通过在区块中包含、排除或重新排序交易所获得的价值,称为“最大可提取价值”(MEV)。MEV 在主流区块链中普遍存在,也是社区广泛关注和讨论的热点议题。
说明:本文假设您已具备 MEV 的基础知识。如需基础介绍,建议先阅读我们的MEV 基础指南。
许多研究者在研究 MEV 现象时提出了同一个核心问题:密码学是否能够彻底解决 MEV?其中一种技术路径是引入加密内存池——即用户广播加密的交易内容,只有在确定排序后才公开。这样共识协议需要在无法获知交易细节的情况下完成交易排序,从而理论上阻止区块构建者在排序过程中捕捉 MEV 机会。
但从实际和理论层面看,加密内存池难以为 MEV 提供万能解决方案。本文将分析这些难点,并探讨当前加密内存池的主流设计。
加密内存池的运作机制
业界关于加密内存池有诸多创新方案,但基本框架一般包括以下步骤:
- 用户广播已加密的交易。
- 加密交易被记入区块(部分方案要求先随机洗牌并可验证)。
- 区块最终确定后,进入解密流程。
- 最终执行解密所得交易。
其中第 3 步的交易解密提出了关键挑战:由谁负责解密?如无人解密又该如何处理?最直观的办法是让用户自己负责解密(如此甚至无需真正加密,仅隐藏交易承诺即可),但这种方案极易被攻击者通过投机 MEV利用。
在投机型 MEV 攻击下,攻击者猜测某笔加密交易可能带来 MEV,随后向内存池加密广播自己的交易,力图使其在目标交易前后排序。若排序如其所愿,攻击者就解密并套取 MEV;若排序不理想,则拒绝解密,使其交易最终不被链收录。
有学者提出可对“拒绝解密”的行为设立惩罚。但实际实现非常困难。首先,惩罚标准需对所有加密交易一致(否则会泄露身份),其次惩罚额度又必须足够高,以遏制高价值 MEV 攻击。这要求锁定大额而且是匿名资金。并且,一旦遇到网络等偶发故障,守法用户也会因此受到损失。
因此,主流方案建议以确保无论用户是否在线或是否配合,所需交易都能被及时解密为目标。对应的技术实现有如下几类:
可信执行环境(TEE):用户将交易加密到一个由可信执行环境(TEE)管理的密钥上。在部分简单版本中,TEE 仅在达到指定时间后解密;更复杂的实现则由 TEE 解密并据到达时间或手续费等标准排序。与其他加密方案相比,TEE 允许在明文层直接处理交易,并能高效防止垃圾交易,但需完全信任硬件基础。
秘密共享与门限加密:此方案下用户将交易加密到一个由委员会(一般为部分验证者)分散保管的密钥。解密需达特定门限(如三分之二成员同意)。
最基础做法,每轮新生成密钥(如每区块或每个 epoch(时期/轮次)),在区块排序确定后由委员会重建并公开密钥以解密。这可用常规秘密共享实现,但会泄露所有未入区块的交易内容,且每轮都要执行去中心化密钥生成协议(DKG)。
更优隐私方案是仅解密实际被收录的交易,通过门限解密达成。同时,这一方案还可将 DKG 协议摊薄成本——一把密钥可用于连续多轮,由委员会在区块最终排序后门限解密。缺点是委员会解密任务大幅增加,规模增长显著。最新进展显示批量门限解密有望大幅提升效率。
采用门限解密后,系统信任重心转向委员会。理论依据是主流区块链本就依赖共识委员会大多数成员诚实,因此亦可假定不会提前解密交易。但需谨慎:共识失效(如分叉)可被全网察觉(为弱信任假设),而委员会私自提前解密完全无公开痕迹(为强信任假设),难以定位并追责。因此,门限解密方案与共识委员会的安全假设在实际中并非等价。
时间锁/延迟加密:门限加密的替代方案是延迟加密。用户将交易加密到带时锁的公钥,其中私钥通过时间锁谜题隐藏。谜题需持续串行(不可并行)运算到设定时长才能揭开。任何人都可算出密钥并解密交易,前提是区块已最终确定。延迟加密技术可公开生成此类谜题,也可通过可信委员会协作实现,但此时与门限加密优势有限。
无论采用哪种方案,都存在难以保证精确解密时机、依赖高性能硬件、激励机制尚未明确等实际难题。同时,这类方案往往会解密所有被广播的交易,包括未进区块的,隐私性不及门限加密。此外,门限加密、见证加密等则有望只解密实际入区块的交易。
见证加密(Witness Encryption):最前沿的密码学技术是见证加密。理论上,该技术允许仅由掌握某类 NP 关系解(见证)的参与方解密。例如,设定某个数独谜题的解为门槛,或拥有某哈希值原像即可解密。
理论上,任何 NP 关系都可由 SNARK(简洁非交互式知识论证)等零知识证明支持。见证加密可以理解为:数据仅面向能给出特定零知识证明条件者开放。在加密内存池场景下,可以设定交易只有在区块最终确定后才能被解密。
该技术极为强大,已概括现有的委员会、时间锁等派生方案。但当前业界缺乏实用型见证加密实现。哪怕未来能实现,其安全性改进在权益证明链上也很有限。即便限定需区块排序后才能解密,恶意委员会仍可私下模拟共识流程、让某区块“最终确定”,进而拿私有链作为见证提前解密。此时直接用门限解密方案反而更高效。
而在工作量证明链上,见证加密优势明显,因为恶意委员会几乎不可能私矿多区块来模拟终局性。
加密内存池的技术难点
多项现实问题制约加密内存池防 MEV 的效果。信息保密极为困难。值得注意的是,Web3 世界很少用到传统加密技术;而互联网加密(如 TLS/HTTPS)、隐私通信(如 PGP、Signal、Whatsapp)几十年实践已经暴露了诸多部署难点。加密虽能够强化隐私,但远谈不上绝对保障。
首先,有些角色可直接访问用户明文交易。最常见情形是由钱包服务端代为加密,这导致钱包方拥有明文并可能转售获利。加密的安全强度永远取决于掌控密钥的主体。
更大难题来自元数据——即交易负载之外的明文信息。这些数据不经加密,搜索者可据此推测交易意图并实施投机 MEV。事实上,搜索者无需完全解读交易,仅需判断其为特定 DEX 买单等即可。
主要可归纳为以下类别元数据,其中有些属于加密通信领域的经典难题,也有些是加密内存池特有的情况:
- 交易数据包大小:通常加密不会隐藏明文大小(业界语义安全定义中特意排除“明文长度不可见”),攻击者可据此判别类型。举例来说,有研究仅凭 Netflix 数据包体积,就能实时识别正在播放的影片(参考文献)。在加密内存池下,特定类型交易往往具有固定长度,从而泄漏意图。
- 广播时间:加密难以隐藏交易时间戳(另一个典型攻击入口)。如做市商等特定类型的交易者会定时广播交易,时间信息可与外部变化相关联。CEX/DEX 套利场景下,排序者可插入最晚生成的交易,排除时间点之后的所有其他交易(无论是否加密),从而独享最新市场价机会。
- 源 IP 地址:监听 P2P 网络并分析源地址,搜索者可识别发送者身份,进而将加密交易与解密历史相关联。该问题早在比特币初期就被学界关注。
- 发送者地址与手续费信息:手续费信息是加密内存池中特有的元数据类型。在以太坊等公链,交易包含发送方地址(支付手续费)、最大 gas 限额以及单价。地址及 gas 限额可曝光行为模式及关联身份,甚至推导交互目标。
高级搜索者可将多种元数据结合,提升内容预测准确率。
所有这些元数据理论可遮蔽,但需付出现实性能和系统复杂度沉重代价。例如,统一填充交易长度可隐藏包大小但浪费带宽和存储;引入发送延迟可隐藏时间但显著降低响应速度;通过 Tor 等匿名网络广播能隐藏源 IP,但也面临新问题。
手续费信息是最难隐藏的。若将其加密,区块构建者面对两大挑战。首先是垃圾交易泛滥——加密后任何人都能广播垃圾交易并参与排序,解密却无法入链,且无法惩罚。理论上可用 SNARK(简洁非交互式知识论证)证明交易有效性和资金充足,但会大幅增加系统负担。
其次是高效构建区块及手续费拍卖。手续费本是决定区块排序和链上资源定价的关键,加密后无法对交易排序和确定合理市场价格。每区块设定统一手续费虽能绕过,但会降低经济效率并衍生二级市场套利。本可用安全多方计算或可信硬件进行拍卖,实际成本高昂。
最后,安全的加密内存池会增加系统整体开销,包括延迟、算力、带宽压力等。与分片、并行执行等公链未来目标结合的解决方案尚未明朗。此外,还可能引入新的运作风险(如门限方案下的解密委员会失效或延迟加密计算过程被阻断)。整体来看,系统复杂度和维护成本明显提升。
这些问题也困扰追求极致隐私的区块链(如 Zcash、门罗币)。如果破解 MEV 相关加密难题,无疑也会极大助力交易隐私进步。
加密内存池的经济层面难题
加密内存池面临基础性的经济挑战。不同于可以通过工程努力逐步缓解的技术难题,经济问题更为根本且难以规避。
MEV 的核心在于用户交易行为与搜索者、区块构建者认知之间的信息不对称。用户大多无法准确评估交易被提取的 MEV 数额。即便拥有完美加密内存池,用户仍有可能被激励以远低于 MEV 价值的价格出售解密密钥或相关信息给区块构建者,这类现象可称为“激励型解密”。
业界已有类似实践,如 MEV Share 订单流拍卖,用户可以部分披露交易数据,供搜索者竞争捕捉 MEV 机会,中标者将部分利润返还给用户。
若将该模式引入加密内存池,用户参与的门槛未必降低,大众用户往往只关注即时补偿而忽略实际机会成本。传统金融如 Robinhood 等零佣券商同样通过“订单流售卖”模式获利。
此外,大型区块构建者可能因合规或审查要求,强制用户披露部分交易内容。抗审查属性在 web3 世界备受关切。若大型构建方需执行合规审查名单(如 OFAC),可能拒绝排序所有加密交易。理论上可通过零知识证明证明交易合规,但实际成本和复杂度极高。即便区块链具备极强抗审查能力,区块构建者也可优先处理明文交易,将加密交易排序靠后。需要强执行保障的用户最终或仍需披露交易内容。
其他效率难题
加密内存池会明显增加系统负担。用户需先加密,网络后解密,带来算力和存储开销,交易体积也会增大。针对元数据隐私的处理会进一步加重系统负担。更隐蔽的效率损失体现在市场效率下降和信息时延——金融学定义中,市场只有价格能反映全部信息才算高效,但加密内存池天然带来信息延迟和不对称,导致实际效率下降。
直接表现为交易因价格滑点容忍度而失败的概率提升,区块空间浪费也增多。
同样,这种市场不确定性会带来更多投机 MEV 交易,且加密内存池的交易延迟和市场状态模糊加剧价格差异,反而扩大套利空间,浪费区块资源。
尽管本文主要希望厘清加密内存池面临的挑战,以便行业聚焦多样性探索。但加密内存池或仍能作为局部解决方案参与 MEV 防御体系。
一种思路是混合方案:部分交易采用加密内存池盲排序,部分采用常规方案。对大额或高度敏感业务,用户可为防范 MEV 主动加密、填充并支付更高手续费,对安全合约漏洞修复等特殊应用也适合使用混合方案。
但总体而言,由于加密内存池技术限制、工程复杂与性能损耗,现阶段难以成为 MEV 的万能解决方案。社区还需发展其他防御思路,如 MEV 拍卖、应用层防护及缩短终局时间。MEV 问题难以短期消除,未来还需持续权衡各种机制以最大化风险控制。
Pranav Garimidi,a16z Crypto 研究助理,研究区块链机制设计与算法博弈论,关注区块链体系内激励互动。在加入 a16z 前,毕业于哥伦比亚大学计算机科学专业。
Joseph Bonneau,纽约大学库朗数学研究所计算机系副教授、a16z crypto 技术顾问,专注于应用密码学与区块链安全。在墨尔本大学、纽约大学、斯坦福大学、普林斯顿大学开设过加密货币课程,拥有剑桥大学计算机博士和斯坦福学士、硕士学位。
Lioba Heimbach,苏黎世联邦理工学院分布式计算实验室四年级博士生,师从 Roger Wattenhofer 教授,研究重点为区块链协议和去中心化金融(DeFi),致力于推动包容性、公平、高效的区块链及 DeFi 生态。2024 年夏季曾在 a16z crypto 实习。
文中观点仅为 AH Capital Management, L.L.C.(a16z)有关人员个人意见,不代表 a16z 或其关联方立场。部分内容来自第三方数据,包括 a16z 投资组合企业。a16z 虽认为来源可靠,但未独立核实,不保证所载信息及时准确及适用性。文中或含第三方广告,a16z 未审核且不认可其内容。
本文仅供参考,不构成法律、商业、投资或税务建议。如需相关意见请咨询专业顾问。提及的证券或数字资产均为举例说明,不构成任何投资建议或投资管理服务要约。本文不面向任何投资人或准投资人,亦不得作为投资 a16z 管理基金的依据。a16z 基金投资详情(不含未授权披露及未披露数字资产投资)可见:https://a16z.com/investments/。
所有内容仅反映文章发布日期时的观点。所有预测、估算、目标及观点如有调整,恕不另行通知,亦可能与其他公开意见相左。详情见:https://a16z.com/disclosures。
免责声明:
- 本文转载自 [a16zcrypto],版权归原作者 [Pranav GarimidiJoseph BonneauLioba Heimbach] 所有。如对转载有异议,请及时联系 Gate Learn 团队,我们将及时处理。
- 免责声明:本文仅为作者个人观点,不构成任何投资建议。
- 本文译文由 Gate Learn 团队翻译,除非特别说明,禁止转载、摘编或抄袭。
