原文标题:《Vitalik:区块链代币投票治理存在缺陷,这四种替代方案或可改善》
撰文:Vitalik Buterin,以太坊联合创始人
翻译:隔夜的粥
来源:巴比特
特别感谢 Karl Floersch、Dan Robinson 和 Tinazhen 的反馈和审阅。另请参阅 《区块链治理笔记》、《治理第 2 部分:富豪统治仍然很糟糕》、《关于共谋》 以及 《协调的好与坏》 这几篇文章。
过去一年,区块链领域的一个重要趋势是从关注去中心化金融 (DeFi) 转变为同时考虑去中心化治理 (DeGov)。虽然 2020 年通常被广泛(且有充分理由地)被誉为 DeFi 的一年,但从那时起,构成这一趋势的 DeFi 项目的复杂性和能力在不断增加,这导致人们对去中心化治理表现的兴趣日益浓厚。以太坊内部有一些例子:YFI、Compound、Synthetix、UNI、Gitcoin 等都推出了某种 DAO,甚至是从某种 DAO 开始整个项目。而以太坊之外的情况也是如此,比如 BCH 的基础设施融资方案的争论、Zcash 基础设施融资投票等等。
不可否认,某种形式的正式去中心化治理越来越受欢迎,人们对它感兴趣是有重要原因的。但同样重要的是要牢记这些计划的风险,正如最近对 Steem 的敌意收购以及随后的 Hive 大规模社区迁移所表明的那样。我还要进一步指出,这些趋势是不可避免的。在某些情况下,去中心化治理是必要的,也是危险的,原因我将在本文中介绍。我们如何在最小化风险的同时获得去中心化治理的好处?我将论证答案的一个关键部分:我们需要超越现有形式的代币投票。
去中心化治理是必要的
自 1996 年《网络空间独立宣言》发布以来,在所谓的密码朋克(cypherpunk)意识形态中一直存在着一个尚未解决的关键矛盾。一方面,密码朋克的价值观都是关于使用密码学来最小化强制,并最大化当时可用的主要非强制协调机制的效率和范围:私有财产和市场。另一方面,私有财产和市场的经济逻辑针对可「分解」的一对一互动的活动进行了优化,而艺术、文献、科学和代码通过不可还原的一对多互动产生和消费的信息领域恰恰相反。
这种环境有两个固有的关键问题需要解决:
公共资源的长期治理同样被忽视:比特币走极端最小化的道路,专注于提供固定供应的货币并确保支持像闪电网络这样的 2 层支付系统,而没有别的,而以太坊继续以和谐的方式发展(有一个主要的例外),这是因为其先前存在的路线图(基本上是:「权益证明和分片」)具有很强的合法性,而需要更多东西的复杂应用层项目还不存在。
但现在,这种运气越来越少了,在避免中心化风险的同时,协调协议维护和升级以及资助文档、研究和开发的挑战成为了首要任务。
去中心化治理需要为公共物品提供资金
有必要退后一步,看看当前情况的荒谬。 目前以太坊的每日挖矿发行奖励约为 13500 ETH,即每天约 4000 万美元。与此同时,交易费用也同样是高的,非 EIP-1559 燃烧的部分每天大约 有 1,500 ETH (约 450 万美元)。 因此,每年有数十亿美元用于资助以太坊的网络安全。那以太坊基金会的预算是多少?每年大约 3000 万-6000 万美元。有非 EF 参与者(例如 Consensys)在为开发做出贡献,但它们的规模并不大。比特币的情况类似,而其用于非安全公共物品的资金可能会更少。
我们用一张图来表达目前的情况:
在以太坊生态系统中,人们可证明这种差异并不重要; 每年数千万美元「足以」进行所需的研发,增加更多的资金并不一定会改善情况,因此,协议开发者资金投入对平台可信中立性的风险超过了收益。但在许多较小的生态系统中(无论是以太坊内的生态系统还是完全独立的区块链(如 BCH 和 Zcash),同样的争论正在酝酿,而在这些较小规模的系统中,这种不平衡造成了巨大的差异。
进入 DAO。从第 1 天开始作为「纯」DAO 启动的项目可实现以前无法结合的两个属性的组合:(i) 开发商资金充足,以及 (ii) 资金的可信中立性(令人垂涎的「公平发行」)。开发人员的资金不是来自硬编码的接收地址列表,而是由 DAO 自己做出决定。
当然,要让发行完全公平是很困难的,信息不对称带来的不公平往往比显性溢价带来的不公平更为严重(考虑到 2010 年底之前已经有 1/4 的量已经分发出去,那比特币真的是公平发行的吗?)
但即便如此,从第一天起对非安全公共物品的协议内补偿,似乎是朝着获得足够且更可信的中立开发者融资迈出的潜在重要一步。
协议维护和升级需要去中心化治理
除了公共物品融资外,另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动化参数调整(见下文「有限治理」一节),我也是 RAI「非治理」策略的粉丝,但有时治理是不可避免的。价格预言机输入必须来自某个地方,有时某个地方需要改变。在协议「僵化」为最终形式之前,必须以某种方式协调改进。有时,一个协议的社区可能会认为他们已经准备好僵化,但随后世界抛出了一个曲线球,需要一个完整且有争议的重组。如果美元崩溃,RAI 不得不争先恐后地创建并维持其去中心化 CPI 指数,以使其稳定币保持稳定和相关性,那这会发生什么?在这方面,去中心化治理也是必要的,因此完全避免它不是一个可行的解决方案。
一个重要的问题是「链下治理」是否可行。很长一段时间以来,只要有可能,我都是链下治理的粉丝。事实上,对于底层区块链,链下治理绝对是可能的。但是对于应用层项目,尤其是 DeFi 项目,我们遇到的问题是应用层智能合约系统往往直接控制外部资产,并且这种控制无法转移。如果 Tezos 的链上治理被攻击者捕获,社区可以硬分叉而不会造成任何损失。如果 MakerDAO 的链上治理被攻击者捕获,社区绝对可以启动一个新的 MakerDAO,但他们将失去所有存在现有 MakerDAO CDP 中的 ETH 以及其他资产。因此,虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案,但许多应用层项目(尤其是 DeFi),不可避免地需要某种形式的正式链上治理。
去中心化治理(DeGov)也是危险的
然而,目前所有去中心化治理的实例都伴随着巨大的风险。对于我的读者来说,这个讨论并不新鲜,风险与我在(1)、(2)和(3)讨论的风险大致相同。我担心代币投票有两种主要类型的问题:(i) 即使没有攻击者也存在不平等和激励失调问题,以及 (ii) 通过各种形式的(通常是模糊的)贿选进行彻底攻击。对于前者,已经有很多提议的缓解措施(例如委托),而且还会有更多的方案。但后者是房间中更危险的大象,而我认为在当前的代币投票范式中没有解决方案。
即使没有攻击者,代币投票方案也存在问题
即使没有明确的攻击者,代币投票所存在的问题也越来越容易理解(例如,参见 DappRadar 和 Monday Capital 最近的一篇 文章),并且主要分为几类:
有一种主要类型的策略正在尝试解决第一个问题(因此也减轻第三个问题):委托。散户不必亲自判断每个决定,相反,他们可以将代币委托给他们信任的社区成员。这是一个光荣而有价值的实验,我们将看到委托可以如何有效地缓解这个问题。
Gitcoin DAO 中的投票委托页面
另一方面,代币持有者中心主义的问题更具挑战性:代币持有者中心主义固有地融入了一个只有持币人投票的系统。认为代币持有者中心主义是预期目标而不是 bug 的误解已经造成了混乱和伤害。有人在一篇讨论区块链公共品的文章(总体上很出色)中写道:
「如果所有权集中在少数鲸鱼手中,加密协议是否可以被视为公共品?通俗地说,这些市场原语有时被描述为『公共基础设施』,但如果区块链今天服务于『公共』,它主要是一种去中心化金融。从根本上说,这些代币持有者只有一个共同关注的对象:价格。」
抱怨是错误的:区块链服务于比 DeFi 代币持有人更丰富、更广泛的公众。但我们的代币投票驱动的治理系统完全无法捕捉到这一点,而且如果不对范式进行更根本的改变,似乎很难建立一个能够捕捉到这种丰富性的治理系统。
对于攻击者而言,代币投票的深层基本漏洞:贿选问题
一旦确定攻击者试图破坏系统,问题就会变得更加严重。代币投票的根本弱点很容易理解。代币投票协议中的代币是组合成单一资产的两种权利的捆绑::(i) 协议收入中的某种经济利益和 (ii) 参与治理的权利。这种组合是有意的:目标是使权力和责任保持一致。但实际上,这两种权利很容易相互分离。想象一个简单的封装合约,它有这些规则:如果你将 1 XYZ 存入合约,你会得到 1 WXYZ。WXYZ 可以随时转换回 XYZ,此外它还可以产生利息。那利息从何而来?好吧,虽然 XYZ 代币在封装器合约中,但封装器合约可以在治理中随意使用它们(提出提案、对提案进行投票等)。封装器合约只是简单地每天拍卖这个权利,并将利润分配给原存款人。
作为 XYZ 持有者,将你的代币存入合约是否符合你的利益?如果你是一个非常大的持有者,它可能不是,你喜欢利息,但你害怕一个错位的的参与者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者,那么这就非常适合你了。如果封装器合约拍卖的治理权被攻击者买走,你个人只会遭受代币所导致的不良治理决策成本的一小部分,但你个人会从治理权拍卖中获得全部红利。这种情况是典型的公地悲剧。
假设攻击者做出了一个破坏 DAO 的决定,从而使攻击者受益。每名参与者因决策成功而受到的伤害是 D,一次投票改变结果的可能性是 P,假设一个攻击者行贿的金额是 B,则游戏图表如下所示:
如果 B > D*p, 你倾向于接受贿赂,但只要 B < 1000 * D * p,则接受贿赂是有害的。因此,如果 p < 1 (通常 p 远低于该值),攻击者就有机会贿赂用户,使其采取净负面决策,对每个用户的补偿远远低于他们所遭受的伤害。
对选民贿赂恐惧的一种自然批评是:选民真的会如此不道德以致接受如此明显的贿赂吗?普通的 DAO 代币持有者是狂热者,他们很难对如此自私和公然伤害项目的行为感到满意。但这遗漏的是,有更多模糊的方法可以将利润分享权与治理权区分开来,不需要任何像封装器合约那样明确的东西。
最简单的例子是从 DeFi 借贷平台(例如 Compound)借款。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP (「抵押债务头寸」)中,一旦他们这样做,CDP 合约就允许他们借入一定数量的 XYZ (例如他们投入的 ETH 价值的一半)。然后,他们可以用这个 XYZ 做任何他们想做的事情。为了收回他们的 ETH,他们最终需要偿还他们借来的 XYZ 加上一点利息。
请注意,在整个过程中,借款人对 XYZ 是没有财务风险的。也就是说,如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策,他们不会因此损失一分钱。他们所持有的 XYZ,无论如何最终都要偿还给 CDP,因此,借款人并不在乎 XYZ 的价值是上涨还是下跌。因此,我们实施了分拆:借款人拥有治理权而没有经济利益,贷款人拥有经济利益而没有治理权。一些 DAO 协议使用诸如 Timelock (时间锁)之类的技术来限制参与攻击的能力,但最终 Timelock 是可以绕过的;就安全系统而言,timelocks 更像是报纸网站上的付费墙,而不是锁和钥匙。
还有将利润分享权与治理权分开的集中机制。最值得注意的是,当用户将其代币存入(中心化)交易所时,交易所拥有这些代币的完全保管权,并且交易所可以使用这些代币进行投票。这不仅仅是理论上的,有证据表明,交易所在几个 DPoS 系统中挪用了用户的代币。最近最显着的例子就是 Steem,交易所挪用客户的代币投票支持了一些提案,而这些提案有助于巩固对 Steem 网络的收购,与此同时,Steem 社区中的大多数人是强烈反对的。这种情况只能通过彻底的大规模社区迁移来解决,其中很大一部分社区搬到了另一条名为 Hive 的区块链。
目前,许多具有代币投票功能的区块链和 DAO 已成功避免了最严重形式的攻击。但偶尔会出现行贿未遂的情况:
尽管存在所有这些重要问题,但简单的经济推理表明,直接贿赂选民的例子却少得多,包括使用金融市场等混淆形式。自然要问的问题是:为什么还没有发生更多的直接攻击?
我的回答是,「为什么还没有」依赖于三个在今天是正确的偶然因素,但随着时间的推移可能变得不那么正确:
当一小群协调一致的用户持有超过 50% 的代币,并且他们和其他人都投资于一个紧密结合的社区,并且很少有代币以合理的利率被借出时,上述所有贿赂攻击可能仍然是理论上的。但随着时间的推移,(1)和(3)都不可避免地变得不那么真实,如果我们希望 DAO 变得更加公平,那么(2)必须变得不那么真实。当这些变化发生时,DAO 还会保持安全吗?如果代币投票方案不能持久地抵御攻击,那什么可以呢?
解决方案 1 : 有限治理
对上述问题的一种可能的缓解措施,也是在不同程度上已经在尝试的缓解措施,那就是限制代币驱动的治理可以做什么。有几种方法可以做到这一点:
但有限治理本身并不是一个可接受的解决方案。最需要治理的领域(例如公共品的资金分配)本身就是最容易受到攻击的领域。公共品基金很容易受到攻击,因为攻击者可以通过一种非常直接的方式从错误的决策中获利:他们可以尝试推动一个错误的决策,从而将资金发送给自己。 因此,我们还需要用技术手段来改善治理本身 ......
解决方案 2: 非代币驱动的治理方案
第二种方法是使用非代币驱动的治理形式。但是,如果代币不能决定一个账户在治理中的权重,那用什么来决定呢?有两种自然选择:
参与证明不太为人所知。关键的挑战是,确定参与程度本身需要非常强大的治理结构。最简单的解决方案可能是通过精心挑选的 10-100 名早期贡献者来引导系统,然后随着第 N 轮的选定参与者确定第 N+1 轮的参与标准,而随着时间的推移逐渐去中心化。而分叉的可能性有助于提供一条从治理脱轨中恢复的途径,并提供一种激励措施。
个人身份证明和参与证明都需要某种形式的反共谋(请参阅这篇 文章 以及这个 MACI 文档),以确保用于衡量投票权的非货币资源仍然是非金融资源,而不是其本身最终进入智能合约,将治理权出售给出价最高的人。
解决方案 3 : 躬身入局(skin in the game)
第三种方法是通过改变投票本身的规则来打破公地悲剧。代币投票失败的原因是,虽然选民对他们的决定负有集体责任(如果每个人都投票支持一个糟糕的决定,那么每个人的代币都会归零),但每个选民都不承担个人责任(如果发生了糟糕的决定,支持它的人所受的痛苦并不比反对它的人多)。那我们能否建立一个改变这种动态的投票系统,让选民个人(而不仅仅是集体)对其决定负责呢?
如果分叉是按照 Hive 从 Steem 分叉的方式进行的,分叉友好性可以说是一种躬身入局(skin-in-the-game)策略。如果破坏性的治理决策成功并且协议内部不再受到反对,用户可以自行决定进行分叉。此外,在那个分叉中,投票支持错误决定的代币可以被销毁。
这听起来很刺耳,甚至可能让人觉得这违反了一个隐含的规范,即「账本的不变性」在分叉一个币时应该保持神圣不可侵犯。但从不同的角度来看,这个想法似乎更合理。我们保留一个强大防火墙的想法,在防火墙中,个人代币余额预计不会受到侵犯,但仅将这种保护应用于不参与治理的代币。如果你参与治理,即使是通过将你的代币放入封装机制间接参与,那么你可能也要为自己的行为承担成本。
这就产生了个人责任:如果发生攻击,并且你的代币投票支持该攻击,那么你的代币将被销毁。如果你的代币没有投票支持攻击,则你的代币是安全的。责任向上传播:如果你将代币放入封装合约,而封装合约投票赞成攻击,那么封装合约的余额将被抹去,因此你的代币将丢失。如果攻击者从 defi 借贷平台借用 XYZ,当平台分叉时,任何借出 XYZ 的人都会遭到损失(请注意,这使得借出治理代币通常非常危险,这是预期的结果)。
「躬身入局」在日常投票中的作用
但以上仅适用于防止真正极端的决定。那个小规模的夺取又如何呢?这种夺取不公平地有利于攻击者操纵治理经济,但其严重程度不足以造成毁灭性后果?那么,在没有任何攻击者的情况下,因为简单的懒惰等原因该如何解决呢?
此类问题最流行的解决方案是 futarchy,它是由 Robin Hanson 在 2000 年代初推出的。它的原理很简单,即投票变成了一种赌注:投赞成票,你就押注该提案会带来好的结果,而投票反对该提案,你就押注该提案会导致糟糕的结果。Futarchy 引入个人责任的原因显而易见:如果你下了好的赌注,你会得到更多的币,如果你下了坏的赌注,你就会失去你的币。
「纯」futarchy 方案已被证明难以引入,因为在实践中,目标函数很难定义(人们想要的不仅仅是代币价格!),但各种混合形式的 futarchy 可能会很好地工作。混合 futarchy 的例子包括:
在后两种情况下,混合 futarchy 依赖于某种形式的非 futarchy 治理,来衡量目标函数或作为最后的争议层。而这种非 futarchy 治理有几个优点:(i)它激活得更晚,因此可以获得更多的信息,(ii)它使用得更少,因此可以花费更少的精力,(iii)每次使用它都会产生更大的后果,因此,仅依靠分叉来调整最后一层的激励措施更容易接受。
混合解决方案
还有一些解决方案结合了上述技术的元素。一些可能的例子:
以上这些只是几个可能的例子。在研究和开发非代币驱动的治理算法方面还有很多工作要做。今天可以做的最重要的事情是,摆脱代币投票是治理权力下放的唯一合法形式的想法。代币投票之所以有吸引力,是因为它让人感觉非常中立:任何人都可以在 Uniswap 上获得一些治理代币单位。然而,在实践中,代币投票可能只是在今天看起来安全,因为它的中立性存在着缺陷(即,大部分供应掌握在一个紧密协调的内部团体手中)。
我们应该对当前的代币投票是「安全默认形式」的想法保持警惕。在经济压力越来越大、生态系统和金融市场越来越成熟的情况下,它们如何发挥作用还有很多有待观察的地方,而现在是开始同时试验替代方案的时候了。
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:服务于区块链创新者
评论0条