对于构建链上金融基础设施的银行，安全性主要由架构设计阶段的决策决定，而非代码编写之后。升级治理、密钥管理、访问控制、暂停机制、依赖集成和链的选择各自带来不同的风险特征，由于智能合约的不可变性，这些决策在部署后难以更改。不可升级的合约没有补救路径，而可升级合约需要精确控制，如时间锁和多重签名，以防止单方面操作。访问控制架构必须限制单个密钥泄露的影响范围，而暂停机制通常不会阻止特权管理操作。对预言机、跨链桥和其他协议的依赖引入了需要结构化尽职调查的外部风险。链的选择同样影响验证者集中度和工具成熟度。部署前的安全审计记录风险，但难以修复根本性架构缺陷；部署前的架构审查具有更高的杠杆效应。对于面对风险委员会和监管机构的银行项目，早期的架构审查能产生更清晰的安全审计记录，并减少遗留问题。

关键事实

• 架构决策如升级治理和密钥管理在部署前即已固化。
• 智能合约不可变性使部署后修改复杂且风险高。
• 升级治理需要时间锁和多重签名防止单方面更改。
• 访问控制必须限制单个密钥泄露的影响范围。
• 链选择和依赖集成带来不同的安全风险。