《冻结“闪电小子”》：探索逐笔加密对抗恶意MEV之路

恶意矿工可提取价值（MEV）攻击对以太坊交易者构成重大威胁。我们最新研究表明，近2,000次“三明治攻击”每日发生，每月从网络攫取超200万美元资金。即便是执行大额WETH、WBTC或稳定币兑换的交易者仍面临风险，可能蒙受交易资金的重大损失。

MEV的滋生源于区块链的透明特性——交易数据在执行和最终确认前即可被窥探。缓解MEV的路径之一是内存池加密，尤其是通过阈值加密技术。在早期文章中，我们探讨了两种不同的阈值加密内存池模型。作为首批应用阈值加密保护内存池的项目之一，Shutter采用了按周期设定密钥的方案。而批处理阈值加密（BTE）作为一种较新模型，通过单次密钥解密多笔交易以降低通信成本并提升吞吐量。

本文我们将深入解析H. Zhang等人（2022年）提出的《冻结“闪电小子”》（F3B）方案——这项新提出的阈值加密设计采用逐笔交易加密机制。我们将剖析其运作原理，阐释其在延迟与内存方面的扩展特性，并探讨该方案尚未投入实际应用的原因。

“冻结闪电小子”如何实现逐笔交易加密

“冻结闪电小子”方案旨在解决早期阈值加密系统的局限性，这类系统通常依赖按周期（per-epoch）设置密钥。例如 FairBlock 项目及 Shutter 的早期版本，它们使用单一密钥对选定周期内的所有交易进行加密。一个周期对应固定数量的区块（如以太坊上为 32 个区块）。这种做法存在一个漏洞：某些未能被包含在指定区块末尾的交易，仍会与同一批次的其他交易一起被解密，从而导致敏感数据暴露，并为验证者创造了 MEV（矿工可提取价值）套利机会，使其容易受到抢先交易攻击。

F3B 采用逐笔交易阈值加密，确保每笔交易在最终确认前始终保持机密。F3B 协议的基本流程如下图所示：用户使用只有指定的阈值委员会（称为秘密管理委员会，SMC）才能访问的密钥对交易进行加密，并将交易密文与加密后的密钥作为配对发送至共识组（步骤 1）。这样，节点可以在存储和排序交易的同时，保留所有必要的解密元数据，以便在交易最终确认后迅速重建并执行。与此同时，SMC 会准备其解密份额，但在共识组提交交易之前暂不释放（步骤 2）。一旦交易被最终确认，且 SMC 释放足够多的有效份额（步骤 3），共识组便会解密该交易并执行（步骤 4）。

长期以来，逐笔交易加密因其加解密所需的沉重计算负荷以及大型加密数据负载带来的存储需求而一直不具实用性。F3B 通过仅对轻量级对称密钥（而非完整交易内容）进行阈值加密来解决这一问题。交易本身使用该对称密钥加密。这种方法可将需要非对称加密的数据量减少约10倍（以简单的兑换交易为例）。

F3B不同密码学实现的延迟开销对比

“冻结闪电小子”可采用两种密码学协议之一实现：TDH2或PVSS。其区别在于由谁承担设置负担以及委员会结构的固定频率，进而在灵活性、延迟和存储开销方面各有相应的优缺点。

TDH2（阈值迪菲-赫尔曼协议2）依赖委员会运行分布式密钥生成（DKG）过程，以生成各成员密钥份额及集体公钥。用户首先创建一次性对称密钥，用其加密交易内容，再将此对称密钥加密至委员会公钥。共识网络将此加密对写入链上。待链上达到所需确认数后，委员会成员发布对加密对称密钥的部分解密结果，并附上非交互式零知识证明（NIZK），以防止选择密文攻击（攻击者通过提交畸形密文诱使受托人在解密过程中泄露信息）。NIZK证明可确保用户密文格式正确且可解密，同时验证受托人提交的解密份额有效。共识网络验证这些证明后，在收集到有效份额达到阈值时，即可重构并解出对称密钥，进而解密并执行交易。

第二种方案PVSS（公开可验证秘密共享）采用不同路径。委员会无需每周期运行DKG，而是各成员持有一对长期私钥及对应公钥，公钥存储于区块链供任何用户调用。对于每笔交易，用户选取随机多项式，利用沙米尔秘密共享算法生成秘密份额，再使用各受托人公钥分别加密这些份额。对称密钥通过对重构出的秘密进行哈希运算获得。每个加密份额均附带NIZK证明，使任何人可验证所有份额源于同一秘密；同时配有多项式公开承诺，作为绑定份额与秘密关系的记录。后续的交易打包、最终确认后份额释放、密钥重构、解密及执行步骤与TDH2方案类似。

TDH2协议因采用固定委员会和恒定大小的阈值加密数据而效率更高。相比之下，PVSS赋予用户更大灵活性，允许其自主选择负责本笔交易的委员会成员，但这以更大的公钥密文规模和因按成员加密带来的更高计算开销为代价。在更宏观的测试中，F3B协议在模拟权益证明以太坊上的原型实现表明，其性能开销极低：在128名受托人组成的委员会设置下，TDH2与PVSS在最终确认后引入的延迟分别仅为197毫秒与205毫秒，相当于以太坊768秒最终确认时间的0.026%与0.027%。存储开销方面，TDH2每笔交易仅增加80字节，而PVSS的开销因涉及按成员的份额、证明与承诺而随受托人数量线性增长。这些结果证实，F3B能够在不影响以太坊性能与容量的前提下实现其隐私保障目标。

“冻结闪电小子”协议中的激励与惩罚机制

F3B通过要求秘密管理委员会受托人质押锁定保证金来激励诚实行为。手续费激励受托人保持在线状态，并维持协议所需的性能水平。一旦有人提交违规证据（证明存在提前解密行为），惩罚智能合约将自动没收违规受托人的质押金。在TDH2中，此类证据指可针对交易密文公开验证的受托人解密份额；而在PVSS中，证据则包含解密份额及验证该份额真实性的受托人专属NIZK证明。该机制可惩罚可被证明的提前披露解密份额行为，提高可检测违规行为的成本。然而，它无法阻止受托人在链下私下串通重构并解密交易数据（不公开发布任何份额）。因此，协议仍依赖于“委员会多数成员行为诚实”的前提假设。

由于加密交易无法立即执行，恶意用户可能通过向区块链充斥无法执行的交易来拖慢确认速度，这构成另一个攻击向量。这是所有加密内存池方案共有的潜在攻击面。F3B要求用户为每笔加密交易预付存储保证金，从而显著提高垃圾交易攻击成本。系统将预先扣除保证金，仅在交易成功执行后返还部分金额。

F3B在以太坊部署面临的挑战

尽管“冻结闪电小子”为缓解MEV提供了一套完整的密码学方案，但由于集成复杂性，它短期内难以在以太坊主网实现实际部署。虽然F3B完全不触及共识机制，且与现有智能合约完全兼容，但需要对执行层进行修改以支持加密交易和延迟执行。这将需要比“合并”升级以来任何更新都更广泛的硬分叉。尽管如此，F3B仍是一个具有超越以太坊生态价值的研究里程碑。其最小化信任的私有交易数据共享机制，可应用于新兴区块链网络及需要延迟执行的去中心化应用场景。

即使在出块时间低于1秒、已大幅减少MEV的区块链上，F3B类协议仍可通过彻底消除基于内存池的抢先交易而发挥作用。例如在密封竞价拍卖智能合约中，投标人可提交加密报价，这些报价在竞价阶段结束前始终保持隐藏状态。待拍卖截止后，报价才会被解密并执行，从而有效防止操纵出价、抢先交易或信息提前泄露。

相关推荐：比特币罕见信号闪现：BTC价格是否将迎来220%回暖？