Автор | Пранав Гаріміді、Жозеф Бонно, Ліоба Хеймбах,a16z
Переклад | Сайрша, Foresight News
У блокчейні, заробляючи гроші, вирішуючи, які транзакції включити до блоку, а які виключити, або коригуючи порядок транзакцій, максимальна вартість, яку можна отримати, називається «максимальною витягуваною вартістю», або MEV. MEV поширена в більшості блокчейнів і залишається темою широкого обговорення в галузі.
Багато дослідників, спостерігаючи за явищем MEV, ставлять чітке запитання: чи може криптографічна технологія вирішити цю проблему? Одним з рішень є використання зашифрованого мемпулу: користувачі транслюють зашифровані транзакції, які будуть розкриті лише після завершення сортування. Таким чином, консенсусний протокол повинен «сліпо» вибирати порядок транзакцій, що, здається, може запобігти отриманню прибутку від можливостей MEV на етапі сортування.
Але, на жаль, як з практичної, так і з теоретичної точки зору, крипто-пул пам'яті не може запропонувати універсальне рішення для проблеми MEV. У цій статті будуть викладені труднощі, пов'язані з цим, та розглянуто можливі напрямки проектування крипто-пулу пам'яті.
Принцип роботи криптопам'яті
Існує багато пропозицій щодо крипто-мережевих пулів, але їх загальна структура виглядає так:
Користувач транслює зашифровану транзакцію.
Криптографічна угода подається в ланцюг (в деяких пропозиціях угода спочатку повинна пройти перевірене випадкове перемішування).
Коли блоки, що містять ці транзакції, остаточно підтверджені, транзакції розкриваються.
Нарешті виконайте ці ці transactions.
Слід звернути увагу на те, що в кроці 3 (декодування транзакції) є одне ключове питання: хто відповідальний за декодування? Що робити, якщо декодування не вдалося? Однією простою ідеєю є дозволити користувачам самостійно декодувати свої транзакції (в цьому випадку навіть не потрібно шифрування, достатньо просто приховати зобов'язання). Але такий підхід має вразливість: зловмисник може здійснити спекулятивний MEV.
У спекулятивному MEV атакуючий намагається вгадати, чи містить певна криптографічна транзакція можливість MEV, після чого він шифрує свою транзакцію та намагається вставити її в вигідне місце (наприклад, перед або після цільової транзакції). Якщо транзакції розташовані у запланованому порядку, атакуючий розшифровує і через свою транзакцію отримує MEV; якщо ж це не так, він відмовляється від розшифровки, а його транзакція не буде включена до остаточної blockchain.
Можливо, можна накласти покарання на користувачів, які не змогли розшифрувати, але реалізація цього механізму є надзвичайно складною. Причина в тому, що: усі покарання за зашифровані транзакції повинні бути єдиними (врешті-решт, після шифрування неможливо відрізнити транзакції), і покарання повинно бути досить суворим, щоб навіть перед обличчям високовартісних цілей стримувати спекулятивний MEV. Це призведе до блокування великої кількості коштів, і ці кошти повинні залишатися анонімними (щоб уникнути розкриття зв'язку між транзакцією та користувачем). Ще більше ускладнює ситуацію те, що якщо через програмні вади або збої в мережі справжні користувачі не зможуть нормально розшифрувати, вони також зазнають збитків.
Отже, більшість пропозицій рекомендує при шифруванні транзакцій забезпечити їх можливість розшифровки в певний момент у майбутньому, навіть якщо користувач, що ініціює транзакцію, офлайн або відмовляється співпрацювати. Цю мету можна досягти кількома способами:
Довірені середовища виконання (TEE): користувач може зашифрувати транзакцію за допомогою ключа, що зберігається в безпечній зоні довіреного середовища виконання (TEE). У деяких базових версіях TEE використовується лише для розшифровки транзакцій після певного моменту часу (це вимагає наявності в TEE можливості відстеження часу). Більш складні рішення покладають на TEE відповідальність за розшифровку транзакцій та формування блоків, впорядковуючи транзакції за такими критеріями, як час надходження, плата тощо. Перевагою TEE в порівнянні з іншими схемами криптографічних меморіалів є можливість безпосередньо обробляти відкриті транзакції, зменшуючи надмірну інформацію в ланцюзі шляхом фільтрації транзакцій, які можуть бути скасовані. Але недоліком цього методу є залежність від надійності апаратного забезпечення.
Секретне ділення та шифрування з порогом (Secret-sharing and threshold encryption): у цій схемі користувач шифрує транзакцію до певного ключа, який спільно утримується певним комітетом (зазвичай підмножиною валідаторів). Для дешифрування потрібно виконати певні порогові умови (наприклад, згода двох третин членів комітету).
Під час використання порогового шифрування довірений носій змінюється з апаратного на комітет. Прихильники вважають, що оскільки більшість протоколів вже за замовчуванням вважають, що валідатори мають характеристику «чесна більшість» у механізмі консенсусу, то ми також можемо зробити подібне припущення, що більшість валідаторів залишаться чесними і не розкриють транзакції заздалегідь.
Однак тут слід звернути увагу на ключову різницю: ці дві довірчі припущення не є одним і тим самим поняттям. Консенсусні збої, такі як розгалуження блокчейну, мають відкриту видимість (належать до «слабкого довірчого припущення»), тоді як зловмисний комітет, який заздалегідь розкриває транзакції в приватному порядку, не залишає жодних публічних доказів; така атака не може бути виявлена і не підлягає покаранню (належить до «сильного довірчого припущення»). Отже, хоча на поверхні механізми консенсусу і безпекові припущення криптографічного комітету здаються узгодженими, на практиці достовірність припущення «комітет не буде змовлятися» є набагато нижчою.
Часове блокування та затримка шифрування (Time-lock and delay encryption): як альтернатива шифруванню з пороговим доступом, принцип затриманого шифрування полягає в тому, що користувач шифрує транзакцію до певного публічного ключа, а приватний ключ, що відповідає цьому публічному ключу, прихований у загадці з часовим блокуванням. Загадка з часовим блокуванням є криптографічною загадкою, що упаковує секрет, зміст якого можна розкрити лише після встановленого часу, а саме, процес розшифрування вимагає багаторазового виконання серії обчислень, які не можуть бути паралелізовані. У цій механіці будь-хто може розгадати загадку, щоб отримати ключ і розшифрувати транзакцію, але за умови завершення тривалої (по суті послідовної) обчислювальної задачі, що забезпечує неможливість розшифрування транзакції до її остаточного підтвердження. Найсильнішою формою цього шифрувального примітиву є публічне створення таких загадок за допомогою технології затриманого шифрування; цей процес також можна наблизити за допомогою надійного комітету через шифрування з часовим блокуванням, хоча його відносні переваги в порівнянні з пороговим шифруванням вже підлягають обговоренню.
Незалежно від того, чи використовується затримане шифрування, чи обчислення виконуються довіреною комісією, такі рішення стикаються з багатьма практичними викликами: по-перше, оскільки затримка в основному залежить від процесу обчислення, важко забезпечити точність часу розшифрування; по-друге, ці рішення повинні покладатися на конкретні суб'єкти, які забезпечують високу продуктивність апаратного забезпечення для ефективного розв'язання задач, хоча будь-хто може виконувати цю роль, проте залишається незрозумілим, як стимулювати цю особу до участі; нарешті, у таких проєктах всі транзакції, що транслюються, будуть розшифровані, включаючи ті, що ніколи не були остаточно записані в блоки. На відміну від цього, рішення на основі порогу (або свідчення шифрування) можуть розшифровувати лише ті транзакції, які успішно були включені.
Свідчення шифрування (Witness encryption): Останнє і найсучасніше криптографічне рішення використовує технологію «свідчення шифрування». Теоретично механізм свідчення шифрування полягає в тому, що закодовану інформацію може розшифрувати лише той, хто знає специфічні NP-відношення, що відповідають «свідченням інформації». Наприклад, інформацію можна зашифрувати так: тільки той, хто може розв'язати певну задачу судоку або надати певне значення хеш-образу, може завершити розшифрування.
(Примітка: NP відношення — це відповідність між «питанням» і «відповіддю, яку можна швидко перевірити».)
Для будь-яких NP відносин можна реалізувати подібну логіку за допомогою SNARKs. Можна сказати, що свідчення криптографії в основному є зашифруванням даних у такій формі, яка дозволяє розшифрувати їх лише тим суб'єктам, які можуть довести виконання певних умов за допомогою SNARK. У сценарії зашифрованого пулу пам'яті типовим прикладом таких умов є: транзакції можуть бути розшифровані лише після остаточного підтвердження блоку.
Це теоретичний мовний засіб з величезним потенціалом. Насправді це універсальна схема, де методи на основі комітету та методи на основі затримки є лише його конкретними формами застосування. На жаль, наразі у нас немає жодної практичної реалізації криптографічної схеми на основі свідчень. Крім того, навіть якщо така схема існувала б, важко стверджувати, що вона має перевагу над методами на основі комітету в ланцюгах з підтвердженням прав власності. Навіть якщо налаштувати криптографію свідчень так, щоб «розшифрувати можна було лише після того, як транзакція буде відсортована в остаточному блоці», зловмисний комітет все ще може таємно імітувати протокол консенсусу, щоб підробити остаточний стан підтвердження транзакції, а потім використовувати цей приватний ланцюг як «свідчення» для розшифрування транзакції. У цьому випадку той же комітет, використовуючи порогове шифрування, може досягти такої ж безпеки, і операція буде набагато простішою.
Однак у консенсусному протоколі з підтвердженням роботи переваги свідчення криптографії є ще більш значними. Оскільки навіть якщо комітет буде повністю зловмисним, він не зможе в приватному порядку видобувати кілька нових блоків на верхівці поточного блокчейну для підробки остаточного підтвердження.
Технічні виклики, з якими стикається крипто-операційний пул
Багато реальних викликів обмежують здатність крипто-меморіальних пулів запобігати MEV. В цілому, збереження конфіденційності інформації є складним завданням. Варто зазначити, що використання криптографічних технологій у сфері Web3 не є широким, але десятирічна практика впровадження криптографії в мережах (таких як TLS/HTTPS) та приватному спілкуванні (від PGP до Signal, WhatsApp та інших сучасних крипто-платформ) вже повністю виявила труднощі: хоча криптографія є інструментом захисту конфіденційності, вона не може забезпечити абсолютно надійний захист.
По-перше, деякі суб'єкти можуть безпосередньо отримувати відкриту інформацію про угоди користувачів. У типовій ситуації користувачі зазвичай не шифрують угоди самостійно, а делегують цю роботу постачальнику гаманця. Таким чином, постачальник гаманця може отримати доступ до відкритих угод і навіть може використовувати або продавати цю інформацію для отримання MEV. Безпека шифрування завжди залежить від усіх суб'єктів, які мають доступ до ключів. Обсяг контролю над ключами є межами безпеки.
Окрім того, найбільшою проблемою є метадані, тобто незахищені дані навколо зашифрованого вантажу (транзакції). Шукачі можуть використовувати ці метадані для припущення намірів транзакцій, що, в свою чергу, дозволяє їм здійснювати спекулятивний MEV. Слід зазначити, що шукачі не повинні повністю розуміти зміст транзакції і не зобов'язані вгадувати кожен раз. Наприклад, якщо вони можуть з нормальною ймовірністю оцінити, що транзакція походить від конкретного децентралізованого обмінника (DEX), цього достатньо для здійснення атаки.
Ми можемо розділити метадані на кілька категорій: одна категорія — це класичні проблеми, властиві криптографічним технологіям, а інша — це проблеми, характерні для крипто-міських пулів.
Розмір транзакції: криптографія сама по собі не може приховати розмір відкритого тексту (варто зазначити, що в офіційній визначенні семантичної безпеки чітко вказується, що приховування розміру відкритого тексту виключається). Це поширений вектор атаки в криптографічному зв'язку, типовим прикладом є те, що навіть після шифрування, зловмисник все ще може в реальному часі визначити, що саме відтворюється на Netflix, через розмір кожного пакета даних у відеопотоку. У зашифрованому пулі пам'яті певні типи транзакцій можуть мати унікальний розмір, що призводить до витоку інформації.
Час трансляції: криптографія також не може приховати інформацію про час (це ще один класичний вектор атаки). У сцені Web3 деякі відправники (наприклад, у структурованих сценаріях продажу) можуть ініціювати транзакції з фіксованими інтервалами. Час транзакції також може бути пов'язаний з іншою інформацією, такою як активність на зовнішніх біржах або новинні події. Більш прихований спосіб використання інформації про час - це арбітраж між централізованими біржами (CEX) та децентралізованими біржами (DEX): сортувальник може вставити якомога пізніше створену транзакцію, використовуючи найновішу інформацію про ціни CEX; в той же час сортувальник може виключити всі інші транзакції, які були транслювані після певного моменту (навіть якщо вони зашифровані), гарантуючи, що його транзакція має виключну перевагу за новими цінами.
Джерело IP-адреси: дослідники можуть відстежувати IP-адресу джерела через контрольні точки в мережі peer-to-peer, щоб визначити особу відправника транзакції. Це питання було виявлено ще на ранніх стадіях біткойна (минуло вже понад десять років). Якщо у певного відправника є постійна поведінка, це може бути дуже цінним для дослідників. Наприклад, дізнавшись особу відправника, можна пов'язати криптографічну транзакцію з вже розкритими історичними транзакціями.
Відправник транзакції та інформація про комісії / газ: Транзакційні витрати є специфічним для крипто-меморіальних пулів типом метаданих. У Ethereum традиційна транзакція містить адресу відправника в ланцюзі (для сплати комісії), максимальний бюджет газу та одиничну плату за газ, яку відправник готовий сплатити. Подібно до адреси джерельної мережі, адреса відправника може бути використана для зв'язування кількох транзакцій та реальних сутностей; бюджет газу може натякати на наміри транзакції. Наприклад, взаємодія з певним DEX може вимагати впізнавану фіксовану кількість газу.
Складні пошуковці можуть поєднувати кілька типів метаданих, згаданих вище, для прогнозування змісту угод.
Теоретично, цю інформацію можна приховати, але це потребує витрат на продуктивність і складність. Наприклад, заповнення транзакцій до стандартної довжини може приховати їх розмір, але це витрачає пропускну спроможність і простір у ланцюгу; збільшення затримки перед відправленням може приховати час, але це призведе до збільшення затримки; подання транзакцій через анонімні мережі, такі як Tor, може приховати IP-адресу, але це також створює нові виклики.
Найскладніші метадані для приховування – це інформація про комісії за транзакції. Дані про крипто-комісії можуть створити ряд проблем для будівельників блоків: по-перше, проблема сміттєвої інформації; якщо дані про комісії за транзакції зашифровані, будь-хто може транслювати неправильно відформатовані зашифровані транзакції, які хоча й будуть відсортовані, але не зможуть сплатити комісію, і після розшифровки не можуть бути виконані, проте ніхто не може бути притягнутий до відповідальності. Це може бути вирішено за допомогою SNARKs, які підтверджують правильність формату транзакції й достатність коштів, але це суттєво збільшить витрати.
По-друге, це питання ефективності побудови блоків та аукціону комісій. Будівельники покладаються на інформацію про комісії для створення блоків з максимальною прибутковістю та визначення поточної ринкової ціни ресурсів в мережі. Дані про комісії криптовалют можуть порушити цей процес. Одним із рішень є встановлення фіксованої комісії для кожного блоку, але це економічно неефективно і може призвести до виникнення вторинного ринку для упаковки транзакцій, що суперечить первісному задуму крипто-майнінгового пулу. Іншим рішенням є проведення аукціону комісій за допомогою безпечних багатосторонніх обчислень або надійного апаратного забезпечення, але обидва ці способи є надзвичайно витратними.
Врешті-решт, безпечний крипто-операційний пул збільшить витрати системи з багатьох сторін: шифрування збільшить затримки в ланцюзі, обчислювальне навантаження та споживання пропускної здатності; як це поєднуватиметься з важливими майбутніми цілями, такими як шардінг або паралельне виконання, на даний момент неясно; також можуть виникнути нові точки відмови для активності (liveness) (наприклад, комітет розшифровки в схемах з пороговим шифруванням, обчислювачі затримок); одночасно складність дизайну та реалізації також значно зросте.
Багато проблем, пов'язаних з крипто-пам'яттю, схожі на виклики, з якими стикаються блокчейни, що мають на меті забезпечити конфіденційність транзакцій (такі як Zcash, Monero). Якщо є щось позитивне, то це те, що вирішення всіх викликів криптографічних технологій у пом'якшенні MEV, також усуне перешкоди для конфіденційності транзакцій.
Економічні виклики, з якими стикається крипто-пул пам'яті
Нарешті, крипто-майданчики також стикаються з економічними викликами. На відміну від технічних викликів, які можна поступово зменшити за допомогою достатніх інженерних вкладень. Ці економічні виклики є фундаментальними обмеженнями, які важко вирішити.
Основна проблема MEV полягає в інформаційній асиметрії між творцями транзакцій (користувачами) та видобувачами MEV-можливостей (пошукачами та будівельниками блоків). Користувачі зазвичай не усвідомлюють, скільки екстрагованої вартості міститься в їхніх транзакціях, тому навіть якщо існує ідеальний крипто-меморіал, вони все ще можуть бути спонуковані розкрити свої ключі дешифрування в обмін на винагороду, що нижча за фактичну вартість MEV, що можна назвати "інсентивним дешифруванням".
Цю ситуацію не важко уявити, оскільки подібні механізми, такі як MEV Share, вже існують у реальному житті. MEV Share — це механізм аукціону потоків замовлень, який дозволяє користувачам вибірково подавати інформацію про транзакції в пул, а пошуковики отримують право на використання можливостей MEV цієї транзакції через конкуренцію. Переможець аукціону після вилучення MEV повертає частину прибутку (тобто суму ставки або її певний відсоток) користувачеві.
Ця модель може безпосередньо адаптуватися до крипто-місткості пам'яті: користувачеві потрібно розкрити ключі для розшифровки (або часткову інформацію), щоб взяти участь. Але більшість користувачів не усвідомлюють вартість можливостей участі в таких механізмах, вони бачать лише поточні винагороди і з радістю розкривають інформацію. У традиційних фінансах також є подібні випадки: наприклад, платформа для торгівлі без комісії Robinhood, чий прибутковий модель полягає в тому, щоб продавати потоки замовлень користувачів третім особам через "оплату за потік замовлень" (payment-for-order-flow).
Інший можливий сценарій полягає в тому, що великі будівельники, посилаючись на цензуру, примушують користувачів розкривати зміст транзакцій (або пов'язану інформацію). Антицензурність є важливою і суперечливою темою у сфері Web3, але якщо великі валідатори чи будівельники зобов'язані законом (наприклад, відповідно до правил Управління з контролю за іноземними активами США OFAC) виконувати контрольний список, вони можуть відмовити в обробці будь-яких криптографічних транзакцій. Технічно, користувачі можуть підтвердити, що їх криптографічні транзакції відповідають вимогам цензури за допомогою нульових знань, але це збільшить додаткові витрати та складність. Навіть якщо блокчейн має сильну антицензурність (забезпечуючи обов'язкове включення криптографічних транзакцій), будівельники все ще можуть надавати пріоритет відомим відкритим транзакціям на початку блоку, тоді як криптографічні транзакції можуть бути розміщені в кінці. Отже, ті, хто потребує забезпечення пріоритетності виконання транзакцій, врешті-решт можуть бути змушені розкрити зміст будівельникам.
Інші виклики ефективності
Шифрований мемпул буде збільшувати системні витрати різними очевидними способами. Користувачам потрібно шифрувати транзакції, а системі також потрібно якимось чином їх розшифровувати, що збільшує обчислювальні витрати та може збільшити обсяг транзакцій. Як вже зазначалося, обробка метаданих ще більше посилює ці витрати. Проте існують і деякі витрати на ефективність, які не є такими очевидними. У фінансовій сфері, якщо ціни можуть відображати всю доступну інформацію, ринок вважається ефективним; затримки та інформаційна асиметрія можуть призвести до неефективності ринку. Це неминучий наслідок, який приносить шифрований мемпул.
Цей вид неефективності призводить до прямого наслідку: збільшення невизначеності ціни, що є прямим продуктом додаткових затримок, введених у крипто-меморі. Таким чином, кількість угод, які можуть зазнати невдачі через перевищення допустимих коливань ціни, може зрости, що, в свою чергу, призведе до витрат на місце в ланцюзі.
Така цінова невизначеність також може сприяти спекулятивним MEV-транзакціям, які намагаються отримати прибуток від арбітражу на ланцюзі. Варто зазначити, що крипто-меморіал може зробити ці можливості більш поширеними: через затримки виконання поточний стан децентралізованих бірж (DEX) стає більш розмитим, що, ймовірно, призводить до зниження ефективності ринку і появи цінових різниць між різними торговими платформами. Такі спекулятивні MEV-транзакції також витрачають місце в блоці, оскільки, якщо можливості арбітражу не виявлено, вони зазвичай припиняють виконання.
підсумок
Метою цієї статті є систематизація викликів, з якими стикаються крипто пам'яті, щоб люди могли зосередити свої зусилля на розробці інших рішень, але крипто пам'ять все ще може стати частиною рішення управління MEV.
Одним із можливих підходів є змішаний дизайн: частина транзакцій реалізується через зашифрований пул пам'яті з «сліпим сортуванням», інша частина використовує інші схеми сортування. Для певних типів транзакцій (наприклад, ордери на купівлю та продаж великих учасників ринку, які мають можливість ретельно зашифрувати або заповнити транзакції та готові платити вищу ціну, щоб уникнути MEV) змішаний дизайн може бути відповідним вибором. Для надзвичайно чутливих транзакцій (такі як транзакції з виправленням для вразливих безпечних контрактів) цей дизайн також має практичний сенс.
Однак через технологічні обмеження, високу складність проекту та витрати на продуктивність, шифрована пам'ять не може стати «універсальним рішенням MEV», як це очікується. Спільноті потрібно розробити інші рішення, включаючи аукціони MEV, механізми захисту на прикладному рівні та скорочення часу остаточного підтвердження тощо. MEV залишатиметься викликом в найближчий час і вимагатиме глибоких досліджень для знаходження балансу між різними рішеннями, щоб протистояти його негативному впливу.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
a16z: Чому шифрування пулу пам'яті важко стати універсальним ліком для MEV?
Автор | Пранав Гаріміді、Жозеф Бонно, Ліоба Хеймбах,a16z
Переклад | Сайрша, Foresight News
У блокчейні, заробляючи гроші, вирішуючи, які транзакції включити до блоку, а які виключити, або коригуючи порядок транзакцій, максимальна вартість, яку можна отримати, називається «максимальною витягуваною вартістю», або MEV. MEV поширена в більшості блокчейнів і залишається темою широкого обговорення в галузі.
Багато дослідників, спостерігаючи за явищем MEV, ставлять чітке запитання: чи може криптографічна технологія вирішити цю проблему? Одним з рішень є використання зашифрованого мемпулу: користувачі транслюють зашифровані транзакції, які будуть розкриті лише після завершення сортування. Таким чином, консенсусний протокол повинен «сліпо» вибирати порядок транзакцій, що, здається, може запобігти отриманню прибутку від можливостей MEV на етапі сортування.
Але, на жаль, як з практичної, так і з теоретичної точки зору, крипто-пул пам'яті не може запропонувати універсальне рішення для проблеми MEV. У цій статті будуть викладені труднощі, пов'язані з цим, та розглянуто можливі напрямки проектування крипто-пулу пам'яті.
Принцип роботи криптопам'яті
Існує багато пропозицій щодо крипто-мережевих пулів, але їх загальна структура виглядає так:
Користувач транслює зашифровану транзакцію.
Криптографічна угода подається в ланцюг (в деяких пропозиціях угода спочатку повинна пройти перевірене випадкове перемішування).
Коли блоки, що містять ці транзакції, остаточно підтверджені, транзакції розкриваються.
Нарешті виконайте ці ці transactions.
Слід звернути увагу на те, що в кроці 3 (декодування транзакції) є одне ключове питання: хто відповідальний за декодування? Що робити, якщо декодування не вдалося? Однією простою ідеєю є дозволити користувачам самостійно декодувати свої транзакції (в цьому випадку навіть не потрібно шифрування, достатньо просто приховати зобов'язання). Але такий підхід має вразливість: зловмисник може здійснити спекулятивний MEV.
У спекулятивному MEV атакуючий намагається вгадати, чи містить певна криптографічна транзакція можливість MEV, після чого він шифрує свою транзакцію та намагається вставити її в вигідне місце (наприклад, перед або після цільової транзакції). Якщо транзакції розташовані у запланованому порядку, атакуючий розшифровує і через свою транзакцію отримує MEV; якщо ж це не так, він відмовляється від розшифровки, а його транзакція не буде включена до остаточної blockchain.
Можливо, можна накласти покарання на користувачів, які не змогли розшифрувати, але реалізація цього механізму є надзвичайно складною. Причина в тому, що: усі покарання за зашифровані транзакції повинні бути єдиними (врешті-решт, після шифрування неможливо відрізнити транзакції), і покарання повинно бути досить суворим, щоб навіть перед обличчям високовартісних цілей стримувати спекулятивний MEV. Це призведе до блокування великої кількості коштів, і ці кошти повинні залишатися анонімними (щоб уникнути розкриття зв'язку між транзакцією та користувачем). Ще більше ускладнює ситуацію те, що якщо через програмні вади або збої в мережі справжні користувачі не зможуть нормально розшифрувати, вони також зазнають збитків.
Отже, більшість пропозицій рекомендує при шифруванні транзакцій забезпечити їх можливість розшифровки в певний момент у майбутньому, навіть якщо користувач, що ініціює транзакцію, офлайн або відмовляється співпрацювати. Цю мету можна досягти кількома способами:
Довірені середовища виконання (TEE): користувач може зашифрувати транзакцію за допомогою ключа, що зберігається в безпечній зоні довіреного середовища виконання (TEE). У деяких базових версіях TEE використовується лише для розшифровки транзакцій після певного моменту часу (це вимагає наявності в TEE можливості відстеження часу). Більш складні рішення покладають на TEE відповідальність за розшифровку транзакцій та формування блоків, впорядковуючи транзакції за такими критеріями, як час надходження, плата тощо. Перевагою TEE в порівнянні з іншими схемами криптографічних меморіалів є можливість безпосередньо обробляти відкриті транзакції, зменшуючи надмірну інформацію в ланцюзі шляхом фільтрації транзакцій, які можуть бути скасовані. Але недоліком цього методу є залежність від надійності апаратного забезпечення.
Секретне ділення та шифрування з порогом (Secret-sharing and threshold encryption): у цій схемі користувач шифрує транзакцію до певного ключа, який спільно утримується певним комітетом (зазвичай підмножиною валідаторів). Для дешифрування потрібно виконати певні порогові умови (наприклад, згода двох третин членів комітету).
Під час використання порогового шифрування довірений носій змінюється з апаратного на комітет. Прихильники вважають, що оскільки більшість протоколів вже за замовчуванням вважають, що валідатори мають характеристику «чесна більшість» у механізмі консенсусу, то ми також можемо зробити подібне припущення, що більшість валідаторів залишаться чесними і не розкриють транзакції заздалегідь.
Однак тут слід звернути увагу на ключову різницю: ці дві довірчі припущення не є одним і тим самим поняттям. Консенсусні збої, такі як розгалуження блокчейну, мають відкриту видимість (належать до «слабкого довірчого припущення»), тоді як зловмисний комітет, який заздалегідь розкриває транзакції в приватному порядку, не залишає жодних публічних доказів; така атака не може бути виявлена і не підлягає покаранню (належить до «сильного довірчого припущення»). Отже, хоча на поверхні механізми консенсусу і безпекові припущення криптографічного комітету здаються узгодженими, на практиці достовірність припущення «комітет не буде змовлятися» є набагато нижчою.
Часове блокування та затримка шифрування (Time-lock and delay encryption): як альтернатива шифруванню з пороговим доступом, принцип затриманого шифрування полягає в тому, що користувач шифрує транзакцію до певного публічного ключа, а приватний ключ, що відповідає цьому публічному ключу, прихований у загадці з часовим блокуванням. Загадка з часовим блокуванням є криптографічною загадкою, що упаковує секрет, зміст якого можна розкрити лише після встановленого часу, а саме, процес розшифрування вимагає багаторазового виконання серії обчислень, які не можуть бути паралелізовані. У цій механіці будь-хто може розгадати загадку, щоб отримати ключ і розшифрувати транзакцію, але за умови завершення тривалої (по суті послідовної) обчислювальної задачі, що забезпечує неможливість розшифрування транзакції до її остаточного підтвердження. Найсильнішою формою цього шифрувального примітиву є публічне створення таких загадок за допомогою технології затриманого шифрування; цей процес також можна наблизити за допомогою надійного комітету через шифрування з часовим блокуванням, хоча його відносні переваги в порівнянні з пороговим шифруванням вже підлягають обговоренню.
Незалежно від того, чи використовується затримане шифрування, чи обчислення виконуються довіреною комісією, такі рішення стикаються з багатьма практичними викликами: по-перше, оскільки затримка в основному залежить від процесу обчислення, важко забезпечити точність часу розшифрування; по-друге, ці рішення повинні покладатися на конкретні суб'єкти, які забезпечують високу продуктивність апаратного забезпечення для ефективного розв'язання задач, хоча будь-хто може виконувати цю роль, проте залишається незрозумілим, як стимулювати цю особу до участі; нарешті, у таких проєктах всі транзакції, що транслюються, будуть розшифровані, включаючи ті, що ніколи не були остаточно записані в блоки. На відміну від цього, рішення на основі порогу (або свідчення шифрування) можуть розшифровувати лише ті транзакції, які успішно були включені.
Свідчення шифрування (Witness encryption): Останнє і найсучасніше криптографічне рішення використовує технологію «свідчення шифрування». Теоретично механізм свідчення шифрування полягає в тому, що закодовану інформацію може розшифрувати лише той, хто знає специфічні NP-відношення, що відповідають «свідченням інформації». Наприклад, інформацію можна зашифрувати так: тільки той, хто може розв'язати певну задачу судоку або надати певне значення хеш-образу, може завершити розшифрування.
(Примітка: NP відношення — це відповідність між «питанням» і «відповіддю, яку можна швидко перевірити».)
Для будь-яких NP відносин можна реалізувати подібну логіку за допомогою SNARKs. Можна сказати, що свідчення криптографії в основному є зашифруванням даних у такій формі, яка дозволяє розшифрувати їх лише тим суб'єктам, які можуть довести виконання певних умов за допомогою SNARK. У сценарії зашифрованого пулу пам'яті типовим прикладом таких умов є: транзакції можуть бути розшифровані лише після остаточного підтвердження блоку.
Це теоретичний мовний засіб з величезним потенціалом. Насправді це універсальна схема, де методи на основі комітету та методи на основі затримки є лише його конкретними формами застосування. На жаль, наразі у нас немає жодної практичної реалізації криптографічної схеми на основі свідчень. Крім того, навіть якщо така схема існувала б, важко стверджувати, що вона має перевагу над методами на основі комітету в ланцюгах з підтвердженням прав власності. Навіть якщо налаштувати криптографію свідчень так, щоб «розшифрувати можна було лише після того, як транзакція буде відсортована в остаточному блоці», зловмисний комітет все ще може таємно імітувати протокол консенсусу, щоб підробити остаточний стан підтвердження транзакції, а потім використовувати цей приватний ланцюг як «свідчення» для розшифрування транзакції. У цьому випадку той же комітет, використовуючи порогове шифрування, може досягти такої ж безпеки, і операція буде набагато простішою.
Однак у консенсусному протоколі з підтвердженням роботи переваги свідчення криптографії є ще більш значними. Оскільки навіть якщо комітет буде повністю зловмисним, він не зможе в приватному порядку видобувати кілька нових блоків на верхівці поточного блокчейну для підробки остаточного підтвердження.
Технічні виклики, з якими стикається крипто-операційний пул
Багато реальних викликів обмежують здатність крипто-меморіальних пулів запобігати MEV. В цілому, збереження конфіденційності інформації є складним завданням. Варто зазначити, що використання криптографічних технологій у сфері Web3 не є широким, але десятирічна практика впровадження криптографії в мережах (таких як TLS/HTTPS) та приватному спілкуванні (від PGP до Signal, WhatsApp та інших сучасних крипто-платформ) вже повністю виявила труднощі: хоча криптографія є інструментом захисту конфіденційності, вона не може забезпечити абсолютно надійний захист.
По-перше, деякі суб'єкти можуть безпосередньо отримувати відкриту інформацію про угоди користувачів. У типовій ситуації користувачі зазвичай не шифрують угоди самостійно, а делегують цю роботу постачальнику гаманця. Таким чином, постачальник гаманця може отримати доступ до відкритих угод і навіть може використовувати або продавати цю інформацію для отримання MEV. Безпека шифрування завжди залежить від усіх суб'єктів, які мають доступ до ключів. Обсяг контролю над ключами є межами безпеки.
Окрім того, найбільшою проблемою є метадані, тобто незахищені дані навколо зашифрованого вантажу (транзакції). Шукачі можуть використовувати ці метадані для припущення намірів транзакцій, що, в свою чергу, дозволяє їм здійснювати спекулятивний MEV. Слід зазначити, що шукачі не повинні повністю розуміти зміст транзакції і не зобов'язані вгадувати кожен раз. Наприклад, якщо вони можуть з нормальною ймовірністю оцінити, що транзакція походить від конкретного децентралізованого обмінника (DEX), цього достатньо для здійснення атаки.
Ми можемо розділити метадані на кілька категорій: одна категорія — це класичні проблеми, властиві криптографічним технологіям, а інша — це проблеми, характерні для крипто-міських пулів.
Розмір транзакції: криптографія сама по собі не може приховати розмір відкритого тексту (варто зазначити, що в офіційній визначенні семантичної безпеки чітко вказується, що приховування розміру відкритого тексту виключається). Це поширений вектор атаки в криптографічному зв'язку, типовим прикладом є те, що навіть після шифрування, зловмисник все ще може в реальному часі визначити, що саме відтворюється на Netflix, через розмір кожного пакета даних у відеопотоку. У зашифрованому пулі пам'яті певні типи транзакцій можуть мати унікальний розмір, що призводить до витоку інформації.
Час трансляції: криптографія також не може приховати інформацію про час (це ще один класичний вектор атаки). У сцені Web3 деякі відправники (наприклад, у структурованих сценаріях продажу) можуть ініціювати транзакції з фіксованими інтервалами. Час транзакції також може бути пов'язаний з іншою інформацією, такою як активність на зовнішніх біржах або новинні події. Більш прихований спосіб використання інформації про час - це арбітраж між централізованими біржами (CEX) та децентралізованими біржами (DEX): сортувальник може вставити якомога пізніше створену транзакцію, використовуючи найновішу інформацію про ціни CEX; в той же час сортувальник може виключити всі інші транзакції, які були транслювані після певного моменту (навіть якщо вони зашифровані), гарантуючи, що його транзакція має виключну перевагу за новими цінами.
Джерело IP-адреси: дослідники можуть відстежувати IP-адресу джерела через контрольні точки в мережі peer-to-peer, щоб визначити особу відправника транзакції. Це питання було виявлено ще на ранніх стадіях біткойна (минуло вже понад десять років). Якщо у певного відправника є постійна поведінка, це може бути дуже цінним для дослідників. Наприклад, дізнавшись особу відправника, можна пов'язати криптографічну транзакцію з вже розкритими історичними транзакціями.
Відправник транзакції та інформація про комісії / газ: Транзакційні витрати є специфічним для крипто-меморіальних пулів типом метаданих. У Ethereum традиційна транзакція містить адресу відправника в ланцюзі (для сплати комісії), максимальний бюджет газу та одиничну плату за газ, яку відправник готовий сплатити. Подібно до адреси джерельної мережі, адреса відправника може бути використана для зв'язування кількох транзакцій та реальних сутностей; бюджет газу може натякати на наміри транзакції. Наприклад, взаємодія з певним DEX може вимагати впізнавану фіксовану кількість газу.
Складні пошуковці можуть поєднувати кілька типів метаданих, згаданих вище, для прогнозування змісту угод.
Теоретично, цю інформацію можна приховати, але це потребує витрат на продуктивність і складність. Наприклад, заповнення транзакцій до стандартної довжини може приховати їх розмір, але це витрачає пропускну спроможність і простір у ланцюгу; збільшення затримки перед відправленням може приховати час, але це призведе до збільшення затримки; подання транзакцій через анонімні мережі, такі як Tor, може приховати IP-адресу, але це також створює нові виклики.
Найскладніші метадані для приховування – це інформація про комісії за транзакції. Дані про крипто-комісії можуть створити ряд проблем для будівельників блоків: по-перше, проблема сміттєвої інформації; якщо дані про комісії за транзакції зашифровані, будь-хто може транслювати неправильно відформатовані зашифровані транзакції, які хоча й будуть відсортовані, але не зможуть сплатити комісію, і після розшифровки не можуть бути виконані, проте ніхто не може бути притягнутий до відповідальності. Це може бути вирішено за допомогою SNARKs, які підтверджують правильність формату транзакції й достатність коштів, але це суттєво збільшить витрати.
По-друге, це питання ефективності побудови блоків та аукціону комісій. Будівельники покладаються на інформацію про комісії для створення блоків з максимальною прибутковістю та визначення поточної ринкової ціни ресурсів в мережі. Дані про комісії криптовалют можуть порушити цей процес. Одним із рішень є встановлення фіксованої комісії для кожного блоку, але це економічно неефективно і може призвести до виникнення вторинного ринку для упаковки транзакцій, що суперечить первісному задуму крипто-майнінгового пулу. Іншим рішенням є проведення аукціону комісій за допомогою безпечних багатосторонніх обчислень або надійного апаратного забезпечення, але обидва ці способи є надзвичайно витратними.
Врешті-решт, безпечний крипто-операційний пул збільшить витрати системи з багатьох сторін: шифрування збільшить затримки в ланцюзі, обчислювальне навантаження та споживання пропускної здатності; як це поєднуватиметься з важливими майбутніми цілями, такими як шардінг або паралельне виконання, на даний момент неясно; також можуть виникнути нові точки відмови для активності (liveness) (наприклад, комітет розшифровки в схемах з пороговим шифруванням, обчислювачі затримок); одночасно складність дизайну та реалізації також значно зросте.
Багато проблем, пов'язаних з крипто-пам'яттю, схожі на виклики, з якими стикаються блокчейни, що мають на меті забезпечити конфіденційність транзакцій (такі як Zcash, Monero). Якщо є щось позитивне, то це те, що вирішення всіх викликів криптографічних технологій у пом'якшенні MEV, також усуне перешкоди для конфіденційності транзакцій.
Економічні виклики, з якими стикається крипто-пул пам'яті
Нарешті, крипто-майданчики також стикаються з економічними викликами. На відміну від технічних викликів, які можна поступово зменшити за допомогою достатніх інженерних вкладень. Ці економічні виклики є фундаментальними обмеженнями, які важко вирішити.
Основна проблема MEV полягає в інформаційній асиметрії між творцями транзакцій (користувачами) та видобувачами MEV-можливостей (пошукачами та будівельниками блоків). Користувачі зазвичай не усвідомлюють, скільки екстрагованої вартості міститься в їхніх транзакціях, тому навіть якщо існує ідеальний крипто-меморіал, вони все ще можуть бути спонуковані розкрити свої ключі дешифрування в обмін на винагороду, що нижча за фактичну вартість MEV, що можна назвати "інсентивним дешифруванням".
Цю ситуацію не важко уявити, оскільки подібні механізми, такі як MEV Share, вже існують у реальному житті. MEV Share — це механізм аукціону потоків замовлень, який дозволяє користувачам вибірково подавати інформацію про транзакції в пул, а пошуковики отримують право на використання можливостей MEV цієї транзакції через конкуренцію. Переможець аукціону після вилучення MEV повертає частину прибутку (тобто суму ставки або її певний відсоток) користувачеві.
Ця модель може безпосередньо адаптуватися до крипто-місткості пам'яті: користувачеві потрібно розкрити ключі для розшифровки (або часткову інформацію), щоб взяти участь. Але більшість користувачів не усвідомлюють вартість можливостей участі в таких механізмах, вони бачать лише поточні винагороди і з радістю розкривають інформацію. У традиційних фінансах також є подібні випадки: наприклад, платформа для торгівлі без комісії Robinhood, чий прибутковий модель полягає в тому, щоб продавати потоки замовлень користувачів третім особам через "оплату за потік замовлень" (payment-for-order-flow).
Інший можливий сценарій полягає в тому, що великі будівельники, посилаючись на цензуру, примушують користувачів розкривати зміст транзакцій (або пов'язану інформацію). Антицензурність є важливою і суперечливою темою у сфері Web3, але якщо великі валідатори чи будівельники зобов'язані законом (наприклад, відповідно до правил Управління з контролю за іноземними активами США OFAC) виконувати контрольний список, вони можуть відмовити в обробці будь-яких криптографічних транзакцій. Технічно, користувачі можуть підтвердити, що їх криптографічні транзакції відповідають вимогам цензури за допомогою нульових знань, але це збільшить додаткові витрати та складність. Навіть якщо блокчейн має сильну антицензурність (забезпечуючи обов'язкове включення криптографічних транзакцій), будівельники все ще можуть надавати пріоритет відомим відкритим транзакціям на початку блоку, тоді як криптографічні транзакції можуть бути розміщені в кінці. Отже, ті, хто потребує забезпечення пріоритетності виконання транзакцій, врешті-решт можуть бути змушені розкрити зміст будівельникам.
Інші виклики ефективності
Шифрований мемпул буде збільшувати системні витрати різними очевидними способами. Користувачам потрібно шифрувати транзакції, а системі також потрібно якимось чином їх розшифровувати, що збільшує обчислювальні витрати та може збільшити обсяг транзакцій. Як вже зазначалося, обробка метаданих ще більше посилює ці витрати. Проте існують і деякі витрати на ефективність, які не є такими очевидними. У фінансовій сфері, якщо ціни можуть відображати всю доступну інформацію, ринок вважається ефективним; затримки та інформаційна асиметрія можуть призвести до неефективності ринку. Це неминучий наслідок, який приносить шифрований мемпул.
Цей вид неефективності призводить до прямого наслідку: збільшення невизначеності ціни, що є прямим продуктом додаткових затримок, введених у крипто-меморі. Таким чином, кількість угод, які можуть зазнати невдачі через перевищення допустимих коливань ціни, може зрости, що, в свою чергу, призведе до витрат на місце в ланцюзі.
Така цінова невизначеність також може сприяти спекулятивним MEV-транзакціям, які намагаються отримати прибуток від арбітражу на ланцюзі. Варто зазначити, що крипто-меморіал може зробити ці можливості більш поширеними: через затримки виконання поточний стан децентралізованих бірж (DEX) стає більш розмитим, що, ймовірно, призводить до зниження ефективності ринку і появи цінових різниць між різними торговими платформами. Такі спекулятивні MEV-транзакції також витрачають місце в блоці, оскільки, якщо можливості арбітражу не виявлено, вони зазвичай припиняють виконання.
підсумок
Метою цієї статті є систематизація викликів, з якими стикаються крипто пам'яті, щоб люди могли зосередити свої зусилля на розробці інших рішень, але крипто пам'ять все ще може стати частиною рішення управління MEV.
Одним із можливих підходів є змішаний дизайн: частина транзакцій реалізується через зашифрований пул пам'яті з «сліпим сортуванням», інша частина використовує інші схеми сортування. Для певних типів транзакцій (наприклад, ордери на купівлю та продаж великих учасників ринку, які мають можливість ретельно зашифрувати або заповнити транзакції та готові платити вищу ціну, щоб уникнути MEV) змішаний дизайн може бути відповідним вибором. Для надзвичайно чутливих транзакцій (такі як транзакції з виправленням для вразливих безпечних контрактів) цей дизайн також має практичний сенс.
Однак через технологічні обмеження, високу складність проекту та витрати на продуктивність, шифрована пам'ять не може стати «універсальним рішенням MEV», як це очікується. Спільноті потрібно розробити інші рішення, включаючи аукціони MEV, механізми захисту на прикладному рівні та скорочення часу остаточного підтвердження тощо. MEV залишатиметься викликом в найближчий час і вимагатиме глибоких досліджень для знаходження балансу між різними рішеннями, щоб протистояти його негативному впливу.