳定币 * 协议:仅限主流 DEX * 限制:每笔 100,000 美元,每位交易员每日上限 500,000 美元 * 时长:按季度签约,3 天激活延迟 **结果:** * 风险分散到多个交易员之间 * 没有任何单个交易员能够突破亏损边界 * 每位交易员的盈亏都可单独追踪 * 季度末可移除表现不佳者 ### 债务管理 AI **配置**:Ripe Protocol 债务管理 AI 代理 **权限:** * 管理债务:偿还贷款、补充抵押品 * 管理收益:必要时从 Aave/Morpho 提取资产用于还款 * 限制:每笔 50,000 美元,每日 200,000 美元 **结果:** * 24/7 维持 150% 抵押率 * 需要时自动提取收益来还款 * 在市场波动时补充了 15,000 美元抵押品 * 在市场下跌 20% 时避免了清算 ### 青少年交易教育 **配置**:16 岁的儿子用每月零花钱学习 DeFi **权限:** * 买入与卖出:可以在主流代币间兑换 * 管理收益:仅可存入 Aave、Morpho、Euler * 资产:仅限 ETH、USDC 和前 10 大代币 * 限制:每笔 100 美元,每月上限 500 美元 * 冷却期:两次交易间隔 30 分钟 * 时长:6 个月试用期 **结果:** * 孩子可以用真金白银学习 DeFi * 损失被限制在可接受的教育成本范围内 * 无法接触家庭主仓位 * 在 18 岁拥有自己钱包前,先积累实际经验 ## 生命周期管理 ### 管理员状态 ``` 已添加 → 等待中 → 生效中 → 已到期 │ │ │ │ └─────────┴─────────┴────────┴─→ 可随时移除 │ │ │ └─→ 可续期(会重置到期时间) │ └─→ 生效前可取消 ``` ### 管理层级 **你(钱包所有者)** * 可添加、更新、移除任意管理员 * 可修改全部设置与限制 * 可延长激活周期 * 始终拥有最终控制权 **管理员** * 只能移除自己 * 不能修改自己的权限 * 不能添加其他管理员 * 防止权限升级攻击 ## 常见问题 **管理员可以添加其他管理员吗?** 不能。只有钱包所有者才能添加新管理员,这能防止权限升级攻击。 **管理员到期后会怎样?** 它会自动失去全部权限。你无需执行任何操作。 **我可以在不移除管理员的情况下调整限制吗?** 可以。你可以随时修改权限、限额以及允许的资产和协议。 **未用完的周期额度会滚到下一期吗?** 不会。每个周期都会以完整额度重新开始,用不完就作废。 ## 与其他功能协同工作 ### 管理员与收款人 * 管理员可以在自己的限制内,向已批准的[收款人](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/payees)转账 * 你可以进一步加入收款人限制,把管理员转账范围约束在已知地址上 * 这非常适合只能给供应商付款的应付账款角色 ### 管理员与数字支票 * 管理员可以在自己的支出限制内创建[数字支票](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/cheques) * 支票金额会计入管理员的日/周期/终身额度 * 支票自带的时间延迟还会再加一层安全保护 ### 管理员与白名单 * 只有在你显式授予白名单管理权限的情况下,管理员才能操作[白名单](https://docs.underscore.finance/zh/ke-bian-cheng-qian-bao/whitelist) * 地址一旦进入白名单,向它转账时就会绕过普通的收款人和支票控制 * 白名单适合紧急访问和内部资金路由;管理员、收款人和数字支票则更适合日常运营