超越代币投票治理

超越代币投票治理

超越代币投票治理

特别感谢 Karl Floersch、Dan Robinson 和 Tina Zhen 的反馈和审稿。还可以参考区块链治理说明、治理，第二部分：财阀制依然有害、关于共谋以及协调，良好与不良对相关主题的早期思考。

在过去的一年里，区块链领域一个重要的趋势是从专注于 去中心化金融 (DeFi) 转向思考 去中心化治理 (DeGov)。虽然2020年被广泛且有充分理由地誉为 DeFi的年度，但自那时以来，组成这一趋势的DeFi项目日益复杂和强大，引发了越来越多对去中心化治理的关注以应对这种复杂性。在以太坊内有这样的例子：YFI、Compound、Synthetix、UNI、Gitcoin等都已推出或甚至以某种形式的DAO开始。然而，在以太坊外也同样如此，例如在比特币现金的基础设施 融资 提案、Zcash中的基础设施融资投票，以及更多。

正式化的去中心化治理形式日益受欢迎，这是不争的事实，而且人们对此感兴趣有重要原因。但还要牢记这些方案的风险，最近的Steem恶性收购和随后的众多用户迁移到Hive便是明证。我进一步认为，这些趋势是不可避免的。在某些上下文中，去中心化治理既是必要的又是危险的，其原因在我在本文中将详细阐述。我们如何能获得DeGov的好处，同时最小化风险？我将为答案的一个关键部分辩护：我们需要超越目前的代币投票形式。

DeGov是必要的

自1996年网络空间独立宣言以来，可以称为赛博朋克意识形态的一个关键未解决矛盾出现在此：一方面，赛博朋克的价值观全在于利用加密技术以最小化强制性，最大化当时唯一可用的非强制性协调机制——私有财产和市场的效率及覆盖面；另一方面，私有财产和市场的经济逻辑是优化为可以被“分解”为重复一对一互动的活动，而信息领域是以不可简化的一对多互动生成和消费艺术、文档、科学和代码，完全是这两者的对立。

这样的环境内需解决两个关键问题：

• 公共产品的融资：如何为那些对社区广泛且非选择性人士有价值但是往往没有商业模式的项目（例如层-1和层-2协议研究、客户开发、文档编制等）融资？
• 协议的维护和升级：如何就协议的升级以及非长期稳定部分（例如安全资产列表、价格预言机来源、多人计算密钥持有者）进行协议、常规维护和调整操作达成一致？

早期区块链项目在很大程度上忽视了这两个挑战，假装唯一重要的公共产品是网络安全，这可以通过一套永恒固定的算法实现，并通过固定的工作量证明奖励支付。最初，这种融资状态的可能得益于2010-13年的极端比特币价值上涨，2014-17年的一次性ICO热潮，以及2014-17年同一时期的第二次加密货币泡沫，这使得生态系统富裕到足以暂时掩盖巨大市场低效。公共资源的长期治理同样被忽视：比特币选择了极端的最小化道路，专注于提供固定供应的货币，并确保支持诸如闪电网络的层-2支付系统，而没有其他。而以太坊则大多协同发展（有一个主要的例外：[DAO](https://en.wikipedia.org/wiki/The_DAO_\(organization\)）），因为其预先存在的路线图（基本上是：“权益证明和分片”）的强大**合法性**。

但现在，这种运气逐渐消失，协调协议维护和升级、融资文档、研究和开发，同时避免中心化风险的挑战已经处于最前面。

DeGov跨越公共产品融资的需求

值得停下来看看当前形势的荒谬性。以太坊每天的挖矿发放奖励约为13500 ETH，换算成约4000万美元，点击查看。交易费用同样很高；未被EIP-1559消耗的部分仍然约为1500 ETH（约450万美元）每一天。所以每年有数十亿美元用来资助网络安全。现在，以太坊基金会的预算是多少？约每年3000万到6000万美元。虽然一些非以太坊基金会参与者（例如Consensys）为开发做出贡献，但也未大规模增加。至于比特币，根据其情况，投入非安全公共产品的融资则可能更少。

以下是图表中的情况：

在以太坊生态系统中，有人可以说这种差距并不太重要；每年数千万美元“足够”用于必要的研发，并且增加资金并不一定改善情况。因此，推动平台可信中立性(https://nakamoto.com/credible-neutrality/)的风险超过了收益。但是在许多更小的生态系统中，无论是在以太坊内部的生态系统还是完全独立的区块链如BCH和Zcash，这场争论正酝酿着，而在这些更小的规模上，不平衡则造成了较大的差异。

在这个背景下，DAO应运而生。作为“纯DAO”从第一天开始发起的项目，可以实现以前无法结合的两个特性： (i) 充足的开发资金，和 (ii) 资金的可信中立性（备受渴求的“公平启动”）。与其将开发资金来自硬编码的接收地址列表，不如让DAO自己做出决策。

当然，完全公平的发起是很困难的，信息不对称导致的不公正往往比明确的预挖程度更为恶劣（比特币_真的_算得上公平开盘吗？考虑到到2010年底时，供应的1/4已经分发，能了解这个项目的人少之又少）。但即使如此，针对非安全公共产品全天候给予协议补偿似乎是朝着获得足够且更可信的开发资金的重要进展。

DeGov在协议维护和升级中的需求

除了公共产品融资，另一项同样重要的治理问题是协议的维护和升级。虽然我主张尽量减少所有非自动化的参数调整（见下文中的“有限治理”部分），我也支持RAI的“非治理”策略，但有时治理是无法避免的。价格预言机输入必须来自某处，而且有时那个地方需要变更。在一个协议“固化”成最终形式之前，必须以某种方式协调改进。有时协议的社区可能认为他们已准备好固化，但随后世界却抛出新的曲线球，要求进行全面且具争议性的重组。如果美元崩溃，而RAI不得不争先恐后地启动并维护自己的去中心化CPI指数以保持其稳定币的稳定和相关性，这该怎么做？同样处于该情形，DeGov是必要的，因此完全避免也不是一个可行解决方案。

一个重要的区别是不知是否可能实施_链外_治理。我已经很长一段时间以来都是链外治理的支持者。联合所有基础层区块链，链外治理绝对是可行的。但对于应用层项目，尤其是DeFi项目，我们面临的问题是应用层智能合约系统通常直接控制着外部资产，这种控制是无法被分叉掉的。 如果Tezos的链上治理被攻击者控制，社区可以通过一次硬分叉逃脱而没有受到除（确实是高昂的）协调成本的其他损失。如果MakerDAO的链上治理被攻击者控制，社区绝对可以再启一个新的MakerDAO，但他们将丧失所有被困在现有MakerDAO CDPs中的ETH和其他资产。因此，虽然链外治理对基础层和一些应用层项目是一个良好的解决方案，但许多应用层项目，特别是DeFi，不可避免地将需要贮存某种形式的正式链上治理。

DeGov是危险的

然而，目前所有去中心化治理的实例都伴随着巨大的风险。对我的写作感兴趣的人对此讨论并不陌生；风险与我在此讨论的内容一致、在此讨论的内容一致、甚至在此讨论的内容一致 。我担心代币投票存在两种主要问题：(i) 不平等与激励失调，即使在攻击者缺失时也是如此，(ii) 通过各种形式（往往是模糊不清的）投票买卖进行的直接攻击。对于前者，已经有许多提出的减轻方案（例如，代理投票），今后还有更多。但后者是一种更为危险的“大象在房间”问题，我认为在当前的代币投票范式内看不到解决方案。

尽管没有攻击者，代币投票仍然存在的问题

尽管没有明确的攻击者，代币投票问题逐渐被大家所理解（例如可参考DappRadar和Monday Capital最近的一篇文章），并且主要归入几个领域：

• 少数富有参与者的“小鲸鱼”在有效执行决策方面优于大规模的小持有者群体。这是因为小持有人中存在公地悲剧：每个小持有者对结果的影响微乎其微，因此他们没什么动力不懒惰并真正投票。即使投票有奖励，他们也缺乏研究和仔细思考他们所投票的事物的动力。
• 代币投票治理在一定程度上赋予了代币持有者及其利益权力，而牺牲了社区的其他部分：协议社区由多元化的选区构成，各自有许多不同的价值观、愿景和目标。然而代币投票只赋予了一种选区（代币持有者，尤其是那些富有的）权力，导致目标过于着眼于抬高代币价格，即使这涉及有害的租金榨取。
• 利益冲突问题：给某一选区（代币持有者）赋予投票权，尤其是对这个特定精英中富裕参与者的过度赋权，会导致可能的利益冲突过度暴露（例如，投资基金或持有其他与该平台交互的DeFi平台代币的持有人）。

为解决第一个问题（并因此也减轻第三个问题），正在尝试进行一个主要的解决策略：代理投票。小持有者不必亲自评估每个决策；相反，他们可以把投票代理给自己信任的社区成员。这是一个崇高而值得的实验；我们将看看代理投票能在多大程度上缓解问题。

而代币持有者中心主义的问题则显著更为复杂：其根本的代币持有者中心主义内生于代币持有者投票是唯一的输入。对代币持有者中心主义是意图目标而非缺陷的错误认知已经造成了混淆和危害。一篇（总体令人印象深刻的）讨论区块链公共产品的文章对此抱怨道：

如果所有权集中在少数“鲸鱼” 手中，是否可以将加密协议视为公共产品？通俗地说，这些市场原始物通常被描述为“公共基础设施”，但如果区块链服务于“公众”，今天主要指的就是去中心化金融。实质上，这些代币持有者只拥有一个共同的关注对象：价格。

这个抱怨是错误的；区块链服务于一种远比DeFi代币持有者更丰富和更广泛的公众。 但我们的代币投票驱动的治理系统完全未能捕捉到这一点，似乎也很难构建一种治理系统能够捕捉到这种丰富性，同时不从根本上改变现有范式。

代币投票对攻击者的深层根本脆弱性：投票买卖

当蓄意的攻击者试图颠覆系统进入这个场景时，问题变得更糟。代币投票的根本脆弱性简单明了。在代币投票协议中，代币是两个权利的捆绑，这两个权利被结合成一个资产：(i) 在协议收入中的某种经济利益，(ii) 参与治理的权利。这种结合是故意的：其目标是Align权力和责任。但是实际上，这两个权利是非常容易分开。 想象一个简单的包装合约具有这样的规则：如果你将1个XYZ存入合约，你将获得1个WXYZ。这个WXYZ可以随时转换回XYZ，并且还会累积红利。这些红利来自哪里呢？好吧，虽然XYZ代币被存储在包装合约中，但这个包装合约有权在治理中随意使用它们（提案何夕、投票等）。包装合约会每天拍卖这个权利，并将利润分配给原始存款人。

作为XYZ的持有者，将你的代币存入合约是否符合你自己的利益？如果你是个非常大的持有者，可能不符合；你喜欢红利，但也担心不当的用户可能会利用你出售给他们的治理权力。但如果你是个较小的持有者，那么这确实符合你的利益。如果包装合约拍卖的治理权力被攻击者买走，你的代币在为不良治理决策贡献的同时，你只是承担了较小的成本，而你将从治理权力拍卖中获得全部红利。这是一个典型的公地悲剧。

假设攻击者做出一个决策，使DAO腐败以使攻击者受益。参与者因该决策成功而遭受的伤害是D，而单个投票微调结果的概率是p。假设攻击者进行了贿赂B。我们的游戏图表是这样的：

如果B>D∗p，你可能会倾向于接受贿赂，但只要B<1000∗D∗p，接受贿赂对整体都是有害的。因此，如果p<1（通常p远低于1），这就是攻击者向用户行贿，推动净损害决策的一种机会，补偿用户所遭受的伤害远低于75。

对投票贿赂担忧的一种自然批评是：投票者_真的_会不道德到接受如此明显的贿赂吗？平均的DAO代币持有者是热衷者；他们很难认为自己如此自私和明显地出售项目。但这忽略了一个事实，即分留利润分享权与治理权的手段要复杂得多，不需要任何妨害性的行为。

最简单的例子是在DeFi借贷平台上借款（比如C的收益）。已经持有ETH的人可以将其ETH锁定在这些平台的CDP（“抵押贷务仓位”）上，完成后CDP合约就允许他们借得最多相当于所存ETH一半价值的XYZ。他们然后可以随意使用这个XYZ。为找回他们的ETH，最终需要偿还借来的XYZ本息。

注意，在此过程中，借款人对XYZ没有经济损失。也就是，如果他们使用XYZ投票支持一个破坏XYZ价值的治理决策，他们不会因此损失一分钱。因为他们拥有的XYZ，无论如何都必须最终归还给CDP，因此他们根本不在乎其价值上下浮动。因此，我们实现了脱钩：借款人在没有经济利益的情况下获得治理权，而贷方则在没有治理权的情况下拥有经济利益。

还存在将利润分享权与治理权分开的集中机制。值得注意的是，当用户在（中心化）交易所存入代币时，交易所全权托管这些代币，具有权限对其进行投票。这并不是单纯的理论；有证据表明，交易所利用其用户的代币在几个DPoS系统中进行投票。最引人注意的最近例子是Steem的恶性收购尝试 ，其中交易所利用其客户的代币为某些帮助巩固Steem网络收购的提案投票，而大部分社区对此持强烈反对态度。这一事态解决的唯一方式是通过大规模用户外迁，部分社区转向另一个名为Hive的链。

一些DAO协议正采用时间锁技术来限制这类攻击，要求用户锁定其代币并在一段时间内不动，才能参与投票。这些技术在短期内可以限制买入-投票-再售的攻击，但最终时间锁机制可以被绕过 像这样的交易，通过合约发行代币的封装（或者更简单地通过中心化交易所）。就安全机制而言，时间锁机制更像是新闻网站上的收费墙，而不是锁和钥匙。

目前，许多采用代币投票的区块链和DAO在最严重的形式上避免了这些攻击。虽然时不时会出现试图贿赂的迹象：

尽管存在所有这些重要问题，明显贿赂投票的情况大为减少，包括利用金融市场的模糊形式，这种简单的经济逻辑会令人怀疑。一个自然的问题是：为什么直到现在还没有发生更多的直接攻击？

我的答案是：“为啥还没有”的原因依赖于三个目前真实但随着时间推移可能会降低真实性的现实因素：

1. 社区精神，拥有一种紧密团结的社区，每个人都觉得在共同的部落和使命中拥有了一种友谊感。
2. 代币持有者的高度财富集中和协调；大持有者更具影响结果的能力，并在长期关系中有投资（既包括“老男孩俱乐部”的风险投资，也包括其他几组同样强大但低调的富裕代币持有者），这使得他们更难以被贿赂。
3. 治理代币的金融市场不成熟：用于制造假代币，包括原型可用性但并未广泛使用的工具存在，贿赂合约存在，但同样不成熟，贷款市场的流动性也较低。

当一个小规模的协调用户团体持有超过50%的代币，同时他们和其他用户都程位于紧密团结的社区中，并且没有合理的利率来借出代币时，以上所有贿赂攻击都可能保持理论性质。然而，随着时间的推移（1）和（3）无论我们怎么做都将不可避免地降低真实性，而（2）_必须_在我们希望DAO变得更加公平的情况下减少。当发生这些变化时，DAO会否依然安全？如果代币投票不可持续抵抗攻击，那么我们该怎么办？

解决方案1：有限治理

一种可能的缓解措施是对代币驱动治理的能力施加限制，这一点在不同程度上已经得到尝试，有几种方法可以做到这一点：

• 只对应用程序使用链上治理，而不是基础层：以太坊已经做到这一点，因为协议本身是通过链外治理进行管理的，而顶层的DAO和其他应用则有时（但未必总是）通过链上治理进行管理。
• 将治理限制为固态参数选择： Uniswap就是这样的例子，因为它只能允许治理影响（i）代币分配和（ii）Uniswap交易中的0.05％费用。另一个很好的例子是RAI的"非治理"路线图，治理在随着时间的推移控制越来越少的特性。
• 增加时间延迟：治理决策的执行时间设置为T+90天。这允许认为决策不可接受的用户和应用迁移至另一个应用程序（可能意味着分叉）。Compound在其治理中设置了时间延迟，但从原则上讲，延迟可以（并最终也应）更长。
• 更友好地分叉：让用户更容易迅速协调并执行分叉。这使治理捕获的收益较小。

Uniswap的案例引人注目：其链上治理资助团队，这是开发未来版本Uniswap协议的过程，但_用户决定是否升级_到这些版本。这是链上和链外治理的一种混合，承载着有限的链上部分。

但是有限治理本身并不能被接受，因为治理最需要的领域（例如公共产品的资金分配）本身是最脆弱的，公共产品融资如此容易受到攻击的原因是攻击者从不良决策中获益具有十分直接的方法；他们可能会试图推动特定的不良决策，将资金发送给自己。因此，我们同样需要改进治理本身的技术......

解决方案2：非代币驱动治理

第二种办法是使用不以代币投票驱动的治理形式。但是如果代币并不决定一个账户在治理中的权重，那有什么呢？有两种自然的替代方式：

1. 个人身份证明系统：验证账户对应唯一个体人的系统，以便治理能够给予每个个体一个投票权。有关正在开发的一些技术的评审，你可以查看此处，以及ProofOfHumanity、 BrightID和Idenanetwork这三个实施案例。
2. 参与证明：证明某一个账户相仍来自于已经参与某次事件、通过某项教育培训或在生态系统中做出有用工作的系统。另见POAP便是其中一个实施尝试。

同样有一个混合的可能性：一种例子是二次投票，其单个投票者的权力与他们在决策中承诺的经济资源的平方根成正比。通过多身份来规避此系统的原因根本是需要个人身份的认定，而现存的金融成分能使参与者诚实地发出自己对某一议题的强烈关心，以及他们在生态系统中的重要程度。Gitcoin二次资金是一种二次投票形式，正在构建的二次投票DAO。

参与证明的理解程度较低。其主要挑战在于判断什么算作参与的所需其本身需要一个相当健全的治理结构。也许最简单的解决方案是通过挑选10-100名早期贡献者来启动系统，然后逐渐去中心化，时选定的第N轮参与者为第N+1轮确定参与的标准。分叉的可能性又为从中恢复和反对治理失误带来了路径。

个人身份和参与证明都需要某种形式的反共谋（详见这里对问题的解释和MACI文档），旨在确保所用来衡量投票权的非货币资源仍然是非金融性的，且不会自身最终进入以高价出售治理权的智能合约中。

解决方案3：利益直接相关

第三种方式是通过修改投票规则来打破公地悲剧。代币投票失败的原因在于，虽然投票者对他们的决策是_集体_负责的（如果每个人都投票支持糟糕的决策，大家的代币都会贬值），而各投票者却不为决策负责（如果发生严重决策，支持它的人受到的损失不比反对者多）。能否创建一种投票系统，以使投票者对他们的决策是个人负责，而不仅是在集体中负责？

Fork-friendly可说是一种利益直接相关的策略，前提是按照Hive从Steem的分叉方式进行。如果一个破坏性治理决策取得成功且无法在协议内部反对，用户可以决定进行分叉。此外，在该分叉中，投票支持糟糕决策的代币将被摧毁。

这听起来可能有些苛刻，甚至可能感觉像是违反了一种隐含规范，即“账本的不可篡改性”在分叉时应保持神圣不可侵犯。但换个视角来看，这个想法似乎更为合理。我们保留了强保密功能，认为每一位个体的代币应当是不可侵犯的，但这只适用于不参与治理的代币。如果你参与治理，即使是通过将你的代币放入一个包装机制，那么你可能要为你的行为承受代价。

这就创造了个人责任：如果发生攻击，且你的代币为攻击投票，那么你的代币就会消失。如果你的代币没有投票支持攻击，你的代币是安全。责任向上级传播：如果你将代币置入包装合约，而该包装合约为攻击投票投下，包装合约的余额被清空，就意味着你会失去代币。如果一个攻击者从DeFi借贷平台借XYZ，当平台分叉时，所有贷出XYZ的人都将会损失（这一点注意使治理代币的贷款在一般情况下风险很高；这是一个有意而为的后果）。

利益直接相关在日常投票中的体现

但上述方法仅在防范真正极端的决策中行之有效。那么对于规模较小、目标向攻击者倾斜并令治理经济做出操控的窃取行为，又该如何应对呢？以及，在没有任何攻击者的情况下，简单的懒惰也是因缺乏优质意见导致代币投票治理没有选择压力的问题。

对这些问题的最流行解决方案是未来治理，这是Robin Hanson在2000年代早期引入的。投票变成投注：支持提案的投票者进行一个针对好结果的投注，而反对提案的投票者进行一个针对坏结果的投注。未来治理带来个人责任，显而易见：如果你做出良好的投注，你就能获得更多的代币，而如果你的投注不佳，你就会失去自己的代币。

“纯”未来治理实施难度很大，因为在实践中定义一个客观函数非常困难（人们想要的不仅是代币价格！），但未来治理的多种混合形式或许是有效的。 混合未来治理的示例包括：

• 投票即买单：请参阅ethresear.ch帖。支持提案的投票需要发出合法的买单，以低于代币当前价格的价格购买额外代币。这确保了如果糟糕的决策成功，支持方可能被迫买入对手的代币，同时确保在更“正常”的决策中，代币持有者有更大的空间根据非价格标准做出选择。
• 追溯生成公共产品资金：请参见与Optimism团队合作的后续帖。通过某种投票机制对公共产品进行资金资助追溯性地，以便其已取得结果。用户能购买_项目代币_为其项目提供资金，表明对其信心；在该项目取得应达到目标后，项目代币买家则可分享该奖励。
• 升级游戏：能源活力在Augur 和 Kleros中采用更高级的过程，即通过调动更高效但更准确的进一步过程吸引投票者，以促使底层相关决策产生价值。在最终决定与之有不一致的票数都获得奖励。

在后两种情况下，混合的未来治理依赖于某种形式的非未来治理，以衡量目标函数或充当最后的争议层。然而，当这种非未来治理不直接作为指名的结果时，它具有多种优势：(i) 它开启得更晚，因此可以获得更多相关信息；(ii) 它使用频率更低，因此能耗相对更少；(iii) 每一次运用其可能果生效，后果更为可接受，因此仅依靠分叉来促成激励对齐并不会形成太大问题。

混合解决方案

还存在一些结合上述技术元素的解决方案。例如：

• 时间延迟与选举专才治理结合：这是对如何追求一种加密担保 stablecoin的古老问题的可能解决方案，锁定资金的价值能超过获得利润代币的收益，而不会造成治理能力被操控。该稳定币利用由N（例如N=13）个选举提供者提交的中值来构造价格预言机。代币投票选定提供者，但每周只能轮换一位。如果用户发现代币投票引入了不可信的价格提供者，他们在稳定币崩溃前有N/2周的时间切换到其他。
• 未来治理+反共谋=声誉：用户通过获得“声誉”来进行投票，声誉是不可转移的代币。如果用户所采取的决策导致预期结果，他们就获得更多声誉；决策导致的是不良结果，则失去声誉。参见此处的一篇倡导声誉方案的文章。
• 松耦合（咨询性）代币投票：代币投票不直接实施提议的更改，而仅仅是为了使其结果公开，使得构建合法性的链外治理可以实现该更改。当代币投票受到贿赂或操控的证据脱颖而出时，代币投票的合法性将会自动下降。

这些只是其中的一些例子。还有许多可以在非代币驱动的治理算法研究与开发上进行的工作。当务之急是摒弃代币投票是唯一合法治理去中心化形式的观念。代币投票因其所感被推崇的中立性而变得引人注目：任何人都可以在Uniswap上获得一些治理代币。 但实际上，代币投票并可能仅因其相对不完美的中立性而在当前看起来是安全的（也就是，较大部分供应掌握在一个紧密联合的内圈手中）。

我们应当保持高度警惕，因为当前形式的代币投票并不是“安全的默认选择”。至今稀乎其微的关于此如何在更多经济压力和成熟生态系统、成熟市场条件中运作的情况依然深不可测，现在是同时对其它选择进行实验的时机。

• 原文链接： vitalik.eth.limo/general...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～