Prendre le Lido comme exemple pour explorer en profondeur les risques potentiels du protocole LSD

Auteur original : sacha Compilateur original : Qianwen, ChainCatcher

Prologue

Cet article est une réponse à certains points de vue de Danny Ryan (qui seront présentés en détail plus tard).

Le contraire d’un fait est une erreur, mais le contraire d’une vérité profonde peut très bien être une autre vérité profonde. — Niels Bohr

Dans l’ensemble, je pense que la position de Danny est excellente. Mais je pense également que son approche comporte des risques tout aussi importants qui n’ont pas été correctement discutés en public.

Je ne pense pas que le point de vue de Danny soit faux en soi, mais je pense qu'il y a un autre aspect de son point de vue qui n'est pas suffisamment clairement communiqué. C’est exactement le sujet de cet article.

Introduction à la double gouvernance

La double gouvernance est une étape importante dans la réduction du risque de gouvernance du protocole du Lido. Cela représente un passage du capitalisme actionnarial au capitalisme participatif. Il offre également aux détenteurs d’Ethereum un moyen pratique d’avoir leur mot à dire sur les modifications du protocole du Lido.

Son objectif principal est d'empêcher les détenteurs de LDO de modifier le contrat social entre le protocole et les détenteurs de stETH sans le consentement des détenteurs de protocole et de stETH. Actuellement, les détenteurs de LDO détiennent un pouvoir important sur le protocole et peuvent provoquer des changements importants dans ce contrat social. Ces pouvoirs comprennent :

• Mettre à niveau le code du protocole d'étalonnage de la liquidité Ethereum
• Gérer la liste des membres du comité oracle de la couche consensus Ethereum
• Changer la façon dont la participation est répartie entre les opérateurs de nœuds de manière potentiellement dangereuse ou inattendue (par exemple, en ajoutant ou en supprimant les opérateurs de nœuds Ethereum sur la liste blanche)
• Modification de la structure de gouvernance de manière inattendue ou potentiellement dangereuse (par exemple, création ou gravure de LDO, modification des paramètres du système de vote)
• Modification du ratio de frais totaux de l'accord d'investissement de liquidité Ethereum en dehors des fourchettes convenues (ainsi que définition de ces fourchettes).
• Décidez comment utiliser le trésor

À l’exception des dépenses du Trésor, tous ces pouvoirs affectent directement les détenteurs de stETH. La double gouvernance permet fondamentalement aux détenteurs de STETH d'opposer leur veto à toute modification susmentionnée du protocole Lido sans introduire de nouveaux vecteurs d'attaque ni imposer une charge politique excessive aux détenteurs de STETH.

Gouvernance des opérateurs de nœuds

Danny pense :

"Déterminer qui est l'opérateur de nœud (opérateur de nœud, ci-après dénommé NON) est à l'origine de deux problèmes - qui est ajouté à l'ensemble et qui est supprimé de l'ensemble. À long terme, cela peut être conçu dans l'un des de deux manières, l'une via la gouvernance (vote symbolique ou autres mécanismes similaires) et l'autre via des mécanismes automatisés autour de la réputation et de la rentabilité.

Dans le premier modèle, qui s’appuie sur la gouvernance pour déterminer le NON, les jetons de gouvernance (tels que LDO) deviennent le principal risque d’Ethereum. Si le jeton peut décider qui peut devenir cette majorité théorique - NON dans le LSD, alors les détenteurs de jetons peuvent appliquer la censure, le MEV multibloc, etc. Les activités du cartel, sinon le NON sera supprimé de l'ensemble.

Il existe également un risque évident dans la détermination de la gouvernance du NO, à savoir l’examen et le contrôle réglementaires. Si un pool détient plus de 50 % d'un protocole LSD, ce pool a la possibilité de censurer les blocs (pire, les 2/3 de ce nombre en raison de la possibilité de finaliser ces blocs). Dans une attaque de censure réglementaire, nous disposons désormais d’une entité unique – le détenteur du jeton de gouvernance – contre laquelle les régulateurs peuvent imposer des demandes de censure. Selon la manière dont les jetons sont distribués, cela pourrait constituer un objectif réglementaire beaucoup plus simple que l’ensemble du réseau Ethereum. En fait, la distribution des jetons DAO est généralement médiocre, seules quelques entités déterminant la majorité des votes. "

La double gouvernance résout en grande partie les problèmes ci-dessus. Plus précisément, si un détenteur de LDO tente de supprimer NO de la liste de manière injuste, les événements suivants se produiront :

• Un petit quorum de détenteurs de stETH (disons 5 % du total) peut prolonger le vote sur la gouvernance afin qu'un quorum plus important (disons 15 %) puisse opposer son veto à la mauvaise décision.
• Si le veto est adopté, toutes les propositions ultérieures du LidoDAO feront l'objet d'un veto par défaut (statut de veto) - pour éviter d'imposer une charge de vote plus lourde aux détenteurs de stETH. *Il est important de noter que la gouvernance ne peut revenir à la normale que si l'organe de gouvernance du LDO et les détenteurs de stETH participants acceptent de résoudre le conflit.

En résumé, en donnant aux détenteurs de stETH le pouvoir d'opposer leur veto aux modifications des paramètres NO, il est impossible pour les détenteurs de LDO d'appliquer unilatéralement des activités de cartel telles que la censure, le MEV multibloc, etc., puisque les détenteurs de LDO eux-mêmes ne peuvent pas effacer les NO dissidents.

Concernant la deuxième préoccupation de Danny (examen et contrôle réglementaires), la distribution des jetons du st ETH est très différente et plus diversifiée que celle des LDO. Par conséquent, la combinaison de LDO et de st ETH est plus résistante à une telle censure. Il est vrai que la répartition de l’ETH n’est pas aussi large, ni la répartition des utilisateurs aussi diversifiée qu’Ethereum, mais cela ne fera que s’améliorer avec le temps.

Sélectionnez NON en fonction de facteurs économiques

Danny pense :

« En choisissant NON pour des raisons économiques et de réputation, nous nous retrouvons toujours avec une cartellisation similaire, quoique automatisée.

Déterminer la liste NON en fonction de la rentabilité peut être le seul moyen sans confiance (sans gouvernance) de garantir que le NON est bénéfique pour le pool.

Définir la rentabilité est problématique... Étant donné que l'activité économique du système varie considérablement dans le temps, le système ne peut pas être conçu avec une mesure absolue qui devrait rapporter X frais de transaction.

Cette mesure de comparaison de rentabilité fonctionne bien lorsque tous les opérateurs utilisent une technologie « honnête », mais si un certain nombre de mauvais opérateurs passent à des technologies disruptives comme le MEV multibloc ou les zones d'ajustement bloquent le temps de libération pour obtenir plus de MEV, alors ils faussent l'objectif de rentabilité. de sorte que les NON honnêtes seront automatiquement éliminés s’ils n’utilisent pas également une technologie de rupture.

Cela signifie que quelle que soit la méthode utilisée – PAS de gouvernance ou de sélection/élimination économique – les pools dépassant le seuil de consensus deviendront la couche du cartel. Soit un cartel est formé directement grâce à la gouvernance, soit un cartel destructeur et rentable est formé grâce à la conception de contrats intelligents. "

Cette analyse semble trop binaire. Aucun des deux extrêmes (gouvernance LDO NON ou sélection/élimination purement algorithmique/économique) n’est possible ou souhaitable pour Lido (ou Ethereum).

La double gouvernance est essentielle pour minimiser le risque d’abus de cartel. Et, comme Danny le souligne à juste titre, la rentabilité est une mesure trop simpliste pour s’y fier entièrement.

Il existe un certain nombre de facteurs importants qui sont difficiles à vérifier en chaîne, tels que la répartition géographique ou la diversité des juridictions, ce qui signifie que l'on peut toujours devoir fonctionner dans une certaine boucle - bien que cela pourrait éventuellement être réduit à une valeur annuelle ( anciens et nouveaux) pour voter le rééquilibrage des enjeux.

Pledge Programme de gouvernance des EPF

Danny pense :

«Certains pensent que les détenteurs de LSD ETH peuvent avoir leur mot à dire dans la gestion de son protocole LSD sous-jacent, permettant ainsi de soutenir la distribution injuste et la ploutocratisation des jetons.

La mise en garde ici est que les détenteurs d'ETH ne sont par définition pas des utilisateurs d'Ethereum, et à long terme, nous nous attendons à ce que les utilisateurs d'Ethereum soient de loin plus nombreux que les détenteurs d'ETH (détenant plus d'ETH que nécessaire pour faciliter les transactions). Il s’agit d’un fait clé et important qui affecte la gouvernance d’Ethereum : les détenteurs ou les déposants d’ETH n’ont aucun droit de gouvernance en chaîne. Ethereum est le protocole que les utilisateurs choisissent d'exécuter.

À long terme, les détenteurs d’ETH ne constituent qu’un sous-ensemble d’utilisateurs et, par conséquent, les détenteurs d’ETH ne constituent même qu’un sous-ensemble d’entre eux. Dans le cas extrême où tous les ETH deviennent des ETH mis en jeu sous un seul LSD, le poids des votes ou la suspension de la gouvernance des ETH mis en jeu ne protège pas les utilisateurs de la plateforme Ethereum.

Par conséquent, même si le protocole LSD et les détenteurs de LSD sont alignés sur les micro-attaques et les captures, les utilisateurs ne réagiront pas et ne pourront pas réagir. "

La réponse de Hasu répond largement à ces préoccupations.

La mauvaise nature de la gouvernance

Danny pense :

"Même s'il y a un délai dans la gouvernance du LSD tel que le capital mis en commun peut quitter le système avant que des changements ne surviennent, le protocole LSD est toujours vulnérable aux attaques de gouvernance par ébullition et grenouille. Il est peu probable que de petits changements lents entraînent la sortie du capital investi. " Le système, mais le système va encore changer radicalement au fil du temps. Cela dit, cela est vrai de tout mécanisme de gouvernance, qu'il soit principalement informel (doux) ou formel (dur). "

En regardant l'argument de Danny à l'envers, il est peu probable que les petits et lents changements de protocole entraînés par EF retirent les DAO/utilisateurs d'Ethereum, mais le protocole (et l'esprit) d'Ethereum pourrait encore changer radicalement au fil du temps.

Cela pourrait notamment modifier le fonctionnement du protocole, rompant ainsi le contrat social des premiers contributeurs.

Même si je suis loin d’être un maximaliste de l’immuabilité, je crois que la minimisation de la gouvernance en tant que philosophie existe en amont de la gouvernance douce par rapport à la gouvernance dure.

Les inconvénients de la gouvernance dure ont été beaucoup écrits, tandis que la gouvernance douce a ses propres problèmes (plus subtils et souvent passés sous silence) liés au pouvoir non reconnu/irresponsable, à la manière dont il peut être exercé sans sacrifier la neutralité crédible du pouvoir et à la manière de gérer un pouvoir. vide (en cas de décès ou d’accident tragique). Ce n’est certainement pas une panacée pour éliminer tous les risques extrêmes.

En d’autres termes, dans le cadre d’une gouvernance douce, il existe généralement beaucoup de pouvoir qui n’est pas connu. Un pouvoir non reconnu est un pouvoir irresponsable. Un pouvoir irresponsable conduit presque inévitablement à des situations indésirables sur un horizon temporel suffisamment long.

Gwart a un jour tweeté : « La punition sociale consiste à ce que Justin Drake se dirige vers votre porte avec une machette, coupe le câble réseau de votre ordinateur, vous montre du doigt et vous dit : « Vous êtes un dur à cuire ». '"

Bien qu’il s’agisse d’une expression humoristique, elle révèle une tension sous-jacente plus profonde entre la nécessité de préserver les accords et la centralisation du soft power parmi les acteurs clés.

Dans les mots légèrement plus sérieux de Dankrad : "Oui, nous pouvons avoir un problème avec ce que vous faites au niveau de la couche d'engagement, ce qui peut inclure de modifier votre protocole et de le rompre."

Représentant des utilisateurs

Danny pense :

"Comme mentionné ci-dessus, les détenteurs de LSD ne sont pas équivalents aux utilisateurs d'Ethereum. Les détenteurs de LSD peuvent accepter une sorte de vote de gouvernance fondé sur la censure, mais il s'agit toujours d'une attaque contre le protocole Ethereum, les utilisateurs et les développeurs atténueront cette attaque avec les moyens dont ils disposent. élimination - intervention sociale.

On peut également considérer ce problème sous l’angle opposé.

Presque partout, nous constatons que les décisions prises par les utilisateurs tendent à encourager la concentration du marché dans tous les domaines importants.

99,9% des utilisateurs se soucient probablement moins des formes de contrôle de la rapidité qui ne les concernent pas directement, alors que la plupart des contributeurs à un protocole de liquidité lié à Ethereum s'en soucient probablement.

Par exemple, la plupart des utilisateurs ne se soucient pas et ne devraient pas se soucier de questions telles que la répartition géographique des nœuds Ethereum ou la diversité judiciaire, mais les contributeurs au protocole de liquidité lié à Ethereum le font certainement et peuvent prendre des mesures pratiques pour résoudre ces problèmes. Ethereum résilient.

Risque de capital et risque d'accord

Danny pense :

"La plupart des discussions ci-dessus se sont concentrées sur les risques que les pools LSD (comme Lido) posent au protocole Ethereum, plutôt que sur les risques encourus par ceux qui détiennent des capitaux dans les pools. Cela pourrait donc être une tragédie des biens communs - tout le monde Rationnel C'est une bonne décision pour les utilisateurs, mais c'est une décision de plus en plus mauvaise pour le protocole. Mais en fait, lorsque le seuil de consensus est dépassé, les risques encourus par le protocole Ethereum et la répartition des risques encourus par le capital du Le protocole LSD est lié.

La cartellisation, l'extraction abusive de MEV, la censure, etc. sont autant de menaces pour le protocole Ethereum auxquelles les utilisateurs et les développeurs répondront de la même manière que les attaques centralisées traditionnelles – fuites ou brûlures par intervention sociale. Par conséquent, canaliser des capitaux vers cette classe pour cartelliser mettrait non seulement en péril le protocole Ethereum, mais mettrait également en péril le capital mis en commun.

Cela peut sembler être un « risque extrême » difficile à prendre au sérieux ou qui pourrait ne jamais se produire, mais si nous avons appris quelque chose dans le domaine de la crypto-monnaie, c'est que si ce risque sera exploité ou s'il présente un « cas critique » improbable. , alors il peut être exploité ou cassé plus tôt que vous ne le pensez. Dans cet environnement ouvert et dynamique, les systèmes fragiles s’effondrent encore et encore, et les systèmes fragiles sont exploités encore et encore. "

Selon Nikolai Mushegian, dans un système ouvert avec lequel le monde entier peut interagir, les incitations sont plus qu’une simple suggestion. Elles s’apparentent davantage aux lois de la physique, comme les lois de la gravité ou de l’entropie. Tant qu’il existe ne serait-ce qu’une partie du système qui est incompatible avec les incitations, ce n’est qu’une question de temps avant qu’elle ne soit exploitée. Aucune pensée naïve ne peut réduire ce risque.

S’appuyer sur des promesses pour dissuader les mauvais acteurs ouvre la porte à des risques extrêmes qui sont sans doute aussi graves, sinon plus graves, que ceux soulignés par Danny.

Autolimitation

Danny pense :

"Le protocole Ethereum et les utilisateurs peuvent se remettre des attaques de centralisation et de gouvernance du LSD, mais ce n'est pas rose. Je recommande que Lido et les produits LSD similaires s'auto-limitent pour leur propre bénéfice, et que les répartiteurs de capitaux reconnaissent le risque extrême inhérent. , les répartiteurs de capitaux ne devraient pas allouer plus de 25 % du total des Ethers mis en jeu au protocole LSD. Imposer artificiellement des limites ne garantit pas de bons résultats.

En fait, restreindre artificiellement la liquidité des produits de staking ne donnera probablement pas de bons résultats.

Parce que l’engagement peut être maintenu pendant une durée limitée.

Le résultat final sera probablement un résultat sur lequel la communauté ne pourra pas influencer les gains : staking liquide sur les bourses, produits de staking institutionnels (et autorisés), ou protocoles plus immuables (et moins résilients).

Ces idées idéalistes ont un bon point de départ, mais elles sont déconnectées de la situation réelle, ce qui est comme le point aveugle qu'EF apparaît souvent. C’est ce type d’erreur qui a conduit à la domination de la bourse bien avant le lancement prévu du Lido.

Supplément : les biens publics sont très bénéfiques

Alors, que signifie un monde où le Lido gagne pour l’avenir des biens publics sur Ethereum (en particulier le rôle du Lido DAO dans la facilitation de cet avenir) ?

Selon Kelvin Fichter, EF est une organisation indépendante à but non lucratif avec une structure de gouvernance fermée et ne peut pas (et ne devrait pas) être le principal coordinateur des biens publics dans la communauté Ethereum.

Par conséquent, je pense que les bons validateurs sont un bien public qui doit être financé, et EF ne devrait pas compter sur eux pour fournir du financement (en partie parce que sa structure de gouvernance fermée et son super soft power ne sont pas très efficaces pour mettre en œuvre des règles de neutralité crédibles), seulement un protocole de staking liquide réussi (> 50 % de part de marché) aura suffisamment de marge de manœuvre en termes de frais pour se permettre les inefficacités financières nécessaires : maintenir un bon marché de validation, des validateurs de parrainage coûteux, fournir un soutien à l'écosystème, tout en restant rentable à long terme (100 prochaines années).