Подвійне управління LDO+stETH (продовження)

Середній12/27/2023, 9:21:07 AM
У цій статті представлено оновлення моделі управління проектом Lido, пояснено PAP і пов’язані з ним проблеми та проаналізовано, як вийти за межі простого голосування за токени управління.

Це продовження початкової нитки подвійного управління 18. Посилання містить важливий контекст, тож прочитайте його, якщо у вас є час.

Оскільки остання версія механізму була запропонована в цьому дописі 5, учасники протоколу, які працюють над DG, зробили кілька ітерацій, щоб включити отриманий зворотний зв’язок і зробити механізм простішим, менш крихким і ефективнішим.

Перш ніж представити оновлену версію, дозвольте мені окреслити проблему, яку ми намагаємося вирішити, і коротко простежити ланцюжок міркувань, які привели нас до запропонованого рішення.

Проблема

Наразі код протоколу Lido та його параметри контролюються Lido DAO за допомогою голосування токенів LDO. Протокол бере 5% комісії від винагороди за стейкинг і спрямовує її в скарбницю DAO (ще 5% розподіляються між операторами вузлів, які беруть участь у протоколі).

Хоча власники LDO, як правило, повинні бути мотивовані підтримувати благополуччя протоколу, оскільки це відображається на ціні токена LDO, це не обов’язково означає, що власники LDO ефективно представляють користувачів протоколу. Наприклад, уявіть, що власники LDO колективно вирішують збільшити плату за протокол: хоча це може позитивно вплинути на негайний добробут власників LDO, це явно суперечить інтересам принаймні деякої частини користувачів протоколу.

Це можна узагальнити як проблему принципал-агент (PAP) між DAO (агентом) і користувачами протоколу (основним). Проблема існує через те, що власники LDO не мають тих же стимулів, що й користувачі.

Крім того, як наголошує Віталік у своєму есе Moving beyond coin voting 9 , PAP посилюється тим фактом, що економічний інтерес у доходах протоколу може бути відокремлений від повноважень управління: можна спотворити стимули власників токенів DAO, підкупивши їх або позичити токен голосування DAO на відкритому ринку, щоб спробувати отримати достатньо голосів для просування змін, які суперечать інтересам як DAO, так і користувачів протоколу.

Наявність PAP не дуже добре, але можна стверджувати, що якщо користувачі розуміють, що поточний агент не представляє їх достатньо добре, вони завжди можуть залишити протокол і вибрати іншого агента, який більше відповідає їхнім інтересам, або навіть вирішити видалити агент повністю через соло-стейкинг.

Це дуже важливий механізм, який зазвичай називають голосуванням. Теоретично це має захистити користувачів від негативних наслідків будь-якого розбіжності стимулів між ними та DAO або будь-якої атаки на DAO. Однак на практиці та в конкретному випадку рідкого стекінгу Ethereum ефективність голосування обмежена через низку чинників.

Перший фактор — це особливості роботи Ethereum PoS. Щоб скасувати ставку ETH з валідатора, потрібно дочекатися повного виходу з валідатора, і всі виходи з валідатора Ethereum обробляються в одній черзі з обмеженою пропускною здатністю. Це означає, що час, необхідний для виходу з протоколу, залежить від зовнішніх факторів поза протоколом і може змінюватися на порядки. Це, у свою чергу, означає, що встановлення статичного блокування часу на рішення DAO не може гарантувати, що будь-який користувач матиме достатньо часу, щоб залишити протокол до того, як DAO застосує зміни, які не відповідають інтересам користувача.

Другий фактор полягає в тому, що значна частина користувачів обирає ліквідний стейкінг, тому що вони хочуть повторно розгорнути інвестований капітал в інші форми економічної діяльності, в результаті чого ліквідні токени (LST) широко використовуються в DeFi, включаючи протоколи, які вимагають додатковий час для вилучення (наприклад, ринки кредитування). Це додає ще одну зовнішню залежність, яка може перешкодити користувачам залишити протокол протягом заздалегідь визначеного періоду часу.

Третій фактор випливає з інформаційної асиметрії між пасивною більшістю та активною освіченою меншістю користувачів: правильна оцінка всіх ризиків, пов’язаних із конкретним рішенням управління, включно з хвостовими ризиками, вимагає знань, якими більшість користувачів не володіє. Повідомлення про потенційні несприятливі наслідки рішення DAO через соціальний рівень потребує додаткового часу, зменшуючи ймовірність того, що пасивна більшість залишить протокол до того, як рішення стане можливим для виконання.

Lido DAO створила низку протоколів управління для зменшення інформаційної асиметрії (наприклад, GOOSE framework, Node Operators Sub-Governance Group, LIP framework, зобов’язання щодо мінімальної кількості перевірок будь-якої зміни коду основної мережі), але всі вони угоди соціального рівня між поточними власниками LDO і, отже, не можуть захистити від зовнішньої атаки на DAO.

До рішення

Остаточним рішенням проблеми є мінімізація управління та остаточне окостеніння коду протоколу та параметрів. Немає ризику управління, якщо нічим не керують.

У найближчі роки учасники протоколу вважають необхідністю поступове зведення до мінімуму сфери управління. Однак, поки специфікація Ethereum не закостеніла, можливість оновлення коду може бути зменшена лише до певної міри (наприклад, див. EIP-7002 5, EIP-7251 6). Крім того, будь-який незмінний код має бути офіційно перевірений на рівні байт-коду, щоб виключити ймовірність того, що помилка компілятора спричинить невиправну вразливість.

Існує також взаємозамінний рівень протоколу, який служить механізмом оцінки ризику/винагороди та розподіляє ETH між різними підмножинами валідаторів таким чином, щоб збалансувати прибуток і ризики отриманого набору валідаторів. Ризики тут включають хвостові ризики, які набір валідаторів створює для мережі Ethereum, наприклад можливість цензури та відповідні ризики скорочення. Тривають дослідження (перегляньте цей звіт 6 для останньої ітерації) щодо того, чи можна оцінити ці ризики за допомогою протоколу за допомогою надійного гаджета-оракула, який передає необхідну інформацію в ланцюжок, але це довгострокова спроба, і поки що незрозуміло, як бажаного результату можна практично досягти. Поки в протоколі не буде реалізовано такий надійний механізм, має бути певне управління на рівні взаємозамінності.

Ще одна потенційна область дослідження полягає в пошуку способів запровадження явної згоди на новий код і версії набору параметрів для власників stETH та інтеграції. Поки що незрозуміло, чи можна це зробити без порушення взаємозамінності LST і пов’язаної з цим фрагментації ліквідності, яка, враховуючи, що ліквідність є одним із головних факторів, що спонукають користувачів до LST, знищить конкурентоспроможність протоколу проти інших децентралізованих і централізованих постачальників ліквідних ставок. Тим не менш, це цікавий напрямок досліджень.

Тепер, коли ми з’ясували, що принаймні в середньостроковій перспективі протокол потребуватиме певного керування, давайте подивимося, як ми можемо мінімізувати <a href="https://notes.ethereum.org/@mikeneuder/magnitude -and-direction">the ризики, які створює це управління 1 .

Подвійне управління

Як було зазначено в першому розділі, загальну проблему можна розкласти на 1) наявність PAP і 2) обмежену ефективність голосування ногою. Тому в ідеалі ми хотіли б запровадити якийсь механізм, який покращує як узгодження між DAO і користувачами протоколу, так і ефективність голосування.

Ось де ми приходимо до запропонованого дизайну подвійного управління. Він спрямований на наступні покращення:

  1. Дайте стейкерам можливість достовірно висловити свою незгоду з DAO і зобов’язання вийти з протоколу, якщо DAO не співпрацюватиме у вирішенні конфлікту стимулів.
  2. Надайте пристрій для переговорів між стейкерами та DAO.
  3. Запровадьте розширену динамічну блокування часу для рішень DAO, яка може бути ініційована активною меншістю стейкерів і подовжена, коли бере участь більше стейкерів.
  4. Підвищте ефективність голосування, дозволивши стейкерам вийти з протоколу, не піддаючись новим рішенням DAO.

Огляд запропонованого механізму розробки та деякі ідеї для майбутніх досліджень щодо мінімізації ризиків управління можна знайти в цій примітці: <a href="https://hackmd.io/ @skozin /r17mlW2la"">https://hackmd. io/@skozin/r17mlW2la 37 .

Слід зазначити, що стейкери — не єдина категорія користувачів протоколу; є також оператори вузлів. Одним з потенційних майбутніх напрямків досліджень є пошук способів також покращити ефективність голосування операторами вузлів, наприклад дозволяючи підмножині стейкерів і операторів вузлів координувати протокол і форк DAO, перенаправляючи облікові дані вилучення валідатора на новий контракт (наразі не підтримується рівнем консенсусу).

Іншим напрямком майбутніх досліджень є вивчення нетокенового та гібридного управління 2.

Наступні кроки

Звідси має відбутися кілька речей, перш ніж проект буде завершено, що призведе до більш офіційної пропозиції щодо вдосконалення Lido (LIP), яка буде подана на голосування DAO та пов’язаного документа з протоколу архітектурних рішень (ADR):

  1. Оцінка надійності запропонованого механізму за допомогою моделювання сценаріїв і атак.
  2. Оцінка практичності механізму через створення прототипу коду.
  3. Збір відгуків спільноти.

Ця тема спрямована на досягнення 3, а учасники протоколу працюють над 1 і 2 (обидва наразі виконуються), тому будь-який відгук буде дуже вдячний!

Важливо підкреслити, що хоча подвійне управління є (на мій погляд) важливим кроком у зниженні ризиків управління протоколом, це ні в якому разі не останній крок. Деякі ідеї щодо подальших удосконалень можна знайти в проектному документі механізму, посилання на який наведено вище, і я запрошую всіх зацікавлених обговорити ці та будь-які інші потенційні вдосконалення, опублікувавши тему на цьому форумі.

Відмова від відповідальності:

  1. Ця стаття передрукована з [lido]. Усі авторські права належать оригінальному автору [krozn]. Якщо є заперечення щодо цього передруку, будь ласка, зв’яжіться з командою Gate Learn , і вони негайно розглянуть це.
  2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, належать виключно автору та не є жодною інвестиційною порадою.
  3. Переклади статті на інші мови виконує команда Gate Learn. Якщо не зазначено вище, копіювання, розповсюдження або плагіат перекладених статей заборонено.

Подвійне управління LDO+stETH (продовження)

Середній12/27/2023, 9:21:07 AM
У цій статті представлено оновлення моделі управління проектом Lido, пояснено PAP і пов’язані з ним проблеми та проаналізовано, як вийти за межі простого голосування за токени управління.

Це продовження початкової нитки подвійного управління 18. Посилання містить важливий контекст, тож прочитайте його, якщо у вас є час.

Оскільки остання версія механізму була запропонована в цьому дописі 5, учасники протоколу, які працюють над DG, зробили кілька ітерацій, щоб включити отриманий зворотний зв’язок і зробити механізм простішим, менш крихким і ефективнішим.

Перш ніж представити оновлену версію, дозвольте мені окреслити проблему, яку ми намагаємося вирішити, і коротко простежити ланцюжок міркувань, які привели нас до запропонованого рішення.

Проблема

Наразі код протоколу Lido та його параметри контролюються Lido DAO за допомогою голосування токенів LDO. Протокол бере 5% комісії від винагороди за стейкинг і спрямовує її в скарбницю DAO (ще 5% розподіляються між операторами вузлів, які беруть участь у протоколі).

Хоча власники LDO, як правило, повинні бути мотивовані підтримувати благополуччя протоколу, оскільки це відображається на ціні токена LDO, це не обов’язково означає, що власники LDO ефективно представляють користувачів протоколу. Наприклад, уявіть, що власники LDO колективно вирішують збільшити плату за протокол: хоча це може позитивно вплинути на негайний добробут власників LDO, це явно суперечить інтересам принаймні деякої частини користувачів протоколу.

Це можна узагальнити як проблему принципал-агент (PAP) між DAO (агентом) і користувачами протоколу (основним). Проблема існує через те, що власники LDO не мають тих же стимулів, що й користувачі.

Крім того, як наголошує Віталік у своєму есе Moving beyond coin voting 9 , PAP посилюється тим фактом, що економічний інтерес у доходах протоколу може бути відокремлений від повноважень управління: можна спотворити стимули власників токенів DAO, підкупивши їх або позичити токен голосування DAO на відкритому ринку, щоб спробувати отримати достатньо голосів для просування змін, які суперечать інтересам як DAO, так і користувачів протоколу.

Наявність PAP не дуже добре, але можна стверджувати, що якщо користувачі розуміють, що поточний агент не представляє їх достатньо добре, вони завжди можуть залишити протокол і вибрати іншого агента, який більше відповідає їхнім інтересам, або навіть вирішити видалити агент повністю через соло-стейкинг.

Це дуже важливий механізм, який зазвичай називають голосуванням. Теоретично це має захистити користувачів від негативних наслідків будь-якого розбіжності стимулів між ними та DAO або будь-якої атаки на DAO. Однак на практиці та в конкретному випадку рідкого стекінгу Ethereum ефективність голосування обмежена через низку чинників.

Перший фактор — це особливості роботи Ethereum PoS. Щоб скасувати ставку ETH з валідатора, потрібно дочекатися повного виходу з валідатора, і всі виходи з валідатора Ethereum обробляються в одній черзі з обмеженою пропускною здатністю. Це означає, що час, необхідний для виходу з протоколу, залежить від зовнішніх факторів поза протоколом і може змінюватися на порядки. Це, у свою чергу, означає, що встановлення статичного блокування часу на рішення DAO не може гарантувати, що будь-який користувач матиме достатньо часу, щоб залишити протокол до того, як DAO застосує зміни, які не відповідають інтересам користувача.

Другий фактор полягає в тому, що значна частина користувачів обирає ліквідний стейкінг, тому що вони хочуть повторно розгорнути інвестований капітал в інші форми економічної діяльності, в результаті чого ліквідні токени (LST) широко використовуються в DeFi, включаючи протоколи, які вимагають додатковий час для вилучення (наприклад, ринки кредитування). Це додає ще одну зовнішню залежність, яка може перешкодити користувачам залишити протокол протягом заздалегідь визначеного періоду часу.

Третій фактор випливає з інформаційної асиметрії між пасивною більшістю та активною освіченою меншістю користувачів: правильна оцінка всіх ризиків, пов’язаних із конкретним рішенням управління, включно з хвостовими ризиками, вимагає знань, якими більшість користувачів не володіє. Повідомлення про потенційні несприятливі наслідки рішення DAO через соціальний рівень потребує додаткового часу, зменшуючи ймовірність того, що пасивна більшість залишить протокол до того, як рішення стане можливим для виконання.

Lido DAO створила низку протоколів управління для зменшення інформаційної асиметрії (наприклад, GOOSE framework, Node Operators Sub-Governance Group, LIP framework, зобов’язання щодо мінімальної кількості перевірок будь-якої зміни коду основної мережі), але всі вони угоди соціального рівня між поточними власниками LDO і, отже, не можуть захистити від зовнішньої атаки на DAO.

До рішення

Остаточним рішенням проблеми є мінімізація управління та остаточне окостеніння коду протоколу та параметрів. Немає ризику управління, якщо нічим не керують.

У найближчі роки учасники протоколу вважають необхідністю поступове зведення до мінімуму сфери управління. Однак, поки специфікація Ethereum не закостеніла, можливість оновлення коду може бути зменшена лише до певної міри (наприклад, див. EIP-7002 5, EIP-7251 6). Крім того, будь-який незмінний код має бути офіційно перевірений на рівні байт-коду, щоб виключити ймовірність того, що помилка компілятора спричинить невиправну вразливість.

Існує також взаємозамінний рівень протоколу, який служить механізмом оцінки ризику/винагороди та розподіляє ETH між різними підмножинами валідаторів таким чином, щоб збалансувати прибуток і ризики отриманого набору валідаторів. Ризики тут включають хвостові ризики, які набір валідаторів створює для мережі Ethereum, наприклад можливість цензури та відповідні ризики скорочення. Тривають дослідження (перегляньте цей звіт 6 для останньої ітерації) щодо того, чи можна оцінити ці ризики за допомогою протоколу за допомогою надійного гаджета-оракула, який передає необхідну інформацію в ланцюжок, але це довгострокова спроба, і поки що незрозуміло, як бажаного результату можна практично досягти. Поки в протоколі не буде реалізовано такий надійний механізм, має бути певне управління на рівні взаємозамінності.

Ще одна потенційна область дослідження полягає в пошуку способів запровадження явної згоди на новий код і версії набору параметрів для власників stETH та інтеграції. Поки що незрозуміло, чи можна це зробити без порушення взаємозамінності LST і пов’язаної з цим фрагментації ліквідності, яка, враховуючи, що ліквідність є одним із головних факторів, що спонукають користувачів до LST, знищить конкурентоспроможність протоколу проти інших децентралізованих і централізованих постачальників ліквідних ставок. Тим не менш, це цікавий напрямок досліджень.

Тепер, коли ми з’ясували, що принаймні в середньостроковій перспективі протокол потребуватиме певного керування, давайте подивимося, як ми можемо мінімізувати <a href="https://notes.ethereum.org/@mikeneuder/magnitude -and-direction">the ризики, які створює це управління 1 .

Подвійне управління

Як було зазначено в першому розділі, загальну проблему можна розкласти на 1) наявність PAP і 2) обмежену ефективність голосування ногою. Тому в ідеалі ми хотіли б запровадити якийсь механізм, який покращує як узгодження між DAO і користувачами протоколу, так і ефективність голосування.

Ось де ми приходимо до запропонованого дизайну подвійного управління. Він спрямований на наступні покращення:

  1. Дайте стейкерам можливість достовірно висловити свою незгоду з DAO і зобов’язання вийти з протоколу, якщо DAO не співпрацюватиме у вирішенні конфлікту стимулів.
  2. Надайте пристрій для переговорів між стейкерами та DAO.
  3. Запровадьте розширену динамічну блокування часу для рішень DAO, яка може бути ініційована активною меншістю стейкерів і подовжена, коли бере участь більше стейкерів.
  4. Підвищте ефективність голосування, дозволивши стейкерам вийти з протоколу, не піддаючись новим рішенням DAO.

Огляд запропонованого механізму розробки та деякі ідеї для майбутніх досліджень щодо мінімізації ризиків управління можна знайти в цій примітці: <a href="https://hackmd.io/ @skozin /r17mlW2la"">https://hackmd. io/@skozin/r17mlW2la 37 .

Слід зазначити, що стейкери — не єдина категорія користувачів протоколу; є також оператори вузлів. Одним з потенційних майбутніх напрямків досліджень є пошук способів також покращити ефективність голосування операторами вузлів, наприклад дозволяючи підмножині стейкерів і операторів вузлів координувати протокол і форк DAO, перенаправляючи облікові дані вилучення валідатора на новий контракт (наразі не підтримується рівнем консенсусу).

Іншим напрямком майбутніх досліджень є вивчення нетокенового та гібридного управління 2.

Наступні кроки

Звідси має відбутися кілька речей, перш ніж проект буде завершено, що призведе до більш офіційної пропозиції щодо вдосконалення Lido (LIP), яка буде подана на голосування DAO та пов’язаного документа з протоколу архітектурних рішень (ADR):

  1. Оцінка надійності запропонованого механізму за допомогою моделювання сценаріїв і атак.
  2. Оцінка практичності механізму через створення прототипу коду.
  3. Збір відгуків спільноти.

Ця тема спрямована на досягнення 3, а учасники протоколу працюють над 1 і 2 (обидва наразі виконуються), тому будь-який відгук буде дуже вдячний!

Важливо підкреслити, що хоча подвійне управління є (на мій погляд) важливим кроком у зниженні ризиків управління протоколом, це ні в якому разі не останній крок. Деякі ідеї щодо подальших удосконалень можна знайти в проектному документі механізму, посилання на який наведено вище, і я запрошую всіх зацікавлених обговорити ці та будь-які інші потенційні вдосконалення, опублікувавши тему на цьому форумі.

Відмова від відповідальності:

  1. Ця стаття передрукована з [lido]. Усі авторські права належать оригінальному автору [krozn]. Якщо є заперечення щодо цього передруку, будь ласка, зв’яжіться з командою Gate Learn , і вони негайно розглянуть це.
  2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, належать виключно автору та не є жодною інвестиційною порадою.
  3. Переклади статті на інші мови виконує команда Gate Learn. Якщо не зазначено вище, копіювання, розповсюдження або плагіат перекладених статей заборонено.
Розпочати зараз
Зареєструйтеся та отримайте ваучер на
$100
!