V 神：规避去中心化治理潜在风险，超越代币投票治理是关键

作者：Vitalik Buterin

编译：Rachel

过去一年，区块链领域的一个重要趋势是从专注于去中心化金融（DeFi）过渡为兼顾考虑去中心化治理（DeGov）。

2020 年被誉为是 DeFi 之年，在此之后的一年中构成这一趋势的 DeFi 项目的复杂性和能力不断增长，导致人们对去中心化治理的兴趣日益浓厚。以太坊内部有些例子：YFI、Compound、Synthetix、UNI、Gitcoin 等都已经推出，甚至开始使用某种 DAO。在以太坊之外也是如此，关于比特币现金的基础设施融资提案、Zcash 基础设施融资投票等。

不可否认，某种形式的去中心化治理越来越受欢迎，人们对它感兴趣是有重要原因的。但同样重要的是要牢记这些趋势的风险，因为最近对 Steem 的敌意收购以及随后对 Hive 的大规模外流就清楚地表明了这一点。进一步说，这些趋势是不可避免的。

在某些情况下，去中心化治理既必要又危险，原因我将在本文中介绍。我们如何最大限度地降低 DeGov 的风险同时获得 DeGov 的好处？我将论证答案的一个关键部分：我们需要超越现有形式的代币投票。

DeGov 是必要的

自 1996 年《网络空间独立宣言》发布以来，在所谓的密码朋克意识形态中一直存在着一个尚未解决的关键矛盾。一方面，密码朋克价值观都是关于使用密码学来最小化强制，并最大化当时可用的主要非强制性协调机制的效率和范围：私有财产和市场。另一方面，私有财产和市场的经济逻辑针对可以“分解”为重复的一对一互动的活动以及信息领域进行了优化，而在信息领域，艺术、文件、科学和代码通过不可减少的一对多互动产生和消费，恰恰相反。
这种环境有两个固有的关键问题需要解决：

• 资助公共产品：如何资助那些对社区中广泛且没有选择性的人群有价值但通常没有商业模式（例如，layer1 和 laye2 协议研究、客户端开发、文档……）？
• 协议维护和升级：协议如何升级，对协议中长期不稳定的部分进行定期维护和调整操作，（例如安全资产列表、预言机价格来源、多方计算密钥持有者）如何达成一致？

早期的区块链项目在很大程度上忽略了这两个挑战，假装唯一重要的公共利益是网络安全，这可以通过永久固定的单一算法来实现，并以固定的工作证明奖励来支付。这种融资状况起初是可能的，因为比特币价格从 2010-2013 年开始大幅上涨，然后是 2014-2017 年的 ICO 热潮，以及 2014-2017 年同时出现的第二次加密泡沫，所有这些都使得生态系统足够丰富，可以暂时掩盖巨大的市场低效。

公共资源的长期治理同样被忽视：比特币走上极端最小化的道路，专注于提供固定供应的货币并确保支持像闪电网络这样的 laye2 支付系统），因为其预先存在的路线图具有很强的合法性，而需要更多东西的复杂应用层项目尚不存在。

但是现在，这种运气越来越差，在避免中心化风险的同时协调协议维护和升级以及资助文档、研究和开发的挑战成为首要任务。

DeGov 需要为公共产品提供资金

有必要退后一步，看看目前情况有多荒谬。以太坊每日挖矿发行奖励约为 13500 ETH，即约 4000 万美元。交易费用同样高；非 EIP-1559 燃烧部分仍然是每天大约 1500 ETH。因此，每年有数十亿美元用于资助网络安全。现在，以太坊基金会的预算是多少？每年约 3000-6000 万美元。

有非 EF 参与者（例如 Consensys）为开发做出贡献，但它们的规模并不大。比特币的情况与此类似，用于非安全公共产品的资金可能更少。
这是图表中的情况：

在以太坊生态系统中，可以证明这种差异无关紧要；每年数千万美元足以进行所需的研发，增加更多的资金并不一定能改善情况，因此协议开发者资金投入对平台可信中立性的风险超过了收益。但在许多较小的生态系统中，无论是以太坊内的生态系统还是完全独立的区块链，如 BCH 和 Zcash，同样的争论正在酝酿之中，在这些较小的规模上，不平衡会产生很大的差异。

输入 DAO，从第 1 天开始作为“纯”DAO 启动的项目可以实现以前无法结合的两个属性的组合：开发者资金充足以及可靠的资金中立性。开发人员的资金不是来自硬编码的接收地址列表，而是由 DAO 自己做出决定。

当然，很难让发行完全公平，信息不对称带来的不公平往往比显性预挖带来的不公平更糟糕（考虑到到 2010 年底之前已经有 1/4 的发行量已经分发出去，那么比特币真的是公平的发行吗？）。

但即便如此，从第一天起对非安全公共产品的协议内补偿似乎是朝着获得充足且更可信的中立开发者资金迈出的重要一步。

协议维护和升级需要 DeGov

除了公共产品资金，另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动参数调整并且我是 RAI 的“非治理”策略的粉丝，但有时治理是不可避免的。预言机价格输入必须来自某个地方，有时某个地方需要改变。在协议“僵化”为最终形式之前，必须以某种方式协调改进。

有时，协议社区可能会认为他们已准备好僵化，但随后世界抛出了一个曲线球，需要进行彻底且有争议的重组。如果美元崩溃，RAI 不得不争先恐后地创建和维护自己的去中心化 CPI 指数，以使其稳定币保持稳定和相关性，会发生什么？在这里，DeGov 也是必要的，因此完全避免它不是一个可行的解决方案。

一个重要的区别是链下治理是否可行。长期以来，我一直是尽可能地支持链下治理的粉丝。事实上，对于底层区块链，链下治理绝对是可能的。但是对于应用层项目，尤其是 DeFi 项目，我们遇到的问题是应用层智能合约系统往往直接控制外部资产，而且这种控制无法转移。

如果 Tezos 的链上治理被攻击者捕获，社区可以硬分叉，而不会造成任何损失协调成本。如果 MakerDAO 的链上治理被攻击者捕获，社区绝对可以启动一个新的 MakerDAO，但他们将失去所有现有 MakerDAO CDP 中的 ETH 和其他资产。因此，虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案，但许多应用层项目尤其是 DeFi，不可避免地需要某种形式的正式链上治理。

DeGov 很危险

然而，目前所有去中心化治理的实例都伴随着巨大的风险，这个讨论并不新鲜。我担心代币投票的问题有两种：（1）即使没有攻击者也存在不平等和激励失衡，（2）通过各种形式（通常是模糊的）投票购买进行彻底攻击。对于前者，已经有很多提议的缓解措施（例如授权），而且还会有更多。但后者是房间里更危险的大象，我认为在当前的代币投票范式中没有解决方案。

即使没有明确的攻击者，代币投票的问题也越来越容易被理解，并且主要分为几类：

一小部分富有的参与者（鲸鱼）比大部分的小型参与者更擅长成功地执行决策。这是因为小型参与者的公地悲剧：每个小型参与者对结果的影响都微乎其微，所以他们几乎没有动力不偷懒去实际投票。即使投票有奖励，也没有什么动力去研究和思考他们投票的目的。

代币投票治理以牺牲社区其他部分为代价，赋予代币持有者利益：协议社区由具有许多不同价值观、愿景和目标的不同选区组成。然而，代币投票只赋予一个选区（代币持有者，尤其是鲸鱼）权力，并导致高估使代币价格上涨的目标，即使这涉及有害的租金提取。

利益冲突问题：将投票权授予一个选区（代币持有者），尤其是在该选区中过度授权富有的参与者，有可能过度暴露于该特定精英内部的利益冲突。（例如，投资基金或还持有与相关平台交互的其他 DeFi 平台的代币的用户）

有一种主要类型的策略正在尝试解决第一个问题，因此也减轻第三个问题：授权委托。小型参与者不必亲自判断每个决定；相反，他们可以委托给他们信任的社区成员。这是一个光荣而有价值的实验，我们将看到授权可以如何有效地缓解这个问题。

Vitalik Buterin 在 Gitcoin DAO 中的投票委托页面

另一方面，代币持有者中心主义的问题更具挑战性：代币持有者中心主义本质上是一个系统，其中代币持有者投票是唯一的输入。认为代币持有者中心主义是预期目标而不是错误的误解已经造成了混乱和伤害；关于讨论区块链公共产品的抱怨：

如果所有权集中在少数鲸鱼手中，加密协议是否可以被视为公共产品？通俗地说，这些市场原语有时被描述为“公共基础设施”，但如果区块链今天服务于“公共”，它主要是一种去中心化金融。从根本上说，这些代币持有者只有一个共同关注的对象：价格。

抱怨不实，区块链服务的公众比 DeFi 代币持有者更加丰富和广泛。但是我们的代币投票驱动的治理系统完全无法捕捉到这一点，而且如果不对范式进行更根本的改变，似乎很难建立一个能够捕捉到这种丰富性的治理系统。

代币投票对攻击者的深层基础脆弱性：买票

一旦确定攻击者试图破坏系统，问题就会变得更加严重。

代币投票的根本弱点很容易理解。带有代币投票的协议中的代币是由两种权利组成的组合，它们组合成一种资产：（1）协议收入中的某种经济利益；（2）参与治理的权利。这种组合是经过深思熟虑的：目标是使权力和责任相一致。

但事实上，这两种权利很容易分离。想象一下简单的包装合约，它有以下规则：如果你在合约中存入 1 个 XYZ，你会得到 1 个 WXYZ，WXYZ 可以在任何时候转换回 XYZ，此外，它还会产生利息，利息从何而来？虽然 XYZ 代币在包装合约中，但包装合约有能力在治理中随意使用它们（提出建议、对建议进行表决等）。包装合约只是每天拍卖这项权利，并将利润分配给原始储户。

作为 XYZ 持有者，将您的代币存入合约是否符合您的利益？

如果你是一个非常大的持有者，它可能不是；你喜欢利息，但你害怕一个不协调的参与者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者，那么它非常适合。如果包装合约拍卖的治理权被攻击者买走，您个人只会遭受您的代币造成的不良治理决策成本的一小部分，但您个人会从治理权拍卖中获得全部红利。这种情况是典型的公地悲剧。

假设攻击者做出的决定破坏了 DAO，从而使攻击者受益。决策成功对每个参与者的伤害是什么，并且单次投票改变结果的可能性是什么。假设攻击者行贿，游戏图是这样的：

如果 B-Dp ，你倾向于接受贿赂，但只要 B＜1000D*p，接受贿赂是集体有害的。因此，如果 p＜1 （通常，p 远低于 1)，攻击者有机会贿赂用户采取净负决策，对每个用户的补偿远低于他们遭受的伤害。

对选民贿赂恐惧的一种自然批评是：选民真的会如此不道德以致接受如此明显的贿赂吗？普通的 DAO 代币持有者是一个狂热者，他们很难对如此自私和公然出售项目感到满意。但这遗漏的是，有更多模糊的方法可以将利润分享权与治理权区分开来，不需要任何像包装合约那样明确的东西。

最简单的例子是从 DeFi 借贷平台借款（例如 Compound）。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP 中（抵押债务头寸），一旦他们这样做，CDP 合约允许他们借入 XYZ 的数量，例如他们投入的 ETH 价值的一半，然后他们可以用这个 XYZ 做任何他们想做的事情，为了收回他们的 ETH，他们最终需要偿还他们借来的 XYZ 加上利息。

请注意，在整个过程中，借款人没有对 XYZ 的财务风险敞口。

也就是说，如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策，他们不会因此损失一分钱。他们持有的 XYZ 是无论如何他们最终都必须偿还给 CDP 的，因此他们不在乎其价值是上涨还是下跌。这样我们就实现了分拆：借款人有治理权而没有经济利益，贷款人有经济利益而没有治理权。一些 DAO 协议正在使用诸如时间锁之类的技术来限制人们参与此类攻击的能力，但最终时间锁是可以绕过的，就安全系统而言，时间锁更像是报纸网站上的付费墙，而不是锁和钥匙。

还有将利润分享权与治理权分开的集中机制。最值得注意的是，当用户将他们的代币存入中心化交易所时，交易所完全保管这些代币，并且交易所有能力使用这些代币进行投票。这不仅仅是理论，有证据表明在多个 DPoS 系统中使用用户的代币进行交易。最近最显着的例子是企图恶意收购 Steem，交易所使用客户的代币投票支持一些提案，这些提案有助于对 Steem 网络的收购，但该提案遭到社区中的大多数人强烈反对。这种情况只能通过彻底的大规模外流来解决，其中很大一部分社区转移到了一个名为 Hive 的不同链上。

目前，许多采用代币投票的区块链和 DAO 已成功避免了最严重形式的攻击，偶尔有企图贿赂的迹象：

尽管存在所有这些重要问题，但简单的经济推理表明，直接贿赂选民的例子却少得多，包括使用金融市场等模糊形式。自然要问的问题是：为什么还没有发生更多的直接攻击？

我的回答是，“为什么还没有”依赖于三个在今天是正确的偶然因素，但随着时间的推移可能变得不那么正确：
社区精神来自拥有紧密联系的社区，每个人都在共同的部落和使命中感受到友情。

代币持有者的财富高度集中和协调，大型持有者具有更高的影响结果的能力，并且对彼此之间的长期关系进行投资，并且这使他们更难受贿。

治理代币中的不成熟金融市场：用于制作包装代币的现成工具以概念验证形式存在，但并未得到广泛使用；存在贿赂合约，但同样不成熟；贷款市场中的流动性较低。

当一小群协调的用户持有超过 50% 的代币，并且他们和其他人都投资于一个紧密结合的社区，并且很少有代币以合理的利率被借出时，上述所有贿赂攻击都可能仍然是理论上的。但随着时间的推移，无论我们做什么，（1）和（3）都将不可避免地变得不那么真实，如果我们希望 DAO 变得更加公平，那么（2）必须变得不那么真实。当这些变化发生时，DAO 会保持安全吗？如果代币投票不能持续抵抗攻击，那又能做什么呢？

解决方案 1：有限治理

对上述问题的一种可能的缓解措施，并且已经在不同程度上尝试的一种解决方案，那就是限制代币驱动的治理可以做什么。有几种方法可以做到这一点：

• 仅对应用程序使用链上治理，而不是基础层：以太坊已经这样做了，因为协议本身是通过链下治理进行治理的，而在此之上的 DAO 和其他应用程序有时（但不总是）通过链上进行治理。
• 将治理限制为固定参数选择：Uniswap 做到了这一点，因为它只允许治理影响代币分配和 Uniswap 交易所的 0.05% 费用。另一个很好的例子是 RAI 的“非治理”路线图，随着时间的推移，治理可以控制越来越少的功能。
• 添加时间延迟：在时间 T 做出的治理决策仅在 T+90 天生效。这允许认为决定不可接受的用户和应用程序转移到另一个应用程序（可能是一个分叉）。Compound 在其治理中具有时间延迟机制，但原则上延迟可以并且最终应该更长。
• 更友好的分叉：让用户更容易快速协调和执行分叉，这使得捕获治理的回报更小。

Uniswap 案例特别有趣：这是链上治理团队的一种预期行为，他们可能会开发 Uniswap 协议的未来版本，但用户可以选择是否升级到这些版本。这是链上和链下治理的结合，只为链上一方留下了有限的作用。

但有限治理本身并不是一个可以接受的解决方案。最需要治理的领域，例如公共产品的资金分配本身就是最容易受到攻击的领域，因为攻击者可以通过一种非常直接的方式从错误的决策中获利：他们可以尝试推动一个错误的决策，从而将资金发送给自己。因此，我们还需要技术来改善治理本身。

解决方案 2：非代币驱动的治理

第二种方法是使用非代币投票驱动的治理形式。但是，如果代币不能决定一个账户在治理中的权重，那又能决定什么呢？有两种自然选择：

• 个人身份证明系统：验证帐户是否对应于唯一个人的系统，以便治理可以为每个人分配一票。
• 参与证明：证明某些帐户对应于参与某些活动、通过某些教育培训或在生态系统中执行某些有用工作的人这一事实的系统。

也有混合的可能性：一个例子是二次投票，这使得单个选民的权力与他们做出决定的经济资源的平方根成正比。通过将他们的资源分配到多个身份来防止人们玩弄系统需要证明个人身份，而仍然存在的财务部分允许参与者可信地表明他们对某个问题的关心程度以及他们对生态系统的关心程度。Gitcoin 二次融资是二次投票的一种形式，二次投票 DAO 正在构建中。

参与证明不太为人所知。关键的挑战是，确定参与程度本身需要非常强大的治理结构。最简单的解决方案可能是通过精心挑选的 10-100 名早期贡献者来引导系统，然后随着第 N 轮的选定参与者确定第 N+1 轮的参与标准，随着时间的推移逐渐去中心化。分叉的可能性有助于提供一条治理偏离轨道的恢复路径，并激励参与者。

个人身份证明和参与证明都需要某种形式的反勾结，以确保用于衡量投票权的非货币资源仍然是非金融资源，而不是其本身最终进入智能合约，将治理权出售给出价最高的人。

解决方案 3：风险共担

第三种方法是通过改变投票本身的规则来打破公地悲剧。代币投票失败是因为虽然选民集体对他们的决定负责（如果每个人都投票支持一个糟糕的决定，每个人的代币价值都会降为零），但每个选民都不承担个人责任（如果发生了糟糕的决定，支持它的人所受的痛苦并不比反对它的人多）。我们能否建立一个改变这种状态的投票系统，让选民对自己的决定负责，而不仅仅是集体负责？

如果分叉是按照 Hive 从 Steem 分叉的方式完成的，分叉友好性可以说是一种游戏策略。如果破坏性的治理决策成功并且协议内部不再受到反对，用户可以自行决定进行分叉。此外，在那个分叉中，投票支持错误决定的代币可以被销毁。

这听起来很苛刻，甚至可能感觉像是违反了一个隐含的规范，即“分类帐的不变性”在分叉代币时应该保持神圣不可侵犯。但从不同的角度来看，这个想法似乎更合理。我们保持强大防火墙的想法，其中个人代币余额预计不会受到侵犯，但仅将这种保护应用于不参与治理的代币。如果您参与治理，即使是通过将您的代币放入包装机制间接参与，那么您可能要为您的行为成本负责。

这产生了个人责任：如果发生攻击，并且您的代币投票支持该攻击，那么您的代币将被销毁。如果您的代币没有投票支持攻击，则您的代币是安全的。责任向上传播：如果您将代币放入包装合约中，并且包装合约投票支持攻击，包装合约的余额将被清除，因此您将丢失代币。如果攻击者从 DeFi 借贷平台借用 XYZ，当平台分叉时，任何借出 XYZ 的人都会失败（请注意，这使得借出治理代币通常非常危险，这是预期的结果）。

但以上仅适用于防止真正极端的决定。小规模抢劫呢？不公平地有利于攻击者操纵治理的经济性，但还不够严重到造成毁灭性的破坏？那么，在根本没有任何攻击者的情况下，简单的懒惰以及投币治理没有选择压力来支持更高质量的意见呢？

此类问题最流行的解决方案是未来论 Futarchy，由 Robin Hanson 在 21 世纪初提出。投票变成赌注：投赞成票，您就押注该提案会带来好的结果，而投票反对该提案，您押注该提案会导致糟糕的结果。Futarchy 引入个人责任的原因很明显：如果你押得好，你会得到更多的代币，如果你押得不好，你就会失去你的代币。

事实证明，“纯”Futarchy 很难引入，因为在实践中目标函数很难定义（人们想要的不仅仅是代币价格），但各种混合形式的 Futarchy 可能很有效。混合 Futarchy 的例子包括：

在后两种情况下，混合 Futarchy 依赖于某种形式的非 Futarchy 治理来衡量目标函数或作为最后的争议层。然而，这种非 Futarchy 治理有几个好处，如果直接使用的话是不会的：（1）激活的更晚，因此可以访问更多信息，（2）使用频率较低，因此可以花费更少的精力，（3）每次使用都会产生更大的后果，因此仅依靠分叉来调整最后一层的激励措施更容易接受。

混合解决方案

还有一些解决方案结合了上述技术的元素，一些可能的例子：

• 时间延迟加选举专家治理：这是一个可能的解决方案，解决了如何制作锁定资金的加密抵押的稳定币的古老难题，其锁定资金可以超过盈利代币的价值而无需承担治理捕获风险。稳定的代币使用由 n （例如，n=13）所选提供商提交的值中位数的价格 oracle，代币投票选择供应商，但它每周只能循环出一个供应商。如果用户注意到代币投票带来了不可信的价格提供商，他们有 N/2 周的时间在稳定币崩溃之前切换到另一个稳定币。
• Futarchy+反勾结 = 声誉：用户以“声誉”投票，一种不能转让的代币。如果他们的决定导致预期的结果，用户会获得更多声誉，如果他们的决定导致不希望的结果，则失去声誉。
• 松散耦合（咨询）代币投票：代币投票不直接实施提议的变更，而只是为了公开其结果，为链下治理建立合法性以实施该变更。这可以提供代币投票的好处同时降低风险，因为如果有证据表明代币投票被贿赂或以其他方式被操纵，硬币投票的合法性就会自动下降。

但这些都只是几个可能的例子，在研究和开发非代币驱动的治理算法方面还有很多工作要做。今天可以做的最重要的事情是摆脱代币投票是治理权力下放的唯一合法形式的想法。代币投票很有吸引力，因为它让人感觉中立：任何人都可以在 Uniswap 上获得一些治理代币。然而，在实践中，代币投票可能只是在今天看起来很安全，因为它的中立性存在缺陷（即大部分供应掌握在一个紧密协调的内部集团手中）。

我们应该对当前形式的代币投票是“安全默认”的想法保持警惕。关于它们如何在更大的经济压力、成熟的生态系统和金融市场的条件下运作，还有很多有待观察，现在是时候开始同时试验替代方案了。

来源链接：www.tuoniaox.com