超越代币投票的治理
作者:Vitalik Buterin
原标题:《Moving beyond coin voting governance》
发表时间:2021 年 8 月 16 日
过去一年,区块链领域的一个重要趋势是,从关注去中心化的金融(DeFi)过渡到同时思考去中心化的治理(DeGov)。虽然2020年经常被广泛地、有理由地誉为DeFi年,但在此后的一年里,构成这一趋势的DeFi项目的复杂性和能力不断增加,导致人们对处理这种复杂性的去中心化治理越来越感兴趣。以太坊内部有一些例子。YFI、Compound、Synthetix、UNI、Gitcoin和其他项目都已经启动,甚至开始使用某种DAO。在以太坊之外也是如此,关于比特币现金中的基础设施资金提案、Zcash 中的基础设施资金投票等讨论。
某种形式的正式去中心化治理的普及率上升是不可否认的,人们对其感兴趣有重要原因。但同样重要的是,要牢记这种计划的风险,最近Steem的恶意收购和随后大规模流向Hive的事件就很清楚。我进一步认为,这些趋势是不可避免的。在某些情况下,去中心化的治理既是必要的,也是危险的,原因我将在这篇文章中加以阐述。我们如何才能在获得去中心化治理的好处的同时将风险降到最低?我将论证答案的一个关键部分:我们需要超越现有形式的代币投票。
DeGov是必要的
自1996年《网络空间独立宣言》以来,在可称为赛博朋克的意识形态中一直存在着一个关键的未解决的矛盾。一方面,赛博朋克的价值观都是利用密码学来减少胁迫,并最大限度地提高当时主要的非胁迫性协调机制的效率和范围:私有财产和市场。另一方面,私有财产和市场的经济逻辑是为那些可以被 "分解 "为重复的一对一互动的活动而优化的,而信息圈,其中艺术、文件、科学和代码是通过不可减少的一对多的互动产生和消费的,与此完全相反。
在这样的环境中,有两个固有的关键问题需要被解决。
资助公共产品:如何资助那些对社区中广泛的、没有选择的人群有价值的项目,但这些项目通常没有商业模式(例如第一层和第二层协议研究、客户端开发、文档......)?
协议维护和升级:协议如何升级,对协议中长期不稳定的部分(例如安全资产列表、价格预言机来源、多方计算密钥持有者)进行定期维护和调整操作, 是如何商定的??
早期的区块链项目在很大程度上忽略了这两个挑战,假装唯一重要的公共利益是网络安全,这可以通过永久固定的单一算法来实现,并以固定的工作证明奖励来支付。这种资金状况起初是可能的,因为 2010-2013 年比特币价格大幅上涨,然后是 2014-2017 年的ICO 热潮,以及 2014-2017 年同时发生的第二次加密泡沫,所有这些都使得生态系统足够丰富,可以暂时掩盖巨大的市场低效率。公共资源的长期治理同样被忽视:比特币走极端最小化的道路,专注于提供固定供应的货币并确保支持像闪电网络这样的第 2 层支付系统,仅此而已。由于其预先存在的路线图(基本上:“权益证明和分片”)的强大合法性,以太坊继续和谐地发展(除了一个主要的例外),而需要更多复杂应用层的项目尚不存在。
但是现在,这种运气越来越差,在避免中心化风险的同时协调协议维护和升级以及资助文档、研究和开发的挑战成为首要任务。
DeGov 需要为公共产品提供资金
有必要退后一步,看看目前荒谬的现状。来自以太坊的每日挖矿发行奖励约为 13500 ETH,即每天约 4000 万美元。交易费用同样高;非 EIP-1559 烧毁的部分每天仍约为 1,500 ETH(约 450 万美元)。因此,每年有数十亿美元用于资助网络安全。现在,以太坊基金会的预算是多少?每年约 30-6000 万美元。有非 EF 参与者(例如 Consensys)为开发做出贡献,但它们的规模并不大。比特币的情况类似,用于非安全公共产品的资金可能更少。
这是图表中的情况:
在以太坊生态系统中,可以证明这种差异无关紧要;每年数千万美元“足以”进行所需的研发,增加更多的资金并不一定会改善现状。因此,建立协议内开发者资金对平台可信的中立性的风险超过了收益。但在许多较小的生态系统中,包括以太坊内的生态系统和完全独立的区块链,如BCH和Zcash,同样的辩论正在酝酿,而在这些较小的规模上,不平衡会产生很大的差异。
进入DAO。一个从第一天起就作为 "纯 "DAO启动的项目,可以实现以前不可能结合的两个属性的组合。(i) 开发者资金的充足性,和(ii) 资金的可信中立性(人们梦寐以求的 “公平启动")。开发者的资金不是来自一个硬编码的接收地址列表,而是可以由DAO本身做出决定。
当然,要使一个发射完全公平是很难的,信息不对称带来的不公平往往比明确的前提条件带来的不公平更糟糕(考虑到在2010年底1/4的供应量已经发放的时候,很少有人有机会听到它,比特币真是一个公平的启动吗?但即使如此,从第一天起就对非安全的公共产品进行协议内的补偿,似乎是朝着获得足够的和更可信的中立开发者资金迈出的潜在的重要一步。
DeGov 需要进行协议维护和升级
除了公共物品资金,另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动化参数调整(请参阅下面的“有限治理”部分)并且我是 RAI 的“非治理”策略的粉丝,但有时治理是不可避免的。价格预言机输入必须来自某个地方,有时某个地方需要改变。在协议“僵化”为最终形式之前,必须以某种方式协调改进。有时,协议的社区可能认为他们已准备好僵化,但随后世界抛出了一个需要进行完整且有争议的重组的曲线球。如果美元崩溃,RAI 不得不争先恐后地创建和维护自己的去中心化 CPI 指数,以使其稳定币保持稳定和相关性,会发生什么?在这里,DeGov 也是必要的,因此完全避免它并不是一个可行的解决方案。
一个重要的区别是链下治理是否可行。长期以来,我一直是尽可能地支持链下治理的粉丝。事实上,对于底层区块链,链下治理绝对是可能的。但是对于应用层项目,尤其是 defi 项目,我们遇到的问题是应用层智能合约系统往往直接控制外部资产,并且这种控制无法分叉。如果 Tezos 的链上治理被攻击者捕获,社区可以硬分叉而不会造成任何损失(公认的高)协调成本。如果 MakerDAO 的链上治理被攻击者捕获,社区绝对可以启动一个新的 MakerDAO,但他们将失去所有保留在现有 MakerDAO CDP 中的 ETH 和其他资产。因此,虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案,但许多应用层项目,尤其是 DeFi,不可避免地需要某种形式的正式链上治理。
DeGov很危险
然而,目前所有去中心化治理的实例都伴随着巨大的风险。对于我的文章的追随者来说,这个讨论并不新鲜;风险与我在此处、此处和此处讨论的风险大致相同 我所担心的代币投票的问题主要有两类。(i)即使在没有攻击者的情况下,不平等和激励错位,以及(ii)通过各种形式(通常是模糊的)买票进行的彻底攻击。对于前者,已经有许多建议的缓解措施(如授权),而且还会有更多。但后者是房间里更危险的大象,我认为在目前的代币投票范式中没有解决方案。
即使没有攻击者的情况下,代币投票也存在问题
即使没有明确的攻击者,代币投票的问题也越来越容易被理解(例如,参见 DappRadar 和 Monday Capital 最近的一篇文章),并且主要分为几类:
一小群富有的参与者(”鲸鱼”)比一大群小股东更善于成功执行决策。这是因为小股东之间的公地悲剧:每个小股东对结果只有微不足道的影响,因此他们没有动力真正的投票,而不不偷懒。即使投票有奖励,也没有什么动力去研究和仔细思考他们所投的是什么。
代币投票治理赋予了代币持有者和代币持有者的利益,而牺牲了社区的其他部分:协议社区是由不同的选民组成的,他们有许多不同的价值观、愿景和目标。然而,代币投票只给了一个选区(代币持有者,尤其是富有的选区)权力,并导致过度重视使代币价格上升的目标,即使这涉及到有害的租金提取。
利益冲突问题:将投票权交给一个选区(持币者),尤其是过度授权给该选区的富人,有可能过度暴露于该特定精英阶层的利益冲突(例如,投资基金或同时持有与该平台互动的其他DeFi平台的代币的持有人)。
为解决第一个问题(因此也减轻了第三个问题),有一种主要的策略正在尝试:委托。小股东不必亲自判断每个决定;相反,他们可以委托给他们信任的社区成员。这是一个光荣而值得的实验;我们将看到授权能多好地缓解问题。
我在 Gitcoin DAO 中的投票委托页面
另一方面,持币人中心主义的问题明显更具挑战性:持币人中心主义在一个系统中是固有的,持币人投票是唯一的输入。认为持币人中心主义是一个预期的目标,而不是一个错误,这种误解已经造成了混乱和伤害;一篇(非常出色的)讨论区块链公共产品的文章抱怨道:
如果所有权集中在少数鲸鱼手中,加密协议是否可以被视为公共产品?通俗地说,这些市场原语有时被描述为“公共基础设施”,但如果区块链今天服务于“公共”,它主要是一种去中心化金融。从根本上说,这些代币持有者只有一个共同关注的对象:价格。
这种抱怨是错误的;区块链服务于比 DeFi 代币持有者更丰富、更广泛的公众。但是我们的代币投票驱动的治理系统完全无法捕捉到这一点,而且如果不对范式进行更根本的改变,似乎很难建立一个能够捕捉到这种丰富性的治理系统。
代币投票对攻击者的深层本质漏洞:买票
一旦确定试图颠覆系统的攻击者进入画面,问题就会变得更糟。代币投票的基本漏洞很容易理解。带有代币投票的协议中的代币是组合成单一资产的两种权利的捆绑:(i) 协议收入中的某种经济利益和 (ii) 参与治理的权利。这种组合是故意的:目标是使权力和责任保持一致。但实际上,这两种权利很容易相互分离。想象一个简单的包装合约,它有这些规则:如果你将 1 XYZ 存入合约,你会得到 1 WXYZ。 WXYZ 可以随时转换回 XYZ,此外它还可以累积红利。红利从何而来?好吧,虽然 XYZ 代币在封装合约中,但封装合约可以在治理中随意使用它们(提出提案、对提案进行投票等)。封装合约只是简单地每天拍卖这个权利,并将利润分配给原始存款人。
作为 XYZ 持有者,将您的代币存入合约是否符合您的利益?如果你是一个非常大的持有者,它可能不是;你喜欢红利,但你害怕一个错位的行为者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者,那么它非常适合。如果封装合约拍卖的治理权被攻击者买走,您个人只会遭受您的代币造成的不良治理决策成本的一小部分,但您个人将获得红利的全部收益治理权拍卖。这种情况是一个典型的公地悲剧。
假设攻击者做出的决定破坏了 DAO,从而使攻击者受益。决策成功对每个参与者的伤害是?单次投票倾斜结果的可能性是?假设攻击者被贿赂了 ?博弈图看起来是这样的:
- 决策有益于您,有益于他人
- 接受攻击者的贿赂
- 拒绝贿赂,投票给你的良心
如果 ,您倾向于接受贿赂,但只要 ,接受贿赂对集体有害。因此,如果(通常远低于 ),攻击者有机会贿赂用户采取净负面决策,对每个用户的补偿远低于他们所遭受的伤害。
对选民贿赂恐惧的一种自然批评是:选民真的会如此不道德以致接受如此明显的贿赂吗?普通的 DAO 代币持有者是一个狂热者,他们很难对如此自私和公然出售项目的行为感到满意。但这忽略了一个问题,那就是有更多混淆视听的方法来区分利润分享权和治理权,这些方法不需要像封装合约那样明确的东西。
最简单的例子是从 defi 借贷平台(例如 Compound)借款。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP(“抵押债务头寸”)中,一旦他们这样做,CDP 合约允许他们借入 一定数量的XYZ ,例如。他们投入的 ETH 的一半价值。然后他们可以用这个 XYZ 做任何他们想做的事情。为了收回他们的 ETH,他们最终需要偿还他们借来的 XYZ 加上利息。
请注意,在整个过程中,借款人对 XYZ 没有财务风险。也就是说,如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策,他们不会因此损失一分钱。他们持有的 XYZ 是 XYZ,无论如何他们最终都必须偿还给 CDP,因此他们不在乎其价值是上涨还是下跌。因此我们实现了分拆:借款人拥有治理权而没有经济利益,贷款人拥有经济利益而没有治理权。一些 DAO 协议正在使用诸如时间锁之类的技术来限制人们参与此类攻击的能力,但最终时间锁是可以绕过的;就安全系统而言,时间锁更像是报纸网站上的付费墙,而不是锁和钥匙。
还有将利润分享权与治理权分开的中心化机制。最值得注意的是,当用户将他们的代币存入一个(中心化的)交易所时,交易所持有这些代币的全部保管权,并且交易所有能力使用这些代币进行投票。这不是单纯的理论;有证据表明交易所在几个DPoS系统中使用他们用户的代币。最近最明显的例子是对Steem的敌意收购企图,交易所使用他们客户的代币来投票支持一些有助于巩固对Steem网络的收购的提案,而社区的大多数人都强烈反对。这种情况只有通过彻底的大规模出逃来解决,社区中的大部分人都搬到了另一条名为Hive的链上。
目前,许多采用代币投票的区块链和 DAO 已经设法避免了这些最严重形式的攻击。偶尔也有试图贿赂的迹象。
但是,尽管存在所有这些重要问题,但简单的经济推理表明,直接贿赂选民的例子却少得多,包括利用金融市场等模糊的形式。要问的问题是:为什么还没有发生更多的直接攻击?
我的回答是,"为什么还没有 “依赖于三个偶然因素,这些因素今天是真实的,但随着时间的推移,可能会越来越不真实。
社区精神来自拥有紧密联系的社区,每个人都在共同的部落和使命中感受到友情。
代币持有者的财富高度集中和协调;大持有者具有更高的影响结果的能力,并且对彼此之间的长期关系进行投资(既是风投的“老男孩俱乐部”,也有许多其他同样强大但低调的富有代币持有者群体),并且这使他们更难贿赂。
治理代币的金融市场不成熟:用于制作封装代币的现成工具以概念验证的形式存在但未广泛使用,存在贿赂合约但同样不成熟,贷款市场的流动性低。
当一小部分协调的用户持有超过50%的代币,并且他们和其他用户都投资于一个紧密的社区,并且很少有代币以合理的利率被借出,上述所有的贿赂攻击也许仍然是理论上的。但是随着时间的推移,无论我们做什么,(1)和(3)将不可避免地变得不那么真实,如果我们希望DAO变得更加公平,(2)必须变得不那么真实。当这些变化发生时,DAO还能保持安全吗?如果代币投票不能持续地抵御攻击,那么什么可以?
解决方案 1:有限治理
对上述问题的一个可能的缓解措施,也是一个已经在不同程度上被尝试的措施,就是对代币驱动的治理所能做的事情进行限制。有几种方法可以做到这一点。
仅对应用程序使用链上治理,而不是基础层:以太坊已经这样做了,因为协议本身是通过链下治理来治理的,而在此之上的 DAO 和其他应用程序有时(但并不总是)通过链上治理来治理——链式治理。
将治理限制为固定参数选择:Uniswap 这样做,因为它只允许治理影响 (i) 代币分配和 (ii) Uniswap 交易所的 0.05% 费用。另一个很好的例子是 RAI 的“非治理”路线图, 随着时间的推移,治理对越来越少的功能有控制权。
增加时间延迟:在时间T做出的治理决定只在例如T+90天时生效。这允许认为该决定不可接受的用户和应用程序转移到另一个应用程序(可能是一个分叉)。Compound在它的治理中有一个时间延迟机制,但原则上,延迟可以(最终应该)更长。
对分叉更友好:让用户更容易快速协调和执行分叉。这使得捕获治理的回报更小。
Uniswap 案例特别有趣: 这是一种预期的行为,链上治理为团队提供资金,这些团队可能会开发Uniswap协议的未来版本,但要由用户选择升级到这些版本。这是一种链上和链下治理的混合体,只给链上一方留下了有限的作用。
但有限治理本身并不是一个可以接受的解决方案。最需要治理的领域(例如公共物品的资金分配)本身就是最容易受到攻击的领域。公共物品基金很容易受到攻击,因为攻击者有一种非常直接的方式可以从错误的决策中获利:他们可以尝试推动一个错误的决策,从而向自己发送资金。因此,我们还需要技术来改善治理本身......
解决方案2:非代币驱动的治理
第二种方法是使用非代币投票驱动的治理形式。但是,如果代币不能决定一个账户在治理中的权重,那又是什么呢?有两种自然选择:
人格证明系统:验证帐户对应于唯一个人的系统,以便治理可以为每个人分配一票。在这里查看正在开发的一些技术的评论,以及 Proof Of Humanity 和 BrightID 的两次尝试实现这一点。
参与证明:证明某些帐户对应于参与某些活动、通过某些教育培训或在生态系统中执行某些有用工作的人这一事实的系统。请参阅 POAP 以了解如何实现这一点。
也有混合的可能性:一个例子是二次方投票,这使得单个选民的权力与他们承诺的经济资源的平方根成正比。通过将他们的资源分配到多个身份来防止人们博弈系统,需要证明人的身份,而仍然存在的财务部分允许参与者可信地表明他们对某个问题的关心程度以及他们对生态系统的关心程度。 Gitcoin 二次方融资是二芳次投票的一种形式,并且正在构建二次方投票 DAO。
参与证明不太为人所知。关键的挑战是,确定参与程度本身需要非常强大的治理结构。最简单的解决方案可能是通过精心挑选的 10-100 名早期贡献者来引导系统,然后随着第 N 轮的选定参与者确定第 N+1 轮的参与标准,随着时间的推移逐渐去中心化。分叉的可能性有助于提供一条从治理脱轨中恢复的途径,并提供一种激励措施。
人格证明和参与证明都需要某种形式的反勾结(参见此处解释问题的文章和此处的 MACI 文档),以确保用于衡量投票权的非货币资源仍然是非金融性, 并且本身不会在智能合约中最终将治理权卖给出价最高的人。
解决方案3:不对称陷阱
第三种方法是通过改变投票本身的规则来打破公地悲剧。代币投票之所以失败,是因为虽然投票者对他们的决定负有集体责任(如果每个人都投票支持一个糟糕的决定,那么每个人的代币都会降为零),但每个投票者却不承担个人责任(如果一个糟糕的决定发生了,支持它的人不会比反对它的人更痛苦)。我们能不能做一个改变这种动态的投票系统,让投票者单独地,而不仅仅是集体地对他们的决定负责?
如果分叉是按照 Hive 从 Steem 分叉的方式完成的,分叉友好性可以说是一种游戏策略。如果破坏性的治理决策成功并且协议内部不再受到反对,用户可以自行决定进行分叉。此外,在那个分叉中,投票支持错误决定的代币可以被销毁。
这听起来很苛刻,甚至可能感觉像是违反了一个隐含的规范,即在分叉代币时“账本的不变性”应该保持神圣不可侵犯。但从一个角度来看,这个想法似乎更合理。
我们保持强大防火墙的想法,其中个人代币余额预计不会受到侵犯,但仅将这种保护应用于不参与治理的代币。如果您参与治理,即使是通过将您的代币放入封装机制间接参与,那么您可能要为您的行为成本负责。
这产生了个人责任:如果发生攻击,并且您的代币投票支持该攻击,那么您的代币将被销毁。如果您的代币没有投票支持攻击,则您的代币是安全的。责任向上传播:如果您将代币放入封装合约中,并且封装合约投票支持攻击,封装合约的余额将被清除,因此您将丢失代币。如果攻击者从 defi 借贷平台借用 XYZ,当平台分叉时,任何借出 XYZ 的人都会失败(请注意,这使得借出治理令牌通常非常危险;这是预期的结果)。
日常投票中的不对称风险
但以上仅适用于防止真正极端的决定。小规模抢劫呢?不公平地有利于攻击者操纵治理的经济性,但还不够严重到造成毁灭性的破坏?那么,在根本没有任何攻击者的情况下,简单的懒惰,以及代币投票治理没有选择压力来支持更高质量的意见,这一事实呢?
此类问题最流行的解决方案是 futarchy,由 Robin Hanson 在 2000 年代初期推出。投票变成赌注:投赞成票,您就押注该提案会带来好的结果,而投票反对该提案,您押注该提案会导致糟糕的结果。 Futarchy 引入个人责任的原因很明显:如果你押得好,你会得到更多的代币,如果你押得不好,你就会失去你的代币。
事实证明,“纯” futarchy 很难引入,因为在实践中目标函数很难定义(人们想要的不仅仅是代币价格!),但各种混合形式的 futarchy 可能很有效。混合 futarchy 的例子包括:
投票作为购买订单:请参阅 ethresear.ch 帖子。投票赞成一项提案需要制定一个可执行的购买订单,以比代币当前价格略低的价格购买额外的代币。这确保了如果一个糟糕的决定成功了,那些支持它的人可能会被迫买断他们的对手,但它也确保了在更“正常”的决定中,如果他们愿意的话,代币持有者可以根据非价格标准做出更多的决定.
追溯公共物品资助:见乐观主义团队的帖子。公共物品在已经取得成果后,由某种投票机制追溯资助。用户可以购买项目代币来资助他们的项目,同时表明对它的信心;如果该项目被认为实现了预期目标,则项目代币的购买者将获得一份奖励。
升级游戏:参见 Augur 和 Kleros。较低级别决策的价值一致性受到吸引更高努力但更准确的更高级别流程的可能性的激励;投票同意最终决定的选民将获得奖励。
在后两种情况下,混合 futarchy 依赖于某种形式的非 futarchy 治理来衡量目标函数或作为最后的争议层。然而,这种非未来治理有几个直接使用时没有的优点:(i)它稍后激活,因此它可以访问更多信息,(ii)它使用的频率较低,因此可以花费更少的精力,以及(iii) 每次使用它都会产生更大的后果,因此仅依靠分叉来调整最后一层的激励措施更容易接受。
混合解决方案
还有一些解决方案结合了上述技术的元素。一些可能的例子:
时间延迟加上选举产生的专家治理:这是一个可能的解决方案,以解决如何制作一个加密抵押的稳定币的古老难题,其锁定的资金可以超过获利代币的价值,而没有治理俘获的风险。稳定币使用由n(例如,n = 13)所选提供商提交的值中位数的价格oracle。代币投票选择供应商,但它每周只能循环出一个供应商。如果用户注意到代币投票带来了不可信的价格提供者,他们有 N/2 周的时间在稳定币中断之前切换到另一个稳定币。
Futarchy + 反勾结 = 声誉:用户以“声誉”投票,一种不能转让的代币。如果他们的决定导致预期的结果,用户会获得更多声誉,如果他们的决定导致不希望的结果,则失去声誉。请参阅此处以获取提倡基于声誉的计划的文章。
松散耦合(咨询)代币投票:代币投票不直接实施提议的变更,而只是为了公开其结果,为链下治理建立合法性,以实施该变化。
这可以提供代币投票的好处,同时降低风险,因为如果有证据表明代币投票被贿赂或以其他方式被操纵,代币投票的合法性就会自动下降。
但这些都只是几个可能的例子。在研究和开发非代币驱动的治理算法方面还有很多工作要做。今天可以做的最重要的事情是摆脱代币投票是治理权去中心化的唯一合法形式的想法。代币投票很有吸引力,因为它让人感觉中立:任何人都可以在 Uniswap 上获得一些治理代币单位。然而,在实践中,代币投票可能只是在今天看起来很安全,因为它的中立性存在缺陷(即,大部分供应量掌握在一个紧密协调的内部人士的小集团手中)。
我们应该对当前的代币投票形式是“安全默认”的想法保持警惕。关于它们如何在更大的经济压力和成熟的生态系统和金融市场的条件下运作,还有很多有待观察,现在是开始同时试验替代方案的时候了。