原文作者:Pranav Garimidi、Joseph Bonneau、Lioba Heimbach,a16z
原文編譯:Saoirse,Foresight News
在區塊鏈裡,透過決定哪些交易打包進區塊、哪些排除在外,或是調整交易的順序來賺錢,這種能賺到的最大價值就叫「最大可提取價值」,簡稱MEV。 MEV 在大多數區塊鏈中都普遍存在,一直是業界廣泛關注和討論的話題。
註:本文預設讀者已對MEV 有基本了解。部分讀者可先閱讀我們的MEV 科普文章。
眾多研究人員在觀察MEV 現象時,都提出了一個明確的問題:加密技術能否解決這個問題?其中一個方案是採用加密記憶體池:用戶廣播加密後的交易,這些交易僅在完成排序後才會被解密揭露。如此一來,共識協議就必須「盲選」交易順序,這似乎能防止在排序階段利用MEV 機會獲利。
但遺憾的是,無論是從實際應用還是理論層面來看,加密記憶體池都無法為MEV 問題提供通用解決方案。本文將闡述其中的困難點,並探討加密記憶體池的可行性設計方向。
加密記憶體池的工作原理
關於加密記憶體池已有許多提案,但它的通用框架如下:
用戶廣播加密後的交易。
加密交易提交至鏈上(部分提案中,交易需先經過可驗證的隨機洗牌)。
當包含這些交易的區塊最終確認後,交易被解密。
最後執行這些交易。
需要注意的是,步驟3 (交易解密)有一個關鍵問題:由誰負責解密?如果解密未能完成該怎麼辦?一個簡單的想法是讓用戶自行解密自己的交易(這種情況甚至無需加密,只需隱藏承諾即可)。但這種方式存在漏洞:攻擊者可能實施投機性MEV。
在投機性MEV 中,攻擊者會猜測某筆加密交易蘊含MEV 機會,隨後加密自己的交易並試圖將其插入到有利位置(例如目標交易的前後)。若交易按預期順序排列,攻擊者便會解密並透過自己的交易提取MEV;若未達預期,他們會拒絕解密,其交易也不會被納入最終區塊鏈。
或許可以對解密失敗的使用者施加懲罰,但這機制的實施難度極高。原因在於:所有加密交易的懲罰力道必須統一(畢竟加密後無法區分交易),且懲罰需夠嚴厲,即便麵對高價值目標也能遏止投機性MEV。這會導致大量資金被鎖定,且這些資金需保持匿名性(以避免洩漏交易與用戶的關聯)。更棘手的是,若因程式漏洞或網路故障導致真實用戶無法正常解密,他們也會因此蒙受損失。
因此,大多數方案建議對交易進行加密時,需確保其在未來某一時刻必然可解密,即便交易發起用戶離線或拒絕配合。此目標可透過以下幾種方式實現:
可信任執行環境(TEEs):使用者可將交易加密至由可信任執行環境(TEE)安全區持有的金鑰。在一些基礎版本中,TEE 僅用於在特定時間點後解密交易(這要求TEE 內部具備時間感知能力)。更複雜的方案則讓TEE 負責解密交易並建構區塊,並依據到達時間、費用等標準對交易排序。與其他加密記憶體池方案相比,TEE 的優勢在於能直接處理明文交易,透過過濾掉會回滾的交易減少鏈上冗餘資訊。但該方法的短板是依賴硬體可信度。
秘密共享與閘限加密(Secret-sharing and threshold encryption):在此方案中,使用者將交易加密至某一金鑰,該金鑰由特定委員會(通常是驗證者的子集)共同持有。解密需滿足某一門限條件(例如,委員會中三分之二成員同意)。
採用門限解密時,信任的載體從硬體轉變為委員會。支持者認為,既然大多數協議在共識機制中已默認驗證者俱備「誠實多數」特性,那麼我們也可做出類似假設,即多數驗證者會保持誠實,不會提前解密交易。
然而,這裡需要注意一個關鍵區別:這兩種信任假設並非同一概念。區塊鏈分叉等共識失敗具有公開可見性(屬於「弱信任假設」),而惡意委員會私下提前解密交易不會留下任何公開證據,這種攻擊既無法被檢測,也無法對其進行懲罰(屬於「強信任假設」)。因此,儘管從表面上看,共識機制與加密委員會的安全假設似乎一致,但在實際操作中,「委員會不會合謀」這一假設的可信度要低得多。
時間鎖定與延遲加密(Time-lock and delay encryption):作為閘限加密的替代方案,延遲加密的原理是:使用者將交易加密至某個公鑰,而該公鑰對應的私鑰則隱藏在一個時間鎖定謎題中。時間鎖定謎題是一種封裝秘密的密碼學謎題,其秘密內容需在預設時間過後才能被揭曉,更具體地說,解密過程需要反覆執行一系列無法並行化的計算。在這種機制下,任何人都能解開謎題以獲取金鑰並解密交易,但前提是完成一段設計耗時足夠長的緩慢(本質上是串行執行的)計算,確保交易在最終確認前無法被解密。這種加密原語的最強形式是透過延遲加密技術公開產生此類謎題;也可透過可信任委員會借助時間鎖定加密來近似實現這一過程,不過此時其相對門限加密的優勢已值得商榷。
無論是採用延遲加密還是由可信任委員會執行計算,這類方案都面臨諸多實際挑戰:首先,由於延遲本質上依賴計算過程,難以確保解密時間的精確性;其次,這些方案需依賴特定實體運行高性能硬體來高效解算謎題,儘管任何人都能承擔這一角色,但如何激勵該主體參與仍不明確;最後,在這類設計中,所有廣播的交易都會被解密到區塊中,所有廣播的交易都會被解密。而基於門限(或見證加密)的方案則有可能只解密那些成功被包含的交易。
見證加密(Witness encryption):最後一種最先進的密碼學方案是採用「見證加密」技術。從理論上講,見證加密的機制是:將資訊加密後,只有知曉特定NP 關係對應「見證訊息」的人,才能對其進行解密。例如,資訊可加密為:只有能解出某道數獨謎題,或能提供某一數值哈希原像的人,才能完成解密。
(註:NP 關係是「問題」與「能快速驗證的答案」之間的對應關係)
對於任何NP 關係,都可透過SNARKs 實現類似邏輯。可以說,見證加密本質上是將資料加密為僅讓能透過SNARK 證明滿足特定條件的主體可解密的形式。在加密記憶體池場景中,這類條件的一個典型例子是:交易只有在區塊最終確認後才能被解密。
這是一種極具潛力的理論原語。實際上,它是一種通用性方案,基於委員會的方法和基於延遲的方法都只是其具體應用形式。遺憾的是,目前我們尚未有任何可實際落地的基於見證的加密方案。此外,即便有這樣的方案,也很難說它在權益證明鏈中能比基於委員會的方法更具優勢。即便將見證加密設定為「僅當交易在最終確定的區塊中完成排序後才可解密」,惡意委員會仍能私下模擬共識協議來偽造交易的最終確認狀態,再以這條私有鏈作為「見證」來解密交易。此時,由同一委員會採用門限解密既能達到同等安全性,操作也簡單許多。
不過,在工作量證明共識協定中,見證加密的優勢更為顯著。因為即便委員會完全惡意,也無法在當前區塊鏈頭部私下挖掘多個新區塊來偽造最終確認狀態。
加密記憶體池面臨的技術挑戰
多項實際挑戰制約著加密記憶體池防範MEV 的能力。整體而言,資訊保密本身就是一項難題。值得注意的是,加密技術在Web3 領域的應用並不廣泛,但我們在網路(如TLS/HTTPS)和私密通訊(從PGP 到Signal、WhatsApp 等現代加密訊息平台)中部署加密技術的數十年實踐,已充分暴露了其中的難點:加密雖是保護機密性的工具,卻無法做到絕對保障。
首先,某些主體可能直接取得用戶交易的明文資訊。在典型場景中,用戶通常不會自行加密交易,而是將這項工作委託給錢包服務商。如此一來,錢包服務商便能接觸到交易明文,甚至可能利用或出售這些資訊來提取MEV。加密的安全性,始終取決於所有能接觸到金鑰的主體。密鑰的掌控的範圍,就是安全的邊界。
除此之外,最大的問題在於元數據,也就是加密負荷(交易)週邊的未加密資料。搜尋者可利用這些元資料推測交易意圖,進而實施投機性MEV。要知道,搜尋者無需完全理解交易內容,也不必每次都猜對。例如,只要他們能以合理機率判斷某筆交易是來自特定去中心化交易所(DEX)的買單,就足以發動攻擊。
我們可將元資料分為幾類:一類是加密技術固有的經典難題,另一類則是加密記憶體池特有的問題。
交易大小:加密本身無法隱藏明文的大小(值得注意的是,語意安全的正式定義中明確將明文大小的隱藏排除在外)。這是加密通訊中常見的攻擊向量,典型案例是,即便經過加密,竊聽者仍能透過視訊串流中每個資料包的大小,即時判斷Netflix 上正在播放的內容。在加密記憶體池中,特定類型的交易可能具有獨特大小,從而洩露資訊。
廣播時間:加密同樣無法隱藏時間資訊(這是另一個經典攻擊向量)。在Web3 場景中,某些發送方(如結構化拋售場景)可能會以固定間隔啟動交易。交易時間也可能與其他資訊相關聯,例如外部交易所的活動或新聞事件。更隱密的時間資訊利用方式是中心化交易所(CEX)與去中心化交易所(DEX)的套利:排序者可透過插入盡可能晚創建的交易,利用最新的CEX 價格資訊;同時,排序者可排除在某一時間點後廣播的所有其他交易(即便加密),確保自己的交易獨享最新價格優勢。
來源IP 位址:搜尋者可透過監控點對點網路、追蹤來源IP 位址來推斷交易發送者身分。這一問題在比特幣早期就已被發現(至今已逾十年)。若特定發送方有固定行為模式,這對搜尋者而言極具價值。例如,在知曉發送者身分後,可將加密交易與已解密的歷史交易關聯。
交易發送者與費用/ gas 資訊:交易費用是加密記憶體池特有的元資料類型。在以太坊中,傳統交易包含鏈上發送者地址(用於支付費用)、最大gas 預算以及發送者願意支付的單位gas 費用。與來源網路位址類似,發送者位址可用於關聯多筆交易及現實實體;gas 預算則能暗示交易意圖。例如,與特定DEX 互動可能需要可識別的固定gas 量。
複雜的搜尋者可能會結合上述多種元資料類型來預測交易內容。
理論上,這些資訊都可隱藏,但需付出效能與複雜度的代價。例如,將交易填入標準長度可隱藏大小,卻會浪費頻寬和鏈上空間;發送前增加延遲可隱藏時間,卻會增加延遲;透過Tor 等匿名網路提交交易可隱藏IP 位址,但這又會帶來新的挑戰。
最難隱藏的元數據是交易費用資訊。加密費用資料會為區塊建構者帶來一系列問題:首先是垃圾資訊問題,若交易費用資料被加密,任何人都可廣播格式錯誤的加密交易,這些交易雖會被排序,但無法支付費用,解密後無法執行卻無人能被追責。這或許可證透過SNARKs 解決,即證明交易格式正確且資金充足,但會大幅增加開銷。
其次是區塊建構與費用拍賣的效率問題。建構者依賴費用資訊來創建利潤最大化的區塊,並確定鏈上資源的當前市場價格。加密費用資料會破壞這個過程。一種解決方案是為每個區塊設定固定費用,但這在經濟上低效,也可能催生交易打包的二級市場,違背加密記憶體池的設計初衷。另一種方案是透過安全多方計算或可信任硬體進行費用拍賣,但這兩種方式成本極高。
最後,安全的加密記憶體池會從多方面增加系統開銷:加密會增加鏈的延遲、計算量和頻寬消耗;如何與分片或並行執行等重要未來目標結合,目前尚不明確;還可能為活性(liveness)引入新的故障點(如門限方案中的解密委員會、延遲函數求解器);同時,設計與實現複雜度也會顯著上升。
加密記憶體池的許多問題,與旨在保障交易隱私的區塊鏈(如Zcash、Monero)面臨的挑戰相通。若說有什麼正面意義,那便是:解決加密技術在MEV 緩解中的所有挑戰,將順帶為交易隱私掃清障礙。
加密記憶體池面臨的經濟挑戰
最後,加密記憶體池還面臨經濟層面的挑戰。與技術挑戰不同,後者可透過足夠的工程投入逐步緩解。這些經濟挑戰屬於根本性限制,解決難度極大。
MEV 的核心問題源自於交易創作者(使用者)與MEV 機會挖掘者(搜尋者和區塊建構者)之間的資訊不對稱。用戶通常不清楚自己的交易中蘊含多少可提取價值,因此即便存在完美的加密記憶體池,他們仍可能被誘導洩漏解密金鑰,以換取一筆低於實際MEV 價值的報酬,這種現象可稱為「激勵性解密」。
這種場景並不難想像,因為類似機制如MEV Share,已在現實中存在。 MEV Share 是一種訂單流拍賣機制,允許用戶選擇性地向一個池中提交交易訊息,搜尋者透過競爭獲取利用該交易MEV 機會的權利。得標者在提取MEV 後,會將部分收益(即投標金額或其一定比例)退還給用戶。
此模式可直接適配加密記憶體池:使用者需揭露解密金鑰(或部分資訊)才能參與。但多數用戶意識不到參與此類機制的機會成本,他們只看到眼前的回報,便樂於洩漏資訊。傳統金融中也有類似案例:例如零佣金交易平台Robinhood,其獲利模式正是透過「訂單流支付」(payment-for-order-flow)向第三方出售用戶訂單流。
另一個可能的場景是:大型建構者以審查為由,強制使用者揭露交易內容(或相關資訊)。抗審查性是Web3 領域一個重要且具爭議的議題,但如果大型驗證者或建構者受法律約束(如美國外國資產管制辦公室OFAC 的規定)需執行審查清單,他們可能會拒絕處理任何加密交易。從技術上來看,用戶或許可透過零知識證明來證實其加密交易符合審查要求,但這會增加額外成本與複雜度。即便區塊鏈具備強抗審查性(確保加密交易必然被收錄),建構者仍可能優先將已知明文的交易置於區塊前端,而將加密交易排在最後。因此,那些需要確保執行優先順序的交易,最終可能還是被迫向建構者揭露內容。
其他效率方面的挑戰
加密記憶體池會透過多種明顯方式增加系統開銷。用戶需對交易進行加密,系統還需以某種方式解密,這會增加計算成本,也可能增加交易體積。如前所述,處理元資料會進一步加劇這些開銷。然而,還有一些效率成本卻不那麼顯而易見。在金融領域,若價格能反映所有可用信息,市場便被視為有效;而延遲與信息不對稱會導致市場低效。這正是加密記憶體池帶來的必然結果。
這類低效率會導致一個直接後果:價格不確定性增加,這是加密記憶體池引入額外延遲的直接產物。因此,因超出價格滑點容忍度而失敗的交易可能會增多,進而浪費鏈上空間。
同樣,這種價格不確定性也可能催生投機性MEV 交易,這類交易試圖從鏈上套利中獲利。值得注意的是,加密記憶體池可能會讓這類機會更為普遍:由於執行延遲,去中心化交易所(DEX)的當前狀態變得更加模糊,這很可能導致市場效率下降,不同交易平台間出現價格差異。此類投機性MEV 交易也會浪費區塊空間,因為一旦未發現套利機會,它們往往會終止執行。
總結
本文的初衷是梳理加密記憶體池面臨的挑戰,讓人們能將精力轉向其他解決方案的研發,但加密記憶體池仍可能成為MEV 治理方案的一部分。
一個可行的想法是混合設計:部分交易透過加密記憶體池實現「盲排序」,另一部分則採用其他排序方案。對於特定類型的交易(例如大型市場參與者的買賣訂單,他們有能力精心加密或填充交易,並願意為規避MEV 支付更高成本),混合設計可能是合適的選擇。對於高度敏感的交易(如針對存在漏洞的安全合約的修復交易),這種設計也具有實際意義。
然而,由於技術限制、高昂的工程複雜度和效能開銷,加密記憶體池不太可能成為人們所期待的「MEV 萬能解決方案」。社群需要開發其他方案,包括MEV 拍賣、應用層防禦機制和縮短最終確認時間等。 MEV 在未來一段時間內仍將是一項挑戰,需要透過深入研究找到各類解決方案的平衡點,以應對其負面影響。
