按:我认为建立基于区块链的去中心化自治组织(DAO)是一个方向,募资途径是IDO(Initial Digital Assects Offering)。总之大佬的思考已经从去中心化金融(DeFi)转向去中心化治理(DeGov)了,这或许能给大家一点启示。说实话,我看不懂,但我大受震撼,希望有网友能帮我指点迷津,概括一下核心思想。btw,币圈的翻译速度太惊人了。
注:原文作者是以太坊联合创始人vitalik buterin。
特别感谢 Karl Floersch、Dan Robinson 和 Tinazhen 的反馈和审阅。另请参阅《区块链治理笔记》、《治理第2部分:富豪统治仍然很糟糕》、《关于共谋》以及《协调的好与坏》这几篇文章。
过去一年,区块链领域的一个重要趋势是从关注去中心化金融 (DeFi)转变为同时考虑去中心化治理 (DeGov)。虽然 2020 年通常被广泛(且有充分理由地)被誉为 DeFi 的一年,但从那时起,构成这一趋势的 DeFi 项目的复杂性和能力在不断增加,这导致人们对去中心化治理表现的兴趣日益浓厚。以太坊内部有一些例子:YFI、Compound、Synthetix、UNI、Gitcoin等都推出了某种DAO,甚至是从某种DAO开始整个项目。而以太坊之外的情况也是如此,比如BCH的基础设施融资方案的争论、Zcash基础设施融资投票等等。
不可否认,某种形式的正式去中心化治理越来越受欢迎,人们对它感兴趣是有重要原因的。但同样重要的是要牢记这些计划的风险,正如最近对Steem的敌意收购以及随后的Hive大规模社区迁移所表明的那样。我还要进一步指出,这些趋势是不可避免的。在某些情况下,去中心化治理是必要的,也是危险的,原因我将在本文中介绍。我们如何在最小化风险的同时获得去中心化治理的好处?我将论证答案的一个关键部分:我们需要超越现有形式的代币投票。
去中心化治理是必要的
自 1996 年《网络空间独立宣言》发布以来,在所谓的密码朋克(cypherpunk)意识形态中一直存在着一个尚未解决的关键矛盾。一方面,密码朋克的价值观都是关于使用密码学来最小化强制,并最大化当时可用的主要非强制协调机制的效率和范围:私有财产和市场。另一方面,私有财产和市场的经济逻辑针对可"分解"的一对一互动的活动进行了优化,而艺术、文献、科学和代码通过不可还原的一对多互动产生和消费的信息领域恰恰相反。
这种环境有两个固有的关键问题需要解决:
- 资助公共产品:那些对社区中广泛且没有选择性的人群有价值,但通常没有商业模式的项目(例如,第 1 层和第 2 层协议研究、客户端开发、文档...... .)如何获得资助?
- 协议维护和升级:协议的升级以及协议中不长期稳定部分的定期维护和调整操作(如安全资产列表、预言机价格来源、多方计算密钥持有人)如何达成一致?
早期的区块链项目在很大程度上忽略了这两个挑战,它们假装唯一重要的公共物品是网络安全,这可以通过永久固定的单一算法来实现,并以固定的工作量证明奖励来支付。这种融资状况起初是可能的,首先是因为比特币价格在2010-2013年开始大幅上涨,然后是2014-2017年的ICO繁荣,以及 2014-17 年同时出现的第二次加密泡沫,所有这些都让生态系统变得足够富裕,足以暂时掩盖大型市场的低效。
公共资源的长期治理同样被忽视:比特币走极端最小化的道路,专注于提供固定供应的货币并确保支持像闪电网络这样的 2层支付系统,而没有别的,而以太坊继续以和谐的方式发展(有一个主要的例外),这是因为其先前存在的路线图(基本上是:"权益证明和分片")具有很强的合法性,而需要更多东西的复杂应用层项目还不存在。
但现在,这种运气越来越少了,在避免中心化风险的同时,协调协议维护和升级以及资助文档、研究和开发的挑战成为了首要任务。
去中心化治理需要为公共物品提供资金
有必要退后一步,看看当前情况的荒谬。 目前以太坊的每日挖矿发行奖励约为 13500 ETH,即每天约 4000 万美元。与此同时,交易费用也同样是高的,非 EIP-1559 燃烧的部分每天大约 有1,500 ETH(约 450 万美元)。 因此,每年有数十亿美元用于资助以太坊的网络安全。那以太坊基金会的预算是多少?每年大约3000万-6000万美元。有非 EF 参与者(例如 Consensys)在为开发做出贡献,但它们的规模并不大。比特币的情况类似,而其用于非安全公共物品的资金可能会更少。
我们用一张图来表达目前的情况:
在以太坊生态系统中,人们可证明这种差异并不重要; 每年数千万美元"足以"进行所需的研发,增加更多的资金并不一定会改善情况,因此,协议开发者资金投入对平台可信中立性的风险超过了收益。但在许多较小的生态系统中(无论是以太坊内的生态系统还是完全独立的区块链(如BCH和Zcash),同样的争论正在酝酿,而在这些较小规模的系统中,这种不平衡造成了巨大的差异。
进入DAO。从第 1 天开始作为"纯"DAO 启动的项目可实现以前无法结合的两个属性的组合:(i) 开发商资金充足,以及 (ii) 资金的可信中立性(令人垂涎的"公平发行")。开发人员的资金不是来自硬编码的接收地址列表,而是由DAO自己做出决定。
当然,要让发行完全公平是很困难的,信息不对称带来的不公平往往比显性溢价带来的不公平更为严重(考虑到2010年底之前已经有1/4的量已经分发出去,那比特币真的是公平发行的吗?)
但即便如此,从第一天起对非安全公共物品的协议内补偿,似乎是朝着获得足够且更可信的中立开发者融资迈出的潜在重要一步。
协议维护和升级需要去中心化治理
除了公共物品融资外,另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动化参数调整(见下文"有限治理"一节),我也是RAI"非治理"策略的粉丝,但有时治理是不可避免的。价格预言机输入必须来自某个地方,有时某个地方需要改变。在协议"僵化"为最终形式之前,必须以某种方式协调改进。有时,一个协议的社区可能会认为他们已经准备好僵化,但随后世界抛出了一个曲线球,需要一个完整且有争议的重组。如果美元崩溃,RAI不得不争先恐后地创建并维持其去中心化 CPI 指数,以使其稳定币保持稳定和相关性,那这会发生什么?在这方面,去中心化治理也是必要的,因此完全避免它不是一个可行的解决方案。
一个重要的问题是「链下治理」是否可行。很长一段时间以来,只要有可能,我都是链下治理的粉丝。事实上,对于底层区块链,链下治理绝对是可能的。但是对于应用层项目,尤其是DeFi项目,我们遇到的问题是应用层智能合约系统往往直接控制外部资产,并且这种控制无法转移。如果Tezos的链上治理被攻击者捕获,社区可以硬分叉而不会造成任何损失。如果 MakerDAO 的链上治理被攻击者捕获,社区绝对可以启动一个新的 MakerDAO,但他们将失去所有存在现有MakerDAO CDP 中的 ETH 以及其他资产。因此,虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案,但许多应用层项目(尤其是 DeFi),不可避免地需要某种形式的正式链上治理。
去中心化治理(DeGov)也是危险的
然而,目前所有去中心化治理的实例都伴随着巨大的风险。对于我的读者来说,这个讨论并不新鲜,风险与我在(1)、(2)和(3)讨论的风险大致相同。我担心代币投票有两种主要类型的问题:(i) 即使没有攻击者也存在不平等和激励失调问题,以及 (ii) 通过各种形式的(通常是模糊的)贿选进行彻底攻击。对于前者,已经有很多提议的缓解措施(例如委托),而且还会有更多的方案。但后者是房间中更危险的大象,而我认为在当前的代币投票范式中没有解决方案。
即使没有攻击者,代币投票方案也存在问题
即使没有明确的攻击者,代币投票所存在的问题也越来越容易理解(例如,参见DappRadar 和 Monday Capital 最近的一篇文章),并且主要分为几类:
- 一小群富有的参与者("鲸鱼")比大群的散户更善于成功执行决策。这是因为散户之间的公地悲剧:每个散户对结果的影响微不足道,因此他们没有动力去实际投票。即使投票有奖励,也没有什么动力去研究和仔细考虑他们投票的目的。
- 代币投票治理以牺牲社区其他部分为代价,并赋予了代币持有者利益:协议社区由具有许多不同价值观、愿景和目标的不同支持者组成。然而,代币投票只赋予一个选区(代币持有者,尤其是富人)权力,并导致过度重视让代币价格上涨的目标,即使这涉及有害的租金提取。
- 利益冲突问题:将投票权授予一个选区(代币持有者),尤其是在该选区中过度授权富有的参与者,可能会过度暴露于该特定精英内部的利益冲突。
有一种主要类型的策略正在尝试解决第一个问题(因此也减轻第三个问题):委托。散户不必亲自判断每个决定,相反,他们可以将代币委托给他们信任的社区成员。这是一个光荣而有价值的实验,我们将看到委托可以如何有效地缓解这个问题。
Gitcoin DAO 中的投票委托页面
另一方面,代币持有者中心主义的问题更具挑战性:代币持有者中心主义固有地融入了一个只有持币人投票的系统。认为代币持有者中心主义是预期目标而不是bug的误解已经造成了混乱和伤害。有人在一篇讨论区块链公共品的文章(总体上很出色)中写道:
"如果所有权集中在少数鲸鱼手中,加密协议是否可以被视为公共品?通俗地说,这些市场原语有时被描述为"公共基础设施",但如果区块链今天服务于"公共",它主要是一种去中心化金融。从根本上说,这些代币持有者只有一个共同关注的对象:价格。"
抱怨是错误的:区块链服务于比DeFi代币持有人更丰富、更广泛的公众。但我们的代币投票驱动的治理系统完全无法捕捉到这一点,而且如果不对范式进行更根本的改变,似乎很难建立一个能够捕捉到这种丰富性的治理系统。
对于攻击者而言,代币投票的深层基本漏洞:贿选问题
一旦确定攻击者试图破坏系统,问题就会变得更加严重。代币投票的根本弱点很容易理解。代币投票协议中的代币是组合成单一资产的两种权利的捆绑::(i) 协议收入中的某种经济利益和 (ii) 参与治理的权利。这种组合是有意的:目标是使权力和责任保持一致。但实际上,这两种权利很容易相互分离。想象一个简单的封装合约,它有这些规则:如果你将 1 XYZ 存入合约,你会得到 1 WXYZ。WXYZ 可以随时转换回 XYZ,此外它还可以产生利息。那利息从何而来?好吧,虽然 XYZ代币在封装器合约中,但封装器合约可以在治理中随意使用它们(提出提案、对提案进行投票等)。封装器合约只是简单地每天拍卖这个权利,并将利润分配给原存款人。
作为 XYZ 持有者,将你的代币存入合约是否符合你的利益?如果你是一个非常大的持有者,它可能不是,你喜欢利息,但你害怕一个错位的的参与者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者,那么这就非常适合你了。如果封装器合约拍卖的治理权被攻击者买走,你个人只会遭受代币所导致的不良治理决策成本的一小部分,但你个人会从治理权拍卖中获得全部红利。这种情况是典型的公地悲剧。
假设攻击者做出了一个破坏DAO的决定,从而使攻击者受益。每名参与者因决策成功而受到的伤害是D,一次投票改变结果的可能性是P,假设一个攻击者行贿的金额是B,则游戏图表如下所示:
如果B > D*p,你倾向于接受贿赂,但只要B < 1000 * D * p,则接受贿赂是有害的。因此,如果p < 1(通常p远低于该值),攻击者就有机会贿赂用户,使其采取净负面决策,对每个用户的补偿远远低于他们所遭受的伤害。
对选民贿赂恐惧的一种自然批评是:选民真的会如此不道德以致接受如此明显的贿赂吗?普通的 DAO 代币持有者是狂热者,他们很难对如此自私和公然伤害项目的行为感到满意。但这遗漏的是,有更多模糊的方法可以将利润分享权与治理权区分开来,不需要任何像封装器合约那样明确的东西。
最简单的例子是从 defi 借贷平台(例如 Compound)借款。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP("抵押债务头寸")中,一旦他们这样做,CDP 合约就允许他们借入一定数量的 XYZ(例如他们投入的ETH价值的一半)。然后,他们可以用这个XYZ做任何他们想做的事情。为了收回他们的 ETH,他们最终需要偿还他们借来的 XYZ 加上一点利息。
请注意,在整个过程中,借款人对 XYZ 是没有财务风险的。也就是说,如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策,他们不会因此损失一分钱。他们所持有的XYZ,无论如何最终都要偿还给 CDP,因此,借款人并不在乎XYZ的价值是上涨还是下跌。因此,我们实施了分拆:借款人拥有治理权而没有经济利益,贷款人拥有经济利益而没有治理权。一些DAO协议使用诸如Timelock(时间锁)之类的技术来限制参与攻击的能力,但最终Timelock是可以绕过的;就安全系统而言,timelocks更像是报纸网站上的付费墙,而不是锁和钥匙。
还有将利润分享权与治理权分开的集中机制。最值得注意的是,当用户将其代币存入(中心化)交易所时,交易所拥有这些代币的完全保管权,并且交易所可以使用这些代币进行投票。这不仅仅是理论上的,有证据表明,交易所在几个DPoS系统中挪用了用户的代币。最近最显着的例子就是 Steem,交易所挪用客户的代币投票支持了一些提案,而这些提案有助于巩固对 Steem 网络的收购,与此同时,Steem社区中的大多数人是强烈反对的。这种情况只能通过彻底的大规模社区迁移来解决,其中很大一部分社区搬到了另一条名为 Hive 的区块链。
目前,许多具有代币投票功能的区块链和DAO已成功避免了最严重形式的攻击。但偶尔会出现行贿未遂的情况:
尽管存在所有这些重要问题,但简单的经济推理表明,直接贿赂选民的例子却少得多,包括使用金融市场等混淆形式。自然要问的问题是:为什么还没有发生更多的直接攻击?
我的回答是,"为什么还没有"依赖于三个在今天是正确的偶然因素,但随着时间的推移可能变得不那么正确:
- 社区精神来自拥有紧密联系的社区,每个人都能在一个共同的部落和使命中感受到友情。
- 代币持有者的财富高度集中和协调,巨鲸持有者具有更高的影响结果的能力,并且对彼此之间的长期关系进行投资(既是VC的"老男孩俱乐部",也有许多其他同样强大但低调的富有代币持有者群体),并且这使他们更难受贿。
- 治理代币的金融市场不成熟:用于制作封装代币的现成工具以概念验证形式存在,因此并未得到广泛使用;存在贿赂合约,但同样不成熟;贷款市场中的流动性较低。
当一小群协调一致的用户持有超过50%的代币,并且他们和其他人都投资于一个紧密结合的社区,并且很少有代币以合理的利率被借出时,上述所有贿赂攻击可能仍然是理论上的。但随着时间的推移,(1)和(3)都不可避免地变得不那么真实,如果我们希望 DAO 变得更加公平,那么(2)必须变得不那么真实。当这些变化发生时,DAO还会保持安全吗?如果代币投票方案不能持久地抵御攻击,那什么可以呢?
解决方案1 : 有限治理
对上述问题的一种可能的缓解措施,也是在不同程度上已经在尝试的缓解措施,那就是限制代币驱动的治理可以做什么。有几种方法可以做到这一点:
- 仅对应用程序使用链上治理,而不是基础层:以太坊已经在这样做了,因为协议本身是通过链下治理来治理的,而在此之上的 DAO 和其他应用程序有时(但并不总是)是通过链上治理来治理的。
- 将治理限制为固定参数选择:Uniswap 是这样做的,因为它只允许治理影响 (i) 代币分配以及 (ii) Uniswap 交易所的 0.05% 费用。另一个很好的例子是 RAI 的"非治理"路线图,随着时间的推移,它的治理能够控制的功能会越来越少。
- 添加时间延迟:在时间T做出的治理决策仅在T+90天后生效。这允许考虑到不接受的用户和应用移动到另一个地方(可能是一个分叉)。Compound在其治理中添加了一个延时机制,但原则上,延时可以(并且最终应该)更长。
- 更友好的分叉:让用户更容易快速协调和执行分叉。这使得捕获治理的回报更小。
Uniswap的案例特别有趣:这是一个由链上治理资助团队的预期行为,这些团队可能会开发未来版本的Uniswap协议,但这取决于用户选择升级到这些版本。这是一种链上和链下治理的混合形式,其只为链上一方留下有限的角色。
但有限治理本身并不是一个可接受的解决方案。最需要治理的领域(例如公共品的资金分配)本身就是最容易受到攻击的领域。公共品基金很容易受到攻击,因为攻击者可以通过一种非常直接的方式从错误的决策中获利:他们可以尝试推动一个错误的决策,从而将资金发送给自己。 因此,我们还需要用技术手段来改善治理本身......
解决方案2:非代币驱动的治理方案
第二种方法是使用非代币驱动的治理形式。但是,如果代币不能决定一个账户在治理中的权重,那用什么来决定呢?有两种自然选择:
- 个人身份证明系统:验证帐户对应于唯一个人的系统,以便治理可以为每个人分配一票。请参阅此处,查看正在开发的一些技术的评论,以及ProofOfHumanity和BrightID的两种尝试。
- 参与证明:系统证明某个帐户对应于参加过某个活动、通过了一些教育培训或在生态系统中进行了一些有用工作的人。请参阅 POAP 以了解如何实现这一点。
也有混合的可能性:一个例子是二次方投票,这使得单个选民的权力与他们做出决定的经济资源的平方根成正比。要防止人们通过将资源分散到多个身份上来作弊,需要有个人身份证明,而仍然存在的财务部分允许参与者可信地表明他们对某个问题的关心程度以及他们对生态系统的关心程度。Gitcoin 二次方融资是二次方投票的一种形式,并且其正在构建二次方投票 DAO。
参与证明不太为人所知。关键的挑战是,确定参与程度本身需要非常强大的治理结构。最简单的解决方案可能是通过精心挑选的 10-100 名早期贡献者来引导系统,然后随着第 N 轮的选定参与者确定第 N+1 轮的参与标准,而随着时间的推移逐渐去中心化。而分叉的可能性有助于提供一条从治理脱轨中恢复的途径,并提供一种激励措施。
个人身份证明和参与证明都需要某种形式的反共谋(请参阅这篇文章以及这个MACI文档),以确保用于衡量投票权的非货币资源仍然是非金融资源,而不是其本身最终进入智能合约,将治理权出售给出价最高的人。
解决方案3 : 躬身入局(skin in the game)
第三种方法是通过改变投票本身的规则来打破公地悲剧。代币投票失败的原因是,虽然选民对他们的决定负有集体责任(如果每个人都投票支持一个糟糕的决定,那么每个人的代币都会归零),但每个选民都不承担个人责任(如果发生了糟糕的决定,支持它的人所受的痛苦并不比反对它的人多)。那我们能否建立一个改变这种动态的投票系统,让选民个人(而不仅仅是集体)对其决定负责呢?
如果分叉是按照Hive从Steem分叉的方式进行的,分叉友好性可以说是一种躬身入局(skin-in-the-game)策略。如果破坏性的治理决策成功并且协议内部不再受到反对,用户可以自行决定进行分叉。此外,在那个分叉中,投票支持错误决定的代币可以被销毁。
这听起来很刺耳,甚至可能让人觉得这违反了一个隐含的规范,即"账本的不变性"在分叉一个币时应该保持神圣不可侵犯。但从不同的角度来看,这个想法似乎更合理。我们保留一个强大防火墙的想法,在防火墙中,个人代币余额预计不会受到侵犯,但仅将这种保护应用于不参与治理的代币。如果你参与治理,即使是通过将你的代币放入封装机制间接参与,那么你可能也要为自己的行为承担成本。
这就产生了个人责任:如果发生攻击,并且你的代币投票支持该攻击,那么你的代币将被销毁。如果你的代币没有投票支持攻击,则你的代币是安全的。责任向上传播:如果你将代币放入封装合约,而封装合约投票赞成攻击,那么封装合约的余额将被抹去,因此你的代币将丢失。如果攻击者从defi 借贷平台借用 XYZ,当平台分叉时,任何借出 XYZ 的人都会遭到损失(请注意,这使得借出治理代币通常非常危险,这是预期的结果)。
"躬身入局"在日常投票中的作用
但以上仅适用于防止真正极端的决定。那个小规模的夺取又如何呢?这种夺取不公平地有利于攻击者操纵治理经济,但其严重程度不足以造成毁灭性后果?那么,在没有任何攻击者的情况下,因为简单的懒惰等原因该如何解决呢?
此类问题最流行的解决方案是 futarchy,它是由 Robin Hanson 在 2000 年代初推出的。它的原理很简单,即投票变成了一种赌注:投赞成票,你就押注该提案会带来好的结果,而投票反对该提案,你就押注该提案会导致糟糕的结果。Futarchy 引入个人责任的原因显而易见:如果你下了好的赌注,你会得到更多的币,如果你下了坏的赌注,你就会失去你的币。
"纯"futarchy方案已被证明难以引入,因为在实践中,目标函数很难定义(人们想要的不仅仅是代币价格!),但各种混合形式的futarchy可能会很好地工作。混合futarchy 的例子包括:
- 作为购买订单进行投票:参见etheresear.ch帖子。投票赞成一项提案需要发出可执行的购买订单,以比代币当前价格略低的价格购买额外的代币。这确保了,如果一个糟糕的决定成功了,那些支持它的人可能会被迫买下他们对手的代币,但它也确保了在更"正常"的决策中,如果他们愿意的话,他们有更多的时间根据非价格标准进行决策。
- 追溯公共物品资助:参见Optimism团队的帖子。公共品在已经取得成果后,由某种投票机制追溯资助。用户可以购买项目代币来资助他们的项目,同时表明对它的信心;如果该项目被认为实现了预期目标,则项目代币的购买者将获得一份奖励。
- 升级游戏:参见 Augur 和 Kleros。较低级别决策的价值一致性,是由诉诸更高努力但更高准确性的高级别流程的可能性所激励的;投票赞成最终决定的选民将获得奖励。
在后两种情况下,混合futarchy 依赖于某种形式的非 futarchy 治理,来衡量目标函数或作为最后的争议层。而这种非futarchy治理有几个优点:(i)它激活得更晚,因此可以获得更多的信息,(ii)它使用得更少,因此可以花费更少的精力,(iii)每次使用它都会产生更大的后果,因此,仅依靠分叉来调整最后一层的激励措施更容易接受。
混合解决方案
还有一些解决方案结合了上述技术的元素。一些可能的例子:
- 时间延迟+选出的专家治理:这是一个解决古老难题的可能方案,即如何制作一个由加密资产抵押的稳定币,其锁定资金可以超过盈利代币的价值,而不存在治理捕获风险。稳定币使用一个由n个(例如,n = 13)所选提供商提交的值中位数的价格预言机。代币投票选择供应商,但每个周期只能循环选出一个供应商。如果用户注意到代币投票带来了不可信的价格提供商,他们有 N/2 周的时间在稳定币崩溃之前切换到另一个提供商。
- Futarchy + 反共谋=声誉:用户使用"声誉"投票,这是一种无法转移的代币。如果用户的决定导致期望的结果,那么他们会获得更多的声誉;如果用户的决定导致不期望的结果,那么他们会失去声誉。请参阅这篇文章,其倡导了一种基于声誉的方案。
- 松散耦合(咨询性)代币投票:代币投票不直接实施提议的变更,而只是为了公开其结果,为实施变更的链下治理建立合法性。这可以提供代币投票的好处,但风险较小,因为如果有证据表明代币投票被贿赂或以其他方式操纵,代币投票的合法性就会自动下降。
以上这些只是几个可能的例子。在研究和开发非代币驱动的治理算法方面还有很多工作要做。今天可以做的最重要的事情是,摆脱代币投票是治理权力下放的唯一合法形式的想法。代币投票之所以有吸引力,是因为它让人感觉非常中立:任何人都可以在 Uniswap 上获得一些治理代币单位。然而,在实践中,代币投票可能只是在今天看起来安全,因为它的中立性存在着缺陷(即,大部分供应掌握在一个紧密协调的内部团体手中)。
我们应该对当前的代币投票是"安全默认形式"的想法保持警惕。在经济压力越来越大、生态系统和金融市场越来越成熟的情况下,它们如何发挥作用还有很多有待观察的地方,而现在是开始同时试验替代方案的时候了。
