a16z：爲何加密內存池難成 MEV 的萬能解藥？

技術、經濟、效率：三座繞不開的大山。

撰文：Pranav Garimidi、Joseph Bonneau、Lioba Heimbach，a16z

編譯：Saoirse，Foresight News

在區塊鏈裏，通過決定哪些交易打包進區塊、哪些排除在外，或者調整交易的順序來賺錢，這種能賺到的最大價值就叫「最大可提取價值」，簡稱 MEV。MEV 在大多數區塊鏈中都普遍存在，一直是業內廣泛關注和討論的話題。

注：本文默認讀者已對 MEV 有基本了解。部分讀者可先閱讀我們的 MEV 科普文章*。*

衆多研究人員在觀察 MEV 現象時，都提出了一個明確的問題：加密技術能否解決這一問題？其中一種方案是採用加密內存池：用戶廣播加密後的交易，這些交易僅在完成排序後才會被解密披露。如此一來，共識協議就必須「盲選」交易順序，這似乎能防止在排序階段利用 MEV 機會獲利。

但遺憾的是，無論是從實際應用還是理論層面來看，加密內存池都無法爲 MEV 問題提供通用解決方案。本文將闡述其中的難點，並探討加密內存池的可行性設計方向。

加密內存池的工作原理

關於加密內存池已有諸多提案，但它的通用框架如下：

1. 用戶廣播加密後的交易。
2. 加密交易被提交至鏈上（部分提案中，交易需先經過可驗證的隨機洗牌）。
3. 當包含這些交易的區塊最終確認後，交易被解密。
4. 最後執行這些交易。

需要注意的是，步驟 3（交易解密）存在一個關鍵問題：由誰負責解密？如果解密未能完成該怎麼辦？一個簡單的思路是讓用戶自行解密自己的交易（這種情況下甚至無需加密，只需隱藏承諾即可）。但這種方式存在漏洞：攻擊者可能實施投機性 MEV。

在投機性 MEV 中，攻擊者會猜測某筆加密交易蘊含 MEV 機會，隨後加密自己的交易並試圖將其插入到有利位置（例如目標交易的前或後）。若交易按預期順序排列，攻擊者便會解密並通過自己的交易提取 MEV；若未達預期，他們會拒絕解密，其交易也不會被納入最終區塊鏈。

或許可以對解密失敗的用戶施加懲罰，但這一機制的實施難度極大。原因在於：所有加密交易的懲罰力度必須統一（畢竟加密後無法區分交易），且懲罰需足夠嚴厲，即便面對高價值目標也能遏制投機性 MEV。這會導致大量資金被鎖定，且這些資金需保持匿名性（以避免泄露交易與用戶的關聯）。更棘手的是，若因程序漏洞或網路故障導致真實用戶無法正常解密，他們也會因此蒙受損失。

因此，大多數方案建議對交易進行加密時，需確保其在未來某一時刻必然可解密，即便交易發起用戶離線或拒絕配合。這一目標可通過以下幾種方式實現：

可信執行環境（TEEs）：用戶可將交易加密至由可信執行環境（TEE）安全區持有的密鑰。在一些基礎版本中，TEE 僅用於在特定時間點後解密交易（這要求 TEE 內部具備時間感知能力）。更復雜的方案則讓 TEE 負責解密交易並構建區塊，依據到達時間、費用等標準對交易排序。與其他加密內存池方案相比，TEE 的優勢在於能直接處理明文交易，通過過濾掉會回滾的交易減少鏈上冗餘信息。但該方法的短板是依賴硬件可信度。

祕密共享與門限加密（Secret-sharing and threshold encryption）：在此方案中，用戶將交易加密至某一密鑰，該密鑰由特定委員會（通常是驗證者的子集）共同持有。解密需滿足一定門限條件（例如，委員會中三分之二成員同意）。

採用門限解密時，信任的載體從硬件轉變爲委員會。支持者認爲，既然大多數協議在共識機制中已默認驗證者具備「誠實多數」特性，那麼我們也可做出類似假設，即多數驗證者會保持誠實，不會提前解密交易。

然而，這裏需要注意一個關鍵區別：這兩種信任假設並非同一概念。區塊鏈分叉等共識失敗具有公開可見性（屬於「弱信任假設」），而惡意委員會私下提前解密交易不會留下任何公開證據，這種攻擊既無法被檢測，也無法對其進行懲罰（屬於「強信任假設」）。因此，盡管從表面上看，共識機制與加密委員會的安全假設似乎一致，但實際操作中，「委員會不會合謀」這一假設的可信度要低得多。

時間鎖定與延遲加密（Time-lock and delay encryption）：作爲門限加密的替代方案，延遲加密的原理是：用戶將交易加密至某個公鑰，而該公鑰對應的私鑰被隱藏在一個時間鎖定謎題中。時間鎖定謎題是一種封裝祕密的密碼學謎題，其祕密內容需在預設時間過後才能被揭曉，更具體地說，解密過程需要反復執行一系列無法並行化的計算。在這種機制下，任何人都能解開謎題以獲取密鑰並解密交易，但前提是完成一段設計耗時足夠長的緩慢（本質上是串行執行的）計算，確保交易在最終確認前無法被解密。這種加密原語的最強形式是通過延遲加密技術公開生成此類謎題；也可通過可信委員會借助時間鎖定加密來近似實現這一過程，不過此時其相對門限加密的優勢已值得商榷。

無論是採用延遲加密還是由可信委員會執行計算，這類方案都面臨諸多實際挑戰：首先，由於延遲本質上依賴計算過程，難以確保解密時間的精確性；其次，這些方案需依賴特定實體運行高性能硬件來高效解算謎題，盡管任何人都能承擔這一角色，但如何激勵該主體參與仍不明確；最後，在這類設計中，所有廣播的交易都會被解密，包括那些從未被最終寫入區塊的交易。而基於門限（或見證加密）的方案則有可能僅解密那些成功被包含的交易。

見證加密（Witness encryption）：最後一種最先進的密碼學方案是採用「見證加密」技術。從理論上講，見證加密的機制是：將信息加密後，只有知曉特定 NP 關係對應「見證信息」的人，才能對其進行解密。例如，可將信息加密爲：只有能解出某道數獨謎題，或能提供某一數值哈希原像的人，才能完成解密。

（注：NP 關係就是「問題」和「能快速驗證的答案」之間的對應關係）

對於任何 NP 關係，都可通過 SNARKs 實現類似邏輯。可以說，見證加密本質上是將數據加密爲僅讓能通過 SNARK 證明滿足特定條件的主體可解密的形式。在加密內存池場景中，這類條件的一個典型例子是：交易僅在區塊最終確認後才能被解密。

這是一種極具潛力的理論原語。實際上，它是一種通用性方案，基於委員會的方法和基於延遲的方法都只是其具體應用形式。遺憾的是，目前我們尚未有任何可實際落地的基於見證的加密方案。此外，即便存在這樣的方案，也很難說它在權益證明鏈中能比基於委員會的方法更具優勢。即便將見證加密設置爲「僅當交易在最終確定的區塊中完成排序後才可解密」，惡意委員會仍能私下模擬共識協議來僞造交易的最終確認狀態，再以這條私有鏈作爲「見證」來解密交易。此時，由同一委員會採用門限解密既能達到同等安全性，操作還簡單得多。

不過，在工作量證明共識協議中，見證加密的優勢更爲顯著。因爲即便委員會完全惡意，也無法在當前區塊鏈頭部私下挖掘多個新塊來僞造最終確認狀態。

加密內存池面臨的技術挑戰

多項實際挑戰制約着加密內存池防範 MEV 的能力。總體而言，信息保密本身就是一項難題。值得注意的是，加密技術在 Web3 領域的應用並不廣泛，但我們在網路（如 TLS/HTTPS）和私密通信（從 PGP 到 Signal、WhatsApp 等現代加密消息平台）中部署加密技術的數十年實踐，已充分暴露了其中的難點：加密雖是保護機密性的工具，卻無法做到絕對保障。

首先，某些主體可能直接獲取用戶交易的明文信息。在典型場景中，用戶通常不會自行加密交易，而是將這項工作委托給錢包服務商。如此一來，錢包服務商便能接觸到交易明文，甚至可能利用或出售這些信息來提取 MEV。加密的安全性，始終取決於所有能接觸到密鑰的主體。密鑰的掌控的範圍，就是安全的邊界。

除此之外，最大的問題在於元數據，即加密載荷（交易）週邊的未加密數據。搜索者可利用這些元數據推測交易意圖，進而實施投機性 MEV。要知道，搜索者無需完全理解交易內容，也不必每次都猜對。例如，只要他們能以合理概率判斷某筆交易是來自特定去中心化交易所（DEX）的買單，就足以發起攻擊。

我們可將元數據分爲幾類：一類是加密技術固有的經典難題，另一類則是加密內存池特有的問題。

• 交易大小：加密本身無法隱藏明文的大小（值得注意的是，語義安全的正式定義中明確將明文大小的隱藏排除在外）。這是加密通信中常見的攻擊向量，典型案例是，即便經過加密，竊聽者仍能通過視頻流中每個數據包的大小，實時判斷 Netflix 上正在播放的內容。在加密內存池中，特定類型的交易可能具有獨特大小，從而泄露信息。
• 廣播時間：加密同樣無法隱藏時間信息（這是另一個經典攻擊向量）。在 Web3 場景中，某些發送方（如結構化拋售場景）可能按固定間隔發起交易。交易時間還可能與其他信息相關聯，例如外部交易所的活動或新聞事件。更隱蔽的時間信息利用方式是中心化交易所（CEX）與去中心化交易所（DEX）的套利：排序者可通過插入盡可能晚創建的交易，利用最新的 CEX 價格信息；同時，排序者可排除在某一時間點後廣播的所有其他交易（即便加密），確保自己的交易獨享最新價格優勢。
• 源 IP 地址：搜索者可通過監控點對點網路、追蹤源 IP 地址來推斷交易發送者身分。這一問題在比特幣早期就已被發現（至今已逾十年）。若特定發送方有固定行爲模式，這對搜索者而言極具價值。例如，知曉發送者身分後，可將加密交易與已解密的歷史交易關聯起來。
• 交易發送者與費用 / gas 信息：交易費用是加密內存池特有的元數據類型。在以太坊中，傳統交易包含鏈上發送者地址（用於支付費用）、最大 gas 預算以及發送者願意支付的單位 gas 費用。與源網路地址類似，發送者地址可用於關聯多筆交易及現實實體；gas 預算則能暗示交易意圖。例如，與特定 DEX 交互可能需要可識別的固定 gas 量。

復雜的搜索者可能結合上述多種元數據類型來預測交易內容。

理論上，這些信息都可隱藏，但需付出性能與復雜度的代價。例如，將交易填充至標準長度可隱藏大小，卻會浪費帶寬和鏈上空間；發送前增加延遲可隱藏時間，卻會增加延遲；通過 Tor 等匿名網路提交交易可隱藏 IP 地址，但這又會帶來新的挑戰。

最難隱藏的元數據是交易費用信息。加密費用數據會給區塊構建者帶來一系列問題：首先是垃圾信息問題，若交易費用數據被加密，任何人都可廣播格式錯誤的加密交易，這些交易雖會被排序，但無法支付費用，解密後無法執行卻無人能被追責。這或許可通過 SNARKs 解決，即證明交易格式正確且資金充足，但會大幅增加開銷。

其次是區塊構建與費用拍賣的效率問題。構建者依賴費用信息來創建利潤最大化的區塊，並確定鏈上資源的當前市場價格。加密費用數據會破壞這一過程。一種解決方案是爲每個區塊設定固定費用，但這在經濟上低效，還可能催生交易打包的二級市場，違背加密內存池的設計初衷。另一種方案是通過安全多方計算或可信硬件進行費用拍賣，但這兩種方式成本極高。

最後，安全的加密內存池會從多方面增加系統開銷：加密會增加鏈的延遲、計算量和帶寬消耗；如何與分片或並行執行等重要未來目標結合，目前尚不明確；還可能爲活性（liveness）引入新的故障點（如門限方案中的解密委員會、延遲函數求解器）；同時，設計與實現復雜度也會顯著上升。

加密內存池的許多問題，與旨在保障交易隱私的區塊鏈（如 Zcash、Monero）面臨的挑戰相通。若說有什麼積極意義，那便是：解決加密技術在 MEV 緩解中的所有挑戰，將順帶爲交易隱私掃清障礙。

加密內存池面臨的經濟挑戰

最後，加密內存池還面臨着經濟層面的挑戰。與技術挑戰不同，後者可通過足夠的工程投入逐步緩解 。這些經濟挑戰屬於根本性限制，解決難度極大。

MEV 的核心問題源於交易創建者（用戶）與 MEV 機會挖掘者（搜索者和區塊構建者）之間的信息不對稱。用戶通常不清楚自己的交易中蘊含多少可提取價值，因此即便存在完美的加密內存池，他們仍可能被誘導泄露解密密鑰，以換取一筆低於實際 MEV 價值的報酬，這種現象可稱爲「激勵性解密」。

這種場景並不難想象，因爲類似機制如 MEV Share，已在現實中存在。MEV Share 是一種訂單流拍賣機制，允許用戶選擇性地向一個池中提交交易信息，搜索者通過競爭獲取利用該交易 MEV 機會的權利。中標者在提取 MEV 後，會將部分收益（即投標金額或其一定比例）返還給用戶。

這種模式可直接適配加密內存池：用戶需披露解密密鑰（或部分信息）才能參與。但多數用戶意識不到參與此類機制的機會成本，他們只看到眼前的回報，便樂於泄露信息。傳統金融中也有類似案例：例如零佣金交易平台 Robinhood，其盈利模式正是通過「訂單流支付」（payment-for-order-flow）向第三方出售用戶訂單流。

另一種可能的場景是：大型構建者以審查爲由，強制用戶披露交易內容（或相關信息）。抗審查性是 Web3 領域一個重要且具爭議的話題，但如果大型驗證者或構建者受法律約束（如美國外國資產控制辦公室 OFAC 的規定）需執行審查清單，他們可能會拒絕處理任何加密交易。從技術上看，用戶或許可通過零知識證明來證實其加密交易符合審查要求，但這會增加額外成本與復雜度。即便區塊鏈具備強抗審查性（確保加密交易必然被收錄），構建者仍可能優先將已知明文的交易置於區塊前端，而將加密交易排在末尾。因此，那些需要確保執行優先級的交易，最終可能還是被迫向構建者披露內容。

其他效率方面的挑戰

加密內存池會通過多種明顯方式增加系統開銷。用戶需對交易進行加密，系統還需以某種方式解密，這會增加計算成本，還可能增大交易體積。如前所述，處理元數據會進一步加劇這些開銷。然而，還有一些效率成本並不那麼顯而易見。在金融領域，若價格能反映所有可用信息，市場便被視爲有效；而延遲與信息不對稱會導致市場低效。這正是加密內存池帶來的必然結果。

這類低效會導致一個直接後果：價格不確定性增加，這是加密內存池引入額外延遲的直接產物。因此，因超出價格滑點容忍度而失敗的交易可能會增多，進而浪費鏈上空間。

同樣，這種價格不確定性還可能催生投機性 MEV 交易，這類交易試圖從鏈上套利中獲利。值得注意的是，加密內存池可能會讓這類機會更爲普遍：由於執行延遲，去中心化交易所（DEX）的當前狀態變得更加模糊，這很可能導致市場效率下降，不同交易平台間出現價格差異。此類投機性 MEV 交易也會浪費區塊空間，因爲一旦未發現套利機會，它們往往會終止執行。

總結

本文的初衷是梳理加密內存池面臨的挑戰，以便人們能將精力轉向其他解決方案的研發，但加密內存池仍可能成爲 MEV 治理方案的一部分。

一種可行的思路是混合設計：部分交易通過加密內存池實現「盲排序」，另一部分則採用其他排序方案。對於特定類型的交易（例如大型市場參與者的買賣訂單，他們有能力精心加密或填充交易，並願意爲規避 MEV 支付更高成本），混合設計可能是合適的選擇。對於高度敏感的交易（如針對存在漏洞的安全合約的修復交易），這種設計也具有實際意義。

然而，由於技術局限、高昂的工程復雜度和性能開銷，加密內存池不太可能成爲人們所期待的「MEV 萬能解決方案」。社區需要開發其他方案，包括 MEV 拍賣、應用層防御機制和縮短最終確認時間等。MEV 在未來一段時間內仍將是一項挑戰，需要通過深入研究找到各類解決方案的平衡點，以應對其負面影響。