保护 EIP 流程免受特殊利益侵害+实例与案例研究 - 魔术师/流程改进

动机

我们能否在改善那些为公共利益工作的人的激励机制的同时，更好地保护 EIP 流程免受特殊利益的影响？

这篇文章的目的是启动一个讨论，我们希望这个讨论最终能产生一个类似于元 EIP 的东西，从而在结构上改进 EIP 流程。

问题：串通者的回报高，诚实的人的回报低

如果不改进当前的 EIP 流程，就会有这样一种危险：受雇于特殊利益集团的协议游说者将超过为公共利益服务的无偿利他志愿者，从而导致公地悲剧。

我们认为这已经是一个问题，而且情况正在变得更糟。我们将首先提供一些一般性的例子，并以最近的一个 EIP 作为案例进行更详细的分析。

我们可以将不正当激励的问题分解为两个相关的子问题：

1. 引入 不良 EIP 的回报高：特殊利益集团有很高的积极性去游说治理机构，以推动对他们有利的改变，即使这会损害公共利益或其他利益相关者。这可能是一场高风险的对抗性游戏，其成功取决于混淆、串通和误导。成功的协议游说者可能积极性很高，而且组织良好。
2. 促进 公共利益的回报低：无论是通过防止不良 EIP 的出现，还是通过完成所有工作以引入良好的 EIP。这两者都需要大量的天赋、时间和精力。只有部分工作具有内在的回报。目前的流程严重依赖利他主义和声望，但尚不清楚这是否会与成功攻击流程的回报成比例地扩展。

这种不平衡是公共选择理论的自然结果（参见 David Friedman 关于该主题的 优秀原创著作）。核心思想是集中的特殊利益胜过分散的公共利益，有时甚至在绝对价值上，分散的公共利益更大。以下是一个用于说明的有些天真的计算：

• 1 亿美元的收益除以 100 个串通者 = 每个串通者获得 100 万美元的收益
• 10 亿美元的损失分配给 1 亿个公共受害者= 每个受害者损失 10 美元

协调防御很难，因为它是一个庞大的群体，而且每个成员仅将成功防御的一小部分利益内部化。另一方面，特殊利益是一种集中利益，每个参与者都期望从实施其提案中获得大部分收益。因此，攻击者的积极性会很高，而防御者则会遭受公地悲剧。

证词：诚实的人现在的感受

"为了防止有人真的积极推动一项糟糕的提案，我必须撰写帖子，毫无疑问地证明我的观点，与人们交谈以确保这些问题得到足够的曝光，而且我可能需要坚持下去，在 ACD 上捍卫我的研究等等。我没有真正的动力去做这件事，除了捍卫我关心的生态系统。另一边的人积极性很高。他们受雇为他们的 EIP 而战，并从中获得很多好处。有多少 EIP 会因为没有人愿意投入资源来否决它们而通过，而提案者却有动力将其推行？

同样的情况也发生在另一个方向。我经常不愿意提出我认为对每个人都有好处的 EIP，因为我害怕在 ACD 上克服反对意见并使其被接受的过程会让我筋疲力尽。

因此，对某人没有个人利益的 EIP 不太可能被接受，而由有利益可图的公司提出的 EIP 则更有可能被接受。"

可能以微妙的方式使特殊利益受益的 EIP 的一般示例

阳光是一种很好的消毒剂，但它是否足够取决于它渗透的深度。

理解价值或风险如何转移所需的关注和领域专业知识越多，可以预期的阻力就越小，并且越容易获得说服核心开发人员包含更改所需的社区情绪的临界质量。

一项公然宣称“每个区块向我们的小集团提供 X 个 ETH”的 EIP 会很快被拒绝（而且，事实上，即使是 EIP-2025，一个并非明显恶意的同类型提案也很快被否决了）。但是还有许多更微妙的协议更改可以使某些选区受益，而牺牲其他选区的利益。

一些例子包括：

• 预编译 - 赞成的集中利益：想要预编译的特定用例
  • 反对的分散利益：共识复杂性的大幅增加、对外部库的依赖、延迟高优先级事项（例如，合并）的开发时间
• 资金救援或其他国家干预分叉 - 赞成的集中利益：想要保存其资金的单个群体
  • 反对的分散利益：混乱分裂的风险、先例、长期更高的治理负担以及因未来的请求而导致的有争议分叉的风险
• 高度专业的 EVM 内/状态数据结构（例如，排序的存储槽、堆） - 赞成的集中利益：受益于这些结构的特定用例（例如，链上订单簿）
  • 反对的分散利益：更大的共识复杂性，降低了未来进行更改的灵活性（例如，排序的存储槽会阻止 Vitalik 最近的 Verkle 树提案）

这并不是说上述所有类别的提案都是坏的。有时，更集中的收益确实总体上大于提案的广泛分配的成本。但是作为一般规则，我们应该期望集中的支持方被系统性地过度代表，而分散的反对方被系统性地代表不足。

EIP 流程的开放和包容性目前是我们抵御不良提案的主要防御手段。但是，鉴于提案可能在其效果上是复杂而微妙的，因此依赖提案是显而易见的好或坏可能是不安全的。每个人都可以访问各种公共论坛的开放流程在实践中可能无法提供足够的保护来平衡不正当的激励。

开始探索解决方案空间

我们将尝试通过提出一些原则和想法来启动对话。此列表将不完整，因为目的是启动讨论，而不是一锤定音。

我们认为重要的是要认识到，使坏事更难必须与使好事更容易相平衡，这样我们才不会最终连孩子带洗澡水一起泼掉。我们不希望通过关闭 EIP 流程来“保护”它。

我们可以从特洛伊城学到的防御原则

让我们用特洛伊木马——导致古代特洛伊城陷落的著名木马——作为隐喻。

由于流程的开放性，每个关注的人都可以看到有什么东西试图通过我们隐喻的大门。这意味着攻击必须在众目睽睽之下偷偷越过公众的守护者。

我们如何提高门槛，使其更难将攻击（例如，打开城市大门的渗透部队）伪装成“礼物”（例如，装饰我们城市的漂亮的马的雕像）？

例如，这可能涉及对我们的流程进行一系列改进，以帮助我们：

1. 更好地了解是谁在向我们提供礼物，以及他们的动机是什么。他们为谁工作？他们的过往记录如何？他们是朋友还是敌人？他们在多大程度上与我们的价值观相符？他们是否有利益冲突？
2. 确保我们有足够训练有素、薪水丰厚且保持警惕的警卫。志愿者很棒，但能获得的荣耀是有限的，而且站岗放哨很快就会让人厌倦。
3. 使攻击者更难以通过劫持我们信任的机构来麻痹我们。
4. 确保我们的警卫可以发出警报并引起人们对可能使他们不知所措的攻击的注意。我们无法防御我们没有意识到正在发生的攻击。
5. 调查险情，以便我们能够明智地迭代我们的防御机制，同时仔细权衡利弊并避免本能的过度反应。
6. 记录分数，以提高公众对谁在帮助我们方面做得出色，以及谁一直在试图伤害我们的认识。由于我们的注意力和资源将永远受到限制，因此我们应该明智地分配它们。利用声誉可能是解决方案的一部分。
7. 奖励和尊重我们想要更多的东西——公共利益的恩人和守护者，同时惩罚和羞辱我们想要更少的东西——那些为了特殊利益而攻击我们的人。

使游说不良提案更难的示例想法

开放赏金以激励无需许可的研究

"只要有足够的眼球，所有错误都是肤浅的" - Linus 定律

将任何 EIP 纳入网络升级之前的最后一道防线可能是一个开放的漏洞赏金，它将奖励任何发现重大缺陷的人，这些缺陷会阻止 EIP 按原样纳入。奖励应至少足以支付当前市场价格的独立审计费用。它应该开放足够长的时间，以便独立研究人员有时间发现缺陷。

赏金作为合同审计的补充的好处是，它对谁会成功没有最小的偏见。这与你认识谁无关，而与你了解什么有关。任何有技能的人都可以尝试领取赏金，并通过经济和声誉奖励来获得成功补偿。

赏金流程不仅应奖励发现现有提案的缺陷，还应奖励以更好的风险/回报概况实现类似收益的替代提案。

对失败和险情的验尸

"上当一次，怪你。上当两次，怪我。"

当一个糟糕的提案几乎被采纳时，通过资助一项赏金来最大限度地从中学习，该赏金将奖励对哪些流程改进可以最大限度地提高我们抵御不良提案的安全边际，同时最大限度地减少良好提案的摩擦的最佳理解。

资助“元审计”，以监督监督者

奖励那些监督监督者并帮助社区让审计师承担责任的人。

做到这一点的一种方法是发布开放赏金，以奖励最佳的“审计师审计”。这些审计将奖励那些仔细研究过去审计遗漏的内容，并帮助社区重新评估对他们品牌的信任程度的人。

考虑使用这些“元审计”来更新公共名人堂和耻辱柱，以便更容易注意到审计师何时遗漏了关键问题。其效果应该是，当一个关键问题被遗漏时，社区可以降低该审计师的“信用评分”。

在某种程度上，审计师会因为认可不良提案（例如，明确或暗示地）而被追究责任。为了在以太坊周围形成一个高效的审计市场，审计师的声誉和他们获得的业务量应基于他们的表现。

淘汰低标准的审计师会为高标准的审计师创造市场机会。

实现这一点是一项公益事业，将有助于改善原本容易出现市场失灵的行业，但值得仔细思考如何做到这一点，以避免引入对例如审计师愿意审计哪些 EIP 产生不利影响的不正当激励。

更多透明度

"阳光是最好的消毒剂"

1. 要求披露利益冲突：所有提案人和他们的支持者必须披露其私人利益与公众利益，或生态系统中其他利益相关者的利益之间的冲突。
2. 要求披露动机：所有提案人和他们的支持者必须披露他们参与的动机。这意味着如果提案被接受，他们将获得什么好处。
3. 要求披露手段：所有提案人和他们的支持者都应披露他们为谁工作。
4. 举报：鼓励人们在隐瞒重要信息的情况下提供证据。
5. 问责制跟踪：如果证据毫无疑问地表明（例如，由于举报人），提案人和他们的支持者隐瞒了有关其动机、手段或利益冲突的信息，则他们的声誉应受到影响，并且他们影响 EIP 流程的能力应受到削弱。同样，杰出的积极贡献者应看到他们的声誉受益。可以使用某种形式的公共跟踪（例如，徽章）来正式化这一点。

以太坊基金会信号传递的透明度和问责制

1. 明确信号传递：为了防止劫持 EF 品牌，EF 应公开披露其在资助与 EIP 相关的工作方面的意图。

例如，应该清楚的是，EF 员工授权资助审计是为了支持他们认为是好的 EIP 提案，还是出于担心它可能存在他们无法确定的缺陷。

如果 EF 在打算支持某件事时明确表示前者，而在不打算支持某件事时明确表示后者，这将更加清楚。

2. 通过分离组织和个人声誉来增加个人投入：EF 不是像“博格”这样的蜂巢思维。它是具有不同领域专业知识的个人的集合。EF 依靠这些领域的专家来代表 EF 授权信号传递，他们应该承担风险。社区应该能够看到他们的面孔。他们的个人声誉应该通过支持好事而提高，并通过支持坏事而降低。

使更多好事发生的示例想法

除了使特殊利益集团推动的 EIP 更难不受挑战地通过外，重要的是还要使真正重要的 EIP 更容易通过，即使它们没有任何特殊利益集团支持它们（例如，EIP-2929 gas 价格更改）以提高反 DoS 安全性，在开始实施之前，已经讨论了一年多而没有进展）。

EIP 的追溯性赠款

如果我们能以至少（或更多）经济回报来为公益事业服务，而不是为特殊利益服务，那么我们能够吸引多少顶级人才？

追溯性赠款模型使那些有兴趣将资源分配给公益事业的人们可以解决评估影响的更容易的问题（事后评估），而不是预测未来影响的更难的问题。

有不止一种方法可以做到这一点，但这里有一个简单的方法。每个 EIP 都可以指定一个提案人，该提案人将负责使 EIP 一直通过到网络升级，并在之后在合作者之间分配任何追溯性赠款。提案人还将跟踪哪些个人和团队对该 EIP 做出了最重要的贡献，并创建一个分配表，表示他们认为对奖励的公平分配。

任何小费（来自公众、EF 或其他受赠者，或可能来自出售 EIP 的 NFT 的收入）都将根据分配表在贡献者之间分配。如果需要，甚至可以将分配表代币化，从而允许一个独立的团队筹集资金以支付以法定货币或 ETH 计价的费用，如果他们能够说服市场相信他们的 EIP 将成功并被认为是有价值的。

以 EIP 3074 为案例研究

我们预计这将是这篇文章中最具争议的部分，但我们认为检查当前正在进行的服务于强大且积极性很高的特殊利益——Consensys——的协议游说的活跃样本是有益的。我们越来越关注地关注着局势的发展，但到目前为止，我们避免以任何名义直接参与公共论坛上的讨论。

悬崖勒马

Consensys 的提案具有欺骗性的简单性，据称通过创建一种新型交易来解决 gas 抽象的重要问题，该交易将对 EOA 的控制权委派给合约。这似乎比 gas 抽象所需的更强大和危险。为什么要这样做呢？从 EIP 3074：

“此 EIP 提供的优势的一个很好的类比是，它类似于允许任何 EOA 成为智能合约钱包，而无需部署合约。”

这既有洞察力，又可能具有误导性。正如 Vitalik 指出的那样，EIP 3074 没有完成账户抽象，反而巩固了 EOA，而不是帮助我们超越它们。

尽管存在以下情况，但它现在似乎非常接近进入下一个网络升级：

1. 两个 EF 委托的审计未发现的关键安全问题
2. 旨在使 Consensys 的专有 Metamask 钱包受益，而损害开源智能合约钱包
3. 中心化风险

几乎未被发现的安全缺陷

直到发布 “EIP 3074 的更简单的替代方案” 的无偿志愿者在此论坛上进行最后一刻的干预之前，该流程不仅未能发现安全问题，而且未能提出具有潜在更好的风险/回报概况的替代方案，并且可以用更少的缺点获得所谓的优势。

未发生的坦诚讨论

在该流程的任何时候，我们都没有就以下问题进行公开讨论：为什么推广 EIP 3074 符合 Consensys 的战略利益，或者它如何冒着使 Consensys 受益而损害 Gnosis 和 Argent 等其他利益相关者的风险。

我们也没有讨论以太坊社区是否有兴趣偏袒 Metamask，特别是考虑到在建立高市场份额后，他们以开源许可（以太坊的核心价值）为幌子进行了 rug pull。

我们是如何如此接近 EIP 3074 被认真考虑纳入下一个网络升级的？

Consensys 采取了所有正确的举措。该提案表面上具有欺骗性的简单性。他们通过实施客户端更改使核心开发人员更容易。他们从幕后游说，从他们的天然盟友开始，逐步向外联系以扩大他们的支持圈。

Consensys 还巧妙地游说将他们的提案定位为 EF 正在支持的东西。Consensys 本可以自己资助审计，但他们可能意识到，如果他们能让 EF 参与进来，并因此利用 EF 的可信品牌，这将使该提案更加合法化。

在推广此提案的各种内部社区电话中，给人的印象是它得到了 EF 的认可，并且实际上已成定局。谁想批评一项受到 EF 声望支持的提案？

仍然缺少的一块拼图是 Consensys 在选择审计师方面所扮演的角色，因为 Least Authority 在遗漏了关键问题后最终认可了 EIP 3074。从他们的报告：

“我们得出的结论是，在正确的条件下——钱包和调用者被正确实施——该提案可以安全使用”

宣传虚假的安全感可能会产生负价值。

事情本来可以如何以不同的方式发展？

想象一下，一年前我们讨论了保护 EIP 流程免受特殊利益的影响，并使用这篇文章中提出的一些想法改进了 EIP 流程。事情本来会如何以不同的方式发展？

我们不会依赖无偿志愿者来发现关键安全问题

如果我们一直在通过将审计报告与后来发现的内容进行比较来定期审计审计师，我们可能已经注意到 Least Authority 的不良记录并相应地调整了他们的声誉。

理想情况下，在我们隐喻的耻辱柱中明显失去声誉的痛苦会激励 Least Authority 更加努力地进行审计。他们可能会发现更多关键问题，或者至少在提供可能回来困扰他们的认可时更加谨慎。

有了漏洞赏金作为最后一道防线，情况会更趋向于自我纠正，因为审计师遗漏的关键问题将是新审计师成名的机会。

不断遗漏关键问题的审计师将不再以信任来源获得溢价，并且可能不得不切换到不同的商业模式，例如竞争仅在成功时才支付的漏洞赏金。

Consensys 将无法劫持 EF 品牌

1. 明确信号传递：最有可能的是，EF 会澄清说，它资助审计是出于担忧，而不是为了表示支持。

2. 负责任的领域专家：如果 Consensys 试图说服 EF 的领域专家明确表示支持 EIP 3074，那么该人将不得不考虑他们是否足够自信地将他们的个人声誉押注于此。

了解动机

首先，我们应该鼓励坦诚地讨论 Consensys 积极推广 EIP 3074 的动机。

如果提案人没有充分披露他们与 Consensys 的关系，我们可能会亲自怀疑他们。如果他们诚实地承认了他们的隶属关系，但由于他们对 Consensys 的战略利益缺乏诚实的洞察力而根本无法披露，我们可以怀疑他们的雇主而不是他们，并邀请社区成员尝试填补空白。

我们可以推测 Consensys 的商业利益和高层管理人员的目标，同时仍然相信 Consensys 大多数技术人员是善良且有良好诚信的社区成员。

迟做总比不做好

作为一项练习，让我们尝试了解 Consensys 的动机。假设未来属于智能合约钱包，我们预计 EOA 将逐步淘汰，以支持帐户抽象。这对 Consensys 拥有的主要 EOA 钱包 Metamask 不利。

为什么 EIP 3074 对 Consensys 如此重要？

EIP 3074 对 Consensys 具有战略意义，因为它改变了游戏规则，使专有的 Metamask 钱包可以利用其作为主要 EOA 钱包的地位来竞争并可能取代 Gnosis 和 Argent 等受信任的开源智能合约解决方案。

这可能会进一步将以太坊集中在 Metamask 周围。

了解 Metamask 在有/没有 EIP 3074 的情况下的战略定位

EIP 3074 如何将智能合约钱包的红海转变为 Metamask 的蓝海？

如果没有 EIP 3074，如果 Metamask 想要在智能合约钱包领域竞争，它必须开发一种新的智能合约钱包产品，然后试图说服用户选择它，而不是其他更成熟的智能合约解决方案，这些解决方案已经过实际的时间考验，并且拥有数十亿美元的管理资产。这很难推销。

有了 EIP 3074，Metamask 可以通过让用户签署一种特殊类型的交易来无缝地将他们的用户群转换为一种新型的智能合约钱包（他们创造了“合成 EOA”），该交易将控制权委托给一个功能强大的调用者合约。他们控制着用户体验，因此对他们来说这样做应该不难。

一个统治所有人的合约

EIP 3074 调用者合约将与任何智能钱包合约一样对安全性极其敏感。假设 Consensys 没有犯下灾难性的错误，他们的调用者合约可能会获得足够的管理资产，从而提供经验证据来验证它是值得信赖的。

考虑到此合约的敏感性，使用 Metamask 调用者的用户将不愿切换到其他调用者。Metamask 可以利用他们受信任的调用者为他们的用户提供与智能合约钱包类似的好处，而无需迁移的痛苦或风险。通过这种方式，Metamask 可以锁定最终会“毕业”到开源智能合约钱包的用户。

在市场上的竞争类似于赢家通吃的锦标赛的程度上，竞争将受到限制，我们最终可能会将以太坊集中在一个具有自然事实垄断的专有钱包周围。

从 EIP 3074：

“选择一个调用者类似于选择一个智能合约钱包实现。重要的是选择一个经过彻底审查、测试并被社区接受为安全的调用者。我们希望大多数主要的交易中继提供商使用几种调用者设计，而少数异常值提供更新颖的机制。”

Consensys 正在利用的流程比 Consensys 本身更成问题

在我们的朋友中，有我们喜欢和尊重的 Consensys 的技术人员。上述案例研究并非旨在人身攻击参与 EIP3074 的任何人。好人可能会被误导。他们不是问题所在。

Consensys 本身也不是问题。它是一个理性的公司行为者，试图最大化其特殊利益。从这个意义上讲，它与以太坊的价值观并不完全一致，但在这方面它并不是唯一的。

问题是，如果我们不更好地保护 EIP 流程免受特殊利益的影响，EIP3074 将不会是最后一个即将被采纳的糟糕提案。如果我们的防御无法保持，成功的攻击将鼓励未来的攻击。在最坏的情况下，这可能会激励创建一个资金充足的说客行业，并逐渐捕获 EIP 流程。

• EIP 3074 是不安全的、不必要的，会使用户资金面临风险，同时会分割 UX、流动性和钱包堆栈
• 提案：通过人工智能驱动的治理和沟通逐步改造以太坊魔法师

• 原文链接： ethereum-magicians.org/t...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～