解析Lido DAO的治理风险与机遇

文章来源：FastDaily  

原文来源：BlockScience

基于我们的DAO研究文章，Lido联系我们，让我们通过进行Lido DAO治理漏洞摸底工作，对LIDO liquid staking 协议治理进行弹性评估。在这篇博客中，我们分享了我们对Lido的DAO脆弱性评估的结果，包括：

1. 我们的研究方法和途径

2. 什么是Lido，它在权益证明（PoS）领域的重要性和利益相关者的映射

3. 对治理最小化和 "合理规模 "的见解

4. 从系统的社会、技术和经济动态来看，Lido的脆弱性

这项研究的目标是绘制Lido的治理现状图，了解其目标、动态和风险。这可以帮助指导Lido的治理过程的发展，以确保社会和技术的弹性，以及风险管理，以支持Lido的目标，推动液体赌注的行业领先地位。

在这篇文章中，我们把脆弱性作为一个与威胁相关的概念。漏洞通常出现在系统内部，而不是外部，因此在许多情况下，一旦识别出来，就可以进行管理。识别脆弱性可以产生提高适应能力、复原力和增长的机会。这对旨在去中心化和自主（指独立于外部方向）的DAO来说是至关重要的。

研究方法和途径

我们采用了定性的方法，包括利益相关者访谈和审查文件、代码库、区块探索器、分析仪表板、合同界面、公共通信渠道等。这个分析的范围主要集中在以太坊上的Lido（注意：我们没有运行一个完整的节点来检查和验证Lido合约，我们也没有访问任何与我们互动的网络服务器）。这些信息在我们研究的时候是准确的，从2021年12月到2022年3月，注意到Lido是一个复杂的适应性系统，有些东西可能已经改变。

什么是 Lido Liquid Staking？

Lido是一个金融平台，提供ETH押注衍生品以换取管理费。Lido允许用户通过将ETH存入Lido智能合约来获得可转让的stETH，而无需锁定资产或维护自己的基础设施。作为交换，所有ETH质押衍生品的10%（可通过LDO投票改变）流向Lido DAO，由LDO代币持有人控制。

LDO代币持有者是该平台的所有者/管理者。LDO代币持有者管理Lido DAO的结构和一套扩展的合同，Lido DAO的国库，以及LDO代币本身。任何超越以太坊（多链）或IRL（人）的东西都不是由LDO代币持有人直接拥有或管理的。虽然这在未来可能会改变，但Lido的治理责任目前是由链上LDO代币投票以及终端用户和运营商 "用脚投票 "来划分的。

Liquid Staking是一个高度技术化、资本密集和竞争激烈的市场。尽可能多地、快速地增长管理下的资产（AUM），以提高Lido应得的管理费数额，这符合LDO代币持有人的利益，然后可以重新投资于更多的增长和安全。

为什么Lido在权益证明的环境中很重要？

区块空间生产是一个竞争性市场。股权证明（PoS）的通货膨胀奖励自然是集中化的，少数大玩家将可能主导市场。Lido需要获得足够的市场份额，成为占主导地位的 "去中心化 "ETH定额衍生品供应商，并且已经有了先发优势。

如果Lido成功了，它将填补公共区块链领域集中式交易所定投服务和DIY爱好者定投之间的重大空白。这样，个人、机构、去中心化应用（dApps）、DAO和去中心化金融（DeFi）协议都可以从简单、安全、流动性强的ETH中受益。然而，如果Lido（或类似的去中心化液体押注解决方案）不能做到这一点，那么中心化的交易所--受制于其管辖区和监管机构的法律--很可能会控制以太坊等主要区块链上的大部分押注--进而拥有所有主要公共区块链上区块空间的生产。谁生产区块空间，谁就可以重新排序或审查交易。因此，区块空间在公共区块链中是一种关键和宝贵的资源。

如果Lido，一个更 "去中心化 "的系统，保证了当前和未来PoS链的大部分，那么区块空间更有可能保持可信的中立。这将使LDO作为控制区块空间生产的治理代币，以及从该区块空间生产中流出的价值越来越有价值。这意味着Lido需要识别和解决内部的社会、技术和经济脆弱性，以便它能够适应保持竞争力，同时也要保持对外部威胁和环境变化的弹性，以抵制中心化或失败。

Lido的利益相关者

Lido有几个关键的利益相关者群体，他们为使简单、安全、流动性强的ETH成为可能做出了贡献。他们可以根据以下类别来解决：

一级：所有者、运营者和用户，如LDO代币持有人、治理小组委员会、多签者、Lido员工和stETH终端用户。

二级：外部合作者，如整合stETH的DApps、验证器运营商、预言机运营商、接口运营商等。

外部：与Lido有间接关系的团体或系统，如第一层区块链、竞争性的担保即服务提供者等。

这些利益相关者为使简单、安全、liquid staking的ETH成为可能做出了贡献。一些类别的利益相关者也经常在不同的背景下重叠或在不同的角色之间移动。随着Lido的发展，它的利益相关者群体也可能会发生变化（尤其是在多个链上，这不在这个主要关注以太坊生态系统的初步分析范围内）。

关于治理最小化和治理规模的洞察力

Lido提出了一个 "以太坊上的无信任质押 "的路线图，强调通过智能合约托管和节点操作员参与的自动化来实现治理最小化。术语 "治理最小化 "往往会引起利益相关者的各种假设。有助于调整利益相关者对未来治理讨论和决策的期望。

在这种情况下，治理最小化，意味着 "尽可能减少对治理的权力和依赖"。正如Paradigm所说："最广泛使用的协议将趋于治理最小化"。这个想法是，人们更有可能使用和信任一个不能违背他们利益的系统，而不是一个当前所有者或经营者说他们不会改变的系统。

治理最小化的一种方法正变得越来越普遍，特别是在DeFi协议中，就是治理自动化。治理自动化是指通过技术层的自动化将治理推迟到算法过程。例如，Lido路线图强调了验证器节点选择等功能的自动化。我们在此注意到这是治理过程的自动化，因为治理本身不能自动化。如果一个算法做出了治理决定，那是因为它被设计为以特定方式进行治理。因此，流程自动化将治理从系统的操作层转移到设计层。

然而，仍然需要治理来批准该设计，引入算法治理引入了新的治理面（需要确定的行动领域，以塑造行为）。自动化改变了治理在系统中发生的方式，以及治理对谁来说是透明和可读的，而不是一定要增加简单性或效率。治理更多的是一个问题，即什么功能应该被自动化，什么需要人类的监督。

在实践中，这通常看起来是通过引入自动化来减少人类对大多数事物的治理过程，同时有意将人类治理应用到其他方面。然而，如果治理过程变得如此减少或有限，以至于系统不能再被 "引导 "或治理，那么对意外的威胁和事件做出反应的能力就会降低。例如，Lido可能希望对地方上的团队的权力进行限制，同时给予他们在这些限制下行动的自由，以提高运营效率。这样一来，运营可以保持高效，同时减少系统性风险。随着Lido的发展，平衡适应性和复原力，并随着时间的推移调整这种平衡，将是持续成功的关键。

治理规模

Lido DAO的问题是：DAO如何通过自动化和对代码的信任来实现运营效率，同时使DAO理事有足够的意识、参与，并参与战略问责？这需要一种治理规模的做法（被称为 "必要的多样性"），即什么可以被移除，什么需要引导一个系统。

思考治理规模的一种方法是问 "什么是可操作的？(可以自动化），以及 "什么是战略？(可能需要人的投入）；什么可以被观察（通过传感器和反馈使用控制理论术语），什么可以被控制（通过执行器）。然后，这些动态可以被调整，以提供实现系统目标所需的问责制和运营效率。

换句话说，为了 "分权 "而 "分权 "是没有成效的。可能更有效的是减少单点故障，对操作员的权限进行限制，并为用户创造 "发言 "或 "退出 "系统的选择。从这个角度来看，如果LDO代币持有者对大多数事情的权力较小，同时保留对需要人类输入的核心功能的权力，这是一件好事--这可能会或可能不会违背什么是 "DAO "的流行概念。

过度减少治理的风险是消除了适应性。如果治理的目的是使一个系统能够适应完成其功能，那么治理面应该尽可能小，但不能更小。定义治理面的目的是让它的大小尽可能地小，但仍然可控。如果治理面过大，就无法控制和观察，从而破坏了治理。如果治理面太小，就没有足够的控制杠杆来影响和引导系统。适当的治理面大小是有足够的杠杆来引导系统实现其目标，但不能超过。这篇文章中所探讨的许多漏洞都是关于最大限度地减少治理风险和划分治理和运营的。

Lido漏洞

在代币系统安全方面，"去中心化 "的主要目的之一是防止任何一方（内部或外部）将其意志强加于系统及其利益相关者的方向。如果一个系统是 "去中心化 "的，即使你不相信参与者，你也可以相信这个系统。本节旨在探讨Lido可能存在单点故障（中心化）的所有领域，这些单点故障可能会降低其弹性，从而降低其履行功能的能力（即简单、安全、流动性强的代币）。

思考这个问题的一种方式是通过控制理论中的可控性和可观察性概念。在这里，"可控性 "是指系统中的控制杠杆，而 "可观察性 "是指如何观察和测量系统的行为。

系统是否可控（能够被信号影响，在有限的时间内达到给定的状态），是否可观察（能够从系统输出中知道状态的关键变化），如果是，如何可控，如何可观察？

哪里是增加传感器（测量状态和产品输出以产生反馈回路）和执行器（施加力量或控制杠杆）的最有效的地方？

系统中的哪些状态应该被测量，哪些可以被估计？

考虑到这一点，我们将从探索Lido治理面的漏洞开始：可以控制和观察的事物的集合，关于系统的目标和针对该目标的优化能力。我们在社会、技术和经济类别下进行探讨。

社会脆弱性

与目的有关的适应性

适应性和治理的最小化是密不可分的。有些人可能认为，适应性（变化）与治理最小化（无变化）是对立的，但事实并非如此。

适应性是改变的能力。相反，治理的最小化限制了可以改变的东西，以及在这一套中，如何改变。适应性使得随着时间的推移，通过增加对决策的限制，使治理最小化成为可能，而不至于在意外事件发生时完全取消对系统的治理能力。这样一来，一个系统就可以在不断变化的环境中发展得更有弹性。

形式服从于功能

一个机构的组织形式需要遵循它打算优化的功能。广义上讲，Lido是一个 "DAO"，但它采取什么样的组织形式取决于它所要实现的功能以及它所处的环境。在高层次上，DAO的 "去中心化 "和 "自治 "概念意味着没有任何一方控制这个系统。然而，这对于作为服务的赌注来说，与第一层协议上的共识看起来是不同的。Lido的治理需要让系统尽可能简单，同时还允许系统适应提供简单、安全、流动的Staking。Lido的治理面的适当大小是由系统的目的和可能的情况（或 "可及性"）决定的。Lido需要能够适应不断变化的L1协议（如ETH2.0）和多个区块链生态系统，同时有效地追求其目的。

Lido的治理过程已经适应和发展，既能实现新的功能，又能对现有功能进行约束，以优化其目标。Lido进化的一个例子是Easy Track治理。这是一个Lido的子系统，它为运营商提供了自由，让他们在最小的支持下快速行动（适应性），但可以行动的东西是受限制的（治理最小化）。这降低了治理风险，同时也将高层次的目标设定决策与低层次的执行决策（Easy Track投票）分开。

展望未来，Lido正在探索增加DAO投票时间和难度，以及对Easy Track治理施加更多约束。通过创建与战略、整个DAO决策相分离的操作功能的子系统，Lido可以最大限度地减少治理（较少的根级活动），并向无信任的以太坊赌注（更多的用户级活动）发展。

沟通与协调

沟通和危机计划对DAO的运作和治理至关重要。DAO必须避免有关通信的过于繁重的协调开销，但要有明确的计划和流程，知道在危机中如何适应和应对。这是一个跨越组织职能的领域，当Lido在多个第一层协议、实施团队和验证者节点上扩大其运营规模，以及将团队过渡到直接受雇于DAO的工作组时，它可以实现专业化。

目前，Lido团队和跨利益相关者的DAO之间的沟通是通过非正式沟通的模式进行的。如果有一个错误，一个有争议的辩论，或任何信任破裂的场景，用户可能很难获得信息和采取行动来保护他们的利益。一些关键的沟通功能依赖于特定的团队成员在半开放的渠道中看到信息，并知道是否与更广泛的Lido社区分享它们。如果信息没有被看到，人们离开了项目，或者项目继续扩大规模，关键功能必须按照功能而不是单个人组成。这种沟通中断的可能性构成了一种治理风险。

治理设计是改善DAO通信的一个重要考虑因素。为了减少对单个团队成员的依赖，可以颁布组织职能，以提高适应性和冗余度。组织功能可以根据角色、责任和流程来确定范围，即使人员发生变化也能维持。这样，即使贡献者随时间变化，组织也能稳定地继续运作。

业务治理的附属性

经济学家Elinor Ostrom的 "治理公地 "原则是自下而上的自我治理策略的一种方法。Ostrom提到了 "嵌套企业 "这一原则，认为长期持久的、复杂的资源系统通常被组织成许多层级的嵌套组织，共同执行供给、监测、执行、冲突解决和治理活动。换句话说，复杂的、可扩展的组织在多个层面运作，跨越个人、组织、更广泛的系统等。通过将组织相互嵌套，用户可以利用许多不同规模的组织，在每个规模上更好地治理他们的资源，以管理复杂性，实现整体效率、所有权、问责制和规模。

这种治理形式被认为是弹性的同义词，是一种 "应对干扰的适应和转变能力，以继续履行其核心功能"。

设计这种治理的一个适当的出发点是辅助性：即把决策权分配给治理安排中可以胜任的最低层的原则。辅助性是根据组织功能，而不是系统中的具体行为者来组织的。指定一个组织功能提供了一个容器，它有必要的权力和激励措施来履行其功能，而不是对某些人的依赖。这允许在每个组织功能中适当地设计冗余，并为每个功能之间的互动创造一个共同理解的基础。它还允许系统所有者授予或撤销在这些容器内行动的权利。

Lido已经开始这样做了，为一些团队制定了不同的投票轨道和业务预算，只有在改变金额时才需要DAO投票。了解辅助性和嵌套式治理的原则可以帮助Lido在适当的领域确定和追求这种方法。

非加密货币财产的所有权/经营权

这里的非加密财产是指任何类型的数字或知识产权，需要法律实体和/或非加密支付来拥有和运营，但与Lido DAO有关，包括Lido名称、隐私政策下存储的信息、网络域名以及通信基础设施或软件订阅。

如果出现有争议的治理事件，Lido的知识产权（IP）最有可能成为法律或政治斗争的中心。目前，它没有被注册，也没有人明确地拥有它。

为了避免潜在的风险，如生态系统的合作伙伴退出，诉讼（如Craig Wright Bitcoin诉讼），或社区分叉，Lido可能会考虑成立一个附属实体，向DAO报告，以处理法律业务或开源IP。

技术漏洞

本节探讨了Lido的主要治理机制和与之相关的技术漏洞:

• 全球（Lido Aragon DAO，目前由LDO代币投票控制）

• 节点运营者注册处

• 财务管理

• DAO权限和ACL

• 子系统（不尽相同）

• 易轨治理

• Lido节点运营商次级治理小组（LNOSG）。

• Lido 生态系统补助组织（LEGO）

• reWards委员会

• 存款监护委员会

• 主要的协调渠道

• Telegram (非正式聊天)

• 治理论坛（详细讨论）

• 快照（投票）

• 社会媒体（公告和更新）

• Aragon早期投票

以太坊上的Lido是由LDO代币投票通过Aragon DAO控制的。这包括Lido国库、ETH2提款密钥、节点和操作员列表、DAO访问控制列表（ACL）权限、EVM脚本的执行等等。因此，投票应用程序实际上是对Lido的访问。

经济脆弱性

Lido竞相在权益证明（PoS）系统中生产区块空间。这是以区块补贴、费用和未来的MEV作为回报的。

对区块生产的投资是前瞻性的和概率性的。这意味着，如果你控制了百分之十的验证力量（已抵押的代币），那么你可以期待未来区块奖励的百分之十左右。然而，如果其他验证者增加了他们的赌注，那么你可能只能期望获得较低比例的区块生产奖励。为了保持竞争力， 你必须购买更多的代币。这就产生了一种激励，即尽快购买尽可能多的代币，这样你就可以尽快赚取更多的代币，这样你就可以把它们入股以赚取更多的代币。你越早入股就越早挣钱，而你越早挣钱就越早可以入股更多。简而言之，PoS验证可能是一个赢家通吃的市场。赌注市场的好处很大，Lido的目的是，集合赌注的领导者是一个分散/非托管的赌注池。

这强调了Lido所处的市场竞争态势。在PoS网络中占主导地位的验证器可能会变得非常有价值，因此，对该验证器的管理也会变得有价值。这可能会造成对该系统控制权的竞争（想想曲线战争，但对于MEV）。如果发生这种情况，有两种力量可能使这样的系统能够抵制中心化，同时继续提供中立的竞争性分散区块空间生产：竞争性市场和分散的自治组织。

如果有一个竞争性的区块空间市场，那么用户和验证者将有选择。他们可以选择购买和出售哪些代币，以及使用或验证哪些链。然后，如果一方成为网络上大多数区块生产者，他们可能不太可能 "提高租金"，如果用户和验证者可以轻松出售他们的代币并离开。也就是说，专业的PoS验证是高度技术和资本密集型的。那些在这方面做得最好的人可能会得到更多的资本（代币、计算机和融资），为所有的连锁店做这件事。

如果一个去中心化的治理系统控制了大部分区块的生产，那么这个系统可以由一个不同的利益相关者群体来指导，而不是由他们中的任何一个来控制。这在实践中是什么样子的，取决于该赌注系统的代币分配和治理，但它很可能涉及随着时间的推移将治理面最小化。通过最小化对资源的治理，使其能够 如果一个去中心化的治理系统控制了大部分区块的生产，那么这个系统可以由一个不同的利益相关者群体来指导，而不是由他们中的任何一个来控制。这在实践中是什么样子的，取决于该赌注系统的代币分配和治理，但它很可能涉及随着时间的推移将治理面最小化。通过最小化一个资源的治理，利益相关者争夺和捕获该资源的能力被最小化。因此，如果一个系统预计会被争夺，它应该尽可能多地、尽快地减少治理，当且仅当它能够这样做，同时保持它履行其功能所需的适应性。

结论和后续步骤

我们在这篇文章中的目标是根据系统的社会、技术和经济动态来确定Lido治理的脆弱性。一旦确定了脆弱性，就可以对其进行 "治理"，以提高Lido的适应能力和复原力。由于系统是动态的，也就是说，它在不断地变化，所以这个治理脆弱性以将其转化为机会的过程是持续的。

治理社会技术系统中的脆弱性需要对人类利益相关者和技术机制进行分析。治理是在一个系统的边界内使用控制杠杆来引导该系统。Lido目前的结构使其能够为以太坊提供一个去中心化的平台，同时也有足够的控制力来适应以太坊在从以太坊1.0到ETH2.0过渡中不断变化的架构。随着时间的推移，随着以太坊变得更加稳定，Lido的治理结构所提供的适应能力就可以不断被应用，使Lido更加具有弹性。这将是特别重要的，因为随着Lido的发展和在多个区块链上变得更有价值，对Lido的治理也将变得有价值。