Desmontando o jogo subjacente dos Perp DEX a partir do caso Hyperliquid

Porque é que a concorrência entre Perp DEX é, na essência, uma concorrência de “modelos de risco”?

Os contratos perpétuos são o produto de maior valor, de negociação mais frequente e, ao mesmo tempo, aquele com maior risco sistémico no ecossistema financeiro on-chain.

Modelo de risco do Perp DEX: a linha de vida do protocolo

O modelo de risco é o centro dinâmico de controlo de risco do protocolo, determinando se este consegue sobreviver em situações de mercado extremas. É semelhante ao motor de risco das finanças tradicionais, mas com uma complexidade superior, pois os sistemas on-chain não permitem intervenção manual temporária.

Um modelo de risco maduro de um Perp DEX é um sistema composto por vários componentes nucleares, cuja arquitetura e inter-relação são ilustradas no gráfico seguinte:

Figura 1: (Este gráfico mostra como o modelo de risco começa com a entrada de preços, é processado pela camada central de controlo de risco e, por fim, através da camada de buffer de risco, resulta na estabilidade global do sistema e eficiência de capital. Revela a ligação interna entre módulos como modelo de preços, regras de margem, mecanismo de liquidação, fundo de seguro, entre outros.)

Estes módulos, em conjunto, constituem a “estrutura óssea de risco” do protocolo. Qualquer fraqueza numa destas componentes pode levar a falhas estruturais em situações de grande volatilidade:

• LP ou market makers enfrentam perdas incontroláveis (comum no modelo AMM)
• O protocolo torna-se insolvente, fundo de seguro esgota-se rapidamente
• Atrasos nas liquidações levam a liquidações em cadeia e perdas socializadas
• Manipulação do Oracle, originando ataques de arbitradores
• Risco de portfólio descontrolado em ativos múltiplos e alavancagem múltipla, levando a insolvência generalizada

Por outras palavras, o modelo de risco determina quanto capital o protocolo pode suportar, que tipo de traders pode servir e se consegue sobreviver a eventos extremos de mercado. Assim, o modelo de risco define, em última instância, o limite máximo da experiência de negociação, profundidade, eficiência de capital, receitas do protocolo e captura de valor do token.

Esta é a razão pela qual, nos últimos dois anos, a concorrência dos Perp DEX se deslocou para a arquitetura de controlo de risco subjacente, deixando de ser apenas uma guerra de mining ou taxas de negociação.

Desconstrução dos principais módulos do modelo de risco e arquitetura dos Perp DEX

A evolução da arquitetura dos Perp DEX é, na essência, um percurso de “redistribuição do risco”.

• Primeira fase (order book off-chain): o risco está concentrado na robustez do nó centralizado de matching. Representado pelo dYdX, este design garante eficiência de negociação, mas concentra o risco na disponibilidade e segurança do matching off-chain.
• Segunda fase (AMM): o risco é transferido para a exposição direcional do pool de liquidez. Por exemplo, o GMX: no modelo AMM, os LP assumem um risco direcional muito elevado, tornando a perda impermanente, eventos extremos e MEV problemas incontornáveis nesta arquitetura.
• Terceira fase (order book on-chain – CLOB): o risco transforma-se na dependência da performance e determinismo da blockchain subjacente. Projetos como o Hyperliquid representam este modelo, sendo que 70–80% do volume de contratos perpétuos já está concentrado em modelos de order book. Este ambiente on-chain de alta performance implica uma dependência sem precedentes de TPS, estabilidade do mempool e segurança da execução dos contratos.
• Exploração de fronteira (modelo híbrido): o risco reside na lógica e no feedback loop da alternância dinâmica entre order book e pool de liquidez. No caso do Drift em Solana, o AMM funciona como mecanismo de profundidade de reserva, completando automaticamente cotações quando o order book tem baixa liquidez, procurando um novo equilíbrio entre qualidade de execução e eficiência de capital.

As diferenças entre estas arquiteturas manifestam-se, em última análise, no design dos seguintes quatro módulos centrais de controlo de risco:

2.1. Modelo de preços: o padrão do sistema

O modelo de preços define a justiça das negociações, o trigger das liquidações e as taxas de funding, sendo o padrão subjacente do sistema de contratos perpétuos. Enfrenta desafios como latência do oracle, manipulação e MEV. Sistemas maduros utilizam agregação multi-fonte, TWAP e limites de desvio máximo para aumentar a resistência a ataques. O modelo AMM exige ainda um mecanismo interno de preços para simular a profundidade de liquidez, sendo esta uma variável central da exposição ao risco.

2.2. Modelo de liquidação: camada crítica de buffer de risco

O mecanismo de liquidação define a capacidade do sistema de suportar volatilidade de preços, sendo a camada de buffer de risco mais importante do protocolo perpétuo. As suas fronteiras de segurança são determinadas pela margem inicial, margem de manutenção e buffer de liquidação. A lógica de execução (liquidação parcial, integral, leilão) afeta diretamente a experiência do utilizador e a eficiência do sistema. As liquidações enfrentam ainda riscos de congestionamento on-chain e manipulação de bids.

2.3. Fundo de seguro: a última linha de defesa

O fundo de seguro absorve perdas de insolvência, sendo a sua dimensão e regras de utilização um reflexo direto da capacidade do protocolo de suportar riscos – a “última linha de defesa” em eventos extremos. O design requer equilíbrio entre segurança e eficiência de capital: demasiado grande reduz rendibilidade, demasiado pequeno desencadeia auto-deleveraging, prejudicando a reputação do protocolo.

2.4. Gestão de posições: controlador global de risco do sistema

A gestão de posições impede que o sistema saia de controlo devido a concentração excessiva de posições unilaterais. Através de limites de posição, margem dinâmica e taxas de funding, equilibra as forças long/short do mercado. Para ativos múltiplos e long tail, é necessário ainda gerir risco de correlação e manipulação, sendo este um desafio acrescido.

Análise dos trade-offs dos modelos de risco dos principais casos

Atualmente, as principais plataformas estão a migrar para soluções CLOB ou híbridas centradas em CLOB, em busca de melhor precisão de matching e eficiência de capital. A tabela seguinte compara sistematicamente as características dos modelos de risco e trade-offs de quatro projetos representativos:

Tabela 2 (Esta tabela compara Hyperliquid, Aster, edgeX e Lighter nos seguintes vetores: arquitetura central, modelo de preços, mecanismo de liquidação, fundo de seguro, principais riscos e trade-offs, evidenciando as preferências e compromissos de risco de diferentes rotas tecnológicas.)

Pontos chave da análise dos casos:

• Hyperliquid: atingiu eficiência e profundidade próximas das CEX, mas o seu matching combina liquidação on-chain e verificação por order book, aumentando a complexidade do sistema e a dependência dos mecanismos de controlo de risco. Exige um vasto pool de liquidez HLP e mecanismos de controlo de risco complexos, transferindo elevada pressão de risco para os fornecedores de liquidez e para o próprio protocolo.
• Aster: o mecanismo de liquidação segue o princípio de “redução de risco em camadas”, melhorando a eficiência de capital e a robustez em períodos de baixa volatilidade através da “poolização de risco”, mas com o custo de caminhos de propagação de risco mais complexos e elevada sensibilidade a parâmetros.
• edgeX: utiliza ZK-Rollup para garantir alta transparência e verificabilidade, reduzindo a dependência de fundos de seguro externos, mas com limitações de performance devido à disponibilidade de dados e atraso na submissão de estado em L2. O sistema depende de mecanismos redundantes, replay verificável e monitorização rigorosa para mitigar o impacto destes riscos na estabilidade geral.
• Lighter: sob a arquitetura de “order book off-chain verificável”, prioriza auditabilidade e confiança on-chain, à custa de não atingir o limite máximo de performance de matching puramente off-chain, sendo mais adequado para utilizadores que privilegiam transparência, verificabilidade e menor risco sistémico.

Conclusão: fronteiras de segurança e tendências futuras

Até 2025, a fronteira de segurança do Perp DEX evoluiu de “segurança de smart contract” para “segurança a nível de sistema”. O matching on-chain, oráculos de preços, lógica de liquidação, parâmetros de risco, controlo de exposição dos pools de LP, robustez do mecanismo de market making e integridade das mensagens cross-chain, integram um quadro de segurança interdependente.

Três grandes tendências para o futuro:

1. Automação parcial do controlo de risco: mecanismos on-chain são insuficientes para ataques complexos; no futuro, combinar-se-á monitorização off-chain em tempo real e ajuste dinâmico de parâmetros para formar um sistema de “governança semi-automatizada”.

2. Integração com conformidade: formas híbridas “não custodiais mas reguladas” serão chave para atrair liquidez institucional. KYC verificável e pools de liquidez compatíveis tornar-se-ão infraestruturas essenciais.

3. Expansão da fronteira de segurança por via tecnológica: provas de conhecimento zero, L2 de alta performance e design modular permitirão que modelos de risco complexos e em tempo real operem on-chain, elevando o controlo de risco a nível de infraestrutura financeira.

Os vencedores do futuro não se distinguirão apenas por taxas ou profundidade, mas pela fusão entre segurança tecnológica, engenharia financeira e capacidade de integração com quadros regulatórios.