構築Web3穩健治理：技術、社會與經濟風險剖析

作者：Chandler; 編譯：Sissi@TEDAO

TLDR： 治理風險源於多方面，可能是社會、經濟或技術領域的風險，有時甚至是這三者的交集。 構築未來的治理體系，關鍵在於理解如何降低這些風險，這對我們未來的發展至關重要。 更為重要的是，並非每個決策都需要通過投票來確定。

去中心化合約具有一定的持久性特徵。 對這些合約的任何修改都需要通過治理過程來決定。 治理過程本質上是人為的，因此遠比合約本身要複雜得多。

本文旨在探討治理流程可能存在的風險，併為思考治理風險提供一個基本框架。 通常，有效的治理流程的目的是為了防止做出偏離專案或協定初衷方向的決策。

在這裡，我們將介紹三大主要風險種類：技術風險、社會風險和經濟風險。 此外，我們還將分享一些在治理流程中獲得的關鍵經驗教訓。

治理簡化過程

最小化治理行為的治理系統更加穩健和有防禦力。 變動越少越好。 然而，協定需要升級，資金需要合理支配，發展方向需要明確。

廣泛的治理系統還包括許多非特定於協議的問題，例如，對於贈款的承諾額度，這可以說是一個關鍵決定，但並不從根本上影響協定本身。 一個能夠明確區分協定特定決策與社會層面決策的系統，可以有效縮減治理行為的總體範疇。

*自治組織旨在實現自主性，縮減治理行為能夠減少它們對人工操作的依賴。 *

正如我們所說，許多工具正在開發中，旨在説明協議採取不同的治理行動方式，這些方式涉及社會或人類協調性質的治理行為，與那些直接影響協定的治理行為不同。 例如，Zodiac Module 的出現，它允許使用者提交交易，並通過樂觀驗證方式對其進行確認。 交易可以被提交而無需每一個鏈上動作都經過投票，只有在對交易性質存在分歧時，才需要進行投票。

技術性漏洞

智能合約的漏洞反覆給眾多協定——治理協定也不例外——帶來嚴重困擾。 許多治理合約以鏈上投票機制存在，其目的是執行預定的指令集。 但只要代碼存在於鏈上，就有可能出現技術上的漏洞被攻擊的風險。

其中一個引人注目的案例是 Compound 治理系統遭受的一次 2200 萬美元的安全漏洞攻擊。 Compound 系統中負責分配流動性挖礦獎勵的合約出現了缺陷。

唯一被授權修改出現問題的合約是治理合約（Governor contract），這意味著只有通過治理投票才能進行修補錯誤合約的變更。

治理流程的緩慢實際上阻礙了快速修補漏洞和止住資金流失的步伐。 幸運的是，Compound 團隊的回應盡可能地迅速，治理系統也以它能夠達到的最快速度做出了反應。

從另一個角度看，合約確實嚴格按照其設計執行了所有操作，包括漏洞。 問題在於，合約的實際程式設計和人們期望它怎麼運作的不一樣。 很多人對這個理由不太買帳，Robert Leshner 就是其中之一。

*“毫無疑問，這是 Compound 協議歷史上最糟糕的一天。 ” —— Robert Leshner。 *

無論我們每個人認為什麼是對或錯，一個不變的事實是：人類認為代碼能做的事情與它被賦予的意圖之間總會存在差異。 令人震驚的現實是，我們通常都是在事情發生后才意識到這一點。

社會性漏洞

拋開技術層面，治理的社會層面同樣充滿挑戰。 相較於代碼，人類的行為和動機要複雜得多。

這一部分的內容足以撰寫一篇詳盡的論文，然而本文不會深入每一個細節，而是挑選了五個認為是當前趨勢性社會風險的要點。

鏈上與鏈下投票：如上所述，協定治理行動應當盡量簡化到最基本的問題。 鏈上投票應當只用於影響鏈上合約的決策，而鏈下投票適用於那些可以通過社會共識達成一致的事項。 我常見到許多本可以通過軟共識輕易解決的問題，卻要進行大量的鏈上投票，這無疑降低了關鍵投票與常規操作項目之間的重要性區分。

投票的機制和流程：儘管並非所有投票過程都遵循這種模式，但有足夠多的例子讓人對某些投票方法感到疲憊。 有時，鏈下的“溫度檢查”會引發正式的鏈上投票，而這一投票又由多簽名機制執行。 這種做法很少有意義，因為它將鏈上投票到執行的步驟複雜化了。 要麼放棄鏈上部分，並且有一個可信的多簽名錢包在軟共識基礎上進行管理決策，要麼讓鏈上投票直接觸發必要的操作。

治理流程中最寶貴的資源是合格選民的關注度：頻繁的投票可能會導致選民的冷漠和長期投票率的降低。 確保每次投票都富有意義、針對性強，並且達到全面投票的品質標準，這樣才能保證良好的投票參與度。

法定人數及所需參與度：正如我們在先前文章中所述，選民參與度與組織規模之間需要平衡。 同樣，去中心化程度與創始團隊少數成員可能輕易推翻投票結果的能力之間也需要權衡。 如果代幣分散不夠廣泛，團隊成員就能輕易滿足投票的法定人數要求。

投票者的專業知識：治理風險中最嚴峻的挑戰之一是投票者是否具備做出知情決策的專業知識。 在許多情況下，用戶通過空投或參與流動性挖礦專案等方式低成本獲得治理代幣，並擁有投票權。 這些投票者對他們所投的內容不夠瞭解，結果要麼選擇棄權，要麼跟隨多數人的意見而投票，這不會產生真正去中心化和具備代表性的投票結果。

經濟性漏洞

經濟攻擊是攻擊者利用資本力量操縱投票過程的行為。 通常情況下，治理通過可以購買的治理代幣來執行，這就意味著需要支付一定的代價來獲得過半數的投票權（例如，51%）。

如果我們觀察一些理論數據，為了實施此類攻擊，攻擊者的金庫至少需要有相當於其他任何協定 50%投票權價值的資金。 鑒於一些協定的金庫規模遠超其他協定，這類風險的發生並非不可能。

幸運的是，許多協定有大量的代幣處於鎖定狀態，流通量不足，這使得此類攻擊不太可能實現。 但隨著時間的推移，如果鎖倉代幣逐漸解鎖，流通供應增加，經濟攻擊的可行性也隨之增強。

隨著時間推移，這類攻擊並不總是為了直接的財務收益。 它們可能是為了破壞競爭者、控制投票以影響關鍵決策，或者甚至是為了造成決策僵局。

經濟攻擊利用協定的一個例子出現在一個相對鮮為人知的協定：True Seignorage。

簡要來說，由於 True Seignorage 的市值較小，一個攻擊者購買了該協定 51% 的投票權代幣。 在獲得這些代幣之後，攻擊者提出了一個提案，要求給他們的位址鑄造 11.5 百萬億的代幣。 這個提案自然輕鬆通過，之後攻擊者便能在 Pancake Swap 平臺上自由售賣這些代幣。

攻擊者出售代幣所得利潤超過了其買通投票的成本，而且開發者的錢包資金不足，無法制止攻擊者的行動。

*CertiK 安全團隊提出以下建議：從 DAO（去中心化自治組織）的機制設計入手，專案方應具備投票權，以確保提案不會被“挾持”，從而避免攻擊事件的重演。 *

結束語

治理機制不可或缺，我們必須建立一套既能反映我們共同理想的未來，又能不斷進步和完善的治理流程。 持續識別和應對治理系統中的風險是一項持續的任務。 很顯然，治理系統並不完美，我們需要認真努力來彌補這些不足，以實現其初衷。

去中心化治理尚處於初期階段，其背後的技術也同樣如此。 隨著該領域的逐漸成熟，治理面臨的潛在攻擊點將逐步減少。