批量门限加密(BTE,Batched Threshold Encryption)基于门限密码学等基础概念,使多个参与方能够安全协作,无需将敏感数据暴露给任何单一方。BTE是最早的TE加密内存池方案(如Shutter)的升级版本,我们此前已有报道。目前,BTE仍处于原型或研究阶段,但若取得突破,有望重塑去中心化账本的未来。因此,BTE为进一步研究与应用提供了明确机遇,本文将对此进行探讨。
在大多数现代区块链上,交易数据在排序、执行并在区块确认前,可在内存池公开查看。这种透明性使复杂参与者能够开展最大可提取价值(MEV,Maximal Extractable Value)等掠夺性操作。MEV通过区块提议者对交易的重新排序、包含或省略来获取财务利益。
MEV的常见利用方式如抢跑和夹心攻击在以太坊等平台仍非常普遍。例如,在10月10日闪崩期间,约有290万美元被提取。约32%的攻击通过私人通道传递给矿工,其中部分单次攻击涉及超过200笔串联子交易。因此,准确测算总MEV掠夺量仍然十分困难。
部分研究者尝试通过加密内存池设计防止MEV,即将待处理交易加密保存,直至区块最终确认。这样可阻止其他区块链参与者提前知晓交易用户将要进行的操作。许多加密内存池方案采用门限加密(TE,Threshold Encryption)。TE将可以揭示交易数据的密钥拆分给多个服务器。类似多签,需有最少数量的签名者协同合并密钥份额以解锁数据。
BTE的意义
标准TE在扩展效率上受到限制,因为每台服务器需分别解密每笔交易并广播部分解密份额。这些份额会链上记录以便聚合和验证,造成服务器通信负担,拖慢网络并加剧链上拥堵。BTE通过允许每台服务器仅释放一个固定大小的解密份额来解锁整个批次,无论批次大小如何,解决了这一瓶颈。
Arka Rai Choudhuri、Sanjam Garg、Julien Piet与Guru-Vamsi Policharla(2024年)开发的首个BTE可用版本采用了KZG承诺方案。该方案让服务器委员会将多项式函数锁定至公钥,同时对用户和委员会成员均保持隐藏。
解密加密至公钥的交易时,需证明其属于该多项式。由于固定度的多项式可由固定数量的点完全确定,服务器仅需协同交换极少量的数据便可完成证明。一旦共享曲线建立,便可发送基于该曲线的单一紧凑信息,一次性解锁批次内所有交易。
需要指出的是,不属于多项式的交易将继续保持加密状态,委员会可根据需要选择性揭示部分加密交易,其他则保持隐藏。这样可确保所有未被选中执行的加密交易仍处于加密状态。
当前TE实现如Ferveo和MEVade可集成BTE,以保护非批次交易的隐私。BTE也非常适配Metis、Espresso和Radius等Layer-2 Rollup,这些方案已通过延时加密或可信排序器提升公平与隐私。采用BTE后,这些Rollup可实现无需信任的排序流程,防止任何人利用交易可见性套利或清算。
但首个BTE版本存在两大缺点:每批交易加密时,系统需完全重新初始化,包括新一轮密钥生成和参数设置。节点在合并所有部分份额的过程中,解密操作会消耗大量内存和算力。
上述因素限制了BTE的实际应用。例如,委员会刷新与区块处理所需频繁的分布式密钥生成(DKG,Distributed Key Generation)执行,令该方案对中等规模的许可委员会几乎不可行,更难以扩展至无许可网络。
在选择性解密场景下,验证者仅解密获利交易,BTE让所有解密份额可公开验证。任何人都可发现不诚实行为,并通过削减进行惩罚。只要足够数量的诚实服务器持续运行,过程就能保持可靠。
BTE的升级进展
Choudhuri、Garg、Policharla与Wang(2025年)首次升级了BTE,通过一次性设置BTE方案提升服务器通信效率。该方案只需在所有解密服务器间进行一次初始分布式密钥生成(DKG),但每批次仍需多方计算协议设置承诺。
真正无纪元的BTE方案于2025年8月由Bormet、Faust、Othman和Qu推出,他们以BEAT-MEV实现单次初始化,支持后续所有批次。该方案采用可打孔伪随机函数和门限同态加密,使服务器能够长期复用同一参数设置。每台服务器只需在解密时发送极小数据片段,极大降低通信成本。
预计性能概述
随后,论文BEAST-MEV提出静默批量门限加密(SBTE,Silent Batched Threshold Encryption)概念,消除了服务器间的交互式设置需求。它以非交互、通用的一次性设置取代了重复协调,让节点可独立运行。
但在合并所有部分解密时,仍需大量交互计算。为解决这一问题,BEAST-MEV借鉴了BEAT-MEV的子批处理技术,采用并行处理,使系统可在一秒内解密高达512笔交易的大批次。下表总结了各代BTE设计对原始BTE方案的改进。
除了上述应用场景外,BTE还可应用于CoW Swap等协议,这些协议已通过批量拍卖和意图匹配缓解MEV,但仍在公共内存池中暴露部分订单流。在求解器提交前集成BTE可封堵这一隐私漏洞,实现端到端交易保护。目前,Shutter Network仍是最具早期应用前景的候选协议,随着相关实现框架的逐步成熟,其他协议也有望陆续跟进应用。