双重治理101：释义

lido_fi
发布于 2025-06-05 22:13
阅读 9

本文介绍了Lido提出的双重治理（Dual Governance）机制，旨在平衡DAO治理和stETH持有者之间的利益冲突。该机制允许stETH持有者通过表达异议和退出协议来应对LDO治理决策，通过动态时间锁延迟LDO治理的执行，从而提高协议的安全性，并防止恶意治理攻击。

2025年6月4日
在 [治理](https://blog.lido.fi/category/governance/)，[教育](https://blog.lido.fi/category/education/)，作者：[Lido](https://blog.lido.fi/author/lido/)

![](https://img.learnblockchain.cn/2026/01/01/DG1.gif)

### **双重治理介绍：赋予 stETH 持有者发言权**

DAO 运行的系统中存在一个固有的矛盾：那些塑造协议设计的人不一定是那些**首**当其冲承担后果的人。DAO 拥有升级权，而 stETH 持有者承担执行风险。由于以太坊的发展不可避免地需要升级，这种矛盾只会越来越大。

双重治理通过允许 stETH 持有者表达不满，并在面对有争议的 LDO 治理决策时退出协议来解决这些问题。

从核心上讲，双重治理代表着**一种动态的时间锁**：stETH 持有者提交的退出信号越多，LDO 治理提案的延迟时间就越长。

这同时实现了两个目标：

1. 使争议可见且可衡量。
2. 使质押者可以选择安全退出，避免不利的协议更改。

以下是它的运作方式、重要性以及使其有效的关键参数。

## **核心思想：退出权与权力平衡**

1. **安全退出权**：stETH 持有者如果反对治理决策，可以撤回他们的质押，防止对其加密资产的强制更改。
2. **利益平衡**：没有任何单一群体（LDO 持有者、节点运营商或质押者）可以单方面地对质押者施加有害的更改。每个人都有发言权，并且强烈的不同意见会触发一个内置的暂停机制，以便进行协商或退出。

## **为什么需要它：治理攻击的风险**

以太坊的验证者退出队列可能会在拥堵期间将提款延迟数周或数月。在此期间，持有大量 LDO 代币的恶意多数方可能会**强制智能合约升级、驱逐节点运营商或重新分配用户提款地址。**

双重治理通过允许 stETH 持有者表达异议，并阻止协议治理在退出所需的时间内进行，从而减轻了此类极端情况。

这使得大规模的收购**成本高昂且不切实际**，从而增强了对 Lido 参与者的保护，并间接增强了以太坊本身的保护。

## **双重治理如何运作**

双重治理增加了一个“情绪量表”，当反对意见上升时，stETH 持有者可以使用该量表来延迟 LDO 治理的执行。

最终，争议要么得到调解，要么——如果积极的治理攻击针对协议用户——可以通过 **rage-quit** 大门安全地撤回质押。

发出异议信号的 stETH 越多，执行延迟的时间就越长。一旦反对意见达到主要阈值（TVL 的 10%），治理部门将无法执行任何更改，直到反对的质押者撤回他们的代币。

## **关键场景：双重治理何时重要**

### **场景 1：表达反对意见和降级**

- LDO 持有者提议删除一个节点运营商，但未意识到保留它们的关键原因。
- stETH 持有者发出否决信号，触发临时暂停。
- LDO 持有者重新考虑并取消该提案。
- 治理像往常一样继续进行，而不会损害用户信任。

### **场景 2：对收购做出反应——保证退出**

- 一个持有大量 LDO 的实体提议一项智能合约更改，该更改会危及用户代币。
- 足够多的 stETH 持有者将代币锁定在否决信号合约中，从而延迟执行。
- 如果 LDO 持有者拒绝取消，则 stETH 持有者退出。
- 提款完成后——或者提案被取消并且 stETH 持有者已解锁他们的代币——治理恢复。

## 双重治理设计

双重治理在 Lido-DAO 的决策和执行之间插入了一个时间锁。它链接到一个托管账户，stETH 持有者可以通过锁定 stETH、wstETH 或提款 NFT 来发出退出意图的信号。

一旦存款超过**第一道封印**阈值（Lido-on-Ethereum TVL 的 1%），时间锁就开始增长。达到**第二道封印**（TVL 的 10% )会触发 **rage quit**——执行将完全被阻止，直到所有锁定的质押都提取到 ETH。

![](https://img.learnblockchain.cn/2026/01/01/Screenshot-2025-03-04-at-11.54.32.png)

所有合约都经过了**多次独立审计**，确保代码符合**最高的安全标准**。

该系统已经过来自 [**Certora**](https://www.notion.so/190bf633d0c980c7ab93f93a68b21745?pvs=21&ref=blog.lido.fi) 和 [**Runtime Verification**](https://blog.lido.fi/dual-governance-101-explainer/#) 的第三方设计审查。审计报告可从 [**Certora**](https://github.com/lidofinance/audits?tab=readme-ov-file&ref=blog.lido.fi#02-2025-certora-dual-governance-audit), [**Statemind**](https://github.com/lidofinance/audits?tab=readme-ov-file&ref=blog.lido.fi#10-2024-statemind-dual-governance-audit), [**OpenZeppelin**](https://github.com/lidofinance/audits?tab=readme-ov-file&ref=blog.lido.fi#11-2024-openzeppelin-dual-governance-audit), 和 [**Runtime Verification**](https://github.com/lidofinance/audits?tab=readme-ov-file&ref=blog.lido.fi#02-2025-runtime-verification-dual-governance-formal-verification) 获取。

所有提议的参数都由两个独立的团队进行了测试：[**博弈论研究**](https://github.com/20squares/dual-governance-public?ref=blog.lido.fi)，由 [**20squares**](https://20squares.xyz/?ref=blog.lido.fi) 进行，和[**基于代理的建模**](https://github.com/collectif-dao/dg-research/blob/main/Lido%20Dual%20Governance%20Simulation%20Report.pdf?ref=blog.lido.fi)，由 [**CollectifDAO**](https://www.collectif.finance/?ref=blog.lido.fi) 进行。

## **提案生命周期**

当 DAO（即 LDO 持有者）支持一项提案时——例如升级智能合约或添加节点运营商——它并**不**会立即执行。相反，它会进入为期四天的等待期。在此期间，stETH 持有者可以通过锁定代币来触发 **Veto Signaling**。

如果被触发，动态时间锁将取代标准延迟，根据提交的 stETH 数量延长等待期（从 1% 时的额外五天到 10% 时的最多 45 天）。在此期间：

- 如果争议可见，DAO 仍然可以**取消**待处理的提案。
- stETH 持有者可以通过锁定更多 stETH 来升级，从而进一步延长时间锁，或者最终触发 **rage quit**。

一旦时间锁到期，该提案就可以**执行**，从而使链上更改生效。

![](https://img.learnblockchain.cn/2026/01/01/image.png)

## **治理状态**

双重治理遵循**状态机**模型，每个状态都施加特定的规则：

1. **正常**：默认状态；提案花费四天时间等待，然后可以执行。
2. **否决信号**：当 1% 的 stETH 供应量被托管用于反对时触发。提案在**动态时间锁下暂停**，该时间锁从五天扩展到 45 天，与 stETH 的反对意见成正比。
3. **Rage Quit**：如果 10% 的 stETH 在时间锁结束前保持锁定状态，则质押者退出。在提款完成之前，无法执行任何新提案，从而使用户免受有争议的动议的影响。
4. **否决信号停用** 和 **否决冷却**：解决极端情况的技术子状态；只有待处理的提案才可以在否决冷却期间执行。

![](https://img.learnblockchain.cn/2026/01/01/image--1-.png)

## **委员会的角色：微调治理弹性**

双重治理引入了三个涵盖不同领域的新委员会：

### **1\. Reseal 委员会**

一个安全网，用于延长由 GateSeal 触发的提款暂停。

- **GateSeal**：如果检测到关键问题，则暂停提款 11 天。
- **Reseal**：当否决信号处于活动状态时，延长 GateSeal 的暂停时间，从而使 DAO 有更多时间采取行动。

### **2\. 决胜委员会**

不太可能出现的僵局的最终手段。

- 可以强制执行卡住的提案或解锁提款合约。
- 仅在长期治理瘫痪后激活。

**结构**：一个“多重签名的多重签名”，由三个小组委员会组成：

- **以太坊生态系统**（3/5 票数）
- **建设者**（3/5 票数）
- **节点运营商**（5/7 票数）

至少**三个小组委员会中的两个**必须达到法定人数。所有成员均为外部成员，以避免利益冲突。

### **3\. 紧急委员会**

**目的**：部署后第一年的安全机制。

- 可以**暂停双重治理**、停止未经许可的执行，并暂时恢复 LDO 代币治理。
- 可以在 DG 被禁用的情况下执行提案以恢复稳定性。

**组成**

- **激活多重签名（4/7）**：可以在有限的时间窗口内触发一次紧急模式。
- **执行多重签名（5/7）**：暂时控制治理逻辑以进行修复或恢复。

设计为一次性故障安全装置，而不是常设权力。

![](https://img.learnblockchain.cn/2026/01/01/image--2-.png)

## **结论：以太坊上流动性质押的可靠治理模型**

DeFi 的关键属性之一是用户的退出权，而双重治理在以太坊上的 Lido 中实现了它。虽然迎合以太坊的质押机制需要复杂的设计，但由此产生的机制旨在实现弹性，即使是理论上的极端情况也能得到缓解。

双重治理的发布改变了协议升级杠杆周围的博弈论，减轻了严重的风险向量，而无需触发它。

虽然它不会阻止**所有潜在的治理风险**，但它使**大规模攻击变得不切实际**，并**将权力重新平衡到那些风险最大的人手中**。

>- 原文链接： [blog.lido.fi/dual-govern...](https://blog.lido.fi/dual-governance-101-explainer)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

2025年6月4日在治理，教育，作者：Lido

双重治理介绍：赋予 stETH 持有者发言权

DAO 运行的系统中存在一个固有的矛盾：那些塑造协议设计的人不一定是那些首当其冲承担后果的人。DAO 拥有升级权，而 stETH 持有者承担执行风险。由于以太坊的发展不可避免地需要升级，这种矛盾只会越来越大。

双重治理通过允许 stETH 持有者表达不满，并在面对有争议的 LDO 治理决策时退出协议来解决这些问题。

从核心上讲，双重治理代表着一种动态的时间锁：stETH 持有者提交的退出信号越多，LDO 治理提案的延迟时间就越长。

这同时实现了两个目标：

使争议可见且可衡量。
使质押者可以选择安全退出，避免不利的协议更改。

以下是它的运作方式、重要性以及使其有效的关键参数。

核心思想：退出权与权力平衡

安全退出权：stETH 持有者如果反对治理决策，可以撤回他们的质押，防止对其加密资产的强制更改。
利益平衡：没有任何单一群体（LDO 持有者、节点运营商或质押者）可以单方面地对质押者施加有害的更改。每个人都有发言权，并且强烈的不同意见会触发一个内置的暂停机制，以便进行协商或退出。

为什么需要它：治理攻击的风险

以太坊的验证者退出队列可能会在拥堵期间将提款延迟数周或数月。在此期间，持有大量 LDO 代币的恶意多数方可能会强制智能合约升级、驱逐节点运营商或重新分配用户提款地址。

双重治理通过允许 stETH 持有者表达异议，并阻止协议治理在退出所需的时间内进行，从而减轻了此类极端情况。

这使得大规模的收购成本高昂且不切实际，从而增强了对 Lido 参与者的保护，并间接增强了以太坊本身的保护。

双重治理如何运作

双重治理增加了一个“情绪量表”，当反对意见上升时，stETH 持有者可以使用该量表来延迟 LDO 治理的执行。

最终，争议要么得到调解，要么——如果积极的治理攻击针对协议用户——可以通过 rage-quit 大门安全地撤回质押。

关键场景：双重治理何时重要

场景 1：表达反对意见和降级

LDO 持有者提议删除一个节点运营商，但未意识到保留它们的关键原因。
stETH 持有者发出否决信号，触发临时暂停。
LDO 持有者重新考虑并取消该提案。
治理像往常一样继续进行，而不会损害用户信任。

场景 2：对收购做出反应——保证退出

一个持有大量 LDO 的实体提议一项智能合约更改，该更改会危及用户代币。
足够多的 stETH 持有者将代币锁定在否决信号合约中，从而延迟执行。
如果 LDO 持有者拒绝取消，则 stETH 持有者退出。
提款完成后——或者提案被取消并且 stETH 持有者已解锁他们的代币——治理恢复。

双重治理设计

一旦存款超过第一道封印阈值（Lido-on-Ethereum TVL 的 1%），时间锁就开始增长。达到第二道封印（TVL 的 10% )会触发 rage quit——执行将完全被阻止，直到所有锁定的质押都提取到 ETH。

所有合约都经过了多次独立审计，确保代码符合最高的安全标准。

该系统已经过来自 Certora 和 Runtime Verification 的第三方设计审查。审计报告可从 Certora, Statemind, OpenZeppelin, 和 Runtime Verification 获取。

所有提议的参数都由两个独立的团队进行了测试：博弈论研究，由 20squares 进行，和基于代理的建模，由 CollectifDAO 进行。

提案生命周期

当 DAO（即 LDO 持有者）支持一项提案时——例如升级智能合约或添加节点运营商——它并不会立即执行。相反，它会进入为期四天的等待期。在此期间，stETH 持有者可以通过锁定代币来触发 Veto Signaling。

如果被触发，动态时间锁将取代标准延迟，根据提交的 stETH 数量延长等待期（从 1% 时的额外五天到 10% 时的最多 45 天）。在此期间：

如果争议可见，DAO 仍然可以取消待处理的提案。
stETH 持有者可以通过锁定更多 stETH 来升级，从而进一步延长时间锁，或者最终触发 rage quit。

一旦时间锁到期，该提案就可以执行，从而使链上更改生效。

治理状态

双重治理遵循状态机模型，每个状态都施加特定的规则：

正常：默认状态；提案花费四天时间等待，然后可以执行。
否决信号：当 1% 的 stETH 供应量被托管用于反对时触发。提案在动态时间锁下暂停，该时间锁从五天扩展到 45 天，与 stETH 的反对意见成正比。
Rage Quit：如果 10% 的 stETH 在时间锁结束前保持锁定状态，则质押者退出。在提款完成之前，无法执行任何新提案，从而使用户免受有争议的动议的影响。
否决信号停用 和 否决冷却：解决极端情况的技术子状态；只有待处理的提案才可以在否决冷却期间执行。

委员会的角色：微调治理弹性

双重治理引入了三个涵盖不同领域的新委员会：

1. Reseal 委员会

一个安全网，用于延长由 GateSeal 触发的提款暂停。

GateSeal：如果检测到关键问题，则暂停提款 11 天。
Reseal：当否决信号处于活动状态时，延长 GateSeal 的暂停时间，从而使 DAO 有更多时间采取行动。

2. 决胜委员会

不太可能出现的僵局的最终手段。

可以强制执行卡住的提案或解锁提款合约。
仅在长期治理瘫痪后激活。

结构：一个“多重签名的多重签名”，由三个小组委员会组成：

以太坊生态系统（3/5 票数）
建设者（3/5 票数）
节点运营商（5/7 票数）

至少三个小组委员会中的两个必须达到法定人数。所有成员均为外部成员，以避免利益冲突。

3. 紧急委员会

目的：部署后第一年的安全机制。

可以暂停双重治理、停止未经许可的执行，并暂时恢复 LDO 代币治理。
可以在 DG 被禁用的情况下执行提案以恢复稳定性。

组成

激活多重签名（4/7）：可以在有限的时间窗口内触发一次紧急模式。
执行多重签名（5/7）：暂时控制治理逻辑以进行修复或恢复。