以太坊研究人員正在推進一項加密內存池 EIP 提案,該提案將加強協議對 MEV 相關濫用的抵抗力,同時保持區塊生產高效且無需許可。
新的以太坊改進提案(EIP)在協議層直接引入了一個加密的內存池。它允許用戶提交加密交易,這些交易在被打包進區塊之前一直處於隱藏狀態,從而緩解搶先交易和三明治攻擊,並提高抗審查能力。然而,此次升級並未着眼於長期隱私,因爲每筆交易最終都會在鏈上解密並公開。
該設計明確地與加密方案無關。它支持使用閾值加密、多方計算委員會、閾值增強加密、延遲加密或基於全同態加密系統的任意解密密鑰提供者。此外,傳統的明文交易仍然完全受支持,即使特定密鑰提供者無法提供密鑰,也能保證鏈繼續傳輸。
該提案建立在先前的一些舉措之上,例如Shutterized Beacon Chain和部署在Gnosis Chain上的即時、協議外加密內存池。也就是說,通過將此功能移至協議內,EIP 旨在解決長期存在的 MEV 問題,並減少諸如構建者中心化等有害的次生影響。
其主要目的是保護用戶免受惡意交易重排序的侵害,包括搶先交易和夾層交易。通過暫時隱藏區塊構建者和其他市場參與者的信息,該機制還旨在提高協議的即時(或所謂的“弱”)抗審查能力。此外,它還旨在通過限制區塊構建者在區塊構建過程中對用戶意圖的可見性,降低其面臨的監管風險。
EIP並非傳統意義上的隱私升級,而是作爲MEV漏洞緩解和公平層,確保用戶交易在關鍵的預包含窗口期內不會被利用。其設計與既定的提案者-構建者分離機制(ePBS)完美契合,是以太坊長期發展路線圖的合理延伸。
在執行層,該方案部署了一個密鑰提供者註冊合約。任何賬戶都可以註冊成爲密鑰提供者並獲得一個唯一的ID。註冊需要指定一個合約,該合約包含解密函數和密鑰驗證函數,每個函數都接受以字節字符串形式提供的密鑰ID和密鑰消息。此外,密鑰提供者還可以將其他提供者指定爲直接受信任的提供者,從而形成一個有向信任圖。
在此模型下,密鑰提供者 A 被認爲信任提供者 B,當且僅當圖中存在從 A 到 B 的有向路徑。信標鏈鏡像註冊表的狀態,其機制類似於當前信標鏈存款的處理方式。這確保了執行層和共識層對已註冊的密鑰提供者擁有一致的認知。
註冊過程明確地保持技術中立,最大限度地降低了准入門檻,並允許用戶選擇偏好的方案。然而,許多高級加密系統在EVM中表達效率低下,需要專門的預編譯程序。策略制定者和實施者指出,此類預編譯程序不在本EIP的範圍內。
EIP引入了一種新的加密交易類型,它由兩個部分組成:信封和加密有效載荷。信封指定了信封隨機數、gas 值、gas 價格參數、密鑰提供者 ID、密鑰 ID 和信封簽名。加密有效載荷包含其自身的有效載荷隨機數、值、調用數據和有效載荷簽名,這些要素共同構成了實際的交易邏輯。
在一個有效的區塊中,協議強制執行嚴格的順序規則。任何使用提供商 A 的密鑰加密的交易,只能被明文交易、使用提供商 A 的密鑰加密的交易,或使用 A 信任的提供商的密鑰加密的交易所取代。這種順序將加密交易與信任圖綁定,從而通過用戶選擇的提供商間接反映了用戶的偏好。
這種結構有效地將每個區塊分爲兩部分:明文段和加密段。構建者可以完全模擬明文段,並應用現有的區塊構建和MEV策略。此外,他們還可以將加密交易附加到區塊末尾,而無需付出顯著的機會成本,從而在PBS拍賣中保持競爭力。
在執行有效載荷處理過程中,一旦所有明文交易處理完畢,加密交易的信封就會批量執行。這會更新信封簽名者的隨機數,並從相應的賬戶收取 gas 費用。該費用用於支付信封、解密有效載荷和解密密鑰所佔用的區塊空間,以及與解密和密鑰驗證相關的計算成本。
隨後,協議嘗試使用相關密鑰提供者指定的解密函數解密每個有效載荷。如果解密成功,則執行生成的有效載荷交易,其執行量受信封的 gas 限制和整個區塊 gas 限制的約束。但是,如果解密或執行失敗,或者解密密鑰被證實缺失,則協議會直接跳過該交易,而不會回滾已執行的信封。
爲了簡化操作,選擇將簽名包含在加密有效載荷中。一種隱私性稍差但效率更高的方法是將信封簽名者視爲有效載荷的最終發送者。儘管如此,當前的設計優先考慮靈活性,併力求將信封元數據與底層交易邏輯清晰地分離。
在每個時隙中,密鑰提供者一旦看到構建者發佈的執行有效載荷,就會收集所有發給它的信封中引用的密鑰 ID。對於每個這樣的密鑰 ID,提供者必須發佈相應的解密密鑰或密鑰保留通知。解密密鑰消息引用相關的信標塊哈希值,以防止在未來的時隙中出現重放攻擊。提供者可以立即發佈,也可以延遲發佈到同一時隙的稍後時間。
有效載荷及時性委員會 (PTC)的成員需要監聽所有此類解密密鑰。然後,他們使用註冊表中定義的驗證函數驗證每個密鑰,但每個密鑰的 gas 消耗量必須受到硬編碼的限制。最後,PTC 通過包含專用位域的擴展有效載荷證明消息,確認每個加密交易是否存在有效的解密密鑰。
該機制爲密鑰提供者引入了額外的加密問責層。此外,它還創建了可供鏈下監控或自定義懲罰方案使用的協議內數據,使市場能夠獎勵可靠的提供者並懲罰表現不佳的提供者。
用戶必須信任其選擇的密鑰提供商,不會過早或過晚地發佈解密密鑰,否則用戶將面臨經典的MEV攻擊,導致交易失敗卻仍需支付信封費用。提供商可以通過加密保證(例如閾值加密)、硬件保護、經濟懲罰(例如罰沒)或基於治理的聲譽機制來建立這種信任。
在較小程度上,用戶還必須信任區塊中出現在其交易之前的加密交易所使用的所有密鑰提供者。這些提供者可以在觀察到後續交易的密鑰後,決定發佈或保留密鑰,從而對後續交易的初始狀態產生一定程度的影響。惡意設計的“解密”方案可能會利用這一點來操縱解密狀態的特定部分,並執行更強大的搶先交易繞過機制。
重要的是,用戶無需信任在其交易之後添加的任何加密交易所使用的密鑰提供者,因爲後續的有效載荷不會影響其自身交易的初始狀態。同樣,提交明文交易的用戶也無需信任密鑰提供者,但他們仍然依賴於構建者的誠信行爲。
由於解密密鑰在底層加密交易最終完成之前發佈,鏈重組可能導致某些交易即使最終未被納入鏈中也公開。然而,解密密鑰消息會引用信標區塊哈希值,使得驗證功能能夠在底層區塊不屬於規範鏈時使密鑰失效。這可以防止有效載荷的執行,並限制搶先交易的機會。
另一種風險涉及攻擊者利用共享密鑰 ID。當用戶使用特定密鑰 ID 進行加密時,攻擊者可以監視正在進行的交易,並使用相同的密鑰提供者和密鑰 ID 構造另一個加密交易。如果第二個交易先到達,不知情的密鑰提供者可能會泄露密鑰,從而無意中暴露原始交易。這是一種解密密鑰隱瞞攻擊。
密鑰提供商可以通過對密鑰 ID 進行“命名空間”處理來緩解此類情況。例如,他們可以只發布密鑰 ID 以信封簽名者的地址爲前綴的密鑰,而保留所有其他密鑰。由於攻擊者通常無法控制受害者的簽名帳戶,因此他們無法使用正確命名空間的密鑰 ID 生成有效的交易,從而保護了原始用戶的保密窗口。
當前的EIP協議刻意避免在協議內定義密鑰提供者的獎勵或懲罰機制。相反,它爲鏈下開發多樣化的激勵模型留出了空間。密鑰提供者可以按交易向用戶收費,與構建者簽訂定製協議,甚至可以作爲公共產品運營,並可能獲得外部資金支持。此外,提供者還可以自願採用針對無正當理由扣留密鑰的懲罰規則,以提升自身的信譽度。
潛在的串謀途徑涉及密鑰提供者和構建者。要構建一個新區塊,構建者必須瞭解前一個區塊的完整狀態,包括哪些密鑰已公開或未公開。雖然這些信息會在 PTC 認證廣播後公開,但惡意提供者可以提前私下告知其支持的構建者,使其在區塊構建過程中獲得一定的先機。
這種串謀的影響被認爲是有限的。PTC 認證和時隙結束之間的時間間隔通常足夠長,足以進行競爭性區塊構建,而關鍵時刻仍然在時隙接近尾聲時,此時完整的交易集已知。此外,延遲發佈密鑰以偏袒某個構建者可能會導致錯過 PTC 認證,從而抵消任何優勢。如果只有少數加密交易依賴於串謀的提供者,那麼無需完全解密即可近似表示狀態的樂觀策略也可以減輕這種影響。
作者概述了一種可能的未來演進方案:構建者使用相同的密鑰提供者來加密整個執行有效載荷。這將允許構建者在構建完成後立即發佈有效載荷,而無需等到大約 50% 的區塊進度。這種改變可以提高點對點通信效率,並減少因崩潰導致的區塊進度丟失,尤其是在結合零知識證明來驗證區塊中使用的密鑰時。
在這種情況下,附加零知識證明將允許解密窗口更早開始並持續更長時間,從而爲密鑰提供者提供更大的靈活性。然而,爲了避免使當前設計過於複雜,此功能被明確地留給未來的EIP(擴展改進提案)。目前的提案仍然對執行層和共識層引入了向後不兼容的更改,因爲它修改了交易類型、區塊結構以及有效載荷及時性委員會認證規則。
總體而言,加密內存池 EIP 提案代表着在協議級 MEV 緩解方面邁出了重要一步,與以太坊長期以來推動的強大的提案者-構建者分離 (EPBS) 和更公平的交易排序密切相關。
加密內存池旨在將加密交易信封執行、密鑰提供者協調和結構化解密嵌入到以太坊核心協議中。這樣做可以增強用戶對 MEV 的保護,提高抗審查能力,併爲未來的升級(例如完整的執行有效載荷加密)打開大門,同時保留用戶和構建者的選擇權。