《凍結“閃電小子”》：探索逐筆加密對抗惡意MEV之路

惡意礦工可提取價值（MEV）攻擊對以太坊交易者構成重大威脅。我們最新研究顯示，近2,000次「三明治攻擊」每日發生，每月從網路攫取超過200萬美元資金。即使是執行大額WETH、WBTC或穩定幣兌換的交易者依然面臨風險，可能蒙受交易資金的重大損失。

MEV的滋生源於區塊鏈的透明特性——交易資料在執行和最終確認前即可被窺探。緩解MEV的路徑之一是內存池加密，尤其是透過閾值加密技術。在早期文章中，我們探討了兩種不同的閾值加密內存池模型。作為首批應用閾值加密保護內存池的計畫之一，Shutter採用了按周期設定密鑰的方案。而批次式閾值加密（BTE）作為一種較新模型，透過單次密鑰解密多筆交易以降低通訊成本並提升吞吐量。

本文我們將深入解析H. Zhang等人（2022年）提出的《凍結“閃電小子”》（F3B）方案——這項新提出的閾值加密設計採用逐筆交易加密機制。我們將剖析其運作原理，闡述其在延遲與內存方面的擴展特性，並探討該方案尚未投入實際應用的原因。

“凍結閃電小子”如何實現逐筆交易加密

“凍結閃電小子”方案旨在解決早期閾值加密系統的侷限性，這類系統通常依賴按周期（per-epoch）設定密鑰。例如 FairBlock 計畫及 Shutter 的早期版本，它們使用單一密鑰對指定周期內的所有交易進行加密。一個周期對應固定數量的區塊（如以太坊上為 32 個區塊）。此種做法存在漏洞：某些未能被包含在指定區塊末尾的交易，仍會與同一批次的其他交易一起被解密，導致敏感資料外洩，並為驗證者創造了MEV（礦工可提取價值）套利機會，使其容易受到搶先交易攻擊。

F3B 採用逐筆交易閾值加密，確保每筆交易在最終確認前始終保持機密。F3B 協議的基本流程如下圖所示：用戶使用只有指定的閾值委員會（稱為秘密管理委員會，SMC）才能存取的密鑰對交易進行加密，並將交易密文與加密後的密鑰作為配對發送至共識組（步驟1）。這樣，節點可以在儲存和排序交易的同時，保留所有必要的解密元資料，以便在交易最終確認後迅速重建並執行。與此同時，SMC 會準備其解密份額，但在共識組提交交易之前暫不釋放（步驟2）。一旦交易被最終確認，且 SMC 釋放足夠多的有效份額（步驟3），共識組便會解密該交易並執行（步驟4）。

長期以來，逐筆交易加密因其加解密所需的龐大計算負荷及大型加密資料負載帶來的儲存需求而一直不具實用性。F3B 透過僅對輕量級對稱密鑰（而非完整交易內容）進行閾值加密來解決這一問題。交易本身使用該對稱密鑰加密。此種方法可將需要非對稱加密的資料量減少約10倍（以簡單的兌換交易為例）。

F3B 不同密碼學實現的延遲開銷比較

「凍結閃電小子」可採用兩種密碼學協議之一實現：TDH2 或 PVSS。其差異在於由誰承擔設置負擔以及委員會架構的固定頻率，進而在靈活度、延遲與儲存開銷方面各有相應的優缺點。

TDH2（閾值Diffie-Hellman協議2）依賴委員會執行分佈式密鑰生成（DKG）程序，以生成各成員的密鑰份額及集體公鑰。用戶首先建立一次性對稱密鑰，用其加密交易內容，再將此對稱密鑰加密至委員會公鑰。共識網路將此加密對寫入鏈上。待鏈上達到所需確認數後，委員會成員發佈對加密對稱密鑰的部分解密結果，並附上非互動式零知識證明（NIZK），以防止選擇密文攻擊（攻擊者透過提交畸形密文誘使受託人在解密過程洩露資訊）。NIZK證明可確保用戶密文格式正確且可解密，同時驗證受託人提交的解密份額有效。共識網路驗證這些證明後，在收集到有效份額達到閾值時，即可重構出對稱密鑰，進而解密並執行交易。

第二種方案PVSS（公開可驗證秘密分享）採用不同路徑。委員會無需每個周期執行DKG，而是各成員持有一對長期私鑰及對應公鑰，公鑰儲存於區塊鏈供任何用戶調用。對於每筆交易，用戶選取隨機多項式，利用Shamir秘密分享演算法生成秘密份額，再使用各受託人公鑰分別加密這些份額。對稱密鑰透過對重構出的秘密進行雜湊運算獲得。每個加密份額均附帶NIZK證明，使任何人可驗證所有份額源自同一秘密；同時配有多項式公開承諾，作為綁定份額與秘密關係的記錄。後續的交易打包、最終確認後的份額釋放、密鑰重構、解密與執行步驟與TDH2方案類似。

TDH2協議因採用固定委員會和恆定大小的閾值加密資料而效率更高。相比之下，PVSS賦予用戶更大彈性，允許其自主選擇負責本筆交易的委員會成員，但這以更大的公鑰密文規模與因按成員加密帶來的更高計算開銷為代價。在更宏觀的測試中，F3B協議在模擬權益證明以太坊上的原型實現顯示，其效能開銷極低：在128名受託人組成的委員會設定下，TDH2與PVSS在最終確認後引入的延遲分別僅為197毫秒與205毫秒，相當於以太坊768秒最終確認時間的0.026%與0.027%。儲存開銷方面，TDH2每筆交易僅增加80位元組，而PVSS的開銷因涉及按成員的份額、證明與承諾而隨受託人數量線性增長。這些結果證實，F3B可在不影響以太坊效能與容量的前提下實現其隱私保障目標。

「凍結閃電小子」協議中的激勵與懲罰機制

F3B透過要求秘密管理委員會受託人質押鎖定保證金來激勵誠實行為。手續費激勵受託人保持在線狀態，並維持協議所需的效能水平。一旦有人提交違規證據（證明存在提前解密行為），懲罰智能合約將自動沒收違規受託人的質押金。在TDH2中，此類證據指可針對交易密文公開驗證的受託人解密份額；而在PVSS中，證據則包含解密份額及驗證該份額真實性的受託人專屬NIZK證明。該機制可懲罰可被證明的提前揭露解密份額行為，提高可檢測違規行為的成本。然而，它無法阻止受託人在鏈下私下勾結重構並解密交易資料（未公開發佈任何份額）。因此，協議仍依賴於「委員會多數成員行為誠實」的前提假設。

由於加密交易無法立即執行，惡意用戶可能透過向區塊鏈充斥無法執行的交易來拖慢確認速度，這構成另一個攻擊向量。這是所有加密內存池方案共有的潛在攻擊面。F3B要求用戶為每筆加密交易預付儲存保證金，從而明顯提高垃圾交易攻擊成本。系統將預先扣除保證金，僅在交易成功執行後返還部分金額。

F3B在以太坊部署面臨的挑戰

儘管「凍結閃電小子」為緩解MEV提供了一套完整的密碼學方案，但由於整合複雜性，它短期內難以在以太坊主網實現實際部署。雖然F3B完全不觸及共識機制，並與現有智能合約完全相容，但需要對執行層進行修改以支援加密交易和延遲執行。這將需要比「合併」升級以來任何更新都更大規模的硬分叉。即便如此，F3B仍是一個具有超越以太坊生態價值的研究里程碑。其最小化信任的私有交易資料共享機制，可應用於新興區塊鏈網路及需要延遲執行的去中心化應用場景。

即使在出塊時間低於1秒、已大幅減少MEV的區塊鏈上，F3B類協議仍可徹底消除基於內存池的搶先交易發揮作用。例如在密封競價拍賣智能合約中，投標人可提交加密報價，這些報價在競價階段結束前始終保持隱藏狀態。待拍賣截止後，報價才會被解密並執行，從而有效防止操縱出價、搶先交易或資訊提前外洩。

相關推薦：比特幣罕見信號閃現：BTC價格是否將迎來220%回暖？