保护以太坊改进提案流程免受特殊利益影响+案例与案例研究 - 魔术师/流程改进

动机

我们能否在改善那些为公共利益服务的人的激励机制的同时，更好地保护 EIP 流程免受特殊利益集团的影响？

这篇文章的目的是启动一个讨论，我们希望这个讨论最终能产生一个相当于元 EIP 的东西，从而在结构上改进 EIP 流程。

问题：合谋者的高回报，诚实的人的低回报

如果不改进当前的 EIP 流程，就存在一种危险，即受雇为特殊利益集团服务的协议说客会超过为公共利益服务的无偿利他主义志愿者，从而导致公地悲剧。

我们认为这已经是一个问题，而且正在变得更糟。我们将首先提供一些一般的例子，并更详细地检查一个最近的 EIP 作为一个案例研究。

我们可以把不正当激励的问题分解成两个相关的子问题：

1. 通过不良 EIP 的高回报：特殊利益集团有很高的积极性去游说治理机构，以寻求有利于他们的改变，即使是以牺牲公共利益或其他利益相关者为代价。这可能是一场高风险的对抗性游戏，其成功取决于混淆、勾结和误导。成功的协议说客可能会受到高度激励并且协调良好。
2. 促进公共利益的低回报：无论通过保护免受不良 EIP 的影响，还是通过完成所有工作以获得良好的 EIP。两者都需要大量的人才、时间和精力。只有部分工作本身具有内在的奖励。当前的流程严重依赖利他主义和声望，并且不清楚这是否会与成功攻击流程的规模化奖励成比例地扩展。

这种不平衡是公共选择理论的自然结果（参见 David Friedman 关于该主题的优秀原创作品）。核心思想是集中的特殊利益集团胜过分散的公共利益，有时甚至在分散的公共利益在绝对值上更大时也是如此。一个有些天真的计算作为说明：

• 1 亿美元的收益除以 100 个合谋者 = 每个合谋者 100 万美元的收益
• 10 亿美元的损失分配给 1 亿受害者 = 每个受害者 10 美元的损失

协调防御很困难，因为这是一个庞大的群体，而且该群体的每个成员只承担成功防御的一小部分利益。另一方面，特殊利益集团是一种集中利益，每个参与者都期望从其提案的实施中获得大部分收益。因此，攻击者将受到高度激励，而防御者则遭受公地悲剧。

感言：诚实的人现在的感受

"为了阻止某人真正有动力推进的糟糕提案，我必须撰写帖子，毫无疑问地证明我的观点，与人们交谈以确保问题得到足够的曝光，而且我可能需要继续关注它，在 ACD 上捍卫我的研究等等。我没有真正的动力去做这件事，除了捍卫我关心的生态系统。另一方的人有很强的动力。他们受雇为他们的 EIP 而战，并且从中获得了很多好处。有多少 EIP 会因为没有人愿意投入资源来击落它们而通过，而提案者有动力将其通过？

同样的反方向也适用。我常常不愿意提出我认为对每个人都有好处的 EIP，因为我害怕将它推过 ACD 的反对意见并获得接受的过程会让我筋疲力尽。

因此，那些没有亲自让某人受益的 EIP 不太可能被接受，而那些由将要获得收益的公司提出的 EIP 则更有可能被接受。"

可能以微妙的方式使特殊利益集团受益的 EIP 的一般例子

阳光是一种很好的消毒剂，但它是否足够取决于它穿透的深度。

理解价值或风险如何转移所需的关注和领域专业知识越多，可以预期的阻力就越小，并且获得说服核心开发人员纳入更改所需的社区情绪临界质量就越容易。

一个公然的 EIP 说“每个区块给我们的阴谋集团 X ETH”将很快被拒绝（而且，事实上，即使是 EIP-2025，一个不太明显的恶意提案也很快被否决了）。但是，还有更多微妙协议更改可以使某些选区受益，而以牺牲其他选区为代价。

一些例子包括：

• 预编译 - 支持的集中利益：想要预编译的特定用例
  • 反对的分散利益：共识复杂性的大幅增加，对外部库的依赖，延迟高优先级项目（例如，合并）的开发时间
• Coin救援或其他国家干预分叉 - 支持的集中利益：想要拯救他们的Coin的单一群体
  • 反对的分散利益：混乱分裂的风险、先例、长期更高的治理负担以及由于大胆的未来请求而引起争议的分叉风险
• 高度专业的 EVM 内/状态数据结构（例如，排序的存储槽、堆） - 支持的集中利益：受益于这些结构的特定用例（例如，链上订单簿）
  • 反对的分散利益：更大的共识复杂性，降低了未来进行更改的灵活性（例如，排序的存储槽会阻止 Vitalik 最近的 Verkle 树提案）

这并不是说以上所有类别的提案都是坏的；有时，更集中的收益实际上总体上大于提案的广泛分配的成本。但是作为一般规则，我们应该期望集中的支持方被系统性地过度代表，而分散的反对方被系统性地代表不足。

EIP 流程的开放性和包容性目前是我们抵御不良提案的主要防御措施。但是，鉴于提案的效果可能很复杂和微妙，因此依靠提案的自我证明是好还是坏可能是不安全的。每个人都可以访问各种公共论坛的开放流程可能在实践中无法提供足够的保护，以平衡不正当的激励。

开始探索解决方案空间

我们将尝试通过提出一些原则和想法来开始对话。此列表将不完整，因为目的是启动讨论，而不是说最终定论。

我们认为重要的是要认识到，使坏事变得更难必须与使好事变得更容易相平衡，这样我们才不会最终把孩子和洗澡水一起倒掉。我们不希望通过关闭 EIP 流程来“保护”它。

我们可以从特洛伊城学到的防御原则

让我们用著名的特洛伊木马来比喻，它摧毁了古城特洛伊。

由于流程的开放性，每个关注的人都可以看到什么试图通过我们隐喻的大门。这意味着攻击必须在众目睽睽之下偷偷地欺骗公众的守护者。

我们如何提高门槛，使伪装攻击（例如，打开通往城市大门的渗透部队）变得更加困难，将其伪装成“礼物”（例如，一个美丽的骏马雕像用来装饰我们的城市）？

例如，这可能涉及改进我们的流程的组合，这些流程可以帮助我们：

1. 更好地了解谁在向我们提供礼物以及他们的动机是什么。他们为谁工作？他们的往绩如何？他们是朋友还是敌人？他们与我们的价值观有多一致？他们是否存在利益冲突？
2. 确保我们有足够训练有素的警卫，他们薪水很高并且保持警惕。志愿者很好，但光荣只有这么多，站岗很快就会让人觉得无聊。
3. 使攻击者更难通过劫持我们信任的机构来诱使我们入睡。
4. 确保我们的警卫可以发出警报并引起人们对可能压倒他们的攻击的注意。我们无法防御我们没有意识到正在发生的攻击。
5. 调查险情，以便我们可以在仔细权衡利弊并避免下意识的过度反应的同时，明智地迭代我们的防御机制。
6. 保持得分，提高公众对谁在帮助我们方面做得很好以及谁一直在试图伤害我们的认识。由于我们的注意力和资源将永远有限，因此我们应该明智地分配它。利用声誉可能是解决方案的一部分。
7. 奖励和尊重我们想要更多的东西 - 公共利益的恩人和守护者，同时惩罚和羞辱我们想要更少的东西，那些为特殊利益服务而攻击我们的人。

使游说不良提案变得更加困难的示例想法

开放赏金以激励无需许可的研究

"只要有足够的眼球，所有的错误都是肤浅的" - Linus 定律

在将任何 EIP 纳入网络升级之前，最后一道防线可能是一个开放的漏洞赏金，它将支付给任何发现重大缺陷的人，这些缺陷阻止了 EIP 的按原样纳入。奖励应至少足以支付当前市场价格的独立审计费用。它应该开放足够长的时间，以便给独立研究人员时间来发现缺陷。

赏金作为合同审计的补充的好处是，它在谁会成功方面具有最小的倾向性。这与你认识谁无关，而取决于你知道什么。任何有技能的人都可以尝试领取赏金，并因成功而获得经济和声誉奖励。

赏金流程不仅应该奖励发现现有提案的缺陷，还应该奖励以更好的风险/回报概况实现类似收益的替代提案。

事后诸葛亮

"上当一次，是你的耻辱。上当两次，是我的耻辱"

当一个坏的提案几乎被采纳时，通过资助赏金来最大限度地从中学习，该赏金奖励对哪些流程改进可以最大限度地提高我们针对坏提案的安全边际的最佳理解，同时最大限度地减少好提案的摩擦。

资助“元审计”，关注观察者

奖励那些关注观察者并帮助社区追究审计师责任的人。

一种方法是发布最佳“审计师审计”的开放赏金。这些将奖励那些仔细研究过去审计遗漏的内容，并帮助社区重新评估对他们品牌的信任程度的人。

考虑使用这些“元审计”来更新一个公开的荣誉与耻辱榜，以便更容易注意到审计师何时遗漏了关键问题。其效果应该是，当遗漏关键问题时，社区可以降低该审计师的“信用评分”。

审计师在一定程度上承担着风险，因为他们要为认可不良提案负责（例如，明确或隐含地）。为了在以太坊周围形成一个有效的审计市场，审计师的声誉和他们获得的业务量应该基于他们的表现。

将标准低的审计师推出市场为标准更高的审计师创造了市场机会。

实现这一目标是一项公共利益，将有助于改善一个否则容易发生市场失灵的行业，但值得仔细考虑如何做到这一点，以避免引入不利影响的激励措施，例如审计师愿意审计哪些 EIP。

提高透明度

"阳光是最好的消毒剂"

1. 要求披露利益冲突：所有提案者及其支持者必须披露其私人利益与公众利益或其他生态系统利益相关者之间的冲突。
2. 要求披露动机：所有提案者及其支持者必须披露他们参与的动机。这意味着如果提案被接受，他们将获得什么。
3. 要求披露手段：所有提案者及其支持者都应披露他们为谁工作。
4. 举报：鼓励人们在重要信息被隐瞒的情况下提供证据。
5. 问责制跟踪：如果证据（例如，由于举报人）无可置疑地证明提案者及其支持者隐瞒了有关其动机、手段或利益冲突的信息，则他们的声誉应受到损害，并且他们影响 EIP 流程的能力应降低。同样，杰出的积极贡献者应该看到他们的声誉受益。某种形式的公共跟踪（例如，徽章）可用于将其形式化。

以太坊基金会信号的透明度和问责制

1. 使信号显式化：为了防止劫持以太坊基金会的品牌，以太坊基金会应公开披露其在资助与 EIP 相关的工作中的意图。

例如，应该明确的是，以太坊基金会的员工授权资助审计是为了支持他们认为是好的 EIP 提案，还是出于担心它可能存在他们无法指出的缺陷。

如果以太坊基金会在有意支持某些事物时明确表示前者，而在不有意支持某些事物时明确表示后者，则将会更加清晰。

2. 通过解除组织声誉和个人声誉的联系来增加个人风险：以太坊基金会不像“The Borg”这样的蜂巢思维。它是由具有不同领域专业知识的个人组成的。以太坊基金会依靠领域专家来授权代表以太坊基金会发出信号，这些领域专家应承担风险。社区应该能够看到他们的面孔。他们的个人声誉应该因支持好的事物而提高，而因支持坏的事物而降低。

使更多好事发生的示例想法

除了使特殊利益集团推动的 EIP 更难以不受挑战地通过之外，重要的是要使真正重要的 EIP 更容易通过，即使它们没有任何特殊利益集团支持它们（例如，EIP-2929 Gas 价格变更）以提高反 DoS 安全性，这些变更在开始实施之前已经讨论了一年多而没有取得进展。

EIP 的追溯性拨款

如果为公共利益服务至少（或更多）在经济上比为特殊利益服务更有价值，我们能吸引多少顶级人才来为公共利益服务？

追溯性拨款模型使有兴趣将资源分配给公共利益的人们可以解决更简单的事后评估影响的问题，而不是更困难的预测未来影响的问题。

实现这一目标的方法不止一种，但这里有一种简单的方法。每个 EIP 都可以指定一个提议者，该提议者将负责将 EIP 一路推进到网络升级，并在之后在合作者之间分配任何追溯性拨款。该提议者还将跟踪哪些个人和团队对该 EIP 做出了最重要的贡献，并制定一个分配表，表示他们认为对报酬的公平分配。

任何小费（来自公众，或以太坊基金会，或其他受赠者，或可能通过出售 EIP 的 NFT 获得的收入）将根据分配表在贡献者之间分配。如果需要，甚至可以将分配表代币化，从而允许一个独立的团队筹集资金来支付法币或 ETH 计价的费用，如果他们可以说服市场，他们的 EIP 将成功并被认为有价值。

EIP 3074 作为案例研究

我们希望这是这篇文章中最具争议的部分，但我们认为对正在进行中、为强大且积极性高的特殊利益集团（Consensys）服务的协议游说活动的一个活的样本进行检查是有启发意义的。我们越来越关注地观察着情况的发展，但到目前为止，我们避免以任何名义直接参与公共论坛上的讨论。

在悬崖边上

Consensys 的提案具有欺骗性地简单，据称可以通过创建一种新型交易来解决 Gas 抽象这一重要问题，该交易将对 EOA 的控制权委托给合约。这似乎比 Gas 抽象所需的更强大和危险。为什么要这样做？来自 EIP 3074：

"此 EIP 提供的益处的一个很好的类比是，它类似于允许任何 EOA 成为智能合约钱包而无需部署合约。"

这既有见地，又可能具有误导性。正如 Vitalik 指出的那样，EIP 3074 没有实现账户抽象，而是巩固了 EOA，而不是帮助我们超越它们。

尽管存在以下情况，但它现在似乎危险地接近进入下一个网络升级：

1. 两个以太坊基金会委托的审计没有发现的关键安全问题
2. 旨在使 Consensys 的专有 Metamask 钱包受益，而以牺牲开源智能合约钱包为代价
3. 中心化风险

几乎未被发现的安全缺陷

直到在本论坛上发布_"EIP 3074 的更简单的替代方案"_的无偿志愿者进行最后一刻的干预为止，该流程不仅未能发现安全问题，而且未能提出可能具有更好风险/回报概况的替代方案，并且可以用更少的缺点获得所谓的优势。

未发生的坦诚讨论

在该过程中的任何时候，我们都没有公开讨论为什么推广 EIP 3074 符合 Consensys 的战略利益，或者它如何冒着使 Consensys 受益而以牺牲 Gnosis 和 Argent 等其他利益相关者为代价的风险。

我们也没有讨论在 Metamask 建立高市场份额之后，他们取消了开源许可（以太坊的核心价值）的情况下，是否符合以太坊社区的利益，即倾向于 Metamask。

我们是如何如此接近 EIP 3074 被认真考虑纳入下一个网络升级的？

Consensys 采取了所有正确的举措。该提案表面上具有欺骗性的简单性。他们通过实施客户端更改使核心开发人员的工作变得容易。他们在幕后游说了它，从他们的天然盟友开始，逐渐向外扩展他们的支持圈。

Consensys 还巧妙地游说将其提案定位为以太坊基金会正在支持的东西。Consensys 本可以自己为审计提供资金，但他们可能意识到，如果他们可以让以太坊基金会参与进来，并因此利用以太坊基金会的受信任品牌，这将使该提案更加合法化。

在各种内部社区电话会议中，推广该提案给人的印象是它得到了以太坊基金会的认可，并且实际上已经完成。谁想批评一个得到以太坊基金会声望支持的提案？

拼图中仍然缺少的一部分是 Consensys 在选择审计师方面所扮演的角色，因为 Least Authority 在遗漏了关键问题后最终认可了 EIP 3074。从他们的报告中：

"我们得出的结论是，在正确的条件下 - 正确实施钱包和调用者 - 该提案可以安全使用"

提倡虚假的安全感可能具有负价值。

事情本来可以如何发展？

想象一下，一年前我们进行了关于保护 EIP 流程免受特殊利益集团影响的讨论，并使用这篇文章中提出的一些想法改进了 EIP 流程。事情本来可以如何发展？

我们不会依赖无偿志愿者来发现关键安全问题

如果我们一直在通过将他们的审计报告与后来发现的内容进行比较来对审计师进行常规审计，我们可能已经注意到了 Least Authority 的不良记录并适当地调整了他们的声誉。

理想情况下，在我们隐喻的耻辱堂中公开失去声誉的痛苦将激励 Least Authority 更加努力地进行审计。他们可能会发现更多关键问题，或者至少在提供可能让他们感到不安的认可时更加谨慎。

以漏洞赏金作为最后一道防线，情况会更趋于自我纠正，因为审计师遗漏的关键问题将为新的审计师提供成名的机会。

不断错过关键问题的审计师将不再获得作为信任来源的溢价，可能不得不转向不同的商业模式，例如竞争只在成功时才支付的漏洞赏金。

Consensys 将无法劫持以太坊基金会的品牌

1. 明确的信号：最有可能的是，以太坊基金会将澄清，它正在出于关注而资助审计，而不是为了表达支持的意图。

2. 负责任的领域专家：如果 Consensys 试图说服以太坊基金会的领域专家明确表示支持 EIP 3074，那么该人将不得不考虑他们是否足够自信地将自己的个人声誉押注于此。

了解动机

首先，我们将首先鼓励公开讨论 Consensys 在积极推广 EIP 3074 中的动机。

如果提案者没有充分披露他们与 Consensys 的关系，我们可能会对他们个人抱有怀疑。如果他们对他们的隶属关系诚实，但由于对 Consensys 的战略利益缺乏真正的了解而根本无法披露Consensys 的战略利益，我们可以不怀疑他们，而是怀疑他们的雇主，并邀请社区成员尝试填补空白。

我们可以邀请人们推测 Consensys 的商业利益和高级管理人员的目标，同时仍然相信为 Consensys 工作的大多数技术人员都是善良且善意的社区成员。

亡羊补牢，犹未为晚

作为一个练习，让我们尝试理解 Consensys 的动机。假设未来属于智能合约钱包，我们预计 EOA 将逐步淘汰，转而支持账户抽象。这对 Metamask 来说不是好事，Metamask 是 Consensys 拥有的主要 EOA 钱包。

为什么 EIP 3074 对 Consensys 如此重要？

EIP 3074 对 Consensys 具有战略意义，因为它改变了游戏规则，使专有的 Metamask 钱包可以利用其作为主要 EOA 钱包的地位来竞争并可能取代像 Gnosis 和 Argent 这样的受信任的开源智能合约解决方案。

这可能会进一步将以太坊集中在 Metamask 周围。

了解 Metamask 在有/没有 EIP 3074 的情况下的战略定位

EIP 3074 如何将智能合约钱包的红海转变为 Metamask 的蓝海？

如果没有 EIP 3074，如果 Metamask 想在智能合约钱包领域竞争，它必须开发一种新的智能合约钱包产品，然后尝试说服用户选择它而不是其他更成熟的智能合约解决方案，这些解决方案经过了时间的考验，并且管理着数十亿美元的资产。这很难推销。

有了 EIP 3074，Metamask 可以通过让用户签署一种特殊类型的交易来无缝地将其用户群转换为一种新型的智能合约钱包（他们创造了“合成 EOA”），该交易将控制权委托给一个全能的调用者合约。他们控制着用户体验，因此对他们来说做到这一点并不难。

一个合约来统治它们

EIP 3074 调用者合约将像任何智能钱包合约一样极其安全敏感。假设 Consensys 没有犯下灾难性的错误，他们的调用者合约可能会获得足够的管理资产，以提供经验验证，证明它是值得信赖的。

鉴于此合约的敏感性，使用 Metamask 调用者的用户将不愿意切换到其他调用者。Metamask 可以利用其受信任的调用者为用户提供与智能合约钱包类似的好处，而无需迁移的痛苦或风险。通过这种方式，Metamask 可以锁定最终会“毕业”到开源智能合约钱包的用户。

在市场上竞争类似于赢家通吃的比赛的程度上，竞争将受到限制，我们最终可能会将以太坊集中在具有自然事实垄断地位的专有钱包周围。

来自 EIP 3074：

"选择一个调用者类似于选择一个智能合约钱包实现。重要的是选择一个经过彻底审查、测试并被社区接受为安全的调用者。我们希望大多数主要交易中继提供商都会使用几种调用者设计，少数异常值提供更新颖的机制。"

Consensys 正在利用的过程比 Consensys 本身更成问题

在我们的朋友中，有我们喜欢和尊重的 Consensys 的技术人员。上述案例研究并非旨在攻击任何与 EIP3074 有关的人。好人可能会被误导。他们不是问题。

Consensys 本身也不是问题。它是一家理性的企业，试图实现其特殊利益最大化。从这个意义上说，它与以太坊的价值观并不完全一致，但在这方面它并非独一无二。

问题是，如果我们不更好地保护 EIP 流程免受特殊利益集团的影响，EIP3074 将不会是最后一个即将到来的糟糕提案。如果我们的防御措施不成立，成功的攻击将鼓励未来的攻击。在最坏的情况下，这可能会激励创建一个资金雄厚的游说行业，逐渐捕获 EIP 流程。

• EIP 3074 是不安全的、不必要的，会将用户资金置于风险之中，同时破坏用户体验、流动性和钱包堆栈
• 提案：通过人工智能驱动的治理和沟通逐步转变以太坊魔法师

• 原文链接： ethereum-magicians.org/t...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～