DAOrayaki ｜二次方治理规模化的权衡取舍

DAOrayaki

0x745B

January 11th, 2023

DAOrayaki DAO研究奖金池：

资助地址: DAOrayaki.eth

投票进展：DAO Reviewer 2/0 通过

赏金总量：100USD

研究种类：Quadratic Governance

原文作者: Eric zhang

创作者：shaun@DAOrayaki.org

审核者：DAOctor@DAOrayaki.org

原文: Quadratic Governance: What’s Working and What’s Not?

本文是对二次方投票机制所面临的现实约束及潜在解决方案的粗略探索。

提示：“太长不看朋友”的读者，请直接跳至文末的“结论”部分。

在DAO的、资助等方面具有显着的作用，同时，也开启了二次系统的发展潜力，可以在非常世界的治理方面，比如对公司的治理应用方面。

QV的二次方是二次方投票【1】。为了实现这一目标，Glen Weyl【2】等人提出了一种方案，既将投票信用（最初称为“投票积分”-Voice Credit）分配给参与治理的选民的水平，投票过程如果持续为一个积分提案，每多场投票将因此投票选举一次投票，因此投票限制了选民对一个参与者的参与，结果产生了巨大的影响。方二次的理由已经在加密和非加密世界中二次投票验证。最近的线上发展，ETHDenver 社区投票/ETHDenver 的社区投票【3】使用资金了方投票机制来匹配而在现实的下世界中，州也投票党派团会议【4】二次利用投票机制来立法的优先权。

二次方资助【5】（QF）将投票与捐赠相结合，并创建了一种算法，通过计算个人捐赠的情况来匹配资金的分配。二次方资助已被DoraHacks、Gitcoin和其他一些加密货币原生的融资协议所采用，并在DoraHacks.io【6】上已经成功举办了30多轮二次方资助的赠款活动。二次方资助允许来自任何生态系统的社区成员参与到早期阶段的提案和与BUIDLers的接触中。然而，它同时存在几个问题，包括日益加重的分配不平等、身份伪造、女巫攻击和共谋。

将根底结，这都可以结为治理系统的规模化问题。将由一个机器组成的机器，当一个机器分发100美元时，可能有很多假账归出现。当它分发的金额为100,000000美元10,000,000000000000000000000000000时，可能会有很多问题和女巫的攻击问题出现。

在中，根据二次现实中的这些世界实践结果，来探讨我们所遇到的各种问题，并确定我们的潜在解决方案。进一步扩大二次方治理的规模。

二次方治理系统所面临的挑战

在实践中，二次方治理系统可以通过注册、投票、匹配的三个阶段模型来构建。

一轮二次方投票/资助的三个阶段

尽管这个模型看起来十分直截了当且简单，但如果你真的打算构建这样一个系统，并将其用于实际治理中，那么几乎每一步都会面临很多问题。现在就让我们来看看这个系统，并概述一些我们和其他人已经发现的障碍。

注册：如果系统将选民列入白名单会怎样？如果是这样，那选民获取白名单的机制是什么样？如果没有这种机制，我们该如何防止恶意选民的投票滥用?
投票：选民对一组特定目标（如特定BUIDLs、特定项目、特定提案、特定公共物品或任何需要被选择/被资助的东西）进行投票。
匹配/分配：如果有一个资金池需要分配，它将根据投票结果与目标进行匹配，投票后的数据分析和调整可能会适用。

除了上面的问题，还有很多问题需要思考。当系统规模扩大时，参与者是否会相互勾结？我们如何防止共谋的产生呢？

还可能存在一些更微妙和特定使用案例的问题，仅举几例：

如何持续验证目标的合法性，特别是在QF轮中获得资金以后？
如何在保护选民隐私的同时验证选民身份？
如果女巫攻击已经发生，如何发现女巫投票并处理这些投票？
如果目标之间存在着巨大的资金差距，如何处理不平等的问题？
如果要给上述问题提供解决方案，都会面临哪些复杂的情况？

在本文中，我们重点讨论与二次方治理规模化最相关的三类问题。身份验证/女巫攻击，共谋，以及分配不均*.*

女巫抵抗与选民身份验证

到目前为止，女巫抵抗（如何防止女巫攻击）是二次方投票和二次方资助中讨论最多的话题之一。与1p1v或1stake 1v 的系统相比，账号拆分可以在二次方投票中产生更多的票数，而在二次方资助中则可以产生更大的支持面积，从而产生更多的配套资金。

理论上，如果系统是封闭的且选民人数很少，是可以完全防止女巫攻击的。因为你可以将每个人列入白名单，在他们开始投票之前就知道每个人。一个现实世界的例子是在国会投票。每个代表都是已知的，而且只有一小群人，通常不超过几百人。当每个人都互相认识的时候，把每个人都列入白名单根本不需要花费什么成本。因此，当科罗拉多州民主党核心小组使用二次方投票时，应该不会有女巫攻击或身份伪造的担忧。

然而，当一个更大的群体使用二次方投票或者二次方资助时，社区贡献者因为可能来自任何地方，情况就截然不同了。尤其是是像 GitHub/电子邮件注册这样的Web2认证方法根本就不是防止女巫攻击的有效方法，因为它们很容易被创建，甚至账户的历史也可以被伪造。在有大量选民的情况下，二次方治理系统特别容易受到女巫攻击，因为伪造身份和账户来进行投票，确实对投票结果会有很大的影响。

为了解决女巫攻击，已经开发了轮后/赛后女巫分析【7】系统。这些系统主要分析投票数据，识别潜在的女巫账户和女巫行为，然后将其删除。

虽然轮后/赛后分析很有用，但在分析环节依然存在一些问题。

分析只能在投票结束后进行，并且需要时间。社区需要在宽限期内等待，不满情绪可能会上升。
开源困境。一个开源的女巫检测系统会受到进一步的攻击，而且开发新的女巫攻击往往比开发反女巫工具更容易。另一方面，闭源的女巫检测系统又不会被完全信任。
攻击者总能想方设法与系统进行博弈。女巫分析系统无法快速改进和改变，但攻击者则可以。
更改/调整结果可能会导致更大的争议和更多的不信任产生。

因此，在投票前和投票期间处理女巫攻击很重要。可问题是，我们该如何验证选民的身份【8】？

目前有一些现有/即将推出的方法：KYC、白名单、社交账户验证、NFT / 灵魂绑定代币（SBTs）和 zk-identity/零知识证明的身份验证【9】。

同时，由于每种身份验证方法都有其自身的权衡取舍，我们进一步使用以下指标来评估这些权衡：针对女巫攻击的抵抗性、无需许可性、隐私性和复杂性。

针对女巫攻击的抵抗性是这里的一个主要目标，至少对于区块链治理而言。
无许可性很重要。因为许多社区都希望对更广泛的受众保持开放，而白名单/KYC 人员可能会限制他们的成长潜力。并且，目前使用白名单或 KYC 方法的成本非常高。
隐私性是促进人们表达其真实意见的基础。
复杂性是指在实践中构建和使用这些方法的难度（在工程设计和运营成本方面）。

我们从不同的维度来分析它们的权衡 — 开放性与女巫抵抗，隐私与复杂性。

女巫抵抗与无许可的权衡取舍模型

隐私与系统复杂性的权衡取舍模型（注意 Zk-identities 有许多优先属性，但需要建立更为复杂的基础设施）

此外，不同类型的社区在选择选民验证方法时，都应该为自己选择最佳的权衡模型。一个封闭的俱乐部可以只使用白名单，如果其工程能力允许，一个Grant DAO 社区可能会使用多种方法来最大限度地提高其可靠性和可信度。

我们还可以根据选民人数与开放程度来研究不同的社区。

对于小型封闭社区，几乎每种验证方法都是有效的。但为简单起见，白名单、质押和 Web2 身份验证可能是最简单的。

对于大型封闭社区，NFT / SBT（如果隐私是一个大问题，则使用隐私验证）和质押可能是不错的选择，或者与其他选择结合使用。

对于大型开放社区，像zk-identity这样的方法可能是长期的解决方案。例如，2020年的美国总统大选，双方在邮寄选票和投票机问题上发生了很多争议。对于这样一个有门槛的（只有公民可以投票）但庞大的社区（大约有 3 亿美国公民可以投票），从长远来看可能值得开发围绕 zk 身份证明的基础设施。

需要关注的是可组合性是这个系统的特点。将质押功能添加到白名单系统中可以增加问责制；将 NFT/SBT 与 zk 证明相结合可以增加隐私等。但是，新的方法添加或组合不同的方法会增加产品、工程、运营和管理的成本。因此，社区需要在做出决定之前评估权衡。

抗共谋

尽管女巫攻击一直在二次方治理系统中发生，但共谋才是房间里真正的大象。共谋是一个更根本的问题，因为共谋将治理系统变成了合作博弈，这不仅是不可避免的，并且在大多数情况下具体情况可能要更复杂得多。

归根结底，治理系统其实就是分配机器 — 人们通过投票表达他们的意见，系统将有限数量的资源分配给不同的群体。根据治理体系的规模，存在不同程度的共谋。与分配 1,000,000 美元的系统相比，在分配 1,000 美元的系统中共谋的动机可能要少得多。

不过不同形式的共谋都存在成本问题，包括财务成本、声誉成本等。在 DoraHacks 赠款中【10】，BUIDL社区指南明确禁止投票贿赂。违反规则的社区成员可能会被禁止从赠款中获得匹配的资金。但是，如果共谋的诱因足够大，贿赂总是会有办法产生的。

然而，与女巫攻击不同，我们没有明显的方法来消除共谋。共谋比女巫攻击隐蔽得多，而且很难通过“执法（law enforcement） ”来阻止共谋。

在现实世界中，共谋无处不在，大多数形式的共谋甚至是无法观察到的，比如内幕交易、贿赂和政治游说。预防或监管共谋有时可能需要几十年的时间（例如，证券法）。

在区块链世界中，通过执行社区规则来阻止共谋通常是不可行的（因为链上几乎没有任何“执法”！）。因此，使用密码抗共谋的解决方案更为有利。最小抗共谋基础设施 (MACI) 【11】便是一个通过使选民难以以加密方式证明其实际投票结果来实现这一目标的系统。一个基础的 MACI 投票轮通常会有四个步骤。

首先，选民需要进行登记才能参与投票。
然后投票开始。所有投票将使用操作员的私钥加密，并将投票投给智能合约。选民可以多次投票。
当投票期结束时，操作员会收集所有消息并以相反的顺序统计投票，然后在不透露任何个人投票的情况下发布最终结果。
最后，操作员使用零知识证明 (ZKP) 发布结果，证明结果是正确的。

使用 MACI 投票系统的四个步骤

目前，MACI主要用于区块链投票和社区治理中的资金分配。DoraHacks 轻量级 MACI【12】（基于 MACI 1.0【13】）已在 DoraHacks.io 上的多个二次方投票轮次中，被广泛使用，这其中包括 ETHDenver 22【14】社区投票和 Opensea Hackathon 【15】评委投票。此外，Clr.fund ，一个以太坊的公共物品融资平台，也是采用 MACI 和二次方资助机制。

MACI 通过增加共谋的成本来提高抗共谋性。如果没有这样的系统，选民和贿赂者会共享信息，贿赂的成本就会很低。使用 MACI，贿赂的成本将显着增加。在具有有效信息的系统中，抗共谋的功能会将贿赂成本提高到行贿者无法承受的程度。除非行贿者可以制造信息不对称并降低选民期望，否则行贿者无法从贿赂中获利。

公共论坛中关于 MACI 如何增加共谋成本的对话

但是，MACI 并不是针对所有共谋问题的“一劳永逸”的解决方案。唯一的无条件属性是结果的正确性，这是由零知识证明所保证的。除此之外，MACI 有自己的安全和隐私假设，主要与操作员有关：

操作员不会通过直接或间接的方式向某些选民群体泄露信息来与选民勾结。
选民之间没有“疯狂”的机制来打破 MACI 的抗共谋性（例如，选民受到 24/7 的物理监控或被迫在不受自己控制的计算机上投票）。

对于假设 1 - 原生的 MACI 必须要求操作员是好的，这意味着操作员需要保护选民信息和投票细节的隐私，并且操作员不会通过泄露信息故意与选民勾结。

对于假设 2 - 贿选收益的激励不足以让选民发明高成本的方法来打破 MACI 抗共谋性。

这些假设重要吗？在小规模的治理系统中，它们可能并不重要，因为我们总是可以信任操作员。但如果治理系统的规模可扩展，这些假设可能就不成立了，因为如果有足够的激励，操作员可能会被贿赂。

在选民和操作员之间增加隐私的一种方法是允许选民更改密钥并使用不同的密钥进行投票，而无需向操作员提供有关其新密钥的任何信息。

这个想法是在系统中添加密钥停用/key deactivation 并使用客户端 ZKP 来防止操作员知道谁拥有哪个密钥，从而防止操作员知道谁投票且支持了谁。有几种方法可以实现这一目标。权衡模型是 — 随着更多的隐私需求，工程设计的复杂性将增加。

针对不同的隐私和复杂性，设计不同的 MACI 匿名化方案

不同 MACI 匿名化方案的参考链接：

轻量级MACI【16】
原始MACI【17】
轻量级的匿名化MACI【18】
MACI匿名化（带MPC）【19】
MACI匿名化（带有重新随机化加密功能）【20】

二次方资助特别容易受到共谋的影响，因为如果某些党派可以简单地贿赂更多的选民为自己投票，他们的收益将呈二次方增长。

目前，MACI 足以增强大多数区块链治理系统中的抗共谋能力。假设匿名化被进一步添加到具有相同用户体验水平的现有产品中，以区块链驱动的抗共谋投票系统可以潜在地解决从国家大选到未来太空治理的一系列现实世界的治理问题。

随着治理系统的扩展，对手和解决方案也都在发展

分配不均等与税收

治理的很大一部分是对资源的分配。大多数时候，不平等是一种特性而不是错误。只要分配的是有限资源，这种不平等就会一直存在。唯一的区别是这种不平等是大还是小，并且我们永远无法 100% 消除它（毕竟乌托邦无论如何都不存在！）。如果一个治理系统存在巨大的财富/分配差距，随着时间的推移，人们将对系统失去信心和信任，最终导致系统崩溃。实际上，无论在现实世界（社会起义、革命和内战）中，还是在区块链协议治理【21】中都是如此。

二次方投票的想法是限制极端偏好，尤其是来自巨鲸参与者的偏好。它在实践中的大部分时候都是有效的。然而，二次方资助往往会加剧不平等。一个项目有更大的支持面，要么是因为它收到了大量的捐款，要么是因为它收到了许多不同贡献者的捐款。这就是为什么大多数二次方资助的资金拨款会在一轮结束后进行大量调整的原因之一。

限制二次方治理系统中不平等的一个想法是对收益最高的人征税。已经匹配到更多资金的项目可以补贴那些资金匹配不足的项目，类似于许多国家为缩小贫富差距所做的事情，但其实有两个不同之处：（1）所有“税收”资金将用于在同一系统内重新分配, (2) 税收可以编程到协议中。

此外，在使用税收时有一个假设，我们需要假设所有项目/提案都是合法的并且经过了资格预审。这是为了确保所有获得补贴的候选人在社区眼中都是合法的。如果系统没有相应的应用筛选程序，系统将无法工作。

这里首次描述了【22】一个二次方资助累进税的设计。每次调用 vote() 时都会对顶级项目征税，并根据固定算法将税款分配给所有项目。这个版本的累进税在 2021 年 DoraHacks 的几个赠款中进行了试验。这个系统的问题是税收的分配仍然遵循所有项目的资金比例。因此，如果资金缺口正常，最新资助的项目可以从该系统中受益。但如果资金缺口很大，资金较少的项目从税收资金中获得的收益就很少了。现实中，二次方资助往往会造成巨大的贫富差距，所以这种算法经过几次实验后就被放弃了。

最近，在保留二次方投票结果这种结构的同时，我们又提出了一种新的二次方资助税算法【23】，该算法基于缩小最匹配项目与最不匹配项目之间的差距。为了简化问题，该算法将不平等程度定义为获得最多资金的一方和获得最少资金的一方之间的差额。在该算法中，将最多资金和最少资金的最大比率设置为参数，并且在投票过程中，只要差距超过最大比率，算法就会动态调整资金结果。新的税收制度可能会在即将到来的赠款中进行试验。