Popular Science: ¿Qué es el valor extraíble de la gobernanza (GEV)?

La gobernanza es el propietario último del protocolo. Ya sea una dictadura o una plutocracia, el proceso de gobernanza controla todos los aspectos móviles de los protocolos relevantes y cómo cambian. A diferencia de las corporaciones tradicionales, el proceso de gobierno de las aplicaciones de blockchain es transparente, definido por contratos inteligentes dedicados (por lo tanto, deterministas), y los cambios son visibles para todos. Pero donde hay luz hay oscuridad. Los programas de gobernanza también pueden beneficiarse al sacrificar todo el sistema, lo que llamamos "Valor extraíble de la gobernanza (GEV)". Además, a diferencia de las corporaciones tradicionales, no existe un marco judicial para controlar la mala gobernanza.

La gobernanza del protocolo se puede representar mediante dos ejes: qué se controla mediante el proceso de gobernanza y cuántas personas participan en la gobernanza. Cada protocolo tiene sus propios objetivos, por lo que el espacio de diseño también es diverso. Algunos acuerdos en sí mismos son inmutables, otros tienen muy pocos parámetros (como el cambio de tarifa y las funciones de suspensión), y algunos incluso pueden reemplazar por completo las funciones de los contratos comerciales (o "actualizables"). En última instancia, el control puede no ser propiedad de nadie o puede estar en manos de una persona, un pequeño grupo de personas (la entidad correspondiente al contrato de múltiples firmas) o un gran grupo de personas (votación de token de gobernanza). Sin mecanismos para controlar y equilibrar el poder, la complejidad y flexibilidad de los contratos puede convertirse en un caldo de cultivo para el oportunismo.

¿El proceso de gobernanza tendrá en cuenta los intereses últimos de los usuarios? Parece incorrecto estar demasiado lleno :) La explosión de GEV se puede dividir aproximadamente en dos categorías: explosión de la estructura de capital y cortoplacismo.

La voladura de la estructura de capital se conoce comúnmente como "tirar de la alfombra", que incluye programas de gobierno que roban garantías del sistema o se asignan garantías directamente a sí mismos y se las quitan. La huida es similar a la huida de un banco con el dinero de los depositantes, aunque la explosión de la estructura de capital se puede hacer de manera más secreta e indirecta. La mayoría de los usuarios no invertirán dinero en un contrato con una función de escape invocable obvia. Pero los desarrolladores pueden agregar funciones de escape más tarde, o usar la estructura del sistema para escapar de una manera indirecta (y deslumbrante). Aquí hay unos ejemplos:

Actualización maliciosa y escape. Normalmente, en un banco, los usuarios solo pueden depositar y retirar su propio dinero, y no deberían poder retirar el dinero de otras personas. Compounder se diseñó originalmente sin una puerta trasera. Sin embargo, cuando los desarrolladores actualizaron el contrato, agregaron una función de escape que les permitió robar un total de $10.8 millones en activos asegurados. Si bien hay un período de tiempo de 24 horas antes de que la actualización entre en vigencia, durante el cual los usuarios pueden retirar sus activos, muy pocos usuarios monitorean el contrato de cerca.

Explosión de monedas ilimitada. Solo hay una cuenta de propietario de contrato de token erc20 de red PAGADA, y esta cuenta puede acuñar nuevas monedas. En el ataque, el desarrollador acuñó millones de monedas, absorbió el grupo de fondos PAID-ETH en el intercambio Uniswap y luego se escapó con ETH, dejando innumerables PAID cuyo valor se redujo a cero debido a la hiperinflación.

Vender accionistas minoritarios. DigixDAO votó para devolver los fondos de ICO a los titulares de tokens, ya que el capital recaudado en ese momento era incluso más valioso que los tokens de gobierno. Detrás de escena, una coalición controla la mayoría de las acciones, y no está claro quiénes son estas personas o cómo van a votar (el equipo de Digix ha expresado abiertamente su disolución). Antes de que comience la votación, las partes pueden comprar tokens DigixDAO de los accionistas minoritarios por una diferencia de hasta el 48 % entre su precio de mercado y sus reservas ETH correspondientes. Hasta ahora, nadie sabe si estos compradores son miembros de la alianza que quieren vender a los accionistas minoritarios para obtener ganancias, o si son personas no relacionadas que solo apuestan por los resultados de la votación.

Gate.io lanzará el comercio de ROSE a las 18:00: según el anuncio oficial, Gate.io lanzará el comercio de Oasis Network (ROSE) a las 18:00 (UTC+8) el 24 de noviembre (hoy) y tendrá un gran premio de depósito La fecha límite para realizar la actividad es el 1 de diciembre a las 17:00 horas. Durante el evento, los 30 principales depósitos netos de ROSE compartirán 1550 lanzamientos aéreos de ROSE. Vea el enlace original para más detalles. [2020/11/24 21:57:59]

Vota lejos. En teoría, MakerDAO tiene una superficie de ataque: los programas de gobernanza pueden votar todas las garantías del sistema para sí mismos sin alertar a los usuarios finales. Sin embargo, el riesgo se mitiga con bloqueos de tiempo.

Aunque tanto los administradores como los usuarios quieren que el acuerdo crezca, es posible que tengan opiniones diferentes sobre métodos y pasos específicos. El objetivo del usuario es el crecimiento sostenible. En cambio, los titulares de tokens de gobernanza pueden buscar el crecimiento a toda costa. Por lo tanto, no es imposible realizar re-apuestas de alto riesgo para obtener beneficios inmediatos (tasas de manejo/apreciación de tokens de gobernanza), aunque esto dañará todo el sistema y lo hará más frágil. El cortoplacismo puede aparecer en muchas cosas. Un ejemplo es operar el sistema usando activos más riesgosos y elevando el techo de deuda para el sistema como un todo.

Cream Finance es una réplica de Compound, ha agregado muchos tokens DeFi de bajo crecimiento y no tiene un límite de deuda para atraer usuarios y volumen. Sin embargo, los depósitos de tokens FTT terminaron representando el 40% de los depósitos dentro de Cream, lo que aumentó significativamente las apuestas del protocolo. Los prestamistas de Cream podrían perder activos si el precio del FTT se desploma.

En las empresas tradicionales, el mecanismo de prevención de GEV tiene fuerzas conservadoras, así como reguladores y acciones de clase, como un gran garrote para frenar el comportamiento de las voladuras. Pero estos no se pueden traducir en contratos inteligentes (cuya lógica está programada de antemano). En un mundo en cadena, los procedimientos de gobierno deben estar preprogramados y existen mecanismos de incentivos para frenar el mal, porque todos sabemos que ninguna organización centralizada puede hacer justicia por nosotros después de una explosión.

Hay muchas consideraciones cuando se trata de quién gobernará el protocolo. Es más conveniente para los desarrolladores organizar solo una cuenta de propiedad, solo se necesita una clave para actualizar el protocolo y no hay necesidad de coordinarse con titulares de claves privadas en otras zonas horarias o titulares de tokens apáticos. El proceso de desarrollo solo necesita una inversión unilateral y puede ser rápido, pero los usuarios deben confiar en el titular de esta clave privada.

El control de firmas múltiples y la votación simbólica son mejores opciones para que los protocolos más maduros logren un consenso más amplio. Aunque en realidad, si el equipo de desarrollo controla la mayoría de los tokens de votación, el sistema volverá al modo de dictadura o al modo de alianza.

Los primeros contratos inteligentes intentaron lograr una "inmutabilidad" literal. Los cambios y actualizaciones del contrato no son posibles. Si hay un error en el contrato, o si el desarrollo del contrato inteligente se vuelve como diseñar un hardware que no se puede mejorar, es terrible, como una sonda a Marte que no se puede reparar. Agregar una nueva funcionalidad a los contratos no actualizables puede requerir que los usuarios transfieran fondos ellos mismos. Desde cierto punto de vista, esta es una característica (puedes imaginar que el código no cambiará), pero también puede verse como un terrible agujero negro en la experiencia del usuario (los usuarios de YAM tienen que migrar sus tokens dos veces).

La forma más directa de mejorar es diseñar un espacio de actualización mínimo, como la función de pausa, que es muy práctica cuando se descubre un error y tiene algunos parámetros muy limitados.

El diseño más flexible es usar contratos actualizables (composición), un contrato central (proxy) que almacena todos los datos y hace referencia a un contrato reemplazable que carga toda la lógica comercial. Los usuarios ni siquiera saben que el contrato subyacente se ha actualizado, por lo que la experiencia del usuario es muy fluida (por supuesto, la ejecución también es muy fluida).

Los bloqueos de tiempo de gobernanza están diseñados para dar a los usuarios tiempo de ajuste para adaptarse a las actualizaciones. Suponiendo que la liquidez sea suficiente, los bloqueos de tiempo pueden permitir a los usuarios abandonar el protocolo (suponiendo que no les gusten los cambios que están a punto de activarse). Para este tipo de explotación, los usuarios querrán diseñar bloqueos de tiempo más largos, de modo que tengan tiempo para comprender el cambio y tiempo para reaccionar, pero los bloqueos de tiempo más largos también reducirán la flexibilidad del protocolo. MakerDAO se ha negado durante mucho tiempo a incluir bloqueos de tiempo por esta misma razón.

Pero los bloqueos de tiempo no son una panacea: los usuarios pueden hacer esto solo en teoría, pero eso no significa que haya tanta liquidez en el mercado que les permita hacerlo. Si el proceso de gobierno de Maker intenta eliminar todas las garantías en un CDP y DAI no tiene liquidez, entonces cualquiera que quiera que DAI cierre un CDP está pidiendo suerte. Además, esto supone que todos los usuarios están monitoreando constantemente el bloqueo de tiempo para protegerse contra el comportamiento malicioso (Compounder está hablando de usted).

Como una versión mejorada de timelock, el permiso optimista permite que el acuerdo apruebe rápidamente la propuesta a menos que alguien inicie un veto. La función de veto permite que los inversores minoristas del protocolo, es decir, las personas que usan el protocolo pero no pueden participar en el proceso de gobernanza, como los titulares de DAI, los titulares de CDP y los proveedores de liquidez de Uniswap, rechacen las propuestas del proceso de gobernanza. Si un número suficiente de usuarios inicia un veto, el bloqueo de tiempo se extiende para permitir que más usuarios voten a favor o rechacen el veto. El resultado es que los desarrolladores también pueden responder rápidamente, pero los usuarios también tienen formas de protegerse.

Recurso de soporte: si solo hay un bloqueo de tiempo, las actualizaciones maliciosas harán que todos corran y pisoteen. Ahora el usuario no tiene que cerrar la sesión inmediatamente.

Válvula de seguridad: en el contexto de propuestas maliciosas, un usuario ausente no tiene que preocuparse por perder fondos (no es necesario un servicio similar a una torre de vigilancia). Solo un pequeño número de usuarios necesita monitorear el bloqueo de tiempo para mantener a todos a salvo.

El enfoque optimista de las licencias esencialmente cambia los incentivos para la gobernabilidad, por lo que huir no es rentable. Al intentar huir, los usuarios observadores iniciarán un veto para protegerse a sí mismos y a otros usuarios. La gobernanza se verá frustrada porque el ataque no tendrá éxito y los usuarios serán más reacios a unirse al acuerdo. [0]

Una clave para obtener una licencia optimista es determinar qué equipo es elegible para iniciar un veto. En un sistema como MakerDAO, ¿deberían tener poder de veto tanto los propietarios de CDP como los de DAI? ¿O solo debería tenerlo cierto equipo? [1]

Los procedimientos de gobernanza deben estar alineados con el éxito a largo plazo del protocolo. En general, esto requiere que los poseedores de fichas bloqueen capital o demuestren que son a largo plazo. Las formas anteriores incluyen el sistema de prenda ilimitada y liberación debida (es decir, Curve). Este último toma la forma de votación de por vida (cuanto más tiempo tiene un usuario tokens, más ponderado es su voto).

En general, los mecanismos de bloqueo de tokens se pueden combinar con productos derivados y contratos inteligentes . Y el sistema de votación de por vida no garantiza que una persona que tiene tokens durante mucho tiempo quiera seguir siendo un candidato a largo plazo. Quizás cuando llegue el momento de que este titular a largo plazo tenga más poder, le resulte más rentable cambiar de opinión.

Una alternativa es diferir los rendimientos de capital (dividendos/buy-burns) a los titulares de tokens de gobernanza y establecer condiciones en las métricas de estabilidad/KPI. La razón detrás de esto es que los programas de gobernanza no deben ser recompensados ​​por el crecimiento actual del protocolo, sino por el crecimiento futuro para garantizar que siempre estén haciendo un buen trabajo. Esencialmente, si el sistema deja de ser confiable, el proceso de gobierno debe rendir cuentas (no obtienen recompensa). En cambio, todos estos bonos deberían estar condicionados al crecimiento continuo y saludable del sistema. Un marcado contraste: los incentivos a corto plazo de banqueros y políticos. DeFi brinda a los usuarios la oportunidad de rectificar esto en la estructura de gobierno.

Si bien hay tantos simios y degens que en este momento parece que incluso los protocolos de alto riesgo ganan capital y usuarios, la mayoría de los usuarios son más reacios al riesgo. GEV también es uno de los riesgos, y es más común que el riesgo de huir. Diseñar un sistema que verifique y equilibre GEV será clave para que las dApps ganen popularidad y hagan realidad su visión original de las finanzas descentralizadas. Que no haya salida en el mundo.

Nota al pie

El programa de gobernanza de Aave tiene una puerta trasera de múltiples firmas que puede vetar propuestas maliciosas (más para los desarrolladores que para los usuarios).

Un giro en el mecanismo de veto puede crear una píldora venenosa (es decir, una barra oblicua) para los proponentes malintencionados, aunque se puede abusar de esto y requiere un análisis adicional. Habilitar la roza es peligroso a menos que sus condiciones sean comprobables. Por ejemplo, es fácil probar que un validador firmó dos bloques en competencia (PoS); también es fácil probar que una transacción es válida bajo una premisa de estado dada (comprobando la validez del bloque), pero no es fácil use estos métodos para demostrar que una determinada decisión de gobierno es maliciosa. Al final, le corresponderá al agente de consenso juzgar si es malo, pero no es lo mismo que si es malo o no. Esto plantea una serie de interrogantes: ¿Cómo proteger a los accionistas minoritarios frente a la tiranía de la mayoría?

Los contratos inteligentes se pueden diseñar para bloquear tokens de gobernanza y negociar un token derivado que represente activos bloqueados. Se puede usar una función de lista negra para prohibir que los contratos participen en la gobernanza, pero esto también deshabilitará las billeteras de firmas múltiples (aunque la lista blanca se puede usar para permitir códigos de bytes específicos, etc.).

Por: Leland Lee y Ariah Klages-Mundt

Tags：

Ethereum