代币经济学案例分析系列(15):Lido
DAO 的脆弱性:Lido 的治理风险和机遇有哪些?
1. 研究背景
在这篇博客中,我们将分享对 Lido DAO 脆弱性的评估结果,包括:
研究方法和思路;
什么是 Lido,Lido 在权益证明(PoS)领域的重要性,以及 Lido 的利益相关者(Stakeholders)分析;
治理直觉:关于治理最小化和“适当规模化”的见解;
从系统的社会、技术和经济三大变革动力方面来看 Lido 的脆弱性;
结论和后续措施。
研究的目的是描绘出 Lido 当前的治理状态,以了解它的目标、动态和风险。这将有助于引导 Lido 发展治理流程以确保其在社会和技术方面的弹性,以及为实现目标提供风险管理,从而推动 Lido 在流动性质押行业的领导地位不断提升。
本文中,我们将脆弱性定义为一个与“威胁”相关的概念。**脆弱性通常出现在系统内部而不是外部,因此在许多情况下一旦发现脆弱性就可以对其进行管理。查明脆弱性所在可以为系统带来新的机遇,提高适应能力和弹性,进而促进系统的发展。**这对于旨在去中心化和自治(独立于外部方向)的 DAO 来说是必不可少的。
2. 研究方法和思路
我们采用了定性研究方法,包括利益相关者访谈和文档、代码存储库、区块浏览器、分析仪表板、合约接口、公众沟通渠道等。分析的范围主要集中在以太坊上的 Lido(注意:我们没有完整运行节点来检查和验证 Lido 合约,并且我们无法访问我们与之交互的任何 Web 服务器)。由于 Lido 是一个复杂的自适应系统,这些信息在研究期间( 2021 年 12 月到 2022 年 3 月 )是准确的,现在有些信息可能已经发生了改变。
3. 什么是 Lido 流动性质押?
Lido 是一个提供 ETH 质押衍生品以换取管理费的金融平台。Lido 允许用户通过将 ETH 存入 Lido 智能合约,获得可转让的 stETH(Lido 提供的 ETH 流动性质押衍生品),无需锁定资产或维护自己的质押基础设施的情况下赚取流动性质押代币奖励。作为交换,所有 ETH 质押衍生品的百分之十(可能会通过 $LDO 投票发生变化)流向由 $LDO 持有者控制的 Lido DAO。
$LDO 持有者即平台的所有者/管理者,管理 Lido DAO 的组织结构、可扩展的合约、Lido DAO 金库和以及 $LDO 本身。任何以太坊链(多链)之外的事物或 IRL(人)不由 $LDO 持有者直接拥有或管理。尽管这在未来可能会发生改变,但 Lido 治理职责目前被分散两处,链上 $LDO 投票,以及“用脚投票”的最终用户和运营商。
流动性质押是一个技术含量高、资本密集且竞争激烈的市场。为了 $LDO 持有者的利益,尽可能快地增加管理资产(AUM),以提高应计给 Lido 的管理费,然后再投资于更多的增长和安全。
3.1 为何 Lido 在 PoS 领域中如此重要
区块空间生产是一个竞争激烈的市场。权益证明 (PoS) 的通胀奖励自然是中心化的,少数大玩家很可能会主导市场。Lido 需要获得足够的市场份额,才能成为占主导地位的“去中心化”ETH 质押衍生品提供商,并且已经拥有先发优势。
如果 Lido 成功,在公共区块链领域,它将填补中心化交易所质押服务与 DIY 爱好者质押之间的巨大差距。这样,个人、机构、去中心化应用程序 (dApps)、DAO 和去中心化金融 (DeFi) 协议都可以从简单、安全、流动性质押的 ETH 中受益。然而,如果 Lido(或类似的去中心化流动性质押解决方案)无法做到这一点,那么受其管辖和监管机构法律约束的中心化交易所很可能会控制以太坊等主要区块链上的大部分质押,并且通过扩展拥有所有主要公共区块链上的区块空间的生产。生产区块空间的任何人都可以重新排序或审查交易。因此,区块空间是公共区块链中至关重要且有价值的资源。
如果 Lido 是一个更“去中心化”的系统,可以保护当前和未来 PoS 区块链的大部分,那么区块空间更有可能保持可信的中立(意味着不太可能被单一方或“卡特尔”占领)。这将使 $LDO 作为控制区块空间生产的治理代币以及从该区块空间生产中流出的价值变得越来越有价值。这意味着 Lido 需要识别并解决内部的社会、技术和经济脆弱性,以便它能够适应以保持竞争力,同时还能保持抵御外部威胁和环境变化的弹性,从而抵御集中化或失败。
3.2 Lido 利益相关者
Lido 有几个关键的利益相关者团体,他们有助于使简单、安全、流动质押的 ETH 成为可能。可按以下类别对它们进行分类:
主要:所有者、运营商和用户,例如 $LDO 持有者、治理小组委员会、多重签名者、Lido 员工和 stETH 最终用户。
次要:外部合作者,例如集成 stETH 的 DApps、验证运营商、预言机运营商、接口运营商等。
外部:与 Lido 有间接关系的团体或系统,例如第 1 层区块链、质押即服务的竞争提供商等。
这些利益相关者有助于使简单、安全、流动质押 ETH 成为可能。某些类别的利益相关者也经常在不同的环境中重叠或在角色之间转换。随着 Lido 的发展,其利益相关者群体也可能会发展(尤其是跨多个链,我们主要关注以太坊生态系统,多链超出了这个初步分析的范围)。
4. 治理直觉
4.1 关于治理最小化以及治理规模的见解
Lido 已经制定了一个“以太坊上无需信任质押”的路线图,强调通过智能合约托管和节点运营商参与自动化来实现治理最小化。“治理最小化”一词往往会在利益相关者中引发各种假设。清楚明了的阐释有助于协调利益相关方对未来治理讨论和决策的期望。
在这种情况下,治理最小化意味着“尽可能削弱权力并减少对治理的依赖”。正如 Paradigm 所说:“使用最广泛的协议将趋向于治理最小化”。这个想法是,相对于一个由当前所有者或运营商表示不会改变用户利益的系统,用户更有可能信任和使用的是一个无法改变他们利益的系统。
治理自动化是一种日益普遍的治理最小化方法,尤其是在 DeFi 协议中。治理自动化是指通过技术层的自动化,将治理过程算法化。例如,Lido 路线图强调验证器节点选择等功能的自动化。我们在这里注意到,这是治理过程自动化,因为治理本身无法自动化。如果一个算法做出治理决策,那是因为它被设计成以特定的方式进行治理。因此,过程自动化将治理从系统的操作层转移到设计层。
但是,仍然需要治理来批准该设计,并且引入算法治理会引入新的治理面(需要确定以塑造行为的行动领域)。自动化改变了系统中治理的方式,以及它对谁来说是透明和清晰的,而不是必然地增加简单性或效率。治理更多的是关于哪些功能应该自动化,哪些需要人工监督的问题。
在实践中,这通常看起来像是通过引入自动化来减少人为治理流程,同时有意地将人的治理应用到其它方面。然而,如果治理流程如此减少或受限,以至于无法再引导或治理系统,那么对意外威胁和事件做出反应的能力就会降低。例如,Lido 可能希望在本地层级限制团队的权力,同时让他们在这些限制范围内自由行动以提高运营效率(见下文“辅助运营效率”)。通过这种方式,运营可以保持高效,同时降低系统风险。随着 Lido 的发展,平衡自适应和弹性,并随着时间的推移调整这种平衡,对于持续的成功至关重要。
4.2 治理规模
Lido DAO 的问题是:DAO 如何通过自动化和对代码的信任来实现运营效率,同时使 DAO 治理者能够充分认识、投入、参与战略问责?这需要根据可以移除的和引导系统所需的流程来调整治理规模(称为“必要的多样性”)。
思考治理规模调整的一种方法是问“什么是可操作的?” (并且可以自动化),以及“什么是策略性的?” (并且可能需要投入人力);可以观察到什么(通过传感器和反馈使用控制理论术语),以及可以控制什么(通过执行器)。然后可以调整这些动态,以提供实现系统目标所需的问责制和运营效率。
换句话说,为了“去中心化”而“去中心化”是低效的。可能更有效的是减少单点故障,限制操作员权限,并为用户创建“参与”或“退出”系统的选项。从这个角度来看,限制 $LDO 持有者对大多数事情的权力,同时保留对需要投入人力的核心功能的权力,其实是一件好事 — — 这可能与主流的“DAO”概念背道而驰。
过度减少治理的风险是消除了自适应。如果治理的目的是使系统能够适应以履行其功能,那么治理面应该尽可能小但不能过小。定义治理面的目的是使其大小尽可能小但仍然可控。如果治理面过大,就无法控制和观察,从而破坏治理。如果治理面太小,则没有足够的控制杠杆来影响和引导系统。适当的治理面大小是通过刚好的而不是过度的操纵来引导系统实现其目标,但仅此而已。本文探讨的多种脆弱性是关于最小化治理风险以及如何区分治理和运营。
5. Lido 脆弱性
在代币系统安全的背景下,“去中心化”的主要目的之一是防止任何一方(内部或外部)将其意志强加于系统及其利益相关者方。如果一个系统是“去中心化的”,即使你不信任参与者,你也可以信任这个系统。本节旨在探索 Lido 可能存在单点故障(中心化)的所有领域,这些故障可能会降低其弹性,从而降低其履行功能(简单、安全、流动性质押代币)的能力。
对此的一种思考方式是通过控制理论的可控性和可观察性。在此“可控性”是指系统中的控制杠杆,“可观察性”是指如何观察和测量系统的行为。
系统是否可控(能够受信号影响在有限时间内达到给定的状态),并且是否可观察(能够从系统输出中获知状态的关键变化),如果是,那么可控性和可观察性如何?
添加传感器(测量状态和产品输出以生成反馈回路)和执行器(施加控制力或杠杆)的最有效位置在哪里?
系统中的哪些状态应该被测量,哪些是可以预估的?
考虑到这一点,我们将首先探索 Lido 治理方面的脆弱性:可控制和可观察的一组事物,涉及系统的目标和针对该目标的优化能力。我们分别从社会、技术和经济三个方面进行探索。
5.1 社会面的脆弱性
关于目的的自适应
自适应和治理最小化密不可分。有些人可能认为自适应(变化)与治理最小化(无变化)对立,但事实并非如此。
自适应是改变的能力。相反,治理最小化限制了可以更改的内容,以及在该集合中如何进行更改。自适应可以通过增加对决策制定的约束来最大程度地减少治理,而不会在发生意外事件时完全消除对系统的治理能力。这样,系统就可以进化,在不断变化的环境中变得更具弹性。
功能决定形式
一个机构的组织形式需要遵循其计划优化的功能。从广义上讲,Lido 是一个“DAO”,但它采用何种组织形式取决于它旨在实现的功能和它运行的环境。在较高的层面上,DAO 的“去中心化”和“自治”概念意味着没有任何一方控制系统。然而,这个概念应用在质押即服务和第 1 层协议的共识其实是有区别的。Lido 治理需要让系统尽可能简单,同时仍然允许系统适应提供简单、安全、流动质押。Lido 治理面的适当规模取决于系统的目的和所能做到的(或“可得性”)。Lido 需要能够适应不断变化的 L1 协议(例如 ETH2.0)和多个区块链生态系统,同时有效地实现其目的。
Lido 治理流程已经适应和发展,在启用新功能的同时,也可以对现有功能进行约束,以优化其目标。Lido 演变的一个例子是 Easy Track Governance。这是 Lido 的一个子系统,它为运营商提供了可以在最少的支持(自适应)下快速采取行动的自由,但可以采取的行动受到限制(治理最小化)。这降低了治理风险,同时也将高级目标设定决策(Aragon 投票)与低级执行决策(Easy Track 投票)分开。
展望未来,Lido 正在探索增加 DAO 投票时间和难度,以及对 Easy Track 治理施加更多约束。通过创建独立于策略、整个 DAO 决策的业务功能子系统,Lido 可以最大限度地减少治理(减少超级用户级的活动)并转向去信任的以太坊质押(更多普通用户级的活动)。
沟通与协调
沟通和紧急预案对于 DAO 的运作和治理至关重要。DAO 必须避免与沟通有关的过重的协调费用,但要有明确的计划和流程来了解如何适应和应对危机。这是 Lido 可以专业化的跨组织职能的一个领域,它通过跨多个第 1 层协议、实施团队和验证节点来扩大业务规模,并将团队转变为直接附属于 DAO 的工作组。
目前,Lido 团队和利益相关者之间的 DAO 间沟通是通过非正式模式进行的。如果存在错误、有争议的辩论或任何信任崩溃的情况,用户可能很难获取信息并采取行动保护自己的利益。一些关键的沟通功能依赖于特定的团队成员,在半开放渠道中看到消息并知道是否要与更广泛的 Lido 社区分享它们。如果信息没有被看到,人员会离开项目。如果项目继续扩展,关键功能必须根据职能而不是个体组成。这类沟通中断的潜在可能也是一种治理风险。
治理设计是改进 DAO 沟通的关键考虑因素。为了减少对个别团队成员的依赖,可以制定组织职能以提高自适应和保持适当冗余度。组织职能可以根据角色、责任和流程确定范围,即使人员发生变化也可以维持。这样,即使贡献者随时间变化,组织也可以稳定地继续运营。
运营治理的辅助性
经济学家 Elinor Ostrom 的”治理公地”原则是实现自下而上的自治战略的一种方法。
Ostrom 将“嵌套企业”作为一种原则,它认识到长期、复杂的资源系统通常被组织成嵌套组织的许多层,这些层共同执行资源调配、监控、执行、冲突解决和治理活动。换句话说,复杂、可扩展的组织在多个层面上运作,跨越个人、组织、更广泛的系统等。通过将组织相互嵌套,用户可以利用各种不同规模的组织来更好地管理各自规模的资源,以管理复杂性,从而实现整体效率、所有权、问责制和规模。
这种形式的治理被视为弹性的同义词,是一种“适应和转变以应对干扰以继续履行其核心职能的能力”。
这种治理设计的一个适当起点是辅助性原则:将决策权分别分配给治理安排的最低层级,在这种层级上能够胜任地行使这些权利的原则。辅助性是根据组织功能组织的,而不是系统中的特定行为者进行组织。指定组织功能提供了一个容器,该容器具有必要的权限和激励来服务于它的功能,而不是依赖于某些人。这样就可以在每个组织功能中适当设计冗余,并为每个功能如何相互作用建立共同理解的基础。它还允许系统所有者授予或撤销在这些容器内采取行动的权利。
Lido 已经开始采用不同的投票方式和一些团队的业务预算来做到这一点,这些团队只有在金额发生变化时才需要 DAO 投票(例如,LEGO 赠款)。了解辅助性原则和嵌套治理原则可以帮助 Lido 在适当的领域确定和推行这种方法。
非加密资产的所有权/运营
这里的非加密财产是指任何类型的数字或知识产权,需要法人实体和/或非加密支付才能拥有和运营,但与 Lido DAO 相关,包括 Lido 名称、根据隐私政策存储的信息、web 域名和沟通基础设施或软件订阅。
如果发生有争议的治理事件,Lido 的知识产权 (IP) 最有可能成为法律或政治斗争的中心。目前,它没有注册,也没有人明确拥有它。
为了避免潜在风险,例如生态系统合作伙伴退出、诉讼(例如 Craig Wright 比特币诉讼)或社区分叉,Lido 可能会考虑成立一个向 DAO 报告的附属实体,以处理合法操作或开源 IP。
5.2 技术面的脆弱性
本节探讨了 Lido 的主要治理机制以及与之相关的技术脆弱性:
整体(Lido Aragon DAO,目前由 $LDO 投票控制)
子系统(变化)
Lido 节点运营商子治理组(LNOSG)
Lido 生态系统资助组织(LEGO)
主要协调渠道
Aragon 早期投票
以太坊上的 Lido 由通过 Aragon DAO 进行的 $LDO 投票控制。这包括 Lido 金库、ETH2 取款密钥、节点和预言机运营者列表、DAO 访问控制列表 (ACL) 权限、EVM 脚本的执行等。因此,投票应用程序实际上是对 Lido 的根目录访问。
在撰写本文时(2022 年 3 月),Lido DAO 的权限设置如下:
任何具有已授予或未授予 $LDO 的地址都可以创建新投票。
投票通过至少需要总计 5% 的 $LDO 参与投票(同意/法定人数)。
在投票者中,50% 需要在投票窗口结束时批准提案才能通过(支持/下限)。
如果总供应票数的 50% 投票赞成或反对一项提案,它将获得绝对多数并立即执行。
一些可能会降低把持治理或削弱治理可能性的事项:
不要降低投票支持下限。
考虑增加难度(持续时间、支持度和参与度),以便尽可能少地使用根目录访问(并更多地使用子系统) — — 已经在进行中。
考虑创建更多具有受限权限的 Lido 子系统(如 Easy Track),但这使运营商可以自由地在这些约束范围内执行操作,从而不必使用更多的主(根访问)投票应用程序。
将 $LDO 分发给各种生态系统参与者,特别是那些具有长远眼光的参与者。这样,更多参与治理的利益相关者的利益与 Lido 的长期成功保持一致。在未来,这甚至可能包括一个时间加权的投票系统(投票托管、信念投票等),赋予在该系统中具有长期利益的利益相关方更多的治理权力。
创建自动监控工具,为每次投票提供警报,理想情况下,在出现异常 EVM 脚本时提供额外警告(例如,资金转移 > X%)。
评估自动化在何处以及如何帮助治理流程,以及它引入了哪些其它变革动力(治理面)。
因为 Aragon 投票等同于对 DAO 的根访问权限,所以妥协的严重性可能对 Lido 构成生存威胁。
托管接口
接口是连接用户和服务的门户。通常情况下,用户会相信接口所显示内容。虽然眼见为实,但看到了不等于看懂了。当大多数用户连接到他们的以太坊钱包或与 dApp 进行交互时,他们通常不会验证屏幕上显示的内容是否是区块链上的内容。这会造成接口不可用或具有误导性的风险,从而导致用户无法采取最佳行动来代表他们的利益。为了使 Lido 能够抵御内外部压力,利益相关者需要能够找到信息并据此采取行动。任何阻碍或干扰这一点的行为都可能对知情和参与治理构成风险。
潜在威胁包括但不限于:
审查接口以防止利益相关者使用。
修改接口显示的数据,使协调/沟通变得困难和/或诱使用户对错误的提案进行投票。
入侵接口以窃取用户的资产。
例如,Badger DAO 的接口最近被利用,损失金额达到 1.2 亿美元。这与他们的合约或以太坊区块链无关,只是他们的网站出现了问题。
另一个例子是第三方合约验证。安全研究员 @Samczun 最近在 Etherscan 的合约验证引擎中发现了一个零日漏洞(译者注:通常是指还没有修补程式的安全漏洞)。除了自己发现漏洞之外,防止零日漏洞的最佳方法是尽量减少对可信第三方的依赖。
总体而言,接口被攻击面通常大于智能合约,但它们也更加不透明,这使得它们难以得到保护。也就是说,可以做一些事情来使接口更具弹性。
内容寻址:最初的方法是尽可能使用内容寻址接口。如果每个版本都是不可变的,这将有助于最小化接口的治理。然后可以将内容寻址接口托管在 IPFS 或 Arweave 上。例如,请参阅 TornadoCash 接口。
自托管接口:让用户更容易启动或托管他们的接口也很重要。这将允许个人运行自己的接口,而无需信任第三方,而且如果主要接口中断,它还将允许生态系统合作伙伴(和诈骗者)托管其 Lido 接口。这为接口的竞争市场奠定了基础,而无需依赖任何特定的服务提供商。
多个独立接口:减少接口漏洞的另一种策略是供应商的竞争性市场。攻击者更难破坏多个接口或数据提供者,因此也不太可能。使用多个选项,用户可以比较提供者之间的结果。
验证者多样性
正如 Lido 研究论坛指出的那样,验证者客户端的多样性对于减少大幅削减的相关性以及减少对单一基础设施提供商的依赖至关重要。如果 Lido 验证者都使用相同的客户端软件,一个错误可能会影响 Lido 的所有 AUM,但如果 Lido 验证者使用一组多样化的客户端,那么任何人的错误都只会影响 AUM 的一个子集。这在以太坊合并后可能尤为重要,因为验证者将能够获得最大可提取价值 (MEV),但大多数 ETH2 客户端不提供与 MEV 相关的功能,这可能导致围绕提供的以太坊客户端进行整合。作为 Lido 节点运营商小组 ( LNOSG) 努力走向“无信任的以太坊质押”,$LDO 持有者应该了解这些动态,特别是对于批准新的节点运营商和/或任何对节点运营商进行排名和奖励的自动化系统。
我们注意到,这是 Lido 运营的核心竞争力,而且 Lido 似乎已经认识到这一点,并正在努力提升。
5.3 经济面的脆弱性
Lido 竞争在权益证明 (PoS) 系统中生产区块空间。这将通过区块补贴、费用和未来的 MEV 获得奖励。
对于区块生产的投资具有前瞻性和概率性。这意味着如果你控制了百分之十的验证能力(质押的代币),那么你可以期待未来区块奖励的百分之十左右。但是,如果其他验证者增加了他们的质押量,那么你可能只能期望较低比例的区块生产奖励。为了保持竞争力,你必须购买更多代币。这样就产生了一种激励,即及早购买尽可能多的代币,这样你就可以尽快赚取更多的代币,这样就可以质押它们来赚取更多代币。越早下注越早赚到钱,越早赚到钱就能越早下注。简而言之,PoS 验证很可能是赢家通吃的市场。质押市场的收益是巨大的,而 Lido 的目标是成为集中质押的领导者,一个去中心/非托管的质押池。
这强调了 Lido 所处的竞争激烈的市场动态。PoS 网络中占主导地位的验证者可能变得非常有价值,因此,对该验证者的治理将变得很有价值。这可能会引发对该系统控制权的竞争(想想 Curve Wars,但对于 MEV)。如果出现这种情况,有两种力量可能使这样的系统能够抵制中心化,同时继续提供中立的竞争性去中心化区块空间生产:竞争性市场和去中心化自治组织。
如果区块空间存在竞争市场,那么用户和验证者将有选择权。他们可以选择买卖哪些代币,以及使用或验证哪些链。然后,如果某一方成为网络上的多数区块生产者,如果用户和验证者可以轻松出售他们的代币并离开,他们不太可能“提高租金”。话虽这么说,专业 PoS 验证是高技术性和资本密集型的活动。那些最擅长的人很可能会获得更多的资本(代币、计算机和融资)来为所有的链做这件事。
如果去中心化治理系统控制大部分区块生产,那么该系统可以由不同的利益相关者群体控制,而不受他们中的任何单一方控制。这在实践中的具体情况取决于代币分配和该质押系统的治理,但它可能涉及随着时间的推移最小化治理面。通过最小化资源的治理,利益相关者争夺和获取该资源的能力被最小化。因此,如果一个系统预计会被争夺,它应该尽可能并尽快地最小化治理,只有在它能够做到的时候,同时保持它履行其功能所需的自适应时。
6. 结论和后续措施
我们在本文中的目标是根据系统的社会面、技术面和经济面三大变革动力来识别 Lido 治理的脆弱性。一旦发现脆弱性,就可以对其进行“治理”,以提高 Lido 的自适应和弹性。由于系统是动态的,这意味着它在不断变化,因此管理脆弱性以将其转化为机遇的过程也将是持续性的。
治理社会技术系统中的脆弱性需要分析利益相关者和技术机制。治理是利用控制杠杆在系统边界内引导系统。Lido 目前的结构使其能够为流动性质押的以太坊提供去中心化平台,同时也有足够的控制权来适应以太坊在从 1.0 到 2.0 的转变中不断变化的架构。久而久之,随着以太坊变得更加稳定,Lido 治理结构提供的适应能力可以不断地应用,使 Lido 更具弹性。这将尤为重要,因为随着 Lido 的发展并在多个区块链上变得更有价值,对 Lido 流动性质押的治理也将变得有价值。
随着时间的推移,Lido 可以通过最大限度地减少单点故障、增加“根级”治理的难度以及通过组织功能的辅助性和像 Easy Track 这样的子系统机制来创建更多的子系统治理,使业务能够在有限的条件下快速执行。其目标是使贡献能够支持提供去中心化的流动质押 ETH,同时降低任何特定行为者或业务过程的系统性风险。理想情况下,解决脆弱性可以减少恶意攻击或性能低下的可能性,同时以更无需许可和更高效的方式支持和奖励生产性贡献。这需要在战略层面上即时得到重视。
在去中心化自治组织和流动性质押这两个新兴的、高风险的领域,完成这项任务是非常复杂的。我们要赞扬 Lido 团队和社区为实现以太坊去中心化流动性质押所做的贡献。
原文:DAO Vulnerabilities: A Map of Lido Governance Risks & Opportunities