作者:sacha,hackdm.io;編譯:Lynn
對丹尼·瑞安(Danny Ryan) 撰寫的一篇文章的逐節回應。最初於2022 年5 月30 日發佈在notes.ethereum.org上,後來複製到github上。
感謝Hasu、Jon、Barnabé、Sam、Victor、Vasiliy 和Izzy 閱讀本文的草稿。
前言
事實的反面是謊言,但一個深刻真理的反面很可能是另一個深刻真理。
——尼爾斯·玻爾
從整體上看,我認為丹尼采取的立場很棒。但我也認為他的方法也存在同樣重要的風險,但這些風險尚未在公開場合得到適當的討論。
我不認為丹尼本身是錯的,但我確實認為還有另一面沒有傳達得足夠清楚。這樣做就是本文檔的目標。
雙重治理簡介
雙重治理是降低Lido 協議治理風險的重要一步。它代表著從股東資本主義向利益相關者資本主義的轉變。並為以太坊質押者提供了一種在Lido 協議變更中擁有發言權的實用方法。
主要目標是防止LDO 持有者在未經同意的情況下更改協議和stETH 持有者之間的社會契約。如今,LDO 持有者對該協議擁有重要權力,可能會導致該社會契約發生重大變化。這些包括:
-
升級以太坊流動性質押協議代碼。
-
管理以太坊共識層預言機委員會成員名單。
-
以潛在有害或意外的方式改變節點運營商之間的權益分配方式(例如添加或刪除列入白名單的以太坊節點運營商)。
-
以意想不到的或潛在有害的方式改變治理結構(例如鑄造或銷毀LDO、改變投票系統的參數)。
-
更改以太坊流動質押協議的總費用百分比超出商定的邊界(以及定義這些邊界)。
-
決定如何使用國庫
除了財政支出之外,所有這些權力都直接影響利益相關者。雙重治理本質上允許stETH 持有者否決上述對Lido 協議的任何更改,而不會引入新的攻擊媒介,也不會給stETH 持有者帶來過多的政治負擔。
節點運營商的治理
丹尼寫道:
決定“誰”成為“否”取決於兩個問題——誰被添加到集合中以及誰被從集合中刪除。從長遠來看,這可以通過兩種方式之一進行設計——要么通過治理(硬幣投票或其他類似機制),要么通過圍繞聲譽和盈利能力的自動化機制。
在前者中——治理決定否——治理代幣(例如LDO)成為以太坊的主要風險。如果代幣可以決定誰可以成為這個理論上的多數LSD中的節點運營商,那麼代幣持有者可以強制進行審查、多區塊MEV等卡特爾活動,否則NO將從集合中刪除。
……
治理決定NO 存在另一個明顯的風險,即監管審查和控制。如果一種LSD 協議下的集合權益超過50%,則該集合權益將獲得審查區塊的能力(更糟糕的是,由於能夠最終確定此類區塊,因此為2/3)。在監管審查攻擊中,我們現在有了一個獨特的實體——治理代幣持有者——監管機構可以提出審查請求。根據代幣的分佈,這可能是一個比整個以太坊網絡簡單得多的監管目標。事實上,DAO 代幣的分配通常非常糟糕,只有少數實體決定了大多數選票。
雙重治理對於解決上述問題大有幫助。具體來說,如果LDO 持有者試圖不公平地從集合中刪除節點操作符,則其工作原理如下:
-
stETH 持有者的一小部分法定人數(比如總數的5%)可以將治理投票延長足夠長的時間,以便更多的法定人數(比如15%)能夠否決這個糟糕的決定。
-
如果否決通過,所有後續的Lido DAO 提案都會默認被否決(否決狀態)——以避免給stETH 持有者帶來進一步投票的負擔。
-
重要的是,只有LDO 治理和參與的stETH 持有者都同意解決衝突,治理才能恢復正常狀態。
總之,通過賦予stETH 持有者否決節點運營商集變更的權力,LDO 持有者不可能單方面強制審查、多區塊MEV 等卡特爾活動,因為LDO 持有者無法自行刪除異議節點運營商。
關於Danny 的第二個擔憂(監管審查和控制),stETH 的代幣分配與LDO 的分配非常不同,並且更加多樣化。因此,LDO 和stETH 的組合更能抵抗這種審查。它仍然不如ETH 的分佈或以太坊用戶的分佈那麼多樣化,但這只會隨著時間的推移而改善。
節點運營商的經濟選擇
在替代設計中——基於經濟和聲譽的NO——我們實際上最終陷入了類似的、儘管是自動化的卡特爾化。
……
從盈利能力設定的NO 中剔除可能是確保NO 對池有利的唯一不信任(非治理)方法。
定義盈利能力是有問題的……系統不能被設計為只有一些絕對指標——必須使交易費用達到X——因為系統的經濟活動隨著時間的推移存在很大的差異。
當所有運營商都使用“誠實”技術時,這種盈利能力比較指標效果很好,但如果有任何數量的NO 背叛使用破壞性技術,例如多區塊MEV 或調整區塊釋放時間以捕獲更多MEV ,那麼他們就會扭曲盈利目標這樣一來,如果誠實的NO 不加入破壞性技術,他們最終將被自動驅逐。
這意味著無論採用哪種方法(NO 治理或經濟選擇/驅逐),這樣一個超過共識閾值的池都會成為卡特爾化的一個階層。它要么是治理上的直接卡特爾,要么是通過智能合約設計的破壞性、盈利性卡特爾。
這種分析感覺太二元化了。對於Lido(或以太坊)來說,這兩種極端(LDO 對NO 的治理或純粹的算法/經濟選擇/剔除)都是不可能或可取的。
雙重治理對於最大限度地減少卡特爾濫用的風險至關重要。而且,正如丹尼正確指出的那樣,盈利能力是一個過於簡單的指標,不能單獨依賴。
有許多重要因素很難在鏈上驗證——想想地理分佈或管轄多樣性——這意味著人類可能總是需要在某個地方參與循環——儘管這最終可能會減少為每年一次的投票重新平衡節點運營商(新舊)之間的權益。
質押ETH 治理後備方案
一些人認為,LSD ETH 持有者可以在其底層LSD 協議的治理中擁有發言權,從而成為可能分佈不良的富豪代幣的安全後盾。
這裡需要注意的是,根據定義,ETH 持有者並不是以太坊用戶,從長遠來看,我們預計以太坊用戶比ETH持有者要多得多(持有ETH 的人超出了交易所需的數量)。這是以太坊治理的一個關鍵且重要的事實——沒有授予ETH 持有者或利益相關者的鏈上治理。以太坊是用戶選擇運行的協議。
從長遠來看,ETH 持有者只是用戶的一個子集,因此質押的ETH 持有者甚至是用戶的一個子集。在所有ETH 都成為一個LSD 下質押ETH 的極端情況下,治理投票權重或質押ETH 中止並不能為用戶保護以太坊平台。
因此,即使LSD 協議和LSD 持有者在微妙的攻擊和捕獲方面保持一致,用戶也不會並且能夠/將會做出反應。
哈甦的回應很大程度上解決了這些擔憂。
治理的陰險本質
即使LSD 治理存在時間延遲,使得集合資本可以在變化發生之前退出系統,LSD 協議也會遭受“青蛙煮沸”治理攻擊。小而緩慢的變化不太可能讓質押資本退出系統,但隨著時間的推移,系統仍然可能發生巨大變化。
雖然確實如此,但任何治理機制都是如此,無論主要是非正式(軟)還是正式(硬)。
為了扭轉Danny 的觀點,EF 驅動的小而緩慢的協議變化不太可能讓DAO/用戶退出以太坊,但以太坊協議(和精神)仍然可以隨著時間的推移而發生巨大變化。
特別是,它可以改變協議,從而打破早期貢獻者/OG所感知的社會契約。
用埃里克的話來說:
用彌迦的話來說:
雖然我遠不是一個不變性最大化主義者,但我確實相信治理最小化作為一種哲學,存在於軟治理與硬治理的上游。
雖然關於硬治理的缺點已經有很多文章,但軟治理也有其自身的— — 更微妙且經常被掩蓋的— — 涉及未承認/不負責任的權力、如何在不犧牲可信中立性的情況下行使權力以及如何處理權力的問題吸塵器(在發生死亡或悲慘事故時)。這當然不是消除所有尾部風險的靈丹妙藥。
換句話說,軟治理下通常存在大量未被承認的權力。
不被承認的權力是不負責任的權力。不負責任的權力幾乎不可避免地會導致在足夠長的時間範圍內遠離理想的情況。
雖然格沃特在這裡的看法很幽默:),但它確實揭示了保護協議的需要與關鍵參與者之間軟實力的集中之間更深層次的潛在緊張關係。
用Dankrad 稍微嚴肅一點的話來說:
是的,我們可能對你在質押層所做的事情有意見,這可能包括擾亂你的協議並破壞它。
用戶代表
此外,如上所述,LSD 持有者與以太坊用戶不同。 LSD 持有者可能會接受某種審查所需的治理投票,但這仍然是對以太坊協議的攻擊,用戶和開發人員將通過他們掌握的手段(社會干預)來緩解這種攻擊。
也可以從相反的角度來看這一點。
幾乎在我們所看到的任何地方,我們都看到用戶引導的決策往往會鼓勵跨重要維度的市場集中化。
99.9% 的用戶可能不太關心與他們沒有直接關係的時間敏感審查形式,而以太坊一致的流動質押協議的大多數貢獻者可能會這樣做。
例如,大多數用戶不會也不應該關心以太坊節點的地理分佈或管轄多樣性等問題,但與以太坊一致的流動質押協議的貢獻者肯定會關心,並且可以採取切實措施來保持以太坊的彈性跨越這樣的維度。
資本風險與協議風險
上面的大部分討論都集中在LSD 池(例如Lido)對以太坊協議造成的風險,而不是實際上對池系統中持有資本的人帶來的風險。因此,這似乎遭受了公地悲劇——每個人做出理性的決定,對LSD 協議進行質押,這對用戶來說是一個好的決定,但對協議來說卻是一個越來越糟糕的決定。但事實上,當超過共識閾值時,以太坊協議的風險和分配給LSD 協議的資本的風險是聯繫在一起的。
卡特爾化、濫用MEV 提取、審查制度等都是對以太坊協議的威脅,用戶和開發人員將以與傳統中心化攻擊相同的方法做出反應——通過社會干預來洩漏或燒毀。因此,將資本集中到這一卡特爾層不僅使以太坊協議面臨風險,而且反過來也使匯集資本面臨風險。
這些可能看起來像是難以認真對待或可能永遠不會發生的“尾部風險”,但如果我們在加密貨幣中學到了任何東西,那就是——如果它可以被利用或有一些不太可能的“關鍵邊緣情況”,那麼它將是被剝削或崩潰比你想像的要早得多。在這種開放和動態的環境中,脆弱的系統一次又一次崩潰,脆弱的系統一次又一次地被利用來獲取樂趣和利潤。
用Nikolai Mushegian 的話來說,在一個向全世界開放互動的系統中,激勵措施不僅僅是一個建議。它們更類似於物理定律,例如重力或熵。如果系統的某一部分與激勵不相容,那麼它被利用只是時間問題。再多的一廂情願也無法降低這種風險。
依靠阻止不良行為者的承諾打開了尾部風險的大門,這些風險可以說與丹尼強調的風險一樣嚴重,甚至更嚴重。
自限性
以太坊協議和用戶可以從LSD 中心化和治理攻擊中恢復,但這不會很美好。我建議Lido 和類似的LSD 產品為了自身利益而進行自我限制,並且我建議資本分配者承認LSD 協議設計固有的池化風險。由於相關的固有風險和極端風險,資本分配者分配給LSD 協議的資金不應超過ETH 質押總額的25%。
確實不能保證施加人為限制會有好的結果。
事實上,對流動性質押產品施加人為限制很可能不會帶來好的結果。
承諾只能持續這麼久。
這裡的最終遊戲可能是社區無法施加影響的各方的勝利:交易所的流動性質押、機構(和許可的)質押產品,或更不可變(且彈性較低)的協議。
這些理想主義的想法雖然出自好處,但卻脫離了務實的現實,感覺就像是反復出現的EF 盲點。在Lido 推出之前,正是這種錯誤導致交易所佔據主導地位。
附錄:公共產品是好的
那麼,Lido 獲勝的世界對於以太坊上公共產品的未來意味著什麼(特別是Lido DAO 在為未來做出貢獻方面的作用)?
用凱爾文·費希特的話來說:
沿著這些思路,我相信一個好的驗證器集是一種需要資金的公共產品,不應該依賴EF 來提供資金(部分原因是其封閉的治理結構和過大的軟實力並不適合自己)此處的可信中立規則),並且只有獲勝的流動性質押協議(> 50%的市場份額)才能在費用上有足夠的餘地來承受這樣做所需的財務效率低下:以維護良好的驗證器市場的形式,贊助昂貴的驗證器集,並提供生態系統支持,同時仍能在長期(未來100 年)內獲得利潤。
