深度分析 LSD 的治理风险、资本风险和协议风险
作者:sacha,hackdm.io;编译:Lynn
对丹尼·瑞安 (Danny Ryan) 撰写的一篇文章的逐节回应。最初于 2022 年 5 月 30 日发布在notes.ethereum.org上,后来复制到github上。
感谢 Hasu、Jon、Barnabé、Sam、Victor、Vasiliy 和 Izzy 阅读本文的草稿。
前言
事实的反面是谎言,但一个深刻真理的反面很可能是另一个深刻真理。
——尼尔斯·玻尔
从整体上看,我认为丹尼采取的立场很棒。但我也认为他的方法也存在同样重要的风险,但这些风险尚未在公开场合得到适当的讨论。
我不认为丹尼本身是错的,但我确实认为还有另一面没有传达得足够清楚。这样做就是本文档的目标。
双重治理简介
双重治理是降低 Lido 协议治理风险的重要一步。它代表着从股东资本主义向利益相关者资本主义的转变。并为以太坊质押者提供了一种在 Lido 协议变更中拥有发言权的实用方法。
主要目标是防止 LDO 持有者在未经同意的情况下更改协议和 stETH 持有者之间的社会契约。如今,LDO 持有者对该协议拥有重要权力,可能会导致该社会契约发生重大变化。这些包括:
-
升级以太坊流动性质押协议代码。
-
管理以太坊共识层预言机委员会成员名单。
-
以潜在有害或意外的方式改变节点运营商之间的权益分配方式(例如添加或删除列入白名单的以太坊节点运营商)。
-
以意想不到的或潜在有害的方式改变治理结构(例如铸造或销毁LDO、改变投票系统的参数)。
-
更改以太坊流动质押协议的总费用百分比超出商定的边界(以及定义这些边界)。
-
决定如何使用国库
除了财政支出之外,所有这些权力都直接影响利益相关者。双重治理本质上允许 stETH 持有者否决上述对 Lido 协议的任何更改,而不会引入新的攻击媒介,也不会给 stETH 持有者带来过多的政治负担。
节点运营商的治理
丹尼写道:
决定“谁”成为“否”取决于两个问题——谁被添加到集合中以及谁被从集合中删除。从长远来看,这可以通过两种方式之一进行设计——要么通过治理(硬币投票或其他类似机制),要么通过围绕声誉和盈利能力的自动化机制。
在前者中——治理决定否——治理代币(例如 LDO)成为以太坊的主要风险。如果代币可以决定谁可以成为这个理论上的多数LSD中的节点运营商,那么代币持有者可以强制进行审查、多区块MEV等卡特尔活动,否则NO将从集合中删除。
……
治理决定 NO 存在另一个明显的风险,即监管审查和控制。如果一种 LSD 协议下的集合权益超过 50%,则该集合权益将获得审查区块的能力(更糟糕的是,由于能够最终确定此类区块,因此为 2/3)。在监管审查攻击中,我们现在有了一个独特的实体——治理代币持有者——监管机构可以提出审查请求。根据代币的分布,这可能是一个比整个以太坊网络简单得多的监管目标。事实上,DAO 代币的分配通常非常糟糕,只有少数实体决定了大多数选票。
双重治理对于解决上述问题大有帮助。具体来说,如果 LDO 持有者试图不公平地从集合中删除节点操作符,则其工作原理如下:
-
stETH 持有者的一小部分法定人数(比如总数的 5%)可以将治理投票延长足够长的时间,以便更多的法定人数(比如 15%)能够否决这个糟糕的决定。
-
如果否决通过,所有后续的 Lido DAO 提案都会默认被否决(否决状态)——以避免给 stETH 持有者带来进一步投票的负担。
-
重要的是,只有 LDO 治理和参与的 stETH 持有者都同意解决冲突,治理才能恢复正常状态。
总之,通过赋予 stETH 持有者否决节点运营商集变更的权力,LDO 持有者不可能单方面强制审查、多区块 MEV 等卡特尔活动,因为 LDO 持有者无法自行删除异议节点运营商。
关于 Danny 的第二个担忧(监管审查和控制),stETH 的代币分配与 LDO 的分配非常不同,并且更加多样化。因此,LDO 和 stETH 的组合更能抵抗这种审查。它仍然不如 ETH 的分布或以太坊用户的分布那么多样化,但这只会随着时间的推移而改善。
节点运营商的经济选择
在替代设计中——基于经济和声誉的 NO——我们实际上最终陷入了类似的、尽管是自动化的卡特尔化。
……
从盈利能力设定的 NO 中剔除可能是确保 NO 对池有利的唯一不信任(非治理)方法。
定义盈利能力是有问题的……系统不能被设计为只有一些绝对指标——必须使交易费用达到 X——因为系统的经济活动随着时间的推移存在很大的差异。
当所有运营商都使用“诚实”技术时,这种盈利能力比较指标效果很好,但如果有任何数量的 NO 背叛使用破坏性技术,例如多区块 MEV 或调整区块释放时间以捕获更多 MEV,那么他们就会扭曲盈利目标这样一来,如果诚实的 NO 不加入破坏性技术,他们最终将被自动驱逐。
这意味着无论采用哪种方法(NO 治理或经济选择/驱逐),这样一个超过共识阈值的池都会成为卡特尔化的一个阶层。它要么是治理上的直接卡特尔,要么是通过智能合约设计的破坏性、盈利性卡特尔。
这种分析感觉太二元化了。对于 Lido(或以太坊)来说,这两种极端(LDO 对 NO 的治理或纯粹的算法/经济选择/剔除)都是不可能或可取的。
双重治理对于最大限度地减少卡特尔滥用的风险至关重要。而且,正如丹尼正确指出的那样,盈利能力是一个过于简单的指标,不能单独依赖。
有许多重要因素很难在链上验证——想想地理分布或管辖多样性——这意味着人类可能总是需要在某个地方参与循环——尽管这最终可能会减少为每年一次的投票重新平衡节点运营商(新旧)之间的权益。
质押 ETH 治理后备方案
一些人认为,LSD ETH 持有者可以在其底层 LSD 协议的治理中拥有发言权,从而成为可能分布不良的富豪代币的安全后盾。
这里需要注意的是,根据定义,ETH 持有者并不是以太坊用户,从长远来看,我们预计以太坊用户比 ETH持有者要多得多(持有 ETH 的人超出了交易所需的数量)。这是以太坊治理的一个关键且重要的事实——没有授予 ETH 持有者或利益相关者的链上治理。以太坊是用户选择运行的协议。
从长远来看,ETH 持有者只是用户的一个子集,因此质押的 ETH 持有者甚至是用户的一个子集。在所有 ETH 都成为一个 LSD 下质押 ETH 的极端情况下,治理投票权重或质押 ETH 中止并不能为用户保护以太坊平台。
因此,即使 LSD 协议和 LSD 持有者在微妙的攻击和捕获方面保持一致,用户也不会并且能够/将会做出反应。
哈苏的回应很大程度上解决了这些担忧。
治理的阴险本质
即使 LSD 治理存在时间延迟,使得集合资本可以在变化发生之前退出系统,LSD 协议也会遭受“青蛙煮沸”治理攻击。小而缓慢的变化不太可能让质押资本退出系统,但随着时间的推移,系统仍然可能发生巨大变化。
虽然确实如此,但任何治理机制都是如此,无论主要是非正式(软)还是正式(硬)。
为了扭转 Danny 的观点,EF 驱动的小而缓慢的协议变化不太可能让 DAO/用户退出以太坊,但以太坊协议(和精神)仍然可以随着时间的推移而发生巨大变化。
特别是,它可以改变协议,从而打破早期贡献者/OG所感知的社会契约。
用埃里克的话来说:
用弥迦的话来说:
虽然我远不是一个不变性最大化主义者,但我确实相信治理最小化作为一种哲学,存在于软治理与硬治理的上游。
虽然关于硬治理的缺点已经有很多文章,但软治理也有其自身的 — — 更微妙且经常被掩盖的 — — 涉及未承认/不负责任的权力、如何在不牺牲可信中立性的情况下行使权力以及如何处理权力的问题吸尘器(在发生死亡或悲惨事故时)。这当然不是消除所有尾部风险的灵丹妙药。
换句话说,软治理下通常存在大量未被承认的权力。
不被承认的权力是不负责任的权力。不负责任的权力几乎不可避免地会导致在足够长的时间范围内远离理想的情况。
虽然格沃特在这里的看法很幽默:),但它确实揭示了保护协议的需要与关键参与者之间软实力的集中之间更深层次的潜在紧张关系。
用 Dankrad 稍微严肃一点的话来说:
是的,我们可能对你在质押层所做的事情有意见,这可能包括扰乱你的协议并破坏它。
用户代表
此外,如上所述,LSD 持有者与以太坊用户不同。LSD 持有者可能会接受某种审查所需的治理投票,但这仍然是对以太坊协议的攻击,用户和开发人员将通过他们掌握的手段(社会干预)来缓解这种攻击。
也可以从相反的角度来看这一点。
几乎在我们所看到的任何地方,我们都看到用户引导的决策往往会鼓励跨重要维度的市场集中化。
99.9% 的用户可能不太关心与他们没有直接关系的时间敏感审查形式,而以太坊一致的流动质押协议的大多数贡献者可能会这样做。
例如,大多数用户不会也不应该关心以太坊节点的地理分布或管辖多样性等问题,但与以太坊一致的流动质押协议的贡献者肯定会关心,并且可以采取切实措施来保持以太坊的弹性跨越这样的维度。
资本风险与协议风险
上面的大部分讨论都集中在 LSD 池(例如 Lido)对以太坊协议造成的风险,而不是实际上对池系统中持有资本的人带来的风险。因此,这似乎遭受了公地悲剧——每个人做出理性的决定,对 LSD 协议进行质押,这对用户来说是一个好的决定,但对协议来说却是一个越来越糟糕的决定。但事实上,当超过共识阈值时,以太坊协议的风险和分配给 LSD 协议的资本的风险是联系在一起的。
卡特尔化、滥用 MEV 提取、审查制度等都是对以太坊协议的威胁,用户和开发人员将以与传统中心化攻击相同的方法做出反应——通过社会干预来泄漏或烧毁。因此,将资本集中到这一卡特尔层不仅使以太坊协议面临风险,而且反过来也使汇集资本面临风险。
这些可能看起来像是难以认真对待或可能永远不会发生的“尾部风险”,但如果我们在加密货币中学到了任何东西,那就是——如果它可以被利用或有一些不太可能的“关键边缘情况”,那么它将是被剥削或崩溃比你想象的要早得多。在这种开放和动态的环境中,脆弱的系统一次又一次崩溃,脆弱的系统一次又一次地被利用来获取乐趣和利润。
用Nikolai Mushegian 的话来说,在一个向全世界开放互动的系统中,激励措施不仅仅是一个建议。它们更类似于物理定律,例如重力或熵。如果系统的某一部分与激励不相容,那么它被利用只是时间问题。再多的一厢情愿也无法降低这种风险。
依靠阻止不良行为者的承诺打开了尾部风险的大门,这些风险可以说与丹尼强调的风险一样严重,甚至更严重。
自限性
以太坊协议和用户可以从 LSD 中心化和治理攻击中恢复,但这不会很美好。我建议 Lido 和类似的 LSD 产品为了自身利益而进行自我限制,并且我建议资本分配者承认 LSD 协议设计固有的池化风险。由于相关的固有风险和极端风险,资本分配者分配给 LSD 协议的资金不应超过 ETH 质押总额的 25%。
确实不能保证施加人为限制会有好的结果。
事实上,对流动性质押产品施加人为限制很可能不会带来好的结果。
承诺只能持续这么久。
这里的最终游戏可能是社区无法施加影响的各方的胜利:交易所的流动性质押、机构(和许可的)质押产品,或更不可变(且弹性较低)的协议。
这些理想主义的想法虽然出自好处,但却脱离了务实的现实,感觉就像是反复出现的 EF 盲点。在 Lido 推出之前,正是这种错误导致交易所占据主导地位。
附录:公共产品是好的
那么,Lido 获胜的世界对于以太坊上公共产品的未来意味着什么(特别是 Lido DAO 在为未来做出贡献方面的作用)?
用凯尔文·费希特的话来说:
沿着这些思路,我相信一个好的验证器集是一种需要资金的公共产品,不应该依赖 EF 来提供资金(部分原因是其封闭的治理结构和过大的软实力并不适合自己)此处的可信中立规则),并且只有获胜的流动性质押协议(> 50%的市场份额)才能在费用上有足够的余地来承受这样做所需的财务效率低下:以维护良好的验证器市场的形式,赞助昂贵的验证器集,并提供生态系统支持,同时仍能在长期(未来 100 年)内获得利润。