當流動性質押衍生品超過共識閾值,將不再安全
流動性質押衍生品(LSD)如Lido 和類似協議是卡特爾化的一種表現,當超過關鍵共識閾值時,會對以太坊和協議相關的集合資本(pooled capital)構成重大風險。資本配置者應意識到其資本的風險並分配給替代協議。 LSD 協議應該自我限制,以避免中心化和協議風險,最終破壞它們的產品。
請注意,儘管當前的LSD 協議(如Lido)還有很大的改進空間,但本文並未針對當前實現的設計中的不足之處。相反,目的是表明LSD 協議超過共識閾值時的固有問題。
卡特爾化現象
在極端情況下,如果LSD 協議超過關鍵共識閾值,例如1/3、1/2 和2/3,則由於協調的MEV 提取、區塊時間操縱,和/或審查,與非集合資本相比,質押衍生品可以獲得超額利潤,這就是區塊空間的卡特爾化。在這種情況下,由於巨額卡特爾獎勵,質押的資本不被鼓勵在其他地方進行質押,從而增強了卡特爾對質押的控制。
LSD 協議可以隨著時間的推移最大限度地減少治理、可升級性和其他風險,但“誰”成為節點運營商(NO ) 集的一部分,這個問題仍然存在。這也是卡特爾化的主要原因。
決定“誰”成為節點運營商 涉及兩個問題——誰被添加到集合中,而誰被移除。從長遠來看,這可以通過兩種方式進行設計,其一是通過治理(代幣投票或其他類似機制),其二通過圍繞聲譽和盈利能力的自動化機制。
選項1:通過治理決定節點運營商
如果通過治理決定節點運營商,治理代幣(例如LDO)就成了以太坊的主要風險。如果代幣可以決定誰可以成為這個理論上的多數LSD (譯註:即超過關鍵共識閾值的LSD)中的節點運營商,那麼代幣持有者就可以強制進行審查、多區塊MEV 等卡特爾活動,否則將把節點運營商 剔除出去。
事實上,這種經濟壟斷行為只會加強代幣對節點運營商的控制。如果代幣通過破壞性機制行使壟斷地位以獲取超額利潤,那麼在極端情況下,節點運營商的獨立運營將幾乎沒有利潤。因此,治理代幣決定的節點運營商可能成為以太坊協議的一個自我強化卡特爾,造成對以太坊協議的濫用。
治理決定的節點運營商具有另一個明顯的風險,即監管審查和控制。如果在一個LSD 協議下的集合質押超過50%,則該集合質押將獲得審查區塊的能力(更糟糕的是,當超過2/3 便能最終確定這些區塊)。在監管審查攻擊中,有一個獨特的實體——治理代幣持有者——監管者可以對其提出審查請求。根據代幣分佈,這可能是一個比瞄準整個以太坊網絡簡單得多的監管目標。而且,事實上,DAO 代幣的分配通常非常糟糕,少數實體擁有大多數選票。
因此,在對多數LSD 的任何形式的代幣治理控制中,我們都依賴於DAO 的仁慈,或控制有良好的結構。但依靠實體的仁慈、匿名或地理分佈來防止攻擊是不安全的,從長遠來看遠遠不夠。
選項2:通過經濟選擇決定節點運營商
如果是第二種方式,即基於經濟和聲譽決定節點運營商,我們實際上也會看到類似的結果,除了一點,這會是一個自動化的卡特爾。首先,進入節點運營商 集需要時間和資金(即投入一些ETH 質押,類似於Rocketpool 的設計,慢慢顯示盈利能力並獲得更多ETH 分配)。雖然進入需要時間和資金的節點運營商集可能會使新進入者變得困難,但這並不是造成卡特爾化的原因。相反,如果節點運營商的表現不符合某些盈利標準,自動剔除是必須的。
這個機制可能是確保節點運營商 對礦池有益的唯一無需信任(非治理)的方法。定義盈利能力並不容易——要么你定義一些絕對數字(例如獲得良好的基線發行獎勵),要么你需要定義一些相對數字(例如不低於平均/正常盈利能力的10% )。鑑於MEV/TX 獎勵在某個時間窗口內的不可預測性,同時考慮到MEV 獎勵對長期利潤的重要性,我們需要一個動態標準,並且需要在一段時間內與其他運營商/驗證者進行比較。也就是說,由於系統的經濟活動隨著時間的推移存在很大差異,因此系統不能設計為僅具有某些絕對指標,必須在交易費用中引入X 變量。
當所有運營商都使用“誠實”技術時,這種盈利能力比較指標效果很好,但如果任意數量的節點運營商 都傾向於使用破壞性技術,如多區塊MEV 或調整區塊發佈時間以獲取更多MEV,那麼他們就會扭曲盈利目標,這樣一來,如果誠實的節點運營商 不參與破壞性技術,最終將被自動剔除。
這意味著在任何一種方法中(治理決定節點運營商 或經濟選擇決定節點運營商),這樣一個超過共識閾值的池將會卡特爾化。它要么是治理下的直接卡特爾,要么是通過智能合約設計的破壞性、盈利性卡特爾。
質押ETH 治理的缺陷
順便說一句,一些人認為LSD ETH 持有者可以在其底層LSD 協議的治理中擁有發言權,從而阻止分佈不均的財閥代幣。
在這裡需要注意的是,ETH 持有者並不是一般定義的以太坊用戶,而且從長遠來看,我們預計以太坊用戶數量遠遠多於ETH 持有者(持有的ETH 超過了實際交易所需的數量的人)。這是以太坊治理的一個關鍵而重要的事實——並沒有所謂ETH 持有者或質押者的鏈上治理。以太坊是用戶選擇運行的協議。
從長遠來看,ETH 持有者只是用戶的一個子集,因此質押ETH 持有者是更小的子集。在所有ETH 在一個LSD 下成為質押ETH 的極端情況下,治理投票權重或質押ETH 的反對票並不能保護用戶。
因此,即使LSD 協議和LSD 持有者在微妙的攻擊和捕獲中保持一致,這裡頭不會包括用戶,而用戶可以/將會做出反應。
治理的陰險本質
即使LSD 治理存在時間延遲,以至於集合資本可以在變化發生之前退出系統,LSD 協議仍會遭受溫水煮青蛙式治理攻擊。小而緩慢的變化不太可能引起質押資本退出,但隨著時間的推移,系統仍會發生巨大變化。
此外,如上所述,LSD 持有者與以太坊用戶不同。 LSD 持有者可能會接受某種被審查的治理投票,但這仍然是對以太坊協議的攻擊,用戶和開發者將通過他們可以使用的手段——社會干預來減輕攻擊。
注意:“在惡意治理的情況下,質押的ETH 總是可以退出”,以當前來看,在技術上其實並不正確,並且在未來也不一定是正確的。驗證者的活躍密鑰(active key)是當前以太坊PoS 設計中唯一允許退出質押的密鑰。儘管有許多提案希望為BLS 和智能合約提款憑證增加退出功能,但在意圖或設計上尚未達成一致。
資本風險與協議風險
上述大部分討論都集中在LSD 池(例如Lido)對以太坊協議構成的風險上,而不是對池化系統中持有資本的人的風險。因此,這看起來是一個公地悲劇——每個人做出理性決定,加入LSD 協議質押,這對用戶來說是一個好決定,但對協議來說卻是一個越來越糟糕的決定。但事實上,當超過共識閾值時,以太坊協議的風險和分配給LSD 協議的資本風險是一體的。
卡特爾化、濫用MEV 提取、審查等都是對以太坊協議的威脅,用戶和開發者將採用與傳統中心化攻擊相同的方法來應對這些威脅——通過社會干預方式,leak or burn (譯註:leak 指inactivity leak 怠惰懲罰)。因此,將資本匯集到LSD 進行卡特爾化不僅會使以太坊協議面臨風險,而且反過來也會使匯集的資本面臨風險。
這些事情看起來好像是不太可能發生、或永遠不會發生的“尾部風險”,但如果我們在加密貨幣中學到了任何東西——如果它可以被利用或有一些不太可能的“關鍵邊緣案例”,那麼,被利用或崩潰的時間會遠比你想像的要早得多。在這種開放和動態的環境中,剛性的系統發生崩潰,脆弱的系統被利用來獲取樂趣和利潤,這樣的事情一而再地發生。
以太坊協議和用戶可以從LSD 中心化和治理攻擊中恢復,但過程將很狼狽。 Lido 和類似的LSD 產品為了自身的利益應做自我限制,並且資本配置者應承認LSD 協議設計固有的池化風險。由於相關的固有和極端風險,資本配置者不應向LSD 協議分配超過總質押Ether 的25%。
