本文是文章《双重治理的初始贴文18》的续篇。链接的贴文内容包含重要的环境,因此如果您有时间,可以阅读了解具体内容。
自从第5篇文章提出最后一个机制设计版本以来,DG 的协议贡献者已经进行了多次迭代,以合并收到的反馈,并使机制更简单、更强大且更高效。
在介绍更新版本之前,让我先概述一下我们正在尝试解决的问题,并简要回顾导致我们提出解决方案的推理链。
目前,Lido 协议代码及其参数由 Lido DAO 通过 LDO 代币投票控制。该协议从质押奖励中收取5%的费用,并将其存入 DAO 金库(另外5%分配给参与该协议的节点运营者)。
虽然 LDO 持有者通常应该有动力维护协议的健康,因为 LDO 代币的价格能反映这一点,但这并不一定意味着 LDO 持有者有效地代表了协议用户。例如,假设 LDO 持有者集体决定增加协议费用:虽然这可能对 LDO 持有者的直接福利产生积极影响,但它显然违背了至少是部分协议用户的利益。
这可以概括为 DAO(代理)和协议用户(委托人)之间的委托代理问题 (PAP)。问题的存在是因为 LDO 持有者没有与用户完全相同的激励措施。
此外,正如 Vitalik 在他的《超越代币投票的治理》 文章中所强调的那样,协议收入中的经济利益可以与治理权力分开,这一事实加剧了 PAP 的情况:人们可以通过贿赂 DAO 代币持有者或在公开市场上借用 DAO 投票代币,以尝试获得足够的投票权来进行一场违背 DAO 和协议用户利益的变革。
PAP 的存在并不是件很好的事,但有人可以说,如果用户意识到当前的代理不能很好地代表他们,他们总是可以不使用该协议并选择另一个更符合他们利益的代理,甚至决定删除代理完全使用单独质押。
这是一个非常重要的机制,通常被称为“用脚投票”。理论上,它应该保护用户免受他们与 DAO 之间任何激励不一致或对 DAO 的任何攻击的负面影响。然而,在实践中以及以太坊流动质押的具体情况下,由于多种因素的影响,用脚投票的效率受到了限制。
第一个因素是,以太坊 PoS 工作原理的细节。要从验证者中取消抵押 ETH,必须等到验证者完全退出,并且所有以太坊验证者退出都通过吞吐量有限的单个队列进行处理。这意味着离开协议所需的时间取决于外部协议外因素,并且可能存在几个数量级的差异。反过来,这意味着对 DAO 决策施加静态时间锁不能保证任何用户在 DAO 应用不符合用户利益的更改之前有足够的时间离开协议。
第二个因素是,很大一部分用户选择流动性质押是因为他们希望将质押资本重新部署到其他形式的经济活动中,从而使流动性质押代币(LST)在 DeFi 中得到广泛使用,包括在需要额外时间才能从其中退出的协议(例如借贷市场)中的使用。这又增加了一个外部依赖性,可以防止用户在预定义的时间范围内离开协议。
第三个因素源于被动的大多数用户和主动的受过教育的少数用户之间的信息不对称:正确评估与特定治理决策相关的所有风险(包括尾部风险)需要大多数用户不具备的知识。通过社交层传达 DAO 决策的潜在不利影响需要额外的时间,从而降低了被动多数在决策变得可执行之前离开协议的可能性。
Lido DAO 建立了许多用于减少信息不对称的治理协议(例如 GOOSE 框架、节点运营者子治理组、LIP 框架、对任何主网代码变更进行最少审计次数的承诺),但它们都是当前 LDO 持有者之间的社会层协议,因此无法保护 DAO 免受外部攻击。
问题的最终解决方案是治理最小化以及协议代码和参数最终变得固化。如果不治理任何事物,就不存在治理风险。
协议贡献者认为,未来几年有必要逐步缩小治理范围。然而,在以太坊规范固化之前,代码的可升级性只能在一定程度上降低(例如参见 EIP-7002 5、EIP-7251 66)。此外,任何不可变代码都必须在字节码级别上进行正式验证,以排除编译器错误产生不可修复漏洞的可能性。
该协议还有可替代层,充当风险/回报评估引擎,并以平衡所得验证者集的收益和风险的方式在不同验证者子集之间分配 ETH。这里的风险包括验证者集为以太坊网络创建的尾部风险,例如可审查性和相关的罚没风险。目前正在研究(请参阅本报告了解最新版本)是否可以通过协议在无去信任的预言机小工具的帮助下将所需信息带到链上来估计这些风险,但这需要长期的努力,并且目前尚不清楚如何可以实际实现预期的结果。在协议实现这种去信任的机制之前,必须在可替代层进行一些治理。
另一个可能的研究领域是寻找为 stETH 持有者和集成引入明确选择加入新代码和参数集版本的方法。目前尚不清楚是否可以在不破坏 LST 可替代性和由此产生的流动性碎片的情况下完成,并且考虑到流动性是推动用户使用 LST 的主要因素之一,这将破坏该协议相对于其他去中心化和中心化流动性质押提供者的竞争力。尽管如此,这也是一个值得研究的方向。
既然我们已经确定该协议至少在中期内必须接受某种治理,那么让我们看看如何最大限度地减少这种@mikeneuder/magnitude-and-direction">治理造成的风险。
正如第一部分所强调的,一般问题可以分解为 1)PAP的存在,以及 2)用脚投票的效率有限。因此,理想情况下,我们希望引入一些机制来提高 DAO 和协议用户之间的一致性以及用脚投票的效率。
这就是我们提出的双重治理设计的出发点。它旨在实施以下改进:
关于拟议机制设计的概述以及治理风险最小化未来研究的一些想法,您可以在本说明中找到:@skozin/r17mlW2la"">https://hackmd.io/@skozin/r17mlW2la 37。
应该指出的是,质押者并不是协议用户的唯一类别;还有节点运营者。未来一个可能的研究方向是寻找提高节点运营者用脚投票效率的方法,例如:允许一部分权益持有者和节点运营者通过将验证者提款凭证重新指向新合约(目前共识层不支持)来协调协议和 DAO 分叉。
未来研究的另一个方向是探索非代币和混合治理。
从这一步开始,在设计最终确定之前必须完成几件事,从而产生更正式的 Lido 改进提案 (LIP),该提案将提交给 DAO 进行投票以及相关的架构决策记录 (ADR) 文档:
系列的文章的本部分内容的目标是完成以上第3点,而协议贡献者则致力于实现第1和第2点(目前均正在进行中),因此非常感谢您提供的任何反馈!
需要强调的是,尽管双重治理(在我看来)是降低协议治理风险的重要一步,但这绝不是最后一步。进一步改进的一些想法可以在上面链接的机制设计文档中找到,我邀请每位有兴趣的读者通过在此论坛上发布主题来讨论这些以及任何其他可能的改进。
本文是文章《双重治理的初始贴文18》的续篇。链接的贴文内容包含重要的环境,因此如果您有时间,可以阅读了解具体内容。
自从第5篇文章提出最后一个机制设计版本以来,DG 的协议贡献者已经进行了多次迭代,以合并收到的反馈,并使机制更简单、更强大且更高效。
在介绍更新版本之前,让我先概述一下我们正在尝试解决的问题,并简要回顾导致我们提出解决方案的推理链。
目前,Lido 协议代码及其参数由 Lido DAO 通过 LDO 代币投票控制。该协议从质押奖励中收取5%的费用,并将其存入 DAO 金库(另外5%分配给参与该协议的节点运营者)。
虽然 LDO 持有者通常应该有动力维护协议的健康,因为 LDO 代币的价格能反映这一点,但这并不一定意味着 LDO 持有者有效地代表了协议用户。例如,假设 LDO 持有者集体决定增加协议费用:虽然这可能对 LDO 持有者的直接福利产生积极影响,但它显然违背了至少是部分协议用户的利益。
这可以概括为 DAO(代理)和协议用户(委托人)之间的委托代理问题 (PAP)。问题的存在是因为 LDO 持有者没有与用户完全相同的激励措施。
此外,正如 Vitalik 在他的《超越代币投票的治理》 文章中所强调的那样,协议收入中的经济利益可以与治理权力分开,这一事实加剧了 PAP 的情况:人们可以通过贿赂 DAO 代币持有者或在公开市场上借用 DAO 投票代币,以尝试获得足够的投票权来进行一场违背 DAO 和协议用户利益的变革。
PAP 的存在并不是件很好的事,但有人可以说,如果用户意识到当前的代理不能很好地代表他们,他们总是可以不使用该协议并选择另一个更符合他们利益的代理,甚至决定删除代理完全使用单独质押。
这是一个非常重要的机制,通常被称为“用脚投票”。理论上,它应该保护用户免受他们与 DAO 之间任何激励不一致或对 DAO 的任何攻击的负面影响。然而,在实践中以及以太坊流动质押的具体情况下,由于多种因素的影响,用脚投票的效率受到了限制。
第一个因素是,以太坊 PoS 工作原理的细节。要从验证者中取消抵押 ETH,必须等到验证者完全退出,并且所有以太坊验证者退出都通过吞吐量有限的单个队列进行处理。这意味着离开协议所需的时间取决于外部协议外因素,并且可能存在几个数量级的差异。反过来,这意味着对 DAO 决策施加静态时间锁不能保证任何用户在 DAO 应用不符合用户利益的更改之前有足够的时间离开协议。
第二个因素是,很大一部分用户选择流动性质押是因为他们希望将质押资本重新部署到其他形式的经济活动中,从而使流动性质押代币(LST)在 DeFi 中得到广泛使用,包括在需要额外时间才能从其中退出的协议(例如借贷市场)中的使用。这又增加了一个外部依赖性,可以防止用户在预定义的时间范围内离开协议。
第三个因素源于被动的大多数用户和主动的受过教育的少数用户之间的信息不对称:正确评估与特定治理决策相关的所有风险(包括尾部风险)需要大多数用户不具备的知识。通过社交层传达 DAO 决策的潜在不利影响需要额外的时间,从而降低了被动多数在决策变得可执行之前离开协议的可能性。
Lido DAO 建立了许多用于减少信息不对称的治理协议(例如 GOOSE 框架、节点运营者子治理组、LIP 框架、对任何主网代码变更进行最少审计次数的承诺),但它们都是当前 LDO 持有者之间的社会层协议,因此无法保护 DAO 免受外部攻击。
问题的最终解决方案是治理最小化以及协议代码和参数最终变得固化。如果不治理任何事物,就不存在治理风险。
协议贡献者认为,未来几年有必要逐步缩小治理范围。然而,在以太坊规范固化之前,代码的可升级性只能在一定程度上降低(例如参见 EIP-7002 5、EIP-7251 66)。此外,任何不可变代码都必须在字节码级别上进行正式验证,以排除编译器错误产生不可修复漏洞的可能性。
该协议还有可替代层,充当风险/回报评估引擎,并以平衡所得验证者集的收益和风险的方式在不同验证者子集之间分配 ETH。这里的风险包括验证者集为以太坊网络创建的尾部风险,例如可审查性和相关的罚没风险。目前正在研究(请参阅本报告了解最新版本)是否可以通过协议在无去信任的预言机小工具的帮助下将所需信息带到链上来估计这些风险,但这需要长期的努力,并且目前尚不清楚如何可以实际实现预期的结果。在协议实现这种去信任的机制之前,必须在可替代层进行一些治理。
另一个可能的研究领域是寻找为 stETH 持有者和集成引入明确选择加入新代码和参数集版本的方法。目前尚不清楚是否可以在不破坏 LST 可替代性和由此产生的流动性碎片的情况下完成,并且考虑到流动性是推动用户使用 LST 的主要因素之一,这将破坏该协议相对于其他去中心化和中心化流动性质押提供者的竞争力。尽管如此,这也是一个值得研究的方向。
既然我们已经确定该协议至少在中期内必须接受某种治理,那么让我们看看如何最大限度地减少这种@mikeneuder/magnitude-and-direction">治理造成的风险。
正如第一部分所强调的,一般问题可以分解为 1)PAP的存在,以及 2)用脚投票的效率有限。因此,理想情况下,我们希望引入一些机制来提高 DAO 和协议用户之间的一致性以及用脚投票的效率。
这就是我们提出的双重治理设计的出发点。它旨在实施以下改进:
关于拟议机制设计的概述以及治理风险最小化未来研究的一些想法,您可以在本说明中找到:@skozin/r17mlW2la"">https://hackmd.io/@skozin/r17mlW2la 37。
应该指出的是,质押者并不是协议用户的唯一类别;还有节点运营者。未来一个可能的研究方向是寻找提高节点运营者用脚投票效率的方法,例如:允许一部分权益持有者和节点运营者通过将验证者提款凭证重新指向新合约(目前共识层不支持)来协调协议和 DAO 分叉。
未来研究的另一个方向是探索非代币和混合治理。
从这一步开始,在设计最终确定之前必须完成几件事,从而产生更正式的 Lido 改进提案 (LIP),该提案将提交给 DAO 进行投票以及相关的架构决策记录 (ADR) 文档:
系列的文章的本部分内容的目标是完成以上第3点,而协议贡献者则致力于实现第1和第2点(目前均正在进行中),因此非常感谢您提供的任何反馈!
需要强调的是,尽管双重治理(在我看来)是降低协议治理风险的重要一步,但这绝不是最后一步。进一步改进的一些想法可以在上面链接的机制设计文档中找到,我邀请每位有兴趣的读者通过在此论坛上发布主题来讨论这些以及任何其他可能的改进。