V神：去中心化治理有什么问题？如何改进？

去中心化治理是必要的，也是危险的，V神阐述了改善治理的四种方法。

在过去一年中，区块链领域的一个重要趋势已经从关注去中心化金融（DeFi）转向考虑去中心化治理（degov）。尽管2020年通常被广泛（合理地）称为DeFi年，但从那时起，构成这一趋势的DeFi项目的复杂性和能力一直在增加，这导致人们对去中心化治理的绩效越来越感兴趣。以太坊中有一些例子：yfi、component、synthetix、uni、gitcoin等都推出了某种Dao，甚至从某种Dao开始了整个项目。以太坊以外的情况也是如此，比如关于BCH基础设施融资计划的辩论、zcash的基础设施融资投票等。

不可否认的是，某种形式的正式去中心化化治理正变得越来越流行，人们对它感兴趣的原因很重要。但同样重要的是要牢记这些计划的风险，最近对steem的敌意收购以及随后蜂巢的大规模社区迁移就是明证。我想进一步指出，这些趋势是不可避免的。在某些情况下，去中心化治理是必要和危险的。我将在本文中介绍原因。我们如何在获取去中心化治理的好处的同时最小化风险？我将展示答案的一个关键部分：我们需要超越现有的代币投票形式。

去中心化治理是必要的

自1996年《网络空间独立宣言》发表以来，所谓的“密码朋克”意识形态中存在着一个尚未解决的关键矛盾。一方面，cryptopunk的价值观都是使用密码技术来最小化强制，并最大限度地提高当时可用的主要非强制协调机制的效率和范围：私有财产和市场。另一方面，私有财产和市场的经济逻辑被优化为可分解的一对一互动活动，而艺术、文学、科学和代码等信息领域通过不可还原的一对多互动产生和消费恰恰相反。

需要解决这一环境中固有的两个关键问题：

• 资助公共物品：如何资助对社区中众多非选择性人群有价值但通常没有商业模式的项目（例如，第1层和第2层协议研究、客户开发、文档等）？
• 协议维护和升级：如何就协议升级和协议不稳定部分（如安全资产清单、预言机价格来源、多方计算密钥持有人）的定期维护和调整达成协议？
• 早期区块链项目在很大程度上忽视了这两个挑战。他们假装唯一重要的公共物品是网络安全，网络安全可以通过永久固定的单一算法实现，并以固定的工作量证明奖励支付。这种融资最初是可能的，首先是因为比特币的价格在2010-2013年开始大幅上涨，接着是2014-2017年的ICO繁荣，以及2014-17年的第二次加密泡沫，所有这些都让生态系统变得丰富，足以暂时掩盖大市场的低效率。

公共资源的长期治理也被忽视：比特币走极端最小化的道路，专注于提供固定供应货币，确保对闪电网络等Layer2支付系统的支持，而以太坊继续以和谐的方式发展（只有一个重大例外），这是因为其预先存在的路线图（基本上是“兴趣证明和碎片化”）具有很强的合法性，并且不存在需要更多的复杂应用程序层项目。

但是现在，这种运气越来越少了。在避免集中化风险、协调协议维护和升级以及资助文档方面的挑战的同时，研发已成为当务之急。

去中心化治理需要为公共物品提供资金

有必要后退一步，看看当前形势的荒谬性。目前，以太坊的每日挖矿发行奖励约为13500 ETH，即每天约4000万美元。同时，交易成本也很高。非EIP-1559燃烧部分每天约有1500 ETH（约450万美元）。因此，以太坊每年都要投入数十亿美元用于网络安全。ETHunm基金会的预算是多少？每年约3000万至6000万美元。有非EF参与者（如consensys）参与了开发，但其规模不大。比特币与此类似，用于非安全公共品的资金可能更少。

我们用图片来表达当前的情况：

在以太坊生态系统中，人们可以证明这种差异并不重要；每年数千万美元“足够”进行所需的研发。增加更多的资金并不一定能改善这种情况。因此，协议开发者对平台的可信度和中立性的资本投资风险超过了收入。然而，在许多较小的生态系统中（无论是以太坊还是完全独立的区块链（如BCH和zcash），同样的争论正在酝酿，而在这些较小的系统中，这种不平衡造成了巨大的差异。

输入Dao。从第一天开始，作为“纯”Dao启动的项目可以实现两个以前无法组合的属性的组合：（I）充足的开发资金和（II）可信的资金中立性（令人垂涎的“公平问题”）。开发者的钱不是来自硬编码的接收地址列表，而是来自Dao自己的决定。

当然，很难使发行完全公平。信息不对称造成的不公平通常比显性溢价造成的不公平更严重（考虑到2010年底之前已经分配了1/4的金额，比特币真的公平发行了吗？）

但即便如此，从第一天起对非安全公共产品的协议内补偿似乎是为中立开发者获得足够和更可信融资的潜在重要一步。

协议维护和升级需要去中心化治理

除了公共品融资之外，另一个同样重要的需要治理的问题是协议的维护和升级。虽然我主张最小化所有非自动参数调整（参见下面的“有限治理”部分），但我还是Rai“非治理”战略的支持者，有时治理是不可避免的。价格预测输入必须来自某个地方，有时某个地方需要更改。在协议“僵化”成为最终形式之前，必须以某种方式进行协调和改进。有时，一个一致同意的社区可能认为他们已经准备好僵化，但随后世界抛出一个曲线球，需要一个完整的、有争议的重组。如果美元崩溃，Rai不得不匆忙创建并维持其去中心化的CPI指数，以保持其稳定币稳定和相关性，会发生什么？在这方面，去中心化治理也是必要的，因此完全避免去中心化治理不是一个可行的解决方案。

一个重要的问题是“链下治理”是否可行。很长一段时间以来，只要有可能，我一直是链条下治理的粉丝。事实上，对于底层区块链，链下治理是绝对可能的。然而，对于应用层项目，尤其是DeFi项目，我们遇到的问题是，应用层智能合约系统通常直接控制外部资产，并且这种控制无法转移。如果tezos的链治理被攻击者捕获，那么社区可以在不造成任何损失的情况下进行硬分叉。如果makerdao链上的治理被攻击者捕获，社区肯定可以启动一个新的makerdao，但他们将丢失现有makerdao CDP中的所有ETH和其他资产。因此，尽管对于基础层和一些应用层项目来说，链外治理是一个很好的解决方案，但许多应用层项目（尤其是DeFi）不可避免地需要某种形式的正式链上治理。

去中心化治理（DeGov）也是危险的

然而，目前，所有去中心化治理的情况都伴随着巨大的风险。对我的读者来说，这种讨论并不新鲜。这些风险与我在（1）、（2）和（3）中讨论的风险大致相同。我担心代币投票有两类主要问题：

（I）即使没有攻击者，也存在不平等和激励失衡；

（II）通过各种形式（通常是模糊的）贿赂进行的直接攻击。对于前者，已经有许多拟议的缓解措施（如调试），并且将有更多的选择。但后者是房间里一个更危险的大象，我认为在目前的代币投票模式中没有解决方案。

即使没有攻击者，代币投票方案也存在问题

即使没有明确的攻击者，代币投票的问题也变得更容易理解（例如，请参阅dapprad和Monday capital最近的一篇文章），主要分为几类：

• 一小群富有的参与者（“鲸鱼”）比一大群散户投资者更善于做出成功的决策。这是因为散户投资者的公地悲剧：每个散户投资者对结果几乎没有影响，因此他们没有实际投票的动机。即使有投票的奖励，也没有什么动机去研究和仔细考虑他们投票的目的。
• 代币投票治理以牺牲社区其他部分为代价，并使代币持有人受益：协议社区由具有许多不同价值观、愿景和目标的不同支持者组成。然而，代币投票只赋予一个选区（代币持有者，特别是富人）权力，导致过度强调提高代币价格的目标，即使这涉及有害的租金提取。
• 利益冲突：授予选区（代币持有人）投票权，特别是过度授权选区中的富有参与者，可能过度暴露特定精英内部的利益冲突。

有一种主要的战略试图解决第一个问题（从而缓解第三个问题）：授权。散户投资者可以将代币委托给他们信任的社区成员，而不是亲自判断每个决定。这是一个光荣而宝贵的实验，我们将看到委员会如何有效地缓解这一问题。

GitDAO中的投票代理页

另一方面，代币持有者中心主义的问题更具挑战性：代币持有者中心主义内在地融入了一个只有持有者投票的体系。认为代币持有者中心主义是一个预期目标而不是一个错误的误解造成了混乱和伤害。有人在一篇讨论区块链公共品的文章中写道（通常非常好）：

“如果所有权集中在几头鲸鱼手中，加密协议能被视为公共物品吗？一般来说，这些市场原语有时被描述为“公共基础设施”，但如果区块链今天服务于“公共”，那么它主要是一种去中心化的金融。从根本上说，这些代币持有者只有一个共同关注的目标：价格。”

抱怨是错误的：区块链服务于比DeFi代币持有者更富有、更广泛的公众。然而，我们的代币投票驱动的治理系统根本无法捕捉到这一点，而且似乎很难建立一个治理系统，在范式没有更根本性变化的情况下捕捉到这种丰富性。

对于攻击者而言，代币投票的深层基本漏洞：贿选问题

一旦确定攻击者试图破坏系统，问题将变得更加严重。代币投票的根本弱点很容易理解。代币投票协议中的代币是由两种权利组成的组合，组合成一项资产：（I）协议收入中的特定经济利益和（II）参与治理的权利。这种结合是有意的：目标是使权力和责任一致。但事实上，这两种权利很容易相互分离。设想一个简单的封装合同，其中包含以下规则：如果在合同中存入1个XYZ，则将得到1个wxyz。Wxyz可以随时转换回XYZ。此外，它还可以产生兴趣。利息从哪里来？虽然XYZ代币在包装器契约中，但包装器契约可以在治理中自由使用它们（提出建议、对建议进行表决等）。包装合同只是每天拍卖这项权利，并将利润分配给原始储户。

作为XYZ持有人，将代币存入合同是否符合您的利益？如果你是一个非常大的持有人，它可能不是。你喜欢兴趣，但你担心一个错位的参与者可能会利用你出售的治理权力做些什么。但如果你是一个较小的持有人，它是完美的为你。如果包装合同拍卖的治理权被攻击者购买，您将只承受代币导致的不良治理决策的一小部分成本，但您将从治理权拍卖中获得所有红利。这种情况是典的公地悲剧。

假设攻击者决定销毁Dao，这对攻击者有利。每个参与者因成功决策而遭受的伤害为D，一次投票改变结果的可能性为p。假设攻击者提供的贿赂金额为B，游戏图表如下：

如果Bgt；D*P，你倾向于接受贿赂，但只要B1000*D*P，那么受贿是有害的。因此，如果P1（通常P远低于此值），攻击者有机会贿赂用户做出净负面决策，并且对每个用户的补偿远低于他们所遭受的伤害。

对选民害怕受贿的自然批评是：选民真的会不道德到接受如此明显的贿赂吗？普通道具持有者都是狂热者，他们很难满足于对项目如此自私和公然的伤害。但这忽略的是，有更多模糊的方法来区分利润分享权和治理权，而没有包装合同那么清晰。

最简单的例子是从DeFi贷款平台（如compound）借款。已经持有ETH的人可以将其ETH锁定在其中一个平台的CDP（“抵押债务头寸”）。一旦他们这样做，CDP合同允许他们借入一定数量的XYZ（例如，他们投资的ETH价值的一半）。然后他们可以使用这个XYZ来做任何他们想做的事情。为了收回ETH，他们最终需要偿还借来的XYZ加上一点利息。

请注意，在整个过程中，借款人对XYZ没有财务风险。也就是说，如果他们使用XYZ投票支持破坏XYZ价值的治理决策，他们将不会损失一分钱。他们持有的XYZ最终将偿还给CDP。因此，借款人不关心XYZ的价值是上升还是下降。因此，我们实施了一个衍生产品：借款人拥有治理权而没有经济利益，贷款人拥有经济利益而没有治理权。一些Dao协议使用诸如timelock之类的技术来限制参与攻击的能力，但最终timelock可以被绕过；就安全系统而言，timelocks更像是报纸网站上的付费墙，而不是锁和钥匙。

还有一个将利润分享权与治理权分离的集中机制。最值得注意的是，当用户在交易所存放（集中）他们的代币时，交易所拥有这些代币的完全保管权，交易所可以使用这些代币进行投票。这不仅仅是理论上的。有证据表明，交易所在几个DPO系统中盗用了用户的代币。最近最著名的例子是steem。交易所盗用了客户的代币，并投票支持了一些提案，这些提案有助于巩固对steem network的收购。同时，steem社区的大多数人都强烈反对。这种情况只能通过彻底的大规模社区迁移来解决，其中大量社区已经迁移到另一个称为hive的区块链。

目前，许多具有代币投票功能的区块链和DAO已成功避免了最严重形式的攻击。但是，偶尔也会有行贿未遂的案例：

尽管存在所有这些重要问题，但简单的经济推理表明，直接贿赂选民的例子要少得多，包括使用金融市场等令人困惑的形式。自然要问的问题是：为什么没有更多的直接攻击？

我的答案是，“为什么不”取决于三个偶然因素，这些因素在今天是正确的，但随着时间的推移可能会变得不那么正确：

• 社区精神来自一个紧密联系的社区。每个人都能在一个共同的部落和使命中感受到友谊。
• 代币持有人的财富高度集中和协调。鲸鱼持有者有更高的能力影响结果并投资于他们的长期关系（包括风投的“老男孩俱乐部”和许多其他同样强大但低调的富有代币持有者群体），这使得他们更难接受贿赂。
• 管理代币的金融市场还不成熟：制造封装代币的现成工具以概念证明的形式存在，因此没有得到广泛使用；有行贿合同，但也不成熟；贷款市场的流动性很低。

当一小群协调用户持有超过50%的代币，他们和其他人投资于一个紧密整合的社区，并且很少有代币以合理利率出借时，上述所有贿赂攻击可能仍然是理论上的。但随着时间的推移，（1）和（3）不可避免地变得不那么真实。如果我们想要道变得更公平，那么（2）必须变得不那么真实。发生这些更改时Dao是否仍然安全？如果代币投票方案不能持久抵抗攻击，它能做什么？

解决方案 1 ： 有限治理

针对上述问题的一个可能的缓解措施是限制代币驱动的治理所能做的事情，该措施已经在不同程度上进行了尝试。有几种方法可以做到这一点：

• 仅对应用程序使用链上治理，而不是基本层：以太坊已经在这样做了，因为协议本身由链外治理治理，而DAO和其上的其他应用程序有时（但不总是）由链上治理治理治理。
• 将治理限制为固定参数选择：Uniswap这样做是因为它只允许治理影响（I）代币分配和（II）Uniswap交易成本的0.05%。另一个很好的例子是rai的“非治理”路线图。随着时间的推移，它的治理可以控制的功能越来越少。
• 添加时间延迟：在时间t做出的治理决策仅在t+90天后生效。这允许不可接受的用户和应用程序移动到另一个地方（可能是分支）。Compound为其治理添加了延迟机制，但原则上，延迟可以（并且最终应该）更长。
• 更友好的分岔：它使用户更容易快速协调和执行分岔。这会降低捕获治理的回报。
• Uniswap的案例特别有趣：这是由连锁治理资助的团队的预期行为。这些团队可能会开发未来版本的Uniswap协议，但这取决于用户选择升级到这些版本。这是一种链上治理和链外治理的混合形式，只为链中的一方留下有限的角色。

但有限治理本身并不是一个可接受的解决方案。最需要治理的领域（如公共品资金分配）本身就是最脆弱的领域。公共品基金是脆弱的，因为攻击者可以通过非常直接的方式从错误的决策中获利：他们可以试图推动错误的决策，并向自己提供资金。因此，我们还需要使用技术手段来改善治理本身

解决方案 2: 非代币驱动的治理方案

第二种方法是使用非代币驱动的治理形式。但是，如果代币不能确定帐户在治理中的权重，那么使用什么来决定？有两种自然选择：

• 个人识别系统：验证帐户是否对应于唯一个人的系统，以便管理员可以为每个人分配一票。有关正在开发的一些技术以及证明人性和brightid的两次尝试的评论，请参见此处。
• 参与证明：系统证明账户对应于参与活动、通过教育和培训或在生态系统中执行了一些有用工作的人。有关如何执行此操作，请参见poap。
• 还有混合的可能性：一个例子是二次投票，它使个人选民的权力与他们做出决定的经济资源的平方根成比例。为了防止人们通过跨多个身份传播资源来作弊，需要个人身份证明，而仍然存在的财务部分允许参与者可信地展示他们对某个问题的关注程度以及对生态系统的关注程度。Gitcoin二级融资是二级投票的一种形式，它正在构建一个二级投票Dao。

参与的证据并不广为人知。关键的挑战是，决定参与程度本身需要一个非常强大的治理结构。最简单的解决方案可能是引导系统通过精心挑选的10-100名早期贡献者，然后确定第n+1轮的参与标准作为第n轮的选定参与者，并随着时间的推移逐渐去中心化。分歧的可能性有助于提供一种从治理脱轨中恢复的方法，并提供激励。

个人身份证明和参与证明需要某种形式的反共谋（见本文和MACI文件），以确保用于衡量投票权的非货币资源仍然是非金融资源，而不是自身，并最终签订智能合同，将治理权出售给出价最高的投标人。

解决方案 3 ： 躬身入局（skin in the game）

第三种方法是通过改变投票规则来打破下议院的悲剧。代币投票失败的原因是，尽管选民对自己的决定负有集体责任（如果每个人都投票赞成一个错误的决定，那么每个人的代币将归零），但每个选民并不承担个人责任（如果一个错误的决定发生，支持它的人所遭受的痛苦并不比反对它的人多）。我们能否建立一个投票系统来改变这种动态，让选民个人（而不仅仅是集体）对自己的决定负责？

如果分岔是根据来自steem的蜂巢分岔进行的，那么分岔友好性可以说是博弈策略中的一张皮。如果破坏性治理决策成功且协议中没有异议，则用户可以决定分叉。此外，在这种分歧中，投票支持错误决策的代币可能会被销毁。

这听起来很刺耳，甚至可能让人们觉得这违反了一个隐含的规范，即“账簿不变性”在分叉货币时应该保持神圣。但从不同的角度来看，这个想法似乎更合理。我们保留一个强大防火墙的想法，在这个防火墙中，个人代币的平衡不会被破坏，但只对不参与治理的代币应用这种保护。如果您参与治理，甚至间接地通过将代币放入封装机制，您可能必须承担自己行为的成本。

这就产生了个人责任：如果发生攻击并且您的代币投票支持该攻击，您的代币将被销毁。如果您的代币没有投票支持攻击，则您的代币是安全的。责任向上传播：如果您将代币放入封装契约，并且封装契约投票支持攻击，封装契约的余额将被擦除，因此您的代币将丢失。如果攻击者从DeFi lending platform借用XYZ，则任何借用XYZ的人都将在平台分叉时遭受损失（请注意，这会使借用治理代币非常危险，这是预期的结果）。

「躬身入局」在日常投票中的作用

但以上仅适用于防止真正极端的决策。那么小规模的捕获呢？这种捕获不公平地帮助攻击者操纵治理经济，但其严重程度不足以造成毁灭性后果？那么，如何在没有任何攻击者的情况下解决简单懒惰的问题呢？

解决这类问题最流行的方法是由罗宾·汉森（Robin Hanson）在21世纪初发起的未来派。它的原则很简单，就是投票变成了赌注：如果你投赞成票，你打赌提案会带来好结果；如果你投反对票，你打赌提案会带来坏结果。Futarchy引入个人责任的理由是显而易见的：如果你下了一个好的赌注，你会得到更多的钱，如果你下了一个坏的赌注，你会输钱。

事实证明，“纯”未来计划很难引入，因为在实践中，目标函数很难定义（人们想要的不仅仅是象征性的价格！），但各种混合形式的未来统治可能会奏效。混合未来的例子包括：

• 作为采购订单投票：请参阅ETHeresear.ch post。投票支持提案需要一份可执行的采购订单，以略低于代币当前价格的价格购买额外代币。这确保了如果一个错误的决策成功，支持它的人可能会被迫购买对手的代币，但也确保了在更“正常”的决策中，如果他们愿意，他们有更多的时间根据非价格标准做出决策。
• 追踪公共品资金：参见优化团队的帖子。在公共物品取得成果后，它们由某种投票机制提供追溯资金。用户可以购买项目代币来资助他们的项目，并展示他们对项目的信心；如果项目被认为达到了预期目标，项目代币的购买者将获得奖励。
• 升级游戏：参见augur和kleros。较低级别决策的价值一致性受到诉诸更高级别流程的可能性的启发，该流程具有更高的努力，但更高的准确性；投票支持最终决定的选民将得到奖励。

在后两种情况下，混合未来统治依靠某种形式的非未来统治来衡量目标函数或作为最终争议层。这种非未来统治有几个优点：（I）它激活得晚，因此可以获得更多的信息，（II）它使用得少，因此可以花费更少的精力，（III）每次使用它都会产生更大的后果。因此，仅通过分歧更容易调整最后一层激励。

混合解决方案

还有一些解决方案结合了上述技术的要素。一些可能的例子：

• 延时+精选专家治理：这是一个解决老问题的可能方案，即如何通过加密资产抵押稳定币，其锁定资本可以超过利润代币的价值，而无治理捕获风险。稳定币使用价格预言机，中间值由n（例如，n=13）个选定供应商提交。代币投票选择供应商，但一个周期只能选择一个供应商。如果用户注意到代币投票带来了一个不受信任的价格提供商，他们有n/2周的时间在稳定币崩溃之前切换到另一个提供商。
• 未来+反共谋=声誉：用户使用“声誉”进行投票，这是一种不可转换的代币。如果用户的决定导致预期的结果，他们将获得更多的声誉；如果用户的决定导致不良结果，他们将失去声誉。请参阅本文，它提倡基于声誉的方法。
• 松散耦合（咨询）代币投票：代币投票并不直接实施提议的变更，而只是为了披露其结果，并在实施变更的链条下为治理建立合法性。这可以提供代币投票的好处，但风险很小，因为如果有证据表明代币投票被贿赂或以其他方式操纵，代币投票的合法性将自动下降。

这些只是几个可能的例子。在非代币驱动的治理算法的研究和开发方面还有很多工作要做。今天可以做的最重要的事情是摆脱代币投票是治理去中心化的唯一合法形式的想法。代币投票很有吸引力，因为它感觉非常中立：任何人都可以在Uniswap上获得一些治理代币单元。然而，在实践中，代币投票可能只有在今天才显得安全，因为它有缺陷的中立性（即，大部分供应都掌握在一个密切协调的内部团体手中）。

我们应该警惕当前的观点，即代币投票是一种“安全的默认形式”。随着经济压力的增加以及生态系统和金融市场的成熟，它们如何发挥作用还有很多有待观察的地方，现在是时候同时开始试验替代品了。