关于加密内存池的限制

通过包含、排除或重新排序区块中的交易所能提取的价值被称为“最大可提取价值，或MEV. MEV在大多数区块链上很常见，并且一直是社区广泛关注和讨论的话题。

注意：本文假定读者对MEV有基本的了解。一些读者可能希望先阅读我们的MEV 解释器.

许多研究人员在观察MEV情况时，提出了一个显而易见的问题：密码学能解决这个问题吗？一种方法是加密内存池，用户广播加密交易，这些交易在排序后才会被揭示。因此，一个共识协议必须盲目地承诺交易排序，似乎在排序过程中防止利用MEV机会。

不幸的是，由于实际和理论原因，我们并不认为加密内存池能够提供针对MEV的普遍解决方案。我们概述了这些困难，并探讨了加密内存池可能的设计方案。

加密内存池是如何工作的

关于加密内存池，已经提出了许多方案，但加密内存池的一般框架如下：

1. 用户广播他们的加密交易。
2. 加密交易在链上被提交（在某些提案中，在被可证明随机洗牌)
3. 在提交的区块被确认后，交易会被解密。
4. 最后，交易被执行。

请注意，步骤3（交易解密）提出了一个重要的挑战：谁来解密，如果解密没有发生怎么办？一种天真的解决方案是让用户自己解密他们的交易（在这种情况下，甚至不需要加密，而可以简单地隐藏承诺）。然而，这种方法是脆弱的：攻击者可以执行投机性MEV.

在投机性MEV中，攻击者试图猜测某个加密交易产生了一些MEV。他们加密自己的交易，希望这些交易能出现在一个恰当的位置（例如，在目标交易之前或之后）。如果交易按照预期的顺序排队，攻击者就会解密他们的交易，并提取MEV。如果没有，他们选择不解密，并且他们的交易不会被包含在最终链中。

用户可能会因为未能解密而面临一些处罚，但这很难实施。处罚需要对所有加密交易相同（因为它们是加密的，因此无法区分），但也需要足够大，以阻止针对高价值目标的投机性 MEV。这将需要占用大量资金，而这些资金应该是匿名的（以避免泄露有关哪些交易由哪些用户发布的信息）。如果发生错误或网络故障，导致他们合法解密的尝试失败，这将最终使诚实的用户付出代价。

因此，大多数提案建议以一种方式对交易进行加密，以确保在未来的某个时刻能够解密——即使发布用户离线或不合作。这可以通过几种方式实现：

TEEs：用户可以将他们的交易加密到由受信执行环境（TEE) 区域。在一些简单的版本中，TEE仅用于在某个时间截止后解密交易（这需要在TEE内有某种时间概念）。更高级的方法使用TEE解密交易并构建区块，按照到达时间或费用等某些标准对它们进行排序。与其他加密内存池方法相比，TEE的一个优势是它们能够处理明文交易，从而通过过滤掉那些会回滚的交易来减少链上垃圾信息。然而，这种方法需要对硬件的信任。

秘密共享和阈值加密：通过这种方法，用户将交易加密到一个由某个委员会共享的密钥上，通常是验证者的一个子集。解密需要一些阈值（例如，委员会的三分之二）。

最简单的方法是在每一轮（例如，以太坊上的每个区块或时期）使用一个新的共享解密密钥，委员会在交易按最终区块排序后重建并发布该密钥。这种方法可以使用简单的秘密共享。缺点是这会暴露内存池中的所有交易，即使那些没有被包含在区块中的交易。这种方法还需要在每一轮中进行新的分布式密钥生成（DKG）。

一种更好的隐私保护方法是仅解密实际包含的交易。这可以通过阈值解密来实现。这种方法还可以使DKG协议的成本摊销，但使用相同的密钥处理多个区块，委员会在最终区块中对交易进行阈值解密。一个挑战是委员会需要做更多的工作。简单来说，委员会的工作量与需要解密的交易数量成线性关系，尽管最近工作建议批量阈值解密，这可以显著改进这一点。

通过门限解密，信任从一件硬件转移到一个委员会。声明是，由于大多数协议已经对共识协议的验证者做出了诚实多数的假设，我们可以做出类似的假设，即大多数验证者是诚实的，不会提前解密交易。然而，需要谨慎的是：这些并不是相同的信任假设。共识失败，如链分叉，是公开可见的（称为弱信任假设），而恶意委员会提前私下解密交易将不会生成任何公开证据，因此这样的攻击无法被检测或削减（强信任假设）。因此，尽管从外部来看，共识和加密委员会的安全假设可能看起来相同，但实际考虑使得假设委员会不会合谋变得更加脆弱。

时间锁和延迟加密：一种替代阈值加密的方法是延迟加密。用户将他们的交易加密为一个公钥，其私钥隐藏在一个时间锁定的难题中。时间锁定的难题是一种加密难题，它封装了一个秘密，只有在经过预定的时间后才能被揭示——更具体地说，该难题可以通过反复执行一些不可并行的计算来解密。在这种情况下，任何人都可以打开这个难题以恢复密钥和解密交易，但只有在经过一个缓慢（本质上是顺序的）计算后，设计的时间足够长，以至于在交易完成之前无法解密。这个原语的最强版本使用延迟加密公开生成这样的难题。还可以通过使用可信委员会通过时间锁加密计算难题来进行近似，尽管在那时，阈值加密的优势是值得怀疑的。

无论是通过延迟加密还是由可信委员会进行计算，都存在一些实际挑战。首先，由于延迟本质上是计算性的，因此确保解密的精确时机更为困难。其次，这些方案依赖某个实体运行复杂的硬件以高效解决难题。虽然任何人都可以担任这个角色，但如何激励这一方却不清楚。最后，在这些设计中，所有广播交易都会被解密，包括那些从未在区块中最终确定的交易。基于门限（或见证加密）的解决方案可能仅能解密成功包含的交易。

见证加密。最后，最先进的加密方法使用一种叫做见证加密. 从理论上讲，见证加密允许将信息加密给任何知道特定 NP 关系的见证的人。例如，可以加密，使得任何拥有某个数独难题解答的人，或者任何拥有某个值的哈希逆像的人，都可以解密。

SNARKs 也可以用于任何 NP 关系。可以将见证加密视为加密数据给任何能够计算 SNARK 证明所需条件的人。对于加密的内存池，一个这样的条件的例子是，只有在区块被最终确定时，交易才能被解密。

这是一个非常强大的理论原语。事实上，它是一个概括，其中基于委员会的方法和基于延迟的方法是特定情况。不幸的是，我们没有任何基于见证的加密的实际构造。此外，即使我们有，它也不清楚它如何在权益证明链上优于基于委员会的方法。即使见证加密的设置使得交易只能在它们被排序在一个最终区块中后才能被解密，恶意委员会仍然可以私下模拟共识协议，从而使交易最终化，然后使用这个私有链作为见证来解密交易。在这一点上，同一委员会使用阈值解密提供了等效的安全性，并且更简单。

见证加密在工作量证明共识协议中提供了更具决定性的优势，因为即使一个完全恶意的委员会也无法在当前区块头上私下挖掘多个新区块以模拟最终性。

加密内存池的技术挑战

几个重要的实际挑战限制了加密内存池防止 MEV 的能力。一般来说，保持信息机密是困难的。有趣的是，加密在 web3 领域中很少被使用。但我们有数十年的实践经验展示了在网络（TLS/HTTPS）和私人通信（从 PGP 到现代加密消息平台如 Signal 或 Whatsapp）上部署加密的挑战。虽然加密是保护机密性的工具，但它并不能保证机密性。

首先，可能存在与用户交易明文直接接触的各方。在典型情况下，用户可能不会加密自己的交易，而是将此外包给他们的钱包提供商。因此，钱包提供商可以访问明文交易，并可以利用或出售该信息以提取MEV。加密的安全性永远不强于拥有密钥的各方的集合。

除此之外，最大的问题是元数据，即围绕加密负载（交易）的数据，这些数据是未加密的。搜索者可以利用这些元数据来推测交易的意图，然后尝试投机性MEV。请记住，搜索者不必完全理解交易，或者每次都正确。如果他们知道，例如，以某种合理的概率，某个交易代表来自特定去中心化交易所的买单，那就足够了。

我们可以考虑几种类型的元数据，其中一些是经典的加密挑战，而另一些则是加密内存池独有的挑战。

• 交易大小：仅靠加密并不能隐藏加密明文的大小。（在语义安全的正式定义中，有一个臭名昭著的例外，排除了隐藏被加密明文大小的情况。）这是对加密通信的经典攻击向量。（在一个著名的例子中，即使进行了加密，窃听者可以决定什么视频通过视频流中每个数据包的大小，正在实时通过Netflix进行流媒体传输。在加密内存池的上下文中，某些交易类型可能具有特定的大小，这可能泄露信息。
• 广播时间：加密也不会隐藏时间信息（另一个经典攻击向量). 在web3的背景下，某些发送者——例如，在结构化销售中——可能会定期进行交易。交易时机也可能与其他信息相关，例如外部交易所的活动或新闻事件。利用时机信息的一个更微妙的方法是CEX/DEX套利。一个序列器可以通过尽可能晚地插入一个交易来获益，利用关于CEX价格的最新信息。相同的序列器可以排除在某个时间点之后广播的任何其他交易（即使是加密的），确保其交易单独拥有最新的价格信息的优势。
• 源IP地址：搜索者可能通过监控点对点网络并观察源IP地址来推断交易发送者的身份。这个问题实际上是十多年前被识别在比特币的早期。这对搜索者可能很有用，如果特定的发送者有特定的模式——例如，知道发送者可能使得将一个加密交易与已经解密的先前交易关联起来。
• 交易发送者和费用/燃气信息：最后，交易费用代表了一种特定于加密内存池的元数据。在以太坊中，交易通常包括一个（链上）发送者地址，用于支付费用，以及发送者愿意支付的最大燃气预算和每单位燃气的费用。发送者地址，类似于源网络地址，可以用来将交易连接在一起，并与现实世界实体关联。燃气预算可以用来估算交易的意图。例如，与特定去中心化交易所（DEX）交互可能需要特定数量的燃气，这是可识别的。

复杂的搜索者可能会使用上述任何组合的元数据类型来预测交易的内容。

所有这些信息可能会被隐藏，但代价是性能和复杂性。例如，将交易填充到标准限制会隐藏交易大小，但会浪费带宽和链上空间。在发送消息之前添加延迟会隐藏交易时间，但会损害延迟。通过像Tor这样的匿名网络提交交易可以隐藏发送者的IP地址，但这有其自身的挑战.

隐藏的最困难的元数据是交易费数据。加密这些数据给构建者带来了许多挑战。第一个问题是垃圾邮件。如果交易费支付数据被加密，那么任何人都可以广播格式错误的加密交易，这些交易将被排序，但没有支付费用的能力。因此，解密后它们将无法执行，但没有任何一方可以被惩罚。这可能可以通过SNARKs解决，证明交易是格式正确且有资金的，但这将大大增加开销。

第二个问题是高效的区块构建和费用拍卖。构建者使用费用来构建最有利可图的区块，并为链上资源建立当前市场价格。加密这些数据会干扰这个过程。这可以通过在每个区块中建立一个固定费用来解决，但这在经济上效率低下，并可能导致交易纳入的二级市场，从而削弱加密内存池的意义。使用安全的多方计算或可信硬件进行费用拍卖是可能的，但这两者都是昂贵的步骤。

最后，安全的、加密的内存池在多个方面对系统施加了额外负担。加密会增加延迟、计算和带宽开销。如何将其与分片或并行执行的支持结合起来——这些都是重要的未来目标——并不明显。这可能会为活性增加额外的故障点（例如，门限解决方案的解密委员会或延迟函数求解器）。而且它确实增加了设计和实施的复杂性。

许多加密内存池的问题也出现在那些旨在确保交易隐私的区块链上（例如，Zcash，Monero）。如果有一点好处，那就是解决MEV减少的加密所有挑战将作为副作用为交易隐私铺平道路。

加密内存池的经济挑战

最后，加密内存池面临经济挑战。与技术挑战不同，技术挑战可能通过足够的工程努力来缓解，这些经济挑战是基本限制，似乎很难解决。

MEV的基本问题来自于创建交易的用户与寻找MEV机会的搜索者和构建者之间的信息不对称。用户通常不知道他们的交易中可以提取多少MEV。因此，即使有一个完美加密的内存池，用户也可能被诱导放弃他们的解密密钥，以换取构建者支付的低于提取价值的款项。我们可以称之为激励解密。

这并不难想象，因为今天已经存在一个名为MEV Share的版本。MEV Share是一个订单流拍卖，允许用户有选择性地提交他们交易的信息到一个池中，搜索者在这里竞争，以利用交易所提供的MEV机会。出价最高的搜索者提取MEV，并将其利润的一部分（即出价或出价的一部分）返还给用户。

该模型可以立即适应于一个加密的内存池空间，要求用户透露他们的解密密钥（或者可能只是一些部分信息）以参与。但大多数用户不会理解参与这种方案的机会成本，只看到回报而高兴地放弃他们的信息。传统金融中也有例子（例如，像Robinhood这样的零手续费交易服务）通过将用户的订单流出售给第三方来获利，所谓的“支付订单流”商业模式。

其他可能的情景包括大型构建者迫使用户揭示他们的交易（或一些相关信息）以进行审查。审查韧性是web3中一个重要且有争议的话题，但如果大型提议者和/或构建者在法律上有义务执行审查列表（例如，通过OFAC), 他们可能会拒绝对任何加密交易进行排序。技术上可能解决这个问题，如果用户能够生成零知识证明，证明他们的加密交易符合审查列表，但这也会增加成本和复杂性。即使链具有强大的审查抵抗力，确保加密交易被包含，区块构建者仍然可能优先将他们知道的明文交易放在区块的顶部，而将任何加密交易降级到区块的底部。因此，希望某些执行保证的交易可能仍然被迫向构建者透露其内容。

其他效率挑战

加密的内存池在几个显而易见的方面增加了系统的开销。用户必须加密交易，系统也必须以某种方式解密它们。这增加了计算成本，并可能增加交易大小。如上所述，处理元数据可能会使这些开销更严重。然而，其他一些效率成本则不那么明显。在金融领域，如果价格反映了所有可用信息，则市场被认为是有效的，而低效则源于延迟和信息不对称——这是加密内存池的自然结果。

这些低效的一个后果是价格不确定性的增加，这是由于加密内存池引入的额外延迟所导致的。因此，由于超出价格滑点容忍度而导致的交易失败数量可能会增加，从而浪费链空间。

同样，这种价格不确定性也可能导致投机性的MEV交易，这些交易试图从链上套利中获利。重要的是，由于执行延迟，关于DEX当前状态的不确定性增加，这些机会可能在加密内存池中更加普遍，可能会导致市场效率降低，造成各个交易场所之间的价格差异。这些类型的投机性MEV交易也会浪费区块空间，因为如果没有找到这样的机会，它们通常会中止。

我们在这里的目标是概述加密内存池中的挑战，以便人们可以专注于以其他方式构建和解决问题，但它们仍可能是解决MEV的一部分。

一种可能的解决方案是混合设计，其中一些交易通过加密内存池盲排序，而另一些则通过其他解决方案排序。对于某些类型的交易——例如，来自大型市场参与者的买入/卖出订单，他们可以仔细加密/填充这些订单，并愿意支付更多以避免MEV——混合设计可能是合适的解决方案。这些设计对于某些高度敏感的交易，例如修复具有漏洞的安全合约的错误，也可能是合理的。

然而，由于它们的技术限制，以及显著的工程复杂性和性能开销，加密内存池不太可能成为对抗MEV的灵丹妙药，尽管有时被认为是这样。社区需要发展其他解决方案, 包括MEV拍卖、应用层防御和最小化最终性时间。MEV在未来一段时间内将是一个挑战，需要仔细调查以找到管理其缺点的解决方案的正确平衡。

Pranav Garimidi是a16z Crypto的研究助理。他研究机制设计和算法博弈论在区块链系统中的问题。他特别关注激励在区块链技术栈中的相互作用。在加入a16z之前，Pranav是哥伦比亚大学的学生，获得计算机科学学位。

约瑟夫·博诺是纽约大学Courant Institute计算机科学系的副教授，也是a16z crypto的技术顾问。他的研究重点是应用密码学和区块链安全。他曾在墨尔本大学、纽约大学、斯坦福大学和普林斯顿大学教授加密货币课程，并获得了剑桥大学的计算机科学博士学位以及斯坦福大学的学士/硕士学位。

Lioba Heimbach是由罗杰·瓦滕霍夫教授指导的四年级博士生，分布式计算 (Disco)苏黎世联邦理工学院的团队。她的研究集中在区块链协议上，特别关注去中心化金融（DeFi）。具体而言，它专注于实现一个可访问的、去中心化的、公平的和高效的区块链和DeFi生态系统。2024年夏天，她在a16z crypto担任研究实习生。

此处表达的观点仅代表被引用的个别 AH Capital Management, L.L.C.（“a16z”）人员的看法，并不代表 a16z 或其附属机构的观点。这里包含的某些信息已从第三方来源获取，包括来自 a16z 管理的基金的投资组合公司。虽然这些信息来自被认为可靠的来源，但 a16z 并未独立验证这些信息，并且对信息的当前或持久准确性及其适用于特定情况的适当性不做任何陈述。此外，此内容可能包含第三方广告；a16z 并未审核这些广告，也不对其中包含的任何广告内容表示支持。

本文仅提供信息参考，不应被视为法律、商业、投资或税务建议。您应咨询自己的顾问以了解相关事宜。提及的任何证券或数字资产仅用于说明目的，且不构成投资建议或提供投资顾问服务的要约。此外，本文内容并非针对任何投资者或潜在投资者的意图，也不得在任何情况下被依赖以决定投资于a16z管理的任何基金。（投资a16z基金的要约仅会通过私人配售备忘录、认购协议以及任何此类基金的其他相关文件进行，并应完整阅读。）提及、参考或描述的任何投资或投资组合公司并不代表a16z管理的所有投资，且不能保证这些投资会盈利，或未来进行的其他投资会具有类似特征或结果。由Andreessen Horowitz管理的基金所做的投资列表（不包括发行人未提供a16z公开披露许可的投资以及未宣布的公开交易数字资产投资）可在https://a16z.com/investments/.

内容仅在所示日期有效。本材料中表达的任何预测、估算、预测、目标、前景和/或意见均可能随时更改，恕不另行通知，并可能与他人表达的意见不同或相悖。请参见https://a16z.com/disclosures有关其他重要信息。

免责声明:

1. 本文转载自 [a16zcrypto]. 所有版权归原作者所有 [普拉纳夫·加里米迪约瑟夫·博诺andy Lioba Heimbach]. 如果对这次重印有异议，请联系 Gate 学习团队，他们会及时处理。
2. 免责申明：本文中表达的观点和意见仅代表作者个人，并不构成任何投资建议。
3. 文章的翻译由 Gate Learn 团队完成。除非另有说明，禁止复制、分发或抄袭翻译的文章。