“前有狼后有虎”，去中心化的区块链治理的安全思路和考虑

撰文：CertiK

去中心化区块链网络的主要核心之一治理，指的是「用户就去中心化协议的管理达成共识，或达成多数同意」。基于区块链的治理系统的独特功能为其带来了诸多优势，但也伴随着众多安全风险。

本文将主要为大家讲解关于区块链治理系统的一些常见安全问题，但在这之前，我们需要先了解一下它的具体功能。

区块链治理系统是一个基于规则的决策过程。它允许社区提出建议、讨论和实施更改及改进。在区块链世界中，有两种主要的治理类型：链层面治理和 dApp 层面的治理。

链层面治理

链层面治理旨在管理和实施对区块链本身的更改。在这种类型的治理中，进行更改的规则会嵌入在区块链协议中。开发人员通过代码更新提出更改，由每个节点投票决定是接受还是拒绝。

dApp 层面治理

应用程序层面（或是去中心化应用程序 dApp 层面）治理类似于链层面治理，但范围仅限于dApp 类的项目，处理时间通常要短得多。

下方是一个 dApp 治理项目的简述。

在查看这一简述前，我们先了解一下主要术语：

abstain：弃权，是一种计入法定人数但不计入阈值的投票类型。在大多数协议中并不常见。

Deposit：存款，是一种旨在避免恶意用户破坏治理的机制。提议者（以及对提案感兴趣的社区用户）需要在存款期间向提案存入一定数量的 token。虽然某些提案可能需要检查用户的 token 余额，但这也验证了用户的意图——如果提案失败，用户的 token 将面临无法取回的风险。一旦提案筹集到确定数量的 token，提案就可以进入投票阶段。

Proposal：提案，是一个治理系统组件，旨在对系统进行更改并由用户投票。用户通过提交提案、存款和投票来与提案进行交互。每个用户都可以提交提案。提案可以是参数更改、代码升级更改、分发算法更改、新功能请求等。

Proposer：提议者，是提交提案的用户。提案人可以但非必要提供全额存款资金。

Quorum：法定人数，是在投票期结束时需要投票的 token 总数的百分比。

Tally：记录，是计算提案结果的过程。确定提案是否通过的等式是：Pass = Quorum && Threshold (&& Veto)。例如，对于法定人数=40% 且阈值=66.7% 的协议，提案的「通过」要求至少有 40% 的治理 token 持有者参与提案，并且他们中至少⅔的人投了赞成票。

Threshold：阈值，是提案通过则需要「for/yes」投票的参与 token 所占的百分比。

Veto：否决，是一种投票类型，当否决票的百分比超过特定阈值时，会导致提案被拒绝。可以看作是更强烈的「against/no」。在大多数协议中并不常见。在某些协议中，提案的「否决」结果可能会导致一些惩罚。

Vote：投票，是治理参与者（token 持有者）与提案互动的方式。每个参与者都可以在投票期间对提案进行投票。投票可以是「for/yes」和「against/no」，但是一些协议也有「abstain」和「no-with-veto」这样的选项。

来源：Lucid

首先，任何持有治理 token 的用户都可以提交一个提案，该提案需要一个持续两天的审查期。在两天的时间内，创建者可以无代价取消提案。之后，该提案将进入为期三天的投票期。在投票期间，治理 token 持有用户可以根据其投票权对活跃提案投「for/yes」或「against/no」票。持有的治理 token 数量决定投票权及其投票的总权重。投票期结束后，治理系统将开始统计投票结果。系统将根据预先配置的法定人数和阈值得出「拒绝」或「通过」的结果。如果提案被拒绝，它将被取消，如果通过，则在 timelock 后由系统执行。timelock 有助于留出时间来通知用户即将发生的更改。

上图底部是一个带有存款步骤和「否决」投票选项的版本。这是一些链采用的稍微复杂的解决方案。存款期有点像审查期的延长版。每个提案都有最小所需存款的要求，包括提案人在内的任何用户都可以向提案存款。如果提案在两周的存款期限内没有收集到足够的存款，它将被取消。投票周期类似于上图中顶部位置的系统，但现在的投票期更长。这里的区别在于投票选项。第一种机制只有「or/yes」和「against/no」两个选项，现在增加了两个选项，分别是「abstain」和「no-with-veto」。

选择「abstain」即代表弃权，会被计入法定人数检查，但不计入阈值和否决检查。因此，在计票结束时，除了「拒绝」或「通过」以外，还会多出一个结果，称为「rejected with veto」，意味着投给「no-with-veto」的有效票数超过了否决检查。

如果这一提案的结果是「rejected with veto」，那么将会进行一定的惩罚，例如押金将可能被直接销毁，不予退还。

链上与链下治理