撰文:Danny Ryan,以太坊基金会核心研究员
编辑:南风
流动性质押衍生品(Liquid Staking Derivatives,以下简称LSD),比如 Lido 或其他类似的协议,是一个形成卡特尔化的层面,当它们超过关键的共识阈值时,会对以太坊协议和汇集的相关资本产生重大风险。资本配置者应该意识到其资本的风险,并分配到其他替代协议。同时,LSD 协议应该自我限制,以避免最终可能摧毁他们产品的中心化和协议风险。
注意,虽然目前的 LSD 协议 (如 Lido) 还有很大的改进空间,但本文并没有针对目前这些实现的设计中的缺陷。相反,本文的目的是表明,当 LSD 协议在超过共识阈值时存在的固有问题。
形成卡特尔化的层面
在极端情况下,如果某个 LSD 协议超过了关键的共识阈值,比如 1/3、1/2 或者 2/3(即该 LSD 协议中汇集的 ETH 质押金超过了以太坊信标链中的 ETH 总质押金的 1/3、1/2 或者 2/3),并通过协同的 MEV(矿工可提取价值)、出块时间操纵和/或 (交易) 审查——即区块空间的卡特尔化,那么与其他未汇集起来的 ETH 质押金相比,质押衍生品可以实现超额利润。在这种情况下,由于卡特尔的巨额回报,那么通过其他地方参与 ETH 质押的资本将会受挫,从而自我强化了这个卡特尔对 ETH 质押的控制。
LSD 协议可以随着时间的推移将治理、可升级性和其他风险降到最低,但是“谁”可以成为 LSD 协议中的节点运营者(Node Operator,以下简称NO)集的一部分的问题仍然存在。这个控制杆是形成卡特尔化的主要原因。
决定“谁”成为 LSD 协议的节点运营者(NO) 涉及两个问题——即“谁”被添加到节点运营者集中,“谁”从该集中被移除。从长远来看,这可以通过两种方式设计——要么通过治理(代币投票或其他类似机制),要么通过围绕声誉和盈利能力的自动化机制来决定。
选项1:对节点运营者的治理
就第一种设计方式而言,即通过治理来决定 NO (节点运营者),治理代币(比如 Lido 协议的 LDO 代币)成为了以太坊的一个主要风险。如果该代币可以决定“谁”可以成为这个理论上占多数的 LSD 协议中的节点运营者,那么该代币的持有者们可以 (通过投票) 强制该 NO 进行诸如交易审查、多区块 MEV 提取等活动,否则他们就将该 NO 从节点运营者集中移除出去。
事实上,这种经济垄断活动的强制执行只会加强该代币对 NOs 的控制。如果该代币行使其垄断,通过破坏性机制获得超额利润,那么,在极端情况下,NOs 将不会像独立运营那样盈利。因此,能够决定 NOs 的治理代币可能成为一种自我强化的卡特尔化和对以太坊协议的滥用。
这种决定 NOs 的治理还有另一个明显的风险,那就是监管审查和控制。如果在某个 LSD 协议中汇集的 ETH 质押金超过了以太坊协议中总质押金的 50%,那么这些汇集起来的 ETH 质押金就获得了审查区块的能力(更糟糕的是,如果这些汇集的 ETH 质押金占到了总质押金的 2/3,那么它们就能够“敲定”这些区块)。在一场监管审查攻击中,我们现在有一个明显的实体——即治理代币的持有者——监管机构可以向他们提出审查区块的请求。这很可能是一个比以太坊网络作为一个整体更简单的监管目标,具体取决于该代币的分布情况。事实上,DAO 代币的分布情况通常是非常糟糕的,只有几个实体决定大多数投票。
因此,在对占多数地位的 LSD 协议的任何形式的代币治理控制中,我们都依赖于该协议的 DAO 或任何治理结构的善意。依靠这样一个实体的善意、匿名性或其代币在地理上的分布情况来阻止攻击是不安全的,我们必须将这视为从长远来看是不够的。
选项2:基于盈利能力来选择节点运营者
就第二种设计方式而言,即基于 NOs 的盈利能力和声誉来选择“谁”可以被添加进 LSD 协议的节点运营者集中,我们实际上最终会得到一个类似的,尽管是自动的卡特尔化结局。首先,进入节点运营者集中需要一定的时间和资本 (也即投入一些 ETH,类似于 Rocket Pool 的设计,然后慢慢地展示自身的盈利能力并分配到更多的 ETH 质押金)。尽管进入这个节点运营者集需要时间和资本,这可能会让新进入者更难以进入,但这并不是这种设计方式真正的卡特尔化向量。相反,这种设计方式的卡特尔化向量是,如果 NOs 的表现达不到某些盈利标准,那么就会被自动移出节点运营者集。
基于盈利能力来从节点运营者集中踢出去,这可能是确保 NOs 对 LSD 协议资金池有利的唯一的无须信任的 (非治理) 方式。但定义盈利能力会面临问题——要么你定义一些绝对数字(比如良好的基线 ETH 增发奖励),要么你需要定义一些相对数字(比如在平均/正常盈利能力的 10% 以内)。
但考虑到 MEV/交易奖励在某些时间窗口的不可预测性,以及 MEV 奖励对长期利润的重要性,这些数字需要是动态的,并在一段时间内与其他节点运营者/验证者进行比较。也就是说,由于系统在一段时间内的经济活动的高变动性,系统不能设计成有一些绝对指标——比如必须从交易费中获得 X 的盈利。
当所有节点运营者都使用“诚实的”技术时,这种盈利能力对比指标可能很好地起作用,但如果任意数量的 NOs 使用破坏性技术(比如多区块 MEV 提取或调整出块以获取更多 MEV),从而扭曲了盈利目标,那么诚实的 NOs 将最终会被从节点运营者集中踢出去 (如果他们不加入并使用这些破坏性技术的话)。
因此,这意味着无论采用上述哪种方法——不管是对 NOs 的治理还是基于盈利能力的选择/驱逐——这种超过共识阈值的资金池都会成为卡特尔化的一个层面。它要么是通过治理形成的直接卡特尔,要么是通过智能合约设计形成的具有破坏性的、盈利能力强的卡特尔。
质押的 ETH 作为治理的后盾
题外话:一些人认为,LSD ETH 持有者可以在其底层 LSD 协议的治理中拥有发言权,从而成为一个可能是分布情况糟糕的、富豪统治的治理代币的安全后盾。
这里需要注意的是,从定义上来说,ETH 持有者并不是以太坊用户,且从长远来看,我们预计以太坊用户比ETH持有者要多得多。这是说明以太坊治理的一个关键而重要的事实——ETH 持有者或质押者没有被授予链上治理。以太坊是一个由用户来选择运行的协议。
从长期来看,ETH 持有者只是用户的一个子集,因此参与质押的 ETH 持有者甚至是该子集的子集。在极端情况下,即所有的 ETH 都通过某个 LSD 协议参与质押,被质押的 ETH 的治理投票权重并不能为用户保护以太坊平台。
治理的阴险本质
即便在 LSD 治理中存在时间延迟,使得汇集的资金可以在治理变化发生之前退出系统,LSD 协议也会遭受「温水煮青蛙」的治理攻击。小而缓慢的变化不太可能让质押资本退出系统,但随着时间的推移,系统仍然可以发生巨大的变化。
此外,如前所述,LSD 持有者与以太坊用户并不相同。LSD 持有者可能会接受某种审查制度所需的治理投票,但这仍然是对以太坊协议的攻击,用户和开发者将通过他们可以使用的手段——社交干预来减轻这种攻击。
需要注意的是:“在面临恶意治理的情况下,质押的 ETH 总是可以退出”实际上在今天技术上是不正确的,未来也不确定是正确的。验证者的激活密钥是当前以太坊 PoS 设计中唯一允许从质押中退出的密钥。虽然有许多提案建议添加 BLS 和智能合约退出凭据的功能来启动退出,但这些都还没有在目的或设计上达成一致。
资本的风险 vs. 对系统的风险
上面的大部分讨论都集中在 LSD 池 (如 Lido)对以太坊协议构成的风险,而不是对在池系统中持有资本的人构成的风险。因此,这似乎受到了「公地悲剧」的影响——每个人做出一个理性的决定来使用该 LAS 协议进行质押,这对用户来说是一个好决定,但对协议来说是一个越来越坏的决定。但是,事实上,当超过共识阈值时,对以太坊协议的风险和分配给该 LSD 协议的资本的风险是捆绑在一起的。
卡特尔化、滥用的 MEV 提取、(交易) 审查等都是对以太坊协议的威胁,用户和开发者将以与传统中心化攻击相同的方法应对这些威胁——即通过社交干预来烧毁。因此,将资金汇集进入这个卡特尔化层,不仅使以太坊协议处于风险之中,而且反过来也使这些汇集的资本处于风险之中。
这些可能看起来像「尾部风险」,很难让人认真对待,或者可能永远不会发生,但如果我们在 Crypto 领域了解到任何东西——如果它可以被利用或有一些不太可能的“临界边缘情况”,那么它将比你想象的更快地被利用或崩溃。在这个开放的动态环境中,脆弱的系统一次又一次地崩溃,易受攻击的系统被攻击以获取乐趣和利益。
以太坊协议和用户可以从一次 LSD 中心化和治理攻击中恢复过来,但这不会很美好。我建议Lido 和类似的 LSD 产品为了自身的利益而自我限制,并建议资本配置者意识到 LSD 协议设计中固有的资本汇集风险。由于相关的固有和极端风险,资本分配者们分配给 LSD 协议的 ETH 质押金不应该超过 ETH 总质押金的 25%。
**本文仅代表原作者观点,不构成任何投资意见或建议。