Vitalik Buterin：超越代币投票的治理

原文标题：《 Moving beyond coin voting governance 》

原文作者: Vitalik Buterin

原文编译： DAOctor ＠DAOrayaki

特别感谢 Karl Floersch：Dan Robinson 和 Tina Zhen 的反馈和审查。参见《区块链治理笔记》、《治理，第二部分：财阀仍是坏事》、《论勾结与协调，好与坏》，了解早期对类似话题的思考。

过去一年，区块链领域的一个重要趋势是，从关注去中心化的金融（DeFi）过渡到同时思考去中心化的治理（DeGov）。虽然 2020 年经常被广泛地、有理由地誉为 DeFi 年，但在此后的一年里，构成这一趋势的 DeFi 项目的复杂性和能力不断增加，导致人们对处理这种复杂性的去中心化治理越来越感兴趣。以太坊内部有一些例子。YFI、Compound、Synthetix、UNI、Gitcoin 和其他项目都已经启动，甚至开始使用某种 DAO。在以太坊之外也是如此，关于比特币现金中的基础设施资金提案、Zcash 中的基础设施资金投票等讨论。

某种形式的正式去中心化治理的普及率上升是不可否认的，人们对其感兴趣有重要原因。但同样重要的是，要牢记这种计划的风险，最近 Steem 的恶意收购和随后大规模流向 Hive 的事件就很清楚。我进一步认为，这些趋势是不可避免的。在某些情况下，去中心化的治理既是必要的，也是危险的，原因我将在这篇文章中加以阐述。我们如何才能在获得去中心化治理的好处的同时将风险降到最低？我将论证答案的一个关键部分：我们需要超越现有形式的代币投票。

DeGov 是必要的

自 1996 年《网络空间独立宣言》以来，在可称为赛博朋克的意识形态中一直存在着一个关键的未解决的矛盾。一方面，赛博朋克的价值观都是利用密码学来减少胁迫，并最大限度地提高当时主要的非胁迫性协调机制的效率和范围：私有财产和市场。另一方面，私有财产和市场的经济逻辑是为那些可以被 "分解 "为重复的一对一互动的活动而优化的，而信息圈，其中艺术、文件、科学和代码是通过不可减少的一对多的互动产生和消费的，与此完全相反。

在这样的环境中，有两个固有的关键问题需要被解决。

资助公共产品：如何资助那些对社区中广泛的、没有选择的人群有价值的项目，但这些项目通常没有商业模式（例如第一层和第二层协议研究、客户端开发、文档......）？

协议维护和升级：协议如何升级，对协议中长期不稳定的部分（例如安全资产列表、价格预言机来源、多方计算密钥持有者）进行定期维护和调整操作， 是如何商定的？？

早期的区块链项目在很大程度上忽略了这两个挑战，假装唯一重要的公共利益是网络安全，这可以通过永久固定的单一算法来实现，并以固定的工作证明奖励来支付。这种资金状况起初是可能的，因为 2010-13 年比特币价格大幅上涨，然后是 2014-2017 年的 ICO 热潮，以及 2014-2017 年同时发生的第二次加密泡沫，所有这些都使得生态系统足够丰富，可以暂时掩盖巨大的市场低效率。公共资源的长期治理同样被忽视：比特币走极端最小化的道路，专注于提供固定供应的货币并确保支持像闪电网络这样的第 2 层支付系统，仅此而已。由于其预先存在的路线图（基本上：「权益证明和分片」）的强大合法性，以太坊继续和谐地发展（除了一个主要的例外），而需要更多复杂应用层的项目尚不存在。

但是现在，这种运气越来越差，在避免中心化风险的同时协调协议维护和升级以及资助文档、研究和开发的挑战成为首要任务。

DeGov 需要为公共产品提供资金

有必要退后一步，看看目前荒谬的现状。来自以太坊的每日挖矿发行奖励约为 13500 ETH，即每天约 4000 万美元。交易费用同样高；非 EIP-1559 烧毁的部分每天仍约为 1,500 ETH（约 450 万美元）。因此，每年有数十亿美元用于资助网络安全。现在，以太坊基金会的预算是多少？每年约 30-6000 万美元。有非 EF 参与者（例如 Consensys）为开发做出贡献，但它们的规模并不大。比特币的情况类似，用于非安全公共产品的资金可能更少。

这是图表中的情况：

在以太坊生态系统中，可以证明这种差异无关紧要；每年数千万美元「足以」进行所需的研发，增加更多的资金并不一定会改善现状。因此，建立协议内开发者资金对平台可信的中立性的风险超过了收益。但在许多较小的生态系统中，包括以太坊内的生态系统和完全独立的区块链，如 BCH 和 Zcash，同样的辩论正在酝酿，而在这些较小的规模上，不平衡会产生很大的差异。

进入 DAO。一个从第一天起就作为 "纯 "DAO 启动的项目，可以实现以前不可能结合的两个属性的组合。(i) 开发者资金的充足性，和 (ii) 资金的可信中立性（人们梦寐以求的「公平启动」 ）。开发者的资金不是来自一个硬编码的接收地址列表，而是可以由 DAO 本身做出决定。

当然，要使一个发射完全公平是很难的，信息不对称带来的不公平往往比明确的前提条件带来的不公平更糟糕（考虑到在 2010 年底 1/4 的供应量已经发放的时候，很少有人有机会听到它，比特币真是一个公平的启动吗？但即使如此，从第一天起就对非安全的公共产品进行协议内的补偿，似乎是朝着获得足够的和更可信的中立开发者资金迈出的潜在的重要一步。

DeGov 需要进行协议维护和升级

除了公共物品资金，另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动化参数调整（请参阅下面的「有限治理」部分）并且我是 RAI 的「非治理」策略的粉丝，但有时治理是不可避免的。价格预言机输入必须来自某个地方，有时某个地方需要改变。在协议「僵化」为最终形式之前，必须以某种方式协调改进。有时，协议的社区可能认为他们已准备好僵化，但随后世界抛出了一个需要进行完整且有争议的重组的曲线球。如果美元崩溃，RAI 不得不争先恐后地创建和维护自己的去中心化 CPI 指数，以使其稳定币保持稳定和相关性，会发生什么？在这里，DeGov 也是必要的，因此完全避免它并不是一个可行的解决方案。

一个重要的区别是链下治理是否可行。长期以来，我一直是尽可能地支持链下治理的粉丝。事实上，对于底层区块链，链下治理绝对是可能的。但是对于应用层项目，尤其是 defi 项目，我们遇到的问题是应用层智能合约系统往往直接控制外部资产，并且这种控制无法分叉。如果 Tezos 的链上治理被攻击者捕获，社区可以硬分叉而不会造成任何损失（公认的高）协调成本。如果 MakerDAO 的链上治理被攻击者捕获，社区绝对可以启动一个新的 MakerDAO，但他们将失去所有保留在现有 MakerDAO CDP 中的 ETH 和其他资产。因此，虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案，但许多应用层项目，尤其是 DeFi，不可避免地需要某种形式的正式链上治理。

DeGov 很危险

然而，目前所有去中心化治理的实例都伴随着巨大的风险。对于我的文章的追随者来说，这个讨论并不新鲜；风险与我在此处、此处和此处讨论的风险大致相同 我所担心的代币投票的问题主要有两类。(i) 即使在没有攻击者的情况下，不平等和激励错位，以及 (ii) 通过各种形式（通常是模糊的）买票进行的彻底攻击。对于前者，已经有许多建议的缓解措施（如授权），而且还会有更多。但后者是房间里更危险的大象，我认为在目前的代币投票范式中没有解决方案。

即使没有攻击者的情况下，代币投票也存在问题

即使没有明确的攻击者，代币投票的问题也越来越容易被理解（例如，参见 DappRadar 和 Monday Capital 最近的一篇文章），并且主要分为几类：

一小群富有的参与者（」鲸鱼」）比一大群小股东更善于成功执行决策。这是因为小股东之间的公地悲剧：每个小股东对结果只有微不足道的影响，因此他们没有动力真正的投票，而不不偷懒。即使投票有奖励，也没有什么动力去研究和仔细思考他们所投的是什么。

代币投票治理赋予了代币持有者和代币持有者的利益，而牺牲了社区的其他部分：协议社区是由不同的选民组成的，他们有许多不同的价值观、愿景和目标。然而，代币投票只给了一个选区（代币持有者，尤其是富有的选区）权力，并导致过度重视使代币价格上升的目标，即使这涉及到有害的租金提取。

利益冲突问题：将投票权交给一个选区（持币者），尤其是过度授权给该选区的富人，有可能过度暴露于该特定精英阶层的利益冲突（例如，投资基金或同时持有与该平台互动的其他 DeFi 平台的代币的持有人）。

为解决第一个问题（因此也减轻了第三个问题），有一种主要的策略正在尝试：委托。小股东不必亲自判断每个决定；相反，他们可以委托给他们信任的社区成员。这是一个光荣而值得的实验；我们将看到授权能多好地缓解问题。

我在 Gitcoin DAO 中的投票委托页面

另一方面，持币人中心主义的问题明显更具挑战性：持币人中心主义在一个系统中是固有的，持币人投票是唯一的输入。认为持币人中心主义是一个预期的目标，而不是一个错误，这种误解已经造成了混乱和伤害；一篇（非常出色的）讨论区块链公共产品的文章抱怨道：

如果所有权集中在少数鲸鱼手中，加密协议是否可以被视为公共产品？通俗地说，这些市场原语有时被描述为「公共基础设施」，但如果区块链今天服务于「公共」，它主要是一种去中心化金融。从根本上说，这些代币持有者只有一个共同关注的对象：价格。

这种抱怨是错误的；区块链服务于比 DeFi 代币持有者更丰富、更广泛的公众。但是我们的代币投票驱动的治理系统完全无法捕捉到这一点，而且如果不对范式进行更根本的改变，似乎很难建立一个能够捕捉到这种丰富性的治理系统。

代币投票对攻击者的深层本质漏洞：买票

一旦确定试图颠覆系统的攻击者进入画面，问题就会变得更糟。代币投票的基本漏洞很容易理解。带有代币投票的协议中的代币是组合成单一资产的两种权利的捆绑：(i) 协议收入中的某种经济利益和 (ii) 参与治理的权利。这种组合是故意的：目标是使权力和责任保持一致。但实际上，这两种权利很容易相互分离。想象一个简单的包装合约，它有这些规则：如果你将 1 XYZ 存入合约，你会得到 1 WXYZ。 WXYZ 可以随时转换回 XYZ，此外它还可以累积红利。红利从何而来？好吧，虽然 XYZ 代币在封装合约中，但封装合约可以在治理中随意使用它们（提出提案、对提案进行投票等）。封装合约只是简单地每天拍卖这个权利，并将利润分配给原始存款人。

作为 XYZ 持有者，将您的代币存入合约是否符合您的利益？如果你是一个非常大的持有者，它可能不是；你喜欢红利，但你害怕一个错位的行为者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者，那么它非常适合。如果封装合约拍卖的治理权被攻击者买走，您个人只会遭受您的代币造成的不良治理决策成本的一小部分，但您个人将获得红利的全部收益治理权拍卖。这种情况是一个典型的公地悲剧。

假设攻击者做出的决定破坏了 DAO，从而使攻击者受益。决策成功对每个参与者的伤害是？单次投票倾斜结果的可能性是？假设攻击者被贿赂了 ？博弈图看起来是这样的：

· 决策有益于您，有益于他人

· 接受攻击者的贿赂

· 拒绝贿赂，投票给你的良心

如果 ，您倾向于接受贿赂，但只要 ，接受贿赂对集体有害。因此，如果（通常远低于 ），攻击者有机会贿赂用户采取净负面决策，对每个用户的补偿远低于他们所遭受的伤害。

对选民贿赂恐惧的一种自然批评是：选民真的会如此不道德以致接受如此明显的贿赂吗？普通的 DAO 代币持有者是一个狂热者，他们很难对如此自私和公然出售项目的行为感到满意。但这忽略了一个问题，那就是有更多混淆视听的方法来区分利润分享权和治理权，这些方法不需要像封装合约那样明确的东西。

最简单的例子是从 defi 借贷平台（例如 Compound）借款。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP（「抵押债务头寸」）中，一旦他们这样做，CDP 合约允许他们借入 一定数量的 XYZ，例如。他们投入的 ETH 的一半价值。然后他们可以用这个 XYZ 做任何他们想做的事情。为了收回他们的 ETH，他们最终需要偿还他们借来的 XYZ 加上利息。

请注意，在整个过程中，借款人对 XYZ 没有财务风险。也就是说，如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策，他们不会因此损失一分钱。他们持有的 XYZ 是 XYZ，无论如何他们最终都必须偿还给 CDP，因此他们不在乎其价值是上涨还是下跌。因此我们实现了分拆：借款人拥有治理权而没有经济利益，贷款人拥有经济利益而没有治理权。一些 DAO 协议正在使用诸如时间锁之类的技术来限制人们参与此类攻击的能力，但最终时间锁是可以绕过的；就安全系统而言，时间锁更像是报纸网站上的付费墙，而不是锁和钥匙。

还有将利润分享权与治理权分开的中心化机制。最值得注意的是，当用户将他们的代币存入一个（中心化的）交易所时，交易所持有这些代币的全部保管权，并且交易所有能力使用这些代币进行投票。这不是单纯的理论；有证据表明交易所在几个 DPoS 系统中使用他们用户的代币。最近最明显的例子是对 Steem 的敌意收购企图，交易所使用他们客户的代币来投票支持一些有助于巩固对 Steem 网络的收购的提案，而社区的大多数人都强烈反对。这种情况只有通过彻底的大规模出逃来解决，社区中的大部分人都搬到了另一条名为 Hive 的链上。

目前，许多采用代币投票的区块链和 DAO 已经设法避免了这些最严重形式的攻击。偶尔也有试图贿赂的迹象。

但是，尽管存在所有这些重要问题，但简单的经济推理表明，直接贿赂选民的例子却少得多，包括利用金融市场等模糊的形式。要问的问题是：为什么还没有发生更多的直接攻击？

我的回答是，「为什么还没有 」 依赖于三个偶然因素，这些因素今天是真实的，但随着时间的推移，可能会越来越不真实。

社区精神来自拥有紧密联系的社区，每个人都在共同的部落和使命中感受到友情。

代币持有者的财富高度集中和协调；大持有者具有更高的影响结果的能力，并且对彼此之间的长期关系进行投资（既是风投的「老男孩俱乐部」，也有许多其他同样强大但低调的富有代币持有者群体），并且这使他们更难贿赂。

治理代币的金融市场不成熟：用于制作封装代币的现成工具以概念验证的形式存在但未广泛使用，存在贿赂合约但同样不成熟，贷款市场的流动性低。

当一小部分协调的用户持有超过 50％ 的代币，并且他们和其他用户都投资于一个紧密的社区，并且很少有代币以合理的利率被借出，上述所有的贿赂攻击也许仍然是理论上的。但是随着时间的推移，无论我们做什么，（1）和（3）将不可避免地变得不那么真实，如果我们希望 DAO 变得更加公平，（2）必须变得不那么真实。当这些变化发生时，DAO 还能保持安全吗？如果代币投票不能持续地抵御攻击，那么什么可以？

解决方案 1：有限治理

对上述问题的一个可能的缓解措施，也是一个已经在不同程度上被尝试的措施，就是对代币驱动的治理所能做的事情进行限制。有几种方法可以做到这一点。

仅对应用程序使用链上治理，而不是基础层：以太坊已经这样做了，因为协议本身是通过链下治理来治理的，而在此之上的 DAO 和其他应用程序有时（但并不总是）通过链上治理来治理——链式治理。

将治理限制为固定参数选择：Uniswap 这样做，因为它只允许治理影响 (i) 代币分配和 (ii) Uniswap 交易所的 0.05％ 费用。另一个很好的例子是 RAI 的「非治理」路线图， 随着时间的推移，治理对越来越少的功能有控制权。

增加时间延迟：在时间 T 做出的治理决定只在例如 T＋90 天时生效。这允许认为该决定不可接受的用户和应用程序转移到另一个应用程序（可能是一个分叉）。Compound 在它的治理中有一个时间延迟机制，但原则上，延迟可以（最终应该）更长。

对分叉更友好：让用户更容易快速协调和执行分叉。这使得捕获治理的回报更小。