Vitalik：代币投票不应是治理权力下放的唯一合法形式

作者 | 胡韬

过去一年，区块链领域的一个重要趋势是从专注于DeFi转变为也考虑去中心化治理 (DeGov)。虽然2020年被广泛誉为DeFi之年，但自那以来，构成这一趋势的DeFi项目的复杂性和能力不断增长，导致人们对去中心化治理以应对这种复杂性的兴趣与日俱增。以太坊内部有很多例子，YFI、Compound、Synthetix、Uniswap、Gitcoin等都已经推出、甚至开始使用某种DAO。

不可否认，某种形式的去中心化治理越来越受欢迎，人们对它感兴趣是有重要原因的。但了解此类计划的风险也很重要，因为对 Steem 的恶意收购以及随后对 Hive 的大规模外流就清楚地表明了这一点。

在某些情况下，去中心化治理既必要又危险，原因我将在本文中介绍。我们如何在最大限度地降低风险的同时获得 DeGov 的好处？我将论证答案的一个关键部分：我们需要超越现有形式的代币投票。

01 DeGov是必要的

自1996 年《网络空间独立宣言》发布以来，在所谓的密码朋克意识形态中一直存在着一个尚未解决的关键矛盾。一方面，密码朋克价值观都是关于使用密码学将胁迫降至最低，并最大限度地提高当时主要的非强制性协调机制的效率和覆盖范围：私有财产和市场。

另一方面，私有财产和市场的经济逻辑针对可以 「 分解 」 为重复的一对一互动的活动进行了优化，而通过不可减少的一对多互动生产和消费艺术、文档、科学和代码的信息圈则正好相反。

这种环境有两个固有的关键问题需要解决：

资助公共产品：对社区中广泛且没有选择性的人群有价值但通常没有商业模式的项目（例如，第 1 层和第 2 层协议研究、客户端开发、文档......)提供资助？

协议维护和升级：协议如何升级，对协议中长期不稳定的部分（例如安全资产列表、价格预言机来源、多方计算密钥持有者）进行定期维护和调整操作，如何达成一致？

早期的区块链项目在很大程度上忽视了这两个挑战，假装唯一重要的公共产品是网络安全，这可以通过永久固定的单一算法实现，并通过固定的工作证明奖励来支付。

融资方面的这种情况最初是可能的，因为比特币价格在2010-13年出现极端上涨，然后是2014-17年的ICO热潮，以及同时发生的2014-17年的第二次加密货币泡沫，所有这些都让生态系统足够富裕，可以暂时掩盖大规模市场的低效。

对公共资源的长期治理也同样被忽视：比特币走的是极端最小化的道路，专注于提供固定供应货币，并确保对闪电网络等第二层支付系统的支持。以太坊继续大体上和谐地发展，因为其先前存在的路线图具有很强的合法性，而且还不存在需要更多东西的复杂应用层项目。

但现在，这种运气正日益耗尽，在避免中心化风险的同时，协调协议维护和升级，以及为文档、研发提供资金的挑战摆在了首位。

02 DeGov 需要为公共产品提供资金

有必要退后一步，看看目前情况的荒谬。来自以太坊的每日挖矿发行奖励约为 13500 ETH，即每天约 4000 万美元。交易费用同样高，非EIP-1559燃烧部分每天仍在 1500 ETH(约合450万美元)左右。因此，每年有数十亿美元用于网络安全。

那么，以太坊基金会的预算是多少呢？每年大约3000万至6000万美元。有非以太坊基金会参与者(例如Consensys)对发展作出贡献，但它们的规模并不大。比特币的情况也类似，投入非安全公共产品的资金或许更少。

这是图表中的情况：

在以太坊生态系统中，可以证明这种差异无关紧要。每年数千万美元 「 足以 」 进行所需的研发，增加更多的资金并不一定能改善情况，因此建立协议内开发人员资金对平台可信中立性的风险超过了收益。但在许多较小的生态系统中，无论是以太坊内的生态系统还是完全独立的区块链，如 BCH 和 Zcash，同样的争论正在酝酿之中，在这些较小的规模上，不平衡会产生很大的不同。

再进入 DAO 领域。从第 1 天开始作为纯DAO 启动的项目可以实现以前无法结合的两个属性的组合：(i) 开发者资金充足，以及 (ii) 可靠的资金中立性（令人垂涎的 「 公平发行 」 ）。

 

当然，很难让发行完全公平，信息不对称带来的不公平往往比公开预挖带来的不公平更糟糕（考虑到到2010年底比特币已经发放了四分之一的供应量，几乎没有人有机会听说它，比特币真的是一个公平的发行吗？）。但即便如此，从第一天起对公共产品的协议内补偿似乎是朝着获得充足且更可信的中立开发商资金迈出的重要一步。

03 DeGov 需要进行协议维护和升级

除了公共物品资金，另一个同样重要的需要治理的问题是协议维护和升级。虽然我主张尽量减少所有非自动参数调整（请参阅下面的 「 有限治理 」 部分）并且我是RAI 的 「 非治理 」 策略的粉丝，但有时治理是不可避免的。

价格预言机输入必须来自某个地方，有时某个地方需要改变。在协议 「 僵化 」 为最终形式之前，必须以某种方式协调改进。

如果美元崩溃，RAI 不得不争先恐后地创建和维护自己的去中心化 CPI 指数，以使其稳定币保持稳定和相关性，会发生什么？在这里，DeGov 也是必要的，因此完全避免它不是一个可行的解决方案。

一个重要的区别是链下治理是否可行。长期以来，我一直是尽可能地支持链下治理的粉丝。 事实上，对于底层区块链，链下治理绝对是可能的。但是对于应用层项目，尤其是 DeFi 项目，我们遇到的问题是应用层智能合约系统往往直接控制外部资产，而且这种控制无法分叉。

如果 Tezos 的链上治理被攻击者捕获，社区可以硬分叉，而不会造成任何高损失。如果 MakerDAO 的链上治理被攻击者捕获，社区绝对可以启动一个新的 MakerDAO，但他们将失去所有在现有 MakerDAO CDP 中的 ETH 和其他资产。

因此，虽然链下治理对于基础层和一些应用层项目来说是一个很好的解决方案，但许多应用层项目，尤其是 DeFi，不可避免地需要某种形式的正式链上治理。

04 DeGov 很危险

然而，目前所有去中心化治理的实例都伴随着巨大的风险。对于我的文章的追随者来说，这个讨论并不新鲜。

我担心代币投票有两种主要类型的问题：（i）即使没有攻击者也存在不平等和激励失衡，以及（ii）通过各种形式（通常是混淆的）购买票数进行彻底攻击。对于前者，已经有很多提议的缓解措施（例如委托投票），而且还会有更多。但后者是房间里更危险的大象，我认为在当前的代币投票范式中没有解决方案。

即使没有明确的攻击者，代币投票的问题也越来越容易被理解，并且主要分为几类：

一小群富有的参与者比大群的小型持有者更擅长成功地执行决策。这是因为小型持有者的公地悲剧：每个小型持有者对结果的影响都微乎其微，所以他们几乎没有动力不偷懒去实际投票。即使投票有奖励，也没有什么动力去研究和仔细考虑他们投票的目的。

代币投票治理以牺牲社区其他部分为代价，赋予代币持有者利益：协议社区由具有许多不同价值观、愿景和目标的不同选区组成。然而，代币投票只赋予一个选区（代币持有者，尤其是富人）权力，并导致高估使代币价格上涨的目标，即使这涉及有害的权力寻租行为。

利益冲突问题：将投票权授予一个选区（代币持有者），尤其是在该选区中过度授权富有的参与者，有可能过度暴露于该特定精英内部的利益冲突(例如，还持有与相关平台互动的其他DeFi平台代币的投资基金或持有者)。

有一种主要类型的策略正在尝试解决第一个问题（因此也减轻第三个问题）：委托投票。小型持有者不必亲自判断每个决定；相反，他们可以委托给他们信任的社区成员。这是一个光荣而有价值的实验；我们将看到委托投票可以如何有效地缓解这个问题。

Vitalik的Gitcoin页面

另一方面，代币持有者中心化的问题则更具挑战性：代币持有者中心化本质上融入了一个系统，在这个系统中，代币持有者投票是唯一的输入。认为代币持有者中心化是一个既定目标，而不是一个漏洞的错误认识，已经造成了混乱和伤害。一篇讨论区块链公共产品的文章抱怨道：

如果所有权集中在少数鲸鱼手中，加密协议是否可以被视为公共产品？通俗地说，这些市场原语有时被描述为 「 公共基础设施 」 ，但如果区块链今天服务于 「 公共 」 ，它主要是一种去中心化金融。从根本上说，这些代币持有者只有一个共同关注的对象：价格。

这种抱怨是错误的。区块链服务于比 DeFi 代币持有者更丰富、更广泛的公众。但是我们的代币驱动的治理系统完全无法捕捉到这一点，而且如果不对范式进行更根本的改变，似乎很难建立一个能够捕捉到这种丰富性的治理系统。

05 代币投票的深层基础漏洞：投票贿赂

一旦确定试图颠覆系统的攻击者进入画面，问题就会变得更糟。代币投票的基本漏洞很容易理解。 带有代币投票的协议中的代币是组合成单一资产的两种权利的捆绑：(i) 协议收入中的某种经济利益和 (ii) 参与治理的权利。 这种组合是故意的：目标是使权力和责任保持一致。但实际上，这两种权利很容易相互分离。

想象一个简单的包装合约，它有这些规则：如果你将 1 XYZ 存入合约，你会得到 1 WXYZ。WXYZ 可以随时转换回 XYZ，此外它还可以产生红利。红利从何而来？好吧，虽然 XYZ 代币在包装器合约中，但包装器合约可以在治理中随意使用它们（提出提案、对提案进行投票等）。包装器合同只是简单地每天拍卖这个权利，并将利润分配给原始存款人。

 

作为 XYZ 持有者，将代币存入合约是否符合你的利益？如果你是一个非常大的持有者，它可能不是。你喜欢红利，但你害怕一个错位的参与者可能会用你出售的治理权力做些什么。但如果你是一个较小的持有者，那么它非常适合。如果包装器合约拍卖的治理权被攻击者买走，你个人只会遭受你的代币造成的不良治理决策成本的一小部分，但你个人将获得红利的全部收益治理权拍卖。这种情况是典型的公地悲剧。

假设攻击者做出的决定破坏了 DAO，从而使攻击者受益。决策成功对每个参与者的伤害是D，单次投票倾斜结果的机会是P。假设攻击者向B行贿，游戏图是这样的：

 

如果B﹥D×p，你倾向于接受贿赂，但只要B﹤1000×D×p，接受贿赂是集体有害的。因此，如果p﹤1（通常远低于1），则攻击者有机会贿赂用户采用网络负面决策，从而对每个用户的补偿比他们遭受的伤害少得多。

对选民贿赂恐惧的一种自然批评是：选民真的会如此不道德以致接受如此明显的贿赂吗？普通的 DAO 代币持有者是一个狂热者，他们很难对如此自私和公然出售项目感到满意。但这遗漏的是，有更多模糊的方法可以将利润分享权与治理权区分开来，不需要任何像包装器合同那样明确的东西。

最简单的例子是从 DeFi 借贷平台（例如Compound）借款。已经持有 ETH 的人可以将他们的 ETH 锁定在这些平台之一的 CDP（ 「 抵押债务头寸”）中，一旦他们这样做，CDP 合约允许他们借入 XYZ 的数量，例如他们投入的 ETH 价值的一半，然后他们可以用这个 XYZ 做任何他们想做的事情。为了收回他们的 ETH，他们最终需要偿还他们借来的 XYZ 加上利息。

 

请注意，在整个过程中，借款人没有对 XYZ 的财务敞口。也就是说，如果他们使用他们的 XYZ 投票支持破坏 XYZ 价值的治理决策，他们不会因此损失一分钱。他们持有的 XYZ 是 XYZ，无论如何他们最终都必须偿还给 CDP，因此他们不在乎其价值是上涨还是下跌。

这样我们就实现了分拆：借款人有治理权而没有经济利益，贷款人有经济利益而没有治理权。一些 DAO 协议正在使用诸如时间锁之类的技术来限制人们参与此类攻击的能力，但最终时间锁是可以绕过的。就安全系统而言，时间锁更像是报纸网站上的付费墙，而不是锁和钥匙。

还有将利润分享权与治理权分开的集中机制。最值得注意的是，当用户将他们的代币存入（中心化）交易所时，交易所完全保管这些代币，并且交易所有能力使用这些代币进行投票。

这不仅仅是理论。有证据表明交易所在多个 DPoS 系统中使用用户的代币进行交易。近期最显着的例子是企图恶意收购 Steem，交易所使用客户的代币投票支持一些提案，这些提案有助于巩固对 Steem 网络的收购，但社区中的大多数人强烈反对。这种情况只能通过彻底的大规模外流来解决，其中很大一部分社区转移到了一个名为Hive的不同链。

目前，许多采用代币投票的区块链和 DAO 已经设法以最严重的形式避免了这些攻击。偶尔有企图贿赂的迹象：

 

但是，尽管存在所有这些重要问题，但简单的经济推理表明，直接贿赂选民的例子却少得多，包括使用金融市场等混淆形式。自然要问的问题是：为什么还没有发生更多的直接攻击？

我的回答是， 「 为什么还没有 」 依赖于三个在今天是正确的偶然因素，但随着时间的推移可能变得不那么正确：

1）社区精神来自拥有紧密联系的社区，每个人都在共同的部落和使命中感受到友情。

2）代币持有者的财富高度集中和协调；大持有者具有更高的影响结果的能力，并且对彼此之间的长期关系进行投资（既是风投的 「 老男孩俱乐部 」 ，也有许多其他同样强大但低调的富有代币持有者群体），并且这使他们更难受贿。

3）治理代币的金融市场不成熟：用于制作包装代币的现成工具以概念验证形式存在但未广泛使用，存在贿赂合同但同样不成熟，贷款市场的流动性低。

当一小群协调的用户持有超过 50% 的代币，并且他们和其他人都投资于一个紧密结合的社区，并且很少有代币以合理的利率被借出时，上述所有贿赂攻击都可能保持理论可能。

但随着时间的推移，无论我们做什么，（1）和（3）都将不可避免地变得不那么真实，如果我们希望 DAO 变得更加公平，那么（2）必须变得不那么真实。当这些变化发生时，DAO 会保持安全吗？如果代币投票不能持续抵抗攻击，那么什么可以？

06 解决方案1：有限治理

对上述问题的一种可能的缓解措施，并且已经在不同程度上尝试了一种解决方案，那就是限制代币驱动的治理可以做什么。有几种方法可以做到这一点：

1）仅对应用程序使用链上治理，而不是基础层：以太坊已经这样做了，因为协议本身是通过链下治理进行治理的，而在此之上的 DAO 和其他应用程序有时（但并非总是）通过链上治理进行治理。

2）将治理限制为固定参数选择：Uniswap 这样做，因为它只允许治理影响代币分配和该交易所的 0.05% 费用。另一个很好的例子是RAI 的 「 非治理 」 路线图，随着时间的推移，治理可以控制越来越少的功能。

3）添加时间延迟：在时间 T 做出的治理决策仅在例如生效。T + 90 天。这允许认为决定不可接受的用户和应用程序转移到另一个应用程序（可能是一个分支）。Compound在其治理中具有时间延迟机制，但原则上延迟可以（并且最终应该）更长。

4）对分叉更友好：让用户更容易快速协调和执行分叉。这使得捕获治理的回报更小。

但有限治理本身并不是一个可以接受的解决方案。最需要治理的领域（例如公共物品的资金分配）本身就是最容易受到攻击的领域。公共物品基金很容易受到攻击，因为攻击者可以通过一种非常直接的方式从错误的决策中获利：他们可以尝试推动一个错误的决策，从而将资金发送给自己。因此，我们还需要技术来改善治理本身......

07 解决方案2：非代币驱动的治理

第二种方法是使用非代币驱动的治理形式。但是，如果代币不能决定一个账户在治理中的权重，那又是什么呢？有两种自然选择：

1） 人格证明系统： 验证帐户对应于唯一个人的系统，以便治理可以为每个人分配一票。这里对于一些技术审查正在开发中，ProofOfHumanity和BrightID两个项目正在尝试实现这一点。

2） 参与证明： 系统证明某个帐户对应于参加过某个活动、通过了一些教育培训或在生态系统中进行了一些有用工作的人。请参阅POAP以了解如何实现这一点。

也有混合的可能性：一个例子是二次方投票，这使得单个选民的权力与他们做出决定的经济资源的平方根成正比。通过将他们的资源分配到多个身份来防止人们玩弄系统需要证明人格，而仍然存在的财务部分允许参与者可信地表明他们对某个问题的关心程度以及他们对生态系统的关心程度。Gitcoin 二次方融资是二次方投票的一种形式，二次方投票 DAO正在构建中。

参与证明机制不太为人所知。关键的挑战是，确定参与程度本身需要非常强大的治理结构。最简单的解决方案可能是通过精心挑选的 10-100 名早期贡献者来引导系统，然后随着第 N 轮的选定参与者确定第 N+1 轮的参与标准，随着时间的推移逐渐去中心化。分叉的可能性有助于提供一条从治理脱轨中恢复的途径，并提供一种激励措施。

人格证明和参与证明都需要某种形式的反勾结，以确保用于衡量投票权的非货币资源仍然是非金融资源，而不是其本身最终进入智能合约，将治理权出售给出价最高的人。

07 解决方案3：游戏中的皮肤

第三种方法是通过改变投票本身的规则来打破公地悲剧。代币投票失败是因为虽然选民集体对他们的决定负责（如果每个人都投票支持一个糟糕的决定，每个人的代币都会降为零），但每个选民都不是单独负责的（如果一个糟糕的决定发生，支持它的人不会比那些人遭受更多的痛苦）。 我们能否建立一个改变这种动态的投票系统，让选民个人对他们的决定负责，而不仅仅是集体？

如果分叉是按照 Hive 从 Steem 分叉的方式完成的，分叉友好性可以说是一种游戏策略。如果破坏性的治理决策成功并且协议内部不再受到反对，用户可以自行决定进行分叉。此外，在那个分叉中，投票支持错误决定的代币可以被销毁。

这听起来很苛刻，甚至可能感觉像是违反了一个隐含的规范，即在分叉代币时 「 分布式账本的不变性 」 应该保持神圣不可侵犯。但从不同的角度来看，这个想法似乎更合理。我们保持强大防火墙的想法，其中个人代币余额预计不会受到侵犯，但仅将这种保护应用于不参与治理的代币。如果你参与治理，即使是通过将代币放入包装机制间接参与，那么你可能要为自己的行为成本负责。

这产生了个人责任：如果发生攻击，并且你的代币投票支持该攻击，那么你的代币将被销毁。如果你的代币没有投票支持攻击，则你的代币是安全的。

责任向上传播：如果你将代币放入包装器合约中，并且包装器合约投票支持攻击，包装器合约的余额将被清除，因此你将丢失代币。如果攻击者从 DeFi借贷平台借用 XYZ，当平台分叉时，任何借出 XYZ 的人都会失败（请注意，这使得借出治理令牌通常非常危险；这是预期的结果）。

但以上仅适用于防止真正极端的决定。小规模抢劫呢？不公平地有利于攻击者操纵治理的经济性，但还不够严重到造成毁灭性的破坏？那么，在根本没有任何攻击者的情况下，简单的懒惰，以及代币治理没有选择压力来支持更高质量的意见这一事实呢？

此类问题最流行的解决方案是futarchy，由 Robin Hanson 在 2000 年代初推出。投票变成赌注：投赞成票，你就押注该提案会带来好的结果，而投票反对该提案，你押注该提案会导致糟糕的结果。Futarchy 引入个人责任的原因很明显： 如果你押得好，你会得到更多的代币，如果你押得不好，你就会失去你的代币。

 

事实证明， 「 纯 」 futarchy 很难引入，因为在实践中目标函数很难定义（人们想要的不仅仅是代币价格！），但各种混合形式的 futarchy 可能很有效。混合 futarchy 的例子包括：

1）投票作为购买订单： 投票赞成一项提案需要制定一个可执行的购买订单，以比代币当前价格略低的价格购买额外的代币。这确保了如果一个糟糕的决定成功了，那些支持它的人可能会被迫买断他们的对手，但它也确保了在更 「 正常 」 的决定中，如果他们愿意的话，代币持有者可以根据非价格标准做出更多的决定。

2）追溯公共物品资助： 可参考Optimism团队的帖子。公共物品在已经取得成果后，通过某种投票机制追溯资助。用户可以购买项目代币来资助他们的项目，同时表明对它的信心。如果该项目被认为实现了预期目标，则项目代币的购买者将获得一份奖励。

3）升级游戏： 看Augur和Kleros。较低级别决策的价值一致受到诉诸更高努力但更高准确性的较高级别过程的可能性的激励。投票同意最终决定的选民将获得奖励。

在后两种情况下，混合 futarchy 依赖于某种形式的非 futarchy 治理来衡量目标函数或作为最后的争议层。然而，这种非未来治理有几个直接使用时没有的优点：（i）它稍后激活，因此可以访问更多信息，（ii）它使用频率较低，因此可以花费更少的精力，以及(iii) 每次使用它都会产生更大的后果，因此仅依靠分叉来调整最后一层的激励措施更容易接受。

08 混合解决方案

还有一些解决方案结合了上述技术的元素。一些可能的例子：

1） 时间延迟加上选举产生的专家治理： 这是一种可能的解决方案，可以解决这个古老的难题，即如何在不冒治理被夺取的风险的情况下，制作一种加密货币担保的稳定投资，其锁定的资金可以超过获利回代币的价值。

稳定币使用由N个(例如，N=13)当选的提供商提交的值的中位数构建的价格预言，持币者通过代币投票选择供应商，但它每周只能淘汰一个供应商。如果用户注意到代币投票带来了不值得信任的价格提供商，他们在稳定币交易中断前有N/2周的时间切换到不同的价格提供商。

2） Futarchy + 反勾结 = 声誉： 用户以 「 声誉 」 投票，一种不能转让的代币。如果他们的决定导致预期的结果，用户会获得更多声誉，如果他们的决定导致不希望的结果，则失去声誉。

3） 松散耦合的代币投票： 代币投票不直接实施提议的变更，而只是为了公开其结果，为链下治理建立合法性以实施该变更。这可以提供代币投票的好处，同时降低风险，因为如果有证据表明代币投票被贿赂或以其他方式被操纵，代币投票的合法性就会自动下降。

但这些都只是几个可能的例子。在研究和开发非代币驱动的治理算法方面还有很多工作要做。 今天可以做的最重要的事情是摆脱代币投票是治理权力下放的唯一合法形式的想法。

代币投票很有吸引力，因为它让人感觉中立：任何人都可以在 Uniswap 上获得一些治理代币。然而在实践中，代币投票可能只是在今天看起来很安全，因为它的中立性存在缺陷（即大部分供应量掌握在一个紧密协调的内部人士集团手中）。

我们应该对当前形式的代币投票是 「 安全默认值 」 的想法保持警惕。关于它们如何在更大的经济压力和成熟的生态系统和金融市场的条件下运作，还有很多有待观察，现在是开始同时试验替代方案的时候了。