什么是治理程序可抽取的价值（GEV）？

治理程序（Governance）是协议的最终拥有者。无论是独裁还是富豪统治（plutocracy），治理程序控制着相关协议的每一个可变动的方面以及它们如何变化。不像传统的公司，区块链应用的治理程序是透明的、由专门的智能合约来定义（因此是确定性的），而且改变了什么也对所有人可见。但有光的地方就有暗。治理程序也大可以牺牲整个系统来获得利益，我们称之为 “治理程序可抽取价值（GEV）”。同样不像传统公司的是，没有司法框架来制约糟糕的治理。
什么是治理程序？
协议的治理可以用两条轴来体现：哪些东西受治理程序控制、有多少人参与治理。每种协议都有自己的目标，因此设计空间也很多样。一些协议本身是不可变更的，另一些则有非常少的参数（比如费率切换和暂停功能），有一些甚至能把业务合约的功能整个替换掉（或曰 “可升级”）。最终，控制权可能无人可拥有，或会落在一人手上，一小群人手上（多签名合约对应的实体）或者一大群人掌中（治理代币投票）。如果没有机制来制衡权力，合约的复杂性和灵活性就会成为机会主义的温床。
GEV 爆破
治理程序会把用户的终极利益放在心上吗？太满的话好像都不对 : ）GEV 爆破可以大体分为两类：资本结构爆破和短期主义。
资本结构爆破
资本结构爆破俗称 “跑路（rug pull）”，包括治理程序从系统中偷取担保品、或者直接把担保品划给自己带走。跑路类似于银行拿着储户的钱跑了，虽然资本结构爆破可以做得更隐秘、更间接。大多数用户都不会把钱放进一个带有明显可调用的跑路函数的合约。但开发者可以后面再加入跑路函数，或者利用系统的结构以间接（且让人眼花缭乱）的办法跑路。这里有一些例子：
恶意升级跑路。正常来说，在一个银行里面，用户只能存钱和取出属于自己的钱，不应该能取出别人的钱。Compounder 最初的设计中是没有后门的。但是，开发者升级合约的时候就加入了一个跑路函数，让他们可以偷走总计 1080 万美元的担保资产。虽然升级生效之前有 24 小时的时间锁，在此期间用户可以取出自己的资产，但很少用户会真的密切监控合约的情况。
无限铸币爆破。PAID network 的 erc20 代币合约所有者账户只有一个，该账户可以铸造新币。在攻击中，开发者铸造了几百万个币，吸干了 Uniswap 交易所中的 PAID-ETH 资金池，然后拿着 ETH 跑路，留下无数因为超级通胀而价值归零的 PAID。
出卖少数股东。DigixDAO 投票通过把 ICO 集资退回给代币持有者的决定，因为这些当时收集的资本甚至比治理代币还要更有价值。在幕后，是一个联盟掌控着大部分的股份，大家并不清楚这些人都有谁，他们会怎么投票（Digix 团队一直高声反对解散）。在投票启动之前，各方可以从少数股东处购买 DigixDAO 代币，其市场价格与其对应的 ETH 储备之间差额高达 48%。到现在大家也不知道，这些买入者就是参与联盟的成员、想出卖少数股东来获利，还是说他们是无关人等，只是在赌投票结果。
投票跑路。MakerDAO 理论上有一个攻击界面：治理程序可以投票把系统中的所有担保品交给他们自己，而无需提醒终端用户。不过风险已经被时间锁减轻。
短期主义
虽然治理者和用户都希望协议成长，但对于具体的办法和步骤，他们可能有不同意见。用户的目标是可持续的成长。相反，治理代币的持有者可能不惜一切代价追求增长。所以下高风险的重注来获得眼前可见的好处（手续费 / 让治理代币升值）也不是不可以，虽说这会损害整个系统，让它变得更脆弱。短期主义可能在很多事情上出现。一个例子是运行系统使用风险更高的资产和提高整个系统的债务上限。
Cream Finance 是 Compound 的一个复制品，它加入了许多低成长的 DeFi 代币，而且不设债务上限，来吸引用户和体量。但是，FTT 代币存款最终构成了 Cream 内存款的 40%，大幅提高了这个协议的风险。如果 FTT 价格暴跌，Cream 上的出借人可能会损失资产。
解决 GEV
在传统公司里面，GEV 的预防机制有保守派势力，还有监管者和集体诉讼，作为遏止爆破行为的大棒。但这些可没法翻译成智能合约（其逻辑都是提前编程好的）。在一个链上世界，治理程序必须预先编程好，并且有遏制作恶的激励机制，因为我们都 知道，没有中心化的机构能在爆破后为我们主持正义。
分散权力 —— 多签名和代币投票

在安排谁来治理协议这件事情上，有很多考量。仅安排一个所有权账户，对开发者来说是最方便的，升级这个协议只需要一把密钥，而且也无需与其他时区的私钥持有者或无动于衷的代币持有者协调。开发过程只需单方面投入，可以很快，但用户就必须信任这个私钥的持有者。
多签名控制和代币投票制对于更成熟的协议来说是更好的选择，可以获得更广泛的共识。虽然在现实中，如果开发团队自己控制了对大部分投票代币，系统还是会回到独裁模式或者联盟模式中。
不设或者有限的合约可升级性
早期的智能合约都尝试取得字面意义的 “不可更改性”。对合约的改变和升级是不可能的。如果合约出现了 bug，或者是让智能合约的开发变成像是在设计不可改进的硬件一样，都是很可怕的，就像没法修复的火星探测器一样。在不可升级的合约里加入新功能能需要用户自己迁移资金。从某个角度来看，这是一种特性（可以想象代码是不会变的），但也可以看成是一种可怕的用户体验黑洞（YAM 的用户不得不两次迁移他们的 token）。
最直接的改进方法是设计一个最小化的升级空间，比如暂停功能，在 bug 被发现的时候是非常实用的，还有一些非常有限的参数。
最灵活的设计是使用可升级的合约（组合），一个核心（代理）合约存储所有的数据，并引用一个可替换的合约来装载所有的业务逻辑。用户甚至不知道底层的合约被升级过，因此用户体验很丝滑（当然跑路也很丝滑）。

热点：ETH token 代币 区块链 区块链应用 数据 智能合约 银行