以太坊协议：流动性质押带来的风险

流动性质押衍生品 (Liquid Staking Derivatives，以下简称 LSD)，比如 Lido 或其他类似的协议，是一个形成卡特尔化的层面，当它们超过关键的共识阈值时，会对以太坊协议和汇集的相关资本产生重大风险。资本配置者应该意识到其资本的风险，并分配到其他替代协议。同时，LSD 协议应该自我限制，以避免最终可能摧毁他们产品的中心化和协议风险。

注意，虽然目前的 LSD 协议 (如 Lido) 还有很大的改进空间，但本文并没有针对目前这些实现的设计中的缺陷。相反，本文的目的是表明，当 LSD 协议在超过共识阈值时存在的固有问题。

在极端情况下，如果某个 LSD 协议超过了关键的共识阈值，比如 1/3、1/2 或者 2/3 (即该 LSD 协议中汇集的 ETH 质押金超过了以太坊信标链中的 ETH 总质押金的 1/3、1/2 或者 2/3)，并通过协同的 MEV (矿工可提取价值)、出块时间操纵和/或 (交易) 审查——即区块空间的卡特尔化，那么与其他未汇集起来的 ETH 质押金相比，质押衍生品可以实现超额利润。在这种情况下，由于卡特尔的巨额回报，那么通过其他地方参与 ETH 质押的资本将会受挫，从而自我强化了这个卡特尔对 ETH 质押的控制。

LSD 协议可以随着时间的推移将治理、可升级性和其他风险降到最低，但是「谁」可以成为 LSD 协议中的节点运营者 (Node Operator，以下简称 NO) 集的一部分的问题仍然存在。这个控制杆是形成卡特尔化的主要原因。

决定「谁」成为 LSD 协议的节点运营者 (NO) 涉及两个问题——即「谁」被添加到节点运营者集中，「谁」从该集中被移除。从长远来看，这可以通过两种方式设计——要么通过治理 (Token 投票或其他类似机制)，要么通过围绕声誉和盈利能力的自动化机制来决定。

就第一种设计方式而言，即通过治理来决定 NO (节点运营者)，治理Token (比如 Lido 协议的 LDO Token ) 成为了以太坊的一个主要风险。如果该Token可以决定「谁」可以成为这个理论上占多数的 LSD 协议中的节点运营者，那么该Token的持有者们可以 (通过投票) 强制该 NO 进行诸如交易审查、多区块 MEV 提取等活动，否则他们就将该 NO 从节点运营者集中移除出去。

事实上，这种经济垄断活动的强制执行只会加强该Token对 NOs 的控制。如果该Token行使其垄断，通过破坏性机制获得超额利润，那么，在极端情况下，NOs 将不会像独立运营那样盈利。因此，能够决定 NOs 的治理Token可能成为一种自我强化的卡特尔化和对以太坊协议的滥用。

这种决定 NOs 的治理还有另一个明显的风险，那就是监管审查和控制。如果在某个 LSD 协议中汇集的 ETH 质押金超过了以太坊协议中总质押金的 50%，那么这些汇集起来的 ETH 质押金就获得了审查区块的能力 (更糟糕的是，如果这些汇集的 ETH 质押金占到了总质押金的 2/3，那么它们就能够「敲定」这些区块)。在一场监管审查攻击中，我们现在有一个明显的实体——即治理Token的持有者——监管机构可以向他们提出审查区块的请求。这很可能是一个比以太坊网络作为一个整体更简单的监管目标，具体取决于该Token的分布情况。事实上，DAO Token的分布情况通常是非常糟糕的，只有几个实体决定大多数投票。

因此，在对占多数地位的 LSD 协议的任何形式的Token治理控制中，我们都依赖于该协议的 DAO 或任何治理结构的善意。依靠这样一个实体的善意、匿名性或其Token在地理上的分布情况来阻止攻击是不安全的，我们必须将这视为从长远来看是不够的。

就第二种设计方式而言，即基于 NOs 的盈利能力和声誉来选择「谁」可以被添加进 LSD 协议的节点运营者集中，我们实际上最终会得到一个类似的，尽管是自动的卡特尔化结局。首先，进入节点运营者集中需要一定的时间和资本 (也即投入一些 ETH，类似于 Rocket Pool 的设计，然后慢慢地展示自身的盈利能力并分配到更多的 ETH 质押金)。尽管进入这个节点运营者集需要时间和资本，这可能会让新进入者更难以进入，但这并不是这种设计方式真正的卡特尔化向量。相反，这种设计方式的卡特尔化向量是，如果 NOs 的表现达不到某些盈利标准，那么就会被自动移出节点运营者集。

基于盈利能力来从节点运营者集中踢出去，这可能是确保 NOs 对 LSD 协议资金池有利的唯一的无须信任的 (非治理) 方式。但定义盈利能力会面临问题——要么你定义一些绝对数字 (比如良好的基线 ETH 增发奖励)，要么你需要定义一些相对数字 (比如在平均/正常盈利能力的 10% 以内)。

但考虑到 MEV/交易奖励在某些时间窗口的不可预测性，以及 MEV 奖励对长期利润的重要性，这些数字需要是动态的，并在一段时间内与其他节点运营者/验证者进行比较。也就是说，由于系统在一段时间内的经济活动的高变动性，系统不能设计成有一些绝对指标——比如必须从交易费中获得 X 的盈利。

当所有节点运营者都使用「诚实的」技术时，这种盈利能力对比指标可能很好地起作用，但如果任意数量的 NOs 使用破坏性技术 (比如多区块 MEV 提取或调整出块以获取更多 MEV)，从而扭曲了盈利目标，那么诚实的 NOs 将最终会被从节点运营者集中踢出去 (如果他们不加入并使用这些破坏性技术的话)。

因此，这意味着无论采用上述哪种方法——不管是对 NOs 的治理还是基于盈利能力的选择/驱逐——这种超过共识阈值的资金池都会成为卡特尔化的一个层面。它要么是通过治理形成的直接卡特尔，要么是通过智能合约设计形成的具有破坏性的、盈利能力强的卡特尔。

题外话：一些人认为，LSD ETH 持有者可以在其底层 LSD 协议的治理中拥有发言权，从而成为一个可能是分布情况糟糕的、富豪统治的治理Token的安全后盾。

这里需要注意的是，从定义上来说，ETH 持有者并不是以太坊用户，且从长远来看，我们预计以太坊用户比 ETH 持有者要多得多。这是说明以太坊治理的一个关键而重要的事实——ETH 持有者或质押者没有被授予链上治理。以太坊是一个由用户来选择运行的协议。

从长期来看，ETH 持有者只是用户的一个子集，因此参与质押的 ETH 持有者甚至是该子集的子集。在极端情况下，即所有的 ETH 都通过某个 LSD 协议参与质押，被质押的 ETH 的治理投票权重并不能为用户保护以太坊平台。

即便在 LSD 治理中存在时间延迟，使得汇集的资金可以在治理变化发生之前退出系统，LSD 协议也会遭受「温水煮青蛙」的治理攻击。小而缓慢的变化不太可能让质押资本退出系统，但随着时间的推移，系统仍然可以发生巨大的变化。

此外，如前所述，LSD 持有者与以太坊用户并不相同。LSD 持有者可能会接受某种审查制度所需的治理投票，但这仍然是对以太坊协议的攻击，用户和开发者将通过他们可以使用的手段——社交干预来减轻这种攻击。

需要注意的是：「在面临恶意治理的情况下，质押的 ETH 总是可以退出」实际上在今天技术上是不正确的，未来也不确定是正确的。验证者的激活密钥是当前以太坊 PoS 设计中唯一允许从质押中退出的密钥。虽然有许多提案建议添加 BLS 和智能合约退出凭据的功能来启动退出，但这些都还没有在目的或设计上达成一致。

上面的大部分讨论都集中在 LSD 池 (如 Lido) 对以太坊协议构成的风险，而不是对在池系统中持有资本的人构成的风险。因此，这似乎受到了「公地悲剧」的影响——每个人做出一个理性的决定来使用该 LAS 协议进行质押，这对用户来说是一个好决定，但对协议来说是一个越来越坏的决定。但是，事实上，当超过共识阈值时，对以太坊协议的风险和分配给该 LSD 协议的资本的风险是捆绑在一起的。

卡特尔化、滥用的 MEV 提取、(交易) 审查等都是对以太坊协议的威胁，用户和开发者将以与传统中心化攻击相同的方法应对这些威胁——即通过社交干预来烧毁。因此，将资金汇集进入这个卡特尔化层，不仅使以太坊协议处于风险之中，而且反过来也使这些汇集的资本处于风险之中。

这些可能看起来像「尾部风险」，很难让人认真对待，或者可能永远不会发生，但如果我们在 Crypto 领域了解到任何东西——如果它可以被利用或有一些不太可能的「临界边缘情况」，那么它将比你想象的更快地被利用或崩溃。在这个开放的动态环境中，脆弱的系统一次又一次地崩溃，易受攻击的系统被攻击以获取乐趣和利益。

以太坊协议和用户可以从一次 LSD 中心化和治理攻击中恢复过来，但这不会很美好。我建议 Lido 和类似的 LSD 产品为了自身的利益而自我限制，并建议资本配置者意识到 LSD 协议设计中固有的资本汇集风险。由于相关的固有和极端风险，资本分配者们分配给 LSD 协议的 ETH 质押金不应该超过 ETH 总质押金的 25%。