原文作者:BlockScience
本文來自The SeeDAO。
本文來自The SeeDAO。
研究背景
研究背景
基於我們針對DAO 脆弱性的研究成果,Lido 發起了「Lido DAO 治理脆弱性全景研究」的提案,並聯繫到我們,對LIDO 流動質押協議(liquid staking protocol)的治理進行韌性評估。在這篇文章中,我們將分享Lido DAO 治理脆弱性的評估報告,包括以下部分:
研究方法和途徑
什麼是Lido,它在權益證明(PoS)領域的重要性以及利益相關者(Stakeholders)分析圖。
治理的直覺(Governance Intuition):對治理最小化和「合理規模」的見解。
從系統的社會、技術和經濟動態層面看Lido 的脆弱性。
結論和解決措施。
本研究的目標是描繪Lido 的治理現狀,以了解其目標、動態和風險。這可以幫助指導Lido 治理過程的發展,在確保社會和技術彈性的同時,做好風險管理來支持Lido 的發展目標,推動其在流動性質押行業的領先地位。
在這篇文章中,我們把「脆弱性」定義為一個與「威脅」相關的概念。 「脆弱性」通常出現在系統內部,而不是外部。因此在許多情況下,一旦發現脆弱性就可以進行幹預。對脆弱性的識別有助於提高系統的適應能力、復原力和增長發展的機會,這對旨在實現去中心化和自治(指獨立於外部方向)的DAO 來說是至關重要的。
研究方法和途徑
我們採用了定性分析的研究方法,包括利益相關者訪談,文獻、代碼庫、區塊瀏覽器、數據看板、合約接口、公共傳播渠道等方面的研究。這項研究的範圍主要集中在以太坊上的Lido(注意:我們沒有運行一個完整的節點來檢查和驗證Lido 合約,也沒有訪問任何與我們交互的網絡服務器)。另外, Lido 是一個複雜的適應性系統,這些信息在研究期間(2021 年12 月至2022 年3 月)是準確的,現在有些信息可能已經有了變化。
什麼是Lido 流動性質押?
Lido 是一個提供ETH 質押衍生品服務並收取管理費的金融平台。 Lido 允許用戶無需鎖定資產或維持自己的質押基礎設施就可以獲得流動性代幣獎勵,將ETH 存入Lido 智能合約即可收到可轉讓的stETH(Lido 平台質押ETH 的流動性代幣)。作為回報,所有ETH 質押收益的10%(可通過LDO 投票改變)歸入Lido DAO ,由LDO 代幣持有人控制。
LDO 代幣持有者是該平台的所有者/ 管理者。 LDO 代幣持有者管理Lido DAO 的組織架構、一套擴展合約,Lido DAO 的國庫,以及LDO 代幣本身。任何以太坊鏈(多鏈)之外的事物或IRL(人)不由LDO 代幣持有人直接擁有或管理。雖然這在未來可能會改變,但Lido 的治理責任目前由鏈上LDO 代幣投票者和用腳投票的終端用戶以及運營者共同承擔。
流動性質押是一個高技術、資本密集和充滿競爭的市場。通過資產管理規模(AUM)的快速增長來提升Lido 收取的管理費數額,然後繼續投資於進一步的增長和安全建設,這符合LDO 代幣持有人的利益。
為什麼Lido 在權益證明(PoS)領域舉足輕重
區塊空間生產是一個競爭性市場。權益證明(PoS)的通貨膨脹獎勵自然是中心化的,少數大玩家可能會主導市場。 Lido 需要獲得足夠的市場份額成為領先的「去中心化」ETH 質押服務供應商,它現在已經有了先發優勢。
如果Lido 成功了,它將填補公共區塊鏈領域中心化交易所質押服務和DIY 興趣質押之間的重大空白。這樣,個人、機構、去中心化應用(dApps)、DAO 和去中心化金融(DeFi)協議都可以從簡單、安全、流動性質押的ETH 中受益。然而,如果Lido(或類似的去中心化流動性質押解決方案)不能做到這一點,中心化的交易所又受制於其管轄區和監管機構的法律,很可能會控制以太坊等主要區塊鏈上的大部分質押,進而擁有所有主要公共區塊鏈上的區塊空間生產。區塊空間在公共區塊鏈中是關鍵和寶貴的資源,誰生產區塊空間,誰就可以重新排序或審查交易。
圖片描述
圖片描述
圖片描述
圖2:以太坊上的Lido 利益相關者圖解。一些類別的利益相關者經常在不同的背景下發生角色重疊或互相轉換。隨著Lido 的發展,它的利益相關者群體也可能會發生變化。
Lido 有幾個關鍵的利益相關者群體,他們對實現簡單、安全、流動性強的ETH 有重要作用。分別為:主要利益相關者:
所有者、經營者和用戶,如LDO 代幣持有人、治理小組委員會、多重簽名者、Lido 員工和stETH 終端用戶。二級利益相關者:
外部合作者,如整合stETH 的DApps、驗證者運營、預言機運營、接口運營等。外部利益相關者:
與Lido 有間接關係的團體或系統,如Layer 1 底層區塊鏈、競爭性的質押服務(staking-as-a-service) 提供者等。
這些利益相關者幫助實現了簡單安全的ETH 流動性質押。一些類別的利益相關者也經常在不同的背景下重疊或在不同的角色之間轉換。隨著不斷的發展, Lido 的利益相關者群體可能也會發生變化(特別是在多個鏈上,但本文主要關注以太坊生態系統,所以這不在我們的初步分析範圍內)。
治理直覺
關於治理最小化和治理規模的看法
Lido 發布了《以太坊上的無信任質押》的路線圖,強調了通過智能合約託管和節點運營者的自動化參與來實現治理最小化。 「治理最小化」往往會在利益相關者中引起各種假設,明確它的定義有助於統一利益相關者對未來治理討論和決策的期望。
圖片描述
圖片描述
圖片描述
圖3:來自《結合DAO 的概念與控制論的先例》(Zargham,Nabben,2022)
實際上,這通常看起來是通過引入自動化來減少人為治理的過程,同時有意將人為治理應用到其他方面。然而,如果治理過程變得如此簡化或局限,系統便不能再被「引導」或治理,那麼對意外的威脅和事件做出反應的能力就會降低。例如,Lido 可能希望對地方團隊的權力進行限制,同時給予他們在這些限制下行動的自由來提高操作效率(見下文「運營效率的輔助性原則」),這種方式可以保持高效的運營,同時減少系統性風險。隨著Lido 的發展,保持適應性和彈性(復原力)的平衡,並隨著時間的推移不斷調整這種平衡,會是持續成功的關鍵。
治理規模化
Lido DAO 的問題是:DAO 如何通過自動化和對代碼的信任保證操作效率,同時使DAO 治理者對戰略責任有足夠的認識、接觸和參與?這需要一種規模化治理的做法(也就是我們熟知的「必要多樣性」),即哪些東西可以剔除,哪些東西是引導一個系統的必要因素。
思考治理規模化的一種方法是想清楚以下幾點:什麼是可操作(並且可以自動化)的?採用什麼戰略(可能需要投入人力)?什麼可以被監測到(控制理論術語為「通過傳感器和反饋」)?什麼可以被控制(通過「執行機構」)?這些要素可以被調整,以達到實現系統目標所需的可靠性和運行效率。
過度簡化治理的風險是會消除適應性。如果治理的目的是使一個系統能夠適應並完成其功能,那麼治理面應該是在一定範圍內盡可能小,但不能過小。定義治理面的目的是建立盡可能小但可控的規模。如果治理面過大,就無法控制和觀察,從而破壞了治理。如果治理面太小,就沒有足夠的操縱來影響和引導系統。適當的治理面大小是通過剛好的而不是過度的操縱來引導系統實現其目標。本文所探討的多種脆弱性是關於最大限度地降低治理風險以及如何區分治理和運營。
Lido 的脆弱性
Lido 的脆弱性
從代幣系統安全方面來看,「去中心化」的主要目的之一是防止任何一方(內部或外部)將其意志強加於系統發展方向及其利益相關者。如果一個系統是「去中心化」的,即使你不相信參與者,你也可以相信這個系統。本節旨在探討Lido 可能存在「單點故障」(中心化)的領域,這些領域可能會降低它的彈性,阻礙其成為簡單、安全、流動性強的代幣。
思考這個問題的一種方式是通過控制論概念中的可控性和可觀察性。在這裡,「可控性」指的是系統中的操縱桿控制,而「可觀察性」指的是如何觀察和測量系統的行為。
系統是否可控(可受信號影響,在有限的時間內達到給定的狀態)?是否可觀察(可從系統輸出了解狀態的關鍵變化)?如果是,如何可控,如何可觀察?
哪裡是增加感應器(測量狀態和產品輸出以產生反饋迴路)和執行機構(施加力量或控制操縱桿)的最有效的地方?
圖片描述圖片描述
圖片描述
圖4: Lido 脆弱性的變革動力
社會面的脆弱性
目標適應性
適應性和治理最小化是密不可分的。有些人可能認為,適應性(變化)與治理最小化(不變)是對立的,但事實並非如此。
適應性是改變的能力。相反,治理的最小化限制了可以改變的東西和在系統中如何改變的方法。隨著時間的推移,通過增加對決策的限制,適應性使治理最小化成為可能,並且不會在出現意外時完全喪失對系統的治理能力。這樣一來,一個系統就可以在不斷變化的環境中發展得更有彈性。
功能決定形式
一個機構的組織形式需要遵循它想要優化的功能。廣義上講,Lido 是一個「DAO」,但它採取什麼樣的組織形式取決於它所要實現的功能以及它所處的環境。在宏觀層面上,DAO 的「去中心化」「自治」概念意味著沒有任何一方控制這個系統。然而,這個概念應用在質押即服務(staking as service)和底層協議的共識其實是有區別的。 Lido 的治理需要讓系統盡可能簡單,同時還允許系統具備適應性來提供簡單、安全、流動的質押。 Lido 治理面的正確範圍是由系統的目的和可能性(或可達性)決定的。 Lido 需要具備適應不斷變化的L1 協議(如ETH2.0)和多個區塊鏈生態系統的能力,同時還要有效地追求其目標。
Lido 的治理過程已經有了調整和發展,在能實現新功能的同時,對現有功能進行約束,以優化其目標。其中一個例子便是Easy Track 治理。這是Lido 的一個子系統,它為運營者提供了自由,讓他們在最少的支持下快速啟動(適應性),但限制了可實施的內容(治理最小化)。這降低了治理風險,同時也將高層次的目標設定決策(Aragon 投票)與低層次的執行決策(Easy Track 投票)分開。
Lido 正在探索增加DAO 的投票時間和難度,以及對Easy Track 治理施加更多限制。在未來,通過創建與戰略、整個DAO 決策相分離的運營功能子系統,Lido 可以實現最小化治理(減少超級用戶層面的活動),並向無信任的以太坊質押(更多普通用戶層面的活動)發展。
溝通& 協調
溝通和緊急預案對DAO 的運作和治理至關重要。 DAO 需要避免因溝通產生的協調費用過多的情況,同時要有明確的危機應對計劃和危機適應流程。這是一個跨越組織職能的領域,當Lido 將其運營規模擴大到多個底層協議、執行團隊和驗證者節點,以及將團隊轉變為直接附屬於DAO 的多個工作組時,才可以實現專業化。
目前,Lido 團隊和利益相關者的DAO 內溝通是通過非正式的模式進行的。如果出現一個漏洞、一場有爭議的辯論或出現任何信任破裂的場景,用戶很難獲得信息並採取行動保護他們的利益。一些關鍵的溝通功能依賴於特定的團隊成員在半開放的渠道中看到信息,並且是否意識到與更廣泛的Lido 社區分享信息。如果信息沒有被看到,人們會離開項目。如果項目繼續擴大規模,關鍵功能必須由程序而不是個體組成。這種溝通中斷的潛在可能也是一種治理風險。
治理設計對DAO 的溝通改進有重要作用。為了減少對單個團隊成員的依賴,可以製定組織功能,以提高適應性和降低冗餘度。組織功能可以根據角色、責任和流程來確定範圍,這樣即使人員發生變化也能維持。這樣,即使貢獻者隨時間變化,組織也能繼續穩定地運作。
運營治理的輔助性原則
經濟學家埃莉諾·奧斯特羅姆的《公共事物治理之道》中提到的原則正是自下而上的自我治理策略的一種方法。奧斯特羅姆提到了「嵌套企業」這一原則,認為長期存續的、複雜的資源系統通常被規劃成許多層級的嵌套組織,共同完成供應、監測、執行、衝突解決和治理活動。換句話說,複合的、可擴展的組織可以在多個層面運作——橫跨個人、組織以及更廣泛的系統等。通過將組織相互嵌套,用戶能夠利用許多不同範圍的組織,在每個範圍上更好地治理他們的資源,管理複雜的體系,實現整體效率、所有權、問責制和範圍的提升。
這種治理形式和「復原力」息息相關,復原力是一種「應對乾擾的適應能力和轉變能力,以繼續履行其核心功能」。
這種治理設計的一個適當的出發點是輔助性原則:將決策權分配給治理安排中可勝任的最低層級。輔助性原則是根據組織的功能,而不是系統中的具體行為者來規劃的。明確一個組織功能像是提供了一個容器,它被賦予必要的權力和激勵措施來履行其功能,而不是對某些人的依賴。這允許冗餘度在每個組織功能中被適當地設計,並為每個功能之間的互動創造一個共同理解的基礎。它還允許系統所有者授予或撤銷在這些「容器」內活動的權利。
Lido 已經開始這樣做了,為一些團隊制定了不同的投票通道和業務預算,只有在改變金額時才需要DAO 投票(例如LEGO 撥款)。了解輔助性原則和嵌套治理的原則可以幫助Lido 在適當的領域檢驗和執行這種方法。
非加密財產的所有權和運營權
這裡的非加密財產是指任何與Lido DAO 相關的,包括「Lido」這一名稱、「隱私政策」下存儲的信息、網站域名、通信基礎設施、軟件訂閱等需要法人實體和/ 或非加密支付才能擁有和運營的數字產權或知識產權。
圖片描述
圖片描述
圖片描述
圖5:Lido 技術架構的不完全概述
本節探討了Lido 的主要治理機制和與之相關的技術脆弱性全球節點
(Lido Aragon DAO,目前由LDO 代幣投票控制)
節點運營者註冊
Oracle 操作人員註冊
財務管理
子系統
Easy Track 治理
Easy Track 治理
Lido 節點運營商次級治理小組
Lido 生態系統撥款組織
reWards 委員會
協調主要渠道
Telegram(非正式聊天)
Telegram(非正式聊天)
二級標題
二級標題
Aragon 早期投票
Aragon 早期投票以太坊上的Lido 是通過Aragon DAO 並由LDO 代幣投票來控制的,包括Lido 金庫、ETH2 提款密鑰、節點和預言機操作員列表、DAO 訪問控制列表(ACL)權限、EVM 腳本的執行等等。因此,
投票應用程序實際上是Lido 的根訪問權限。
在撰寫本文時(2022 年3 月),Lido DAO 的權限包括:
任何擁有歸屬或未歸屬LDO 代幣的地址都可以創建一個新的投票
為了使投票通過,參與投票的數量需要至少佔LDO 代幣供應量的5%(批准/ 法定人數)
在投票窗口結束時,50% 的投票參與者批准提案後才能通過(支持/ 閾)。
如果總供應量的50% 投票贊成或反對一項提案,它符合絕對多數制並且可以立即執行。
這幾件事也許會降低出現治理俘虜或治理妥協的可能性。
不要降低投票支持門檻。考慮增加難度(時間、支持度和參與度),盡可能減少根訪問
(更多地使用子系統)【進行中】
考慮創建更多的Lido 子系統(如Easy Track),其權限受到限制,但這給了操作者在這些限制中行動的自由,這樣就不必頻繁使用主要的(根訪問)投票應用程序。
將LDO 分發給廣泛的生態系統參與者,特別是那些長期參與者。這樣一來,更多治理參與者的利益與Lido 的長期願景是一致的。在未來,甚至可以添加一個時間加權的投票系統(投票託管、信任投票等等),賦予長期的利益相關者更多的治理權力。
二級標題
二級標題
二級標題
託管接口
接口是連接用戶和服務的門戶。通常情況下,用戶相信接口向他們展示的東西。雖說眼見為實,但看到了不等於看懂了。當大多數用戶連接他們的以太坊錢包或與DApp 交互時,他們往往不會驗證他們屏幕上顯示的內容是否真的上鍊了。這就產生了一個風險,即接口可能不可用或有誤導性,導致用戶沒有採取最佳行動來代表他們的利益。為了使Lido 能夠應對內部和外部的壓力,利益相關者需要能夠找到信息並對其採取行動。任何阻礙或乾擾這一點的因素都可能成為治理知情權和參與權的風險。
潛在的威脅包括但不限於:
對接口進行審查以防止利益相關者使用。
修改接口顯示的數據,使協調/ 溝通變得困難和/ 或誘導用戶對錯誤的提案投票。
黑客攻擊接口以竊取用戶的資產。
例如,最近Badger DAO 的接口被利用,損失金額達到1.2 億美元。這與他們的合約或以太坊區塊鏈無關,是他們的網站出現了問題。
另一個例子是第三方合約驗證。安全研究員@Samczun 最近在Etherscan 的合約驗證引擎中發現了一個零日漏洞。除了自己發現漏洞之外,防止零日漏洞的最好辦法是盡量減少對受信任的第三方的依賴。
總的來說,接口被攻擊的面通常比智能合約要大,並且它們更不透明,所以很難保證安全性。當然,也有一些措施可以使接口更有彈性:內容尋址:
最初的方法是盡可能使用內容尋址接口。如果每個版本都是不可改變的,這可以幫助最小化接口的治理。然後,內容尋址接口可以託管在IPFS 或Arweave。 TornadoCash 接口便是這樣一個例子。自我託管的接口:
二級標題二級標題
二級標題
驗證者的多樣性
正如在Lido 研究論壇上提到的,驗證者客戶端的多樣性對於削減相關性以及減少對單一基礎設施供應商的依賴非常重要。如果Lido 驗證者都使用相同的客戶端軟件,一個錯誤可能會影響Lido 所有的資產管理規模,但如果Lido 驗證者使用多樣化的客戶端,那麼任何一個錯誤都只會影響資產管理規模的其中一個子集。這在以太坊合併後可能特別重要,因為那時驗證者將能夠獲得最大可提取價值(MEV),但大多數ETH2 客戶端不提供MEV 相關的功能(這可能導致圍繞以太坊客戶端的合併)。 Lido 節點運營商分組(LNOSG)正致力於實現「無信任的以太坊抵押」,LDO 代幣持有人應該注意這些變化,特別是對於批准新的節點運營商和/ 或任何對節點運營商進行排名和獎勵的自動化系統。
我們注意到這是Lido 運營的核心競爭力,而且Lido 似乎已經意識到這一點並在努力。
經濟面的脆弱性
Lido 通過競爭在權益證明(PoS)系統中生產區塊空間。可以獲得區塊補貼、費用和未來的MEV 作為回報。
投資區塊生產是具有前瞻性和概率性的。這意味著,如果你控制了百分之十的驗證權利(質押的代幣),那麼未來你也許能獲得區塊獎勵的百分之十左右。但是,如果其他驗證者增加了他們的質押,那麼你只能獲得較低比例的區塊生產獎勵。為了保持競爭力,你必須購買更多的代幣。這就產生了一種激勵機制,即儘早購買盡可能多的代幣,這樣就可以儘早參與質押賺取獎勵。你越早質押就越早掙錢,而你越早掙錢就可以越早質押更多。簡而言之,PoS 驗證可能是一個贏家通吃的市場,質押市場的好處多多。 Lido 的目標是:以去中心化、非託管的質押池模式,成為合併質押中的領軍者。這裡需要提到Lido 所處的市場競爭動態,在PoS 網絡中占主導地位的驗證者可能會變得非常有價值,因此,對該驗證者的治理也會變得有價值。但這可能會造成對該系統控制權的競爭(想想MEV 的曲線戰爭)。如果發生這種情況,有兩種力量可能使這樣的系統能夠避免中心化,同時繼續提供中立的競爭性去中心化區塊空間生產:
競爭市場和DAO。
如果區塊空間是一個競爭市場,那麼用戶和驗證者將有選擇的權利。他們可以選擇購買和出售哪些代幣,以及使用或驗證哪些鏈。如果某一方成為網絡中大多數區塊的生產者,他們不太可能「提高租金」,並且用戶和驗證者可以輕鬆出售他們的代幣並選擇離開。也就是說,專業的PoS 驗證者是高技術和資本密集型的。在這方面最擅長的人可能會得到更多的資本(代幣、電腦和融資),進而可以參與到所有鏈。
如果一個去中心化的治理系統控制了大部分區塊生產,那麼這個系統可以由一個不同的利益相關者群體來指導,同時不受他們中任何一個人的控制。這在實踐中如何呈現取決於該質押系統的代幣分配和治理方式,但隨著時間的推移可能會涉及到最小化治理面。通過資源的最小化治理,利益相關者爭奪和捕獲該資源的能力也被最小化了。因此,如果提前預料到一個系統會被爭奪,那麼應該盡快並儘其所能去減少治理,當且僅當它達到了這一點,同時保持它所需的適應性,才能使其功能得以實現。
結論和下一步措施
這篇文章中的目標是根據系統在社會、技術和經濟層面的動力來找到Lido 治理的脆弱性。一旦找到了脆弱性,就可以對它們進行「治理」,以提高Lido 的適應性和復原力。由於系統是動態的、不斷變化的,所以將治理脆弱性轉化為機會的過程也將是持續性的。
治理社會技術系統的脆弱性需要對人類利益相關者和技術機制進行分析。治理是在一個系統的邊界內使用操縱桿來引導該系統。 Lido 目前的結構使其能夠為以太坊的流動性質押提供一個去中心化的平台,同時也有足夠的控制力來適應以太坊1.0 到2.0 的過渡中不斷變化的架構。隨著時間的推移,以太坊變得更加穩定,Lido 治理結構的適應能力就可以不斷得到應用,使Lido 更加具有彈性。這是及其重要的,隨著Lido 發展到多條區塊鏈上並且變得更有價值,對Lido 流動性質押的治理也將變得有價值。
原文鏈接
原文鏈接
