治理程序可抽取價值 GEV 危害協議安全，該如何防范？_BCH:區塊鏈的未來發展前景數字化研究

本文發布于以太坊愛好者，作者：LelandLee&AriahKlages-Mundt，翻譯：阿劍。

治理程序是協議的最終擁有者。無論是獨裁還是富豪統治，治理程序控制著相關協議的每一個可變動的方面以及它們如何變化。不像傳統的公司，區塊鏈應用的治理程序是透明的、由專門的智能合約來定義，而且改變了什么也對所有人可見。但有光的地方就有暗。治理程序也大可以犧牲整個系統來獲得利益，我們稱之為「治理程序可抽取價值」。同樣不像傳統公司的是，沒有司法框架來制約糟糕的治理。

什么是治理程序？

協議的治理可以用兩條軸來體現：哪些東西受治理程序控制、有多少人參與治理。每種協議都有自己的目標，因此設計空間也很多樣。一些協議本身是不可變更的，另一些則有非常少的參數，有一些甚至能把業務合約的功能整個替換掉。最終，控制權可能無人可擁有，或會落在一人手上，一小群人手上或者一大群人掌中。如果沒有機制來制衡權力，合約的復雜性和靈活性就會成為機會主義的溫床。

GEV爆破

治理程序會把用戶的終極利益放在心上嗎？太滿的話好像都不對:）GEV爆破可以大體分為兩類：資本結構爆破和短期主義。

Waves將于明年1月推出含代幣空投的DAO治理框架Power Protocol:12月5日消息，Waves 將引入設置并衡量關鍵績效指標（KPI）的 DAO 治理模型 Power Protocol。該治理模型由 Waves 創始人 Sasha Ivanov 開發，若設置的 KPI 完成，社區將可獲得獎勵，反之可能通過銷毀一部分質押的治理 Token 作為懲罰。該機制旨在防止巨鯨為了個人利益對有損集體利益的提案進行投票。[2022/12/5 21:23:56]

資本結構爆破

資本結構爆破俗稱「跑路」，包括治理程序從系統中偷取擔保品、或者直接把擔保品劃給自己帶走。跑路類似于銀行拿著儲戶的錢跑了，雖然資本結構爆破可以做得更隱秘、更間接。大多數用戶都不會把錢放進一個帶有明顯可調用的跑路函數的合約。但開發者可以后面再加入跑路函數，或者利用系統的結構以間接的辦法跑路。這里有一些例子：

惡意升級跑路。正常來說，在一個銀行里面，用戶只能存錢和取出屬于自己的錢，不應該能取出別人的錢。Compounder最初的設計中是沒有后門的。但是，開發者升級合約的時候就加入了一個跑路函數，讓他們可以偷走總計1080萬美元的擔保資產。雖然升級生效之前有24小時的時間鎖，在此期間用戶可以取出自己的資產，但很少用戶會真的密切監控合約的情況。

楊海坡：BCH社區治理是極大的失敗，分叉BCH不是營銷，但目前只是想法:在今晚的媒體直播活動中，ViaBTC創始人楊海坡發言稱，分叉BCH不是營銷，但目前僅僅是一個想法，并沒有完全確定，歡迎更多人參與和討論。楊海坡還表示，回顧3年前BTC分叉BCH，其實BCH誕生的很匆忙，后來社區出現了很多分歧和問題，比如，關于區塊是否需要無限大，區塊時間多少，智能合約能不能運行等，都沒有得到處理。今天，BCH沒有好的治理機制，造成了混亂和分歧，這些分歧很幼稚，可以說社區治理已經是極大的失敗，甚至中間還導致社區分裂。社區也對開發者有很多不滿，但很難替換和改變。楊海坡還提到，對于BCH的發展，他有很多觀點、想法，但當初他并沒有在BCH分叉上有很大的影響力。現在，他就想去創立一個新的分支。[2020/8/5]

無限鑄幣爆破。PAIDnetwork的erc20代幣合約所有者賬戶只有一個，該賬戶可以鑄造新幣。在攻擊中，開發者鑄造了幾百萬個幣，吸干了Uniswap交易所中的PAID-ETH資金池，然后拿著ETH跑路，留下無數因為超級通脹而價值歸零的PAID。

出賣少數股東。DigixDAO投票通過把ICO集資退回給代幣持有者的決定，因為這些當時收集的資本甚至比治理代幣還要更有價值。在幕后，是一個聯盟掌控著大部分的股份，大家并不清楚這些人都有誰，他們會怎么投票。在投票啟動之前，各方可以從少數股東處購買DigixDAO代幣，其市場價格與其對應的ETH儲備之間差額高達48%。到現在大家也不知道，這些買入者就是參與聯盟的成員、想出賣少數股東來獲利，還是說他們是無關人等，只是在賭投票結果。

微眾銀行馬智濤：在區塊鏈等技術保障下提出了“善度”的治理模式:金色財經報道，由北京環境交易所、微眾銀行及北京綠普惠網絡科技有限公司聯合舉辦的?“綠色出行普惠平臺”暨“一噸碳”行動線上發布會于6月5日在北京召開。微眾銀行副行長兼首席信息官馬智濤視頻發布“善度”白皮書。他指出，新冠疫情的防治期間，科技手段發揮了很大作用，比如互聯網平臺推出健康碼。但社會治理的一般模式仍舊是“懲罰”為主，激勵向善的治理模式很少。往往受制于機制和技術的不成熟，激勵行為缺乏量化和協作的考核機制。以往我們在激勵過程中缺乏信息流和資金流的穿透管理。但在技術的急速發展中，云計算、大數據、區塊鏈等不斷成熟，在技術保障下，多個參與方可以實現可信的合作，因此我們提出了“善度”的治理模式，針對善行進行度量。善度框架并非是一種具體的產品或服務，也不依賴于特定的技術或底層平臺，而是一種參考框架。任何企業或組織都可以針對特定場景，選擇合適的技術方案，和合作伙伴一起實現基于善度框架的應用場景。[2020/6/5]

投票跑路。MakerDAO理論上有一個攻擊界面：治理程序可以投票把系統中的所有擔保品交給他們自己，而無需提醒終端用戶。不過風險已經被時間鎖減輕。

短期主義

動態 | 南京江北綜合行政執法局：通過“區塊鏈+社會治理”，構建現代化社會治理體系:江蘇省南京市江北新區管理委員會綜合行政執法局發表微博稱，新的一年，我們將順應國家級新區、自貿實驗區和江北新主城主體功能發展定位，爭做新主城建設主力軍，全面提升治理能力，通過“網格+網絡”和“區塊鏈+社會治理”，構建多元共治、良性互動、共建共享的新區特色現代化社會治理體系；爭做最佳營商環境守護者，努力實現全科式政務服務、全能型綜合執法、全維度數據整合，全力護航新區發展。[2020/1/26]

雖然治理者和用戶都希望協議成長，但對于具體的辦法和步驟，他們可能有不同意見。用戶的目標是可持續的成長。相反，治理代幣的持有者可能不惜一切代價追求增長。所以下高風險的重注來獲得眼前可見的好處也不是不可以，雖說這會損害整個系統，讓它變得更脆弱。短期主義可能在很多事情上出現。一個例子是運行系統使用風險更高的資產和提高整個系統的債務上限。

CreamFinance是?Compound?的一個復制品，它加入了許多低成長的DeFi代幣，而且不設債務上限，來吸引用戶和體量。但是，FTT代幣存款最終構成了Cream內存款的40%，大幅提高了這個協議的風險。如果FTT價格暴跌，Cream上的出借人可能會損失資產。

聲音 | Block.one CEO：相信EOS由社區治理和掌控是重要的:Block.one首席執行官 Brendan Blumer近日表示：我們的目標是公開我們所認為的DPOS治理的最佳模式，并讓社區接管它。現階段我們沒有計劃去投票，但是，如果我們認為我們能夠代表足夠多的少數的投票人參與，這種情況在未來就會改變。EOS是由社區發布和運行，我們相信EOS由社區治理和掌控是重要的。此前，他曾表示，認可投票回扣，或者說投票分紅，以及一票一投，而不是如今的30投。[2019/1/10]

解決GEV

在傳統公司里面，GEV的預防機制有保守派勢力，還有監管者和集體訴訟，作為遏止爆破行為的大棒。但這些可沒法翻譯成智能合約。在一個鏈上世界，治理程序必須預先編程好，并且有遏制作惡的激勵機制，因為我們都知道，沒有中心化的機構能在爆破后為我們主持正義。

分散權力——多簽名和代幣投票

在安排誰來治理協議這件事情上，有很多考量。僅安排一個所有權賬戶，對開發者來說是最方便的，升級這個協議只需要一把密鑰，而且也無需與其他時區的私鑰持有者或無動于衷的代幣持有者協調。開發過程只需單方面投入，可以很快，但用戶就必須信任這個私鑰的持有者。

多簽名控制和代幣投票制對于更成熟的協議來說是更好的選擇，可以獲得更廣泛的共識。雖然在現實中，如果開發團隊自己控制了對大部分投票代幣，系統還是會回到獨裁模式或者聯盟模式中。

不設或者有限的合約可升級性

早期的智能合約都嘗試取得字面意義的「不可更改性」。對合約的改變和升級是不可能的。如果合約出現了bug，或者是讓智能合約的開發變成像是在設計不可改進的硬件一樣，都是很可怕的，就像沒法修復的火星探測器一樣。在不可升級的合約里加入新功能能需要用戶自己遷移資金。從某個角度來看，這是一種特性，但也可以看成是一種可怕的用戶體驗黑洞。

最直接的改進方法是設計一個最小化的升級空間，比如暫停功能，在bug被發現的時候是非常實用的，還有一些非常有限的參數。

最靈活的設計是使用可升級的合約，一個核心合約存儲所有的數據，并引用一個可替換的合約來裝載所有的業務邏輯。用戶甚至不知道底層的合約被升級過，因此用戶體驗很絲滑。

時間鎖

治理程序的時間鎖設計是為了給用戶適應升級的調整時間。假設流動性很充分，時間鎖可以讓用戶離開協議。出于這種利用，用戶會希望設計更長的時間鎖，這樣他們既有時間了解變更，也有時間來反應，但更長的時間鎖也會降低協議的靈活性。MakerDAO就在很長時間里出于這個理由而拒絕加入時間鎖。

但時間鎖也不是萬能的：用戶僅僅是在理論上能這么做，但不意味著市場上有這個流動性，讓他們可以這么做。如果?Maker?的治理程序嘗試剝奪CDP中所有的擔保品，而DAI的流動性很低——那想要獲得DAI來關閉CDP的人就要自求多福了。而且，這還假設了所有用戶都會一直監視著時間鎖來防范惡意行為。

樂觀許可

作為時間鎖的升級版，樂觀許可讓協議可以快速通過提案，除非有人發起否決。否決功能讓協議的散戶，即，使用這個協議但并不能參與治理程序的人，比如DAI的持有者、CDP的持有者和Uniswap的流動性提供者，能夠拒絕治理程序的提議。如果有足夠數量的用戶發起否決，那么時間鎖就會延長，以讓更多用戶來支持或拒絕這個否決。結果是開發者也可以快速應變，但用戶也有保護自己的辦法。

支持追索——如果只有時間鎖，惡意升級會導致大家擠兌、踩踏。現在用戶用不著立即退出了。

安全閥——在惡意提案的語境下，一個缺席的用戶不用擔心丟失資金。只需少部分用戶監控時間鎖就能保證大家的安全。

樂觀許可方法本質上是改變了治理的激勵，所以跑路是無利可圖的。要嘗試跑路時，細心的用戶會發起否決，保護自己和其他用戶。治理者會碰一鼻子灰，因為攻擊無法得逞，用戶也會更不愿意加入這個協議。

樂觀許可的一個關鍵是確定哪個團隊有資格發起否決。在MakerDAO這樣的系統中，CDP的主人和DAI的持有都應該具有否決權嗎？還是只有某個團隊應該有？

長期治理者

治理程序必須與協議的長期成功方向一致。一般來說，這需要代幣持有者鎖定資本或者證明他們是長期主義者。前者的形式有不限期質押以及到期釋放制。后者的形式有終身投票制。

通常來說，可以用衍生品產品和智能合約來耍弄代幣鎖定機制。而終身投票制也不能保證一個長期持有代幣的人仍想繼續做一個長期主義者。也許到了這個長期持幣者有更多權力的時候，他會覺得改變一下思路會更有利可圖。

一個替代的辦法是延遲給治理代幣持有者的資本回報，并設定穩定性/KPI指標上的條件。這背后的理由是，治理程序不應該獲得當下的協議成長的回報，而應該獲得未來成長的回報，以保證他們一直干得好。本質上，如果系統變得不再可靠，那治理程序要負起責任。相反，這些獎金都應該以系統繼續健康生長為條件。一個鮮明的對比：銀行家和政客的短期激勵機制。DeFi給了用戶一個機會，在治理結構中糾正這一點。

降低GEV會提高協議的可信度

雖然有很多的ape和degen，以至于當下看來，即使高風險的協議也會獲得資本和用戶——但大多數用戶都更加厭惡風險。GEV也是風險之一，而且比直接跑路的風險要更普遍。設計制衡GEV的系統將是dApp獲得普及并實現其去中心化金融最初愿景的關鍵。愿天下無跑路。

腳注：

Aave治理程序有一個多簽名的后門守衛，可以否決惡意的提議。

對否決機制的扭曲可以給惡意提議者制造一個丸——雖然這可能被濫用，需要額外的分析。開啟罰沒功能是危險的，除非其條件是可以證明的。舉個例子，要證明一個驗證者簽名了兩個相互競爭的區塊很容易；在給定的狀態前提下證明某筆交易是有效的也很容易，但并不容易用這些方法來證明某個治理決策是惡意的。最后就會變成由共識的代理人來判斷它是不是壞的，但這跟它本身壞不壞并不是一回事。這就會引出一系列的問題：如何保護少數股東對抗多數的暴政呢？

智能合約可以設計成鎖定治理代幣并交易一種代表鎖定資產的衍生代幣。可以用黑名單功能來禁止合約參與治理，但這樣也會禁用多簽名的錢包。

Tags：BCHDAO區塊鏈CDPbch幣發行總量XDAO區塊鏈的未來發展前景數字化研究cdp幣圈

歐易交易所