流動性質押衍生品(Liquid Staking Derivatives,以下簡稱LSD),比如Lido 或其他類似的協議,是一個形成卡特爾化的層面,當它們超過關鍵的共識閾值時,會對以太坊協議和匯集的相關資本產生重大風險。資本配置者應該意識到其資本的風險,並分配到其他替代協議。同時,LSD 協議應該自我限制,以避免最終可能摧毀他們產品的中心化和協議風險。
注意,雖然目前的LSD 協議(如Lido) 還有很大的改進空間,但本文並沒有針對目前這些實現的設計中的缺陷。相反,本文的目的是表明,當LSD 協議在超過共識閾值時存在的固有問題。
形成卡特爾化的層面
在極端情況下,如果某個LSD 協議超過了關鍵的共識閾值,比如1/3、1/2 或者2/3 (即該LSD 協議中匯集的ETH 質押金超過了以太坊信標鏈中的ETH 總質押金的1/3、1/2 或者2/3),並通過協同的MEV (礦工可提取價值)、出塊時間操縱和/或(交易) 審查——即區塊空間的卡特爾化,那麼與其他未匯集起來的ETH 質押金相比,質押衍生品可以實現超額利潤。在這種情況下,由於卡特爾的巨額回報,那麼通過其他地方參與ETH 質押的資本將會受挫,從而自我強化了這個卡特爾對ETH 質押的控制。
LSD 協議可以隨著時間的推移將治理、可升級性和其他風險降到最低,但是「誰」可以成為LSD 協議中的節點運營者(Node Operator,以下簡稱NO) 集的一部分的問題仍然存在。這個控制桿是形成卡特爾化的主要原因。
決定「誰」成為LSD 協議的節點運營者(NO) 涉及兩個問題——即「誰」被添加到節點運營者中心化,「誰」從該中心化被移除。從長遠來看,這可以通過兩種方式設計——要么通過治理(Token 投票或其他類似機制),要么通過圍繞聲譽和盈利能力的自動化機制來決定。
選項1:對節點運營者的治理
就第一種設計方式而言,即通過治理來決定NO (節點運營者),治理代幣 (比如Lido 協議的LDO代幣) 成為了以太坊的一個主要風險。如果該代幣可以決定「誰」可以成為這個理論上佔多數的LSD 協議中的節點運營者,那麼該代幣的持有者們可以(通過投票) 強制該NO 進行諸如交易審查、多區塊MEV 提取等活動,否則他們就將該NO 從節點運營者中心化移除出去。
事實上,這種經濟壟斷活動的強制執行只會加強該代幣對NOs 的控制。如果該代幣行使其壟斷,通過破壞性機制獲得超額利潤,那麼,在極端情況下,NOs 將不會像獨立運營那樣盈利。因此,能夠決定NOs 的治理代幣可能成為一種自我強化的卡特爾化和對以太坊協議的濫用。
這種決定NOs 的治理還有另一個明顯的風險,那就是監管審查和控制。如果在某個LSD 協議中匯集的ETH 質押金超過了以太坊協議中總質押金的50%,那麼這些匯集起來的ETH 質押金就獲得了審查區塊的能力(更糟糕的是,如果這些匯集的ETH 質押金占到了總質押金的2/3,那麼它們就能夠「敲定」這些區塊)。在一場監管審查攻擊中,我們現在有一個明顯的實體——即治理代幣的持有者——監管機構可以向他們提出審查區塊的請求。這很可能是一個比以太坊網絡作為一個整體更簡單的監管目標,具體取決於該代幣的分佈情況。事實上,DAO代幣的分佈情況通常是非常糟糕的,只有幾個實體決定大多數投票。
因此,在對占多數地位的LSD 協議的任何形式的代幣治理控制中,我們都依賴於該協議的DAO 或任何治理結構的善意。依靠這樣一個實體的善意、匿名性或其代幣在地理上的分佈情況來阻止攻擊是不安全的,我們必須將這視為從長遠來看是不夠的。
選項2:基於盈利能力來選擇節點運營者
就第二種設計方式而言,即基於NOs 的盈利能力和聲譽來選擇「誰」可以被添加進LSD 協議的節點運營者中心化,我們實際上最終會得到一個類似的,儘管是自動的卡特爾化結局。首先,進入節點運營者中心化需要一定的時間和資本(也即投入一些ETH,類似於Rocket Pool 的設計,然後慢慢地展示自身的盈利能力並分配到更多的ETH 質押金)。儘管進入這個節點運營者集需要時間和資本,這可能會讓新進入者更難以進入,但這並不是這種設計方式真正的卡特爾化向量。相反,這種設計方式的卡特爾化向量是,如果NOs 的表現達不到某些盈利標準,那麼就會被自動移出節點運營者集。
基於盈利能力來從節點運營者中心化踢出去,這可能是確保NOs 對LSD 協議資金礦池有利的唯一的無須信任的(非治理) 方式。但定義盈利能力會面臨問題——要么你定義一些絕對數字(比如良好的基線ETH 增發獎勵),要么你需要定義一些相對數字(比如在平均/正常盈利能力的10% 以內)。
但考慮到MEV/交易獎勵在某些時間窗口的不可預測性,以及MEV 獎勵對長期利潤的重要性,這些數字需要是動態的,並在一段時間內與其他節點運營者/驗證者進行比較。也就是說,由於系統在一段時間內的經濟活動的高變動性,系統不能設計成有一些絕對指標——比如必須從交易費中獲得X 的盈利。
當所有節點運營者都使用「誠實的」技術時,這種盈利能力對比指標可能很好地起作用,但如果任意數量的NOs 使用破壞性技術(比如多區塊MEV 提取或調整出塊以獲取更多MEV),從而扭曲了盈利目標,那麼誠實的NOs 將最終會被從節點運營者中心化踢出去(如果他們不加入並使用這些破壞性技術的話)。
因此,這意味著無論採用上述哪種方法——不管是對NOs 的治理還是基於盈利能力的選擇/驅逐——這種超過共識閾值的資金礦池都會成為卡特爾化的一個層面。它要么是通過治理形成的直接卡特爾,要么是通過智能合約設計形成的具有破壞性的、盈利能力強的卡特爾。
質押的ETH 作為治理的後盾
題外話:一些人認為,LSD ETH 持有者可以在其底層LSD 協議的治理中擁有發言權,從而成為一個可能是分佈情況糟糕的、富豪統治的治理代幣的安全後盾。
這裡需要注意的是,從定義上來說,ETH 持有者並不是以太坊用戶,且從長遠來看,我們預計以太坊用戶比ETH 持有者要多得多。這是說明以太坊治理的一個關鍵而重要的事實——ETH 持有者或質押者沒有被授予鏈上治理。以太坊是一個由用戶來選擇運行的協議。
從長期來看,ETH 持有者只是用戶的一個子集,因此參與質押的ETH 持有者甚至是該子集的子集。在極端情況下,即所有的ETH 都通過某個LSD 協議參與質押,被質押的ETH 的治理投票權重並不能為用戶保護以太坊平台。
治理的陰險本質
即便在LSD 治理中存在時間延遲,使得匯集的資金可以在治理變化發生之前移除系統,LSD 協議也會遭受「溫水煮青蛙」的治理攻擊。小而緩慢的變化不太可能讓質押資本移除系統,但隨著時間的推移,系統仍然可以發生巨大的變化。
此外,如前所述,LSD 持有者與以太坊用戶並不相同。 LSD 持有者可能會接受某種審查制度所需的治理投票,但這仍然是對以太坊協議的攻擊,用戶和開發者將通過他們可以使用的手段——社交干預來減輕這種攻擊。
需要注意的是:「在面臨惡意治理的情況下,質押的ETH 總是可以移除」實際上在今天技術上是不正確的,未來也不確定是正確的。驗證者的激活密鑰是當前以太坊PoS 設計中唯一允許從質押中移除的密鑰。雖然有許多提案建議添加BLS 和智能合約移除憑據的功能來啟動移除,但這些都還沒有在目的或設計上達成一致。
資本的風險vs. 對系統的風險
上面的大部分討論都中心化在LSD 礦池(如Lido) 對以太坊協議構成的風險,而不是對在礦池系統中持有資本的人構成的風險。因此,這似乎受到了「公地悲劇」的影響——每個人做出一個理性的決定來使用該LAS 協議進行質押,這對用戶來說是一個好決定,但對協議來說是一個越來越壞的決定。但是,事實上,當超過共識閾值時,對以太坊協議的風險和分配給該LSD 協議的資本的風險是捆綁在一起的。
卡特爾化、濫用的MEV 提取、(交易) 審查等都是對以太坊協議的威脅,用戶和開發者將以與傳統中心化攻擊相同的方法應對這些威脅——即通過社交干預來燒毀。因此,將資金匯集進入這個卡特爾化層,不僅使以太坊協議處於風險之中,而且反過來也使這些匯集的資本處於風險之中。
這些可能看起來像「尾部風險」,很難讓人認真對待,或者可能永遠不會發生,但如果我們在加密貨幣領域了解到任何東西——如果它可以被利用或有一些不太可能的「臨界邊緣情況」,那麼它將比你想像的更快地被利用或崩盤。在這個開放的動態環境中,脆弱的系統一次又一次地崩盤,易受攻擊的系統被攻擊以獲取樂趣和利益。
以太坊協議和用戶可以從一次LSD 中心化和治理攻擊中恢復過來,但這不會很美好。我建議Lido 和類似的LSD 產品為了自身的利益而自我限制,並建議資本配置者意識到LSD 協議設計中固有的資本匯集風險。由於相關的固有和極端風險,資本分配者們分配給LSD 協議的ETH 質押金不應該超過ETH 總質押金的25%。