原文标题:《DAOVulnerabilities:AMapofLidoGovernanceRisks&Opportunities》
原文作者:BlockScience
原文编译:JeanneJiang,TheSeeDAO
研究背景
基于我们针对?DAO??脆弱性的研究成果,Lido??发起了「LidoDAO治理脆弱性全景研究」的提案,并联系到我们,对LIDO流动质押协议的治理进行韧性评估。在这篇文章中,我们将分享LidoDAO治理脆弱性的评估报告,包括以下部分:
研究方法和途径
什么是Lido,它在权益证明领域的重要性以及利益相关者分析图。
治理的直觉:对治理最小化和「合理规模」的见解。
从系统的社会、技术和经济动态层面看Lido的脆弱性。
结论和解决措施。
本研究的目标是描绘Lido的治理现状,以了解其目标、动态和风险。这可以帮助指导Lido治理过程的发展,在确保社会和技术弹性的同时,做好风险管理来支持Lido的发展目标,推动其在流动性质押行业的领先地位。
在这篇文章中,我们把「脆弱性」定义为一个与「威胁」相关的概念。「脆弱性」通常出现在系统内部,而不是外部。因此在许多情况下,一旦发现脆弱性就可以进行干预。对脆弱性的识别有助于提高系统的适应能力、复原力和增长发展的机会,这对旨在实现去中心化和自治的DAO来说是至关重要的。
研究方法和途径
我们采用了定性分析的研究方法,包括利益相关者访谈,文献、代码库、区块浏览器、数据看板、合约接口、公共传播渠道等方面的研究。这项研究的范围主要集中在以太坊上的Lido。另外,Lido是一个复杂的适应性系统,这些信息在研究期间是准确的,现在有些信息可能已经有了变化。
什么是Lido流动性质押??
Lido是一个提供?ETH??质押衍生品服务并收取管理费的金融平台。Lido允许用户无需锁定资产或维持自己的质押基础设施就可以获得流动性代币奖励,将ETH存入Lido?智能合约即可收到可转让的stETH。作为回报,所有ETH质押收益的10%归入LidoDAO,由LDO代币持有人控制。
LDO代币持有者是该平台的所有者/管理者。LDO代币持有者管理LidoDAO的组织架构、一套扩展合约,LidoDAO的国库,以及LDO代币本身。任何以太坊链之外的事物或IRL不由LDO代币持有人直接拥有或管理。虽然这在未来可能会改变,但Lido的治理责任目前由链上LDO代币投票者和用脚投票的终端用户以及运营者共同承担。
流动性质押是一个高技术、资本密集和充满竞争的市场。通过资产管理规模的快速增长来提升Lido收取的管理费数额,然后继续投资于进一步的增长和安全建设,这符合LDO代币持有人的利益。
为什么Lido在权益证明领域举足轻重
区块空间生产是一个竞争性市场。权益证明的通货膨胀奖励自然是中心化的,少数大玩家可能会主导市场。Lido需要获得足够的市场份额成为领先的「去中心化」ETH质押服务供应商,它现在已经有了先发优势。
如果Lido成功了,它将填补公共区块链领域中心化交易所质押服务和DIY兴趣质押之间的重大空白。这样,个人、机构、去中心化应用、DAO和去中心化金融协议都可以从简单、安全、流动性质押的ETH中受益。然而,如果Lido不能做到这一点,中心化的交易所又受制于其管辖区和监管机构的法律,很可能会控制以太坊等主要区块链上的大部分质押,进而拥有所有主要公共区块链上的区块空间生产。区块空间在公共区块链中是关键和宝贵的资源,谁生产区块空间,谁就可以重新排序或审查交易。
如果像Lido这样一个「去中心化」的系统保证了当前和未来大部分权益证明区块链的安全,那么区块空间就更有可能保持可信的中立性。这将使LDO作为控制区块空间生产的治理代币,以及从该区块空间生产中流出的价值越来越高。这意味着Lido需要识别和解决内部的社会、技术和经济脆弱性,以便它能够调整自身来保持竞争力和对外部威胁和环境变化的复原力,从而避免中心化或走向失败。
可以阅读Lido的白皮书和2022OKRs来更好地理解该项目。
Lido利益相关者
图2:以太坊上的Lido利益相关者图解。一些类别的利益相关者经常在不同的背景下发生角色重叠或互相转换。随着Lido的发展,它的利益相关者群体也可能会发生变化。
Lido有几个关键的利益相关者群体,他们对实现简单、安全、流动性强的ETH有重要作用。分别为:
主要利益相关者:所有者、经营者和用户,如LDO代币持有人、治理小组委员会、多重签名者、Lido员工和stETH终端用户。
二级利益相关者:外部合作者,如整合stETH的DApps、验证者运营、预言机运营、接口运营等。
外部利益相关者:与Lido有间接关系的团体或系统,如Layer1底层区块链、竞争性的质押服务提供者等。
这些利益相关者帮助实现了简单安全的ETH流动性质押。一些类别的利益相关者也经常在不同的背景下重叠或在不同的角色之间转换。随着不断的发展,Lido的利益相关者群体可能也会发生变化。
治理直觉
关于治理最小化和治理规模的看法
Lido发布了《以太坊上的无信任质押》的路线图,强调了通过智能合约托管和节点运营者的自动化参与来实现治理最小化。「治理最小化」往往会在利益相关者中引起各种假设,明确它的定义有助于统一利益相关者对未来治理讨论和决策的期望。
在此语境下,治理最小化意味着「尽可能减少对治理的权力和依赖」。正如?Paradigm??所说:「最广泛使用的协议将趋于治理最小化。」这个观点想表达的是:人们更愿意使用和信任一个不会违背他们利益的系统,而不是一个当前所有者或运营者说他们不会改变的系统。
自动化治理就是一种实现治理最小化的方法,目前正得到普及,尤其是在DeFi协议中。自动化治理是指通过技术层的自动化将治理过程算法化。例如,Lido路线图强调了验证器节点选择等功能的自动化。我们认为这里指的是治理过程的自动化,因为治理本身是不能被自动化的。如果一个算法做出了治理决定,那是因为它被设计为以特定方式进行治理。因此,流程自动化将治理从系统操作层转移到设计层。
然而,批准该设计同样需要治理,而引入算法治理则引入了新的治理面。自动化改变了系统中的治理方式,以及对谁来说是透明和可识别的,而不只是简化流程或者提高效率。治理更多的是一个什么功能应该被自动化,什么需要人类的监督的问题。
图3:来自《结合DAO的概念与控制论的先例》
实际上,这通常看起来是通过引入自动化来减少人为治理的过程,同时有意将人为治理应用到其他方面。然而,如果治理过程变得如此简化或局限,系统便不能再被「引导」或治理,那么对意外的威胁和事件做出反应的能力就会降低。例如,Lido可能希望对地方团队的权力进行限制,同时给予他们在这些限制下行动的自由来提高操作效率,这种方式可以保持高效的运营,同时减少系统性风险。随着Lido的发展,保持适应性和弹性的平衡,并随着时间的推移不断调整这种平衡,会是持续成功的关键。
治理规模化
LidoDAO的问题是:DAO如何通过自动化和对代码的信任保证操作效率,同时使DAO治理者对战略责任有足够的认识、接触和参与?这需要一种规模化治理的做法,即哪些东西可以剔除,哪些东西是引导一个系统的必要因素。
思考治理规模化的一种方法是想清楚以下几点:什么是可操作的?采用什么战略?什么可以被监测到?什么可以被控制?这些要素可以被调整,以达到实现系统目标所需的可靠性和运行效率。
换句话说,为了「去中心化」而「去中心化」是低效的。也许更有效的是减少单点故障,限制运营人员的权限,并为用户提供「参与」或「退出」系统的选择。从这个角度来看,限制LDO代币持有者对大多数事情的权力,但保留他们对需要人力投入的核心功能的权力,其实是一件好事。这可能会违背「什么是DAO」的主流概念,但也有可能不会。
过度简化治理的风险是会消除适应性。如果治理的目的是使一个系统能够适应并完成其功能,那么治理面应该是在一定范围内尽可能小,但不能过小。定义治理面的目的是建立尽可能小但可控的规模。如果治理面过大,就无法控制和观察,从而破坏了治理。如果治理面太小,就没有足够的操纵来影响和引导系统。适当的治理面大小是通过刚好的而不是过度的操纵来引导系统实现其目标。本文所探讨的多种脆弱性是关于最大限度地降低治理风险以及如何区分治理和运营。
Lido的脆弱性
从代币系统安全方面来看,「去中心化」的主要目的之一是防止任何一方将其意志强加于系统发展方向及其利益相关者。如果一个系统是「去中心化」的,即使你不相信参与者,你也可以相信这个系统。本节旨在探讨Lido可能存在「单点故障」的领域,这些领域可能会降低它的弹性,阻碍其成为简单、安全、流动性强的代币。
思考这个问题的一种方式是通过控制论概念中的可控性和可观察性。在这里,「可控性」指的是系统中的操纵杆控制,而「可观察性」指的是如何观察和测量系统的行为。
系统是否可控?是否可观察?如果是,如何可控,如何可观察?
哪里是增加感应器和执行机构的最有效的地方?
系统中的哪些状态应该被量化,哪些可以被估计?
根据这一方式,我们将从Lido治理面的脆弱性开始探索,包括:可控制和可观察的事物集合;关于系统目标和针对该目标的优化能力。我们将从社会、技术和经济层面分析。
图4:Lido脆弱性的变革动力
社会面的脆弱性
目标适应性
适应性和治理最小化是密不可分的。有些人可能认为,适应性与治理最小化是对立的,但事实并非如此。
适应性是改变的能力。相反,治理的最小化限制了可以改变的东西和在系统中如何改变的方法。随着时间的推移,通过增加对决策的限制,适应性使治理最小化成为可能,并且不会在出现意外时完全丧失对系统的治理能力。这样一来,一个系统就可以在不断变化的环境中发展得更有弹性。
功能决定形式
一个机构的组织形式需要遵循它想要优化的功能。广义上讲,Lido是一个「DAO」,但它采取什么样的组织形式取决于它所要实现的功能以及它所处的环境。在宏观层面上,DAO的「去中心化」「自治」概念意味着没有任何一方控制这个系统。然而,这个概念应用在质押即服务和底层协议的共识其实是有区别的。Lido的治理需要让系统尽可能简单,同时还允许系统具备适应性来提供简单、安全、流动的质押。Lido治理面的正确范围是由系统的目的和可能性决定的。Lido需要具备适应不断变化的L1协议和多个区块链生态系统的能力,同时还要有效地追求其目标。
Lido的治理过程已经有了调整和发展,在能实现新功能的同时,对现有功能进行约束,以优化其目标。其中一个例子便是EasyTrack治理。这是Lido的一个子系统,它为运营者提供了自由,让他们在最少的支持下快速启动,但限制了可实施的内容。这降低了治理风险,同时也将高层次的目标设定决策与低层次的执行决策分开。
Lido正在探索增加DAO的投票时间和难度,以及对EasyTrack治理施加更多限制。在未来,通过创建与战略、整个DAO决策相分离的运营功能子系统,Lido可以实现最小化治理,并向无信任的以太坊质押发展。
沟通&协调
沟通和紧急预案对DAO的运作和治理至关重要。DAO需要避免因沟通产生的协调费用过多的情况,同时要有明确的危机应对计划和危机适应流程。这是一个跨越组织职能的领域,当Lido将其运营规模扩大到多个底层协议、执行团队和验证者节点,以及将团队转变为直接附属于DAO的多个工作组时,才可以实现专业化。
目前,Lido团队和利益相关者的DAO内沟通是通过非正式的模式进行的。如果出现一个漏洞、一场有争议的辩论或出现任何信任破裂的场景,用户很难获得信息并采取行动保护他们的利益。一些关键的沟通功能依赖于特定的团队成员在半开放的渠道中看到信息,并且是否意识到与更广泛的Lido社区分享信息。如果信息没有被看到,人们会离开项目。如果项目继续扩大规模,关键功能必须由程序而不是个体组成。这种沟通中断的潜在可能也是一种治理风险。
治理设计对DAO的沟通改进有重要作用。为了减少对单个团队成员的依赖,可以制定组织功能,以提高适应性和降低冗余度。组织功能可以根据角色、责任和流程来确定范围,这样即使人员发生变化也能维持。这样,即使贡献者随时间变化,组织也能继续稳定地运作。
运营治理的辅助性原则
经济学家埃莉诺·奥斯特罗姆的《公共事物治理之道》中提到的原则正是自下而上的自我治理策略的一种方法。奥斯特罗姆提到了「嵌套企业」这一原则,认为长期存续的、复杂的资源系统通常被规划成许多层级的嵌套组织,共同完成供应、监测、执行、冲突解决和治理活动。换句话说,复合的、可扩展的组织可以在多个层面运作——横跨个人、组织以及更广泛的系统等。通过将组织相互嵌套,用户能够利用许多不同范围的组织,在每个范围上更好地治理他们的资源,管理复杂的体系,实现整体效率、所有权、问责制和范围的提升。
这种治理形式和「复原力」息息相关,复原力是一种「应对干扰的适应能力和转变能力,以继续履行其核心功能」。
这种治理设计的一个适当的出发点是辅助性原则:将决策权分配给治理安排中可胜任的最低层级。辅助性原则是根据组织的功能,而不是系统中的具体行为者来规划的。明确一个组织功能像是提供了一个容器,它被赋予必要的权力和激励措施来履行其功能,而不是对某些人的依赖。这允许冗余度在每个组织功能中被适当地设计,并为每个功能之间的互动创造一个共同理解的基础。它还允许系统所有者授予或撤销在这些「容器」内活动的权利。
Lido已经开始这样做了,为一些团队制定了不同的投票通道和业务预算,只有在改变金额时才需要DAO投票。了解辅助性原则和嵌套治理的原则可以帮助Lido在适当的领域检验和执行这种方法。
非加密财产的所有权和运营权
这里的非加密财产是指任何与LidoDAO相关的,包括「Lido」这一名称、「隐私政策」下存储的信息、网站域名、通信基础设施、软件订阅等需要法人实体和/或非加密支付才能拥有和运营的数字产权或知识产权。
如果出现有争议的治理事件,「Lido」这一名称的知识产权最有可能成为法律或斗争的中心。目前,它没有被注册,也没有人明确地拥有它。
为了避免生态系统合作伙伴退出、诉讼或社区分叉?等潜在的风险,Lido可能会考虑成立一个向DAO报告的附属公司,来处理法律业务或开源IP。
技术面的脆弱性
图5:Lido技术架构的不完全概述
本节探讨了Lido的主要治理机制和与之相关的技术脆弱性
全球节点
节点运营者注册
Oracle操作人员注册
财务管理
DAO权限和ACL?
子系统
EasyTrack治理
Lido节点运营商次级治理小组
Lido生态系统拨款组织
reWards委员会
存款监护委员会
协调主要渠道
Telegram?
GovernanceForum
Snapshot(签名投票)
SocialMedia
Aragon早期投票
以太坊上的Lido是通过AragonDAO并由LDO代币投票来控制的,包括Lido金库、ETH2提款密钥、节点和预言机操作员列表、DAO访问控制列表权限、EVM脚本的执行等等。因此,投票应用程序实际上是Lido的根访问权限。
在撰写本文时,LidoDAO的权限包括:
任何拥有归属或未归属LDO代币的地址都可以创建一个新的投票
为了使投票通过,参与投票的数量需要至少占LDO代币供应量的5%
在投票窗口结束时,50%的投票参与者批准提案后才能通过。
如果总供应量的50%投票赞成或反对一项提案,它符合绝对多数制并且可以立即执行。
这几件事也许会降低出现治理俘虏或治理妥协的可能性。
不要降低投票支持门槛。
考虑增加难度,尽可能减少根访问
考虑创建更多的Lido子系统,其权限受到限制,但这给了操作者在这些限制中行动的自由,这样就不必频繁使用主要的投票应用程序。
将LDO分发给广泛的生态系统参与者,特别是那些长期参与者。这样一来,更多治理参与者的利益与Lido的长期愿景是一致的。在未来,甚至可以添加一个时间加权的投票系统,赋予长期的利益相关者更多的治理权力。
创建自动监测工具,为每一次投票提供警报,最好是在出现不寻常的EVM脚本时提供额外警告。
评估自动化可以应用在哪些方面、如何帮助治理过程以及它引入了哪些额外的动态因素。
由于AragonVoting相当于对DAO的根访问,因此治理妥协可能会对Lido造成严重的生存威胁。
托管接口
接口是连接用户和服务的门户。通常情况下,用户相信接口向他们展示的东西。虽说眼见为实,但看到了不等于看懂了。当大多数用户连接他们的以太坊钱包或与DApp交互时,他们往往不会验证他们屏幕上显示的内容是否真的上链了。这就产生了一个风险,即接口可能不可用或有误导性,导致用户没有采取最佳行动来代表他们的利益。为了使Lido能够应对内部和外部的压力,利益相关者需要能够找到信息并对其采取行动。任何阻碍或干扰这一点的因素都可能成为治理知情权和参与权的风险。
潜在的威胁包括但不限于:
对接口进行审查以防止利益相关者使用。
修改接口显示的数据,使协调/沟通变得困难和/或诱导用户对错误的提案投票。
黑客攻击接口以窃取用户的资产。
例如,最近BadgerDAO的接口被利用,损失金额达到1.2亿美元。这与他们的合约或以太坊区块链无关,是他们的网站出现了问题。
另一个例子是第三方合约验证。安全研究员@Samczun最近在Etherscan的合约验证引擎中发现了一个零日漏洞。除了自己发现漏洞之外,防止零日漏洞的最好办法是尽量减少对受信任的第三方的依赖。
总的来说,接口被攻击的面通常比智能合约要大,并且它们更不透明,所以很难保证安全性。当然,也有一些措施可以使接口更有弹性:
内容寻址:最初的方法是尽可能使用内容寻址接口。如果每个版本都是不可改变的,这可以帮助最小化接口的治理。然后,内容寻址接口可以托管在?IPFS??或?Arweave。TornadoCash接口便是这样一个例子。
自我托管的接口:让用户更容易启动或托管他们的接口也很重要。这将允许个人运行他们自己的接口,而不需要信任第三方,同时也允许生态系统的合作伙伴在主要接口瘫痪的情况下托管他们的Lido接口。这为竞争性的接口市场建立了基础,并且不需要依赖任何特定的服务提供商。
多个独立的接口:另一个解决接口漏洞的策略是供应商的竞争性市场。攻击者要破坏多个接口或数据提供者是比较困难的,也是不太可能的。有了多种选择,用户可以在不同的供应商之间比较结果。
验证者的多样性
正如在Lido研究论坛上提到的,验证者客户端的多样性对于削减相关性以及减少对单一基础设施供应商的依赖非常重要。如果Lido验证者都使用相同的客户端软件,一个错误可能会影响Lido所有的资产管理规模,但如果Lido验证者使用多样化的客户端,那么任何一个错误都只会影响资产管理规模的其中一个子集。这在以太坊合并后可能特别重要,因为那时验证者将能够获得最大可提取价值,但大多数ETH2客户端不提供MEV相关的功能。Lido节点运营商分组正致力于实现「无信任的以太坊抵押」,LDO代币持有人应该注意这些变化,特别是对于批准新的节点运营商和/或任何对节点运营商进行排名和奖励的自动化系统。
我们注意到这是Lido运营的核心竞争力,而且Lido似乎已经意识到这一点并在努力。
经济面的脆弱性
Lido通过竞争在权益证明系统中生产区块空间。可以获得区块补贴、费用和未来的MEV作为回报。
投资区块生产是具有前瞻性和概率性的。这意味着,如果你控制了百分之十的验证权利,那么未来你也许能获得区块奖励的百分之十左右。但是,如果其他验证者增加了他们的质押,那么你只能获得较低比例的区块生产奖励。为了保持竞争力,你必须购买更多的代币。这就产生了一种激励机制,即尽早购买尽可能多的代币,这样就可以尽早参与质押赚取奖励。你越早质押就越早挣钱,而你越早挣钱就可以越早质押更多。简而言之,PoS验证可能是一个赢家通吃的市场,质押市场的好处多多。Lido的目标是:以去中心化、非托管的质押池模式,成为合并质押中的领军者。
这里需要提到Lido所处的市场竞争动态,在PoS网络中占主导地位的验证者可能会变得非常有价值,因此,对该验证者的治理也会变得有价值。但这可能会造成对该系统控制权的竞争。如果发生这种情况,有两种力量可能使这样的系统能够避免中心化,同时继续提供中立的竞争性去中心化区块空间生产:竞争市场和DAO。
如果区块空间是一个竞争市场,那么用户和验证者将有选择的权利。他们可以选择购买和出售哪些代币,以及使用或验证哪些链。如果某一方成为网络中大多数区块的生产者,他们不太可能「提高租金」,并且用户和验证者可以轻松出售他们的代币并选择离开。也就是说,专业的PoS验证者是高技术和资本密集型的。在这方面最擅长的人可能会得到更多的资本,进而可以参与到所有链。
如果一个去中心化的治理系统控制了大部分区块生产,那么这个系统可以由一个不同的利益相关者群体来指导,同时不受他们中任何一个人的控制。这在实践中如何呈现取决于该质押系统的代币分配和治理方式,但随着时间的推移可能会涉及到最小化治理面。通过资源的最小化治理,利益相关者争夺和捕获该资源的能力也被最小化了。因此,如果提前预料到一个系统会被争夺,那么应该尽快并尽其所能去减少治理,当且仅当它达到了这一点,同时保持它所需的适应性,才能使其功能得以实现。
结论和下一步措施
这篇文章中的目标是根据系统在社会、技术和经济层面的动力来找到Lido治理的脆弱性。一旦找到了脆弱性,就可以对它们进行「治理」,以提高Lido的适应性和复原力。由于系统是动态的、不断变化的,所以将治理脆弱性转化为机会的过程也将是持续性的。
治理社会技术系统的脆弱性需要对人类利益相关者和技术机制进行分析。治理是在一个系统的边界内使用操纵杆来引导该系统。Lido目前的结构使其能够为以太坊的流动性质押提供一个去中心化的平台,同时也有足够的控制力来适应以太坊1.0到2.0的过渡中不断变化的架构。随着时间的推移,以太坊变得更加稳定,Lido治理结构的适应能力就可以不断得到应用,使Lido更加具有弹性。这是及其重要的,随着Lido发展到多条区块链上并且变得更有价值,对Lido流动性质押的治理也将变得有价值。
通过最大限度地减少单点故障,增加「根级」治理的难度,利用组织功能的辅助性和能在约束范围内快速执行决策的子系统机制创造出更多的子系统治理,Lido可以提高其复原力。Lido的目标是为去中心化的ETH流动性质押做出贡献,同时减少任何特定行为者或运营过程的系统性风险。理想情况下,解决脆弱性问题可以降低恶意攻击或表现不佳的可能性,同时以更加无需许可和更有效的方式奖励富有成效的贡献。这需要在战略层面上即时得到重视。
在去中心化自治组织和流动性质押这两个新兴的、高风险的领域,完成这项任务是非常复杂的。我们要赞扬Lido团队和社区为实现以太坊去中心化流动性质押所做的贡献。
本报告由KelsieNabben、Burrrata、MichaelZargham和JessicaZartler共同撰写。特别感谢Lido团队、参与访谈的Lido利益相关者以及BlockScience团队提出的所有意见和反馈,尤其是JeffEmmett、PeterHacker和DavidSisson给予了很多帮助。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。