请注意,尽管当前的 LSD 协议(如 Lido)还有很大的改进空间,但本文并未针对当前实现的设计中的不足之处。相反,目的是表明 LSD 协议超过共识阈值时的固有问题。
在极端情况下,如果 LSD 协议超过关键共识阈值,例如 1/3、1/2 和 2/3,则由于协调的 MEV 提取、区块时间操纵,和/或审查,与非集合资本相比,质押衍生品可以获得超额利润,这就是区块空间的卡特尔化。在这种情况下,由于巨额卡特尔奖励,质押的资本不被鼓励在其他地方进行质押,从而增强了卡特尔对质押的控制。
LSD 协议可以随着时间的推移最大限度地减少治理、可升级性和其他风险,但“谁”成为节点运营商 (NO ) 集的一部分,这个问题仍然存在。这也是卡特尔化的主要原因。
决定“谁”成为 节点运营商 涉及两个问题——谁被添加到集合中,而谁被移除。从长远来看,这可以通过两种方式进行设计,其一是通过治理(代币投票或其他类似机制),其二通过围绕声誉和盈利能力的自动化机制。
如果通过治理决定节点运营商 ,治理代币(例如 LDO)就成了以太坊的主要风险。如果代币可以决定谁可以成为这个理论上的多数 LSD (译注:即超过关键共识阈值的 LSD)中的节点运营商,那么代币持有者就可以强制进行审查、多区块 MEV 等卡特尔活动,否则将把 节点运营商 剔除出去。
事实上,这种经济垄断行为只会加强代币对节点运营商 的控制。如果代币通过破坏性机制行使垄断地位以获取超额利润,那么在极端情况下,节点运营商 的独立运营将几乎没有利润。因此,治理代币决定的节点运营商可能成为以太坊协议的一个自我强化卡特尔,造成对以太坊协议的滥用。
治理决定的节点运营商具有另一个明显的风险,即监管审查和控制。如果在一个 LSD 协议下的集合质押超过 50%,则该集合质押将获得审查区块的能力(更糟糕的是,当超过 2/3 便能最终确定这些区块)。在监管审查攻击中,有一个独特的实体——治理代币持有者——监管者可以对其提出审查请求。根据代币分布,这可能是一个比瞄准整个以太坊网络简单得多的监管目标。而且,事实上,DAO 代币的分配通常非常糟糕,少数实体拥有大多数选票。
因此,在对多数 LSD 的任何形式的代币治理控制中,我们都依赖于 DAO 的仁慈,或控制有良好的结构。但依靠实体的仁慈、匿名或地理分布来防止攻击是不安全的,从长远来看远远不够。
如果是第二种方式,即基于经济和声誉决定节点运营商 ,我们实际上也会看到类似的结果,除了一点,这会是一个自动化的卡特尔。首先,进入节点运营商 集需要时间和资金(即投入一些 ETH 质押,类似于 Rocketpool 的设计,慢慢显示盈利能力并获得更多 ETH 分配)。虽然进入需要时间和资金的节点运营商 集可能会使新进入者变得困难,但这并不是造成卡特尔化的原因。相反,如果节点运营商 的表现不符合某些盈利标准,自动剔除是必须的。
这个机制可能是确保 节点运营商 对矿池有益的唯一无需信任(非治理)的方法。定义盈利能力并不容易——要么你定义一些绝对数字(例如获得良好的基线发行奖励),要么你需要定义一些相对数字(例如不低于平均/正常盈利能力的 10% )。鉴于 MEV/TX 奖励在某个时间窗口内的不可预测性,同时考虑到 MEV 奖励对长期利润的重要性,我们需要一个动态标准,并且需要在一段时间内与其他运营商/验证者进行比较。也就是说,由于系统的经济活动随着时间的推移存在很大差异,因此系统不能设计为仅具有某些绝对指标,必须在交易费用中引入 X 变量。
当所有运营商都使用“诚实”技术时,这种盈利能力比较指标效果很好,但如果任意数量的 节点运营商 都倾向于使用破坏性技术,如多区块 MEV 或调整区块发布时间以获取更多 MEV,那么他们就会扭曲盈利目标,这样一来,如果诚实的 节点运营商 不参与破坏性技术,最终将被自动剔除。
这意味着在任何一种方法中(治理决定 节点运营商 或 经济选择决定 节点运营商 ),这样一个超过共识阈值的池将会卡特尔化。它要么是治理下的直接卡特尔,要么是通过智能合约设计的破坏性、盈利性卡特尔。
顺便说一句,一些人认为 LSD ETH 持有者可以在其底层 LSD 协议的治理中拥有发言权,从而阻止分布不均的财阀代币。
在这里需要注意的是,ETH 持有者并不是一般定义的以太坊用户,而且从长远来看,我们预计以太坊 用户 数量远远多于 ETH 持有者 (持有的 ETH 超过了实际交易所需的数量的人)。这是以太坊治理的一个关键而重要的事实——并没有所谓 ETH 持有者或质押者的链上治理。以太坊是 用户 选择运行的协议。
从长远来看,ETH 持有者只是用户的一个子集,因此质押 ETH 持有者是更小的子集。在所有 ETH 在一个 LSD 下成为质押 ETH 的极端情况下,治理投票权重或质押 ETH 的反对票并不能保护 用户。
因此,即使 LSD 协议和 LSD 持有者在微妙的攻击和捕获中保持一致,这里头不会包括用户,而用户可以/将会做出反应。
即使 LSD 治理存在时间延迟,以至于集合资本可以在变化发生之前退出系统,LSD 协议仍会遭受温水煮青蛙式治理攻击。小而缓慢的变化不太可能引起质押资本退出,但随着时间的推移,系统仍会发生巨大变化。
此外,如上所述,LSD 持有者与以太坊用户不同。LSD 持有者可能会接受某种被审查的治理投票,但这仍然是对以太坊协议的攻击,用户和开发者将通过他们可以使用的手段——社会干预来减轻攻击。
注意:“在恶意治理的情况下,质押的 ETH 总是可以退出”,以当前来看,在技术上其实并不正确,并且在未来也不一定是正确的。验证者的活跃密钥(active key)是当前以太坊 PoS 设计中唯一允许退出质押的密钥。尽管有许多提案希望为 BLS 和智能合约提款凭证增加退出功能,但在意图或设计上尚未达成一致。
上述大部分讨论都集中在 LSD 池(例如 Lido)对以太坊协议构成的风险上,而不是对池化系统中持有资本的人的风险。因此,这看起来是一个公地悲剧——每个人做出理性决定,加入 LSD 协议质押,这对用户来说是一个好决定,但对协议来说却是一个越来越糟糕的决定。但事实上,当超过共识阈值时,以太坊协议的风险和分配给 LSD 协议的资本风险是一体的。
卡特尔化、滥用 MEV 提取、审查等都是对以太坊协议的威胁,用户和开发者将采用与传统中心化攻击相同的方法来应对这些威胁——通过社会干预方式,leak or burn (译注:leak 指 inactivity leak 怠惰惩罚)。因此,将资本汇集到 LSD 进行卡特尔化不仅会使以太坊协议面临风险,而且反过来也会使汇集的资本面临风险。
这些事情看起来好像是不太可能发生、或永远不会发生的“尾部风险”,但如果我们在加密货币中学到了任何东西——如果它可以被利用或有一些不太可能的“关键边缘案例”,那么,被利用或崩溃的时间会远比你想象的要早得多。在这种开放和动态的环境中,刚性的系统发生崩溃,脆弱的系统被利用来获取乐趣和利润,这样的事情一而再地发生。
以太坊协议和用户可以从 LSD 中心化和治理攻击中恢复,但过程将很狼狈。Lido 和类似的 LSD 产品为了自身的利益应做自我限制,并且资本配置者应承认 LSD 协议设计固有的池化风险。由于相关的固有和极端风险,资本配置者不应向 LSD 协议分配超过总质押 Ether 的 25%。