我们需要加密数据可用性（+ 内存池），以及PBS的终结

去中心化你的提议者集合，但没有加密，是最小化 MEV 的最糟糕架构（以及加密如何在没有 MCP 的情况下提供帮助），以及为什么 PBS 在 MCP 世界中没有立足之地。

加密/私有内存池不仅是 MCP 设置所必需的，对于当今的实时区块链系统也是如此。正如 Julian Ma 雄辩地指出的那样，它可以在许多方面解决/帮助问题，特别是确保整个 DeFi 都在链上发生（而不是部分在链下）。我推荐阅读他的一系列推文：这里、这里 和 这里。

很久以前，我们曾撰写一篇关于模块化生态系统中 MEV 机制和设置的博客文章。在那篇文章中，我们有一个恰当的章节名为“数据可用性 MEV”。当时我们提到，大多数 MEV（如果不是全部，除了特定的跨域情况）可能最终会出现在执行层，即领导者选举发生的地方，因为它们决定了交易的包含和排序。然而，在过去几周，我参与了几次讨论，其中提到了 DA MEV 的概念。有趣的是，这并非在模块化的背景下，而是在单体 L1（特别是那些利用多并发提议者（MCP）的链）的背景下。

有了这个新的背景，我们认为深入探讨这个主题，以及其他一些更现代链中即将出现的有趣机制变化及其对 MEV 的影响，将是富有成效的。

在之前的文章中，我们关注了多并发提议者（MCP）的发展及其对审查抵抗、吞吐量和定制化的可能影响。MCP 一个有趣（且有些未被充分探索）的方面是其对 MEV 的潜在影响，特别是在数据可用性方面。

如果你需要快速了解数据可用性，DA 允许我们以非常高的概率检查一个区块的所有数据是否已发布。数据可用性是检测欺诈和重建整个链所必需的。

而 MCP 的简介是：不是由一个提议者决定哪个区块被提议，而是多个并发提议者贡献迷你区块，这些迷你区块被合并成一个更大的区块。

DA MEV 问题

在交易输入在执行前发布（MCP）的设置中，MEV 倾向的验证者很有可能通过从 DA “层”窃取交易并进行抢先交易（front-running）来参与交易窃取。

例如，一个验证者（或一组验证者）可以协作进行 时序博弈，等待出价，然后提交更高的出价。这在 DA 层不具备按费用替换（RBF）能力的情况下尤为重要。这意味着你可能会看到一个验证者的一组交易首先发布，然后你从中挑选出你认为有价值的交易，并以更高的价格竞价执行。

虽然在大多数情况下，DA 对 MEV 的影响通常不显著，因为大多数 L2 中没有领导者选举，并且大多数 L1 中提前选择了一个单一领导者。然而，MCP 完全改变了这种局面。MCP 引入了多个并发领导者。当多个并发领导者都在观察一个公共内存池时，MEV 攻击面会呈倍数增长。

使用加密技术缓解 MEV

解决这类攻击的一个可能方案是加密即将执行并放入已确认区块的交易相关数据。这样做的目的是减少由于引入更具创新性的机制设计而产生的 MEV 博弈的可能性。然而，大多数实现加密 DA 的方法可能会导致延迟增加，因为 ZK 和 FHE 都具有相当大的计算开销（尽管我们 在 ZK 方面正接近缩小差距）。然而，还有其他方法可以达到相同的目标。

加密数据可用性（Encrypted DA）

核心思想很简单：利用密码学（或硬件）隐藏交易内容，直到区块中交易的最终排序被不可撤销地提交。这消除了窃取交易和进行时序博弈的能力。然而，需要记住的一点是，在提供加密的同时，我们还希望限制引入系统中的延迟。

你可以利用几种方法来实现这一点，每种方法都有不同的权衡和特性。让我们探讨主要的几种：

加密数据可用性方法

1. 门限加密（例如，Shutter Network）

交易被加密到一个门限委员会；解密密钥仅在区块排序提交后才发布。Shutter 已在 Gnosis Chain 上线，提供了这种方法最接近真实世界的验证。

权衡：活跃性取决于门限委员会。如果 n 个参与者中有 t 个离线或串通，解密就会停滞。

2. 可验证加密 + 私有 DA（VE-PDA）

用户加密交易，但附加一个 ZK 证明，证明密文是有效的（格式正确、Gas 充足、没有双花）。验证者可以在不查看内容的情况下验证正确性。Celestia 的私有区块空间提案 将此扩展到 DA 层，其中 Blob 在提交时被加密，并且只能在排序后解密。

权衡：ZK 证明生成增加了用户端延迟（目前在消费级硬件上需要数秒）；证明开销是主要瓶颈。

3. 可信执行环境（TEEs）

基于硬件：交易通过安全 enclave（SGX/TXD 等），在揭示内容之前进行排序。Flashbots 在其 匿名内存池文章 中探讨了这一点。

权衡：信任假设完全转移到硬件制造商（英特尔）和供应链以及可能的物理攻击（也许我们把它们放到太空？但延迟……参见 Spacecomputer！）。SGX 有着完善的侧信道攻击历史（Spectre、Plundervolt）。

4. 延迟揭示 / 提交-揭示方案

最简单的方法：用户提交其交易的哈希，确定排序，然后揭示明文。

权衡：两轮延迟使区块时间翻倍，并且用户可以通过永不揭示来恶意攻击。Celestia 的以账户为中心的私有区块空间 提出了一种变体，其中通过权益削减强制揭示。

5. 时间锁谜题 / 定时释放加密

交易被加密，使得它只能在 X 秒后才能计算解密——不需要密钥仪式。

权衡：计算成本高昂，拥有更快硬件的攻击者可以提前解密。在区块链时间尺度上尚不实用。

公共 DA 与加密 DA

让我们具体对比一下。

在公共 DA 下：提议者在内存池中看到 swap(USDC→ETH, amountIn=50000)。他们可以立即构建一个抢先买入和回溯卖出。交易内容是发起攻击的关键。然而，在以太坊上，目前很大一部分订单流是私有的，幕后实际发生的事情并不清楚——但这确实缓解了一些问题（但不是以可验证、去中心化或无需信任的方式）。

在加密 DA 下：提议者看到 0x9f3a...c2b1，一个密文。他们不知道它是交换、转账还是合约部署。他们无法构建三明治攻击，因为他们不知道代币对、方向、大小或任何其他有意义的信息。排序承诺发生在解密之前。一旦区块顺序在链上不可撤销地确定，解密密钥就会发布，交易按照该已提交的顺序执行。此时，没有什么可以抢先交易的；排序已经完成。然而，高效地构建区块变得显著困难（如果不是不可能），因为提议者不知道特定交易将消耗多少 Gas（如果他知道，那么他也会对提交的交易类型有所了解）。

MCP 下的 MEV 量化

让我们看一些数据，以了解加密 DA 是多么必要（尤其是在多提议者的情况下）。

*7 个提议者是 Sei Giga 提议者在唯一实时 MCP 系统中建议的数量。以太坊上每笔交易发生三明治攻击的概率约为 2% https://arxiv.org/abs/2405.17944。真实数字可能在每个区块 2% 到 12% 之间，具体取决于基础是所有 DEX 交换，还是仅高于最小盈利规模阈值的交换。公共 DA 值是下限；然而，由于结构性 MCP 特有机制，如协调崩溃、时序博弈和重复包含，攻击概率可能会高得多（我们将在后面深入讨论这些类型的攻击）。

在提议者-构建者分离（PBS）下，执行三明治攻击的是搜索者 + 构建者，而不是提议者；然而，我们将在文章后面深入探讨 MCP 与 PBS。Flashbots 的 BuilderNet 部分解决了构建者中心化问题，但它重新分配而非消除了 MEV，使提取机制保持不变。

该模型有一些重要的注意事项。它假设提议者独立行动，而实际上，他们可能通过相同的 MEV 基础设施（如 MEV-Boost 中继）进行协调或竞价，这改变了计算方式。加密 DA 解决三明治攻击的 最强真实世界证据 是在具有私有内存池的 Rollup 上几乎没有三明治攻击。

我们建模的加密 DA 的 1.8-3.5% 下限是说明性的。它将取决于中继层面的泄露（如果 MEV-Boost 或等效基础设施在加密前看到明文，这在基于 TEE 的方案中是可能的）、时序攻击（密文的存在和大小即使内容隐藏也可以泄露信息）以及统计推断（高频交易者有时可以根据已知协议上的大小 + 时序模式推断交易内容）。

至于为什么加密消除了内容可见性攻击向量，Flashbots 匿名内存池论文 直接论证了这一点；没有内容可见性，抢先交易需要猜测而不是读取。Shutter Network 在 Gnosis Chain 上部署的实现表明，加密交易实际上几乎没有三明治攻击。

为什么 MCP 增加了攻击机会？

在今天的以太坊上，许多搜索者竞争寻找和提交三明治捆绑包，但他们都通过赢得区块构建行动的单一构建者和提议区块的单一提议者进行路由。构建者充当协调者和过滤器——每个受害者交易只执行一个三明治捆绑包，因为只有一个区块被最终确定。许多搜索者相互竞争，以使他们的捆绑包被选中，通过 Gas 将利润竞价给构建者。你并没有增加新的搜索者，你只是增加了新的区块组装者，同一批搜索者已经可以路由到他们。

公共 DA 的 MCP 增加 MEV 风险的真正原因是结构性的，并且特定于并发区块生产。其中三个最重要。首先是时序博弈：N 个提议者都观察相同的内存池和彼此的 DA 证明，博弈论均衡转向延迟，提议者会保留他们的区块以观察竞争对手，从而扩大每个待处理交易的提取窗口。其次是同周期重复包含：多个提议者可以独立地将相同的受害者交易包含在并发区块提案中，从而产生竞争，其中多个三明治尝试落在同一Slot中，并且受害者的交易在共识解决哪个区块获胜之前被多个参与者操纵。第三是协调崩溃：当前的构建者是一个集中的协调者，它选择单一的最佳捆绑包——在 MCP 下，这种协调消失了，并且没有瓶颈意味着混乱的多方提取，而不是你今天所获得的有序、利润最大化的单一提取。

并发提议者需要加密 DA

一个在不引入加密 DA 的情况下分散其提议者集合的协议，将暂时受到可以说是最糟糕的 MEV 环境的影响。这是将三明治模型应用于任何 N > 1 的公共 DA MCP 系统的预测结果。

以高去中心化实现“低”MEV 的唯一方法是加密 MCP（如果你只加密区块构建，公共 DA 仍然可能被攻击）。加密将内容攻击窗口缩小到接近零。剩余的反映了交易大小和时序信号的侧信道泄露（下文将详细介绍），以及即使内容被隐藏后仍然存在的 MCP 特有的时序博弈效应。然而，尽管如此，你仍然可以实现比以太坊更低的三明治 MEV，同时通过 MCP 提供实质上更强的审查抵抗保证。

因此，加密 DA 感觉更像是一种架构需求，而不是一种可选性，以防止去中心化放大 MEV。

MCP 特有的 MEV 攻击

Landers & Marsh 形式化了一些在 MCP 环境中引入的相当有趣的 MEV 攻击：

• 同周期重复窃取：提议者 B 从提议者 A 的区块中复制一个高价值交易，并将其包含在他们同一周期的并发区块中。A 损失了费用。
• 提议者对提议者的拍卖竞争：N 个提议者竞争包含最高价值的待处理交易，从而在没有正式构建者市场的情况下创建隐式优先费用拍卖。
• 可用性证明时序博弈：所有协作提议者将区块发布延迟到最后一刻 T，以观察竞争对手的 DA 证明。这会创建一个系统性的延迟下限。加密 DA 消除了内容泄露，但没有消除时序信号本身。
• 门限密钥释放延迟：如果密钥持有者被区块提议者贿赂，串通的子集可能会在排序提交后延迟解密，从而实现最后一刻的内容观察。

如果你对如何缓解这些问题感兴趣，我建议阅读上面链接的文章。文章中一个非常有趣的方面是，在大多数情况下，加密 MEV 本身并不能完全消除时序博弈，并且可能需要加密和优先级 DAGs。

PBS 在 MCP 世界中的消亡

MEV 问题最终导致以太坊引入了提议者-构建者分离（PBS），因为 PGA 战争愈演愈烈。构建者和提议者之间的公平交换问题（由“可信”中继解决）仍然是一个持续存在的问题。然而，在一个 MCP 的世界中，PBS 是不必要的，甚至可能是有害的。

这主要是因为从 MCP 获得的好处与 PBS（目前在基础协议之外实现）的好处相似，但它们是基于协议内规则而非外部规则。

PBS 是由于以太坊区块构建和验证阶段的市场动态所必需的。然而，在一个没有单一验证者控制哪个区块被提议（并且公平交换问题不再是那么大的问题）的世界中，没有必要将区块构建与验证分离——因为优化和性能将不再那么重要（你可以在任何地方被包含）。

PBS 本质上消除了从 MCP 获得的概率性审查抵抗优势，这将是朝着错误方向迈出的一步（除非你开始解决公平交换问题，但你已经通过 MCP 解决了这个问题）。PBS 确实做得很好的是强制高度优化的构建，但代价是中心化（以性能为代价）。这种单一构建者的审查也降低了包含概率。此外，与一个验证者相比，与多个验证者进行 PBS 拍卖是完全不同的野兽；经济学是不同的。

然而，考虑到大多数节点由少数服务提供商运行，我们真的实现了区块构建的真正分离吗？

来源：Hildobby, Dune。

也许一个必要的改变是允许每个提供商在每个 MCP 区块中只拥有一个子区块。对于一组串通的质押提供商来说，安全阈值并不难达到。

本质上，通过拥有 MCP，你分散了排序器/构建者（因为我们回到了验证者排序区块），并消除了以前的中心化瓶颈（单一领导者）。

• 原文链接： x.com/rainandcoffee/stat...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～