二次治理:什麼有效,什麼無效?

2022 年 7 月 11 日

– 粗略探索二次投票的現實約束和可能的解決方案

對於 TL;DR,請跳至結論。

二次方治理在 DAO 治理、開源基金等領域已被證明是行之有效的,同時,它在公司治理甚至政治選舉等非加密治理體系中也顯示出巨大的應用潛力。

二次方治理的原始形式是二次方投票(QV)(https://en.wikipedia.org/wiki/Quadratic_voting)。QV 背後的想法是允許治理系統中的參與者表達他們的偏好程度,同時限制極端偏好(尤其是來自鯨魚的偏好)。爲了實現這一目標,Glen Weyl 等人(https://www.aeaweb.org/articles?id=10.1257/pandp.20181002)提出爲參與治理的選民分配投票信用(最初稱爲“話語權信用”),投票過程會消耗話語權信用。如果一個人一直爲一個提案投票,每票的話語權成本就會增加,因此它限制了鯨魚對投票結果的影響程度。二次投票已經在加密和非加密世界中進行了實驗。最近,ETHDenver 社區投票輪(https://dorahacks.io/grant/ethdenver22)使用二次投票來匹配資金分配。在現實世界中,科羅拉多州民主黨黨團(https://en.wikipedia.org/wiki/Quadratic_voting#Applications)使用二次投票來決定立法優先事項。

二次方融資(QF)(https://vitalik.ca/general/2019/12/07/quadratic.html)將投票與捐贈結合起來,並創建了一種算法來計算通過個人捐贈進行的匹配資金分配。二次方融資已被 DoraHacks、Gitcoin 和一些其他加密原生融資協議採用。DoraHacks.io(https://dorahacks.io/grant)上已舉辦了 30 多輪二次方融資資助活動。二次方融資允許來自任何生態系統的社區成員參與早期提案和 BUIDLer。然而,它同時也存在幾個問題,包括分配不平等加劇、身份僞造、女巫攻擊和勾結。

歸根結底,這一切都與治理系統的規模有關。將治理系統視爲分配機器。如果一個系統只分配 100 美元,可能不會出現很多假賬戶。當它分配 100,000 美元時,可能會出現機器人和女巫攻擊。當它分配 10,000,000 美元時,很可能會出現複雜的勾結、女巫攻擊和其他問題。

在本文中,我們將根據現實實踐探索二次元治理體系的制約因素,並討論解決這些問題的潛在解決方案。最終,我們解決的問題越多,二次元治理的規模就越大。

二次治理體系的挑戰

在實踐中,可以採用註冊、投票、匹配三階段模型構建二次元治理體系。

一輪 QV/QF 分爲三個階段

雖然它看起來簡單直接,但如果你真的建立了這樣一個系統並將其用於實際治理,幾乎每一步都會遇到問題。現在讓我們看看這個系統,並概述一下我們和其他人已經發現的一些障礙。

  1. 註冊:系統是否將選民列入白名單?如果是,選民如何被列入白名單?如果沒有,如何防止惡意用戶的濫用?

  2. 投票:投票者對一組特定的目標(BUIDL、項目、提案、公共物品或任何需要選擇/資助的事物)進行投票。

  3. 匹配/分配:如果有資金池需要分配,將根據投票結果將其與目標進行匹配。可能會進行投票後分析和調整。

除了以上問題,還有很多問題需要考慮。當系統規模擴大時,參與者是否會相互勾結?如何防止勾結?

還可能存在一些更微妙和特定於用例的問題,僅舉幾例:

  1. 如何持續驗證目標公司的合法性以獲得 QF 輪融資?

  2. 如何在保護選民隱私的同時驗證選民身份?

  3. 如果已經發生 sybil 攻擊,如何找出 sybil 投票並處理這些投票?

  4. 如果目標之間存在巨大的資金缺口,如何處理不平等問題?

  5. 解決這些問題的複雜性是什麼?

在本文中,我們重點關注與擴大二次治理最相關的三類問題:身份驗證/女巫攻擊、共謀和分配不平等。

女巫抵抗和選民身份

到目前爲止,抵抗女巫攻擊一直是二次投票和二次融資中最受關注的話題之一。與 1p1v 或 1stake1vote 系統相比,賬戶拆分可以在二次投票中產生更多投票,在二次融資中產生更大的 support_area,因此可以產生更多匹配資金。

理論上,如果系統受到限制且選民人數較少,那麼女巫攻擊是可以完全避免的,因爲您可以將所有人列入白名單,並在他們開始投票之前瞭解所有人。一個現實世界的例子是在國會投票。每個代表都是衆所周知的,而且他們只有一小羣人,通常不超過幾百人。當每個人都互相認識時,將所有人列入白名單的成本根本不高。因此,當科羅拉多州民主黨黨團使用二次投票時,不應該擔心女巫攻擊或身份僞造。

然而,當一大羣人使用二次方投票,或者在二次方融資的情況下,情況就不同了,因爲社區貢獻者可能來自任何地方。值得注意的是,像 GitHub / 電子郵件註冊這樣的 Web2 身份驗證方法根本不能防止女巫攻擊,因爲它們很容易被創建,甚至賬戶歷史記錄也可以被僞造。在選民人數衆多的情況下,二次方治理系統特別容易受到女巫攻擊,因爲僞造身份和賬戶進行投票確實會產生很大的影響!

爲了應對女巫攻擊,後輪女巫分析(https://medium.com/block-science/operationalizing-the-gitcoindao-anti-sybil-process-7f2595544f44)系統已經開發出來。這些系統主要分析投票數據,識別潛在的女巫賬戶和女巫行爲,然後將其刪除。雖然後輪分析很有用,但後輪分析也存在一些問題。

  1. 分析只能在投票結束後進行,而且需要時間。社區需要等待一段時間,否則可能會引起不滿。

  2. 開源困境。開源的 sybil 檢測系統將受到進一步的攻擊,而且開發新的 sybil 攻擊往往比開發反 sybil 工具更容易。另一方面,閉源的 sybil 檢測系統不會完全被信任。

  3. 攻擊者總能找到方法來玩弄系統,儘管 sybil 分析系統無法快速改進和改變,但攻擊者可以。

  4. 改變/調整結果可能會導致爭議和不信任

    因此,在投票前和投票期間應對女巫攻擊非常重要。問題是 - 我們如何驗證選民身份?(https://0xparc.org/blog/zk-id-1)

    現在看看一些現有/即將推出的方法:KYC、白名單、社交賬戶驗證、NFT/靈魂綁定代幣(SBT)和 zk-identity。(https://0xparc.org/blog/zk-id-2)

    同時,由於每種身份驗證方法都有自己的權衡,我們進一步使用以下指標來評估權衡:抗女巫攻擊、無需許可性、隱私性和複雜性。

    • 抵抗女巫攻擊是這裏的主要目標,至少對於區塊鏈治理而言是如此。

    • 無需許可很重要,因爲許多社區希望對廣大受衆保持開放,而白名單/KYC 人員可能會限制其發展潛力。目前,白名單或 KYC 方法的成本非常高。

    • 隱私對於促進人們表達真實意見至關重要。

    • 複雜性是指在實踐中構建和使用這些方法的難度(就工程和運營成本而言)。

    我們從不同維度來審視這些權衡——開放性與抗女巫攻擊、隱私性與複雜性。

    抵抗 Sybil 攻擊與無需許可的權衡

隱私與系統複雜性的權衡(注意,zk 身份具有許多首選屬性,但需要構建更復雜的基礎設施)

此外,社區也有不同的類型。每個社區在選擇選民驗證方法時都應該爲自己做出最佳權衡。封閉俱樂部可以只使用白名單,而授予 DAO 社區可能會同時使用幾種方法來最大限度地提高其可靠性和可信度(如果其工程能力允許的話)。

我們還可以根據選民人口和開放程度來觀察不同的社區。

對於小型封閉社區,幾乎每種驗證方法都有效。但爲了簡單起見,白名單、權益質押和 Web2 身份驗證可能是最簡單的。

對於大型且封閉的社區,NFT / SBT(如果隱私是一個大問題,則需要私人證明)和質押可能是不錯的選擇,或者與其他選擇相結合。

對於大型開放社區,像 zk-identity 這樣的方法是長期解決方案。例如,2020 年美國總統大選雙方在郵寄選票和投票機方面存在很多爭議。對於這樣一個封閉(只有公民可以投票)但規模龐大的社區(約有 3 億美國公民可以投票),從長遠來看,開發 zk 身份基礎設施可能是值得的。

請注意,多個系統可以組合使用。將權益添加到白名單系統可以增加問責制;將 SBT 與 zk 證明相結合可以增加隱私性等。但是,添加新方法或組合不同方法會增加產品、工程、運營和管理的成本。因此,社區需要在做出決策之前評估權衡。

抗合謀

儘管在二次治理系統中,女巫攻擊一直在發生,但勾結纔是真正的大問題。勾結是一個更根本的問題,因爲勾結將治理系統變成了合作博弈,這在大多數情況下是不可避免的,而且要複雜得多。

歸根結底,治理系統是分配機器——人們通過投票表達自己的意見,系統將有限的資源分配給不同的羣體。根據治理系統的規模,共謀程度也不同。在一個分配 1,000 美元的系統中,共謀的動機可能比另一個分配 1,000,000 美元的系統中要小得多。

不同形式的勾結都會產生成本,包括財務成本、聲譽成本等等。在 DoraHacks 資助中,BUIDL 社區指南(https://dorahacks.io/blog/buidl-community-guidelines/) 明確禁止賄選。違反該規則的社區成員將被禁止獲得資助的配套資金。但是,如果勾結的動機足夠大,賄賂總是有辦法的。

然而,與女巫攻擊不同,我們沒有明顯的方法來消除勾結。勾結可能比女巫攻擊更加隱蔽,而且很難通過“執法”阻止勾結。在現實世界中,勾結無處不在,大多數勾結形式甚至無法觀察到——內幕交易、賄賂和遊說。防止或規範勾結有時可能需要數十年時間(例如,安全法)。

在區塊鏈世界中,強制執行社區規則來阻止勾結通常是不可行的(因爲鏈上幾乎沒有任何“執法”!)。因此,加密反勾結解決方案更受歡迎。最小反勾結基礎設施 (MACI)(https://ethresear.ch/t/minimal-anti-collusion-infrastructure/5413)是一種通過加密方式使選民難以證明其實際投票結果來實現此目標的系統。基本的 MACI 投票輪次有四個步驟。

  • 首先,選民需自行登記才能參與投票。

  • 然後開始投票。所有投票將使用運營者的私鑰進行加密,並將選票投給智能合約。投票者可以多次投票。

  • 當投票期結束時,操作員會收集所有消息並以相反的順序統計選票,然後發佈最終結果,但不透露任何個人的投票。

  • 最後,操作員使用零知識證明(ZKP)發佈結果,證明結果是正確的

使用 MACI 的投票系統的四個步驟

目前,MACI 主要用於區塊鏈投票和社區治理的資金分配。DoraHacks 輕量級 MACI(https://github.com/dorahacksglobal/qf-maci)(基於 MACI 1.0)(https://medium.com/privacy-scaling-explorations/release-announcement-maci-1-0-c032bddd2157)已被 DoraHacks.io 上的多輪二次方投票所採用,包括 ETHDenver 22 社區投票輪次(https://dorahacks.io/grant/ethdenver22)和 Opensea Hackathon 評委投票(https://dorahacks.io/grant/opensea)。此外,Clr.fund 是一個使用 MACI 和二次方融資的以太坊公益融資平臺。

MACI 通過增加勾結成本來提高反勾結能力。如果沒有這樣的系統,選民和賄賂者會共享信息,賄賂成本就會很低。有了 MACI,賄賂成本將顯著增加。在信息高效的系統中,反勾結功能將提高賄賂成本,使賄賂者無法承受。除非賄賂者能夠製造信息不對稱並降低選民期望,否則賄賂者無法從賄賂中獲利。

公共論壇中關於 MACI 增加串謀成本的討論

然而,MACI 並不是解決所有共謀問題的“一勞永逸”解決方案。唯一無條件的屬性是結果的正確性,這由零知識證明保證。除此之外,MACI 還有自己的安全和隱私假設,主要與操作員有關:

  1. 運營商不會通過直接或間接地向某些選民羣體泄露信息來與選民勾結。

  2. 選民之間沒有“瘋狂”的機制來打破 MACI 勾結抵抗(例如,選民受到 24/7 全天候物理監控或被迫在他們自己無法控制的計算機上投票)。

對於假設 1 - 原始 MACI 要求操作員是好的,這意味着操作員保護選民信息和投票細節的隱私,並且操作員不會通過泄露信息故意與選民勾結。對於假設 2 - 激勵不足以讓選民發明高成本的方法來打破 MACI 勾結阻力。

這些假設重要嗎?在小規模的治理系統中,它們可能並不重要,因爲我們總是可以信任運營商。但如果治理系統規模擴大,這可能就不成立了。如果有足夠的激勵,運營商可以被賄賂。

在選民和操作員之間增加隱私的一種方法是允許選民更改密鑰並使用不同的密鑰進行投票,而無需向操作員提供有關其新密鑰的任何信息。

這個想法是將密鑰停用功能添加到系統中,並使用客戶端 ZKP 來防止操作員知道誰擁有哪個密鑰,從而防止操作員知道誰投了什麼票。有幾種方法可以實現這一目標。權衡是 - 隨着隱私的增加,工程複雜性將會增加。

隱私和複雜性,不同的 MACI 匿名化提案

不同MACI匿名化的參考鏈接:

  • 輕量級MACI(https://github.com/dorahacksglobal/qf-maci)

  • 原始 MACI(https://ethresear.ch/t/minimal-anti-collusion-infrastructure/5413)

  • 輕量級匿名 MACI(https://doraresear.ch/2022/04/30/light-weight-maci-anonymization/)

  • MACI 匿名化(使用 MPC)(https://ethresear.ch/t/adding-anonymization-to-maci/6329)

  • MACI 匿名化(帶有重新隨機化加密)(https://ethresear.ch/t/maci-anonymization-using-rerandomizable-encryption/7054)

二次方融資特別容易受到勾結的影響,因爲如果某個政黨可以簡單地賄賂更多選民爲自己投票,他們的收益就會成二次方增長。

目前,MACI 足以增強大多數區塊鏈治理系統中的抗勾結性。假設在具有相同用戶體驗水平的現有產品中進一步添加匿名性。在這種情況下,基於區塊鏈的抗勾結投票系統可以潛在地解決實際治理問題,從大選到未來的空間治理。

隨着治理體系的擴大,對手和解決方案都在不斷髮展

不平等與稅收

治理的很大一部分是分配資源。大多數時候,不平等是一種特性,而不是缺陷,因爲只要有限的資源在分配,不平等就一直存在。唯一的區別在於它是大是小,但我們永遠無法 100% 消除它(烏托邦本來就不存在!)。如果一個治理體系存在巨大的貧富差距/分配差距,隨着時間的推移,人們會對該體系失去信心和信任,最終導致體系崩潰。值得注意的是,這在現實世界(社會起義、革命和內戰)和區塊鏈協議治理中都是如此。(https://cryptoslate.com/defi-crowd-mocks-harvard-law-student-group-for-voting-20-million-out-of-uniswap-treasury)

二次投票的理念是限制極端偏好,尤其是鯨魚的偏好。它在實踐中大多數時候都有效。然而,二次融資往往會加劇不平等。如果一個項目有更大的 support_area(要麼是因爲它收到了大量捐款,要麼是因爲它收到了來自許多不同貢獻者的捐款)。這就是爲什麼大多數二次融資補助金在輪次後都會受到重大調整的原因之一。

限制二次治理體系中不平等的一個想法是對最高收益者徵稅。獲得更多匹配資金的項目可以補貼那些匹配不足的項目,這與許多國家爲減少貧富差距所做的做法類似,但有兩點不同:(1)所有“稅收”資金將用於在同一系統內重新分配,(2)稅收可以編入協議。

此外,使用稅收時有一個假設。我們需要假設所有項目/提案都是合法的並且經過預先審覈。這是爲了確保所有獲得補貼的候選人在社區眼中都是合法的。如果一個系統沒有申請篩選,那麼這個系統就無法運行。

第一個二次方融資累進稅設計在此處描述(https://doraresear.ch/2021/06/16/reduce-quadratic-funding-inequality-with-a-progressive-tax-system/)。每次調用 vote() 時,它都會對排名靠前的項目徵稅,並根據固定算法將稅款分配給所有項目。這個版本的累進稅在 2021 年的 DoraHacks 上的幾次資助中進行了試驗。該系統的問題在於稅收的分配仍然遵循所有項目的資助比例。因此,如果資金缺口正常,那麼最新資助的項目可以從系統中受益。如果資金缺口巨大,資金較少的項目從稅收資助中獲得的收益很少。在現實中,二次方融資往往會導致巨大的貧富差距,這種算法在幾次實驗後就被放棄了。

近期,提出了一種新的二次資助稅收算法(https://github.com/dorahacksglobal/qf-grant-contract/blob/bsc-long-term/grant-distribution-algorithm.zh.md),該算法基於在保留二次投票結果結構的前提下縮小最匹配項目與最不匹配項目之間的差距。爲了簡化問題,該算法將不平等程度定義爲獲得資助最多的一方與獲得資助最少的一方之間的差距。在該算法中,設置一個獲得資助最多和最少的一方之間的最大比例作爲參數,當差距超過最大比例時,算法在投票過程中動態調整資助結果。新的稅收制度將可能在即將到來的資助項目中進行試驗。

結論(TL;DR)

  • 治理是關於有限資源和價值的分配。

  • 治理本身並不創造價值,但高效、公平的治理可以增加激勵,從而提高生產率。

  • 現實世界的治理與區塊鏈治理面臨類似的問題。

  • 二次元治理繼承了其他治理體系的大部分問題,並且由於其“二次元”性質,增加了一些自身的挑戰。

  • 二次元治理面臨三大挑戰:身份驗證和女巫攻擊、勾結、不平等。

  • 反女巫攻擊和身份驗證解決方案有其權衡,主要是在無需許可性、抗女巫攻擊、隱私和系統複雜性方面。

  • 在某些假設下,合謀問題可以通過 MACI 等加密協議部分解決。隱私性越高,複雜性也就越大。

  • 不平等可能有害且具有破壞性。與現實世界的解決方案類似。稅收可能有助於改善分配質量。

最後,治理是一場永無止境的遊戲。當治理系統規模擴大時,問題也會隨之擴大,因此解決方案也需要隨之擴大。建設者和機制設計者有很大的設計空間來開發新的解決方案並改進現有的解決方案。