继Steem事件之后,今年年初,币圈话题人物孙宇晨再度陷入关于治理攻击的指控。作为一名持有10亿美元以上加密资产的巨鲸、Tron公链的创始人,孙宇晨的链上地址被加密侦探们广泛追踪。
据GFXLabs报告,2022年1月份,链上记录显示,一个疑似属于孙宇晨的地址从AAVE借入大量$MKR,并在社区内提议创建DAI-TUSD交易对,支持两者以固定1:1汇率兑换。该行为引起注意之后,受到了社区的抵制,该地址最终没有用这些$MKR发起提案,而是直接将其归还。3月份,另一个疑似属于孙宇晨的地址从Compound借入大量$COMP,价值约1300万美元,并充入了币安,很快,一个新地址从币安接收到价值约900万美元的$COMP,该地址用这些$COMP发起提案,提议在Compound上添加TUSD作为抵押资产,该提案最终被社区广泛参与的投票否决。
尽管这两次操作都以失败告终,但该事件引发了业内对于DeFi治理的探讨。有人认为:巨鲸利用“钞能力”,直接影响治理决策,是不能接受的,DeFi的治理也不应沦为金钱;也有人认为:疑似孙晨宇地址的行为,完全是按照治理规则进行的,而且巨鲸们动用自身财务资源争夺在DeFi中的资产准入资格,有助于拉升治理通证价格,治理通证价格的提升反过来有助于激励更多人和更多资金的参与,何乐而不为?
持后一种的观点的人,以Curve协议的流动性激励机制的成功为主要论据。作为一个专注于稳定币的AMM交易市场,Curve创造了一种流动性激励方式:为不同交易对的流动性提供者提供不同力度的$CRV奖励,奖励力度取决于在治理投票中,各交易对获得的投票比例。该机制引发了各稳定币项目方在治理投票中的剧烈竞争,史称「CurveWar」。众多稳定币项目方用尽浑身解数,获得更多的投票权,以争取更多的流动性。
从2020年开始,Curve协议一直实施这样的流动性激励政策,这使得Curve协议获得了巨大的成功。通过引发CurveWar,促使$CRV的价格提升,$CRV价格的提升刺激了更多资金为Curve协议提供流动性,流动性的增加又进一步激化CurveWar,完美的飞轮效应!
LeetSwap:已收回400枚ETH,明日7时重新开放交易:8月3日消息,LeetSwap发推称,通过尝试对2000个交易对进行恢复操作,已收回400枚ETH,将发送到团队钱包,并将于明日7时开放交易。[2023/8/3 16:16:43]
没有人认为Curve的治理被金钱绑架,但是CurveWar中却出现一个寻找规则漏洞的天才项目:MochiProtocol
或许是受CurveWar飞轮效应的启发,MochiProtocol也打算开启属于自己的飞轮效应。MochiProtocol使用其治理代币$MOCHIINU,对其USDM稳定币在Curve中的流动性进行激励,并利用其持有的大量$MOCHIINU凭空铸造了大量的USDM。然后,MochiProtocol将这些USDM换成DAI,用DAI大量买入$CVX(掌握大量CRV投票权的ConvexProtocol的治理通证),以进一步争夺流动性,并继续利用这些流动性将USDM换成DAI,然后再购买$CVX,循环往复。当USDM的流动性达到1亿美金时,MochiProtocol开始套现跑路,耗尽池中的流动性,使得USDM挂钩失效,完成对流动性提供者的收割。
使用CVX在Convest中投票,可以间接影响Convest金库中的veCRV的投票,该过程在图中已简化。
至此,您可能对于DeFi治理中的金钱态度很矛盾:它一方面可能给协议带来成功,另一方面却可能让治理攻击和巨鲸操控的风险曝露。如果不换个视角,我们很难跳出对金钱的直觉,看清楚DeFi治理当中的真问题。
DeFi治理中的真问题
PakaLabs认为,当前DeFi的治理机制,存在两个关键问题:
其一,治理杠杆
巨鲸参与治理本身无可指责,问题在于疑似孙宇晨地址用来参与治理的$COMP和$MKR来源于借贷,而非他长期持有的资产。如果该地址向协议添加的是某种高控盘资产,他完全有可能通过「印钞」,将协议当做他的提款机,而他几乎无需承担$COMP或是$MKR的价格下行风险。这不符合激励相容的原则。该地址通过去中心化的借贷协议来借入治理通证,尚需自己提供抵押品,事实上,如果借入主体没有充足的抵押资产,还可以通过发行债券衍生品来从其他人手里借入治理通证。
币安发言人:对其考虑关闭美国分支机构以保护全球公司的报道不予置评:金色财经报道,有外媒称,币安首席执行官赵长鹏差点关闭该加密货币交易平台在美国的分支机构,以保护其全球公司,币安拒绝对此发表评论。
该媒体援引匿名消息人士的话说,币安美国实体Binance.US的董事会发起了清算该公司的投票。然而,他们未能达成一致决定,Binance.US首席执行官Brian Shroder反对这一决定。Shroder担心这家美国交易所的突然关闭将对其用户造成损害,因为他们将被迫迅速转移或清算其资产。币安交易所发言人表示,他们对这一问题不予置评。[2023/8/2 16:13:45]
在CurveWar中则大量存在贿选的情况,CurveWar的参战项目们通过微薄的奖励来激励其他具有投票权的人按他们的意志投票。当然,这里的“微薄”是相对于他们直接购买这些投票权而言。
借票和贿选为治理参与者们提供了杠杆,使得他们能获得的投票权和其所需承担的责任不成正比。
此外,不少DeFi协议,治理参与率过低,导致极低比例的投票权就可以决定涉及重大资金或是资源的重要事务,简直是天然的杠杆。例如6月19日,Solend仅用约几十万美元的投票权,就做出决定接管某巨鲸上亿美元的资产,令人咋舌。该决议因受到社区强烈反对而又通过新的提案废止。
总之,治理投票中存在金融杠杆,这是真正威胁治理公平性与安全性的重要问题。
其二、无人守门
DeFi的治理比其他类型的DAO治理更加复杂,因为DeFi拥有的资源不止是协议Treasure中那点资金,也更非TVL里的资金,对于DeFi协议而言,最关键的资源往往是非财务资源。例如:
借贷协议中的抵押品资产白名单
DEX中的流动性资源
通过治理投票来来分配协议的非财务资源,不能被简单理解为是纯粹的治理行为,而是带有一定的资源售卖性质。从这个视角看,CurveWar可以理解为Curve对自身流动性资源的拍卖行为。既然不是,那就无所谓金钱。(治理通证承载了分配有价资源的权力,这就是在Compound官方宣布$COMP没有财务价值之后,价格依旧疯涨的原因,那些聪明钱早就意识到了这一点!)
真正导致风险的环节是没有人审核资产的准入。我们拿中心化交易所的上币流程来做个比较,如果一个Web3项目要在中心化交易所上币,多数时候需要交一笔上币费用,此外,中心化交易所会对项目做背景调查,如果背调未能通过,代币是不会被上架的。负责任的交易所,大概都不会采用「有钱就能进」的上币政策。而不少DeFi协议却对资产的准入不设任何风控审核措施。这样的类比不完全贴切,但能说明一定问题。
尽管社区成员可以自发的留意治理提案,也可以动员更多成员通过投反对票来否决添加恶意资产的提案,就像Compound和MakerDAO否决疑似孙宇晨地址的提案一样。但这种社区成员的自发监管,缺乏责任主体,也缺乏专业能力,并不是一张结实的网,总会有“漏网之鱼”趁虚而入。例如2月15日针对BuildFinance的治理攻击提案在没有被社区注意到的情况下,被攻击者控制的少数选票悄悄通过。该攻击使得协议金库资产几乎归零,让BuildFinance全面失败,再难翻身。
为了保障DeFi参与者的资金安全,我们需要一个更严谨的资产准入审核机制。
如何消除治理杠杆?
我们需要针对使用治理杠杆的手段来一一破解。
防御借票:以锁仓换治理权
首先,借票行为是相对容易防御的,基于时间加权的投票和基于声誉的投票都可以降低借票的影响。事实上,Curve的治理已经采用了基于时间加权的投票。Curve的治理权力是通过用veCRV,而非CRV投票来实现的,而veCRV需要通过锁仓CRV获得。锁仓时间越长,获得的veCRV会越多,例如锁仓4年则可以获得1veCRV,锁仓1年则只能获得0.25veCRV。
这里有两个关键点,其一,veCRV不能转账,CurveWar中之所以用户可以把veCRV借给Convex、StakeDAO或是YearnFinance,是因为Curve为少数主体开了白名单;其二,随着锁定的$CRV逐渐接近到期时间,veCRV的数量会线性衰减,如需维持投票权不变,用户需要不断刷新锁仓时间。
锁仓机制使得任何人无法通过短期借票获得大量的投票权。如果想要获得更多投票权,必须延长借贷时间,这会给借票者带来巨大的成本。
我们认为未来主流DeFi协议很有可能会向类似于Curve的时间加权机制演化,抑或是向更复杂的声誉投票机制演化,越来越多新生的协议也会倾向于不再采用简陋的1T1V机制。
防御贿选:隐私技术或成希望
贿选行为则相对难以防御。
贿选在现实中尽管存在,但不成气候。因为不记名投票的特点是:投票者将选票扔进投票箱之后,第三方无法知道投票者究竟投给了哪个选项,甚至投票者本人也很难拿出可靠的证据向贿选者证明自己投了某个选项,这使得贿选交易缺乏可信的基础。
而在链上,贿选行为的信息高度可见,对于贿选者而言易于验证,而贿选行为涉及的主体身份信息却可以隐藏起来,难以追责。这对于建立一个贿选市场而言几乎是完美的土壤。在CurveWar中,贿选已经成为了参战项目的常规手段,甚至因此出现了专门的贿选服务平台,通过使用这些平台,可以拿代币奖励来换取用户的选票。
veCRV贿选平台:
https://bribe.crv.finance/
vlCVX贿选平台:
https://votium.app/
BrideProtocol则更加明目张胆的宣称要做一个通用的贿选平台,还打着“帮助DAO提高治理参与率”、“帮助治理通证持有人提取治理价值”的旗号,意图让「贿选」一词在DeFi治理语境中成为一个中性词。确实,贿选可以提高治理参与率,但DeFi协议希望看到的一定不是这种虚假的高参与率。
理论上,协议可以主动屏蔽来自贿选平台的投票,剥夺贿选选票的投票权,但这建立在贿选平台信息公开的基础之上,如果贿选平台运行于私人服务器,或者在区块链上借助隐私技术开发,那么主动屏蔽的方式便无处下手了。在《DAO的另一面:链上贿选和黑暗DAO的崛起》一文中就描述了一种利用TEE硬件来构建一个隐秘贿选交易平台的可行方法。
HostessfromNFTcollectionTheRobberybyCherry_Pie_NFT
那我们能否构建一个投票信息不可见的治理系统呢?例如使用隐私技术,让单个用户的投票信息在链上不再可见,外界只能看到可验证的最终投票结果,不仅如此,投票的用户无法向贿选者出示可信的证明,以证明其投给了哪一个选项,或者把票委托给了谁。这是本文提供一个抛砖引玉的思路,希望业内伙伴一起探讨,一起探索。
需要注意的是,即便是最完美的技术,也无法彻底杜绝贿选,例如依靠熟人关系的贿选交易是无法被阻止的。我们能做的是防止贿选形成有效市场,使得DeFi治理不被普遍的贿选行为完全异化。
提升治理参与率:治理政党与治理激励
即便是DeFi行业的一些标杆协议,也可能没有很高的治理参与率,例如Compound的治理参与率只有5%左右。这为一些人通过掌握投票权从协议中攫取利益提供了动力。低投票率还促使一些协议通过多层间接治理以实现更大的杠杆,详见Fei-Index-Aave的神仙操作。
从实践民主的视角,人们总是试图让更多的人参与投票,但从协议治理安全的角度,目标应该是让更多的票被投入治理当中。如果转换下目标,我们就能发现一个新的治理思路——协议政党。
尽管一些协议已经开发了流动民主机制,允许人们将治理通证委托给别人以间接参与治理。但这种机制一直受困于一些因素而无法大幅度提高治理参与率。
除非你深入参与社区,知道哪些人是活跃的贡献者以及他们的治理投票倾向,否则你还是不知道将选票委托给谁合适;
受委托的投票者活跃度不稳定,也没有人要求他们保持活跃,可能积极参与几次投票就再也没投过票,而委托人似乎不会总是关注他们是否应该更改委托,这使得一部分票长时间陷入沉寂;
大多协议没有为参与治理提供奖励,这使得持币人更愿意把治理通证放在DeFi中生息。
引入一个具有特定投票倾向的联盟能够改善上述情况,我们可以将其称之为「协议政党」。协议政党向选民承诺负责任的参与投票以获取选票,同时协议政党雇佣专家以仔细研究每项决策以做到这一点。
当然为了让协议政党有动力负责任的参与治理,并且让持币人有动力将票委托给协议政党,协议需要给到治理参与者以足够的激励。治理激励的存在,相当于向不参与治理的人征税,有助于唤醒沉寂的选票。治理激励分为两部分,一部分是为锁仓治理通证而发放的奖励,有点像PoS公链当中Staking奖励,另一部分是对投票行为进行奖励,例如投票次数达到多少次可以获得奖励,这部分奖励可以以补贴的形式给到治理治党。奖励的来源可以是通胀增发,也可以是协议利润。
这里需要注意一点,协议政党不应再发行自己的治理通证,否则会给类似Fei-Index-Aave的套娃型杠杆治理创造机会,即便协议政党发行了治理通证,也不应通过自身治理投票直接决定其代持的选票的投票,而是应该委任一个专业的委员会来做出投票决策。
目前WildFireDAO已经被创建为一个协议政党,积极参与多个协议的治理,Rabbithole也创建了自己的治理委员会,负责参与自己所持股的协议的治理投票。期待协议政党未来的演化!
如何设置守门机制?
在Mochi的治理攻击发生后,Curve通过治理取缔了MochiProtocol竞争流动性的资格,但与事后的「资产清退」相比,我们更需要一个事前的资产准入环节,抵御欺诈行为,更好地保障DeFi参与者的资金安全。
如前所述,在多数DeFi目前的资产准入机制中,只要你有足够的钱,就可以拿到足够多的投票权,进而把任何你想要添加的资产放进一个DeFi:或是作为借贷协议的抵押品,或是作为稳定币的储备资产,亦或是被允许加入一个特定的交易对,这带来了治理攻击的风险敞口。通过消除治理杠杆,我们可以让攻击者获得投票权的成本增大,但除此之外,DeFi协议还应有一套守门机制,作为防止恶意资产添加的最终安全屏障。
让众多持币人对资产的准入进行审核是不合适的,否则就回到了最初的问题,投票权可能被攻击者短期捕获,以实施治理攻击,且投票者不可能全部都去对资产做负责任的背景调查。可行的方法是投票者们制定一个审核标准,并委任一个风控团队来对资产做背调,并决定是否放行。
需要注意的是,一旦标准制定,审核委员会没有权力对不符合标准的资产放行,或是阻碍符合标准的资产被添加,否则协议可以通过治理投票罢免或更改委员会成员。当然,审核标准毕竟只是几段文字,实践中一定有审核委员会的自由裁量权。然而,审核标准还是应该尽可能明晰,减少审核委员舞弊或是被贿赂的可能性。这就像现实中立法和司法的分离。
事实上,在Compound、SushiSwap中有类似于「元老院」的结构,「元老院」可以有权否决一切治理提案,即便是那些高票通过的治理提案。实践中,「元老院」也承担了资产准入审核的作用,负责否决恶意资产被添加的提案。然而,该机制也饱受争议:支持者认为元老院的权力和治理投票的权力可以相互制衡,实现类似于民主中的两院制结构,反对者则认为,可以否决一切提案的元老院,完全可能成为协议的独裁者。
我们认为这里面的核心点有两个:
元老院的权力范围,除了提案否决权,是否还有其他权力,在一些治理结构中,元老院还有暂停协议、启动紧急提案等权限,在一些发展初期的DeFi协议当中,元老院具有一切超级权限,可以随时更新协议代码。不同的权限范围,决定了元老院的性质——独裁者,还是守门员。不过,对于发展较为初期的DeFi,由于代码尚未成熟,经济体系也尚未验证,让独裁者来当守门员也是无奈之举;
元老院成员的选举和罢免,是否由治理投票决定。这决定了元老院是独立存在的权力实体,还是只是治理投票所授权的一个权力代行机构。
总之,我们认为由一个被治理投票授权和监督的委员会来负责资产审核是有必要的,该委员会可以是一个单独的部门,也可以由协议的「元老院」兼任。
小结
随着DeFi的发展,部分协议已经成为Web3的基础设施,具备公共物品的属性,保护参与者的资金安全,是DeFi发展的底线。风险因素主要存在于两个方面,其一是治理权力可能被金融杠杆放大,导致权责不对等的治理,其二是缺乏可靠的资产准入审核流程,即便对欺诈者也来者不拒,有钱就可以向DeFi协议添加任何资产。
本文提供了消除治理杠杆的若干方法,在这些方法中,用锁仓机制防御借票已经被广泛应用,用治理政党和治理激励来提升治理参与率也在被陆续实践,只有贿选还是个棘手的问题,本文提供的用隐私技术防御贿选的思路,有着过高的技术门槛,并非短期能够实现。本文也提供了设置守门机制的建议,那就是委托一个风控团队按照既定的原则来对添加到DeFi许可中的资产做调查与审核。不过,在DeFi的治理实践中,可能还会出现更高明的方式来解决上述问题,DeFi的治理究竟走向何方,我们将继续关注并研究。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。