a16z：為何加密記憶體池難成MEV的萬能解藥？

原文標題：On the limits of encrypted mempools

原文作者：Pranav Garimidi、Joseph Bonneau、Lioba Heimbach，a16z

原文編譯：Saoirse，Foresight News

在區塊鏈裡，透過決定哪些交易打包進區塊、哪些排除在外，或者調整交易的順序來賺錢，這種能賺到的最大價值就叫「最大可提取價值」，簡稱 MEV。 MEV 在大多數區塊鏈中都普遍存在，一直是業界廣泛關注和討論的話題。

註：本文預設讀者已對 MEV 有基本了解。部分讀者可先閱讀我們的 MEV 科普文章。

眾多研究者在觀察 MEV 現象時，都提出了一個明確的問題：加密技術能否解決這個問題？其中一個方案是採用加密記憶體池：用戶廣播加密後的交易，這些交易僅在完成排序後才會被解密揭露。如此一來，共識協議就必須「盲選」交易順序，這似乎能防止在排序階段利用 MEV 機會獲利。

但遺憾的是，無論是從實際應用還是理論層面來看，加密記憶體池都無法為 MEV 問題提供通用解決方案。本文將闡述其中的困難點，並探討加密記憶體池的可行性設計方向。

加密記憶體池的工作原理

關於加密記憶體池已有諸多提案，但它的通用框架如下：

1.用戶廣播加密後的交易。

2.加密交易被提交至鏈上（部分提案中，交易需先經過可驗證的隨機洗牌）。

3.當包含這些交易的區塊最終確認後，交易被解密。

4.最後執行這些交易。

需要注意的是，步驟 3（交易解密）有一個關鍵問題：由誰負責解密？如果解密未能完成該怎麼辦？一個簡單的想法是讓用戶自行解密自己的交易（這種情況甚至無需加密，只需隱藏承諾即可）。但這種方式存在漏洞：攻擊者可能實施投機性 MEV。

在投機性 MEV 中，攻擊者會猜測某筆加密交易蘊含 MEV 機會，隨後加密自己的交易並試圖將其插入到有利位置（例如目標交易的前或後）。若交易按預期順序排列，攻擊者便會解密並透過自己的交易提取 MEV；若未達預期，他們會拒絕解密，其交易也不會被納入最終區塊鏈。

或許可以對解密失敗的使用者施加懲罰，但這機制的實施難度極高。原因在於：所有加密交易的懲罰力道必須統一（畢竟加密後無法區分交易），且懲罰需足夠嚴厲，即便麵對高價值目標也能遏制投機性 MEV。這會導致大量資金被鎖定，且這些資金需保持匿名性（以避免洩漏交易與用戶的關聯）。更棘手的是，若因程式漏洞或網路故障導致真實用戶無法正常解密，他們也會因此蒙受損失。

因此，大多數方案建議對交易進行加密時，需確保其在未來某一時刻必然可解密，即便交易發起用戶離線或拒絕配合。此目標可透過以下幾種方式實現：

可信任執行環境（TEEs）：使用者可將交易加密至由可信任執行環境（TEE）安全區持有的金鑰。在一些基礎版本中，TEE 僅用於在特定時間點後解密交易（這要求 TEE 內部具備時間感知能力）。更複雜的方案則讓 TEE 負責解密交易並建立區塊，依據到達時間、費用等標準對交易排序。與其他加密記憶體池方案相比，TEE 的優勢在於能直接處理明文交易，透過過濾掉會回滾的交易減少鏈上冗餘資訊。但該方法的短板是依賴硬體可信度。

秘密共享與閘限加密（Secret-sharing and threshold encryption）：在此方案中，使用者將交易加密至某一金鑰，該金鑰由特定委員會（通常是驗證者的子集）共同持有。解密需滿足某一門限條件（例如，委員會中三分之二成員同意）。

採用閘限解密時，信任的載體從硬體轉變為委員會。支持者認為，既然大多數協議在共識機制中已默認驗證者俱備「誠實多數」特性，那麼我們也可做出類似假設，即多數驗證者會保持誠實，不會提前解密交易。

然而，這裡需要注意一個關鍵區別：這兩種信任假設並非同一概念。區塊鏈分叉等共識失敗具有公開可見性（屬於「弱信任假設」），而惡意委員會私下提前解密交易不會留下任何公開證據，這種攻擊既無法被檢測，也無法對其進行懲罰（屬於「強信任假設」）。因此，儘管從表面上看，共識機制與加密委員會的安全假設似乎一致，但在實際操作中，「委員會不會合謀」這一假設的可信度要低得多。

時間鎖定與延遲加密（Time-lock and delay encryption）：作為閘限加密的替代方案，延遲加密的原理是：使用者將交易加密至某個公鑰，而該公鑰對應的私鑰則隱藏在一個時間鎖定謎題中。時間鎖定謎題是一種封裝秘密的密碼學謎題，其秘密內容需在預設時間過後才能被揭曉，更具體地說，解密過程需要反覆執行一系列無法並行化的計算。在這種機制下，任何人都能解開謎題以獲取金鑰並解密交易，但前提是完成一段設計耗時足夠長的緩慢（本質上是串行執行的）計算，確保交易在最終確認前無法被解密。這種加密原語的最強形式是透過延遲加密技術公開產生此類謎題；也可透過可信任委員會借助時間鎖定加密來近似實現這一過程，不過此時其相對門限加密的優勢已值得商榷。

無論是採用延遲加密還是由可信任委員會執行計算，這類方案都面臨諸多實際挑戰：首先，由於延遲本質上依賴計算過程，難以確保解密時間的精確性；其次，這些方案需依賴特定實體運行高性能硬體來高效解算謎題，儘管任何人都能承擔這一角色，但如何激勵該主體參與仍不明確；最後，在這類設計中，所有廣播的交易都會被解密，包括那些從未被最終寫入區塊的交易。而基於門限（或見證加密）的方案則有可能只解密那些成功被包含的交易。

見證加密（Witness encryption）：最後一種最先進的密碼學方案是採用「見證加密」技術。從理論上講，見證加密的機制是：將資訊加密後，只有知曉特定 NP 關係對應「見證訊息」的人，才能對其進行解密。例如，資訊可加密為：只有能解出某道數獨謎題，或能提供某一數值哈希原像的人，才能完成解密。

（註：NP 關係就是「問題」與「能快速驗證的答案」之間的對應關係）

對於任何 NP 關係，都可透過 SNARKs 實現類似邏輯。可以說，見證加密本質上是將資料加密為僅讓能透過 SNARK 證明滿足特定條件的主體可解密的形式。在加密記憶體池場景中，這類條件的一個典型例子是：交易只有在區塊最終確認後才能被解密。

這是極具潛力的理論原語。實際上，它是一種通用性方案，基於委員會的方法和基於延遲的方法都只是其具體應用形式。遺憾的是，目前我們尚未有任何可實際落地的基於見證的加密方案。此外，即便有這樣的方案，也很難說它在權益證明鏈中能比基於委員會的方法更具優勢。即便將見證加密設定為「僅當交易在最終確定的區塊中完成排序後才可解密」，惡意委員會仍能私下模擬共識協議來偽造交易的最終確認狀態，再以這條私有鏈作為「見證」來解密交易。此時，由同一委員會採用門限解密既能達到同等安全性，操作也簡單得多。

不過，在工作量證明共識協定中，見證加密的優勢更為顯著。因為即便委員會完全惡意，也無法在當前區塊鏈頭部私下挖掘多個新區塊來偽造最終確認狀態。

加密記憶體池面臨的技術挑戰

多項實際挑戰制約著加密記憶體池防範 MEV 的能力。整體而言，資訊保密本身就是一項難題。值得注意的是，加密技術在 Web3 領域的應用並不廣泛，但我們在網路（如 TLS/HTTPS）和私密通訊（從 PGP 到 Signal、WhatsApp 等現代加密訊息平台）中部署加密技術的數十年實踐，已充分揭露了其中的難點：加密雖是保護機密性的工具，卻無法做到絕對保障。

首先，某些主體可能直接取得使用者交易的明文資訊。在典型場景中，用戶通常不會自行加密交易，而是將這項工作委託給錢包服務商。如此一來，錢包服務商便能接觸到交易明文，甚至可能利用或出售這些資訊來提取 MEV。加密的安全性，始終取決於所有能接觸到金鑰的主體。密鑰的掌控的範圍，就是安全的邊界。

除此之外，最大的問題在於元數據，即加密載重（交易）週邊的未加密資料。搜尋者可利用這些元資料推測交易意圖，進而實施投機性 MEV。要知道，搜尋者無需完全理解交易內容，也不必每次都猜對。例如，只要他們能以合理機率判斷某筆交易是來自特定去中心化交易所（DEX）的買單，就足以發動攻擊。

我們可將元資料分為幾類：一類是加密技術固有的經典難題，另一類則是加密記憶體池特有的問題。

· 交易大小：加密本身無法隱藏明文的大小（值得注意的是，語意安全的正式定義中明確將明文大小的隱藏排除在外）。這是加密通訊中常見的攻擊向量，典型案例是，即便經過加密，竊聽者仍能透過視訊串流中每個資料包的大小，即時判斷 Netflix 上正在播放的內容。在加密記憶體池中，特定類型的交易可能具有獨特大小，從而洩露資訊。

· 廣播時間：加密同樣無法隱藏時間資訊（這是另一個經典攻擊向量）。在 Web3 場景中，某些發送方（如結構化拋售場景）可能會以固定間隔啟動交易。交易時間也可能與其他資訊相關聯，例如外部交易所的活動或新聞事件。更隱密的時間資訊利用方式是中心化交易所（CEX）與去中心化交易所（DEX）的套利：排序者可透過插入盡可能晚創建的交易，利用最新的 CEX 價格資訊；同時，排序者可排除在某一時間點後廣播的所有其他交易（即便加密），確保自己的交易獨享最新價格優勢。

· 來源 IP 位址：搜尋者可透過監控點對點網路、追蹤來源 IP 位址來推斷交易發送者身分。這一問題在比特幣早期就已被發現（至今已逾十年）。若特定發送方有固定行為模式，這對搜尋者而言極具價值。例如，在知曉發送者身分後，可將加密交易與已解密的歷史交易關聯。

· 交易發送者與費用 / gas 資訊：交易費用是加密記憶體池特有的元資料類型。在以太坊中，傳統交易包含鏈上發送者地址（用於支付費用）、最大 gas 預算以及發送者願意支付的單位 gas 費用。與來源網路位址類似，發送者位址可用於關聯多筆交易及現實實體；gas 預算則能暗示交易意圖。例如，與特定 DEX 互動可能需要可識別的固定 gas 量。

複雜的搜尋者可能會結合上述多種元資料類型來預測交易內容。

理論上，這些資訊都可隱藏，但需付出效能與複雜度的代價。例如，將交易填入標準長度可隱藏大小，卻會浪費頻寬和鏈上空間；發送前增加延遲可隱藏時間，卻會增加延遲；透過 Tor 等匿名網路提交交易可隱藏 IP 位址，但這又會帶來新的挑戰。

最難隱藏的元資料是交易費用資訊。加密費用資料會為區塊建構者帶來一系列問題：首先是垃圾資訊問題，若交易費用資料被加密，任何人都可廣播格式錯誤的加密交易，這些交易雖會被排序，但無法支付費用，解密後無法執行卻無人能被追責。這或許可證透過 SNARKs 解決，即證明交易格式正確且資金充足，但會大幅增加開銷。

其次是區塊建置與費用拍賣的效率問題。建構者依賴費用資訊來創建利潤最大化的區塊，並確定鏈上資源的當前市場價格。加密費用資料會破壞這個過程。一種解決方案是為每個區塊設定固定費用，但這在經濟上低效，也可能催生交易打包的二級市場，違背加密記憶體池的設計初衷。另一種方案是透過安全多方計算或可信任硬體進行費用拍賣，但這兩種方式成本極高。

最後，安全的加密記憶體池會從多方面增加系統開銷：加密會增加鏈的延遲、計算量和頻寬消耗；如何與分片或併行執行等重要未來目標結合，目前尚不明確；還可能為活性（liveness）引入新的故障點（如門限方案中的破譯

加密記憶體池的許多問題，與旨在保障交易隱私的區塊鏈（如 Zcash、Monero）面臨的挑戰相通。若說有什麼正面意義，那便是：解決加密技術在 MEV 緩解中的所有挑戰，將順帶為交易隱私掃清障礙。

加密記憶體池面臨的經濟挑戰

最後，加密記憶體池還面臨經濟層面的挑戰。與技術挑戰不同，後者可透過足夠的工程投入逐步緩解。這些經濟挑戰屬於根本性限制，解決難度極大。

MEV 的核心問題源自於交易創建者（使用者）與 MEV 機會挖掘者（搜尋者和區塊建構者）之間的資訊不對稱。用戶通常不清楚自己的交易中蘊含多少可提取價值，因此即便存在完美的加密記憶體池，他們仍可能被誘導洩漏解密金鑰，以換取一筆低於實際 MEV 價值的報酬，這種現象可稱為「激勵性解密」。

這種場景並不難想像，因為類似機制如 MEV Share，已在現實中存在。 MEV Share 是一種訂單流拍賣機制，允許用戶選擇性地向一個池中提交交易訊息，搜尋者透過競爭獲取利用該交易 MEV 機會的權利。得標者在提取 MEV 後，會將部分收益（即投標金額或其一定比例）退還給用戶。

此模式可直接適配加密記憶體池：使用者需揭露解密金鑰（或部分資訊）才能參與。但多數用戶意識不到參與此類機制的機會成本，他們只看到眼前的回報，便樂於洩漏資訊。傳統金融中也有類似案例：例如零佣金交易平台 Robinhood，其獲利模式正是透過「訂單流支付」（payment-for-order-flow）向第三方出售用戶訂單流。

另一個可能的場景是：大型建構者以審查為由，強制使用者揭露交易內容（或相關資訊）。抗審查性是 Web3 領域一個重要且具爭議的議題，但如果大型驗證者或建構者受法律約束（如美國外國資產管制辦公室 OFAC 的規定）需執行審查清單，他們可能會拒絕處理任何加密交易。從技術上來看，用戶或許可透過零知識證明來證實其加密交易符合審查要求，但這會增加額外成本與複雜度。即便區塊鏈具備強抗審查性（確保加密交易必然被收錄），建構者仍可能優先將已知明文的交易置於區塊前端，而將加密交易排在最後。因此，那些需要確保執行優先順序的交易，最終可能還是被迫向建構者揭露內容。

其他效率方面的挑戰

加密記憶體池會透過多種明顯方式增加系統開銷。使用者需對交易進行加密，系統還需以某種方式解密，這會增加計算成本，也可能增加交易體積。如前所述，處理元資料會進一步加劇這些開銷。然而，還有一些效率成本卻不那麼顯而易見。在金融領域，若價格能反映所有可用信息，市場便被視為有效；而延遲與信息不對稱會導致市場低效。這正是加密記憶體池帶來的必然結果。

這類低效率會導致一個直接後果：價格不確定性增加，這是加密記憶體池引入額外延遲的直接產物。因此，因超出價格滑點容忍度而失敗的交易可能會增多，進而浪費鏈上空間。

同樣，這種價格不確定性也可能催生投機性 MEV 交易，這類交易試圖從鏈上套利中獲利。值得注意的是，加密記憶體池可能會讓這類機會更為普遍：由於執行延遲，去中心化交易所（DEX）的當前狀態變得更加模糊，這很可能導致市場效率下降，不同交易平台間出現價格差異。此類投機性 MEV 交易也會浪費區塊空間，因為一旦未發現套利機會，它們往往會終止執行。

總結

本文的初衷是梳理加密記憶體池面臨的挑戰，以便人們能將精力轉向其他解決方案的研發，但加密記憶體池仍可能成為 MEV 治理方案的一部分。

一個可行的想法是混合設計：部分交易透過加密記憶體池實現「盲排序」，另一部分則採用其他排序方案。對於特定類型的交易（例如大型市場參與者的買賣訂單，他們有能力精心加密或填充交易，並願意為規避 MEV 支付更高成本），混合設計可能是合適的選擇。對於高度敏感的交易（如針對存在漏洞的安全合約的修復交易），這種設計也具有實際意義。

然而，由於技術限制、高昂的工程複雜度和效能開銷，加密記憶體池不太可能成為人們所期待的「MEV 萬能解決方案」。社群需要開發其他方案，包括 MEV 拍賣、應用層防禦機制和縮短最終確認時間等。 MEV 在未來一段時間內仍將是一項挑戰，需要透過深入研究找到各類解決方案的平衡點，以應對其負面影響。

原文連結