Tomando a Lido como ejemplo, una discusión en profundidad sobre los riesgos potenciales del protocolo LSD

Título original: Sobre los riesgos del LSD

Autor original: sacha

Recopilación del texto original: Qianwen, ChainCatcher

Prólogo

Este artículo es una respuesta a algunas de las opiniones de Danny Ryan (que se presentarán en detalle más adelante).

Lo contrario de un hecho es una falacia, pero lo contrario de una verdad profunda bien puede ser otra verdad profunda. -Niels Bohr

En general, creo que la posición de Danny es excelente. Pero también creo que su enfoque conlleva riesgos igualmente importantes que no se han discutido adecuadamente en público.

No creo que el punto de Danny sea incorrecto per se, pero sí creo que hay otro lado de su punto que no se comunica con suficiente claridad. De eso se trata exactamente este artículo.

Introducción a la gobernanza dual

La gobernanza dual es un paso importante para reducir el riesgo de gobernanza del protocolo Lido. Representa un cambio del capitalismo de accionistas al capitalismo de partes interesadas. También proporciona una forma práctica para que los titulares de Ethereum tengan voz y voto en los cambios del protocolo Lido.

Su objetivo principal es evitar que los titulares de LDO cambien el contrato social entre el protocolo y los titulares de stETH sin el consentimiento del protocolo y los titulares de stETH. Actualmente, los titulares de LDO tienen un poder significativo sobre el protocolo y pueden provocar cambios importantes en este contrato social. Estos poderes incluyen:

• Actualice el código del protocolo de calibración de liquidez de Ethereum
• Gestionar la lista de miembros del comité de oráculo de la capa de consenso de Ethereum
• Cambiar la forma en que se distribuye la participación entre los operadores de nodos de maneras potencialmente dañinas o inesperadas (por ejemplo, agregar o eliminar operadores de nodos Ethereum incluidos en la lista blanca)
• Cambiar la estructura de gobernanza de maneras inesperadas o potencialmente dañinas (por ejemplo, acuñar o quemar LDO, cambiar los parámetros del sistema de votación)
• Cambió el índice de tarifa total del Acuerdo de Inversión de Liquidez de Ethereum fuera de los rangos acordados (además de definir esos rangos). *Decide cómo utilizar la tesorería.

Con la excepción del gasto del tesoro, todos estos poderes afectan directamente a los titulares de stETH. La gobernanza dual permite fundamentalmente a los titulares de STETH vetar cualquiera de las modificaciones antes mencionadas al protocolo Lido sin introducir nuevos vectores de ataque ni imponer una carga política indebida a los titulares de STETH.

Gobernanza del operador de nodo

Danny cree:

"Determinar quién es el operador de nodo (operador de nodo, en lo sucesivo NO) está detrás de dos cuestiones: quién se agrega al conjunto y quién se elimina del conjunto. A largo plazo, esto se puede diseñar en uno de de dos formas, una a través de la gobernanza (votación simbólica u otros mecanismos similares) y la otra a través de mecanismos automatizados en torno a la reputación y la rentabilidad.

En el modelo anterior, que se basa en la gobernanza para determinar el NO, los tokens de gobernanza (como LDO) se convierten en el principal riesgo de Ethereum. Si los tokens pueden decidir quién puede convertirse en esta mayoría teórica: NO en LSD, entonces los poseedores de tokens pueden imponer censura, MEV multibloque, etc. Actividades de cárteles; de lo contrario, NO se eliminará del conjunto.

También existe un riesgo obvio al determinar la gobernanza del ON, y es el escrutinio y control regulatorio. Si una participación colectiva bajo el protocolo LSD supera el 50%, esta participación colectiva gana la capacidad de censurar bloques (peor aún, este número sube a 2/3 debido a que se pueden finalizar estos bloques). En un ataque de censura regulatoria, ahora tenemos una entidad única (el poseedor del token de gobernanza) contra quien los reguladores pueden imponer demandas de censura. Dependiendo de cómo se distribuyan los tokens, este podría ser un objetivo regulatorio mucho más simple que toda la red Ethereum. De hecho, la distribución de tokens DAO es generalmente deficiente, y solo unas pocas entidades determinan la mayoría de los votos. "

La doble gobernanza resuelve en gran medida los problemas mencionados anteriormente. Específicamente, si un titular de LDO intenta eliminar NO del conjunto de manera injusta, ocurrirá lo siguiente:

• Un pequeño quórum de titulares de stETH (digamos el 5% del total) puede extender la votación sobre gobernanza para que un quórum mayor (digamos el 15%) pueda vetar la decisión equivocada.
• Si se aprueba el veto, todas las propuestas posteriores de LidoDAO serán vetadas de forma predeterminada (estado de veto), para evitar imponer una mayor carga de voto a los titulares de stETH. *Es importante destacar que la gobernanza solo puede volver a la normalidad si tanto el órgano de gobernanza de LDO como los titulares de stETH participantes acuerdan resolver el conflicto.

En resumen, al otorgar a los titulares de stETH el poder de vetar cambios en la configuración de NO, es imposible para los titulares de LDO imponer unilateralmente actividades de cárteles como censura, MEV multibloque, etc., ya que los propios titulares de LDO no pueden eliminar los NO disidentes.

Con respecto a la segunda preocupación de Danny (escrutinio y control regulatorio), la distribución de tokens de st ETH es muy diferente y más diversa que la distribución de LDO. Por lo tanto, la combinación de LDO y st ETH es más resistente a dicha censura. Es cierto que la distribución de ETH no es tan amplia, ni la distribución de usuarios tan diversa como Ethereum, pero esto sólo mejorará con el tiempo.

Selecciona NO en base a factores económicos

Danny cree:

“Al elegir NO basándose en la economía y la reputación, todavía terminamos con una cartelización similar, aunque automatizada.

Determinar la lista de NO en función de la rentabilidad puede ser la única forma sin confianza (sin gobernanza) de garantizar que el NO sea beneficioso para el grupo.

Definir la rentabilidad es problemático... Dado que la actividad económica del sistema varía mucho con el tiempo, el sistema no puede diseñarse con alguna métrica absoluta que deba generar X tarifas de transacción.

Esta métrica de comparación de rentabilidad funciona bien cuando todos los operadores utilizan tecnología "honesta", pero si un cierto número de malos operadores cambian a tecnologías disruptivas como MEV multibloque o zonas de ajuste que bloquean el tiempo de liberación para obtener más MEV, entonces sesgan el objetivo de rentabilidad. de modo que los NO honestos eventualmente serán eliminados automáticamente si no utilizan también tecnología disruptiva.

Esto significa que no importa qué método se utilice (NINGUNA gobernanza ni selección/sacrificio económico), dichos grupos por encima del umbral de consenso se convertirán en la capa del cártel. O se forma un cártel directamente a través de la gobernanza, o se forma un cártel rentable y destructivo mediante el diseño de contratos inteligentes. "

Este análisis parece demasiado binario. Ninguno de los extremos (gobernancia LDO NO o selección/sacrificio puramente algorítmico/económico) es posible o deseable para Lido (o Ethereum).

La doble gobernanza es esencial para minimizar el riesgo de abuso de cárteles. Y, como señala acertadamente Danny, la rentabilidad es una métrica demasiado simplista como para confiar plenamente en ella.

Hay una serie de factores importantes que son difíciles de verificar en la cadena, como la distribución geográfica o la diversidad de jurisdicciones, lo que significa que es posible que siempre sea necesario funcionar en un bucle determinado; aunque, tal vez esto eventualmente podría reducirse a anual ( viejos y nuevos) para votar sobre el reequilibrio de las apuestas.

Esquema de gobernanza de ETH de compromiso

Danny cree:

“Algunos creen que los titulares de LSD ETH pueden tener voz y voto en la gestión de su protocolo LSD subyacente, lo que permite apoyar la distribución injusta y la plutocratización de los tokens.

La advertencia aquí es que los titulares de ETH, por definición, no son usuarios de Ethereum y, a largo plazo, esperamos que los usuarios de Ethereum superen con creces a los titulares de ETH (que tienen más ETH de lo necesario para facilitar las transacciones). Este es un hecho clave e importante que afecta la gobernanza de Ethereum: los titulares o depositantes de ETH no tienen derechos de gobernanza en la cadena. Ethereum es el protocolo que los usuarios eligen ejecutar.

A largo plazo, los titulares de ETH son sólo un subconjunto de usuarios, por lo tanto, los titulares de ETH son incluso un subconjunto de ellos. En el caso extremo en el que todo ETH se convierta en ETH apostado bajo un LSD, el peso de la votación o la suspensión de la gobernanza de ETH apostado no protege a los usuarios de la plataforma Ethereum.

Por lo tanto, incluso si el protocolo LSD y los poseedores de LSD están alineados en microataques y capturas, los usuarios no reaccionarán ni podrán reaccionar. "

La respuesta de Hasu aborda en gran medida estas preocupaciones.

La naturaleza maligna de la gobernanza

Danny cree:

"Incluso si hay un retraso en la gobernanza del LSD de modo que el capital mancomunado pueda salir del sistema antes de que se produzca el cambio, el protocolo LSD sigue siendo vulnerable a ataques de gobernanza de tipo "bull-and-frog". Es poco probable que cambios pequeños y lentos hagan que el capital invertido disminuya. salir del sistema, pero el sistema seguirá cambiando drásticamente con el tiempo. Dicho esto, esto es cierto para cualquier mecanismo de gobernanza, ya sea predominantemente informal (blando) o formal (duro)”.

Si analizamos el argumento de Danny a la inversa, es poco probable que los cambios de protocolo pequeños y lentos impulsados por EF saquen a los DAO/usuarios de Ethereum, pero el protocolo (y el espíritu) de Ethereum aún podrían cambiar dramáticamente con el tiempo.

En particular, puede cambiar la forma en que funciona el protocolo, rompiendo así el contrato social de los primeros contribuyentes.

Si bien estoy lejos de ser un maximalista de la inmutabilidad, sí creo que la minimización de la gobernanza como filosofía existe antes de la gobernanza blanda versus la gobernanza dura.

Se ha escrito mucho sobre las desventajas de la gobernanza dura, mientras que la gobernanza blanda tiene sus propios problemas (más sutiles y a menudo pasados por alto) con el poder no reconocido/irresponsable, cómo se puede ejercer sin sacrificar una neutralidad creíble, el poder y cómo tratar con un poder. vacío (en caso de muerte o accidente trágico). Ciertamente, esta no es una panacea para eliminar todos los riesgos de cola.

En otras palabras, en un gobierno blando suele haber mucho poder que no se conoce. El poder no reconocido es poder irresponsable. El poder irresponsable conduce casi inevitablemente a situaciones indeseables en un horizonte temporal suficientemente largo.

Gwart tuiteó una vez que “el castigo social es que Justin Drake llegue hasta tu puerta con un machete, corte el cable de red de tu computadora, te señale y diga: ‘Eres un tipo rudo’. '"

Si bien se trata de una expresión humorística, revela una tensión subyacente más profunda entre la necesidad de preservar los acuerdos y la centralización del poder blando entre los actores clave.

En palabras un poco más serias de Dankrad: "Sí, es posible que tengamos un problema con lo que están haciendo en la capa de compromiso, que puede incluir alterar su protocolo y romperlo".

Representante de usuario

Danny cree:

"Como se mencionó anteriormente, los poseedores de LSD no son equivalentes a los usuarios de Ethereum. Los poseedores de LSD pueden aceptar algún tipo de voto de gobernanza basado en la censura, pero esto sigue siendo un ataque al protocolo Ethereum, los usuarios y desarrolladores mitigarán este ataque con los medios a su alcance. eliminación - intervención social."

También podemos mirar este problema desde el ángulo opuesto.

En casi todas partes vemos que las decisiones impulsadas por los usuarios tienden a fomentar la concentración del mercado en todos los aspectos importantes.

Al 99,9% de los usuarios probablemente les importe menos una forma de revisión de puntualidad que no sea directamente relevante para ellos, mientras que a la mayoría de los contribuyentes a un protocolo de liquidez vinculado a Ethereum probablemente les importe eso.

Por ejemplo, a la mayoría de los usuarios no les importan ni deberían preocuparse cuestiones como la distribución geográfica de los nodos de Ethereum o la diversidad judicial, pero los contribuyentes al protocolo de liquidez vinculado a Ethereum ciertamente sí les importan y pueden tomar medidas prácticas para abordar estas cuestiones. Ethereum resistente.

Riesgo de capital y riesgo de acuerdo

Danny cree:

"La mayor parte de la discusión anterior se ha centrado en los riesgos que los pools de LSD (como Lido) representan para el protocolo Ethereum, en lugar de los riesgos que enfrentan quienes tienen capital en los pools. Por lo tanto, esto puede ser una tragedia de los bienes comunes: todos racional Es una buena decisión para los usuarios, pero es una decisión cada vez más mala para el protocolo. Pero, de hecho, cuando se excede el umbral de consenso, los riesgos que enfrenta el protocolo Ethereum y la asignación de Los riesgos que enfrenta el capital del El protocolo LSD está vinculado.

La cartelización, la extracción abusiva de MEV, la censura, etc. son amenazas al protocolo Ethereum a las que los usuarios y desarrolladores responderán de la misma manera que los ataques centralizados tradicionales: filtraciones o quemaduras mediante intervención social. Por lo tanto, canalizar capital hacia esta clase para cartelizar no sólo pondría en peligro el protocolo Ethereum, sino que a su vez pondría en peligro el capital mancomunado.

Esto puede parecer un "riesgo de cola" que es difícil de tomar en serio o que puede que nunca suceda, pero si algo hemos aprendido en el campo de las criptomonedas es que si este riesgo será explotado o tendrá algún "caso límite crítico" poco probable , entonces puede ser explotado o roto antes de lo que cree. En este entorno abierto y dinámico, los sistemas frágiles se descomponen una y otra vez, y los sistemas frágiles son explotados una y otra vez. "

En palabras de Nikolai Mushegian, en un sistema abierto con el que todo el mundo puede interactuar, los incentivos son más que una sugerencia. Se parecen más a las leyes de la física, como las leyes de la gravedad o la entropía. Mientras exista una parte del sistema que sea incompatible con los incentivos, es sólo cuestión de tiempo que se explote. Ningún pensamiento ingenuo puede reducir este riesgo.

Depender de promesas para disuadir a los malos actores abre la puerta a riesgos que posiblemente sean tan graves, si no más, que los destacados por Danny.

Autolimitación

Danny cree:

"El protocolo Ethereum y los usuarios pueden recuperarse de los ataques de centralización y gobernanza del LSD, pero no es color de rosa. Recomiendo que Lido y productos similares de LSD se autolimiten para su propio beneficio, y que los asignadores de capital reconozcan el riesgo extremo inherente. "Los asignadores de capital no deben asignar más del 25% del total de Ether apostado al protocolo LSD. Imponer límites artificialmente no garantiza buenos resultados".

De hecho, restringir artificialmente la liquidez de los productos de apuesta probablemente no conducirá a buenos resultados.

Porque el compromiso se puede mantener por un período de tiempo limitado.

Es probable que el resultado final sea uno en el que la comunidad no pueda influir: apuestas líquidas en intercambios, productos de apuestas institucionales (y autorizados) o protocolos más inmutables (y menos resistentes).

Estas ideas idealistas tienen un buen punto de partida, pero están divorciadas de la situación real, que es como el punto ciego que suele aparecer EF. Fue este tipo de error el que llevó al dominio del intercambio mucho antes del lanzamiento planeado de Lido.

Suplemento: Los bienes públicos son muy beneficiosos

Entonces, ¿qué significa un mundo en el que Lido gane para el futuro de los bienes públicos en Ethereum (especialmente el papel de Lido DAO para facilitar ese futuro)?

En palabras de Kelvin Fichter, EF es una organización independiente sin fines de lucro con una estructura de gobierno cerrada y no puede (ni debe) ser el principal coordinador de bienes públicos en la comunidad Ethereum.

Por lo tanto, creo que los buenos validadores son un bien público que necesita ser financiado, y EF no debería depender de ellos para proporcionar financiamiento (en parte porque su estructura de gobernanza cerrada y su poder súper blando no son muy buenos para promulgar reglas de neutralidad creíbles), solo un protocolo de participación líquida exitoso (>50% de participación de mercado) tendrá suficiente margen de maniobra en las tarifas para afrontar las ineficiencias financieras necesarias para hacerlo: mantener un buen mercado de validación, validadores de patrocinio costosos, brindar soporte al ecosistema y, al mismo tiempo, seguir siendo rentable a largo plazo. (próximos 100 años).