關於加密內存池的限制

通過包含、排除或重新排序區塊中的交易所能提取的價值被稱爲“最大可提取價值，或MEV. MEV在大多數區塊鏈上很常見，並且一直是社區廣泛關注和討論的話題。

注意：本文假定讀者對MEV有基本的了解。一些讀者可能希望先閱讀我們的MEV 解釋器.

許多研究人員在觀察MEV情況時，提出了一個顯而易見的問題：密碼學能解決這個問題嗎？一種方法是加密內存池，用戶廣播加密交易，這些交易在排序後才會被揭示。因此，一個共識協議必須盲目地承諾交易排序，似乎在排序過程中防止利用MEV機會。

不幸的是，由於實際和理論原因，我們並不認爲加密內存池能夠提供針對MEV的普遍解決方案。我們概述了這些困難，並探討了加密內存池可能的設計方案。

加密內存池是如何工作的

關於加密內存池，已經提出了許多方案，但加密內存池的一般框架如下：

1. 用戶廣播他們的加密交易。
2. 加密交易在鏈上被提交（在某些提案中，在被可證明隨機洗牌)
3. 在提交的區塊被確認後，交易會被解密。
4. 最後，交易被執行。

請注意，步驟3（交易解密）提出了一個重要的挑戰：誰來解密，如果解密沒有發生怎麼辦？一種天真的解決方案是讓用戶自己解密他們的交易（在這種情況下，甚至不需要加密，而可以簡單地隱藏承諾）。然而，這種方法是脆弱的：攻擊者可以執行投機性MEV.

在投機性MEV中，攻擊者試圖猜測某個加密交易產生了一些MEV。他們加密自己的交易，希望這些交易能出現在一個恰當的位置（例如，在目標交易之前或之後）。如果交易按照預期的順序排隊，攻擊者就會解密他們的交易，並提取MEV。如果沒有，他們選擇不解密，並且他們的交易不會被包含在最終鏈中。

用戶可能會因爲未能解密而面臨一些處罰，但這很難實施。處罰需要對所有加密交易相同（因爲它們是加密的，因此無法區分），但也需要足夠大，以阻止針對高價值目標的投機性 MEV。這將需要佔用大量資金，而這些資金應該是匿名的（以避免泄露有關哪些交易由哪些用戶發布的信息）。如果發生錯誤或網路故障，導致他們合法解密的嘗試失敗，這將最終使誠實的用戶付出代價。

因此，大多數提案建議以一種方式對交易進行加密，以確保在未來的某個時刻能夠解密——即使發布用戶離線或不合作。這可以通過幾種方式實現：

TEEs：用戶可以將他們的交易加密到由受信執行環境（TEE) 區域。在一些簡單的版本中，TEE僅用於在某個時間截止後解密交易（這需要在TEE內有某種時間概念）。更高級的方法使用TEE解密交易並構建區塊，按照到達時間或費用等某些標準對它們進行排序。與其他加密內存池方法相比，TEE的一個優勢是它們能夠處理明文交易，從而通過過濾掉那些會回滾的交易來減少鏈上垃圾信息。然而，這種方法需要對硬件的信任。

祕密共享和閾值加密：通過這種方法，用戶將交易加密到一個由某個委員會共享的密鑰上，通常是驗證者的一個子集。解密需要一些閾值（例如，委員會的三分之二）。

最簡單的方法是在每一輪（例如，以太坊上的每個區塊或時期）使用一個新的共享解密密鑰，委員會在交易按最終區塊排序後重建並發布該密鑰。這種方法可以使用簡單的祕密共享。缺點是這會暴露內存池中的所有交易，即使那些沒有被包含在區塊中的交易。這種方法還需要在每一輪中進行新的分布式密鑰生成（DKG）。

一種更好的隱私保護方法是僅解密實際包含的交易。這可以通過閾值解密來實現。這種方法還可以使DKG協議的成本攤銷，但使用相同的密鑰處理多個區塊，委員會在最終區塊中對交易進行閾值解密。一個挑戰是委員會需要做更多的工作。簡單來說，委員會的工作量與需要解密的交易數量成線性關係，盡管最近工作建議批量閾值解密，這可以顯著改進這一點。

通過門限解密，信任從一件硬件轉移到一個委員會。聲明是，由於大多數協議已經對共識協議的驗證者做出了誠實多數的假設，我們可以做出類似的假設，即大多數驗證者是誠實的，不會提前解密交易。然而，需要謹慎的是：這些並不是相同的信任假設。共識失敗，如鏈分叉，是公開可見的（稱爲弱信任假設），而惡意委員會提前私下解密交易將不會生成任何公開證據，因此這樣的攻擊無法被檢測或削減（強信任假設）。因此，盡管從外部來看，共識和加密委員會的安全假設可能看起來相同，但實際考慮使得假設委員會不會合謀變得更加脆弱。

時間鎖和延遲加密：一種替代閾值加密的方法是延遲加密。用戶將他們的交易加密爲一個公鑰，其私鑰隱藏在一個時間鎖定的難題中。時間鎖定的難題是一種加密難題，它封裝了一個祕密，只有在經過預定的時間後才能被揭示——更具體地說，該難題可以通過反復執行一些不可並行的計算來解密。在這種情況下，任何人都可以打開這個難題以恢復密鑰和解密交易，但只有在經過一個緩慢（本質上是順序的）計算後，設計的時間足夠長，以至於在交易完成之前無法解密。這個原語的最強版本使用延遲加密公開生成這樣的難題。還可以通過使用可信委員會通過時間鎖加密計算難題來進行近似，盡管在那時，閾值加密的優勢是值得懷疑的。

無論是通過延遲加密還是由可信委員會進行計算，都存在一些實際挑戰。首先，由於延遲本質上是計算性的，因此確保解密的精確時機更爲困難。其次，這些方案依賴某個實體運行復雜的硬件以高效解決難題。雖然任何人都可以擔任這個角色，但如何激勵這一方卻不清楚。最後，在這些設計中，所有廣播交易都會被解密，包括那些從未在區塊中最終確定的交易。基於門限（或見證加密）的解決方案可能僅能解密成功包含的交易。

見證加密。最後，最先進的加密方法使用一種叫做見證加密. 從理論上講，見證加密允許將信息加密給任何知道特定 NP 關係的見證的人。例如，可以加密，使得任何擁有某個數獨難題解答的人，或者任何擁有某個值的哈希逆像的人，都可以解密。

SNARKs 也可以用於任何 NP 關係。可以將見證加密視爲加密數據給任何能夠計算 SNARK 證明所需條件的人。對於加密的內存池，一個這樣的條件的例子是，只有在區塊被最終確定時，交易才能被解密。

這是一個非常強大的理論原語。事實上，它是一個概括，其中基於委員會的方法和基於延遲的方法是特定情況。不幸的是，我們沒有任何基於見證的加密的實際構造。此外，即使我們有，它也不清楚它如何在權益證明鏈上優於基於委員會的方法。即使見證加密的設置使得交易只能在它們被排序在一個最終區塊中後才能被解密，惡意委員會仍然可以私下模擬共識協議，從而使交易最終化，然後使用這個私有鏈作爲見證來解密交易。在這一點上，同一委員會使用閾值解密提供了等效的安全性，並且更簡單。

見證加密在工作量證明共識協議中提供了更具決定性的優勢，因爲即使一個完全惡意的委員會也無法在當前區塊頭上私下挖掘多個新區塊以模擬最終性。

加密內存池的技術挑戰

幾個重要的實際挑戰限制了加密內存池防止 MEV 的能力。一般來說，保持信息機密是困難的。有趣的是，加密在 web3 領域中很少被使用。但我們有數十年的實踐經驗展示了在網路（TLS/HTTPS）和私人通信（從 PGP 到現代加密消息平台如 Signal 或 Whatsapp）上部署加密的挑戰。雖然加密是保護機密性的工具，但它並不能保證機密性。

首先，可能存在與用戶交易明文直接接觸的各方。在典型情況下，用戶可能不會加密自己的交易，而是將此外包給他們的錢包提供商。因此，錢包提供商可以訪問明文交易，並可以利用或出售該信息以提取MEV。加密的安全性永遠不強於擁有密鑰的各方的集合。

除此之外，最大的問題是元數據，即圍繞加密負載（交易）的數據，這些數據是未加密的。搜索者可以利用這些元數據來推測交易的意圖，然後嘗試投機性MEV。請記住，搜索者不必完全理解交易，或者每次都正確。如果他們知道，例如，以某種合理的概率，某個交易代表來自特定去中心化交易所的買單，那就足夠了。

我們可以考慮幾種類型的元數據，其中一些是經典的加密挑戰，而另一些則是加密內存池獨有的挑戰。

• 交易大小：僅靠加密並不能隱藏加密明文的大小。（在語義安全的正式定義中，有一個臭名昭著的例外，排除了隱藏被加密明文大小的情況。）這是對加密通信的經典攻擊向量。（在一個著名的例子中，即使進行了加密，竊聽者可以決定什麼視頻通過視頻流中每個數據包的大小，正在實時通過Netflix進行流媒體傳輸。在加密內存池的上下文中，某些交易類型可能具有特定的大小，這可能泄露信息。
• 廣播時間：加密也不會隱藏時間信息（另一個經典攻擊向量). 在web3的背景下，某些發送者——例如，在結構化銷售中——可能會定期進行交易。交易時機也可能與其他信息相關，例如外部交易所的活動或新聞事件。利用時機信息的一個更微妙的方法是CEX/DEX套利。一個序列器可以通過盡可能晚地插入一個交易來獲益，利用關於CEX價格的最新信息。相同的序列器可以排除在某個時間點之後廣播的任何其他交易（即使是加密的），確保其交易單獨擁有最新的價格信息的優勢。
• 源IP地址：搜索者可能通過監控點對點網路並觀察源IP地址來推斷交易發送者的身分。這個問題實際上是十多年前被識別在比特幣的早期。這對搜索者可能很有用，如果特定的發送者有特定的模式——例如，知道發送者可能使得將一個加密交易與已經解密的先前交易關聯起來。
• 交易發送者和費用/燃氣信息：最後，交易費用代表了一種特定於加密內存池的元數據。在以太坊中，交易通常包括一個（鏈上）發送者地址，用於支付費用，以及發送者願意支付的最大燃氣預算和每單位燃氣的費用。發送者地址，類似於源網路地址，可以用來將交易連接在一起，並與現實世界實體關聯。燃氣預算可以用來估算交易的意圖。例如，與特定去中心化交易所（DEX）交互可能需要特定數量的燃氣，這是可識別的。

復雜的搜索者可能會使用上述任何組合的元數據類型來預測交易的內容。

所有這些信息可能會被隱藏，但代價是性能和復雜性。例如，將交易填充到標準限制會隱藏交易大小，但會浪費帶寬和鏈上空間。在發送消息之前添加延遲會隱藏交易時間，但會損害延遲。通過像Tor這樣的匿名網路提交交易可以隱藏發送者的IP地址，但這有其自身的挑戰.

隱藏的最困難的元數據是交易費數據。加密這些數據給構建者帶來了許多挑戰。第一個問題是垃圾郵件。如果交易費支付數據被加密，那麼任何人都可以廣播格式錯誤的加密交易，這些交易將被排序，但沒有支付費用的能力。因此，解密後它們將無法執行，但沒有任何一方可以被懲罰。這可能可以通過SNARKs解決，證明交易是格式正確且有資金的，但這將大大增加開銷。

第二個問題是高效的區塊構建和費用拍賣。構建者使用費用來構建最有利可圖的區塊，並爲鏈上資源建立當前市場價格。加密這些數據會幹擾這個過程。這可以通過在每個區塊中建立一個固定費用來解決，但這在經濟上效率低下，並可能導致交易納入的二級市場，從而削弱加密內存池的意義。使用安全的多方計算或可信硬件進行費用拍賣是可能的，但這兩者都是昂貴的步驟。

最後，安全的、加密的內存池在多個方面對系統施加了額外負擔。加密會增加延遲、計算和帶寬開銷。如何將其與分片或並行執行的支持結合起來——這些都是重要的未來目標——並不明顯。這可能會爲活性增加額外的故障點（例如，門限解決方案的解密委員會或延遲函數求解器）。而且它確實增加了設計和實施的復雜性。

許多加密內存池的問題也出現在那些旨在確保交易隱私的區塊鏈上（例如，Zcash，Monero）。如果有一點好處，那就是解決MEV減少的加密所有挑戰將作爲副作用爲交易隱私鋪平道路。

加密內存池的經濟挑戰

最後，加密內存池面臨經濟挑戰。與技術挑戰不同，技術挑戰可能通過足夠的工程努力來緩解，這些經濟挑戰是基本限制，似乎很難解決。

MEV的基本問題來自於創建交易的用戶與尋找MEV機會的搜索者和構建者之間的信息不對稱。用戶通常不知道他們的交易中可以提取多少MEV。因此，即使有一個完美加密的內存池，用戶也可能被誘導放棄他們的解密密鑰，以換取構建者支付的低於提取價值的款項。我們可以稱之爲激勵解密。

這並不難想象，因爲今天已經存在一個名爲MEV Share的版本。MEV Share是一個訂單流拍賣，允許用戶有選擇性地提交他們交易的信息到一個池中，搜索者在這裏競爭，以利用交易所提供的MEV機會。出價最高的搜索者提取MEV，並將其利潤的一部分（即出價或出價的一部分）返還給用戶。

該模型可以立即適應於一個加密的內存池空間，要求用戶透露他們的解密密鑰（或者可能只是一些部分信息）以參與。但大多數用戶不會理解參與這種方案的機會成本，只看到回報而高興地放棄他們的信息。傳統金融中也有例子（例如，像Robinhood這樣的零手續費交易服務）通過將用戶的訂單流出售給第三方來獲利，所謂的“支付訂單流”商業模式。

其他可能的情景包括大型構建者迫使用戶揭示他們的交易（或一些相關信息）以進行審查。審查韌性是web3中一個重要且有爭議的話題，但如果大型提議者和/或構建者在法律上有義務執行審查列表（例如，通過OFAC), 他們可能會拒絕對任何加密交易進行排序。技術上可能解決這個問題，如果用戶能夠生成零知識證明，證明他們的加密交易符合審查列表，但這也會增加成本和復雜性。即使鏈具有強大的審查抵抗力，確保加密交易被包含，區塊構建者仍然可能優先將他們知道的明文交易放在區塊的頂部，而將任何加密交易降級到區塊的底部。因此，希望某些執行保證的交易可能仍然被迫向構建者透露其內容。

其他效率挑戰

加密的內存池在幾個顯而易見的方面增加了系統的開銷。用戶必須加密交易，系統也必須以某種方式解密它們。這增加了計算成本，並可能增加交易大小。如上所述，處理元數據可能會使這些開銷更嚴重。然而，其他一些效率成本則不那麼明顯。在金融領域，如果價格反映了所有可用信息，則市場被認爲是有效的，而低效則源於延遲和信息不對稱——這是加密內存池的自然結果。

這些低效的一個後果是價格不確定性的增加，這是由於加密內存池引入的額外延遲所導致的。因此，由於超出價格滑點容忍度而導致的交易失敗數量可能會增加，從而浪費鏈空間。

同樣，這種價格不確定性也可能導致投機性的MEV交易，這些交易試圖從鏈上套利中獲利。重要的是，由於執行延遲，關於DEX當前狀態的不確定性增加，這些機會可能在加密內存池中更加普遍，可能會導致市場效率降低，造成各個交易場所之間的價格差異。這些類型的投機性MEV交易也會浪費區塊空間，因爲如果沒有找到這樣的機會，它們通常會中止。

我們在這裏的目標是概述加密內存池中的挑戰，以便人們可以專注於以其他方式構建和解決問題，但它們仍可能是解決MEV的一部分。

一種可能的解決方案是混合設計，其中一些交易通過加密內存池盲排序，而另一些則通過其他解決方案排序。對於某些類型的交易——例如，來自大型市場參與者的買入/賣出訂單，他們可以仔細加密/填充這些訂單，並願意支付更多以避免MEV——混合設計可能是合適的解決方案。這些設計對於某些高度敏感的交易，例如修復具有漏洞的安全合約的錯誤，也可能是合理的。

然而，由於它們的技術限制，以及顯著的工程復雜性和性能開銷，加密內存池不太可能成爲對抗MEV的靈丹妙藥，盡管有時被認爲是這樣。社區需要發展其他解決方案, 包括MEV拍賣、應用層防御和最小化最終性時間。MEV在未來一段時間內將是一個挑戰，需要仔細調查以找到管理其缺點的解決方案的正確平衡。

Pranav Garimidi是a16z Crypto的研究助理。他研究機制設計和算法博弈論在區塊鏈系統中的問題。他特別關注激勵在區塊鏈技術棧中的相互作用。在加入a16z之前，Pranav是哥倫比亞大學的學生，獲得計算機科學學位。

約瑟夫·博諾是紐約大學Courant Institute計算機科學系的副教授，也是a16z crypto的技術顧問。他的研究重點是應用密碼學和區塊鏈安全。他曾在墨爾本大學、紐約大學、斯坦福大學和普林斯頓大學教授加密貨幣課程，並獲得了劍橋大學的計算機科學博士學位以及斯坦福大學的學士/碩士學位。

Lioba Heimbach是由羅傑·瓦滕霍夫教授指導的四年級博士生，分布式計算 (Disco)蘇黎世聯邦理工學院的團隊。她的研究集中在區塊鏈協議上，特別關注去中心化金融（DeFi）。具體而言，它專注於實現一個可訪問的、去中心化的、公平的和高效的區塊鏈和DeFi生態系統。2024年夏天，她在a16z crypto擔任研究實習生。

此處表達的觀點僅代表被引用的個別 AH Capital Management, L.L.C.（“a16z”）人員的看法，並不代表 a16z 或其附屬機構的觀點。這裏包含的某些信息已從第三方來源獲取，包括來自 a16z 管理的基金的投資組合公司。雖然這些信息來自被認爲可靠的來源，但 a16z 並未獨立驗證這些信息，並且對信息的當前或持久準確性及其適用於特定情況的適當性不做任何陳述。此外，此內容可能包含第三方廣告；a16z 並未審核這些廣告，也不對其中包含的任何廣告內容表示支持。

本文僅提供信息參考，不應被視爲法律、商業、投資或稅務建議。您應諮詢自己的顧問以了解相關事宜。提及的任何證券或數字資產僅用於說明目的，且不構成投資建議或提供投資顧問服務的要約。此外，本文內容並非針對任何投資者或潛在投資者的意圖，也不得在任何情況下被依賴以決定投資於a16z管理的任何基金。（投資a16z基金的要約僅會通過私人配售備忘錄、認購協議以及任何此類基金的其他相關文件進行，並應完整閱讀。）提及、參考或描述的任何投資或投資組合公司並不代表a16z管理的所有投資，且不能保證這些投資會盈利，或未來進行的其他投資會具有類似特徵或結果。由Andreessen Horowitz管理的基金所做的投資列表（不包括發行人未提供a16z公開披露許可的投資以及未宣布的公開交易數字資產投資）可在https://a16z.com/investments/.

內容僅在所示日期有效。本材料中表達的任何預測、估算、預測、目標、前景和/或意見均可能隨時更改，恕不另行通知，並可能與他人表達的意見不同或相悖。請參見https://a16z.com/disclosures有關其他重要信息。

免責聲明:

1. 本文轉載自 [a16zcrypto]. 所有版權歸原作者所有 [普拉納夫·加裏米迪約瑟夫·博諾andy Lioba Heimbach]. 如果對這次重印有異議，請聯繫 Gate 學習團隊，他們會及時處理。
2. 免責申明：本文中表達的觀點和意見僅代表作者個人，並不構成任何投資建議。
3. 文章的翻譯由 Gate Learn 團隊完成。除非另有說明，禁止復制、分發或抄襲翻譯的文章。