EOSIO 1.0终发布，V神如何评论之后的链上治理挑战？

北京时间6月2日，EOS开发团队 Block.one 发布了 EOS 1.0 版本的开源软件代码，也意味着 Block.one 对 EOS 发布的影响到此为止，之后 EOS 的发展将基于整个社区去中心化的共识。

软件代码的公布并不代表主网的上线，EOS 主网上线还需要经历验证映射、测试、超级节点投票和启动阶段，只有完成这四个阶段后才宣告 EOS 公链正式运行。

而上述阶段的核心便是链上投票治理，以太坊创始人 Vitalik 在去年12月写过一篇文章，详细阐述了链上持币投票的优缺点及整个区块链治理模式的挑战。

在Vitalik 看来，人们高估了诸如EOS等链上持币投票的治理模式，区块链治理是一个复杂的问题，面临投票参与度低、博弈论攻击、贿票、非代表性和中心化等问题。

持币投票作为治理模式的一种有其优点，但是无法解决上述所有治理问题。形成一个完善的治理模式既需要“硬耦合”的链上持币投票，也需要通过协同建立“松散耦合”的规范和共识。

在EOS主网即将启动之际，我们带各位重读V神的文章，以便在这个史上最大的ICO（超过40亿美元）身上观察这些问题的演进，以及为之后的去中心化系统设计提供经验。

全文翻译如下：

BY Vitalik Buterin

原文链接：https://vitalik.ca/general/2017/12/17/voting.html

翻译&校对：Mikko & 潘超

在我看来，人们高估了“紧密耦合”的链上投票体系, 比特币、比特币现金、以太坊、Zcash和类似系统所实行的“非正式治理”的现状并没有人们所认为得那么差，那些认为区块链的目的是完全消除人类软直觉和感受，以实现完全由算法治理 （一味追求“完全地”）的想法 是绝对疯狂的。由Carbonvotes和类似的系统所实施的松散耦合投票被低估了，更不用说在考虑区块链治理时，应该使用什么框架表述这一首要问题。（参考: https://medium.com/@Vlad_Zamfir/against-on-chain-governance-a4ceacd040ca）

在区块链治理问题上，最近再次兴起了这样的有趣趋势 - 链上持币人投票作为多用途的决策机制。持币人投票有时被用于决定谁来经营网络的超级节点（比如EOS的DPOS，NEO，Lisk以及其他一些系统），有时则对协议参数投票（比如以太坊的燃料上限(Gas limit)）， 有时对直接实施大规模地协议升级投票（例如Tezos）。在所有这些情况下，选票都是自动的——协议本身包含了更改验证者或者更新其自身的规则所需的所有逻辑，并自动响应投票结果。

人们通常吹捧明确的链上治理具有几个主要优势。首先，与比特币所采用的高度保守的哲学不同，它可以迅速发展，接受需要的技术改进。其二，通过建立一个明确的去中心化框架, 它规避了非正式治理的一些缺陷——被视为过于不稳定、容易出现链的分裂、或容易变得过于中心化，最后这一点与1972年的著名论文《无结构的暴政》不谋而合。

此处引用Tezos的文档：

尽管所有区块链都提供经济激励，以维持对其账本的共识，但仍没有区块链拥有一个强健的链上机制，可以无缝地修正治理其协议和奖励协议发展的规则。因此，第一代区块链实际上给与中心化的核心开发团队或矿工制定机制设计的权力。

此外：

是的，但是你为什么要让 （少数群体的链分裂）变得更容易呢？分裂会破坏网络效应。

用于选择验证者的链上治理具备另一好处，它可以让要求验证者提供高计算性能的网络避免经济中心化的风险和其他出现在公链上的陷阱（比如验证者困境）。

总之，到目前为止链上治理似乎是不错的权宜之计，那么它的问题在哪里呢？

什么是区块链治理？

首先，我们需要更明确“区块链治理”的过程。 一般来说，有两种非正式的治理模式，我将称之为“决策函数”的治理视角和“协同”的治理视角。 “决策函数”视角将治理视为函数 f(x1, x2 ... xn) -> y，输入是各种合法的利益相关者（参议员，总统，财产所有者，股东，选民等）的意愿，而输出则是决策。

决策函数的视角作为一种粗略的估算是相当有用的，但它很容易分崩离析：人们总是可以并且确实违反法律并逃避制裁，有时候规则是模棱两可的，有时则会发生革命 - 至少有些时候这三种情况的发生实际是一件好事。而且，系统内部的行为往往受到系统外行动的可能性所激励的影响，而这有时候也是一件好事。

相反，协同的治理视角将治理视为分层存在的事物。在现实世界中，底层是物理学本身的规律（就像地缘政治现实主义者口中的枪炮与炸药），而在区块链空间中我们可以进一步抽象并说它是每个人在他们的能力范围内、作为用户，矿工，利益相关者，验证者或区块链协议成为各种类型代理来运作任何软件的能力。

底层始终是最终的决策层；例如，如果有一天所有的比特币用户醒来后决定修改客户端的源代码，并用一个依特定ERC20代币合约余额的以太坊客户端替换整个代码，那么这意味着该ERC20代币将是比特币。底层的终极治理权无法被终止，但人们在这一层上采取的行动可能受到其上层的影响。

第二层（也是非常重要的）是协调机构。协调机构的目的是创建有关个体如何以及何时应采取行动的重点，以便更好地协同行为。区块链治理和现实生活中都存在很多情况，如果你仅以某种方式单独行事，那么你很可能一无所获（或更糟糕），但如果每个人都一起行动，则可以实现预期的结果。

此图为一个抽象的协同博弈。和其他参与者一起移动选择会有丰厚的回报。

在这些情形下，如果其他人都前进你应该前进，如果其他人都停下你则应该停下。你可以将协同机构想象为挥动绿色和红色的旗帜，分别代表“前进”和“停下”。通过已经形成的文化，每个人（通常）会根据旗帜选择其指示的方式。为什么人们会追从这些旗帜呢？因为其他人都会追从这些旗帜，你有激励和其他人选择相同的决定。

拜占庭的将军命令他的部队前进。这样做的目的不仅仅是为了鼓舞士兵们自己的士气，同时也让士兵们放心其他人都斗志昂扬，并且也会向前冲锋，因此单个士兵不仅仅是独自地自杀式地冲锋。

强断言：这种协同旗帜的概念涵盖了我们所说的“治理”的全部内容；在协同博弈（或者更广泛地说，多均衡博弈）不存在的情况下，治理的概念是没有意义的。

在真实世界中，将军的军令即发挥旗帜的功能，而在区块链世界中，这类旗帜的最简单案例就是告诉人们某种硬分叉是否“将会发生”。。协调机构可以是非常正式的，也可以是非正式的，并且经常提出模棱两可的建议。理想情况下，旗帜应该是红色或绿色，但有时旗帜可能是黄色，甚至全息式的 -对某些参与者呈绿色，对其他参与者呈现黄色或红色。有时候，多个旗帜也会相互冲突。

因此，治理的关键问题变成了：

第一层级应该是什么？也就是说，初始协议本身应该建立哪些特征，以及它是如何影响公式化（比如决策函数）协议改变的能力？以及不同种类的代理以不同的方式行事的权力水平？

第二应该是什么？也就是说，应该鼓励人们关心什么协调机构？

持币投票的历史

以太坊有过持币投票的历史，包括：

● DAO proposal votes: https://daostats.github.io/proposals.html

● The DAO Carbonvote: http://v1.carbonvote.com/

● The EIP 186/649/669 Carbonvote: http://carbonvote.com/

这三个都是松散耦合持币投票的例子，或持币投票作为第二层协调机构的例子。以太坊没有任何紧密耦合持币投票（或者持币投票作为第一层协议内功能）的例子，尽管它确实有紧密耦合的矿工投票的例子：矿工有对燃料上线进行投票的权利。显然，在治理机制领域，紧密耦合投票和松散耦合投票是相互竞争的，因此值得我们剖析：每一个的优缺点是什么？

假设交易成本为零，并且如果（二选一）作为唯一的治理机制使用，则两者显然是等同的。在松散耦合的投票下，如果投票表示应该实施变化X，那么这将作为绿色旗帜鼓励大家下载更新；如果少数人反对，他们就不会下载更新。而在紧密耦合的投票情况下，如果实现了变化X，这一变化会自动启动，如果有少数人想要反对，他们可以安装一个硬分叉更新来取消变化。然而，硬分叉的过程中显然会出现非零的交易成本，，这导致了一些非常重要的差异。

一个十分简单而重要的区别是，紧密耦合的投票使区块链认同大多数成为一种默认选项，，因为少数派需要付出更多的努力去协调一个硬分叉以保持区块链的现有属性。而松散耦合投票是只是一个协调工具，并且仍然要求用户实际下载并运行实现任何给定分叉的软件。但也有很多其他的区别。现在，让我们通过一些反对投票机制的论点，并针对第一层投票和第二层投票给出相应解释。

投票参与度低

迄今为止持币投票机制的主要批评之一是，无论什么投票，参与程度往往很低。DAO Carbonvote 只有4.5％的参与率：

此外，财富分布非常不平等，这两个因素相结合的结果可参照DAO分叉的批评者所作的下图

EIP 186 Carbonvote 总共拥有270万ETH投票。DAO提案的投票也没好到哪去，参与率从未达到10％。以太坊以外的投票也没什么起色；即便在Bitshares这个围绕投票设计核心社会契约的体系中，最高代表的赞成票只有17％的票数，Lisk则是30％，尽管我们稍后会讨论这些系统分别有他们自身的其他问题。

低投票率意味着两件事。第一，投票的结果很难获得合法性，因为这仅仅反映很小一部分人群。第二，对于攻击者而言，只需要很少一部分代币就可以左右投票结果。这个问题无论在紧密耦合还是在松散耦合中都存在。

博弈论攻击

除了受到大部分媒体关注的“The Big Hack （DAO 攻击事件）”之外，DAO还有一些小得多的博弈论范畴内的漏洞；这篇来自HackingDistributed的文章做了很好的总结。但这只是冰山一角。即使投票机制的所有细节都得到了正确实施，投票机制通常也存在很大缺陷：在任何投票中，某个投票人对结果产生影响的可能性都很小，因此，每个选民必须正确投票的动机几乎是微不足道的。如果每个人放置的权益份额都很小，他们正确投票的动机是更加微不足道的。因此，在参与者身上花下的相对较小的贿赂可能足以影响他们的决定，可能会使他们做出与作为一个集体选择相反的事情。

你可能会说，人不是邪恶自私的自身利益最大化者，他们不会接受0.5美元的贿赂并投票支持给Josh arza两千万美元，只是因为上面的计算表明他们影响任何事情的个体机会很小；相反，他们会无私地拒绝做一些邪恶的事情。对这种批评有两个回应。

首先，有办法可以做出一个相当合理的“贿赂”;例如，交易所可以为存款提供利率（或者，甚至更隐晦地使用交易所自己的资金来建立良好的界面和特征），交易所运营商可以使用大量存款进行投票。交易所从混乱中得利，所以他们的动机明显与用户和持币人错位。

其次，也更有说服力的是，在实践中，人们作为加密代币持有者，是追求利润最大化的，并且似乎没有把贿票当作自私邪恶的事情。在“附件A”中，我们可以看到Lisk的情况，代表团似乎已经被明显贿赂持币者投票的两个主要“政党”成功俘获，并且还要求其中的每个成员为所有其他人投票。

这里是LiskElite，共有55名成员（共101名成员）

再来看LiskGDT，有33名成员

附录B中显示一些投票者被支付Ark受贿：

在这里，请注意紧密耦合和松散耦合投票之间存在一个关键区别。在松散的投票中，直接或间接投票贿赂也是可能的，但如果社群同意某些提议或一组投票会构成博弈论层面的攻击，他们可以直接一致同意忽略它。

事实上，这种情况已经发生过 - Carbonvote包含一个与已知交易所地址相对应的地址黑名单，并且这些地址的投票数不计算在内。在紧密耦合的投票中，无法在协议层面创建这样的黑名单，因为同意谁是黑名单的一部分本身就是区块链治理决策。但由于黑名单是社区创建的投票工具的一部分，只会间接影响协议变更，因此 含黑名单的投票工具可能会被社群拒绝。

需要指出的是，这部分内容并不是预测所有紧密耦合的投票系统都会很快地屈服于贿赂攻击。很多项目完全有可能可以生存下去，原因很简单：所有这些项目都有创始人或基金会，拥有很大的预挖规模，他们充当大型的中心化角色，且其利益于平台的成功相符，这些人不容易受贿，并且拥有足够的币，以抵御大多数的贿赂攻击。然而，这种中心化的信任模式尽管在项目早期阶段的某些环境中有用，但它显然是长期不可持续的。

非代表性

反对投票机制的另一个重要反对意见是持币人只是一类用户，并可能有与其他用户相冲突的利益。在像比特币这样的纯加密货币的情况下，价值贮藏的使用（“hodling”）和交易媒介的使用（“购买咖啡”）当然是冲突的，因为价值贮藏注重安全性，而交易媒介强调可用性。在以太坊情况下，冲突更加严重，因为有许多人出于与以太无关的原因而使用以太坊网络（参见：cryptokitties），或者和承载价值的电子资产完全没有关系（请参见：ENS）。

此外，即使持币人是唯一相关的用户类别（可以想象成这个加密货币既定的社会契约唯一目的是成为下一个数字黄金），仍然面临一种挑战，即富有的持币者比其他人的话语权更大，这为持币中心化打开了大门，导致决策的中心化。换句话说......

如果你想了解一个似乎同时具备所有这些缺点的项目，请看： Bitshares is Trying What MemoryCoin Did a Year Ago (to Disastrous Ends) - BTC Geek .（https://btcgeek.com/bitshares-trying-memorycoin-year-ago-disastrous-ends/）

这种批评对于紧密耦合和松散耦合投票都适用；然而，松散耦合的投票更容易妥协处理其非代表性问题，我们将在稍后讨论这一点。

中心化

让我们来看看一个正在发生的实验 - 以太坊对燃料上限的紧密耦合投票。这是过去两年的演变：

您可能会感觉到这张图和另一张你非常熟悉的图表非常相像：

根本上，它们看起来都像是神奇的数字，这些数字是由一群相当中心化的群体坐在房间里创造并反复谈判出来的。第一张图背后的情况是矿工们通常会遵循社区所青睐的方向，而社区通过社会共识来帮助他们实现这一目标，就像那些推动硬分叉的社会共识。（核心开发者支持，Reddit上的赞同；在以太坊上，燃料上限还没有引发很大的争议性需要通过要求持币投票）

因此，我们并不清楚如果投票者不具备技术知识，并且仅仅遵从一个占支配地位的专家团，是否会造成中心化的结果。。这种批评对紧密耦合和松散耦合的投票都适用。

更新：自写这篇文章以来，似乎以太坊的矿工们设法将燃料上限从670万提高到800万，而这甚至没有与核心开发人员或以太坊基金会讨论过。所以（紧密耦合）还是希望的；但这需要大量辛苦的社区建设和其他艰苦的非技术工作才能达到这一点。

数字宪法

一种被认为可以减轻治理算法失控风险的方法是“数字宪法”，它以数学方式指定了协议应具有的所需属性，并且要求任何新的代码更改都附带计算机可验证的证明，证明它们满足这些属性。起初这似乎是一个好主意，但我认为这也值得怀疑。

一般而言，对于协议属性形成一个规范并且服务于一个协同旗帜的想法是非常好的。这使我们能够将我们认为非常重要和有价值的协议的核心属性体现出来，并使其更难以改变。然而，这正是应该在松散耦合（即第二层）中强制执行的事情，而不是紧密耦合（第一层）形式。

基本上任何有意义的规范实际上都很难完整表达；这是价值复杂性问题的一部分。即使对于似乎白纸黑字的2100万的币上限情况也是如此。当然，人们可以添加一行代码，asset otal_supply <= 21000000，并且标注“任何情况下都不要删除这一行”，但有很多迂回的做法可以做同样的事情。例如，可以设想一个软分叉，它增加了一个强制交易费用，这与币上次发送以来的币价值*时间成正比，这相当于滞纳金，即和通货紧缩一样。人们还可以实现另一种货币，称为比伯币(Bjtcoin)，有2100万个新单位，并增加一项功能，如果发送比特币交易，矿工可以拦截并索取比特币，而不是给予收款人比伯币(bjtcoin)；这会迫使比特币和比伯币(Bjtcoin)双向可兑换，将“总供应量”增加到4200万，而不会影响到这代码。更“软性的”规范比如不干预应用程序的状态则更难以执行。

我们希望达成的是，所有违反这些保证的协议变化都应被视为不合法 - 即使获得投票批准，也应该有一个协调机构挥动红旗。我们也希望，如果一个协议变化遵循了字面上的规范但是公然违反了规范的精神，协议变更仍然应该被视为非法。让规范存乎于第二层，即让规范存在于社区人的头脑中而不是在协议的代码中 ，最能实现这一目标。

走向平衡

然而，我也不愿意从另一个角度妄断持币投票或其他明确链上投票方案在治理方面没有任何席位。较好的一个替代方案似乎是核心开发人员的共识，然而如果一个失败的系统模式受到“象牙塔知识分子”的控制，他们更关心抽象哲学，其解决方案只追求技术上的好看而不关注日常的真实问题，如用户体验和交易费用，这在我看来是也是一个严肃的真正威胁。

那么我们该如何解决这个难题呢？首先，我们汲取 SlateStarCodex 在讨论传统政治说的话：

一个入门级的错误是：你看到一些系统的一部分是Moloch(即被失调的特殊利益所控制)，所以你说“好吧，我们用系统的另一部分来控制这一问题。。，并且控制的方式是用红笔注明“不要成为Moloch”“

（“我看到资本主义有时会失调，我们通过把它置于政府的控制之下来解决它，我们将控制政府，只让德高望重的人成为首脑。”）

我不会声称存在很好的替代选择，但有时候适当的选择是新自由主义的 - 找到几个精妙的系统，它们都根据不同的标准进行了优化，这些标准与人类的幸福大致一致，在结构中彼此制衡，希望他们如瑞士奶酪模型一样，在不同的地方出现问题，保留足够的个人自由选择，让人们可以退出任何太可怕的系统，并让文化进化完成剩下的任务。

在区块链治理中，似乎这是唯一的出路。我所倡导的区块链治理方法是“多因素共识”，人们对不同的协调旗帜和不同的机制和群体进行投票，最终的决定取决于所有这些机制的共同结果。这些协调旗帜可能包括：

● 路线图（即项目历史上关于项目进展的前期传播的一系列想法）

● 占主导地位的核心开发团队之间的共识

● 持币人投票

● 用户通过某种类型的防女巫攻击（sybil-resistant）投票系统

● 建立规范（例如，不干涉应用，2100万的币上限）

我认为，持币投票作为决定是否实施某个变更的几个协调机构之一是非常有用的。这是一个不完美和不具代表性的信号，但它是一个防女巫攻击的信号 - 如果你看到一千万ETH投票给出了一个特定的提案，你不能通过简单地说“哦，这只是被雇用的假冒社交媒体帐户的俄罗斯水军” 。

这也是一个与核心开发团队充分分离并可以用以检查分离程度（如果需要）的信号。

但是，正如我上述的一些很好的理由，它不应该成为唯一的协调机构。

支撑这一切的是让区块链变得有趣，且与传统系统的关键区别：架起整个系统的“第一层”是任何协议变更都需要个体用户的同意。如果有人试图以恶意改变强迫他们，个体用户拥有自由和可信威胁以“分叉”应对。（另见：http://vitalik.ca/general/2017/05/08/coordination_problems.html）。

在一些有限的情况下，紧密耦合投票也是凑合的 - 例如，尽管存在缺陷，矿工对燃料上限进行投票的能力是一个在多种场合已被证明非常有益的特征。

与在第一天就强制规定的任何特定燃料上限或区块大小限制最终导致严重问题的风险相比，矿工尝试滥用权力的风险可能会小很多。在这种情况下，让矿工对燃料上限投票是一件好事。

但是，“允许矿工或验证者对需要不时快速改变的几个特定参数进行投票”与授予他们对协议规则的任意控制权，或者允许投票控制验证以及这些更广阔的愿景相去甚远，而这些链上治理在理论上和实践上都更加费解。