越來越多項目正在採取基於代幣投票機制的去中心化治理機制,但與此同時也暴露出許多問題,例如小型持有者缺乏動力參與治理、只有代幣持有者能參與治理而忽略了其它角色、容易出現賄選並被惡意利用等。以太坊創始人Vitalik Buterin在今日發布的一篇文章中提出,代幣投票不應是治理權力下放的唯一合法形式,並提出了相應的四個解決思路。
越來越多項目正在採取基於代幣投票機制的去中心化治理機制,但與此同時也暴露出許多問題,例如小型持有者缺乏動力參與治理、只有代幣持有者能參與治理而忽略了其它角色、容易出現賄選並被惡意利用等。以太坊創始人Vitalik Buterin在今日發布的一篇文章中提出,代幣投票不應是治理權力下放的唯一合法形式,並提出了相應的四個解決思路。
編譯| 胡韜
編譯| 胡韜
過去一年,區塊鏈領域的一個重要趨勢是從專注於DeFi轉變為也考慮去中心化治理(DeGov)。雖然2020年被廣泛譽為DeFi之年,但自那以來,構成這一趨勢的DeFi項目的複雜性和能力不斷增長,導致人們對去中心化治理以應對這種複雜性的興趣與日俱增。以太坊內部有很多例子,YFI、Compound、Synthetix、Uniswap、Gitcoin等都已經推出、甚至開始使用某種DAO。
不可否認,某種形式的去中心化治理越來越受歡迎,人們對它感興趣是有重要原因的。但了解此類計劃的風險也很重要,因為對Steem 的惡意收購以及隨後對Hive 的大規模外流就清楚地表明了這一點。
在某些情況下,去中心化治理既必要又危險,原因我將在本文中介紹。我們如何在最大限度地降低風險的同時獲得DeGov 的好處?我將論證答案的一個關鍵部分:我們需要超越現有形式的代幣投票。
DeGov是必要的
自1996 年《網絡空間獨立宣言》發布以來,在所謂的密碼朋克意識形態中一直存在著一個尚未解決的關鍵矛盾。一方面,密碼朋克價值觀都是關於使用密碼學將脅迫降至最低,並最大限度地提高當時主要的非強制性協調機制的效率和覆蓋範圍:私有財產和市場。
另一方面,私有財產和市場的經濟邏輯針對可以「分解」為重複的一對一互動的活動進行了優化,而通過不可減少的一對多互動生產和消費藝術、文檔、科學和代碼的信息圈則正好相反。
這種環境有兩個固有的關鍵問題需要解決:
資助公共產品:對社區中廣泛且沒有選擇性的人群有價值但通常沒有商業模式的項目(例如,第1 層和第2 層協議研究、客戶端開發、文檔......)提供資助?協議維護和升級:協議如何升級,對協議中長期不穩定的部分(例如安全資產列表、價格預言機來源、多方計算密鑰持有者)進行定期維護和調整操作,如何達成一致?
早期的區塊鏈項目在很大程度上忽視了這兩個挑戰,假裝唯一重要的公共產品是網絡安全,這可以通過永久固定的單一算法實現,並通過固定的工作證明獎勵來支付。
融資方面的這種情況最初是可能的,因為比特幣價格在2010-13年出現極端上漲,然後是2014-17年的ICO熱潮,以及同時發生的2014-17年的第二次加密貨幣泡沫,所有這些都讓生態系統足夠富裕,可以暫時掩蓋大規模市場的低效。
對公共資源的長期治理也同樣被忽視:比特幣走的是極端最小化的道路,專注於提供固定供應貨幣,並確保對閃電網絡等第二層支付系統的支持。以太坊繼續大體上和諧地發展,因為其先前存在的路線圖具有很強的合法性,而且還不存在需要更多東西的複雜應用層項目。
但現在,這種運氣正日益耗盡,在避免中心化風險的同時,協調協議維護和升級,以及為文檔、研發提供資金的挑戰擺在了首位。
DeGov 需要為公共產品提供資金
有必要退後一步,看看目前情況的荒謬。來自以太坊的每日挖礦發行獎勵約為13500 ETH,即每天約4000 萬美元。交易費用同樣高,非EIP-1559燃燒部分每天仍在1500 ETH(約合450萬美元)左右。因此,每年有數十億美元用於網絡安全。
那麼,以太坊基金會的預算是多少呢?每年大約3000萬至6000萬美元。有非以太坊基金會參與者(例如Consensys)對發展作出貢獻,但它們的規模並不大。比特幣的情況也類似,投入非安全公共產品的資金或許更少。
這是圖表中的情況:
在以太坊生態系統中,可以證明這種差異無關緊要。每年數千萬美元「足以」進行所需的研發,增加更多的資金並不一定能改善情況,因此建立協議內開發人員資金對平台可信中立性的風險超過了收益。但在許多較小的生態系統中,無論是以太坊內的生態系統還是完全獨立的區塊鏈,如BCH 和Zcash,同樣的爭論正在醞釀之中,在這些較小的規模上,不平衡會產生很大的不同。
再進入DAO 領域。從第1 天開始作為純DAO 啟動的項目可以實現以前無法結合的兩個屬性的組合:(i) 開發者資金充足,以及(ii) 可靠的資金中立性(令人垂涎的「公平發行」) 。
當然,很難讓發行完全公平,信息不對稱帶來的不公平往往比公開預挖帶來的不公平更糟糕(考慮到到2010年底比特幣已經發放了四分之一的供應量,幾乎沒有人有機會聽說它,比特幣真的是一個公平的發行嗎?)。但即便如此,從第一天起對公共產品的協議內補償似乎是朝著獲得充足且更可信的中立開發商資金邁出的重要一步。
DeGov 需要進行協議維護和升級
除了公共物品資金,另一個同樣重要的需要治理的問題是協議維護和升級。雖然我主張盡量減少所有非自動參數調整(請參閱下面的「有限治理」部分)並且我是RAI 的「非治理」策略的粉絲,但有時治理是不可避免的。
價格預言機輸入必須來自某個地方,有時某個地方需要改變。在協議「僵化」為最終形式之前,必須以某種方式協調改進。
如果美元崩潰,RAI 不得不爭先恐後地創建和維護自己的去中心化CPI 指數,以使其穩定幣保持穩定和相關性,會發生什麼?在這裡,DeGov 也是必要的,因此完全避免它不是一個可行的解決方案。
一個重要的區別是鏈下治理是否可行。長期以來,我一直是盡可能地支持鏈下治理的粉絲。事實上,對於底層區塊鏈,鏈下治理絕對是可能的。但是對於應用層項目,尤其是DeFi 項目,我們遇到的問題是應用層智能合約系統往往直接控制外部資產,而且這種控制無法分叉。
如果Tezos 的鏈上治理被攻擊者捕獲,社區可以硬分叉,而不會造成任何高損失。如果MakerDAO 的鏈上治理被攻擊者捕獲,社區絕對可以啟動一個新的MakerDAO,但他們將失去所有在現有MakerDAO CDP 中的ETH 和其他資產。
因此,雖然鏈下治理對於基礎層和一些應用層項目來說是一個很好的解決方案,但許多應用層項目,尤其是DeFi,不可避免地需要某種形式的正式鏈上治理。
DeGov 很危險
然而,目前所有去中心化治理的實例都伴隨著巨大的風險。對於我的文章的追隨者來說,這個討論並不新鮮。
我擔心代幣投票有兩種主要類型的問題:(i)即使沒有攻擊者也存在不平等和激勵失衡,以及(ii)通過各種形式(通常是混淆的)購買票數進行徹底攻擊。對於前者,已經有很多提議的緩解措施(例如委託投票),而且還會有更多。但後者是房間裡更危險的大象,我認為在當前的代幣投票範式中沒有解決方案。
即使沒有明確的攻擊者,代幣投票的問題也越來越容易被理解,並且主要分為幾類:
一小群富有的參與者比大群的小型持有者更擅長成功地執行決策。這是因為小型持有者的公地悲劇:每個小型持有者對結果的影響都微乎其微,所以他們幾乎沒有動力不偷懶去實際投票。即使投票有獎勵,也沒有什麼動力去研究和仔細考慮他們投票的目的。代幣投票治理以犧牲社區其他部分為代價,賦予代幣持有者利益:協議社區由具有許多不同價值觀、願景和目標的不同選區組成。然而,代幣投票只賦予一個選區(代幣持有者,尤其是富人)權力,並導致高估使代幣價格上漲的目標,即使這涉及有害的權力尋租行為。利益衝突問題:將投票權授予一個選區(代幣持有者),尤其是在該選區中過度授權富有的參與者,有可能過度暴露於該特定精英內部的利益衝突(例如,還持有與相關平台互動的其他DeFi平台代幣的投資基金或持有者)。
有一種主要類型的策略正在嘗試解決第一個問題(因此也減輕第三個問題):委託投票。小型持有者不必親自判斷每個決定;相反,他們可以委託給他們信任的社區成員。這是一個光榮而有價值的實驗;我們將看到委託投票可以如何有效地緩解這個問題。
Vitalik的Gitcoin頁面
另一方面,代幣持有者中心化的問題則更具挑戰性:代幣持有者中心化本質上融入了一個系統,在這個系統中,代幣持有者投票是唯一的輸入。認為代幣持有者中心化是一個既定目標,而不是一個漏洞的錯誤認識,已經造成了混亂和傷害。一篇討論區塊鏈公共產品的文章抱怨道:
如果所有權集中在少數鯨魚手中,加密協議是否可以被視為公共產品?通俗地說,這些市場原語有時被描述為「公共基礎設施」,但如果區塊鏈今天服務於「公共」,它主要是一種去中心化金融。從根本上說,這些代幣持有者只有一個共同關注的對象:價格。
這種抱怨是錯誤的。區塊鏈服務於比DeFi 代幣持有者更豐富、更廣泛的公眾。但是我們的代幣驅動的治理系統完全無法捕捉到這一點,而且如果不對范式進行更根本的改變,似乎很難建立一個能夠捕捉到這種豐富性的治理系統。
代幣投票的深層基礎漏洞:投票賄賂
一旦確定試圖顛覆系統的攻擊者進入畫面,問題就會變得更糟。代幣投票的基本漏洞很容易理解。帶有代幣投票的協議中的代幣是組合成單一資產的兩種權利的捆綁:(i) 協議收入中的某種經濟利益和(ii) 參與治理的權利。這種組合是故意的:目標是使權力和責任保持一致。但實際上,這兩種權利很容易相互分離。
想像一個簡單的包裝合約,它有這些規則:如果你將1 XYZ 存入合約,你會得到1 WXYZ。 WXYZ 可以隨時轉換回XYZ,此外它還可以產生紅利。紅利從何而來?好吧,雖然XYZ 代幣在包裝器合約中,但包裝器合約可以在治理中隨意使用它們(提出提案、對提案進行投票等)。包裝器合同只是簡單地每天拍賣這個權利,並將利潤分配給原始存款人。
作為XYZ 持有者,將代幣存入合約是否符合你的利益?如果你是一個非常大的持有者,它可能不是。你喜歡紅利,但你害怕一個錯位的參與者可能會用你出售的治理權力做些什麼。但如果你是一個較小的持有者,那麼它非常適合。如果包裝器合約拍賣的治理權被攻擊者買走,你個人只會遭受你的代幣造成的不良治理決策成本的一小部分,但你個人將獲得紅利的全部收益治理權拍賣。這種情況是典型的公地悲劇。
假設攻擊者做出的決定破壞了DAO,從而使攻擊者受益。決策成功對每個參與者的傷害是D,單次投票傾斜結果的機會是P。假設攻擊者向B行賄,遊戲圖是這樣的:
如果B﹥D×p,你傾向於接受賄賂,但只要B﹤1000×D×p,接受賄賂是集體有害的。因此,如果p﹤1(通常遠低於1),則攻擊者有機會賄賂用戶採用網絡負面決策,從而對每個用戶的補償比他們遭受的傷害少得多。
對選民賄賂恐懼的一種自然批評是:選民真的會如此不道德以致接受如此明顯的賄賂嗎?普通的DAO 代幣持有者是一個狂熱者,他們很難對如此自私和公然出售項目感到滿意。但這遺漏的是,有更多模糊的方法可以將利潤分享權與治理權區分開來,不需要任何像包裝器合同那樣明確的東西。
最簡單的例子是從DeFi 借貸平台(例如Compound)借款。已經持有ETH 的人可以將他們的ETH 鎖定在這些平台之一的CDP(「抵押債務頭寸”)中,一旦他們這樣做,CDP 合約允許他們藉入XYZ 的數量,例如他們投入的ETH 價值的一半,然後他們可以用這個XYZ 做任何他們想做的事情。為了收回他們的ETH,他們最終需要償還他們藉來的XYZ 加上利息。
請注意,在整個過程中,借款人沒有對XYZ 的財務敞口。也就是說,如果他們使用他們的XYZ 投票支持破壞XYZ 價值的治理決策,他們不會因此損失一分錢。他們持有的XYZ 是XYZ,無論如何他們最終都必須償還給CDP,因此他們不在乎其價值是上漲還是下跌。
這樣我們就實現了分拆:借款人有治理權而沒有經濟利益,貸款人有經濟利益而沒有治理權。一些DAO 協議正在使用諸如時間鎖之類的技術來限制人們參與此類攻擊的能力,但最終時間鎖是可以繞過的。就安全系統而言,時間鎖更像是報紙網站上的付費牆,而不是鎖和鑰匙。
還有將利潤分享權與治理權分開的集中機制。最值得注意的是,當用戶將他們的代幣存入(中心化)交易所時,交易所完全保管這些代幣,並且交易所有能力使用這些代幣進行投票。
這不僅僅是理論。有證據表明交易所在多個DPoS 系統中使用用戶的代幣進行交易。近期最顯著的例子是企圖惡意收購Steem,交易所使用客戶的代幣投票支持一些提案,這些提案有助於鞏固對Steem 網絡的收購,但社區中的大多數人強烈反對。這種情況只能通過徹底的大規模外流來解決,其中很大一部分社區轉移到了一個名為Hive的不同鏈。
目前,許多采用代幣投票的區塊鍊和DAO 已經設法以最嚴重的形式避免了這些攻擊。偶爾有企圖賄賂的跡象:
但是,儘管存在所有這些重要問題,但簡單的經濟推理表明,直接賄賂選民的例子卻少得多,包括使用金融市場等混淆形式。自然要問的問題是:為什麼還沒有發生更多的直接攻擊?
我的回答是,「為什麼還沒有 」依賴於三個在今天是正確的偶然因素,但隨著時間的推移可能變得不那麼正確:
1)社區精神來自擁有緊密聯繫的社區,每個人都在共同的部落和使命中感受到友情。
2)代幣持有者的財富高度集中和協調;大持有者俱有更高的影響結果的能力,並且對彼此之間的長期關係進行投資(既是風投的「老男孩俱樂部」,也有許多其他同樣強大但低調的富有代幣持有者群體),並且這使他們更難受賄。
3)治理代幣的金融市場不成熟:用於製作包裝代幣的現成工具以概念驗證形式存在但未廣泛使用,存在賄賂合同但同樣不成熟,貸款市場的流動性低。
當一小群協調的用戶持有超過50% 的代幣,並且他們和其他人都投資於一個緊密結合的社區,並且很少有代幣以合理的利率被借出時,上述所有賄賂攻擊都可能保持理論可能。
但隨著時間的推移,無論我們做什麼,(1)和(3)都將不可避免地變得不那麼真實,如果我們希望DAO 變得更加公平,那麼(2)必須變得不那麼真實。當這些變化發生時,DAO 會保持安全嗎?如果代幣投票不能持續抵抗攻擊,那麼什麼可以?
解決方案1:有限治理
對上述問題的一種可能的緩解措施,並且已經在不同程度上嘗試了一種解決方案,那就是限制代幣驅動的治理可以做什麼。有幾種方法可以做到這一點:
1)僅對應用程序使用鏈上治理,而不是基礎層:以太坊已經這樣做了,因為協議本身是通過鏈下治理進行治理的,而在此之上的DAO 和其他應用程序有時(但並非總是)通過鏈上治理進行治理。
2)將治理限制為固定參數選擇:Uniswap 這樣做,因為它只允許治理影響代幣分配和該交易所的0.05% 費用。另一個很好的例子是RAI 的「非治理 」路線圖,隨著時間的推移,治理可以控制越來越少的功能。
3)添加時間延遲:在時間T 做出的治理決策僅在例如生效。 T + 90 天。這允許認為決定不可接受的用戶和應用程序轉移到另一個應用程序(可能是一個分支)。 Compound在其治理中具有時間延遲機制,但原則上延遲可以(並且最終應該)更長。
4)對分叉更友好:讓用戶更容易快速協調和執行分叉。這使得捕獲治理的回報更小。
但有限治理本身並不是一個可以接受的解決方案。最需要治理的領域(例如公共物品的資金分配)本身就是最容易受到攻擊的領域。公共物品基金很容易受到攻擊,因為攻擊者可以通過一種非常直接的方式從錯誤的決策中獲利:他們可以嘗試推動一個錯誤的決策,從而將資金發送給自己。因此,我們還需要技術來改善治理本身......
解決方案2:非代幣驅動的治理
第二種方法是使用非代幣驅動的治理形式。但是,如果代幣不能決定一個賬戶在治理中的權重,那又是什麼呢?有兩種自然選擇:
1)人格證明系統:驗證帳戶對應於唯一個人的系統,以便治理可以為每個人分配一票。這裡對於一些技術審查正在開發中,ProofOfHumanity和BrightID兩個項目正在嘗試實現這一點。
2)參與證明:系統證明某個帳戶對應於參加過某個活動、通過了一些教育培訓或在生態系統中進行了一些有用工作的人。請參閱POAP以了解如何實現這一點。
也有混合的可能性:一個例子是二次方投票,這使得單個選民的權力與他們做出決定的經濟資源的平方根成正比。通過將他們的資源分配到多個身份來防止人們玩弄系統需要證明人格,而仍然存在的財務部分允許參與者可信地表明他們對某個問題的關心程度以及他們對生態系統的關心程度。 Gitcoin 二次方融資是二次方投票的一種形式,二次方投票DAO正在構建中。
參與證明機制不太為人所知。關鍵的挑戰是,確定參與程度本身需要非常強大的治理結構。最簡單的解決方案可能是通過精心挑選的10-100 名早期貢獻者來引導系統,然後隨著第N 輪的選定參與者確定第N+1 輪的參與標準,隨著時間的推移逐漸去中心化。分叉的可能性有助於提供一條從治理脫軌中恢復的途徑,並提供一種激勵措施。
人格證明和參與證明都需要某種形式的反勾結,以確保用於衡量投票權的非貨幣資源仍然是非金融資源,而不是其本身最終進入智能合約,將治理權出售給出價最高的人。
解決方案3:遊戲中的皮膚
第三種方法是通過改變投票本身的規則來打破公地悲劇。代幣投票失敗是因為雖然選民集體對他們的決定負責(如果每個人都投票支持一個糟糕的決定,每個人的代幣都會降為零),但每個選民都不是單獨負責的(如果一個糟糕的決定發生,支持它的人不會比那些人遭受更多的痛苦)。我們能否建立一個改變這種動態的投票系統,讓選民個人對他們的決定負責,而不僅僅是集體?
如果分叉是按照Hive 從Steem 分叉的方式完成的,分叉友好性可以說是一種遊戲策略。如果破壞性的治理決策成功並且協議內部不再受到反對,用戶可以自行決定進行分叉。此外,在那個分叉中,投票支持錯誤決定的代幣可以被銷毀。
這聽起來很苛刻,甚至可能感覺像是違反了一個隱含的規範,即在分叉代幣時「分佈式賬本的不變性 」應該保持神聖不可侵犯。但從不同的角度來看,這個想法似乎更合理。我們保持強大防火牆的想法,其中個人代幣餘額預計不會受到侵犯,但僅將這種保護應用於不參與治理的代幣。如果你參與治理,即使是通過將代幣放入包裝機制間接參與,那麼你可能要為自己的行為成本負責。
這產生了個人責任:如果發生攻擊,並且你的代幣投票支持該攻擊,那麼你的代幣將被銷毀。如果你的代幣沒有投票支持攻擊,則你的代幣是安全的。
責任向上傳播:如果你將代幣放入包裝器合約中,並且包裝器合約投票支持攻擊,包裝器合約的餘額將被清除,因此你將丟失代幣。如果攻擊者從DeFi借貸平台借用XYZ,當平台分叉時,任何借出XYZ 的人都會失敗(請注意,這使得借出治理令牌通常非常危險;這是預期的結果)。
但以上僅適用於防止真正極端的決定。小規模搶劫呢?不公平地有利於攻擊者操縱治理的經濟性,但還不夠嚴重到造成毀滅性的破壞?那麼,在根本沒有任何攻擊者的情況下,簡單的懶惰,以及代幣治理沒有選擇壓力來支持更高質量的意見這一事實呢?
此類問題最流行的解決方案是futarchy,由Robin Hanson 在2000 年代初推出。投票變成賭注:投贊成票,你就押注該提案會帶來好的結果,而投票反對該提案,你押注該提案會導致糟糕的結果。 Futarchy 引入個人責任的原因很明顯:如果你押得好,你會得到更多的代幣,如果你押得不好,你就會失去你的代幣。
事實證明,「純 」 futarchy 很難引入,因為在實踐中目標函數很難定義(人們想要的不僅僅是代幣價格!),但各種混合形式的futarchy 可能很有效。混合futarchy 的例子包括:
1)投票作為購買訂單:投票贊成一項提案需要製定一個可執行的購買訂單,以比代幣當前價格略低的價格購買額外的代幣。這確保瞭如果一個糟糕的決定成功了,那些支持它的人可能會被迫買斷他們的對手,但它也確保了在更「正常」的決定中,如果他們願意的話,代幣持有者可以根據非價格標準做出更多的決定。
2)追溯公共物品資助:可參考Optimism團隊的帖子。公共物品在已經取得成果後,通過某種投票機制追溯資助。用戶可以購買項目代幣來資助他們的項目,同時表明對它的信心。如果該項目被認為實現了預期目標,則項目代幣的購買者將獲得一份獎勵。
3)升級遊戲:看Augur和Kleros。較低級別決策的價值一致受到訴諸更高努力但更高準確性的較高級別過程的可能性的激勵。投票同意最終決定的選民將獲得獎勵。
在後兩種情況下,混合futarchy 依賴於某種形式的非futarchy 治理來衡量目標函數或作為最後的爭議層。然而,這種非未來治理有幾個直接使用時沒有的優點:(i)它稍後激活,因此可以訪問更多信息,(ii)它使用頻率較低,因此可以花費更少的精力,以及(iii) 每次使用它都會產生更大的後果,因此僅依靠分叉來調整最後一層的激勵措施更容易接受。
混合解決方案
還有一些解決方案結合了上述技術的元素。一些可能的例子:
1)時間延遲加上選舉產生的專家治理:這是一種可能的解決方案,可以解決這個古老的難題,即如何在不冒治理被奪取的風險的情況下,製作一種加密貨幣擔保的穩定投資,其鎖定的資金可以超過獲利回代幣的價值。
穩定幣使用由N個(例如,N=13)當選的提供商提交的值的中位數構建的價格預言,持幣者通過代幣投票選擇供應商,但它每週只能淘汰一個供應商。如果用戶注意到代幣投票帶來了不值得信任的價格提供商,他們在穩定幣交易中斷前有N/2週的時間切換到不同的價格提供商。
2)Futarchy + 反勾結= 聲譽:用戶以「聲譽 」投票,一種不能轉讓的代幣。如果他們的決定導致預期的結果,用戶會獲得更多聲譽,如果他們的決定導致不希望的結果,則失去聲譽。
3)鬆散耦合的代幣投票:代幣投票不直接實施提議的變更,而只是為了公開其結果,為鏈下治理建立合法性以實施該變更。這可以提供代幣投票的好處,同時降低風險,因為如果有證據表明代幣投票被賄賂或以其他方式被操縱,代幣投票的合法性就會自動下降。
但這些都只是幾個可能的例子。在研究和開發非代幣驅動的治理算法方面還有很多工作要做。今天可以做的最重要的事情是擺脫代幣投票是治理權力下放的唯一合法形式的想法。
代幣投票很有吸引力,因為它讓人感覺中立:任何人都可以在Uniswap 上獲得一些治理代幣。然而在實踐中,代幣投票可能只是在今天看起來很安全,因為它的中立性存在缺陷(即大部分供應量掌握在一個緊密協調的內部人士集團手中)。
我們應該對當前形式的代幣投票是「安全默認值 」的想法保持警惕。關於它們如何在更大的經濟壓力和成熟的生態系統和金融市場的條件下運作,還有很多有待觀察,現在是開始同時試驗替代方案的時候了。