USDX Depeg Crisis Analysis and Implications: What Broke and What Must Be Fixed
In recent DeFi markets, vault- and stablecoin-linked products have blown up one after another. This article ties those events into a single narrative and draws out the common structural problems. The core point is simple: high yields built on opaque structures look like performance in normal times, but when external shocks and internal bottlenecks arrive together, they turn into leverage that snaps the system. Markets are now starting to price assets not by ‘who is managing them’ but by what procedures and data those managers are operating on.
1. Origins: Expansion of Vault/Yield Products, Warnings, and Neglect
Over time, DeFi filled up with countless vaults and yield products. Hiding risk while putting only the headline yield on the front page became the de facto standard. Labels such as ‘isolated strategy’, ‘market neutral’, and ‘delta neutral’ stood in for real trust. Users stopped monitoring individual positions and instead delegated hedging, rollovers, and collateral management wholesale to risk curators.
Along the way, parts of the community raised early warnings. Products such as xUSD and Midas LYT were repeatedly cited as representative examples. Their critics pointed to two main issues.
First, dependence on off-chain hedges and permissioned redemption structures is invisible from the outside. If you cannot verify whether hedge positions actually exist, how large and directional they are, how rollovers are being handled, and whether redemption rights are enforced by code or depend on operator discretion, the system becomes fragile to shocks.
Second, leverage was stacked repeatedly on the same risk axis. On the surface, many vaults and markets looked isolated, but if they all shared the same stablecoin, the same hedge, and the same oracle, the labels were different while the underlying exposure was the same. Adding more loops on top of this structure to squeeze out a bit more yield effectively nullified the promise of isolation.
By the time these warnings were being mostly ignored, the large Balancer V2 exploit hit on 3 November. Attackers abused a precision (rounding) flaw in composable stable pools, draining over $100 million of assets across chains. The exploit did not directly target xUSD or USDX, but it raised risk premia across DeFi. It was natural for exchanges and lending protocols to redraw margin requirements, funding rates, and borrowing-lending curves in a short period. From that point on, it was a question of which part of the system would break first.
As market stress mounted, redemption demand flooded into Stream Finance, the issuer of xUSD. Users started redeeming xUSD for USDC or rotating into other assets, and this flow quickly accelerated. The subsequent sequence was textbook: a token that loses its peg, an oracle that reacts too late, redemption gateways that clog up, and TVL inflated by leverage all piling into the same frame.
2. Crash and Insolvency: Price Collapse, Oracle Errors, and Bad Debt
From early November, xUSD began to swing violently. Aggregating community records, the token at one point traded as high as $1.26 before reversing course and falling to around $0.07. Stream Finance officially acknowledged losses of roughly $93 million. Taken alone, this could have been just one project’s blow-up.
What made it systemic was that xUSD was being used widely as collateral on-chain. In several overcollateralized lending protocols—Silo Finance, Morpho, Euler, Enclabs Finance, and others—the xUSD price oracle was incorrectly fixed around $1.26. Even as on-chain prices crashed, the oracle kept reading above $1. As a result, positions collateralized with xUSD could no longer be liquidated correctly, and bad debt began piling up rapidly across multiple markets. Community estimates put the eventual hole somewhere in the $100–300 million range, but the exact number will depend on each protocol’s post-mortem accounting and disclosures.
The shock propagated immediately to other stables. Elixir’s deUSD relied on xUSD for 65% of its collateral. As xUSD collapsed, deUSD also fell from $1 to around $0.007, and the project effectively entered wind-down. Price charts and trade data show a sharp fall coupled with a complete drain of liquidity.
Around the same time, Aave temporarily paused Ethereum mainnet markets that accepted deUSD and sdeUSD as collateral. The oracle had started reading deUSD at around $0.86, while some routes still showed it near $1.06, exposing a clear discrepancy. Aave chose to ‘stop first and reassess risk’ rather than ‘keep operating on slightly delayed, wrong prices’. From a system design perspective, this choice reflects the principle that it is better to halt than to keep running in an error state.
In parallel, the defenses around USDX and sUSDX also gave way. On 6 November, USDX fell into the $0.35–0.60 range, with some aggregators even capturing prints near $0.30. sUSDX, which had been trading in the $1.1 area, crashed into the $0.6s around the same time. This was not just ordinary volatility; it was the market pricing in doubt over whether redemptions actually worked.
USDX’s redemption structure had been permissioned from the start. Only addresses that passed KYC/KYB could redeem directly, and the default path was 7‑day term redemptions in USDT. Once delays appeared in this gateway under stress, conversions between the underlying asset (USDX) and the staked claim (sUSDX) effectively froze. Arbitrageurs no longer wished to play the role of the ‘last buyer’ who picks up USDX cheaply and redeems at par to pocket the spread. Subsequent price data shows clear candles of USDX trading down to around $0.064.
The operators belatedly announced a recovery arrangement. The catch was that this program was described as a ‘voluntary recovery effort’ and explicitly not a ‘legal redemption obligation or guarantee’. When a project that has leaned on a regulatory framing pivots to saying ‘this is not a legal obligation’ in a crisis, the market immediately interprets that as the absence of a par redemption right. At that point, USDX becomes merely a token targeting $1, not a right to claim $1.
Protocols with collateral exposure reacted very differently. Lista DAO, via the now-famous LIP‑022 proposal, opened a one-hour emergency vote and, even before the vote concluded, used flash loans to forcibly liquidate USDX positions. Interest rates in that market were later reset to 3%. Reports at the time noted that borrowing rates briefly spiked into the hundreds of percent. Other markets, by contrast, effectively allowed losses to sit without clear action, adding to uncertainty.
In the Sei ecosystem, sfastUSD likewise collapsed from $1 to nearly zero. Yei Finance, which accepted it as collateral, announced that it would cover roughly $8.6 million of bad debt entirely from team funds. This is fortunate from the user’s perspective, but from a system-risk angle it again shows that structures that ultimately lean on human goodwill are not sustainable. When crises erupt, what has to fire first is not announcements or discretionary bailouts, but code and procedure.
3. Aftermath: Legal Fights Loom, Massive Outflows, and Falling TVL
After the blow-ups, risk curators and lending protocols began to respond in their own ways. K3 Capital hinted at potential legal action, and Silo Finance publicly discussed options that included forced liquidations and legal proceedings. This is more than an emotional reaction; it is the opening skirmish in a fight over who ultimately bears the losses and through which mechanisms. We are likely to see complex disputes that involve courts, regulators, and DAO governance all at once.
Users, by contrast, reacted far more quickly and simply: they withdrew. The srUSD reserve dashboard showed balances rapidly shrinking to around $250 million, and in the Midas ecosystem, both the team and external analysts mentioned outflows on the order of $400 million. This is not just a run on a single product; it is a broad loss of confidence in the ‘vault/yield’ complex as a whole.
The drop in TVL hit risk curators who had heavily levered their TVL the hardest. Exact numbers differ by operator, but the pattern is clear: TVL inflated by leverage shrinks much faster when the market gets scared. The capital was not there because the system was safe; it was there because ‘the yield is a bit higher than elsewhere’.
4. Structural Anatomy: Why the Same Pattern Keeps Repeating
Many different projects and protocols are entangled here, but once you open the hood, three common factors stand out.
4‑1. Off-Chain Hedges Without Proof and Permissioned Redemptions
First, there is no proof for off-chain hedges and permissioned redemptions. Using USDX as an example, documentation says that assets are held in Off-Exchange Settlement (OES) accounts and that mirrored positions on multiple exchanges are used to neutralize delta. But from the outside, you cannot tell whether those positions actually exist, how large or directional they are, whether rollovers are happening on time, or whether margin buffers are sufficient.
Direct redemptions are limited to a restricted set of addresses and are tied to operational parameters such as a 7‑day term. When the redemption gateway jams in a crisis, the on-chain price ceases to be an information signal and becomes a gauge of fear.
4‑2. Fragile Oracle Failure Modes
Second, oracle failure modes are fragile. In cases like xUSD, if the oracle maintains an incorrect reference price for a period of time, the collateral system continues to run in a bugged state. At that point, what matters most is not precision to the last decimal but liveness of the feed and clear rules for how to fail over conservatively when values look abnormal. Designers must decide how far the “pause and reassess” button is automated and where human or governance layers are expected to step in.
4‑3. Mismatch Between Label Isolation and Real-World Isolation
Third, there is a mismatch between label isolation and real-world isolation. Even if multiple vaults carry different names, if they are all latched onto the same oracle, the same redemption gateway, and the same hedge and operations stack, they are effectively one giant position.
As of mid-November, USDX liquidity was roughly $8.39 million on Camelot V3, $4.09 million on Curve, $3.17 million on Balancer V3, about $1.18 million on Balancer V2, and only tens of thousands of dollars on Uniswap V3. When liquidity is this thin and fragmented across pools, friction or distortion in a single pool can affect overall price discovery in a nonlinear way. Even if the label says “isolated market,” in real terms the same risk is connected across many venues.
5. Comparison Frame: MetaMorpho’s ‘Slow Permissions’ and ‘Glass Box’
A counter-example that tries to move in the opposite direction is Morpho / MetaMorpho. Their design philosophy is not “trust the people” but “trust the procedures.”
The core of a MetaMorpho vault is as follows:
- All critical parameters—collateral factors, supply and borrow caps, oracle sources, and allocation across markets—are exposed on-chain. Anyone can read these values and reconstruct the vault’s risk exposures.
- Changing these parameters requires a time-lock. Risk limits cannot be flipped overnight due to someone’s mood or external pressure.
- Guardians and LPs are given veto rights, so changes decided by risk curators can be blocked within a certain time window.
- The roles of Owner, Curator, Allocator, and Guardian are separated so that authority does not concentrate in a single entity.
In terms of incentives, MetaMorpho does not universally enforce a “risk-metric-linked reward” standard. In practice, most vaults adopt the familiar structure of performance fees and management fees. However, how each vault sets its risk limits and what risk policies it follows can be inspected in on-chain state and documentation. For example, in Felix vaults built on Hyperliquid’s HYPE, exposure limits, oracle configuration, guardians, and time-lock settings are all directly queryable on-chain. The principle lives in the protocol’s design; the actual effect emerges from each vault’s settings.
Seen through this frame, many of the vault products involved in the recent crisis remained stuck in structures that force users to trust people. The market, however, has started to pay a premium for designs where you can trust the procedures instead.
6. Regulation and Communication: Are Redemption Rights ‘Rights’ or ‘Goodwill’?
Under the EU’s MiCA rules, the core requirement for e-money tokens (EMTs) is simple: they must be issued at par and come with a guaranteed right to redeem at par at all times. Holders can demand par redemption from the issuer whenever they wish, and the issuer must honor it.
Whether the stables mentioned in this crisis were actually licensed or marketed as EMTs in the EEA is a separate question in each case. At the level of principle, though, structures that do not embed redemption as a right conflict with the EMT framing. When Stables Labs describes its recovery plan as ‘voluntary’ and ‘not a legal redemption obligation’, it sends a clear signal both in regulatory terms and in investor psychology. The market immediately prices this as a discount factor.
Communication in a crisis is especially important. If you only start emphasizing ‘voluntary recovery’ after redemption gateways have been gated, participants suffering losses under information asymmetry will rationally adopt the worst-case assumption. Trust is not manufactured on the spot in a crisis; it is built in advance through procedures encoded in code and contracts.
7. Implications: Five Things to Fix Right Now
First, we need to redefine the roles and responsibilities of centralized risk curators. Operations that do not provide key signals about custody, hedging, and redemption in an externally auditable form are structurally dangerous, no matter how high the headline yield.
Second, the industry needs a shared understanding of what responsibility permissionless overcollateralized lending protocols bear. Oracle selection and failover policies, rapid cap adjustments for specific assets, and standardized emergency pause procedures should be bundled into a common layer.
Third, as curated vaults spread exposure over multiple markets, they dilute the meaning of ‘isolated markets’. Without real separation of oracles, redemption paths, hedges, and operational resources, label-level isolation is largely meaningless. If shared resources are unavoidable, at a minimum we need rules for caps, circuit breakers, and localized liquidation limits.
Fourth, the importance of yield risk ratings will only grow. Several teams are already turning this into products. Credora Network was acquired by RedStone, combining credit and risk data with oracle services. Exponential links its analysis to the Yo app to compare yields and risks across vaults. Stablewatch and vaults.fyi provide yield and risk intelligence; Accountable supplies cryptographically verified vault data. Block Analitica has long provided customized risk dashboards for protocols such as Sky and Compound, while Chaos Labs publishes risk feeds for Aave and others. As these tools become standardized, users will be able to choose vaults based on metrics, not just names and marketing.
Fifth, the DYOR checklist for retail needs to change. Comparing APYs alone is meaningless. At a minimum, users should check these five points:
- Does the product provide Proof-of-Hedge for off-chain hedges?
- Are redemptions guaranteed as an on-chain right?
- Are the oracle’s failover rules explicitly specified?
- Are there time-locks and guardians around parameter changes?
- Is liquidity too thin, or overly concentrated in a single pool?
8. Minimal Design: Observability, Procedure, Rights
To avoid repeating the same story in the next cycle, at least the following four elements need to become defaults.
-
Proof-of-Hedge
Use exchange-signed receipts or zero-knowledge proofs to periodically commit total delta, margin buffers, and rollover status on-chain. Even without publishing every position, the system must be able to prove the existence and adequacy of its hedges. -
On-chain Redemption Rights
Redemption must be a system-level right, not an act of managerial “goodwill.” Even if it makes the system a bit slower, the redemption path, FIFO and priority rules, intra-day limits, and emergency haircut/pro-rata distribution rules should be hard-coded. In a crisis, these rules—not human discretion—have to fire first. -
Slow Permissions
Through time-locks, guardian vetoes, and role separation, parameter changes should be deliberately slowed down. It is not “fast decision-making” but predictable decision-making that creates safety. -
Physical Separation Plus Caps and Circuit Breakers
Wherever possible, separate oracles, hedges, redemption paths, and operational resources at the physical level, and where sharing is unavoidable, enforce caps and circuit breakers. Shared bottlenecks must not collapse into single points of failure.
If these four elements are missing, the same narrative will repeat regardless of the label. A new vault appears with a fresh name, advertises high yields, and once external shocks and internal bottlenecks align, another “vault crisis” is born.
Closing
This episode is not just a collection of failures by a few projects. It is an event where unproven hedges, permissioned redemptions, fragile oracle failure modes, and shared bottlenecks disguised as isolated labels all surfaced at once. The solution is not a more aesthetically pleasing yield curve, but coding in three pillars: observability, procedure, and rights. Proof-of-Hedge, on-chain redemption rights, slow permissions, and physical separation—these four are the minimum conditions for surviving the next cycle.
USDX 디페깅 사태 분석과 시사점: 무엇이 무너졌고, 무엇을 고쳐야 하는가
최근 디파이에서 vault·스테이블 연동 상품이 연달아 붕괴했다. 이 글은 그 흐름을 한 줄기의 이야기로 묶고, 그 안에서 공통된 구조적 문제를 정리한다. 핵심은 단순하다. 불투명한 구조 위의 높은 수익은 평소에는 성과처럼 보이지만, 외부 충격과 내부 병목이 동시에 오면 레버리지가 되어 시스템을 부러뜨린다. 시장은 이제 ‘누가 운용하느냐’보다 ‘어떤 절차와 데이터 위에서 운용하느냐’를 기준으로 가격을 매긴다.
1. 발단: vault·수익형 상품의 확장, 경고, 그리고 무시
시간이 지나면서 디파이에는 수많은 vault와 수익형 상품이 생겼다. 리스크는 숨기고 수익률만 전면에 내세우는 구조가 표준처럼 굳었다. ‘격리형 전략’, ‘시장 중립’, ‘델타 중립’ 같은 라벨이 신뢰를 대신했다. 유저는 개별 포지션을 모니터링하지 않고, 리스크 큐레이터에게 헷지·롤오버·담보 관리를 통째로 맡겼다.
이 과정에서 커뮤니티 일부는 일찌감치 경고를 보냈다. xUSD, Midas LYT 같은 상품이 대표 사례로 거론됐다. 이들이 지적한 포인트는 크게 두 가지였다.
첫째, 오프체인 헷지 의존과 권한형 상환 구조가 외부에서는 보이지 않는다는 점이다. 헷지 포지션이 실제로 존재하는지, 규모와 롤오버 상태는 어떤지, 상환 권리가 ‘코드로 보장된 권리’인지 ‘운영자의 재량’인지를 검증할 수 없으면, 시스템은 충격에 취약해진다.
둘째, 같은 리스크 축 위에서 레버리지가 겹겹이 쌓여 있다는 점이다. 표면적으로는 여러 vault와 마켓이 격리된 것처럼 보이지만, 실제로는 같은 스테이블, 같은 헷지, 같은 oracle에 묶여 있으면 라벨만 다를 뿐이다. 수익률을 조금이라도 끌어올리기 위해 이 구조 위에 더 많은 루프를 얹으면, 격리라는 약속은 사실상 의미를 잃는다.
이 경고가 거의 무시되던 시점에, 11월 3일 Balancer V2 대형 익스플로잇이 터졌다. 컴포저블 스테이블 풀의 정밀도(라운딩) 취약점을 악용한 공격으로, 여러 체인에서 1억 달러가 넘는 자산이 빠져나갔다. 이 사건 자체가 xUSD나 USDX를 직접 공격한 것은 아니지만, 디파이 전반의 리스크 프리미엄을 끌어올렸다. 거래소와 대출 프로토콜의 마진 요구, 펀딩비, 차입·대여 금리 곡선이 단기간에 다시 그려지는 것은 자연스러운 반응이다. 이때부터는 ‘어느 쪽이 먼저 터지느냐’의 문제였다.
시장 스트레스가 커지자, xUSD를 발행하던 Stream Finance로 환매 수요가 몰렸다. 유저들은 xUSD를 USDC로 상환 받거나 다른 자산으로 바꾸기 시작했고, 이 흐름은 순식간에 가속했다. 이후 전개는 전형적이다. 페그를 잃은 토큰, 뒤늦게 반응하는 oracle, 막힌 상환 창구, 레버리지로 부풀려진 TVL이 한 화면에 겹쳐지기 시작했다.
2. 폭락과 부실: 가격 붕괴, oracle 오류, bad debt
xUSD는 11월 초부터 급격히 흔들렸다. 커뮤니티 기록을 종합하면, 한때 1.26달러까지 고평가된 뒤 방향을 틀어 0.07달러 수준까지 떨어졌다. Stream Finance는 공식적으로 약 9,300만 달러 손실이 발생했다고 인정했다. 여기까지만 보면 특정 프로젝트의 부실로 끝날 수도 있었다.
문제는 xUSD가 온체인에서 담보로 광범위하게 쓰이고 있었다는 점이다. Silo Finance, Morpho, Euler, Enclabs Finance 등 일부 과담보 대출 프로토콜에서 xUSD 가격 oracle이 1.26달러 수준으로 잘못 고정되어 있었다. 온체인 가격이 폭락해도 oracle은 여전히 1달러 이상을 가리켰다. 그 결과 xUSD를 담보로 잡은 포지션을 정상적으로 청산할 수 없게 되었고, 여러 마켓에서 bad debt가 빠르게 쌓였다. 커뮤니티에서는 대략 1억~3억 달러 사이에서 부실 규모를 추정했지만, 정확한 숫자는 각 프로토콜의 사후 정산과 공시를 기다려야 한다.
연쇄 충격은 다른 스테이블에도 바로 이어졌다. Elixir의 deUSD는 담보의 65%를 xUSD에 의존하던 구조였다. xUSD 가격 붕괴와 함께 deUSD도 1달러에서 0.007달러 수준까지 떨어졌고, 프로젝트는 사실상 종료 수순을 밟았다. 가격 차트와 거래 데이터는 급격한 하락과 유동성 소진을 그대로 보여준다.
같은 시기 Aave는 이더리움 메인넷에서 deUSD·sdeUSD를 담보로 지원하던 마켓을 임시 중단했다. oracle은 deUSD를 0.86달러 수준까지 낮게 읽었지만, 일부 경로에서 1.06달러로 유지되는 괴리가 관측됐기 때문이다. Aave는 ‘조금 늦게 반영된 잘못된 가격으로 계속 운영하기’보다는 ‘일단 멈추고 리스크를 재평가하기’를 선택했다. 시스템 설계 관점에서 보면, 오류 상태로 계속 돌리는 것보다 정지가 낫다는 선택이다.
비슷한 시점에 USDX와 sUSDX의 방어선도 무너졌다. 11월 6일 USDX는 0.35~0.60달러 구간으로 떨어졌고, 일부 집계에서는 0.30달러 인쇄도 포착됐다. sUSDX는 그 직전까지 1.1달러대에서 거래되다가, 이 날을 전후해 0.6달러대로 급락했다. 이는 단순한 가격 변동이 아니라 상환이 실제로 작동하는지에 대한 의심이 가격에 반영된 결과다.
USDX의 상환 구조는 원래부터 권한형이었다. 직접 상환은 KYC/KYB를 통과한 주소만 가능하고, USDT 기준 7일 만기 상환을 기본으로 한다. 위기 상황에서 이 상환 게이트웨이에 지연이 생기자, 기초자산(USDX)과 스테이킹 청구권(sUSDX) 사이의 전환은 사실상 멈췄다. 차익거래자는 더 이상 ‘싸게 사서 상환해 차익을 먹는’ 마지막 매수자 역할을 하려 하지 않았다. 이후 가격 데이터에는 USDX가 0.064달러 근처까지 내려앉은 캔들이 또렷이 찍혔다.
운영 측은 뒤늦게 복구 어레인지먼트를 발표했다. 문제는 이 프로그램이 ‘자발적인 복구 노력’이며, ‘법적 상환 의무나 보장을 의미하지 않는다’고 명시했다는 것이다. 평소에는 규제 프레임을 강조하던 프로젝트가 위기 시점에 ‘법적 의무가 아니다’고 선회하게 되면, 시장은 이를 곧장 액면가 상환권 부재로 해석한다. 이 시점에서 USDX는 1달러를 목표로 하는 토큰일 뿐, 1달러를 청구할 권리는 아니게 된다.
담보 노출을 가진 프로토콜들의 대응은 크게 갈렸다. Lista DAO는 유명한 LIP-022 제안을 통해 1시간짜리 긴급 투표를 열고, 투표가 끝나기도 전에 플래시론을 이용해 USDX 포지션을 강제 청산했다. 이후 해당 마켓의 이자율은 3%로 재설정됐다. 당시 차입금리가 일시적으로 수백 퍼센트까지 튀었다는 보도가 이어졌다. 반면 다른 일부 마켓은 손실을 사실상 방치한 채 뚜렷한 조치를 취하지 않아, 시장의 불확실성만 키웠다.
한편 Sei 생태계의 sfastUSD도 1달러에서 0에 가까운 수준까지 붕괴했다. 이를 담보로 받던 Yei Finance는 약 860만 달러의 부실을 팀 재원으로 전액 보상하겠다고 발표했다. 이용자 입장에서는 다행이지만, 시스템 리스크 관점에서는 사람의 선의에 의존하는 구조는 지속 가능하지 않다는 사실을 다시 보여준다. 위기가 터졌을 때 작동해야 하는 것은 공지나 보상이 아니라, 코드와 절차다.
3. 후폭풍: 법적 공방 예고, 대규모 유출, TVL 하강
사태 이후 리스크 큐레이터와 대출 프로토콜들은 각자의 방식으로 대응에 들어갔다. K3 Capital은 법적 대응 가능성을 시사했고, Silo Finance 역시 강제 청산과 법적 절차를 포함한 대응 옵션을 공개적으로 언급했다. 이는 단순한 감정 표출이 아니라, ‘이 손실을 누가 어떻게 책임질 것인가’를 둘러싼 싸움의 전조다. 앞으로 법원, 규제 당국, DAO 거버넌스가 모두 관여하는 복합적인 분쟁으로 번질 가능성이 있다.
한편 유저 측 반응은 훨씬 빠르고 단순했다. 출금이다. srUSD 준비금 대시보드는 단기간에 2억 5천만 달러대까지 빠르게 줄어드는 모습을 보여줬고, Midas 관련 생태계에서도 운영진과 외부 분석 계정이 4억 달러대 유출을 언급했다. 단일 상품이 아니라, ‘vault·yield’ 전반에 대한 신뢰가 줄어든 결과다.
TVL 하락은 특히 레버리지로 TVL을 크게 키웠던 리스크 큐레이터들에게 집중됐다. 개별 운영사마다 수치는 다르지만, 공통된 패턴은 분명하다. 레버리지로 부풀린 TVL은 시장이 겁을 먹을 때 더 빠르게 줄어든다. 시스템이 안전해서 들어온 돈이 아니라, ‘남들보다 조금 더 높은 수익률’ 때문에 들어온 돈이기 때문이다.
4. 구조적 해부: 왜 같은 패턴이 반복되는가
여러 프로젝트와 프로토콜이 얽혀 있지만, 구조를 뜯어보면 공통점은 크게 세 가지다.
4-1. 증빙 없는 오프체인 헷지와 권한형 상환
첫째, 오프체인 헷지와 권한형 상환에 대한 증빙이 없다는 점이다. USDX를 예로 들면, 문서상으로는 Off-Exchange Settlement(OES) 계정에 자산을 보관하고, 여러 거래소에 미러링된 포지션을 올려 델타를 중립화한다고 설명한다. 하지만 외부에서는 그 포지션이 실제로 존재하는지, 어느 방향으로 얼마나 열려 있는지, 롤오버는 제때 되고 있는지, 마진 여유는 충분한지 알 수 없다.
직접 상환 역시 제한된 주소만 사용할 수 있고, 그마저도 7일 만기 같은 운영 파라미터에 묶여 있다. 위기 시 상환 게이트웨이가 막히면, 온체인 가격은 정보가 아니라 공포의 지표가 된다.
4-2. oracle의 실패 모드
둘째, oracle의 실패 모드가 취약하다. xUSD처럼 oracle이 한동안 잘못된 기준가를 유지하면, 담보 시스템은 버그 상태로 계속 돌아간다. 이때 가장 중요한 것은 정밀한 값이 아니라 끊기지 않는 값(liveness)과, 값이 이상할 때 어떤 식으로 보수적으로 페일오버할지에 대한 명확한 규칙이다. “잠깐 멈추고 재평가한다”는 버튼을 어디까지 자동화할 것인지, 어디까지 인간·거버넌스 레이어에 맡길 것인지에 대한 설계가 필요하다.
4-3. 라벨 격리와 실물 격리의 불일치
셋째, 라벨 격리와 실물 격리의 불일치다. 여러 vault가 서로 다른 이름을 달고 있어도, 내부적으로 같은 oracle, 같은 상환 창구, 같은 헷지와 운영 시스템에 달라붙어 있으면 사실상 하나의 거대한 포지션일 뿐이다.
11월 중순 기준으로 USDX 유동성은 대략 Camelot V3 약 839만 달러, Curve 약 409만 달러, Balancer V3 약 317만 달러, Balancer V2 약 118만 달러, Uniswap V3는 수만 달러 수준에 불과했다. 이처럼 유동성이 얇고 여러 풀에 찢어져 있으면, 특정 풀의 마찰과 왜곡이 전체 가격 발견에 비선형적으로 영향을 미친다. 라벨상 “isolated market”이라도, 실물적으로는 동일 위험이 여러 곳에 연결되어 있는 셈이다.
5. 비교 프레임: MetaMorpho가 보여주는 ‘느린 권한’과 ‘유리상자’
정반대 방향의 설계를 시도한 예가 Morpho / MetaMorpho다. 이들은 “사람을 믿자”가 아니라 “절차를 믿자”는 쪽으로 설계를 끌고 간다.
MetaMorpho vault의 핵심은 다음과 같다.
- 모든 중요한 파라미터, 즉 담보 인정 비율, 공급·차입 상한, oracle 소스, 어떤 마켓에 얼마나 배분하는지가 온체인 상태로 드러난다. 누구나 이 값을 읽고 위험 노출을 재구성할 수 있다.
- 이러한 파라미터를 바꾸려면 타임락(time-lock)을 거쳐야 한다. 당장 오늘 누군가의 기분이나 외부 압박으로 리스크 한도가 뒤집히지 않는다.
- Guardian과 LP에게 거부권을 부여해, 리스크 큐레이터가 결정한 변경이 일정 시간 안에 막힐 수 있는 구조를 만든다.
- Owner·Curator·Allocator·Guardian 역할을 분리해, 권한이 한 곳에 몰리지 않도록 한다.
보상 구조 측면에서는, MetaMorpho가 ‘리스크 지표 연동 보상’을 공통 규칙으로 강제하는 것은 아니다. 현실적으로는 대부분의 vault에서 성과 수수료·관리 수수료 중심의 보상 구조를 채택한다. 다만 vault별로 위험 한도를 어떻게 잡는지, 어떤 리스크 정책을 쓰는지는 온체인 상태와 문서에서 확인할 수 있다. 예를 들어 Hyperliquid의 HYPE를 기초로 하는 Felix vault들의 경우, 노출 한도·oracle·Guardian·타임락 설정은 직접 체인 상에서 조회 가능하다. 원칙은 프로토콜 설계에 있고, 실제 효과는 각 vault의 세팅에서 나온다.
이 프레임에서 보면, 최근 vault 사태의 많은 상품들은 사람을 믿게 만드는 구조에 머물러 있었다. 반면 시장은 점점 절차를 믿을 수 있는 구조에 프리미엄을 주기 시작했다.
6. 규제와 커뮤니케이션: 상환권은 ‘권리’인가, ‘선의’인가
EU의 MiCA 규정에서 전자화폐토큰(EMT)의 핵심은 간단하다. 액면가로 발행하고, 언제든 액면가로 상환할 권리를 보장해야 한다. 보유자는 원할 때 발행자에게 액면가 상환을 요구할 수 있고, 발행자는 이를 이행해야 한다.
이번 사태에 등장한 여러 스테이블들이 실제로 EEA 지역에서 EMT로 인가·마케팅되었는지 여부는 각자 따져봐야 할 사안이다. 다만 원칙 차원에서 보면, 상환권을 권리로 설계하지 않은 구조는 EMT 프레임과 충돌한다. Stables Labs가 복구 프로그램을 “자발적이고, 법적 상환 의무가 아니다”라고 규정한 것은, 규제 프레임 상에서도, 투자자 심리 상에서도 분명한 신호다. 시장은 이를 즉시 할인 요인으로 반영했다.
위기 국면에서의 커뮤니케이션은 특히 중요하다. 상환 게이트웨이가 막힌 다음에야 “자발적 복구”를 강조하면, 정보 비대칭 하에서 손실을 본 참여자는 합리적으로 최악의 가정을 하게 된다. 신뢰는 위기 때 갑자기 만들어지는 것이 아니라, 평소에 코드와 계약으로 깔아놓은 절차를 통해 쌓이는 것이다.
7. 시사점: 지금 당장 손대야 할 다섯 가지
첫째, 중앙화된 리스크 큐레이터의 역할과 책임을 다시 정의해야 한다. 자산 보관, 헷지, 상환에 관한 핵심 신호를 외부 검증 가능한 형태로 제공하지 않는 운영은, 아무리 높은 수익률을 보여도 구조적으로 위험하다.
둘째, 퍼미션리스 과담보 대출 프로토콜의 책임 범위에 대한 업계 합의가 필요하다. oracle 선택과 페일오버 정책, 특정 담보에 대한 신속 상한 조정, 표준화된 긴급 멈춤 절차를 “공통 레이어”로 묶을 필요가 있다.
셋째, curated vault가 여러 마켓에 걸쳐 노출을 발생시키면서, “isolated market”의 의미를 희석시키는 문제를 다시 봐야 한다. oracle·상환·헷지·운영 리소스를 실제로 분리하지 않는 한, 라벨상 격리는 큰 의미가 없다. 불가피하게 공유 리소스를 써야 한다면, 최소한 상한(cap), 서킷브레이커, 지역화된 청산 한도를 규칙으로 넣어야 한다.
넷째, yield risk rating의 중요성은 앞으로 더 커질 것이다. 이미 여러 팀이 이를 상품화하고 있다. Credora Network는 RedStone에 인수되며 신용·리스크 데이터와 oracle을 묶는 그림을 그리고 있고, Exponential은 자체 앱 Yo와 연동해 vault별 수익·위험을 비교한다. Stablewatch와 vaults.fyi는 수익·리스크 인텔리전스를 제공하고, Accountable은 암호학적으로 검증된 vault 데이터를 제공한다. Block Analitica는 Sky·Compound 같은 프로토콜에 맞춤형 리스크 대시보드를 제공해 왔고, Chaos Labs는 Aave 등의 리스크 피드를 공개하고 있다. 이런 도구가 표준화되면, 유저는 “이름과 홍보”가 아니라 지표를 보고 vault를 선택할 수 있다.
다섯째, 리테일의 DYOR 기준도 바뀌어야 한다. 수익률 숫자만 비교하는 것은 의미가 없다. 최소한 다음 다섯 가지만 체크해야 한다.
- 오프체인 헷지를 증명(Proof-of-Hedge) 하는가.
- 상환이 온체인 권리로 보장되는가.
- oracle의 페일오버 규칙이 명시되어 있는가.
- 파라미터 변경에 타임락과 Guardian이 있는가.
- 유동성이 너무 얇거나, 특정 풀에 과도하게 쏠려 있지는 않은가.
8. 최소 설계안: 관찰 가능성, 절차, 권리
이번 사태를 교훈 삼아 다음 사이클에서 같은 일을 반복하지 않으려면, 최소한 다음 네 가지는 기본값이 되어야 한다.
-
Proof‑of‑Hedge
거래소 서명 영수증이나 영지식 증명을 이용해, 총 델타·마진 여유·롤오버 상태를 주기적으로 온체인에 커밋해야 한다. 세부 포지션을 공개하지 않더라도, 헷지의 존재와 충분성을 증명할 수 있어야 한다. -
온체인 상환권 상환은 운영진의 “선의”가 아니라 시스템 차원의 권리여야 한다. 속도가 조금 느리더라도, 확정적인 경로와 FIFO·우선순위, 일중 한도, 비상시 감산·순차 배분 규칙을 코드로 고정해야 한다. 위기 때는 사람의 재량이 아니라 이 규칙이 먼저 작동해야 한다.
-
느린 권한 타임락, Guardian 거부권, 역할 분리를 통해 파라미터 변경을 의도적으로 느리게 만들어야 한다. 빠른 의사결정이 아니라, 예측 가능한 의사결정이 안전을 만든다.
-
실물 격리와 상한·서킷브레이커 oracle·헷지·상환·운영 리소스를 가능한 한 분리하고, 불가피하게 공유할 경우에는 상한과 서킷브레이커를 반드시 넣어야 한다. 공유 병목이 하나의 실패점으로 수렴하지 않도록 해야 한다.
이 네 가지가 갖춰지지 않으면, 라벨이 무엇이든 결국 같은 서사가 반복된다. 이름만 다른 새로운 vault가 등장하고, 높은 수익률을 내세운 뒤, 외부 충격과 내부 병목이 겹치는 순간 또 한 번의 “vault 사태”가 만들어질 것이다.
끝맺음
이번 사건은 개별 프로젝트 몇 개의 실패담이 아니다. 증빙 없는 헷지, 권한형 상환, 취약한 oracle 실패 모드, 라벨만 격리된 공유 병목이 한꺼번에 드러난 사건이다. 해결책은 화려한 수익률 곡선이 아니라, 관찰 가능성·절차·권리라는 세 축을 코드로 고정하는 일이다. Proof-of-Hedge, 온체인 상환권, 느린 권한, 실물 격리. 이 네 가지가 다음 사이클에서 살아남을 수 있는 최소 조건이다.
USDX デペッグ危機の分析と示唆:何が崩れ、何を修正すべきか
近年の DeFi では、ボルトやステーブル連動型プロダクトの崩壊が相次いでいる。本稿はそれらの出来事を一本のストーリーとして束ね、その中に共通して潜む構造的な問題を整理する。ポイントはシンプルだ。不透明な構造の上に積み上げられた高利回りは、平時には成果に見えても、外部ショックと内部ボトルネックが同時に来た瞬間にシステムを折るレバレッジへと変わる。 市場はいま、「誰が運用しているか」ではなく、その運用がどのようなプロセスとデータの上に乗っているかを基準に価格を付け始めている。
1. 発端:Vault・イールド商品の拡張、警告、そして無視
時間の経過とともに、DeFi には数え切れないほどのボルトとイールド商品が生まれた。リスクを見えないところに押し込み、表向きには利回りの数字だけを掲げる構造が標準のように固定化された。「アイソレーテッド戦略」「マーケットニュートラル」「デルタニュートラル」といったラベルが信頼の代用品として機能した。ユーザーは個々のポジションをモニタリングすることをやめ、ヘッジ・ロールオーバー・担保管理をまとめてリスクキュレーターに委ねた。
その過程で、コミュニティの一部はかなり早い段階から警告を発していた。xUSD や Midas LYT といったプロダクトが代表例として繰り返し取り上げられた。彼らが指摘したポイントは大きく二つある。
一つ目は、オフチェーンヘッジ依存と権限型(パーミッションド)償還構造が外部からは見えないという点だ。ヘッジポジションが本当に存在するのか、どの方向にどれくらい開いているのか、ロールオーバーは適切に行われているのか、マージン余力は十分か、そして償還権がコードによって保証された権利なのか、それとも運営者の裁量なのかが検証できなければ、システムはショックに対して脆くなる。
二つ目は、同じリスク軸の上にレバレッジが何重にも積み重なっているという点だ。表面上は多くのボルトやマーケットが分離されているように見えても、実際には同じステーブル、同じヘッジ、同じオラクルに紐づいていればラベルが違うだけだ。わずかでも利回りを上げるためにこの構造の上にループをさらに重ねていけば、「アイソレーテッド」という約束は実質的な意味を失う。
こうした警告がほとんど無視されていたタイミングで、11 月 3 日に大規模な Balancer V2 エクスプロイトが発生した。コンポーザブルステーブルプールの精度(丸め処理)の脆弱性を突いた攻撃で、複数チェーンから 1 億ドル超の資産が抜き取られた。この攻撃自体は xUSD や USDX を直接狙ったものではないが、DeFi 全体のリスクプレミアムを一段引き上げた。取引所やレンディングプロトコルがマージン要件やファンディングレート、貸借金利カーブを短期間で引き直したのは自然な反応だ。この時点からは、「どこが最初に壊れるか」という問題になっていた。
市場のストレスが高まると、xUSD の発行元である Stream Finance に償還需要が殺到した。ユーザーは xUSD を USDC に償還したり、他の資産に乗り換えたりし始め、そのフローは瞬く間に加速した。その後の展開は教科書的だ。ペグを失ったトークン、反応が遅れるオラクル、詰まり始めた償還ゲートウェイ、そしてレバレッジで水増しされた TVL が一つの画面に重なり始めた。
2. 暴落と不良債権:価格崩壊、オラクルエラー、Bad Debt
11 月初頭から、xUSD の価格は激しく揺れ始めた。コミュニティの記録を総合すると、一時は 1.26 ドルまで割高に取引された後、反転して約 0.07 ドルまで落ち込んでいる。Stream Finance は公式に約 9,300 万ドルの損失が発生したと認めた。ここまでは、特定プロジェクトの破綻として終わる可能性もあった。
問題は、xUSD がオンチェーンで広範に担保として利用されていた点だ。Silo Finance、Morpho、Euler、Enclabs Finance など一部の過担保レンディングプロトコルでは、xUSD のオラクル価格が誤って 1.26 ドル近辺に固定されていた。オンチェーン価格が暴落してもオラクルは 1 ドル超を指し続けた。その結果、xUSD を担保にしたポジションは正常に清算できなくなり、複数のマーケットでBad Debt が急速に積み上がった。コミュニティでは不良債権の規模を1 億〜3 億ドル程度と推計したが、正確な数字は各プロトコルの事後精算と開示を待つ必要がある。
連鎖的なショックは他のステーブルにもすぐに波及した。Elixir の deUSD は担保の 65% を xUSD に依存していた。xUSD の価格崩壊とともに deUSD も1 ドルから 0.007 ドル近辺まで落ち込み、プロジェクトは事実上クローズの段階に入った。価格チャートと取引データには、急激な下落と流動性の枯渇がそのまま刻まれている。
同じ頃、Aave は Ethereum メインネットで deUSD・sdeUSD を担保に受け入れていたマーケットを一時停止した。オラクルは deUSD を 0.86 ドル前後まで低く読んでいた一方で、ルートによっては 1.06 ドル近辺を指し示す乖離も観測されたからだ。Aave は「やや遅れた誤った価格のまま運転を続ける」よりも、「一旦止めてリスクを再評価する」方を選んだ。システム設計の観点から見れば、エラー状態で回し続けるより、停止する方がマシという選択である。
ほぼ同じタイミングで、USDX と sUSDX の防衛線も崩れた。11 月 6 日、USDX は0.35〜0.60 ドル帯まで落ち込み、一部のアグリゲーターでは0.30 ドル台のプリントも捉えられた。直前まで1.1 ドル台で取引されていた sUSDX も、この前後で0.6 ドル台まで急落した。これは単なる価格変動ではなく、「償還が本当に機能しているのか」への疑念が価格に織り込まれた結果だ。
USDX の償還構造は当初から権限型だった。直接償還が可能なのは KYC/KYB を通過したアドレスだけであり、USDT 建ての7 日満期償還が基本ルートとなっている。危機局面でこの償還ゲートウェイに遅延が生じると、原資産(USDX)とステーキング請求権(sUSDX)との間の転換は実質的に止まってしまった。裁定取引者はもはや「安く買ってパーで償還し差額を抜く」最後の買い手として振る舞おうとしなくなった。その後の価格データには、USDX が0.064 ドル近辺まで沈んだローソク足がはっきりと刻まれている。
運営側は後になって「リカバリー・アレンジメント」を発表した。問題は、このプログラムが「自発的な復旧の試み」であり、「法的な償還義務や保証を意味しない」と明記された点にある。平時には規制フレームを強調していたプロジェクトが、危機の局面で「法的義務ではない」と言い出せば、市場はそれを即座に額面償還権の欠如として解釈する。この時点で USDX は「1 ドルを目指すトークン」ではあっても、「1 ドルを請求する権利」ではなくなる。
担保エクスポージャーを抱えるプロトコルの対応は大きく割れた。Lista DAO は有名になった LIP‑022 提案を通じて 1 時間の緊急投票を開き、投票が終わる前にフラッシュローンを使って USDX ポジションを強制清算した。その後、当該マーケットの金利は3%に再設定された。当時、借入金利が一時的に数百パーセントまで跳ね上がったという報道も出ている。一方で、いくつかのマーケットは損失をほとんど放置し、明確な対応を取らなかったため、市場の不確実性をさらに高める結果となった。
Sei エコシステムの sfastUSD も同様に、1 ドルからほぼゼロまで崩壊した。これを担保として受け入れていた Yei Finance は、約860 万ドルの不良債権をチーム資金で全額補填すると発表した。ユーザーの立場から見れば幸運だが、システムリスクの観点からは再び、「人の善意」に依存する構造は持続可能ではないことを示している。危機が起きたときにまず動くべきなのは、告知や任意の補填ではなく、コードと手続きである。
3. 余震:法的紛争の予兆、大規模な流出、TVL の下降
事案発生後、リスクキュレーターとレンディングプロトコルはそれぞれのやり方で対応に動き始めた。K3 Capital は法的措置の可能性を示唆し、Silo Finance も強制清算や法的手続きを含む対応オプションを公然と語った。これは単なる感情的反応ではなく、「この損失を誰がどのように負担するのか」をめぐる争いの前哨戦である。今後、裁判所・規制当局・DAO ガバナンスがすべて関与する複合的な紛争へ発展する可能性がある。
一方でユーザー側の反応ははるかに速く、単純だった。出金である。srUSD のリザーブダッシュボードは、残高が短期間で約 2 億 5,000 万ドルまで急速に減少していく様子を示しており、Midas 関連エコシステムでも、チームや外部アナリストが約 4 億ドル規模の流出に言及した。これは単一プロダクトからの逃避ではなく、「vault / yield」全体に対する信認の低下の結果だ。
TVL の下落は特に、レバレッジを用いて TVL を大きく膨らませていたリスクキュレーターに集中した。運営者ごとに数字は異なるものの、共通するパターンは明らかだ。レバレッジで水増しされた TVL は、市場が怖がり始めるとより速く縮む。 システムの安全性を信じて入ってきた資金ではなく、「他より少しだけ高い利回り」を見て入ってきた資金だからである。
4. 構造的解剖:なぜ同じパターンが繰り返されるのか
多くのプロジェクトやプロトコルが絡み合っているように見えるが、構造を分解すると共通点は大きく三つに整理できる。
4‑1. 証拠のないオフチェーンヘッジと権限型償還
一つ目は、オフチェーンヘッジと権限型償還についての証拠がないという点だ。USDX を例に取ると、ドキュメント上は Off‑Exchange Settlement(OES)口座に資産を保管し、複数の取引所にミラーリングされたポジションを立ててデルタを中立化していると説明されている。しかし外部からは、そのポジションが本当に存在するのか、どの方向にどれほど開いているのか、ロールオーバーは期日通りに行われているのか、マージン余力は足りているのかを知ることができない。
直接償還も限られたアドレスしか使えず、そのうえ7 日満期といった運用パラメータに縛られている。危機時に償還ゲートウェイが詰まれば、オンチェーン価格は情報ではなく恐怖の指標になってしまう。
4‑2. オラクルの脆弱なフェイルモード
二つ目は、オラクルのフェイルモードが脆弱であることだ。xUSD のように、オラクルがしばらくの間誤った基準価格を維持してしまうと、担保システムはバグ状態のまま回り続ける。このとき最も重要なのは、最後の小数点までの精度ではなく、値が途切れないこと(liveness)と、値がおかしく見えるときにどのように保守的にフェイルオーバーするかという明確なルールである。「一旦止めて再評価する」ボタンをどこまで自動化し、どこから人間やガバナンスレイヤーに委ねるかという設計が必要だ。
4‑3. ラベル上の分離と実物の分離とのギャップ
三つ目は、ラベル上の分離と実物の分離との不一致である。複数のボルトが別々の名前を掲げていても、内部的に同じオラクル・同じ償還ゲートウェイ・同じヘッジやオペレーションの仕組みにぶら下がっていれば、実質的には一つの巨大なポジションに過ぎない。
11 月中旬時点の USDX 流動性は、おおよそ Camelot V3 に約 839 万ドル、Curve に約 409 万ドル、Balancer V3 に約 317 万ドル、Balancer V2 に約 118 万ドル、Uniswap V3 には数万ドル程度しかなかった。このように流動性が薄く、複数のプールに細かく分散している状況では、特定プールの摩擦や歪みが全体のプライスディスカバリーに非線形な影響を与える。ラベル上は「isolated market」であっても、実物としては同じリスクが複数の場所に接続されているに過ぎない。
5. 比較フレーム:MetaMorpho が示す「遅い権限」と「ガラス張り」
これとは正反対の方向性を目指して設計されている例が Morpho / MetaMorpho だ。彼らの思想は「人を信じよう」ではなく、「プロセスを信じよう」という方向に設計を引き寄せることにある。
MetaMorpho Vault の核心は次の通りである。
- 担保認定比率、供給・借入上限、オラクルソース、どのマーケットにどれだけ配分するかといったすべての重要パラメータがオンチェーンの状態として公開されている。誰でもこれらの値を読み取り、Vault のリスクエクスポージャーを再構成できる。
- これらのパラメータを変更するにはタイムロックを通過しなければならない。誰かの気分や外部からの圧力で、今日いきなりリスク上限がひっくり返ることはない。
- ガーディアンやLP に拒否権を与え、リスクキュレーターが決定した変更が一定時間内であればブロックできる構造を作っている。
- Owner・Curator・Allocator・Guardian の役割を分離し、権限が一つの主体に集中しないようにしている。
報酬構造の観点から見ると、MetaMorpho が「リスク指標連動の報酬」を一律に強制しているわけではない。現実的には、ほとんどの Vault がパフォーマンスフィーとマネジメントフィー中心の報酬構造を採用している。ただし、各 Vault がどのようにリスク上限を設定し、どのようなリスクポリシーを使っているかは、オンチェーンの状態とドキュメントから確認できる。例えば、Hyperliquid の HYPE を基礎資産とする Felix Vault 群では、エクスポージャー上限・オラクル設定・ガーディアン・タイムロックの構成をチェーン上で直接参照できる。原則はプロトコル設計の中にあり、その実効性は各 Vault の設定から生まれる。
このフレームで見ると、今回の Vault 事案で問題となった多くの商品は、依然として「人を信じさせる構造」に留まっていた。一方で市場は徐々に、「プロセスを信じられる構造」にプレミアムを与え始めている。
6. 規制とコミュニケーション:償還権は「権利」か「善意」か
EU の MiCA 規則において、電子マネートークン(EMT)の核心は単純だ。額面どおりに発行し、いつでも額面で償還する権利を保証しなければならない。 保有者は望むときに発行体に対して額面償還を要求でき、発行体はこれに応じる義務を負う。
今回の事案に登場したステーブル群が実際に EEA 域内で EMT として認可・マーケティングされていたかどうかは、それぞれ個別に検証すべき論点だ。ただし原則レベルで見れば、償還権を権利として設計していない構造は EMT フレームと正面から衝突する。Stables Labs がリカバリープログラムを「自発的なものであり、法的な償還義務ではない」と規定したことは、規制フレームの観点から見ても、投資家心理の観点から見ても明確なシグナルである。市場はこれを即座にディスカウント要因として織り込んだ。
危機局面でのコミュニケーションは特に重要だ。償還ゲートウェイが詰まった「後になって」から「自発的な復旧」を強調しても、情報の非対称性のもとで損失を被った参加者は合理的に最悪のケースを想定する。信頼は危機のときに突然生まれるものではなく、平時からコードと契約で敷いておいた手続きを通じて積み上がるものだ。
7. 含意:今すぐ手を付けるべき五つの点
一つ目に、集中型リスクキュレーターの役割と責任を改めて定義し直す必要がある。カストディ、ヘッジ、償還に関する重要なシグナルを外部から検証可能な形で提供しない運用は、どれだけ高い利回りを示していても構造的に危険である。
二つ目に、パーミッションレスな過担保レンディングプロトコルの責任範囲について業界としてのコンセンサスが求められる。オラクルの選定とフェイルオーバーポリシー、特定担保に対する迅速な上限調整、標準化された緊急停止手順を「共通レイヤー」として束ねる必要がある。
三つ目に、Curated Vault が複数マーケットにまたがってエクスポージャーを発生させることで、「isolated market」という言葉の意味を希釈している問題を見直すべきだ。オラクル・償還・ヘッジ・運用リソースを実物レベルで分離しない限り、ラベル上の隔離には大きな意味がない。共有リソースを使わざるを得ないなら、少なくとも上限(cap)、サーキットブレーカー、ローカライズされた清算上限をルールとして組み込むべきだ。
四つ目に、イールド・リスクレーティングの重要性は今後さらに増すだろう。すでに複数のチームがこれをプロダクト化している。Credora Network は RedStone に買収され、信用・リスクデータとオラクルを組み合わせた構想を描いている。Exponential は自社アプリ Yo と連携し、Vault ごとのリターンとリスクを比較できるようにしている。Stablewatch と vaults.fyi はイールド・リスクインテリジェンスを提供し、Accountable は暗号学的に検証された Vault データを提供する。Block Analitica は Sky や Compound といったプロトコル向けにカスタムリスクダッシュボードを提供してきたし、Chaos Labs は Aave などのリスクフィードを公開している。こうしたツールが標準化されれば、ユーザーは「名前や宣伝」ではなく指標を見て Vault を選べるようになる。
五つ目に、リテール投資家の DYOR 基準も変わらなければならない。利回りの数字だけを比較しても意味はない。最低限、次の五点をチェックすべきだ。
- オフチェーンヘッジを証明(Proof‑of‑Hedge)しているか。
- 償還がオンチェーンの権利として保証されているか。
- オラクルのフェイルオーバールールが明示されているか。
- パラメータ変更にタイムロックとガーディアンが付いているか。
- 流動性が薄すぎたり、特定プールに過度に偏っていないか。
8. 最小設計案:観測可能性、プロセス、権利
今回の事案を教訓に、次のサイクルで同じことを繰り返さないようにするには、少なくとも次の四つをデフォルトとする必要がある。
-
Proof‑of‑Hedge(ヘッジの証明)
取引所署名付きのレシートやゼロ知識証明を用いて、総デルタ・マージン余力・ロールオーバー状況を定期的にオンチェーンへコミットすべきだ。個々のポジションをすべて公開しなくても、ヘッジの存在と十分性を証明できなければならない。 -
オンチェーン上の償還権
償還は運営陣の「善意」ではなく、システムレベルの権利でなければならない。多少スピードが落ちても、償還パス、FIFO・優先順位、日中上限、非常時のヘアカット・按分配分ルールをコードとして固定すべきだ。危機時に最初に動くのは、人間の裁量ではなくこれらのルールである必要がある。 -
遅い権限(Slow Permissions)
タイムロック、ガーディアンの拒否権、役割分離を通じて、パラメータ変更を意図的に遅くするべきだ。安全性をもたらすのは「速い意思決定」ではなく、予測可能な意思決定である。 -
実物レベルの分離と上限・サーキットブレーカー
可能な限り、オラクル・ヘッジ・償還・運用リソースを実物レベルで分離し、どうしても共有せざるを得ない場合には上限とサーキットブレーカーを必ず設けるべきだ。共有ボトルネックが単一障害点へと収束しないようにしなければならない。
これら四つが揃っていなければ、ラベルが何であろうと同じストーリーが繰り返される。名前だけが違う新しい Vault が登場し、高利回りを掲げ、外部ショックと内部ボトルネックが重なった瞬間に、また別の「Vault 事案」が生まれるだろう。
結びにかえて
今回の出来事は、いくつかのプロジェクトの失敗談にとどまらない。裏付けのないヘッジ、権限型償還、脆弱なオラクルのフェイルモード、ラベルだけが分離された共有ボトルネックが一度に露呈した事件である。解決策は、派手な利回りカーブではなく、観測可能性・プロセス・権利という三本柱をコードとして固定することだ。Proof‑of‑Hedge、オンチェーンの償還権、遅い権限、実物レベルの分離──この四つが、次のサイクルを生き残るための最低条件である。
USDX 脱锚事件的分析与启示:什么崩塌了,又该修复什么
近几年,DeFi 中与 vault 和稳定币挂钩的产品接连爆雷。本文尝试把这条时间线串成一个连贯的故事,并在其中提炼出共同的结构性问题。核心观点很简单:建立在不透明结构上的高收益,在平时看起来像“业绩”,但当外部冲击与内部瓶颈同时到来时,就会变成压断系统的杠杆。 如今市场给资产定价时,看重的已不再是“谁在管理”,而是这些资金究竟是基于怎样的流程和数据被管理。
1. 发端:Vault・收益型产品的扩张、警告与忽视
随着时间推移,DeFi 里诞生了数量庞大的 vault 和收益型产品。把风险藏在幕后、只把收益率摆在台前的结构,几乎成了行业标准。“隔离策略(isolated strategy)”“市场中性(market neutral)”“Delta 中性(delta neutral)”等标签取代了真正的信任。用户不再自己监控单个仓位,而是把对冲、展期、抵押管理整包交给所谓的“风险策展人(risk curator)”。
在这个过程中,社区的一部分人很早就发出了警告。xUSD、Midas LYT 等产品反复被点名为典型案例。批评者主要指出了两点。
第一,对链下对冲的依赖以及权力集中型(permissioned)赎回结构,对外是不可见的。如果外部无法验证这些对冲仓位是否真实存在、头寸方向和规模如何、展期是否按时进行、保证金缓冲是否充足,也无法判断赎回权究竟是写在代码里的权利,还是运营方的自由裁量,那么系统在冲击面前就极其脆弱。
第二,在同一条风险轴线上叠加了多层杠杆。表面上看,许多 vault 和市场彼此隔离,但如果它们共享同一稳定币、同一套对冲、同一个 oracle,本质上只有标签不同而已。为了多挤出一点点收益,在这套结构上不断加回路,等于把“隔离”的承诺消解殆尽。
当这些警告大多被忽视时,11 月 3 日大型 Balancer V2 漏洞攻击爆发。攻击者利用可组合稳定池在精度(舍入)上的缺陷,在多条链上盗走了逾 1 亿美元资产。攻击本身并未直接针对 xUSD 或 USDX,但却整体抬升了 DeFi 的风险溢价。交易所和借贷协议在短时间内重新绘制保证金要求、资金费率和借贷利率曲线,是完全自然的反应。从那一刻起,问题就变成了:系统的哪一段会先断裂。
随着市场压力上升,xUSD 发行方 Stream Finance 遭遇了大量赎回需求。用户开始把 xUSD 兑回 USDC,或换入其他资产,这一流向在短时间内迅速加速。此后的情节极具“教科书”意义:失去锚定的代币、反应迟缓的 oracle、堵塞的赎回通道以及被杠杆吹大的 TVL,全都叠加在同一张图上。
2. 暴跌与不良资产:价格崩塌、Oracle 错误与 Bad Debt
从 11 月初开始,xUSD 的价格剧烈震荡。综合社区记录,这一代币一度被炒到 1.26 美元的高位,随后掉头下行,跌至约 0.07 美元。Stream Finance 官方承认本次事件造成了约 9,300 万美元的损失。若只看这一部分,或许还能被视作单一项目的爆雷。
问题在于,xUSD 在链上被广泛用作抵押品。在 Silo Finance、Morpho、Euler、Enclabs Finance 等部分过抵押借贷协议中,xUSD 的 oracle 价格被错误地固定在 1.26 美元附近。即便链上现价已暴跌,oracle 仍给出 1 美元以上的读数。结果是,以 xUSD 为抵押的仓位无法被正常清算,多个市场中的 bad debt(不良债务) 迅速累积。社区对窟窿规模的估计大致落在1 亿至 3 亿美元区间,但最终数字仍取决于各协议事后结算和披露的结果。
连锁冲击马上传导到了其他稳定币。Elixir 的 deUSD 有 65% 的抵押品依赖 xUSD。随着 xUSD 崩盘,deUSD 也从1 美元一路跌至约 0.007 美元,项目事实上进入终止阶段。价格图和成交数据清晰地记录了断崖式下跌与流动性枯竭。
大致相同的时间点,Aave 在以太坊主网上临时暂停了接受 deUSD、sdeUSD 作为抵押品的市场。Oracle 对 deUSD 的价格读数一度低至 0.86 美元,而部分路径上仍能看到 1.06 美元左右的价差。Aave 在此选择“先暂停再评估风险”,而不是“在稍有滞后、且可能错误的价格上继续运行”。从系统设计角度看,这体现的是:在错误状态下继续运转,不如先停下来。
同一时期,USDX 与 sUSDX 的防线也被攻破。11 月 6 日,USDX 跌入0.35–0.60 美元区间,部分聚合器甚至记录到0.30 美元附近的成交。此前一直在1.1 美元附近交易的 sUSDX,也在前后几日暴跌至0.6 美元区间。这不只是价格波动,而是市场在给出一个信号:“赎回机制是否真的在运转?”。
USDX 的赎回结构从一开始就是权限控制型的。只有通过 KYC/KYB 的地址才能直接赎回,且以 USDT 计价的7 天期赎回为默认路径。在危机中,赎回网关出现延迟,导致基础资产(USDX)与质押权益(sUSDX)之间的转换基本停摆。套利者不再愿意扮演那个“低价买入、按面值赎回、赚取差价”的最后买家角色。之后的价格数据中,可以清晰看到 USDX 一度下探至约 0.064 美元。
运营方随后宣布了所谓的“恢复安排(recovery arrangement)”。问题在于,该方案被描述为“自愿的恢复努力”,并明确指出不构成法律上的赎回义务或保证。当一个平时强调合规、监管框架的项目,在关键时刻转而宣称“这不是法律义务”时,市场会立刻把这理解为缺乏按面值赎回的权利。从那一刻起,USDX 只是一种“目标价为 1 美元的代币”,而不再是持有人“可向谁主张 1 美元”的权利凭证。
对于暴露在相关抵押上的协议,处理方式则大相径庭。Lista DAO 通过广为人知的提案 LIP‑022 发起了一小时的紧急投票,并在投票结束前就使用闪电贷强制清算了 USDX 仓位。之后,该市场的借款利率被重置为3%。当时有报道指出,其瞬时借款利率一度飙升至数百个百分点。相对地,另一些市场几乎放任亏空不管,没有给出明确的应对,进一步放大了不确定性。
在 Sei 生态 中,sfastUSD 同样从1 美元崩到接近 0。接受其为抵押品的 Yei Finance 宣布,将动用团队资金全额弥补约860 万美元的不良债务。从用户视角看,这是幸运的结果;但从系统性风险角度看,这再次说明:依赖“好人”和善意兜底的结构并不可持续。危机爆发时,应该最先启动的不是公告和补偿,而是事先写入代码的机制与流程。
3. 余波:法律战的预兆、大规模外流与 TVL 下坠
事发之后,风险策展人和借贷协议纷纷以各自方式启动应对。K3 Capital 暗示可能采取法律行动,Silo Finance 也公开提到包括强制清算、司法程序在内的一系列选项。这不仅是情绪宣泄,而是围绕“谁最终承担损失、通过什么机制承担”的博弈前奏。未来不排除出现法院、监管机构与 DAO 治理多方交织的大型纷争。
相比之下,用户端的反应要更快也更简单:提款。srUSD 的储备看板显示,余额在短时间内迅速下降到约 2.5 亿美元。在 Midas 生态中,项目方与外部分析账户也都提到约 4 亿美元级别的资金外流。这并不是单一产品的挤兑,而是“vault / yield”整条叙事的信任被削弱的体现。
TVL 的下滑尤其集中在那些依靠杠杆把 TVL 做得很大的风险策展人身上。尽管各运营主体的数据不尽相同,但规律非常清楚:被杠杆吹大的 TVL,在市场恐慌时收缩得更快。 那些资金并不是因为系统足够安全才进来,而是因为“这里的利率比别处高一点点”才涌入。
4. 结构解剖:为什么同样的剧情一再重演
牵涉其中的项目和协议看上去错综复杂,但如果把结构拆开来看,共同点主要可以归纳为三条。
4‑1. 缺乏证明的链下对冲与权力集中型赎回
第一,缺乏关于链下对冲与权限型赎回的可验证证据。以 USDX 为例,文件中写着资产存放在 Off‑Exchange Settlement(OES)账户中,并在多家交易所建立镜像仓位以对冲 delta。但从外部无法确认这些仓位是否存在、多空方向和规模如何、展期是否按期完成、保证金余量是否充足。
直接赎回同样只对少数地址开放,而且还受制于7 天期限等运营参数。一旦危机中赎回网关被堵,链上价格就不再是信息,而是恐慌的温度计。
4‑2. 脆弱的 Oracle 失败模式
第二,Oracle 的失败模式十分脆弱。像 xUSD 那样,一旦 Oracle 在一段时间内持续给出错误的基准价,抵押系统就会在“带病状态”下继续运转。此时最关键的不是小数点后几位的精度,而是报价的持续性(liveness),以及当价格看起来异常时如何以保守方式切换到备用逻辑的明晰规则。设计者必须决定,“暂停并重估”的按钮究竟自动化到什么程度,哪些边界要交由人工或治理层来处理。
4‑3. 标签隔离与实质隔离之间的错位
第三,标签意义上的隔离,与资产实质上的隔离并不匹配。哪怕多个 vault 打着不同的名字,如果它们内部都挂在同一个 oracle、同一个赎回通道、同一套对冲与运营系统上,本质上就只是一笔巨大仓位而已。
截至 11 月中旬,USDX 的流动性大约分布为:Camelot V3 约 839 万美元、Curve 约 409 万美元、Balancer V3 约 317 万美元、Balancer V2 约 118 万美元,而 Uniswap V3 上只有几万美元的规模。在流动性如此稀薄、并被切碎到多个池子的情况下,某一个池子的摩擦和扭曲,就有可能以非线性方式影响整体价格发现。即便标签上写着“isolated market”,在实物层面也不过是同一风险经由多条路径互联。
5. 比较视角:MetaMorpho 展示的「慢权限」与「玻璃箱」
与上述方向几乎相反的设计例子,是 Morpho / MetaMorpho。它们的目标不是“相信人”,而是把设计拉向“相信流程”。
MetaMorpho vault 的核心要点如下:
- 所有关键参数——抵押因子、存借上限、Oracle 来源、在各市场之间如何分配资金——都以链上状态公开。任何人都可以读取这些值,并重建 vault 的风险敞口。
- 修改这些参数必须先经过时间锁(time-lock)。风险上限不会因为某个人当天的情绪或外部压力就突然被推翻。
- 赋予守护者(Guardian)与LP 否决权,使得风控策展人制定的变更在一定时间窗口内可以被拦下。
- 将 Owner、Curator、Allocator、Guardian 等角色分离,避免权限集中到单一实体。
在奖励结构方面,MetaMorpho 并没有统一强制执行“与风险指标挂钩的激励”。现实中,大部分 vault 仍采用业绩分成 + 管理费这种熟悉的模式。但每个 vault 如何设定风险上限、采用怎样的风险策略,都可以从链上状态与文档中查证。比如,以 Hyperliquid 的 HYPE 为基础资产的 Felix Vault 系列,其敞口上限、Oracle 配置、守护者与时间锁设定,都可以在链上直接查询。原则写在协议设计里,真正的效果来自每个 vault 的具体配置。
从这个比较框架来看,本次事件中暴露问题的许多 vault 产品,本质上仍停留在“让用户去相信人的结构”上,而市场已经开始给那些“可以相信流程的结构”支付溢价。
6. 监管与沟通:赎回权是「权利」还是「善意」?
在欧盟的 MiCA 规则中,电子货币代币(EMT)的核心要求其实很简单:必须按面值发行,并保证随时按面值赎回的权利。持有者在任何时候都可以向发行方要求按面值赎回,而发行方负有履行义务。
本次事件中出现的这些稳定币,是否真的在 EEA 区域被作为 EMT 取得牌照并进行营销,需要逐个具体分析。但从原则层面看,没有把赎回权设计成“权利”而只是运营方选择的结构,与 EMT 框架是相冲突的。当 Stables Labs 把恢复计划描述为“自愿的,且不构成法律上的赎回义务”时,无论在监管语境还是在投资者心理层面,这都是非常明确的信号。市场随即把这一点折价进价格。
危机时刻的沟通尤为关键。如果在赎回入口被关闭之后,才开始强调所谓“自愿恢复”,那么在信息严重不对称的情况下遭受损失的参与者,自然会做出最悲观的假设。信任不是在危机当下临时制造出来的,而是依靠平时就已经写进代码与合约的流程,长期积累起来的。
7. 启示:现在就该动手的五件事
第一,必须重新界定中心化风险策展人的角色与责任。在资产托管、对冲、赎回这些关键维度上,如果不能以外部可验证的形式提供信号,那么无论账面收益多高,这样的运营都是结构性高危。
第二,行业需要就“无许可过抵押借贷协议的责任边界”形成共识。Oracle 的选择与失败切换策略、针对特定抵押品的迅速上限调整、标准化的紧急暂停流程,应该被打包成一个共同层(common layer)。
第三,随着 curated vault 在多个市场间制造敞口,“isolated market” 这一说法的含义被严重稀释。如果在实际层面并未分离 Oracle、赎回、对冲与运营资源,那么标签层面的隔离几乎没有意义。若共享资源不可避免,至少需要事先写入上限(cap)、熔断(circuit breaker)以及本地化清算限额等规则。
第四,收益风险评级(yield risk rating) 的重要性会持续上升。已经有多个团队在将其产品化。Credora Network 被 RedStone 收购,把信用 / 风险数据与 Oracle 结合起来;Exponential 通过自家应用 Yo,帮助用户在不同 vault 之间比较收益与风险;Stablewatch 与 vaults.fyi 提供收益 / 风险情报;Accountable 提供经过密码学验证的 vault 数据;Block Analitica 长期为 Sky、Compound 等协议提供定制风险看板;Chaos Labs 则为 Aave 等协议公开风险数据源。随着这些工具的标准化,用户将能够根据指标而不是名字和宣传来选择 vault。
第五,散户的 DYOR 标准也需要升级。单纯比较收益率数字没有意义。至少应核对以下五点:
- 是否对链下对冲提供了可验证的 Proof‑of‑Hedge?
- 赎回是否被设计为链上可执行的权利?
- Oracle 的失败切换规则是否被清晰写明?
- 参数变更是否配有时间锁与守护者?
- 流动性是否过于单薄,或过度集中在某个单一池子?
8. 最小设计方案:可观测性、流程、权利
要真正避免在下一轮周期重演同一场戏,至少需要把以下四项变成默认设置:
-
Proof‑of‑Hedge(对冲证明)
使用交易所签名的凭证或零知识证明,定期将总 delta、保证金冗余与展期状态提交到链上。即便不公开全部明细仓位,也必须能证明对冲确实存在且规模足够。 -
链上赎回权
赎回必须是一项系统级的权利,而不是运营团队“心情好时施舍的好意”。即使会牺牲一点速度,也应当把赎回路径、FIFO 与优先级规则、日内限额以及紧急情形下的减记 / 按比例分配规则写死在代码里。危机来临时,首先启动的应该是这些规则,而非人。 -
慢权限(Slow Permissions)
通过时间锁、守护者否决权与角色分离,刻意拖慢参数调整节奏。保障安全的关键不在于“决策多快”,而在于决策是否可以被预期。 -
实物层面的隔离与上限 / 熔断机制
在可能的情况下,尽量在物理 / 实务层面拆分 Oracle、对冲、赎回与运营资源;确实必须共享时,则务必设置上限和熔断机制,避免共享瓶颈收敛成单点故障。
如果缺少这四项,无论挂着什么样的标签,最终都会讲回同一套老故事:一个名字全新的 vault 登场,打出高收益招牌;当外部冲击与内部瓶颈叠加时,又一次“vault 事件”被写入历史。
结语
本次事件绝不仅是几个项目的失败故事。它集中暴露了缺乏证明的对冲、权力集中型赎回、脆弱的 Oracle 失败模式以及仅在标签上“隔离”的共享瓶颈。解决之道不在于画出更漂亮的收益曲线,而在于把可观测性、流程与权利这三根支柱写进代码。Proof‑of‑Hedge、链上赎回权、慢权限与实物隔离——这四点,是在下一轮周期中存活下来的最低门槛。
Análisis y lecciones de la crisis de desanclaje de USDX: qué se rompió y qué debemos corregir
En los últimos años, los productos DeFi vinculados a vaults y stablecoins han sufrido una serie de colapsos. Este artículo conecta esos eventos en un mismo relato y extrae los problemas estructurales comunes. La idea central es sencilla: los altos rendimientos construidos sobre estructuras opacas pueden parecer buenos resultados en tiempos normales, pero cuando coinciden shocks externos y cuellos de botella internos, se transforman en apalancamiento capaz de quebrar el sistema. El mercado ha empezado a valorar los activos no tanto por “quién los gestiona”, sino por qué procedimientos y datos sustentan esa gestión.
1. Origen: expansión de productos de vault y yield, advertencias y desatención
Con el tiempo, DeFi se ha llenado de innumerables vaults y productos de rendimiento. Esconder el riesgo mientras se exhibe solo el número de rentabilidad se volvió el estándar de facto. Etiquetas como “estrategia aislada”, “market neutral” o “delta neutral” pasaron a sustituir la confianza real. Los usuarios dejaron de vigilar posición por posición y delegaron el conjunto de la cobertura, los rollovers y la gestión de garantías en los denominados curadores de riesgo.
En ese proceso, una parte de la comunidad lanzó advertencias muy tempranas. Productos como xUSD y Midas LYT fueron citados repetidamente como ejemplos representativos. Las críticas convergían en dos puntos principales.
Primero, la dependencia de coberturas off‑chain y de estructuras de rescate permissionadas es invisible desde fuera. Si no se puede verificar si las posiciones de hedge existen de verdad, en qué dirección y por qué tamaño están abiertas, cómo se gestionan los rollovers y cuántos márgenes de seguridad hay, ni tampoco si el derecho de rescate está garantizado por código o depende del criterio discrecional del operador, el sistema se vuelve extremadamente frágil ante shocks.
Segundo, el apalancamiento se ha ido apilando una y otra vez sobre el mismo eje de riesgo. En la superficie, muchos vaults y mercados parecen estar aislados; pero si comparten la misma stablecoin, la misma cobertura y el mismo oracle, solo cambia la etiqueta, no la exposición real. Añadir más bucles sobre esta estructura para exprimir algunas décimas adicionales de rendimiento acaba vaciando de contenido la promesa de aislamiento.
Cuando estas advertencias eran ignoradas casi por completo, el gran exploit de Balancer V2 estalló el 3 de noviembre. Los atacantes explotaron un fallo de precisión (redondeo) en los composable stable pools y drenaron más de 100 millones de dólares en activos a través de varias cadenas. El ataque no tuvo como objetivo directo a xUSD ni a USDX, pero elevó la prima de riesgo en todo DeFi. Resultó natural que exchanges y protocolos de préstamo redibujaran, en poco tiempo, requisitos de margen, curvas de tipos y funding rates. A partir de ese momento, la cuestión pasó a ser qué parte del sistema se rompería antes.
Con el aumento de la tensión de mercado, la demanda de rescate se volcó sobre Stream Finance, emisor de xUSD. Los usuarios empezaron a canjear xUSD por USDC o a rotar hacia otros activos, y ese flujo se aceleró rápidamente. La secuencia posterior fue de manual: un token que pierde el peg, un oracle que reacciona tarde, puertas de rescate que se atascan y un TVL inflado por el apalancamiento, todo ello superpuesto en la misma escena.
2. Caída y morosidad: colapso del precio, errores de oráculo y bad debt
Desde comienzos de noviembre, xUSD empezó a mostrar oscilaciones violentas. Recopilando los registros de la comunidad, el token llegó a cotizar en torno a 1,26 dólares antes de invertirse y caer hasta unos 0,07 dólares. Stream Finance reconoció oficialmente pérdidas cercanas a 93 millones de dólares. De forma aislada, esto podría haberse quedado en el colapso de un proyecto concreto.
Lo que lo convirtió en un problema sistémico fue que xUSD se utilizaba masivamente como colateral on‑chain. En varios protocolos de préstamo sobrecolateralizado —Silo Finance, Morpho, Euler, Enclabs Finance, entre otros— el oracle de xUSD estaba erróneamente fijado alrededor de 1,26 dólares. Aunque el precio on‑chain se desplomó, el oracle seguía marcando por encima de 1 dólar. Como consecuencia, las posiciones colateralizadas con xUSD dejaron de poder liquidarse correctamente, y el bad debt empezó a acumularse con rapidez en múltiples mercados. Las estimaciones comunitarias sitúan el agujero total en la franja de 100 a 300 millones de dólares, aunque la cifra exacta dependerá de la contabilidad y las publicaciones posteriores de cada protocolo.
El shock se transmitió inmediatamente a otros stables. deUSD, de Elixir, dependía de xUSD para el 65% de su colateral. A medida que xUSD colapsaba, deUSD cayó también de 1 dólar hasta alrededor de 0,007 dólares, llevando al proyecto a una fase de cierre de facto. Los gráficos de precio y los datos de negociación muestran con claridad la caída abrupta y el agotamiento de la liquidez.
En el mismo periodo, Aave suspendió temporalmente en Ethereum mainnet los mercados que aceptaban deUSD y sdeUSD como colateral. El oracle había comenzado a leer deUSD cerca de 0,86 dólares, mientras que en determinadas rutas seguía observándose alrededor de 1,06 dólares, revelando una clara discrepancia. Aave optó por “parar y reevaluar el riesgo” en lugar de “seguir operando sobre precios ligeramente atrasados y potencialmente erróneos”. Desde el punto de vista del diseño del sistema, esta decisión refleja la máxima de que es mejor detenerse que seguir ejecutando en un estado defectuoso.
Paralelamente, las defensas de USDX y sUSDX también cedieron. El 6 de noviembre, USDX cayó a la franja de 0,35–0,60 dólares, y algunos agregadores registraron incluso operaciones en torno a 0,30 dólares. sUSDX, que hasta poco antes cotizaba en la zona de 1,1 dólares, se desplomó hasta la franja de los 0,6 dólares en esos días. No se trataba de una volatilidad cualquiera, sino de que el mercado estaba incorporando dudas sobre si los mecanismos de rescate funcionaban realmente.
La estructura de rescate de USDX fue permissionada desde el principio. Solo las direcciones que superaban los procesos de KYC/KYB podían rescatar directamente, y el camino por defecto consistía en un rescate a 7 días en USDT. Cuando, en plena crisis, ese gateway de rescate empezó a sufrir retrasos, la conversión entre el activo subyacente (USDX) y el derecho de staking (sUSDX) prácticamente se detuvo. Los arbitrajistas dejaron de querer desempeñar el papel de “comprador final” que adquiere USDX con descuento y lo rescata a la par para capturar el spread. Los datos posteriores muestran velas claras de USDX negociándose en torno a 0,064 dólares.
Los operadores anunciaron con retraso un “recovery arrangement”. El problema es que el programa se describía como un “esfuerzo de recuperación voluntario” y, en términos explícitos, no como “una obligación legal de rescate ni una garantía”. Cuando un proyecto que en tiempos normales enfatiza su encaje regulatorio, en plena crisis pasa a decir “esto no es una obligación legal”, el mercado lo interpreta de inmediato como la ausencia de un derecho de rescate a la par. Desde ese punto, USDX deja de ser un “token cuyo objetivo es cotizar a 1 dólar” para convertirse en algo que no confiere un “derecho exigible a cobrar 1 dólar”.
Los protocolos expuestos a este colateral reaccionaron de maneras muy distintas. Lista DAO, mediante la ya famosa propuesta LIP‑022, abrió una votación de emergencia de una hora y, antes incluso de que concluyera, empleó flash loans para liquidar forzosamente las posiciones en USDX. Después, el tipo de interés de ese mercado se reconfiguró al 3%. Se llegó a informar de picos de tipos de préstamo de cientos por ciento durante el episodio. Otros mercados, en cambio, dejaron prácticamente que las pérdidas se pudrieran sin una acción clara, amplificando la incertidumbre.
En el ecosistema de Sei, sfastUSD también se desplomó de 1 dólar hasta casi cero. Yei Finance, que lo aceptaba como colateral, anunció que cubriría con fondos del equipo aproximadamente 8,6 millones de dólares de bad debt. Desde la perspectiva del usuario es una buena noticia; desde la óptica del riesgo sistémico, vuelve a mostrarse que las estructuras que dependen, en última instancia, de la buena voluntad humana no son sostenibles. Cuando estalla una crisis, lo que debe activarse primero no son los comunicados ni los rescates discrecionales, sino el código y los procedimientos.
3. Resaca: preludio de batallas legales, grandes salidas y caída del TVL
Tras el estallido, los curadores de riesgo y los protocolos de préstamo comenzaron a reaccionar cada uno a su manera. K3 Capital insinuó posibles acciones legales y Silo Finance habló públicamente de opciones que incluían liquidaciones forzosas y procedimientos judiciales. No se trata de un arrebato emocional, sino de los primeros compases de una disputa sobre quién va a soportar las pérdidas y a través de qué mecanismos. Es probable que veamos conflictos complejos en los que se crucen tribunales, autoridades regulatorias y gobernanza de DAOs.
Los usuarios, en cambio, reaccionaron de forma mucho más rápida y sencilla: retiraron fondos. El panel de reservas de srUSD mostró un descenso acelerado de los saldos hasta situarse en torno a 250 millones de dólares, y en el ecosistema de Midas tanto el equipo como analistas externos mencionaron salidas en el orden de los 400 millones de dólares. No fue un simple bank run sobre un producto concreto, sino una pérdida de confianza en el conjunto de la narrativa de “vault / yield”.
La caída del TVL afectó con especial intensidad a los curadores de riesgo que habían inflado sus cifras con mucho apalancamiento. Aunque los datos varían según el operador, el patrón es evidente: un TVL inflado por el apalancamiento se desinfla mucho más rápido cuando el mercado se asusta. Ese capital no entró porque el sistema fuera seguro, sino porque “el rendimiento era un poco mejor que en otros sitios”.
4. Anatomía estructural: por qué se repite el mismo patrón
Sobre el papel, muchos proyectos y protocolos distintos parecen entrelazados, pero al descomponer la estructura emergen tres factores comunes.
4‑1. Coberturas off‑chain sin prueba y rescates permissionados
Primero, no hay pruebas verificables de las coberturas off‑chain ni de los rescates permissionados. Tomemos USDX como ejemplo: la documentación afirma que los activos se custodian en cuentas de Off‑Exchange Settlement (OES) y que se abren posiciones espejo en varios exchanges para neutralizar el delta. Desde fuera, sin embargo, no se puede saber si esas posiciones existen realmente, en qué dirección y por cuánto están abiertas, si los rollovers se ejecutan a tiempo o si el margen de seguridad es suficiente.
Los rescates directos también están limitados a un conjunto de direcciones, y además sujetos a parámetros operativos como ese plazo de 7 días. Cuando en una crisis el gateway de rescate se atasca, el precio on‑chain deja de ser una señal de información para convertirse en un termómetro del miedo.
4‑2. Modos de fallo frágiles en los oracles
Segundo, los modos de fallo de los oracles son frágiles. En casos como xUSD, si el oracle mantiene durante un tiempo un precio de referencia equivocado, el sistema de colateral sigue funcionando en un estado bugueado. En ese escenario, lo más importante no es la precisión hasta la última cifra decimal, sino la liveness del feed y la existencia de reglas claras sobre cómo hacer failover de forma conservadora cuando los valores parecen anómalos. Hay que decidir hasta dónde se automatiza el botón de “pausar y reevaluar” y qué parte se delega al nivel humano o de gobernanza.
4‑3. Desajuste entre el aislamiento en la etiqueta y el aislamiento real
Tercero, existe un desajuste entre el aislamiento de etiqueta y el aislamiento real. Aunque varios vaults luzcan nombres diferentes, si internamente se apoyan en el mismo oracle, el mismo gateway de rescate y la misma infraestructura de hedge y operaciones, en la práctica equivalen a una única posición gigante.
Hacia mediados de noviembre, la liquidez de USDX se distribuía aproximadamente así: unos 8,39 millones de dólares en Camelot V3, 4,09 millones en Curve, 3,17 millones en Balancer V3, alrededor de 1,18 millones en Balancer V2 y apenas unas decenas de miles en Uniswap V3. Cuando la liquidez es tan fina y está fragmentada entre varios pools, la fricción o distorsión en uno solo puede influir de manera no lineal en el proceso global de descubrimiento de precios. Aunque la etiqueta diga “isolated market”, en términos reales es el mismo riesgo conectado por múltiples canales.
5. Marco comparativo: el “poder lento” y la “caja de cristal” de MetaMorpho
Un ejemplo que apunta en la dirección contraria es Morpho / MetaMorpho. Su filosofía no es “confiemos en las personas”, sino desplazar el diseño hacia “confiemos en los procedimientos”.
El núcleo de un vault de MetaMorpho se resume así:
- Todos los parámetros críticos —factores de colateral, límites de suministro y endeudamiento, fuentes de oracle y asignación entre mercados— se exponen como estado on‑chain. Cualquiera puede leerlos y reconstruir las exposiciones del vault.
- Cambiar estos parámetros requiere un time‑lock. Los límites de riesgo no pueden invertirse de la noche a la mañana por el estado de ánimo de alguien o por presión externa.
- Se asignan derechos de veto a guardians y LPs, de modo que las modificaciones decididas por los curadores de riesgo pueden bloquearse dentro de una ventana temporal.
- Los roles de Owner, Curator, Allocator y Guardian se separan, evitando la concentración de poder en una sola entidad.
En cuanto a incentivos, MetaMorpho no impone una norma universal de “recompensas pegadas a métricas de riesgo”. En la práctica, la mayoría de los vaults sigue utilizando el esquema clásico de comisión de rendimiento y comisión de gestión. Lo que sí se puede inspeccionar en el estado on‑chain y en la documentación es cómo fija cada vault sus límites de riesgo y qué políticas aplica. Por ejemplo, en los vaults Felix basados en HYPE de Hyperliquid, los límites de exposición, la configuración del oracle, los guardians y los time‑locks son consultables directamente en la cadena. El principio vive en el diseño del protocolo; el efecto real surge de la configuración concreta de cada vault.
Desde este marco, muchos de los productos implicados en la reciente crisis permanecían anclados en estructuras que obligan al usuario a confiar en personas. El mercado, en cambio, ha empezado a pagar una prima por diseños en los que se puede confiar en los procedimientos.
6. Regulación y comunicación: ¿el derecho de rescate es “derecho” o “buena voluntad”?
Bajo el marco de MiCA en la UE, el requisito fundamental de los e‑money tokens (EMT) es directo: deben emitirse a la par y garantizar en todo momento un derecho de rescate a la par. El tenedor puede exigir en cualquier momento el rescate al valor nominal, y el emisor está obligado a cumplirlo.
Si las stablecoins mencionadas en este episodio estaban realmente licenciadas o comercializadas como EMT en el EEE es una cuestión a analizar caso por caso. A nivel de principios, sin embargo, las estructuras que no codifican el rescate como un derecho, sino como una opción operativa chocan frontalmente con el marco de EMT. Cuando Stables Labs califica su programa de recuperación como “voluntario” y “no una obligación legal de rescate”, lanza una señal inequívoca tanto en términos regulatorios como psicológicos. El mercado la traduce inmediatamente en un factor de descuento.
La comunicación en plena crisis es especialmente crítica. Si se empieza a destacar la “recuperación voluntaria” solo después de haber cerrado los gateways de rescate, los participantes que sufren pérdidas bajo una fuerte asimetría de información harán, de forma racional, la hipótesis más pesimista. La confianza no se fabrica en el instante de la crisis; se construye de antemano a través de procedimientos codificados en contratos y en código.
7. Lecciones: cinco cosas que corregir ya
Primero, debemos redefinir el papel y las responsabilidades de los curadores de riesgo centralizados. Una operación que no ofrece señales clave sobre custodia, coberturas y rescates en forma verificable externamente resulta estructuralmente peligrosa, por muy atractivos que parezcan los rendimientos.
Segundo, el sector necesita un consenso sobre el alcance de responsabilidad de los protocolos de préstamo sobrecolateralizados y permissionless. La elección de oracles y sus políticas de failover, los ajustes rápidos de límites para ciertos colaterales y los procedimientos estándar de pausa de emergencia deberían agruparse en una capa común.
Tercero, a medida que los curated vaults generan exposiciones a lo largo de múltiples mercados, se diluye el significado práctico de “isolated market”. Sin separar de verdad oracles, rutas de rescate, coberturas y recursos operativos, el aislamiento en la etiqueta aporta poco. Cuando el uso de recursos compartidos sea inevitable, al menos deben existir reglas claras de caps, circuit breakers y límites de liquidación localizados.
Cuarto, la importancia de los ratings de riesgo de yield va a crecer. Varios equipos ya trabajan en productos de este tipo. Credora Network fue adquirida por RedStone, combinando datos de crédito y riesgo con servicios de oracle; Exponential se integra con su app Yo para comparar rendimiento y riesgo entre vaults; Stablewatch y vaults.fyi ofrecen inteligencia de rendimiento y riesgo; Accountable aporta datos de vaults verificados criptográficamente; Block Analitica lleva años proporcionando paneles de riesgo a medida para protocolos como Sky y Compound; y Chaos Labs publica feeds de riesgo para Aave, entre otros. A medida que estas herramientas se estandaricen, los usuarios podrán elegir vaults en función de métricas, no solo de nombre y marketing.
Quinto, el checklist de DYOR para el usuario minorista también debe subir de nivel. Comparar únicamente números de APY carece de sentido. Al menos, debería comprobarse lo siguiente:
- ¿El producto demuestra sus coberturas off‑chain mediante algún tipo de Proof‑of‑Hedge?
- ¿El rescate está garantizado como un derecho ejecutable on‑chain?
- ¿Las reglas de failover de los oracles están definidas de forma explícita?
- ¿Los cambios de parámetros cuentan con time‑locks y guardians?
- ¿La liquidez es demasiado fina o está excesivamente concentrada en un único pool?
8. Diseño mínimo: observabilidad, procedimiento, derechos
Para no repetir esta misma historia en el próximo ciclo, al menos las siguientes cuatro piezas deberían convertirse en configuraciones por defecto:
-
Proof‑of‑Hedge (prueba de cobertura)
Emplear recibos firmados por exchanges o pruebas de conocimiento cero para comprometer periódicamente en la cadena el delta total, los márgenes de seguridad y el estado de los rollovers. Aunque no se publiquen todas las posiciones al detalle, el sistema debe poder demostrar que las coberturas existen y son suficientes. -
Derechos de rescate on‑chain
El rescate debe ser un derecho a nivel de sistema, no un acto de “buena voluntad” por parte del equipo. Incluso si eso implica cierta pérdida de rapidez, la ruta de rescate, las reglas de FIFO y prioridad, los límites intradía y los criterios de haircut o reparto pro‑rata en emergencias deben codificarse de forma rígida. En una crisis, quienes deben activarse primero son estas reglas, y no la discreción humana. -
Poder lento (Slow Permissions)
Mediante time‑locks, vetos de guardians y separación de roles, los cambios de parámetros deben hacerse deliberadamente lentos. Lo que genera seguridad no es tanto “decidir rápido”, sino la previsibilidad de las decisiones. -
Separación real de recursos más caps y circuit breakers
Siempre que sea posible, separar en el plano operativo los oracles, las coberturas, las rutas de rescate y los recursos de operación; cuando la compartición sea inevitable, imponer caps y mecanismos de cortacircuito, para que los cuellos de botella compartidos no se conviertan en un único punto de fallo.
Si estas cuatro piezas faltan, el mismo relato se repetirá con independencia de la etiqueta. Aparecerá un nuevo vault con un nombre distinto, ofrecerá altos rendimientos y, cuando coincidan shocks externos y cuellos de botella internos, presenciaremos otra “crisis de vault” con un nuevo envoltorio.
Conclusión
Este episodio no es solo la historia del fracaso de varios proyectos. Es el momento en que coberturas sin prueba, rescates permissionados, modos de fallo frágiles en los oracles y cuellos de botella compartidos camuflados bajo etiquetas de aislamiento quedaron expuestos a la vez. La solución no pasa por dibujar curvas de rendimiento más atractivas, sino por fijar en código tres pilares: observabilidad, procedimiento y derechos. Proof‑of‑Hedge, derechos de rescate on‑chain, poder lento y separación real de recursos: estas cuatro piezas son las condiciones mínimas para sobrevivir al próximo ciclo.