翻译:荆凯
DeFi 治理及风险结构
更多人开始关注起 DeFi 治理的话题。而今年三月份加密市场暴跌时期“黑色星期四”的记忆,也加剧了人们对 DeFi 的担忧。人们担心,对 DeFi 的风险结构理解不足。
这篇文章里,我们主要关注的是稳定币领域,不过,类似的思考可以适用于许多更广泛的加密经济系统领域,包括跨链协议、抵押贷款和去中心化交易所 (DEX) 。
我们认为,在一些设计具有广泛治理权力和没有社会追索权的 DeFi 系统中,理性主体的参与可能为零。这是因为,在这些系统中调整激励措施的成本可能高得令人望而却步(这就好比要求银行的长期市盈率达到 1000 倍,才能保证储户资金不被窃取)。
我们的框架提供了一种方法来建模这些系统,并产生了一系列未回答的研究问题,这些问题将是 DeFi 向前发展的关键。
Compound
最近 DeFi 领域的热点新闻之一,是 Compound 的 COMP 代币发行,这已经变成了一场杠杆风险的马戏,用户在奖励机制的驱动下,玩起了杠杆的疯狂游戏。
在以太坊网络上你可以看到,这一切正在上演。交易者通过维系复杂的多重头寸,进行 COMP 的流动性挖矿 ( Yield Farming ) : 例如,存入 ETH 和 USDC,借出大量的 BAT 代币;而后,重新将 BAT 存入到新的 Compound 账户借出 ZRX 代币,再将 ZRX 存到之前的账户中,借出更多的 BAT 代币,等等。(译者注: Yield Farming , 表示代币持有者将资金存入平台,为平台提供流动性,获得平台提供的代币激励,是为流动性挖矿)
你之前可能没想到这种操作,可别因为这篇文章而起了念头:神操作,我也试试!我们有义务强调:这种操作,累加了层层杠杆的风险,尤其在 BAT 跟 ZRX 这样的流动性低的市场之中,其中的风险,值得你自己去好好写一篇文章分析分析。不妨想想看黑色星期四时候的多重爆仓吧!这种流动性低的市场,很容易被操纵,也很容易被攻击,其他人可能会借此触发清算程序、从你的损失中获利。
翻译:使用高风险的资产进行 "Yield farming" 极其危险,很容易挂掉。别把用户的资金用高杠杆率加入 BAT 流动性挖矿。所有人,上点心吧!
如果它的目标是增加受众覆盖面,那么 COMP 的发行无疑成就斐然。更明显的是,Compound 暂时提高了流动性收益,解决了平台使用“先有鸡还是先有蛋”的问题。显得有些讽刺的是,它为大规模的压力测试搭建了平台。
在诸多报道中,Compond 的初始目标少有人谈起: 培育“一个日益庞大的生态系统[……] 将有动力以良好的治理共同管理协议的未来”。COMP 代币分发本质上是想在平台用户之间实现更广泛的治理权分配,让用户可以管理自己的安全性。
如何设计激励机制,让参与者利益一致,是整个加密经济系统中一个更广泛的问题。我们以稳定币为分析背景,创建了一个框架来把激励问题进行量化,这个框架,可以广泛适用于加密经济系统。
我们提出了一个系统中激励安全性的基本问题 : [激励安全性] 考虑了攻击情形之后,参与各方继续参与,是否仍然可以互利?
如果不能,那么系统就无法工作,因为均衡参与度为零。例如,如果激励机制导致攻击有利可图,那么理性的参与者在决定参与程度时就会将这种风险定价。只有在回答了这个问题之后,我们才能理解经济稳定性的问题。
[经济稳定性] 系统中的激励措施,是否可以产生稳定的结果?
激励机制是否可持续?
从我们构建的模型来看,随着系统规模的扩大,如何提供持续的安全激励,对抗治理攻击?这个问题很关键。如果攻击回报大于攻击成本,则治理攻击是有利可图的。
奖励与系统中锁定的资产价值 (AUM) 成正比:如果治理权力强,可以直接窃取抵押品 (以及清空 DEX 上的相关流动性池) ; 即便治理权力没那么强大,仍然可以间接窃取抵押资产,可以通过操纵参数和防止用户退出的方式,即使治理存在时间延迟的情况下也能得逞。
攻击者的成本包括治理代币的价值,对于 "诚实 "的治理者来说,治理代币价值的基本价值来自于未来治理的费用计提,以及机构责任(如法律追索权)。
稳定币,合成资产和跨链资产
对于非托管稳定币(以及使用类似机制的合成资产和 BTC 的跨链资产)而言,安全治理的价值需要超过锁定资产的价值,是后者的某个倍数值。考虑到未来增长预期适中的长期均衡时,规模问题就会体现出来,在这种情况下,未来费用的现值(即使是不切实际的高比例 AUM,即系统中锁定的资产价值)也无法达到 AUM 倍数的水平。
在这种情况下,去中心化治理系统的安全性,将依赖于持有治理代币的系统参与者大量持有治理代币,以提升其市场价值。这将反馈到这些其他各方的参与激励中,无法保证均衡参与的存在。
举例来说,稳定币持有者为了保证自己的稳定仓位,可能需要持有大量的风险治理资产的仓位,这可能违背了他们持有稳定币的目的。这让我们得出了一个非正式的猜想(也是未来研究的一个重要方向!)。
[猜想] 在许多设计有广泛治理权、没有社会追索权的 DeFi 系统中,均衡情况下理性人的参与度可能为零。
关键在于,参与者在这些制度中调整激励措施的成本可能高得令人望而却步。我们以银行的情况作为类比:如果实现安全的激励机制,会要求银行的股票市场价值必须是总存款的倍数,那么储户参与其中就根本不划算。换一种说法,银行的长期市盈率需要达到约 1000(并由储户支撑),才能保证银行不盗取储户资金。
目前实施的解决方案基本上是集中治理。这种解决方案依赖于一种机构责任的形式,在我们的模型中可以对此进行描述。这种情况未必会出问题。事实上,许多传统的金融系统都是以这种方式运作的。这就是为什么银行的价值不需要达到总存款的数倍。然而我们应该公开承认,这种信任性存在可能至关重要。以完全去中心化的方式解决这些问题,仍然是一个有待解决的问题。
去中心化交易所 (DEX)
这些激励模式对一些 DEX 也有意义。
例如,如果一个 DEX 运行自己独立的区块链(这条链由 DEX 的治理者共同控制),攻击发生时,治理者可以限制为平台提供了流动性的用户,使得他们无法退出,甚至在治理存在时间延迟的情况下也是如此。
在 DEX 中,费用计提('诚实'的治理盈利)与一段时间内总成交量的一部分成正比,这可能是交易所瞬时 AUM 值的许多倍,而激励安全性仍与 AUM 有关。
对于 Uniswap 来说,年化交易量可以是存款的 100 倍左右。相比之下,稳定币系统所产生的计提费用,可能是存款供应量的大约 1/4。相比稳定币而言,DEX 的治理应计的费用可能要小得多,但这个约 400 倍的因素使得在 DEX 中针对治理攻击的激励安全性的可行区域可能更大。这使我们得出以下非正式猜想,比较不同类型 DeFi 应用的可行性。
[猜想] 与稳定币相比, DEX 更容易从经济角度免受治理攻击。
考虑到这些可能性,在设计 DeFi 产品时,对共同激励机制的研究就更加重要了。
借贷协议
有了上面的这些初步探讨,我们再回到抵押借贷协议,比如 Compound。这些与非托管稳定币有着类似的结构。然而,它们稍微简单一些,因为借贷资产在很大程度上是外生的。由于这种外生性,参与者可能更容易在治理攻击得逞之前(即在治理时间延迟期间)就可以退出系统。
例如,考虑到借入的资产是 USDC ;在这种情况下,资金库 (vault) 可以随时通过发行人按面值创造新的稳定币来去杠杆和退出(具体而言,当他们想退出时,他们不依赖于 Dai 持有人将 Dai 卖回给他们)。就本质而言,在这种环境下治理延时是一个更强大的预防工具,不过,如果涉及了复杂的喂价机制和/或矿工可提取价值的攻击的情形,可能会是例外。
这就是说,Compound 中的一些小市值资产可能会开始与外生情况相背离。BAT 和 ZRX 市场基本上被过度利用,因为它们目前有利于流动性挖矿。例如,BAT 的利用率目前为 91%,目前存入的 BAT 名义价值为 2.34 亿,而 BAT 的总市值为 3.77 亿(尽管这部分 BAT 会有一定的净值,因为它来自于多重借贷,再将 BAT 重复存入)。鉴于这种结构,BAT 的大面积平仓可能会出现类似于稳定币的去杠杆化效应,下文将进一步讨论。
2020 年 6 月 23 日, Compound 的数据
剩下一个问题:长期来看,COMP 代币的分配过程是否有助于激励用户利益一致?也就是说,在抵御治理攻击的时候,它是否可以降低用户成本?乍一看,这看起来很有希望。用户通过参与获得治理份额,因此不必为了保护系统安全而有意识地抬高治理市场价值--他们只需要不出售他们获得的 COMP 份额即可。
但一旦用户获赠了股份,这就成了他们投资组合的一部分,他们将会选择是否维持这种风险头寸。虽然 COMP 的分配无疑吸引了很多新用户进入 Compound 平台,但 COMP 的分配机制(或者说任何其他分配机制)是否有助于让系统达到一个更稳定的治理平衡,这仍然是一个未知数。
稳定币: 设计,模型和风险
下面我们从稳定币的几种典型类型出发,描述不同功能组件的风险和权衡的维度。托管型稳定币和非托管型稳定币之间的区别显而易见,前者依赖于对第三方的某种信任,后者的目的是去信任化。
图中按照一些最重要的风险维度对稳定币设计进行总结分析
- 托管型稳定币
在托管型稳定币方面,有三种不同类型的稳定币,它们都是通过套利者的工作来维持锚定,他们可以为标的物创造/赎回稳定币。稳定币的储备基金保持 100% 的储备率,就像区块链上美元的 ETF 一样。例子包括 TUSD、USDC,以及后来迭代的 Libra。
第二种类型,包括 Tether,类似于银行或货币市场基金,采取了部分储备金机制。这类稳定币面临着类似银行经营的脱锚风险。2018 年 10 月,在 Tether 稳定币(USDT) 曾出现过这种情形。当其合作伙伴交易所 Bitfinex 暂停了 USDT 兑换法币的操作时,Tether 的危机随之而来,由于资金从 Tether 流出,流向信用风险较小的资产,该币对美元的锚定被打破,而套利者当时无法将 Tether 重新锚定美元。
我们注意到,与传统银行相比,Tether 这些 "银行"可能较少受到监管和审计,而且可能没有政府担保,无法应对银行挤兑的状况。
2018 年 10 月,Tether 曾与美元脱锚
第三种类型的稳定币,由央行直接发行。目前央行只给商业银行提供准备金存款,而 CBDC 的目标是央行提供面向消费者的存款,可能以代币的形式提供。
这些托管稳定币面临着与传统金融系统类似的风险。这些风险主要来自于交易对手风险,例如托管人违约履行挂钩价值义务的风险。一个相关的风险是审查风险,即托管人有选择地选择兑现哪些债权。
- 非托管型稳定币
非托管稳定币的特点是,不再像托管型稳定币一样依赖于具体的托管机构。取代这些社会机构的是经济结构,通过智能合约,在参与者之间建立了经济系统。
非托管型稳定币在结构上类似于风险转移工具的动态版本,如抵押债务凭证(CDO)。CDO 由一个抵押资产池支撑,并划分为不同的信贷分档 (tranches)。当出现损失时,首先由低级的信贷分档吸收损失,等所有的低级信贷分档被清偿后,再由高级分档吸收损失。
我们在研究论文中,提供了一种通用思路,可以将所有非托管稳定币的设计分解为以下功能组件。下图绘制了几种稳定币的设计,介绍了它们如何通过部分组件的形式相互关联。
- 主要价值物。稳定币价值基础的经济结构,主要来自于某种制度下的市场预期。分为三种类型。
- a) 外源性抵押品(Exogenous collateral): 在稳定币系统之外,抵押品还有其他的用途,如Maker 之中的 ETH。
- b) 内生性抵押品(Endogenous collateral): 抵押品的创建目标就是充当稳定币的抵押标的物。
- c) 隐式抵押品(Implicit collateral): 在这种情况下,不是使用明确的抵押品,而是利用市场机制来动态调整供应以稳定价格。这类似于内生抵押品,但在吸收损失的义务方面有重要区别。
- 风险吸收者:在某种层面上,一些投机者会吸收金融风险,寻求利润(类似于CDO的初级分档)。这可以是个人主体以抵押品参与,也可能是在网络中拥有单独的类似股权的头寸,或者是参与者在网络中充当 矿工(或验证者)的角色。
- 稳定币持有者:构成稳定币市场需求方的主体(类似于CDO的高级信贷分档的持有人)
- 发行:决定稳定币发行的主体或算法。可以由系统中的多个个体决定,也可以通过算法起作用。
- 治理:管理协议参数的主体或算法,类似于管理 CDO 时的股票头寸。
- 数据提供者:将外部资产的数据,导入给区块链的一些函数。
- 矿工: 决定了在基础区块链层中验证及打包交易操作的个体。
不同的非托管型稳定币的设计方式,展示了如何通过几个组成部分相互关联。
这种非托管稳定币会带来新的风险,因此现有的金融模型不能 "开箱"使用。在此我们讨论其中的三类新型风险。
去杠杆风险
首先,是去杠杆化螺旋下降的风险,即维持稳定币的债务水平降低过快,导致锚定被打破。
这种风险是实质性的。例如,在 2020 年 3 月 12 日至 13 日的 36 小时内('黑色星期四'),冠状病毒相关的市场动荡,使得加密市场损失了 50% 的市值。在 ETH 网络上,这导致了网络拥堵和 gas 手续费高企,进而减缓了交易速度,并导致交易失败。
这给 Maker's Dai 带来了严重的问题。抵押头寸持有者(Vault) 努力去杠杆化,因为他们无法增加抵押品或偿还他们的 Dai 债务。而看护者 (Keeper) 要么无法快速获得 Dai 流动资金,要么无法参与所有的债务拍卖。有人甚至开始以接近于 0 DAI 的价格竞拍 ETH,几乎免费获得了约 800 万美元的 ETH。
三月份黑色星期四发生时,对 Maker Dai 价格的影响 来源: OnChainFx
我们总结了几个值得注意的非托管型稳定币去杠杠化事件,如表所示。对稳定币项目的设计者而言,这些事件值得作为案例研究。
预言机失效的风险
其次,将数据从外部提供给区块链的预言机服务,也可能存在失效的情形。这可能是意外,也可能是攻击造成的结果。同样这种风险影响重大,并且已经发生了几次--我们在下面的表中总结了值得注意的事件。
例如,2019年6月,FX 喂价的错误使得 Synthetix 上的 KRW (韩元)价格暴涨。悉尼时间凌晨 3 点,其中一个喂价 API 开始间歇性地出错,造成提供的价格是比韩元当前汇率高 1000 倍的价格。尽管有防御机制来摒弃异常值,但是一系列不幸跟巧合下,最终在实际计算中,预言机还是使用了这个被大幅抬高的价格。结果有几笔交易获利 1000 倍,导致在不到一个小时内获利超过 10 亿美元。
喂价失效的几起事件
治理攻击和矿工攻击
我们在上面已经讨论过协议的治理攻击。此外矿工也可以参与进来,可以理解为第二种治理方式,因为矿工可以决定交易是否打包入块,决定交易的排序。
智能合约风险
由于稳定币采用算法执行的方式,在没有任何特定机构监督的情况下,其规范或实施中的错误会产生严重的影响。从建模的角度来看,智能合约风险类似于对手方风险(在这种情况下,是指执行中出现 bug 的风险)。
下图显示了当这种 bug 被恶意利用时会发生什么。由于一个 re-entrancy bug,借贷协议 dForce 中的锁仓资产被盗取,几个小时内从 2500 万美元变成了 19000 美元。
建立基于风险的经济基础
我们提出了一系列模型,可以作为这些风险的风险分析基础。
我们提出的一个模型集合借鉴了资本结构模型。从首次公开发行(IPO)背景下开发的模型中获得灵感,我们对这些模型进行了调整,以捕捉治理代币持有人、稳定币持有人和风险吸收者的激励。
第二类模型是分叉模型。资本结构模型只考虑单一的时间步骤:根据代理人的期望,他们将选择在下一轮执行某些行动。而分叉模型则是考虑多轮代理决策的扩展。
第三类模型是价格动态模型,它在类似 CDO 的结构中模拟不同个体的互动,结合稳定币系统中的反馈效应。