撰文:Pranav Garimidi、Joseph Bonneau、Lioba Heimbach,a16z
编译:Saoirse,Foresight News
在区块链里,通过决定哪些交易打包进区块、哪些排除在外,或者调整交易的顺序来赚钱,这种能赚到的最大价值就叫「最大可提取价值」,简称 MEV。MEV 在大多数区块链中都普遍存在,一直是业内广泛关注和讨论的话题。
注:本文默认读者已对 MEV 有基本了解。部分读者可先阅读我们的 MEV 科普文章。
众多研究人员在观察 MEV 现象时,都提出了一个明确的问题:加密技术能否解决这一问题?其中一种方案是采用加密内存池:用户广播加密后的交易,这些交易仅在完成排序后才会被解密披露。如此一来,共识协议就必须「盲选」交易顺序,这似乎能防止在排序阶段利用 MEV 机会获利。
但遗憾的是,无论是从实际应用还是理论层面来看,加密内存池都无法为 MEV 问题提供通用解决方案。本文将阐述其中的难点,并探讨加密内存池的可行性设计方向。
加密内存池的工作原理
关于加密内存池已有诸多提案,但它的通用框架如下:
-
用户广播加密后的交易。
-
加密交易被提交至链上(部分提案中,交易需先经过可验证的随机洗牌)。
-
当包含这些交易的区块最终确认后,交易被解密。
-
最后执行这些交易。
需要注意的是,步骤 3(交易解密)存在一个关键问题:由谁负责解密?如果解密未能完成该怎么办?一个简单的思路是让用户自行解密自己的交易(这种情况下甚至无需加密,只需隐藏承诺即可)。但这种方式存在漏洞:攻击者可能实施投机性 MEV。
在投机性 MEV 中,攻击者会猜测某笔加密交易蕴含 MEV 机会,随后加密自己的交易并试图将其插入到有利位置(例如目标交易的前或后)。若交易按预期顺序排列,攻击者便会解密并通过自己的交易提取 MEV;若未达预期,他们会拒绝解密,其交易也不会被纳入最终区块链。
或许可以对解密失败的用户施加惩罚,但这一机制的实施难度极大。原因在于:所有加密交易的惩罚力度必须统一(毕竟加密后无法区分交易),且惩罚需足够严厉,即便面对高价值目标也能遏制投机性 MEV。这会导致大量资金被锁定,且这些资金需保持匿名性(以避免泄露交易与用户的关联)。更棘手的是,若因程序漏洞或网络故障导致真实用户无法正常解密,他们也会因此蒙受损失。
因此,大多数方案建议对交易进行加密时,需确保其在未来某一时刻必然可解密,即便交易发起用户离线或拒绝配合。这一目标可通过以下几种方式实现:
可信执行环境(TEEs):用户可将交易加密至由可信执行环境(TEE)安全区持有的密钥。在一些基础版本中,TEE 仅用于在特定时间点后解密交易(这要求 TEE 内部具备时间感知能力)。更复杂的方案则让 TEE 负责解密交易并构建区块,依据到达时间、费用等标准对交易排序。与其他加密内存池方案相比,TEE 的优势在于能直接处理明文交易,通过过滤掉会回滚的交易减少链上冗余信息。但该方法的短板是依赖硬件可信度。
秘密共享与门限加密(Secret-sharing and threshold encryption):在此方案中,用户将交易加密至某一密钥,该密钥由特定委员会(通常是验证者的子集)共同持有。解密需满足一定门限条件(例如,委员会中三分之二成员同意)。
采用门限解密时,信任的载体从硬件转变为委员会。支持者认为,既然大多数协议在共识机制中已默认验证者具备「诚实多数」特性,那么我们也可做出类似假设,即多数验证者会保持诚实,不会提前解密交易。
然而,这里需要注意一个关键区别:这两种信任假设并非同一概念。区块链分叉等共识失败具有公开可见性(属于「弱信任假设」),而恶意委员会私下提前解密交易不会留下任何公开证据,这种攻击既无法被检测,也无法对其进行惩罚(属于「强信任假设」)。因此,尽管从表面上看,共识机制与加密委员会的安全假设似乎一致,但实际操作中,「委员会不会合谋」这一假设的可信度要低得多。
时间锁定与延迟加密(Time-lock and delay encryption):作为门限加密的替代方案,延迟加密的原理是:用户将交易加密至某个公钥,而该公钥对应的私钥被隐藏在一个时间锁定谜题中。时间锁定谜题是一种封装秘密的密码学谜题,其秘密内容需在预设时间过后才能被揭晓,更具体地说,解密过程需要反复执行一系列无法并行化的计算。在这种机制下,任何人都能解开谜题以获取密钥并解密交易,但前提是完成一段设计耗时足够长的缓慢(本质上是串行执行的)计算,确保交易在最终确认前无法被解密。这种加密原语的最强形式是通过延迟加密技术公开生成此类谜题;也可通过可信委员会借助时间锁定加密来近似实现这一过程,不过此时其相对门限加密的优势已值得商榷。
无论是采用延迟加密还是由可信委员会执行计算,这类方案都面临诸多实际挑战:首先,由于延迟本质上依赖计算过程,难以确保解密时间的精确性;其次,这些方案需依赖特定实体运行高性能硬件来高效解算谜题,尽管任何人都能承担这一角色,但如何激励该主体参与仍不明确;最后,在这类设计中,所有广播的交易都会被解密,包括那些从未被最终写入区块的交易。而基于门限(或见证加密)的方案则有可能仅解密那些成功被包含的交易。
见证加密(Witness encryption):最后一种最先进的密码学方案是采用「见证加密」技术。从理论上讲,见证加密的机制是:将信息加密后,只有知晓特定 NP 关系对应「见证信息」的人,才能对其进行解密。例如,可将信息加密为:只有能解出某道数独谜题,或能提供某一数值哈希原像的人,才能完成解密。
(注:NP 关系就是「问题」和「能快速验证的答案」之间的对应关系)
对于任何 NP 关系,都可通过 SNARKs 实现类似逻辑。可以说,见证加密本质上是将数据加密为仅让能通过 SNARK 证明满足特定条件的主体可解密的形式。在加密内存池场景中,这类条件的一个典型例子是:交易仅在区块最终确认后才能被解密。
这是一种极具潜力的理论原语。实际上,它是一种通用性方案,基于委员会的方法和基于延迟的方法都只是其具体应用形式。遗憾的是,目前我们尚未有任何可实际落地的基于见证的加密方案。此外,即便存在这样的方案,也很难说它在权益证明链中能比基于委员会的方法更具优势。即便将见证加密设置为「仅当交易在最终确定的区块中完成排序后才可解密」,恶意委员会仍能私下模拟共识协议来伪造交易的最终确认状态,再以这条私有链作为「见证」来解密交易。此时,由同一委员会采用门限解密既能达到同等安全性,操作还简单得多。
不过,在工作量证明共识协议中,见证加密的优势更为显著。因为即便委员会完全恶意,也无法在当前区块链头部私下挖掘多个新块来伪造最终确认状态。
加密内存池面临的技术挑战
多项实际挑战制约着加密内存池防范 MEV 的能力。总体而言,信息保密本身就是一项难题。值得注意的是,加密技术在 Web3 领域的应用并不广泛,但我们在网络(如 TLS/HTTPS)和私密通信(从 PGP 到 Signal、WhatsApp 等现代加密消息平台)中部署加密技术的数十年实践,已充分暴露了其中的难点:加密虽是保护机密性的工具,却无法做到绝对保障。
首先,某些主体可能直接获取用户交易的明文信息。在典型场景中,用户通常不会自行加密交易,而是将这项工作委托给钱包服务商。如此一来,钱包服务商便能接触到交易明文,甚至可能利用或出售这些信息来提取 MEV。加密的安全性,始终取决于所有能接触到密钥的主体。密钥的掌控的范围,就是安全的边界。
除此之外,最大的问题在于元数据,即加密载荷(交易)周边的未加密数据。搜索者可利用这些元数据推测交易意图,进而实施投机性 MEV。要知道,搜索者无需完全理解交易内容,也不必每次都猜对。例如,只要他们能以合理概率判断某笔交易是来自特定去中心化交易所(DEX)的买单,就足以发起攻击。
我们可将元数据分为几类:一类是加密技术固有的经典难题,另一类则是加密内存池特有的问题。
-
交易大小:加密本身无法隐藏明文的大小(值得注意的是,语义安全的正式定义中明确将明文大小的隐藏排除在外)。这是加密通信中常见的攻击向量,典型案例是,即便经过加密,窃听者仍能通过视频流中每个数据包的大小,实时判断 Netflix 上正在播放的内容。在加密内存池中,特定类型的交易可能具有独特大小,从而泄露信息。
-
广播时间:加密同样无法隐藏时间信息(这是另一个经典攻击向量)。在 Web3 场景中,某些发送方(如结构化抛售场景)可能按固定间隔发起交易。交易时间还可能与其他信息相关联,例如外部交易所的活动或新闻事件。更隐蔽的时间信息利用方式是中心化交易所(CEX)与去中心化交易所(DEX)的套利:排序者可通过插入尽可能晚创建的交易,利用最新的 CEX 价格信息;同时,排序者可排除在某一时间点后广播的所有其他交易(即便加密),确保自己的交易独享最新价格优势。
-
源 IP 地址:搜索者可通过监控点对点网络、追踪源 IP 地址来推断交易发送者身份。这一问题在比特币早期就已被发现(至今已逾十年)。若特定发送方有固定行为模式,这对搜索者而言极具价值。例如,知晓发送者身份后,可将加密交易与已解密的历史交易关联起来。
-
交易发送者与费用 / gas 信息:交易费用是加密内存池特有的元数据类型。在以太坊中,传统交易包含链上发送者地址(用于支付费用)、最大 gas 预算以及发送者愿意支付的单位 gas 费用。与源网络地址类似,发送者地址可用于关联多笔交易及现实实体;gas 预算则能暗示交易意图。例如,与特定 DEX 交互可能需要可识别的固定 gas 量。
复杂的搜索者可能结合上述多种元数据类型来预测交易内容。
理论上,这些信息都可隐藏,但需付出性能与复杂度的代价。例如,将交易填充至标准长度可隐藏大小,却会浪费带宽和链上空间;发送前增加延迟可隐藏时间,却会增加延迟;通过 Tor 等匿名网络提交交易可隐藏 IP 地址,但这又会带来新的挑战。
最难隐藏的元数据是交易费用信息。加密费用数据会给区块构建者带来一系列问题:首先是垃圾信息问题,若交易费用数据被加密,任何人都可广播格式错误的加密交易,这些交易虽会被排序,但无法支付费用,解密后无法执行却无人能被追责。这或许可通过 SNARKs 解决,即证明交易格式正确且资金充足,但会大幅增加开销。
其次是区块构建与费用拍卖的效率问题。构建者依赖费用信息来创建利润最大化的区块,并确定链上资源的当前市场价格。加密费用数据会破坏这一过程。一种解决方案是为每个区块设定固定费用,但这在经济上低效,还可能催生交易打包的二级市场,违背加密内存池的设计初衷。另一种方案是通过安全多方计算或可信硬件进行费用拍卖,但这两种方式成本极高。
最后,安全的加密内存池会从多方面增加系统开销:加密会增加链的延迟、计算量和带宽消耗;如何与分片或并行执行等重要未来目标结合,目前尚不明确;还可能为活性(liveness)引入新的故障点(如门限方案中的解密委员会、延迟函数求解器);同时,设计与实现复杂度也会显著上升。
加密内存池的许多问题,与旨在保障交易隐私的区块链(如 Zcash、Monero)面临的挑战相通。若说有什么积极意义,那便是:解决加密技术在 MEV 缓解中的所有挑战,将顺带为交易隐私扫清障碍。
加密内存池面临的经济挑战
最后,加密内存池还面临着经济层面的挑战。与技术挑战不同,后者可通过足够的工程投入逐步缓解 。这些经济挑战属于根本性限制,解决难度极大。
MEV 的核心问题源于交易创建者(用户)与 MEV 机会挖掘者(搜索者和区块构建者)之间的信息不对称。用户通常不清楚自己的交易中蕴含多少可提取价值,因此即便存在完美的加密内存池,他们仍可能被诱导泄露解密密钥,以换取一笔低于实际 MEV 价值的报酬,这种现象可称为「激励性解密」。
这种场景并不难想象,因为类似机制如 MEV Share,已在现实中存在。MEV Share 是一种订单流拍卖机制,允许用户选择性地向一个池中提交交易信息,搜索者通过竞争获取利用该交易 MEV 机会的权利。中标者在提取 MEV 后,会将部分收益(即投标金额或其一定比例)返还给用户。
这种模式可直接适配加密内存池:用户需披露解密密钥(或部分信息)才能参与。但多数用户意识不到参与此类机制的机会成本,他们只看到眼前的回报,便乐于泄露信息。传统金融中也有类似案例:例如零佣金交易平台 Robinhood,其盈利模式正是通过「订单流支付」(payment-for-order-flow)向第三方出售用户订单流。
另一种可能的场景是:大型构建者以审查为由,强制用户披露交易内容(或相关信息)。抗审查性是 Web3 领域一个重要且具争议的话题,但如果大型验证者或构建者受法律约束(如美国外国资产控制办公室 OFAC 的规定)需执行审查清单,他们可能会拒绝处理任何加密交易。从技术上看,用户或许可通过零知识证明来证实其加密交易符合审查要求,但这会增加额外成本与复杂度。即便区块链具备强抗审查性(确保加密交易必然被收录),构建者仍可能优先将已知明文的交易置于区块前端,而将加密交易排在末尾。因此,那些需要确保执行优先级的交易,最终可能还是被迫向构建者披露内容。
其他效率方面的挑战
加密内存池会通过多种明显方式增加系统开销。用户需对交易进行加密,系统还需以某种方式解密,这会增加计算成本,还可能增大交易体积。如前所述,处理元数据会进一步加剧这些开销。然而,还有一些效率成本并不那么显而易见。在金融领域,若价格能反映所有可用信息,市场便被视为有效;而延迟与信息不对称会导致市场低效。这正是加密内存池带来的必然结果。
这类低效会导致一个直接后果:价格不确定性增加,这是加密内存池引入额外延迟的直接产物。因此,因超出价格滑点容忍度而失败的交易可能会增多,进而浪费链上空间。
同样,这种价格不确定性还可能催生投机性 MEV 交易,这类交易试图从链上套利中获利。值得注意的是,加密内存池可能会让这类机会更为普遍:由于执行延迟,去中心化交易所(DEX)的当前状态变得更加模糊,这很可能导致市场效率下降,不同交易平台间出现价格差异。此类投机性 MEV 交易也会浪费区块空间,因为一旦未发现套利机会,它们往往会终止执行。
总结
本文的初衷是梳理加密内存池面临的挑战,以便人们能将精力转向其他解决方案的研发,但加密内存池仍可能成为 MEV 治理方案的一部分。
一种可行的思路是混合设计:部分交易通过加密内存池实现「盲排序」,另一部分则采用其他排序方案。对于特定类型的交易(例如大型市场参与者的买卖订单,他们有能力精心加密或填充交易,并愿意为规避 MEV 支付更高成本),混合设计可能是合适的选择。对于高度敏感的交易(如针对存在漏洞的安全合约的修复交易),这种设计也具有实际意义。
然而,由于技术局限、高昂的工程复杂度和性能开销,加密内存池不太可能成为人们所期待的「MEV 万能解决方案」。社区需要开发其他方案,包括 MEV 拍卖、应用层防御机制和缩短最终确认时间等。MEV 在未来一段时间内仍将是一项挑战,需要通过深入研究找到各类解决方案的平衡点,以应对其负面影响。
