原文作者:MIDDLE.X
原文来源:PAKA
Leverage from NFT collectionLeverage V3 by Michaeln
继 Steem 事件之后,今年年初,币圈话题人物孙宇晨(Justin Sun)再度陷入关于治理攻击的指控。作为一名持有 10 亿美元以上加密资产的巨鲸、Tron 公链的创始人,孙宇晨的链上地址被加密侦探们广泛追踪。
据 GFX Labs报告,2022 年 1 月份,链上记录显示,一个疑似属于孙宇晨的地址从 AAVE 借入大量 $MKR,并在社区内提议创建 DAI-TUSD 交易对,支持两者以固定 1:1 汇率兑换。该行为引起注意之后,受到了社区的抵制,该地址最终没有用这些 $MKR 发起提案,而是直接将其归还。3 月份,另一个疑似属于孙宇晨的地址从 Compound 借入大量 $COMP,价值约 1300 万美元,并充入了币安,很快,一个新地址从币安接收到价值约 900 万美元的 $COMP,该地址用这些 $COMP 发起提案,提议在 Compound 上添加 TUSD 作为抵押资产,该提案最终被社区广泛参与的投票否决。
尽管这两次操作都以失败告终,但该事件引发了业内对于 DeFi 治理的探讨。有人认为:巨鲸利用 “钞能力”,直接影响治理决策,是不能接受的,DeFi 的治理也不应沦为金钱政治;也有人认为:疑似孙晨宇地址的行为,完全是按照治理规则进行的,而且巨鲸们动用自身财务资源争夺在 DeFi 中的资产准入资格,有助于拉升治理通证价格,治理通证价格的提升反过来有助于激励更多人和更多资金的参与,何乐而不为?
持后一种的观点的人,以 Curve 协议的流动性激励机制的成功为主要论据。作为一个专注于稳定币的 AMM 交易市场,Curve 创造了一种流动性激励方式:为不同交易对的流动性提供者提供不同力度的 $CRV 奖励,奖励力度取决于在治理投票中,各交易对获得的投票比例。该机制引发了各稳定币项目方在治理投票中的剧烈竞争,史称「Curve War」。众多稳定币项目方用尽浑身解数,获得更多的投票权,以争取更多的流动性。
从 2020 年开始,Curve 协议一直实施这样的流动性激励政策,这使得 Curve 协议获得了巨大的成功。通过引发 Curve War,促使 $CRV 的价格提升,$CRV 价格的提升刺激了更多资金为 Curve 协议提供流动性,流动性的增加又进一步激化 Curve War,完美的飞轮效应!
没有人认为 Curve 的治理被金钱政治绑架,但是 Curve War 中却出现一个寻找规则漏洞的天才项目:Mochi Protocol
或许是受 Curve War 飞轮效应的启发,Mochi Protocol 也打算开启属于自己的飞轮效应。Mochi Protocol 使用其治理代币 $MOCHI INU,对其 USDM 稳定币在 Curve 中的流动性进行激励,并利用其持有的大量 $MOCHI INU 凭空铸造了大量的 USDM。然后,Mochi Protocol 将这些 USDM 换成 DAI ,用 DAI 大量买入 $CVX(掌握大量 CRV 投票权的 Convex Protocol 的治理通证) ,以进一步争夺流动性,并继续利用这些流动性将 USDM 换成 DAI,然后再购买 $CVX ,循环往复。当 USDM 的流动性达到 1 亿美金时,Mochi Protocol 开始套现跑路,耗尽池中的流动性,使得 USDM 挂钩失效,完成对流动性提供者的收割。
* 使用 CVX 在 Convest 中投票,可以间接影响 Convest 金库中的 veCRV 的投票,该过程在图中已简化。*
至此,您可能对于 DeFi 治理中的金钱政治态度很矛盾:它一方面可能给协议带来成功,另一方面却可能让治理攻击和巨鲸操控的风险曝露。如果不换个视角,我们很难跳出对金钱政治的直觉,看清楚 DeFi 治理当中的真问题。
DeFi 治理中的真问题
Paka Labs 认为,当前 DeFi 的治理机制,存在两个关键问题:
其一,治理杠杆
巨鲸参与治理本身无可指责,问题在于疑似孙宇晨地址用来参与治理的 $COMP 和 $MKR 来源于借贷,而非他长期持有的资产。如果该地址向协议添加的是某种高控盘资产,他完全有可能通过「印钞」,将协议当做他的提款机,而他几乎无需承担 $COMP 或是 $MKR 的价格下行风险。这不符合激励相容的原则。该地址通过去中心化的借贷协议来借入治理通证,尚需自己提供抵押品,事实上,如果借入主体没有充足的抵押资产,还可以通过发行债券衍生品来从其他人手里借入治理通证。
在 Curve War 中则大量存在贿选的情况,Curve War 的参战项目们通过微薄的奖励来激励其他具有投票权的人按他们的意志投票。当然,这里的 “微薄” 是相对于他们直接购买这些投票权而言。(贿选还包括通过经济激励来让别人将票委托给自己,由于 Curve 的治理没有委托机制,这类行为没在 Curve War 中出现。)
借票和贿选为治理参与者们提供了杠杆,使得他们能获得的投票权和其所需承担的责任不成正比。
此外,不少 DeFi 协议,治理参与率过低,导致极低比例的投票权就可以决定涉及重大资金或是资源的重要事务,简直是天然的杠杆。例如 6月19日,Solend 仅用约几十万美元的投票权,就做出决定接管某巨鲸上亿美元的资产,令人咋舌。该决议因受到社区强烈反对而又通过新的提案废止。
总之,治理投票中存在金融杠杆,这是真正威胁治理公平性与安全性的重要问题。
其二、无人守门
DeFi 的治理比其他类型的 DAO 治理更加复杂,因为 DeFi 拥有的资源不止是协议 Treasure 中那点资金,也更非 TVL 里的资金(事实上 TVL 里的资金的所有权不属于 DeFi 协议自身,这也是 Solend 接管巨鲸账户引发巨大争议的原因),对于 DeFi 协议而言,最关键的资源往往是非财务资源。例如:
借贷协议中的抵押品资产白名单
DEX 中的流动性资源
通过治理投票来来分配协议的非财务资源,不能被简单理解为是纯粹的治理行为,而是带有一定的资源售卖性质。从这个视角看,Curve War 可以理解为 Curve 对自身流动性资源的拍卖行为。既然不是政治,那就无所谓金钱政治。(治理通证承载了分配有价资源的权力,这就是在 Compound 官方宣布 $COMP 没有财务价值之后,价格依旧疯涨的原因,那些聪明钱早就意识到了这一点!)
真正导致风险的环节是没有人审核资产的准入。我们拿中心化交易所的上币流程来做个比较,如果一个 Web3 项目要在中心化交易所上币,多数时候需要交一笔上币费用,此外,中心化交易所会对项目做背景调查,如果背调未能通过,代币是不会被上架的。负责任的交易所,大概都不会采用「有钱就能进」的上币政策。而不少 DeFi 协议却对资产的准入不设任何风控审核措施。这样的类比不完全贴切,但能说明一定问题。
尽管社区成员可以自发的留意治理提案,也可以动员更多成员通过投反对票来否决添加恶意资产的提案,就像 Compound 和 MakerDAO 否决疑似孙宇晨地址的提案一样。但这种社区成员的自发监管,缺乏责任主体,也缺乏专业能力,并不是一张结实的网,总会有 “漏网之鱼” 趁虚而入。例如2月15日针对 Build Finance 的治理攻击提案在没有被社区注意到的情况下,被攻击者控制的少数选票悄悄通过。该攻击使得协议金库资产几乎归零,让 Build Finance 全面失败,再难翻身。
为了保障 DeFi 参与者的资金安全,我们需要一个更严谨的资产准入审核机制。
如何消除治理杠杆?
我们需要针对使用治理杠杆的手段来一一破解。
▸防御借票:以锁仓换治理权
首先,借票行为是相对容易防御的,基于时间加权的投票和基于声誉的投票都可以降低借票的影响。事实上,Curve 的治理已经采用了基于时间加权的投票。Curve 的治理权力是通过用 veCRV,而非 CRV 投票来实现的,而 veCRV 需要通过锁仓 CRV 获得。锁仓时间越长,获得的 veCRV 会越多,例如锁仓 4 年则可以获得 1 veCRV,锁仓1年则只能获得 0.25 veCRV。
这里有两个关键点,其一,veCRV 不能转账,Curve War 中之所以用户可以把 veCRV 借给 Convex 、StakeDAO 或是 Yearn Finance,是因为 Curve 为少数主体开了白名单;其二,随着锁定的 $CRV 逐渐接近到期时间,veCRV 的数量会线性衰减,如需维持投票权不变,用户需要不断刷新锁仓时间。
锁仓机制使得任何人无法通过短期借票获得大量的投票权。如果想要获得更多投票权,必须延长借贷时间,这会给借票者带来巨大的成本。
我们认为未来主流 DeFi 协议很有可能会向类似于 Curve 的时间加权机制演化,抑或是向更复杂的声誉投票机制演化,越来越多新生的协议也会倾向于不再采用简陋的 1T1V 机制。
▸防御贿选:隐私技术或成希望
贿选行为则相对难以防御。
贿选在现实政治中尽管存在,但不成气候。因为不记名投票的特点是:投票者将选票扔进投票箱之后,第三方无法知道投票者究竟投给了哪个选项,甚至投票者本人也很难拿出可靠的证据向贿选者证明自己投了某个选项,这使得贿选交易缺乏可信的基础。
而在链上,贿选行为的信息高度可见,对于贿选者而言易于验证,而贿选行为涉及的主体身份信息却可以隐藏起来,难以追责。这对于建立一个贿选市场而言几乎是完美的土壤。在 Curve War 中,贿选已经成为了参战项目的常规手段,甚至因此出现了专门的贿选服务平台,通过使用这些平台,可以拿代币奖励来换取用户的选票。
veCRV 贿选平台:
https://bribe.crv.finance/
vlCVX 贿选平台:
https://votium.app/
Bride Protocol 则更加明目张胆的宣称要做一个通用的贿选平台,还打着 “帮助 DAO 提高治理参与率”、“帮助治理通证持有人提取治理价值” 的旗号,意图让「贿选」一词在 DeFi 治理语境中成为一个中性词。确实,贿选可以提高治理参与率,但 DeFi 协议希望看到的一定不是这种虚假的高参与率。
理论上,协议可以主动屏蔽来自贿选平台的投票,剥夺贿选选票的投票权,但这建立在贿选平台信息公开的基础之上,如果贿选平台运行于私人服务器,或者在区块链上借助隐私技术开发,那么主动屏蔽的方式便无处下手了。在《DAO 的另一面:链上贿选和黑暗 DAO 的崛起》一文中就描述了一种利用 TEE 硬件来构建一个隐秘贿选交易平台的可行方法。
Hostessfrom NFT collection The Robberyby Cherry_Pie_NFT
那我们能否构建一个投票信息不可见的治理系统呢?例如使用隐私技术,让单个用户的投票信息在链上不再可见,外界只能看到可验证的最终投票结果,不仅如此,投票的用户无法向贿选者出示可信的证明,以证明其投给了哪一个选项,或者把票委托给了谁。这是本文提供一个抛砖引玉的思路,希望业内伙伴一起探讨,一起探索。
需要注意的是,即便是最完美的技术,也无法彻底杜绝贿选,例如依靠熟人关系的贿选交易是无法被阻止的。我们能做的是防止贿选形成有效市场,使得 DeFi 治理不被普遍的贿选行为完全异化。
▸提升治理参与率:治理政党与治理激励
即便是 DeFi 行业的一些标杆协议,也可能没有很高的治理参与率,例如 Compound 的治理参与率只有 5% 左右。这为一些人通过掌握投票权从协议中攫取利益提供了动力。低投票率还促使一些协议通过多层间接治理以实现更大的杠杆,详见 Fei-Index-Aave 的神仙操作。
从实践民主的视角,人们总是试图让更多的人参与投票,但从协议治理安全的角度,目标应该是让更多的票被投入治理当中。如果转换下目标,我们就能发现一个新的治理思路——协议政党。
尽管一些协议已经开发了流动民主机制,允许人们将治理通证委托给别人以间接参与治理。但这种机制一直受困于一些因素而无法大幅度提高治理参与率。
除非你深入参与社区,知道哪些人是活跃的贡献者以及他们的治理投票倾向,否则你还是不知道将选票委托给谁合适;
受委托的投票者活跃度不稳定,也没有人要求他们保持活跃,可能积极参与几次投票就再也没投过票,而委托人似乎不会总是关注他们是否应该更改委托,这使得一部分票长时间陷入沉寂;
大多协议没有为参与治理提供奖励,这使得持币人更愿意把治理通证放在 DeFi 中生息。
引入一个具有特定投票倾向的联盟能够改善上述情况,我们可以将其称之为「协议政党」。协议政党向选民承诺负责任的参与投票以获取选票,同时协议政党雇佣专家以仔细研究每项决策以做到这一点。
当然为了让协议政党有动力负责任的参与治理,并且让持币人有动力将票委托给协议政党,协议需要给到治理参与者以足够的激励。治理激励的存在,相当于向不参与治理的人征税,有助于唤醒沉寂的选票。治理激励分为两部分,一部分是为锁仓治理通证而发放的奖励,有点像 PoS 公链当中 Staking 奖励,另一部分是对投票行为进行奖励,例如投票次数达到多少次可以获得奖励,这部分奖励可以以补贴的形式给到治理治党。奖励的来源可以是通胀增发,也可以是协议利润。
这里需要注意一点,协议政党不应再发行自己的治理通证,否则会给类似 Fei-Index-Aave 的套娃型杠杆治理创造机会,即便协议政党发行了治理通证,也不应通过自身治理投票直接决定其代持的选票的投票,而是应该委任一个专业的委员会来做出投票决策。
目前 WildFireDAO 已经被创建为一个协议政党,积极参与多个协议的治理,Rabbithole 也创建了自己的治理委员会,负责参与自己所持股的协议的治理投票。期待协议政党未来的演化!
如何设置守门机制?
在 Mochi 的治理攻击发生后,Curve 通过治理取缔了 Mochi Protocol 竞争流动性的资格,但与事后的「资产清退」相比,我们更需要一个事前的资产准入环节,抵御欺诈行为,更好地保障 DeFi 参与者的资金安全。
如前所述,在多数 DeFi 目前的资产准入机制中,只要你有足够的钱,就可以拿到足够多的投票权,进而把任何你想要添加的资产放进一个 DeFi:或是作为借贷协议的抵押品,或是作为稳定币的储备资产,亦或是被允许加入一个特定的交易对,这带来了治理攻击的风险敞口。通过消除治理杠杆,我们可以让攻击者获得投票权的成本增大,但除此之外,DeFi 协议还应有一套守门机制,作为防止恶意资产添加的最终安全屏障。
让众多持币人对资产的准入进行审核是不合适的,否则就回到了最初的问题,投票权可能被攻击者短期捕获,以实施治理攻击,且投票者不可能全部都去对资产做负责任的背景调查。可行的方法是投票者们制定一个审核标准,并委任一个风控团队来对资产做背调,并决定是否放行。
需要注意的是,一旦标准制定,审核委员会没有权力对不符合标准的资产放行,或是阻碍符合标准的资产被添加,否则协议可以通过治理投票罢免或更改委员会成员。当然,审核标准毕竟只是几段文字,实践中一定有审核委员会的自由裁量权。然而,审核标准还是应该尽可能明晰(例如可以用一个量表来评估一个资产的去中心化程度),减少审核委员舞弊或是被贿赂的可能性。这就像现实政治中立法和司法的分离。
事实上,在 Compound、SushiSwap 中有类似于「元老院」的结构,「元老院」可以有权否决一切治理提案,即便是那些高票通过的治理提案。实践中,「元老院」也承担了资产准入审核的作用,负责否决恶意资产被添加的提案。然而,该机制也饱受争议:支持者认为元老院的权力和治理投票的权力可以相互制衡,实现类似于民主政治中的两院制结构,反对者则认为,可以否决一切提案的元老院,完全可能成为协议的独裁者。
我们认为这里面的核心点有两个:
元老院的权力范围,除了提案否决权,是否还有其他权力,在一些治理结构中,元老院还有暂停协议、启动紧急提案等权限,在一些发展初期的 DeFi 协议当中,元老院具有一切超级权限,可以随时更新协议代码。不同的权限范围,决定了元老院的性质——独裁者,还是守门员。不过,对于发展较为初期的 DeFi,由于代码尚未成熟,经济体系也尚未验证,让独裁者来当守门员也是无奈之举;
元老院成员的选举和罢免,是否由治理投票决定。这决定了元老院是独立存在的权力实体,还是只是治理投票所授权的一个权力代行机构。
总之,我们认为由一个被治理投票授权和监督的委员会来负责资产审核是有必要的,该委员会可以是一个单独的部门,也可以由协议的「元老院」兼任。
小结
随着 DeFi 的发展,部分协议已经成为 Web3 的基础设施,具备公共物品的属性,保护参与者的资金安全,是 DeFi 发展的底线。风险因素主要存在于两个方面,其一是治理权力可能被金融杠杆放大,导致权责不对等的治理,其二是缺乏可靠的资产准入审核流程(守门机制),即便对欺诈者也来者不拒,有钱就可以向 DeFi 协议添加任何资产。
本文提供了消除治理杠杆的若干方法,在这些方法中,用锁仓机制防御借票已经被广泛应用,用治理政党和治理激励来提升治理参与率也在被陆续实践,只有贿选还是个棘手的问题,本文提供的用隐私技术防御贿选的思路,有着过高的技术门槛,并非短期能够实现。本文也提供了设置守门机制的建议,那就是委托一个风控团队按照既定的原则来对添加到 DeFi 许可中的资产做调查与审核。不过,在 DeFi 的治理实践中,可能还会出现更高明的方式来解决上述问题,DeFi 的治理究竟走向何方,我们将继续关注并研究。
参考资料:
[1] Tron’s Justin Sun Accused of ‘Governance Attack’ on DeFi Lender Compound
[2] 避免治理攻击,蓝筹DeFi的治理经验
[3] CRV的收益权和治理权
[4] A Comprehensive Research on DAO’s Security by Fairyproof
[5] Solend 治理风波始末
[6] DAO的另一面:链上贿选和黑暗DAO的崛起
[7] Build Finance DAO Suffers Governance Takeover Attack
[8] Compound七项提案投票率仅5%,DAO真的是民主最终形态?
[9] The Curve Emergency DAO has killed the USDM gauge
[10] Metagovernance in Crypto
[11] Introducing Wildfire DAO
[12] From v0 to v1: RabbitHole Metagovernance Pod Learnings