以太坊中恶意MEV攻击风险犹存,F3B协议崭露头角
随着以太坊中恶意MEV(最大可提取价值)攻击持续凸显为严重风险,通过加密交易以阻止抢先交易的"Flash Freezing Flash Boys"协议正成为备受关注的下一代解决方案。然而,评估认为在技术及治理层面,该协议要实现在以太坊主网上线仍面临不少挑战。
MEV攻击的根源与现状
近期研究显示,以太坊上日均发生近2000次"三明治攻击",每月有超过200万美元从网络中被窃取。这意味着即便进行WETH、WBTC、稳定币等大规模兑换的交易者也始终暴露在MEV攻击的风险之下。此类攻击可行的核心原因在于区块链特有的透明性:交易在实际执行并最终确认前,其数据会完全暴露给验证者和机器人,从而为设计抢先交易与尾随交易提供了空间。
为从根本上缓解这一问题,"加密内存池"被提出作为关键解决方案,其中基于"阈值加密"的设计讨论最为广泛。早期如Shutter、FairBlock等项目尝试以时段为单位共享单一密钥对交易进行加密。随后也出现了采用"批量阈值加密"模型的方案,通过单一密钥解密多笔交易以降低通信成本。然而这些模型在完全阻断MEV方面仍存在局限。
F3B的核心:逐笔交易加密
F3B由H. Zhang等研究人员于2022年提出,其设计直接针对传统时段阈值加密的弱点。若像FairBlock及早期Shutter模型那样"用一个密钥加密时段内所有交易",会导致未被打包进区块的交易也被一同解密。此过程中不应公开的订单信息可能泄露,使验证者有机会利用新暴露的数据谋划额外的MEV。
与此不同,F3B采用"逐笔交易"的阈值加密方式,确保每笔交易内容在最终确认前不会对外公开。协议流程如下:用户首先使用对称密钥加密交易,再将该对称密钥以仅可由"秘密管理委员会"解密的方式进行阈值加密。生成的交易密文与加密密钥成对传播并存储至共识组。
同时,SMC成员各自准备解密份额,但在共识将该交易纳入区块并最终确认之前不会公开此份额。交易达到最终性后,超过一定数量的SMC成员提交解密份额,共识节点验证并组合这些份额以重建对称密钥,随后解密并执行交易。
过去,这种"逐笔加密"方式因计算成本与存储空间效率过低而被视为不切实际。F3B对此进行调整,选择"不对整个交易,而仅对加密交易的对称密钥实施阈值加密"。实际交易数据用轻量对称密钥加密处理,而繁重的非对称与阈值加密仅应用于小型密钥。研究表明,以简单兑换为基准,需进行非对称加密的数据容量最多可减少至十分之一。
两种实现方式:TDH2与PVSS的性能差异
F3B主要可通过两种密码协议实现:一是TDH2,二是PVSS。两者的目标一致,但在密钥生成与管理主体及周期、委员会结构固定方式上有所不同,从而影响性能与灵活性。
TDH2首先由SMC执行"分布式密钥生成",成员各自生成密钥份额与公共公钥。用户每次生成新的对称密钥加密交易后,用SMC的公钥对该对称密钥进行阈值加密并上链。待链上交易经过一定数量的确认达到最终性后,SMC成员公开其解密份额,并同时提交证明各份额正确性的非交互式零知识证明。共识节点通过验证这些证明来防止恶意的"选择密文攻击",并在有效份额超过阈值后重建对称密钥,解密并执行交易。
PVSS的结构略有不同。此模式下委员会无需每时段重复进行DKG,而是各自持有长期私钥及对应公钥。公钥记录于链上可供查询。用户为每笔交易选择随机多项式,利用Shamir秘密共享生成秘密份额后,使用各受托人的公钥分别加密。随后通过重建的秘密哈希生成对称密钥。在此过程中,每个加密份额均附有NIZK证明,以验证所有份额源于同一秘密,且与公开的多项式承诺保持一致。之后的交易打包、最终性达成、份额公开、密钥重建、解密与执行流程与TDH2相同。
性能方面,TDH2凭借"固定委员会"与"恒定大小的阈值加密数据"优势,相对更为高效。而PVSS虽赋予用户灵活选择可信委员会成员的权利,但因需为每个成员执行独立的公钥加密,数据大小与计算量随之增加。
研究团队在以太坊权益证明环境中的模拟结果显示,F3B实现导致的性能损耗实际上微乎其微。当委员会规模设为128人时,最终性后增加的延迟在TDH2下仅为197毫秒,PVSS下为205毫秒,分别相当于以太坊平均最终性时间768秒的0.026%与0.027%。存储空间方面,TDH2每笔交易仅产生80字节的额外开销,而PVSS的份额、证明与承诺大小随成员数量线性增长。即便如此,从全网性能与容量角度看,这仍属"可忽略的水平"。
SMC的维护机制与现存局限
为促使秘密管理委员会成员保持"诚实行为",F3B设计了基于质押的激励与惩罚结构。SMC受托人需存入一定质押,并相应获得手续费作为回报。手续费旨在激励成员保持持续在线状态并满足协议要求的处理性能。
同时,协议还包含用于制裁委员会成员在交易最终确认前泄露解密份额行为的"罚没智能合约"。一旦有人提前提交解密证据至链上,相关成员的质押金将被没收。在TDH2中,可与特定交易密文对照的解密份额即构成违规证据;PVSS中,解密份额及针对该受托人的NIZK证明则作为证据。
这一设计大幅提高了"可被侦测的"提前解密行为成本。然而,结构上仍存在无法完全规避的漏洞:若SMC成员不在链上提交任何份额,而是线下秘密聚集并重建与解密密钥,外部将难以验证。这意味着协议最终仍不得不依赖于"多数委员会成员诚实行事"的假设。
另一个攻击向量是利用加密交易的"延迟执行"特性。恶意用户通过发起大规模加密交易垃圾信息,将区块链填充为近乎"未执行状态"的交易。这是所有加密内存池设计共同面临的风险。对此,F3B采取要求用户每次提交加密交易时预付单独的"存储保证金"机制。保证金预先扣除,仅在交易正常执行后退还部分款项,旨在通过提高垃圾攻击成本来削弱其经济动机。
主网应用挑战与学术价值
尽管F3B作为降低MEV的密码学工具展现了相当精巧的设计,但主流观点认为其在实际应用于以太坊主网前仍面临显著的现实障碍。F3B无需改动共识层,但执行层需进行一定程度的修改以接纳"加密交易"与"延迟执行"机制。这很可能成为合并之后以太坊所需的最深层次变更之一。
尤其当前以太坊发展路线图上已堆积着数据分片、Rollup扩容、账户抽象等其他优先任务。在此背景下,推动F3B这种涉及执行层根本性变更的方案,无论在政治还是技术层面均非易事。此外,关于SMC治理、委员会去中心化构成、受托人激励结构等实战运营中可能出现的问题,也尚未得到充分验证。
尽管如此,F3B作为一项"研究里程碑"仍具有重要价值。其应用潜力不仅限于以太坊,更可扩展至新设计的Layer1区块链或需要延迟执行的DeFi应用领域。区块间隔低于1秒的超高速链虽因更短的出块时间而有助于降低MEV风险,但若结合F3B类协议,将能更进一步从源头阻断基于内存池的抢先交易。
例如,F3B风格的设计可应用于"密封投标拍卖"智能合约。投标人在拍卖期间提交加密的报价,该数据在截止前完全隐藏。拍卖结束后密码揭晓,智能合约自动决定中标者与价格。此过程可防止竞争者提前窥探报价并调整出价的"嗅探"行为,以及截止时刻前的抢先交易与信息泄露。
总而言之,F3B为解决内存池隐私与MEV缓解难题,展示了以太坊生态在密码学技术与协议设计方面可能考虑的"上限"。即使短期内难以在主网落地,它仍很可能为未来的新一代链、Rollup及DeFi协议设计提供重要参考。
