a16z:为何加密内存池难成MEV的万能解药?
原文作者:Pranav Garimidi、Joseph Bonneau、Lioba Heimbach,a16z
原文编译:Saoirse,Foresight News
在区块链里,通过决定哪些交易打包进区块、哪些排除在外,或者调整交易的顺序来赚钱,这种能赚到的最大价值就叫「最大可提取价值」,简称 MEV。MEV 在大多数区块链中都普遍存在,一直是业内广泛关注和讨论的话题。
注:本文默认读者已对 MEV 有基本了解。部分读者可先阅读我们的 MEV 科普文章 。
众多研究人员在观察 MEV 现象时,都提出了一个明确的问题:加密技术能否解决这一问题?其中一种方案是采用加密内存池:用户广播加密后的交易,这些交易仅在完成排序后才会被解密披露。如此一来,共识协议就必须「盲选」交易顺序,这似乎能防止在排序阶段利用 MEV 机会获利。
但遗憾的是,无论是从实际应用还是理论层面来看,加密内存池都无法为 MEV 问题提供通用解决方案。本文将阐述其中的难点,并探讨加密内存池的可行性设计方向。
加密内存池的工作原理
关于加密内存池已有诸多提案,但它的通用框架如下:
-
用户广播加密后的交易。
-
加密交易被提交至链上(部分提案中,交易需先经过可验证的随机洗牌)。
-
当包含这些交易的区块最终确认后,交易被解密。
-
最后执行这些交易。
需要注意的是,步骤 3 (交易解密)存在一个关键问题:由谁负责解密?如果解密未能完成该怎么办?一个简单的思路是让用户自行解密自己的交易(这种情况下甚至无需加密,只需隐藏承诺即可)。但这种方式存在漏洞:攻击者可能实施投机性 MEV。
在投机性 MEV 中,攻击者会猜测某笔加密交易蕴含 MEV 机会,随后加密自己的交易并试图将其插入到有利位置(例如目标交易的前或后)。若交易按预期顺序排列,攻击者便会解密并通过自己的交易提取 MEV;若未达预期,他们会拒绝解密,其交易也不会被纳入最终区块链。
或许可以对解密失败的用户施加惩罚,但这一机制的实施难度极大。原因在于:所有加密交易的惩罚力度必须统一(毕竟加密后无法区分交易),且惩罚需足够严厉,即便面对高价值目标也能遏制投机性 MEV。这会导致大量资金被锁定,且这些资金需保持匿名性(以避免泄露交易与用户的关联)。更棘手的是,若因程序漏洞或网络故障导致真实用户无法正常解密,他们也会因此蒙受损失。
因此,大多数方案建议对交易进行加密时,需确保其在未来某一时刻必然可解密,即便交易发起用户离线或拒绝配合。这一目标可通过以下几种方式实现:
可信执行环境(TEEs):用户可将交易加密至由可信执行环境(TEE)安全区持有的密钥。在一些基础版本中,TEE 仅用于在特定时间点后解密交易(这要求 TEE 内部具备时间感知能力)。更复杂的方案则让 TEE 负责解密交易并构建区块,依据到达时间、费用等标准对交易排序。与其他加密内存池方案相比,TEE 的优势在于能直接处理明文交易,通过过滤掉会回滚的交易减少链上冗余信息。但该方法的短板是依赖硬件可信度。
秘密共享与门限加密(Secret-sharing and threshold encryption):在此方案中,用户将交易加密至某一密钥,该密钥由特定委员会(通常是验证者的子集)共同持有。解密需满足一定门限条件(例如,委员会中三分之二成员同意)。
采用门限解密时,信任的载体从硬件转变为委员会。支持者认为,既然大多数协议在共识机制中已默认验证者具备「诚实多数」特性,那么我们也可做出类似假设,即多数验证者会保持诚实,不会提前解密交易。
然而,这里需要注意一个关键区别:这两种信任假设并非同一概念。区块链分叉等共识失败具有公开可见性(属于「弱信任假设」),而恶意委员会私下提前解密交易不会留下任何公开证据,这种攻击既无法被检测,也无法对其进行惩罚(属于「强信任假设」)。因此,尽管从表面上看,共识机制与加密委员会的安全假设似乎一致,但实际操作中,「委员会不会合谋」这一假设的可信度要低得多。
时间锁定与延迟加密(Time-lock and delay encryption):作为门限加密的替代方案,延迟加密的原理是:用户将交易加密至某个公钥,而该公钥对应的私钥被隐藏在一个时间锁定谜题中。时间锁定谜题是一种封装秘密的密码学谜题,其秘密内容需在预设时间过后才能被揭晓,更具体地说,解密过程需要反复执行一系列无法并行化的计算。在这种机制下,任何人都能解开谜题以获取密钥并解密交易,但前提是完成一段设计耗时足够长的缓慢(本质上是串行执行的)计算,确保交易在最终确认前无法被解密。这种加密原语的最强形式是通过延迟加密技术公开生成此类谜题;也可通过可信委员会借助时间锁定加密来近似实现这一过程,不过此时其相对门限加密的优势已值得商榷。
无论是采用延迟加密还是由可信委员会执行计算,这类方案都面临诸多实际挑战:首先,由于延迟本质上依赖计算过程,难以确保解密时间的精确性;其次,这些方案需依赖特定实体运行高性能硬件来高效解算谜题,尽管任何人都能承担这一角色,但如何激励该主体参与仍不明确;最后,在这类设计中,所有广播的交易都会被解密,包括那些从未被最终写入区块的交易。而基于门限(或见证加密)的方案则有可能仅解密那些成功被包含的交易。
见证加密(Witness encryption):最后一种最先进的密码学方案是采用「见证加密」技术。从理论上讲,见证加密的机制是:将信息加密后,只有知晓特定 NP 关系对应「见证信息」的人,才能对其进行解密。例如,可将信息加密为:只有能解出某道数独谜题,或能提供某一数值哈希原像的人,才能完成解密。
(注:NP 关系就是「问题」和「能快速验证的答案」之间的对应关系)
对于任何 NP 关系,都可通过 SNARKs 实现类似逻辑。可以说,见证加密本质上是将数据加密为仅让能通过 SNARK 证明满足特定条件的主体可解密的形式。在加密内存池场景中,这类条件的一个典型例子是:交易仅在区块最终确认后才能被解密。
这是一种极具潜力的理论原语。实际上,它是一种通用性方案,基于委员会的方法和基于延迟的方法都只是其具体应用形式。遗憾的是,目前我们尚未有任何可实际落地的基于见证的加密方案。此外,即便存在这样的方案,也很难说它在权益证明链中能比基于委员会的方法更具优势。即便将见证加密设置为「仅当交易在最终确定的区块中完成排序后才可解密」,恶意委员会仍能私下模拟共识协议来伪造交易的最终确认状态,再以这条私有链作为「见证」来解密交易。此时,由同一委员会采用门限解密既能达到同等安全性,操作还简单得多。
不过,在工作量证明共识协议中,见证加密的优势更为显著。因为即便委员会完全恶意,也无法在当前区块链头部私下挖掘多个新块来伪造最终确认状态。
加密内存池面临的技术挑战
多项实际挑战制约着加密内存池防范 MEV 的能力。总体而言,信息保密本身就是一项难题。值得注意的是,加密技术在 Web3 领域的应用并不广泛,但我们在网络(如 TLS/HTTPS)和私密通信(从 PGP 到 Signal、WhatsApp 等现代加密消息平台)中部署加密技术的数十年实践,已充分暴露了其中的难点:加密虽是保护机密性的工具,却无法做到绝对保障。
首先,某些主体可能直接获取用户交易的明文信息。在典型场景中,用户通常不会自行加密交易,而是将这项工作委托给钱包服务商。如此一来,钱包服务商便能接触到交易明文,甚至可能利用或出售这些信息来提取 MEV。加密的安全性,始终取决于所有能接触到密钥的主体。密钥的掌控的范围,就是安全的边界。
除此之外,最大的问题在于元数据,即加密载荷(交易)周边的未加密数据。搜索者可利用这些元数据推测交易意图,进而实施投机性 MEV。要知道,搜索者无需完全理解交易内容,也不必每次都猜对。例如,只要他们能以合理概率判断某笔交易是来自特定去中心化交易所(DEX)的买单,就足以发起攻击。
我们可将元数据分为几类:一类是加密技术固有的经典难题,另一类则是加密内存池特有的问题。
-
交易大小:加密本身无法隐藏明文的大小(值得注意的是,语义安全的正式定义中明确将明文大小的隐藏排除在外)。这是加密通信中常见的攻击向量,典型案例是,即便经过加密,窃听者仍能通过视频流中每个数据包的大小,实时判断 Netflix 上正在播放的内容。在加密内存池中,特定类型的交易可能具有独特大小,从而泄露信息。
-
广播时间:加密同样无法隐藏时间信息(这是另一个经典攻击向量)。在 Web3 场景中,某些发送方(如结构化抛售场景)可能按固定间隔发起交易。交易时间还可能与其他信息相关联,例如外部交易所的活动或新闻事件。更隐蔽的时间信息利用方式是中心化交易所(CEX)与去中心化交易所(DEX)的套利:排序者可通过插入尽可能晚创建的交易,利用最新的 CEX 价格信息;同时,排序者可排除在某一时间点后广播的所有其他交易(即便加密),确保自己的交易独享最新价格优势。
-
源 IP 地址:搜索者可通过监控点对点网络、追踪源 IP 地址来推断交易发送者身份。这一问题在比特币早期就已被发现(至今已逾十年)。若特定发送方有固定行为模式,这对搜索者而言极具价值。例如,知晓发送者身份后,可将加密交易与已解密的历史交易关联起来。
-
交易发送者与费用 / gas 信息:交易费用是加密内存池特有的元数据类型。在以太坊中,传统交易包含链上发送者地址(用于支付费用)、最大 gas 预算以及发送者愿意支付的单位 gas 费用。与源网络地址类似,发送者地址可用于关联多笔交易及现实实体;gas 预算则能暗示交易意图。例如,与特定 DEX 交互可能需要可识别的固定 gas 量。
复杂的搜索者可能结合上述多种元数据类型来预测交易内容。
理论上,这些信息都可隐藏,但需付出性能与复杂度的代价。例如,将交易填充至标准长度可隐藏大小,却会浪费带宽和链上空间;发送前增加延迟可隐藏时间,却会增加延迟;通过 Tor 等匿名网络提交交易可隐藏 IP 地址,但这又会带来新的挑战。
最难隐藏的元数据是交易费用信息。加密费用数据会给区块构建者带来一系列问题:首先是垃圾信息问题,若交易费用数据被加密,任何人都可广播格式错误的加密交易,这些交易虽会被排序,但无法支付费用,解密后无法执行却无人能被追责。这或许可通过 SNARKs 解决,即证明交易格式正确且资金充足,但会大幅增加开销。
其次是区块构建与费用拍卖的效率问题。构建者依赖费用信息来创建利润最大化的区块,并确定链上资源的当前市场价格。加密费用数据会破坏这一过程。一种解决方案是为每个区块设定固定费用,但这在经济上低效,还可能催生交易打包的二级市场,违背加密内存池的设计初衷。另一种方案是通过安全多方计算或可信硬件进行费用拍卖,但这两种方式成本极高。
最后,安全的加密内存池会从多方面增加系统开销:加密会增加链的延迟、计算量和带宽消耗;如何与分片或并行执行等重要未来目标结合,目前尚不明确;还可能为活性(liveness)引入新的故障点(如门限方案中的解密委员会、延迟函数求解器);同时,设计与实现复杂度也会显著上升。
加密内存池的许多问题,与旨在保障交易隐私的区块链(如 Zcash、Monero)面临的挑战相通。若说有什么积极意义,那便是:解决加密技术在 MEV 缓解中的所有挑战,将顺带为交易隐私扫清障碍。
加密内存池面临的经济挑战
最后,加密内存池还面临着经济层面的挑战。与技术挑战不同,后者可通过足够的工程投入逐步缓解 。这些经济挑战属于根本性限制,解决难度极大。
MEV 的核心问题源于交易创建者(用户)与 MEV 机会挖掘者(搜索者和区块构建者)之间的信息不对称。用户通常不清楚自己的交易中蕴含多少可提取价值,因此即便存在完美的加密内存池,他们仍可能被诱导泄露解密密钥,以换取一笔低于实际 MEV 价值的报酬,这种现象可称为「激励性解密」。
这种场景并不难想象,因为类似机制如 MEV Share,已在现实中存在。MEV Share 是一种订单流拍卖机制,允许用户选择性地向一个池中提交交易信息,搜索者通过竞争获取利用该交易 MEV 机会的权利。中标者在提取 MEV 后,会将部分收益(即投标金额或其一定比例)返还给用户。
这种模式可直接适配加密内存池:用户需披露解密密钥(或部分信息)才能参与。但多数用户意识不到参与此类机制的机会成本,他们只看到眼前的回报,便乐于泄露信息。传统金融中也有类似案例:例如零佣金交易平台 Robinhood,其盈利模式正是通过「订单流支付」(payment-for-order-flow)向第三方出售用户订单流。
另一种可能的场景是:大型构建者以审查为由,强制用户披露交易内容(或相关信息)。抗审查性是 Web3 领域一个重要且具争议的话题,但如果大型验证者或构建者受法律约束(如美国外国资产控制办公室 OFAC 的规定)需执行审查清单,他们可能会拒绝处理任何加密交易。从技术上看,用户或许可通过零知识证明来证实其加密交易符合审查要求,但这会增加额外成本与复杂度。即便区块链具备强抗审查性(确保加密交易必然被收录),构建者仍可能优先将已知明文的交易置于区块前端,而将加密交易排在末尾。因此,那些需要确保执行优先级的交易,最终可能还是被迫向构建者披露内容。
其他效率方面的挑战
加密内存池会通过多种明显方式增加系统开销。用户需对交易进行加密,系统还需以某种方式解密,这会增加计算成本,还可能增大交易体积。如前所述,处理元数据会进一步加剧这些开销。然而,还有一些效率成本并不那么显而易见。在金融领域,若价格能反映所有可用信息,市场便被视为有效;而延迟与信息不对称会导致市场低效。这正是加密内存池带来的必然结果。
这类低效会导致一个直接后果:价格不确定性增加,这是加密内存池引入额外延迟的直接产物。因此,因超出价格滑点容忍度而失败的交易可能会增多,进而浪费链上空间。
同样,这种价格不确定性还可能催生投机性 MEV 交易,这类交易试图从链上套利中获利。值得注意的是,加密内存池可能会让这类机会更为普遍:由于执行延迟,去中心化交易所(DEX)的当前状态变得更加模糊,这很可能导致市场效率下降,不同交易平台间出现价格差异。此类投机性 MEV 交易也会浪费区块空间,因为一旦未发现套利机会,它们往往会终止执行。
总结
本文的初衷是梳理加密内存池面临的挑战,以便人们能将精力转向其他解决方案的研发,但加密内存池仍可能成为 MEV 治理方案的一部分。
一种可行的思路是混合设计:部分交易通过加密内存池实现「盲排序」,另一部分则采用其他排序方案。对于特定类型的交易(例如大型市场参与者的买卖订单,他们有能力精心加密或填充交易,并愿意为规避 MEV 支付更高成本),混合设计可能是合适的选择。对于高度敏感的交易(如针对存在漏洞的安全合约的修复交易),这种设计也具有实际意义。
然而,由于技术局限、高昂的工程复杂度和性能开销,加密内存池不太可能成为人们所期待的「MEV 万能解决方案」。社区需要开发其他方案,包括 MEV 拍卖、应用层防御机制和缩短最终确认时间等。MEV 在未来一段时间内仍将是一项挑战,需要通过深入研究找到各类解决方案的平衡点,以应对其负面影响。
U.S.Marshals Reveals the Government Holds Only 28,988 Bitcoin Down from Nearly 200k
The post U.S.Marshals Reveals the Government Holds Only 28,988 Bitcoin Down from Nearly 200k appeare...
Bitcoin Next Key Level Is $136,000 If Momentum Holds, Glassnode Says
The on-chain analytics firm Glassnode has pointed out how $136,000 could be the next price level of ...
Uniswap Crosses 1.2 Billion Swaps as Platform Usage Grows and Leadership Shifts
Uniswap logs over 1.2B swaps through mid-2025 with rising usage as COO steps down and SEC ends inves...