Автор | Пранав Гаримиди, Жозеф Бонно, Лиоба Хаймбах, a16z
Компиляция | Саорша, Foresight News
В блокчейне, зарабатывая деньги, принимая решения о том, какие транзакции упаковывать в блок, а какие исключать, или изменяя порядок транзакций, максимальная ценность, которую можно заработать, называется «максимально извлекаемая ценность», сокращенно MEV. MEV широко распространен в большинстве блокчейнов и на протяжении длительного времени является предметом широкого обсуждения и внимания в отрасли.
Множество исследователей, наблюдая за феноменом MEV, задаются четким вопросом: может ли криптография решить эту проблему? Одним из предложенных решений является использование зашифрованного мемпула: пользователи транслируют зашифрованные транзакции, которые будут расшифрованы и раскрыты только после завершения сортировки. Таким образом, консенсусный протокол должен «слепо выбирать» порядок транзакций, что, похоже, может предотвратить получение прибыли от возможностей MEV на этапе сортировки.
Но, к сожалению, как с практической, так и с теоретической точки зрения, криптопул не может предложить универсальное решение для проблемы MEV. В этой статье будут изложены трудности, а также обсуждены направления проектирования криптопула.
Принцип работы крипто-память-пула
Существует множество предложений относительно крипто-памяти, но ее общий каркас выглядит следующим образом:
Криптографическая сделка отправляется в блокчейн (в некоторых предложениях сделка должна сначала пройти через проверяемую случайную перетасовку).
Когда блоки, содержащие эти транзакции, окончательно подтверждаются, транзакции расшифровываются.
Наконец, выполните эти транзакции.
Важно отметить, что на шаге 3 (расшифровка транзакций) существует ключевая проблема: кто отвечает за расшифровку? Что делать, если расшифровка не была выполнена? Простая идея заключается в том, чтобы позволить пользователям самостоятельно расшифровывать свои транзакции (в этом случае даже не нужно шифровать, достаточно скрыть обязательство). Но этот подход имеет уязвимости: злоумышленники могут осуществлять спекулятивный MEV.
В спекулятивном MEV злоумышленник предполагает, что определенная криптоторговая сделка содержит возможности MEV, затем шифрует свою сделку и пытается вставить ее в выгодное положение (например, перед или после целевой сделки). Если сделки расположены в ожидаемом порядке, злоумышленник расшифровывает и извлекает MEV через свою сделку; если они не соответствуют ожиданиям, они отказываются расшифровывать, и их сделка не будет включена в финальный блокчейн.
Возможно, стоит наложить штрафы на пользователей, у которых не удалось расшифровать, но реализация этого механизма крайне сложна. Причина в том, что: все штрафы за зашифрованные транзакции должны быть едиными (в конце концов, после шифрования невозможно различить транзакции), и штрафы должны быть достаточно строгими, чтобы сдержать спекулятивный MEV даже при наличии высокоценностных целей. Это приведет к блокировке значительных средств, и эти средства должны оставаться анонимными (чтобы избежать раскрытия связи между транзакцией и пользователем). Еще более сложным является то, что если из-за уязвимости в программе или сбоя в сети реальные пользователи не смогут нормально расшифровать, они также понесут убытки.
Таким образом, большинство предложений предполагают, что при шифровании транзакций необходимо обеспечить возможность их расшифровки в будущем, даже если пользователь, инициировавший транзакцию, находится в оффлайне или отказывается сотрудничать. Эта цель может быть достигнута несколькими способами:
Доверенные вычислительные среды (TEE): пользователи могут шифровать транзакции с использованием ключей, хранящихся в защищенной зоне доверенной вычислительной среды (TEE). В некоторых базовых версиях TEE используется только для расшифровки транзакций после определенного момента времени (это требует наличия временной чувствительности внутри TEE). Более сложные решения позволяют TEE отвечать за расшифровку транзакций и построение блоков, сортируя транзакции на основе времени поступления, сборов и других критериев. Преимуществом TEE по сравнению с другими решениями для шифрования памяти является возможность непосредственной обработки открытых транзакций, что позволяет уменьшить избыточную информацию в блокчейне, фильтруя транзакции, которые могут быть отменены. Однако слабой стороной этого метода является зависимость от надежности аппаратного обеспечения.
Секретное распределение и пороговое шифрование (Secret-sharing and threshold encryption): в этой схеме пользователь шифрует транзакцию с помощью определенного ключа, который совместно удерживается определенной комиссией (обычно подмножеством валидаторов). Для расшифровки необходимо выполнить определенные пороговые условия (например, согласие двух третей членов комиссии).
При использовании порогового шифрования доверенный носитель превращается в комитет. Сторонники утверждают, что поскольку большинство протоколов в механизме консенсуса по умолчанию предполагают, что валидаторы обладают свойством «честного большинства», мы также можем сделать аналогичное предположение, что большинство валидаторов останутся честными и не расшифруют транзакцию заранее.
Однако здесь следует обратить внимание на ключевое различие: эти два предположения о доверии не являются одним и тем же понятием. Неудачи консенсуса, такие как форки блокчейна, имеют публичную видимость (относятся к «слабым предположениям о доверии»), в то время как злонамеренный комитет, который заранее расшифровывает транзакции в частном порядке, не оставляет никаких публичных доказательств, эта атака не может быть обнаружена и не может быть наказана (относятся к «сильным предположениям о доверии»). Таким образом, хотя на первый взгляд механизмы консенсуса и предположения о безопасности криптокомитета кажутся согласованными, на практике достоверность предположения «комитет не будет сговариваться» значительно ниже.
Временная блокировка и задержанное шифрование (Time-lock and delay encryption): в качестве альтернативы шифрованию с порогом, принцип задержанного шифрования заключается в следующем: пользователь шифрует транзакцию с использованием определенного открытого ключа, тогда как соответствующий закрытый ключ скрыт в загадке временной блокировки. Загадка временной блокировки – это криптографическая головоломка для упаковки секретов, содержание которой может быть раскрыто только после заранее установленного времени; более конкретно, процесс расшифровки требует многократного выполнения ряда вычислений, которые не могут выполняться параллельно. В рамках этого механизма любой может разгадать загадку, чтобы получить ключ и расшифровать транзакцию, но при этом необходимо выполнить достаточно длительные медленные (по сути, последовательные) вычисления, чтобы гарантировать, что транзакция не может быть расшифрована до окончательного подтверждения. Самая сильная форма этого шифровального примитива достигается путем публичного создания таких загадок с использованием технологии задержанного шифрования; также можно приблизительно реализовать этот процесс с помощью доверительного комитета с использованием шифрования с временной блокировкой, однако в этом случае его относительное преимущество перед шифрованием с порогом становится предметом обсуждения.
Независимо от того, используется ли задержанное шифрование или вычисления выполняются доверенным комитетом, такие схемы сталкиваются с многочисленными практическими проблемами: во-первых, поскольку задержка по сути зависит от процесса вычисления, трудно обеспечить точность времени расшифровки; во-вторых, эти схемы должны полагаться на определенные实体, эксплуатирующие высокопроизводительное оборудование для эффективного решения задач, хотя любой может взять на себя эту роль, однако остается неясным, как мотивировать этот субъект участвовать; наконец, в таких конструкциях все транзакции, передаваемые по сети, будут расшифрованы, включая те, которые никогда не были окончательно записаны в блок. В то время как схемы на основе порогового (или свидетельского шифрования) могут расшифровывать только те транзакции, которые были успешно включены.
Свидетельское шифрование (Witness encryption): Последняя и самая современная криптографическая схема использует технологию «свидетельского шифрования». Теоретически механизм свидетельского шифрования заключается в том, что после шифрования информации только тот, кто знает определённое NP-отношение, соответствующее «свидетельской информации», может её расшифровать. Например, информацию можно зашифровать так: только тот, кто может решить определённую головоломку судоку или предоставить конкретный хэш-образ, сможет выполнить расшифровку.
(Примечание: NP отношение — это соответствие между «вопросом» и «быстро проверяемым ответом»)
Для любых NP-отношений можно реализовать подобную логику через SNARKs. Можно сказать, что свидетельственное шифрование по сути заключается в том, чтобы зашифровать данные в такую форму, которая может быть расшифрована только субъектами, способными доказать выполнение определенных условий через SNARK. В сценарии зашифрованного пула памяти типичным примером таких условий является: транзакции могут быть расшифрованы только после окончательного подтверждения блока.
Это теоретический язык с огромным потенциалом. На самом деле, это универсальная схема, основанная на методах комитета и методах, основанных на задержке, которые являются лишь конкретными формами его применения. К сожалению, в настоящее время у нас нет никаких реальных криптографических схем, основанных на свидетельствах. Более того, даже если такие схемы существуют, трудно сказать, что они более выгодны в цепочках с доказательством доли, чем методы, основанные на комитете. Даже если установить шифрование свидетелей как «расшифровывать только после того, как транзакции будут отсортированы в окончательно утвержденном блоке», злонамеренный комитет все равно может тайно симулировать протокол консенсуса, чтобы подделать окончательное состояние подтверждения транзакции, а затем использовать эту частную цепь как «свидетель» для расшифровки транзакции. В этом случае тот же комитет может использовать пороговое шифрование, чтобы достичь такого же уровня безопасности, и операция будет гораздо проще.
Однако в протоколе консенсуса на основе доказательства работы преимущества свидетельствования шифрования становятся более очевидными. Поскольку даже если комитет полностью злонамерен, он не сможет втихаря добывать несколько новых блоков на текущей вершине блокчейна для подделки окончательного состояния подтверждения.
Технические проблемы, с которыми сталкивается крипто-майнинг.
Множество практических проблем ограничивают способность криптопулов предотвращать MEV. В целом, конфиденциальность информации сама по себе является сложной задачей. Стоит отметить, что применение криптографических технологий в области Web3 не широко распространено, но многолетняя практика внедрения криптографических технологий в сетях (таких как TLS/HTTPS) и в частной связи (от PGP до современных криптографических мессенджеров вроде Signal и WhatsApp) полностью раскрыла трудности: хотя криптография является инструментом для защиты конфиденциальности, она не может обеспечить абсолютную защиту.
Во-первых, некоторые субъекты могут напрямую получать открытые данные о транзакциях пользователей. В типичном сценарии пользователи обычно не шифруют свои транзакции самостоятельно, а доверяют эту работу провайдеру кошельков. Таким образом, провайдер кошельков может получить доступ к открытым данным транзакций и даже может использовать или продавать эту информацию для извлечения MEV. Безопасность шифрования всегда зависит от всех субъектов, имеющих доступ к ключам. Область контроля над ключами является границей безопасности.
Кроме того, главная проблема заключается в метаданных, а именно в незащищенных данных, окружающих зашифрованную нагрузку (транзакцию). Искатели могут использовать эти метаданные для предположений о намерениях транзакции, что позволяет им осуществлять спекулятивный MEV. Следует отметить, что искателям не нужно полностью понимать содержание транзакции, и не обязательно каждый раз угадывать правильно. Например, если они могут с разумной вероятностью определить, что транзакция исходит от определенного децентрализованного обменника (DEX), этого достаточно для начала атаки.
Мы можем разделить метаданные на несколько категорий: одна категория - это классические проблемы, присущие криптографическим технологиям, а другая категория - это проблемы, уникальные для криптопамяти.
Размер транзакции: криптография сама по себе не может скрыть размер открытого текста (стоит отметить, что в формальном определении семантической безопасности четко указано, что скрытие размера открытого текста исключается). Это распространенный вектор атаки в зашифрованной связи, типичный случай заключается в том, что даже после шифрования, злоумышленник все равно может определить, что воспроизводится на Netflix, по размеру каждого пакета данных в видеопотоке в реальном времени. В зашифрованном пуле памяти определенные типы транзакций могут иметь уникальный размер, что приводит к утечке информации.
Время трансляции: криптография также не может скрыть временную информацию (это еще один классический вектор атаки). В сценах Web3 некоторые отправители (например, в сценариях структурированных распродаж) могут инициировать транзакции через равные промежутки времени. Время транзакции также может быть связано с другой информацией, такой как активность на внешних биржах или новостные события. Более скрытый способ использования временной информации — это арбитраж между централизованными биржами (CEX) и децентрализованными биржами (DEX): сортировщик может воспользоваться последней ценовой информацией CEX, вставив транзакции, созданные как можно позже; в то же время сортировщик может исключить все другие транзакции, отправленные после определенного момента времени (даже если они зашифрованы), гарантируя, что его транзакция получает эксклюзивное преимущество последней цены.
Исходный IP-адрес: исследователи могут выяснить личность отправителя транзакции, отслеживая исходный IP-адрес через мониторинг одноранговой сети. Эта проблема была обнаружена еще в ранние дни биткойна (уже более десяти лет). Если у конкретного отправителя есть устойчивая модель поведения, это может быть очень полезно для исследователей. Например, зная личность отправителя, можно связать криптографические транзакции с уже расшифрованными историческими транзакциями.
Информация о отправителе транзакции и сборах / газе: транзакционные сборы являются специфическим типом метаданных для крипто-пулов памяти. В Ethereum традиционная транзакция включает адрес отправителя в цепи (для оплаты сборов), максимальный бюджет газа и единичную стоимость газа, которую отправитель готов заплатить. Подобно адресу исходной сети, адрес отправителя может быть использован для ассоциации нескольких транзакций и реальных сущностей; бюджет газа может намекать на намерения транзакции. Например, взаимодействие с определенным DEX может требовать фиксированного объема газа, который можно распознать.
Сложные искатели могут комбинировать несколько типов метаданных, упомянутых выше, для предсказания содержания сделок.
Теоретически, эту информацию можно скрыть, но это потребует жертвы в производительности и сложности. Например, заполнение транзакций до стандартной длины может скрыть размер, но приведет к потере пропускной способности и пространства в блокчейне; добавление задержки перед отправкой может скрыть время, но увеличит задержку; отправка транзакций через анонимные сети, такие как Tor, может скрыть IP-адрес, но это также приводит к новым вызовам.
Самые трудные для скрытия метаданные — это информация о комиссиях за транзакции. Данные о комиссиях в криптовалюте создают ряд проблем для строителей блоков: прежде всего, это проблема мусорной информации. Если данные о комиссиях за транзакции зашифрованы, любой может транслировать неправильно отформатированные зашифрованные транзакции. Эти транзакции будут отсортированы, но не смогут оплатить комиссию, и после расшифровки не смогут быть выполнены, при этом никто не понесет ответственности. Возможно, это можно решить с помощью SNARKs, то есть доказать, что формат транзакции правильный и средств достаточно, но это значительно увеличит затраты.
Во-вторых, это проблема эффективности построения блоков и аукциона за комиссии. Строители полагаются на информацию о комиссиях для создания блоков с максимальной прибылью и определения текущей рыночной цены ресурсов в сети. Данные о криптовалютных комиссиях нарушают этот процесс. Одно из решений — установить фиксированные комиссии для каждого блока, но это экономически неэффективно и может привести к появлению вторичного рынка упаковки транзакций, что противоречит изначальной задумке крипто-пулов. Другим вариантом является аукцион за комиссии через безопасные многопартитные вычисления или доверенное оборудование, но оба этих метода имеют очень высокие затраты.
В конечном итоге, безопасный крипто-пул памяти увеличит системные накладные расходы с нескольких сторон: шифрование увеличит задержку цепи, вычислительные затраты и потребление полосы пропускания; как это будет сочетаться с важными будущими целями, такими как шардирование или параллельное выполнение, пока неясно; это также может ввести новые точки сбоя для активности (liveness) (например, комитеты по расшифровке в схемах с порогом, решатели функций задержки); в то же время сложность проектирования и реализации также значительно возрастет.
Многие проблемы с крипто-пулом памяти аналогичны тем вызовам, с которыми сталкиваются блокчейны, нацеленные на обеспечение конфиденциальности транзакций (такие как Zcash, Monero). Если говорить о позитивном аспекте, то решение всех проблем криптографии в смягчении MEV одновременно уберет препятствия для конфиденциальности транзакций.
Экономические проблемы, с которыми сталкивается криптосреда.
Наконец, криптопул также сталкивается с экономическими проблемами. В отличие от технических проблем, которые могут быть постепенно смягчены за счет достаточных инженерных вложений, эти экономические проблемы являются фундаментальными ограничениями и их решение крайне сложно.
Основная проблема MEV возникает из-за информационной асимметрии между создателями транзакций (пользователями) и добытчиками возможностей MEV (поисковиками и строителями блоков). Пользователи обычно не понимают, сколько извлекаемой ценности содержится в их транзакциях, поэтому, даже при наличии идеального крипто-майнинг-пула, они все равно могут быть вынуждены раскрыть ключи шифрования в обмен на вознаграждение, которое ниже фактической ценности MEV. Это явление можно назвать «стимулирующим расшифровыванием».
Такой сценарий не трудно представить, поскольку аналогичные механизмы, такие как MEV Share, уже существуют в реальности. MEV Share — это механизм аукциона потока заказов, который позволяет пользователям выборочно отправлять информацию о сделках в пул, а искатели получают право на использование возможностей MEV этой сделки через конкуренцию. Победитель аукциона после извлечения MEV возвращает часть доходов (то есть сумму ставки или ее определенный процент) пользователям.
Эта модель может быть непосредственно адаптирована к крипто-пулю памяти: пользователям необходимо раскрыть ключи для расшифровки (или часть информации), чтобы участвовать. Однако большинство пользователей не осознают альтернативные затраты на участие в таких механизмах, они видят только текущую прибыль и с удовольствием раскрывают информацию. В традиционных финансах также есть аналогичные примеры: например, платформа торговли без комиссий Robinhood, чей бизнес-модель заключается в продаже потока заказов пользователей третьим лицам через "платежи за поток заказов" (payment-for-order-flow).
Другой возможный сценарий заключается в том, что крупные строители заставляют пользователей раскрывать содержание транзакций (или связанную информацию) под предлогом проверки. Антицензурность является важной и спорной темой в области Web3, но если крупные валидаторы или строители юридически обязаны (например, в соответствии с требованиями OFAC Министерства финансов США) исполнять списки проверок, они могут отказать в обработке любых криптографических транзакций. С технической точки зрения, пользователи могут подтвердить, что их криптографическая транзакция соответствует требованиям проверки, с помощью нулевых знаний, но это приведет к дополнительным затратам и сложности. Даже если блокчейн обладает сильной антицензурностью (обеспечивает, что криптографическая транзакция обязательно будет включена), строители могут по-прежнему отдавать приоритет известным открытым транзакциям в начале блока, а криптографические транзакции помещать в конец. Таким образом, те, кто нуждается в обеспечении приоритета исполнения транзакций, в конечном итоге могут быть вынуждены раскрыть содержимое строителям.
Другие вызовы в области эффективности
Крипто-пул памяти будет увеличивать системные затраты различными очевидными способами. Пользователи должны шифровать транзакции, и системе нужно как-то их расшифровывать, что увеличивает вычислительные расходы и может также увеличить объем транзакций. Как уже упоминалось, обработка метаданных будет дополнительно усугублять эти затраты. Тем не менее, есть и некоторые затраты на эффективность, которые не так очевидны. В финансовой сфере, если цены могут отражать всю доступную информацию, рынок считается эффективным; однако задержки и информационная асимметрия могут привести к неэффективности рынка. Это именно то, что является неизбежным следствием крипто-пула памяти.
Такие неэффективности ведут к прямому следствию: увеличению неопределенности цен, что является прямым продуктом дополнительной задержки, вводимой крипто-пулом. Таким образом, может увеличиться количество транзакций, которые терпят неудачу из-за превышения допустимого проскальзывания цен, что, в свою очередь, приводит к пустой трате пространства в блокчейне.
Точно так же эта ценовая неопределенность может способствовать спекулятивным сделкам MEV, которые пытаются извлечь прибыль из арбитража на блокчейне. Стоит отметить, что крипто-пул памяти может сделать такие возможности более распространенными: из-за задержки выполнения текущее состояние децентрализованных бирж (DEX) становится более неясным, что, вероятно, приведет к снижению рыночной эффективности и возникновению ценовых различий между различными торговыми платформами. Такие спекулятивные сделки MEV также могут тратить место в блоке, поскольку, если арбитражные возможности не обнаружены, они, как правило, прекращают выполнение.
Резюме
Цель данной статьи заключается в том, чтобы систематизировать проблемы, с которыми сталкиваются крипто-пулы памяти, чтобы люди могли сосредоточить свои усилия на разработке других решений, однако крипто-пул памяти все еще может стать частью решений по управлению MEV.
Один из возможных подходов — это смешанный дизайн: часть транзакций реализуется через криптографический мемпул с использованием «слепой сортировки», а другая часть использует другие схемы сортировки. Для определенных типов транзакций (например, ордера на покупку и продажу крупных участников рынка, которые могут тщательно зашифровывать или заполнять транзакции и готовы платить более высокие затраты для избежания MEV) смешанный дизайн может быть подходящим выбором. Для высокочувствительных транзакций (например, транзакций по исправлению уязвимых смарт-контрактов) такой дизайн также имеет практический смысл.
Однако, из-за технических ограничений, высокой сложности проектов и затрат на производительность, криптопул памяти вряд ли станет универсальным решением для MEV, которого ожидают люди. Сообществу необходимо разработать другие решения, включая аукционы MEV, механизмы защиты на уровне приложений и сокращение времени окончательного подтверждения и т.д. MEV по-прежнему будет представлять собой проблему в течение некоторого времени в будущем, и необходимо провести глубокие исследования, чтобы найти баланс между различными решениями для противодействия его негативному влиянию.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
a16z: Почему шифрование Пул памяти не может стать универсальным решением для MEV?
Автор | Пранав Гаримиди, Жозеф Бонно, Лиоба Хаймбах, a16z
Компиляция | Саорша, Foresight News
В блокчейне, зарабатывая деньги, принимая решения о том, какие транзакции упаковывать в блок, а какие исключать, или изменяя порядок транзакций, максимальная ценность, которую можно заработать, называется «максимально извлекаемая ценность», сокращенно MEV. MEV широко распространен в большинстве блокчейнов и на протяжении длительного времени является предметом широкого обсуждения и внимания в отрасли.
Множество исследователей, наблюдая за феноменом MEV, задаются четким вопросом: может ли криптография решить эту проблему? Одним из предложенных решений является использование зашифрованного мемпула: пользователи транслируют зашифрованные транзакции, которые будут расшифрованы и раскрыты только после завершения сортировки. Таким образом, консенсусный протокол должен «слепо выбирать» порядок транзакций, что, похоже, может предотвратить получение прибыли от возможностей MEV на этапе сортировки.
Но, к сожалению, как с практической, так и с теоретической точки зрения, криптопул не может предложить универсальное решение для проблемы MEV. В этой статье будут изложены трудности, а также обсуждены направления проектирования криптопула.
Принцип работы крипто-память-пула
Существует множество предложений относительно крипто-памяти, но ее общий каркас выглядит следующим образом:
Пользователь транслирует зашифрованную транзакцию.
Криптографическая сделка отправляется в блокчейн (в некоторых предложениях сделка должна сначала пройти через проверяемую случайную перетасовку).
Когда блоки, содержащие эти транзакции, окончательно подтверждаются, транзакции расшифровываются.
Наконец, выполните эти транзакции.
Важно отметить, что на шаге 3 (расшифровка транзакций) существует ключевая проблема: кто отвечает за расшифровку? Что делать, если расшифровка не была выполнена? Простая идея заключается в том, чтобы позволить пользователям самостоятельно расшифровывать свои транзакции (в этом случае даже не нужно шифровать, достаточно скрыть обязательство). Но этот подход имеет уязвимости: злоумышленники могут осуществлять спекулятивный MEV.
В спекулятивном MEV злоумышленник предполагает, что определенная криптоторговая сделка содержит возможности MEV, затем шифрует свою сделку и пытается вставить ее в выгодное положение (например, перед или после целевой сделки). Если сделки расположены в ожидаемом порядке, злоумышленник расшифровывает и извлекает MEV через свою сделку; если они не соответствуют ожиданиям, они отказываются расшифровывать, и их сделка не будет включена в финальный блокчейн.
Возможно, стоит наложить штрафы на пользователей, у которых не удалось расшифровать, но реализация этого механизма крайне сложна. Причина в том, что: все штрафы за зашифрованные транзакции должны быть едиными (в конце концов, после шифрования невозможно различить транзакции), и штрафы должны быть достаточно строгими, чтобы сдержать спекулятивный MEV даже при наличии высокоценностных целей. Это приведет к блокировке значительных средств, и эти средства должны оставаться анонимными (чтобы избежать раскрытия связи между транзакцией и пользователем). Еще более сложным является то, что если из-за уязвимости в программе или сбоя в сети реальные пользователи не смогут нормально расшифровать, они также понесут убытки.
Таким образом, большинство предложений предполагают, что при шифровании транзакций необходимо обеспечить возможность их расшифровки в будущем, даже если пользователь, инициировавший транзакцию, находится в оффлайне или отказывается сотрудничать. Эта цель может быть достигнута несколькими способами:
Доверенные вычислительные среды (TEE): пользователи могут шифровать транзакции с использованием ключей, хранящихся в защищенной зоне доверенной вычислительной среды (TEE). В некоторых базовых версиях TEE используется только для расшифровки транзакций после определенного момента времени (это требует наличия временной чувствительности внутри TEE). Более сложные решения позволяют TEE отвечать за расшифровку транзакций и построение блоков, сортируя транзакции на основе времени поступления, сборов и других критериев. Преимуществом TEE по сравнению с другими решениями для шифрования памяти является возможность непосредственной обработки открытых транзакций, что позволяет уменьшить избыточную информацию в блокчейне, фильтруя транзакции, которые могут быть отменены. Однако слабой стороной этого метода является зависимость от надежности аппаратного обеспечения.
Секретное распределение и пороговое шифрование (Secret-sharing and threshold encryption): в этой схеме пользователь шифрует транзакцию с помощью определенного ключа, который совместно удерживается определенной комиссией (обычно подмножеством валидаторов). Для расшифровки необходимо выполнить определенные пороговые условия (например, согласие двух третей членов комиссии).
При использовании порогового шифрования доверенный носитель превращается в комитет. Сторонники утверждают, что поскольку большинство протоколов в механизме консенсуса по умолчанию предполагают, что валидаторы обладают свойством «честного большинства», мы также можем сделать аналогичное предположение, что большинство валидаторов останутся честными и не расшифруют транзакцию заранее.
Однако здесь следует обратить внимание на ключевое различие: эти два предположения о доверии не являются одним и тем же понятием. Неудачи консенсуса, такие как форки блокчейна, имеют публичную видимость (относятся к «слабым предположениям о доверии»), в то время как злонамеренный комитет, который заранее расшифровывает транзакции в частном порядке, не оставляет никаких публичных доказательств, эта атака не может быть обнаружена и не может быть наказана (относятся к «сильным предположениям о доверии»). Таким образом, хотя на первый взгляд механизмы консенсуса и предположения о безопасности криптокомитета кажутся согласованными, на практике достоверность предположения «комитет не будет сговариваться» значительно ниже.
Временная блокировка и задержанное шифрование (Time-lock and delay encryption): в качестве альтернативы шифрованию с порогом, принцип задержанного шифрования заключается в следующем: пользователь шифрует транзакцию с использованием определенного открытого ключа, тогда как соответствующий закрытый ключ скрыт в загадке временной блокировки. Загадка временной блокировки – это криптографическая головоломка для упаковки секретов, содержание которой может быть раскрыто только после заранее установленного времени; более конкретно, процесс расшифровки требует многократного выполнения ряда вычислений, которые не могут выполняться параллельно. В рамках этого механизма любой может разгадать загадку, чтобы получить ключ и расшифровать транзакцию, но при этом необходимо выполнить достаточно длительные медленные (по сути, последовательные) вычисления, чтобы гарантировать, что транзакция не может быть расшифрована до окончательного подтверждения. Самая сильная форма этого шифровального примитива достигается путем публичного создания таких загадок с использованием технологии задержанного шифрования; также можно приблизительно реализовать этот процесс с помощью доверительного комитета с использованием шифрования с временной блокировкой, однако в этом случае его относительное преимущество перед шифрованием с порогом становится предметом обсуждения.
Независимо от того, используется ли задержанное шифрование или вычисления выполняются доверенным комитетом, такие схемы сталкиваются с многочисленными практическими проблемами: во-первых, поскольку задержка по сути зависит от процесса вычисления, трудно обеспечить точность времени расшифровки; во-вторых, эти схемы должны полагаться на определенные实体, эксплуатирующие высокопроизводительное оборудование для эффективного решения задач, хотя любой может взять на себя эту роль, однако остается неясным, как мотивировать этот субъект участвовать; наконец, в таких конструкциях все транзакции, передаваемые по сети, будут расшифрованы, включая те, которые никогда не были окончательно записаны в блок. В то время как схемы на основе порогового (или свидетельского шифрования) могут расшифровывать только те транзакции, которые были успешно включены.
Свидетельское шифрование (Witness encryption): Последняя и самая современная криптографическая схема использует технологию «свидетельского шифрования». Теоретически механизм свидетельского шифрования заключается в том, что после шифрования информации только тот, кто знает определённое NP-отношение, соответствующее «свидетельской информации», может её расшифровать. Например, информацию можно зашифровать так: только тот, кто может решить определённую головоломку судоку или предоставить конкретный хэш-образ, сможет выполнить расшифровку.
(Примечание: NP отношение — это соответствие между «вопросом» и «быстро проверяемым ответом»)
Для любых NP-отношений можно реализовать подобную логику через SNARKs. Можно сказать, что свидетельственное шифрование по сути заключается в том, чтобы зашифровать данные в такую форму, которая может быть расшифрована только субъектами, способными доказать выполнение определенных условий через SNARK. В сценарии зашифрованного пула памяти типичным примером таких условий является: транзакции могут быть расшифрованы только после окончательного подтверждения блока.
Это теоретический язык с огромным потенциалом. На самом деле, это универсальная схема, основанная на методах комитета и методах, основанных на задержке, которые являются лишь конкретными формами его применения. К сожалению, в настоящее время у нас нет никаких реальных криптографических схем, основанных на свидетельствах. Более того, даже если такие схемы существуют, трудно сказать, что они более выгодны в цепочках с доказательством доли, чем методы, основанные на комитете. Даже если установить шифрование свидетелей как «расшифровывать только после того, как транзакции будут отсортированы в окончательно утвержденном блоке», злонамеренный комитет все равно может тайно симулировать протокол консенсуса, чтобы подделать окончательное состояние подтверждения транзакции, а затем использовать эту частную цепь как «свидетель» для расшифровки транзакции. В этом случае тот же комитет может использовать пороговое шифрование, чтобы достичь такого же уровня безопасности, и операция будет гораздо проще.
Однако в протоколе консенсуса на основе доказательства работы преимущества свидетельствования шифрования становятся более очевидными. Поскольку даже если комитет полностью злонамерен, он не сможет втихаря добывать несколько новых блоков на текущей вершине блокчейна для подделки окончательного состояния подтверждения.
Технические проблемы, с которыми сталкивается крипто-майнинг.
Множество практических проблем ограничивают способность криптопулов предотвращать MEV. В целом, конфиденциальность информации сама по себе является сложной задачей. Стоит отметить, что применение криптографических технологий в области Web3 не широко распространено, но многолетняя практика внедрения криптографических технологий в сетях (таких как TLS/HTTPS) и в частной связи (от PGP до современных криптографических мессенджеров вроде Signal и WhatsApp) полностью раскрыла трудности: хотя криптография является инструментом для защиты конфиденциальности, она не может обеспечить абсолютную защиту.
Во-первых, некоторые субъекты могут напрямую получать открытые данные о транзакциях пользователей. В типичном сценарии пользователи обычно не шифруют свои транзакции самостоятельно, а доверяют эту работу провайдеру кошельков. Таким образом, провайдер кошельков может получить доступ к открытым данным транзакций и даже может использовать или продавать эту информацию для извлечения MEV. Безопасность шифрования всегда зависит от всех субъектов, имеющих доступ к ключам. Область контроля над ключами является границей безопасности.
Кроме того, главная проблема заключается в метаданных, а именно в незащищенных данных, окружающих зашифрованную нагрузку (транзакцию). Искатели могут использовать эти метаданные для предположений о намерениях транзакции, что позволяет им осуществлять спекулятивный MEV. Следует отметить, что искателям не нужно полностью понимать содержание транзакции, и не обязательно каждый раз угадывать правильно. Например, если они могут с разумной вероятностью определить, что транзакция исходит от определенного децентрализованного обменника (DEX), этого достаточно для начала атаки.
Мы можем разделить метаданные на несколько категорий: одна категория - это классические проблемы, присущие криптографическим технологиям, а другая категория - это проблемы, уникальные для криптопамяти.
Размер транзакции: криптография сама по себе не может скрыть размер открытого текста (стоит отметить, что в формальном определении семантической безопасности четко указано, что скрытие размера открытого текста исключается). Это распространенный вектор атаки в зашифрованной связи, типичный случай заключается в том, что даже после шифрования, злоумышленник все равно может определить, что воспроизводится на Netflix, по размеру каждого пакета данных в видеопотоке в реальном времени. В зашифрованном пуле памяти определенные типы транзакций могут иметь уникальный размер, что приводит к утечке информации.
Время трансляции: криптография также не может скрыть временную информацию (это еще один классический вектор атаки). В сценах Web3 некоторые отправители (например, в сценариях структурированных распродаж) могут инициировать транзакции через равные промежутки времени. Время транзакции также может быть связано с другой информацией, такой как активность на внешних биржах или новостные события. Более скрытый способ использования временной информации — это арбитраж между централизованными биржами (CEX) и децентрализованными биржами (DEX): сортировщик может воспользоваться последней ценовой информацией CEX, вставив транзакции, созданные как можно позже; в то же время сортировщик может исключить все другие транзакции, отправленные после определенного момента времени (даже если они зашифрованы), гарантируя, что его транзакция получает эксклюзивное преимущество последней цены.
Исходный IP-адрес: исследователи могут выяснить личность отправителя транзакции, отслеживая исходный IP-адрес через мониторинг одноранговой сети. Эта проблема была обнаружена еще в ранние дни биткойна (уже более десяти лет). Если у конкретного отправителя есть устойчивая модель поведения, это может быть очень полезно для исследователей. Например, зная личность отправителя, можно связать криптографические транзакции с уже расшифрованными историческими транзакциями.
Информация о отправителе транзакции и сборах / газе: транзакционные сборы являются специфическим типом метаданных для крипто-пулов памяти. В Ethereum традиционная транзакция включает адрес отправителя в цепи (для оплаты сборов), максимальный бюджет газа и единичную стоимость газа, которую отправитель готов заплатить. Подобно адресу исходной сети, адрес отправителя может быть использован для ассоциации нескольких транзакций и реальных сущностей; бюджет газа может намекать на намерения транзакции. Например, взаимодействие с определенным DEX может требовать фиксированного объема газа, который можно распознать.
Сложные искатели могут комбинировать несколько типов метаданных, упомянутых выше, для предсказания содержания сделок.
Теоретически, эту информацию можно скрыть, но это потребует жертвы в производительности и сложности. Например, заполнение транзакций до стандартной длины может скрыть размер, но приведет к потере пропускной способности и пространства в блокчейне; добавление задержки перед отправкой может скрыть время, но увеличит задержку; отправка транзакций через анонимные сети, такие как Tor, может скрыть IP-адрес, но это также приводит к новым вызовам.
Самые трудные для скрытия метаданные — это информация о комиссиях за транзакции. Данные о комиссиях в криптовалюте создают ряд проблем для строителей блоков: прежде всего, это проблема мусорной информации. Если данные о комиссиях за транзакции зашифрованы, любой может транслировать неправильно отформатированные зашифрованные транзакции. Эти транзакции будут отсортированы, но не смогут оплатить комиссию, и после расшифровки не смогут быть выполнены, при этом никто не понесет ответственности. Возможно, это можно решить с помощью SNARKs, то есть доказать, что формат транзакции правильный и средств достаточно, но это значительно увеличит затраты.
Во-вторых, это проблема эффективности построения блоков и аукциона за комиссии. Строители полагаются на информацию о комиссиях для создания блоков с максимальной прибылью и определения текущей рыночной цены ресурсов в сети. Данные о криптовалютных комиссиях нарушают этот процесс. Одно из решений — установить фиксированные комиссии для каждого блока, но это экономически неэффективно и может привести к появлению вторичного рынка упаковки транзакций, что противоречит изначальной задумке крипто-пулов. Другим вариантом является аукцион за комиссии через безопасные многопартитные вычисления или доверенное оборудование, но оба этих метода имеют очень высокие затраты.
В конечном итоге, безопасный крипто-пул памяти увеличит системные накладные расходы с нескольких сторон: шифрование увеличит задержку цепи, вычислительные затраты и потребление полосы пропускания; как это будет сочетаться с важными будущими целями, такими как шардирование или параллельное выполнение, пока неясно; это также может ввести новые точки сбоя для активности (liveness) (например, комитеты по расшифровке в схемах с порогом, решатели функций задержки); в то же время сложность проектирования и реализации также значительно возрастет.
Многие проблемы с крипто-пулом памяти аналогичны тем вызовам, с которыми сталкиваются блокчейны, нацеленные на обеспечение конфиденциальности транзакций (такие как Zcash, Monero). Если говорить о позитивном аспекте, то решение всех проблем криптографии в смягчении MEV одновременно уберет препятствия для конфиденциальности транзакций.
Экономические проблемы, с которыми сталкивается криптосреда.
Наконец, криптопул также сталкивается с экономическими проблемами. В отличие от технических проблем, которые могут быть постепенно смягчены за счет достаточных инженерных вложений, эти экономические проблемы являются фундаментальными ограничениями и их решение крайне сложно.
Основная проблема MEV возникает из-за информационной асимметрии между создателями транзакций (пользователями) и добытчиками возможностей MEV (поисковиками и строителями блоков). Пользователи обычно не понимают, сколько извлекаемой ценности содержится в их транзакциях, поэтому, даже при наличии идеального крипто-майнинг-пула, они все равно могут быть вынуждены раскрыть ключи шифрования в обмен на вознаграждение, которое ниже фактической ценности MEV. Это явление можно назвать «стимулирующим расшифровыванием».
Такой сценарий не трудно представить, поскольку аналогичные механизмы, такие как MEV Share, уже существуют в реальности. MEV Share — это механизм аукциона потока заказов, который позволяет пользователям выборочно отправлять информацию о сделках в пул, а искатели получают право на использование возможностей MEV этой сделки через конкуренцию. Победитель аукциона после извлечения MEV возвращает часть доходов (то есть сумму ставки или ее определенный процент) пользователям.
Эта модель может быть непосредственно адаптирована к крипто-пулю памяти: пользователям необходимо раскрыть ключи для расшифровки (или часть информации), чтобы участвовать. Однако большинство пользователей не осознают альтернативные затраты на участие в таких механизмах, они видят только текущую прибыль и с удовольствием раскрывают информацию. В традиционных финансах также есть аналогичные примеры: например, платформа торговли без комиссий Robinhood, чей бизнес-модель заключается в продаже потока заказов пользователей третьим лицам через "платежи за поток заказов" (payment-for-order-flow).
Другой возможный сценарий заключается в том, что крупные строители заставляют пользователей раскрывать содержание транзакций (или связанную информацию) под предлогом проверки. Антицензурность является важной и спорной темой в области Web3, но если крупные валидаторы или строители юридически обязаны (например, в соответствии с требованиями OFAC Министерства финансов США) исполнять списки проверок, они могут отказать в обработке любых криптографических транзакций. С технической точки зрения, пользователи могут подтвердить, что их криптографическая транзакция соответствует требованиям проверки, с помощью нулевых знаний, но это приведет к дополнительным затратам и сложности. Даже если блокчейн обладает сильной антицензурностью (обеспечивает, что криптографическая транзакция обязательно будет включена), строители могут по-прежнему отдавать приоритет известным открытым транзакциям в начале блока, а криптографические транзакции помещать в конец. Таким образом, те, кто нуждается в обеспечении приоритета исполнения транзакций, в конечном итоге могут быть вынуждены раскрыть содержимое строителям.
Другие вызовы в области эффективности
Крипто-пул памяти будет увеличивать системные затраты различными очевидными способами. Пользователи должны шифровать транзакции, и системе нужно как-то их расшифровывать, что увеличивает вычислительные расходы и может также увеличить объем транзакций. Как уже упоминалось, обработка метаданных будет дополнительно усугублять эти затраты. Тем не менее, есть и некоторые затраты на эффективность, которые не так очевидны. В финансовой сфере, если цены могут отражать всю доступную информацию, рынок считается эффективным; однако задержки и информационная асимметрия могут привести к неэффективности рынка. Это именно то, что является неизбежным следствием крипто-пула памяти.
Такие неэффективности ведут к прямому следствию: увеличению неопределенности цен, что является прямым продуктом дополнительной задержки, вводимой крипто-пулом. Таким образом, может увеличиться количество транзакций, которые терпят неудачу из-за превышения допустимого проскальзывания цен, что, в свою очередь, приводит к пустой трате пространства в блокчейне.
Точно так же эта ценовая неопределенность может способствовать спекулятивным сделкам MEV, которые пытаются извлечь прибыль из арбитража на блокчейне. Стоит отметить, что крипто-пул памяти может сделать такие возможности более распространенными: из-за задержки выполнения текущее состояние децентрализованных бирж (DEX) становится более неясным, что, вероятно, приведет к снижению рыночной эффективности и возникновению ценовых различий между различными торговыми платформами. Такие спекулятивные сделки MEV также могут тратить место в блоке, поскольку, если арбитражные возможности не обнаружены, они, как правило, прекращают выполнение.
Резюме
Цель данной статьи заключается в том, чтобы систематизировать проблемы, с которыми сталкиваются крипто-пулы памяти, чтобы люди могли сосредоточить свои усилия на разработке других решений, однако крипто-пул памяти все еще может стать частью решений по управлению MEV.
Один из возможных подходов — это смешанный дизайн: часть транзакций реализуется через криптографический мемпул с использованием «слепой сортировки», а другая часть использует другие схемы сортировки. Для определенных типов транзакций (например, ордера на покупку и продажу крупных участников рынка, которые могут тщательно зашифровывать или заполнять транзакции и готовы платить более высокие затраты для избежания MEV) смешанный дизайн может быть подходящим выбором. Для высокочувствительных транзакций (например, транзакций по исправлению уязвимых смарт-контрактов) такой дизайн также имеет практический смысл.
Однако, из-за технических ограничений, высокой сложности проектов и затрат на производительность, криптопул памяти вряд ли станет универсальным решением для MEV, которого ожидают люди. Сообществу необходимо разработать другие решения, включая аукционы MEV, механизмы защиты на уровне приложений и сокращение времени окончательного подтверждения и т.д. MEV по-прежнему будет представлять собой проблему в течение некоторого времени в будущем, и необходимо провести глубокие исследования, чтобы найти баланс между различными решениями для противодействия его негативному влиянию.