管理程序(Governance)是协议的终究具有者。无论是独裁仍是富豪统治(plutocracy),管理程序操控着相关协议的每一个可变动的方面以及它们怎样变化。不像传统的公司,区块链应用的管理程序是通明的、由专门的智能合约来定义(因此是确认性的),并且改动了什么也对一切人可见。但有光的当地就有暗。管理程序也大能够牺牲整个体系来取得利益,咱们称之为 “管理程序可抽取价值(GEV)”。同样不像传统公司的是,没有司法框架来限制糟糕的管理。
什么是管理程序?
协议的管理能够用两条轴来体现:哪些东西受管理程序操控、有多少人参加管理。每种协议都有自己的方针,因此规划空间或许多样。一些协议本身是不行改动的,另一些则有非常少的参数(比方费率切换和暂停功用),有一些乃至能把事务合约的功用整个替换掉(或曰 “可晋级”)。终究,操控权或许无人可具有,或会落在一人手上,一小群人手上(多签名合约对应的实体)或许一大群人掌中(管理代币投票)。假如没有机制来制衡权利,合约的复杂性和灵敏性就会成为时机主义的温床。
GEV 爆炸
管理程序会把用户的终极利益放在心上吗?太满的话好像都不对 : )GEV 爆炸能够大体分为两类:本钱结构爆炸和短期主义。
本钱结构爆炸
本钱结构爆炸俗称 “跑路(rug pull)”,包括管理程序从体系中盗取担保品、或许直接把担保品划给自己带走。跑路类似于银行拿着储户的钱跑了,尽管本钱结构爆炸能够做得更隐秘、更直接。大多数用户都不会把钱放进一个带有明显可调用的跑路函数的合约。但开发者能够后边再参加跑路函数,或许运用体系的结构以直接(且让人目不暇接)的办法跑路。这里有一些比方:
-
歹意晋级跑路。正常来说,在一个银行里边,用户只能存钱和取出归于自己的钱,不应该能取出别人的钱。Compounder 开始的规划中是没有后门的。可是,开发者晋级合约的时分就参加了一个跑路函数,让他们能够偷走总计 1080 万美元的担保财物。尽管晋级收效之前有 24 小时的时刻锁,在此期间用户能够取出自己的财物,但很少用户会真的亲近监控合约的状况。
-
无限铸币爆炸。PAID network 的 erc20 代币合约一切者账户只要一个,该账户能够铸造新币。在攻击中,开发者铸造了几百万个币,吸干了 Uniswap 交易所中的 PAID-ETH 资金池,然后拿着 ETH 跑路,留下许多由于超级通胀而价值归零的 PAID。
-
出卖少量股东。DigixDAO 投票经过把 ICO 集资退回给代币持有者的决定,由于这些当时收集的本钱乃至比管理代币还要更有价值。在暗地,是一个联盟掌控着大部分的股份,咱们并不清楚这些人都有谁,他们会怎样投票(Digix 团队一向高声反对解散)。在投票发动之前,各方能够从少量股东处购买 DigixDAO 代币,其商场价格与其对应的 ETH 储藏之间差额高达 48%。到现在咱们也不知道,这些买入者就是参加联盟的成员、想出卖少量股东来获利,仍是说他们是无关人等,只是在赌投票成果。
-
投票跑路。MakerDAO 理论上有一个攻击界面:管理程序能够投票把体系中的一切担保品交给他们自己,而无需提醒终端用户。不过风险已经被时刻锁减轻。
短期主义
尽管管理者和用户都期望协议生长,但关于详细的办法和步骤,他们或许有不同意见。用户的方针是可持续的生长。相反,管理代币的持有者或许不惜一切代价追求增加。所以下高风险的重注来取得眼前可见的好处(手续费 / 让管理代币增值)也不是不行以,虽说这会危害整个体系,让它变得更软弱。短期主义或许在许多工作上呈现。一个比方是运转体系运用风险更高的财物和进步整个体系的债款上限。
-
Cream Finance 是 Compound 的一个复制品,它参加了许多低生长的 DeFi 代币,并且不设债款上限,来吸引证户和体量。可是,FTT 代币存款终究构成了 Cream 内存款的 40%,大幅进步了这个协议的风险。假如 FTT 价格暴跌,Cream 上的出借人或许会损失财物。
处理 GEV
在传统公司里边,GEV 的防备机制有保守派势力,还有监管者和集体诉讼,作为抑止爆炸行为的大棒。但这些可无法翻译成智能合约(其逻辑都是提早编程好的)。在一个链上国际,管理程序有必要预先编程好,并且有遏制作恶的鼓励机制,由于咱们都 知道,没有中心化的组织能在爆炸后为咱们主持正义。
涣散权利 —— 多签名和代币投票
在组织谁来管理协议这件工作上,有许多考量。仅组织一个一切权账户,对开发者来说是最方便的,晋级这个协议只需要一把密钥,并且也无需与其他时区的私钥持有者或无动于衷的代币持有者协调。开发过程只需单方面投入,能够很快,但用户就有必要信赖这个私钥的持有者。
多签名操控和代币投票制关于更老练的协议来说是更好的挑选,能够取得更广泛的一致。尽管在实际中,假如开发团队自己操控了对大部分投票代币,体系仍是会回到独裁模式或许联盟模式中。
不设或许有限的合约可晋级性
前期的智能合约都测验取得字面意义的 “不行更改性”。对合约的改动和晋级是不行能的。假如合约呈现了 bug,或许是让智能合约的开发变成像是在规划不行改善的硬件相同,都是很可怕的,就像无法修正的火星探测器相同。在不行晋级的合约里参加新功用能需要用户自己搬迁资金。从某个角度来看,这是一种特性(能够幻想代码是不会变的),但也能够看成是一种可怕的用户体会黑洞(YAM 的用户不得不两次搬迁他们的 token)。
最直接的改善办法是规划一个最小化的晋级空间,比方暂停功用,在 bug 被发现的时分是非常实用的,还有一些非常有限的参数。
最灵敏的规划是运用可晋级的合约(组合),一个核心(代理)合约存储一切的数据,并引证一个可替换的合约来装载一切的事务逻辑。用户乃至不知道底层的合约被晋级过,因此用户体会很丝滑(当然跑路也很丝滑)。
时刻锁
管理程序的时刻锁规划是为了给用户适应晋级的调整时刻。假设流动性很充沛,时刻锁能够让用户脱离协议(假设他们不喜欢行将激活的改动)。出于这种运用,用户会期望规划更长的时刻锁,这样他们既有时刻了解改动,也有时刻来反应,但更长的时刻锁也会降低协议的灵敏性。MakerDAO 就在很长时刻里出于这个理由而回绝参加时刻锁。
但时刻锁也不是全能的:用户仅仅是在理论上能这么做,但不意味着商场上有这个流动性,让他们能够这么做。假如 Maker 的管理程序测验剥夺 CDP 中一切的担保品,而 DAI 的流动性很低 —— 那想要取得 DAI 来封闭 CDP 的人就要自求多福了。并且,这还假设了一切用户都会一向监视着时刻锁来防范歹意行为( Compounder 说的就是你)。
达观答应
作为时刻锁的晋级版,达观答应让协议能够快速经过提案,除非有人建议否决。否决功用让协议的散户,即,运用这个协议但并不能参加管理程序的人,比方 DAI 的持有者、CDP 的持有者和 Uniswap 的流动性提供者,能够回绝管理程序的提议。假如有满足数量的用户建议否决,那么时刻锁就会延长,以让更多用户来支撑或回绝这个否决。成果是开发者也能够快速应变,但用户也有维护自己的办法。
-
支撑追索 —— 假如只要时刻锁,歹意晋级会导致咱们挤兑、踩踏。现在用户用不着立即退出了。
-
安全阀 —— 在歹意提案的语境下,一个缺席的用户不必忧虑丢失资金(不需要像瞭望塔相同的服务)。只需少部分用户监控时刻锁就能确保咱们的安全。
达观答应办法本质上是改动了管理的鼓励,所以跑路是无利可图的。要测验跑路时,仔细的用户会建议否决,维护自己和其他用户。管理者会碰一鼻子灰,由于攻击无法达到目的,用户也会更不乐意参加这个协议。【0】
达观答应的一个要害是确认哪个团队有资历建议否决。在 MakerDAO 这样的体系中,CDP 的主人和 DAI 的持有都应该具有否决权吗?仍是只要某个团队应该有?【1】
长时刻管理者
管理程序有必要与协议的长时刻成功方向共同。一般来说,这需要代币持有者确定本钱或许证明他们是长时刻主义者。前者的形式有不期限质押以及到期开释制(也就是 Curve 这种)。后者的形式有终身投票制(持有代币时刻越长的用户的投票权重越高)。
一般来说,能够用衍生品产品和智能合约来耍弄代币确定机制 【2】。而终身投票制也不能确保一个长时刻持有代币的人仍想持续做一个长时刻主义者。或许到了这个长时刻持币者有更多权利的时分,他会觉得改动一下思路会更有利可图。
一个代替的办法是推迟给管理代币持有者的本钱报答(分红 / 回购-销毁),并设定 稳定性/ KPI 目标 上的条件。这背后的理由是,管理程序不应该取得当下的协议生长的报答,而应该取得未来生长的报答,以确保他们一向干得好。本质上,假如体系变得不再可靠,那管理程序要负起责任(他们就拿不到报答)。相反,这些奖金都应该以体系持续健康生长为条件。一个鲜明的对比:银行家和政客的短期鼓励机制。DeFi 给了用户一个时机,在管理结构中纠正这一点。
降低 GEV 会进步协议的可信度
尽管有许多的 ape 和 degen,以至于当下看来,即便高风险的协议也会取得本钱和用户 ——但大多数用户都更加讨厌风险。GEV 也是风险之一,并且比直接跑路的风险要更遍及。规划制衡 GEV 的体系将是 dApp 取得普及并实现其去中心化金融开始愿景的要害。愿天下无跑路。
脚注
【0】 Aave 管理程序有一个多签名的后门护卫,能够否决歹意的提议(更多是为开发者准备的,而不是给用户服务的)。
【1】对否决机制的扭曲能够给歹意提议者制造一个毒丸(即罚没)—— 尽管这或许被乱用,需要额外的分析。敞开罚没功用是风险的,除非其条件是能够证明的。举个比方,要证明一个验证者签名了两个相互竞争的区块很简单(PoS);在给定的状况前提下证明某笔交易是有用的也很简单(检验区块的有用性),但并不简单用这些办法来证明某个管理决议计划是歹意的。最终就会变成由一致的代理人来判别它是不是坏的,但这跟它本身坏不坏并不是一回事。这就会引出一系列的问题:怎样维护少量股东对立多数的暴政呢?
【2】智能合约能够规划成确定管理代币并交易一种代表确定财物的衍生代币。能够用黑名单功用来禁止合约参加管理,但这样也会禁用多签名的钱包(尽管能够经过白名单来允许运用特定的字节码,等等)。
作者: Leland Lee & Ariah Klages-Mundt
视野开拓
坚持人类身份毫无选择的单一性,哪怕只是一种下意识的观念,不仅会大大削减我们丰富的人性,而且也使这个世界处于一种一触即发的状况。-《身份与暴力》
