Ограничения зашифрованных mempool

Стоимость, которую можно извлечь путем включения, исключения или изменения порядка транзакций в блоке, называется максимальной извлекаемой стоимостью (MEV). MEV характерна для большинства блокчейнов и является предметом широкого обсуждения и интереса профессионального сообщества.

Примечание: данный материал рассчитан на читателей, знакомых с базовыми принципами MEV. Для получения вводных сведений рекомендуем ознакомиться с нашим руководством по MEV.

Изучая феномен MEV, многие исследователи задаются ключевым вопросом: способна ли криптография решить данную проблему? Один из подходов предполагает создание зашифрованного мемпула, где пользователи публикуют зашифрованные транзакции, которые раскрываются только после их упорядочивания. В этом случае консенсус-протокол вынужден зафиксировать порядок транзакций «вслепую», что, по замыслу, должно препятствовать извлечению MEV в процессе сортировки транзакций.

Однако, по ряду практических и теоретических причин, зашифрованные мемпулы не обеспечивают универсального решения вопроса MEV. Ниже мы рассмотрим основные сложности и отдельные варианты архитектур зашифрованных мемпулов.

Как устроены зашифрованные мемпулы

Существуют разные предложения по реализации зашифрованных мемпулов; общая модель работы включает следующие этапы:

1. Пользователи публикуют зашифрованные транзакции.
2. Зашифрованные транзакции фиксируются в блокчейне (в ряде схем — после доказуемого случайного перемешивания).
3. После финализации блока транзакции расшифровываются.
4. Далее производится исполнение транзакций.

Ключевой вызов на этапе 3 (расшифровка транзакций): кто отвечает за расшифровку и что делать, если она не происходит? Простое решение — поручить расшифровку самим пользователям (в этом случае шифрование необязательно, достаточно скрытых коммитментов). Однако этот подход уязвим — злоумышленник может использовать спекулятивный MEV.

Сценарий спекулятивного MEV предполагает, что злоумышленник пытается угадать, что определенная зашифрованная транзакция принесет MEV, и шифрует собственные транзакции, чтобы они оказались в выгодном месте (например, до или после целевой). Если порядок транзакций оказался выгодным, злоумышленник расшифровывает и осуществляет MEV; если нет — отказывается от расшифровки, и его транзакция не попадает в блокчейн.

Теоретически пользователь можно штрафовать за отказ расшифровать транзакцию, но это сложно реализовать. Штраф должен быть одинаковым для всех зашифрованных транзакций (так как содержимое недоступно), но при этом достаточно высоким, чтобы предотвращать спекулятивный MEV даже в случае ценных транзакций. Это потребовало бы блокировки значительных сумм — и желательно анонимно, чтобы не раскрывать принадлежность транзакций определенным пользователям. Такие меры обходятся дороже честным участникам в случае сбоя или ошибки сети, препятствующих расшифровке.

Поэтому основные схемы предлагают шифровать транзакции так, чтобы их расшифровка со временем была гарантирована даже при отсутствии отправителя. Для этого применяются различные методы:

TEEs: Пользователь шифрует данные на ключ, размещенный внутри доверенной среды исполнения (TEE). В простых вариантах TEE используется только для расшифровки по истечении времени (нужен механизм отсчёта времени внутри TEE). Более сложные подходы реализуют расшифровку и формирование блока самой TEE, упорядочивая транзакции по, например, времени поступления или размеру комиссии. Преимущество TEE по сравнению с другими схемами — возможность обработки открытых транзакций, что снижает ончейн-спам, фильтруя заранее некорректные транзакции. Недостаток — высокая степень доверия к железу.

Секретное разделение и пороговое шифрование: Пользователь шифрует транзакции на ключ, которым владеет комитет (подмножество валидаторов). Для расшифровки требуется пороговое количество участников (например, две трети комитета).

В базовом варианте для каждого периода (блока или эпохи) генерируется отдельный общий ключ, комитет восстанавливает его и раскрывает после финализации блока. Это удобно для простых схем секретного разделения, но раскрывает содержимое всех транзакций мемпула, даже не попавших в блок, и требует новый DKG в каждом периоде.

Для повышения конфиденциальности можно расшифровывать только транзакции, включенные в блок, используя схемы пороговой расшифровки. Это позволяет амортизировать стоимость DKG, применяя один и тот же ключ для нескольких блоков, а комитет осуществляет пороговую расшифровку уже после финализации. Недостаток — увеличение нагрузки на комитет: в примитивной реализации работа линейна по числу транзакций, однако недавниеразработки позволяют существенно оптимизировать этот процесс за счет пакетной пороговой расшифровки.

Смещение доверия: при пороговом шифровании доверие переходит от оборудования к комитету. Типовое предположение — если протокол консенсуса уже строится на честном большинстве валидаторов, можно допустить, что большинство членов комитета не будет раскрывать транзакции раньше срока. Однако эти предположения не эквивалентны: сбои консенсуса, такие как форки, публичны (слабое доверие), а преждевременная расшифровка комитетом — скрыта (сильное доверие) и не приводит к наказанию. На практике доверие к неконфликтности комитета гораздо более уязвимо.

Time-lock и задерживающее шифрование: Альтернативой пороговому шифрованию выступает задерживающее шифрование, в котором пользователь шифрует данные на публичный ключ, секретный ключ которого зашит в тайм-лок задаче. Эта задача раскрывает секрет только после заданного времени путем последовательных (непараллелизируемых) вычислений. Таким образом, любой участник может вскрыть ключ и расшифровать транзакции, но лишь после достаточно долгого вычисления, чтобы дождаться финализации блока. Самый строгий вариант использует delay encryption для публичной генерации такой задачи; можно реализовать и с помощью доверенного комитета, решающего тайм-лок через распределенные вычисления, хотя в этом случае преимущества перед пороговым шифрованием сомнительны.

Независимо от техники, существуют эксплуатационные сложности. Во-первых, трудно гарантировать точное время расшифровки, поскольку задержка связана с вычислениями. Во-вторых, необходим специальный участник с мощным оборудованием для исполнения задачи. Хотя теоретически это может сделать любой, непонятно, как гарантировать появление и мотивацию такого участника. Наконец, в таких схемах расшифровываются все опубликованные транзакции, даже не включенные в блок, в отличие от пороговых или свидетельских решений, которые позволяют раскрывать только финализированные транзакции.

Свидетельское шифрование. Самый сложный криптографический подход — свидетельское шифрование, теоретически позволяющее зашифровать данные таким образом, что расшифровать сможет любой, предъявивший решение NP-задачи (например, решение судоку или предобраз хэша).

Любая NP-задача может быть реализована через SNARK, и свидетельское шифрование можно рассматривать как шифрование тем, кто может предъявить SNARK-доказательство нужного условия. В схеме зашифрованного мемпула подходящее условие — возможность расшифровки только после финализации блока.

Этот подход обладает огромной теоретической мощью и обобщает как комитетные, так и задерживающие схемы. На практике нет реализуемых конструкций свидетельского шифрования. Даже если бы они были, неясно, выгоднее ли они существующих схем для блокчейнов с доказательством доли. Если даже свидетельское шифрование разрешает расшифровку только после финализации, злонамеренный комитет может приватно смоделировать финализацию и использовать локальную цепь как свидетельство, что эквивалентно по безопасности пороговому шифрованию, но проще в реализации.

Существенное преимущество свидетельское шифрование дает в цепях с доказательством работы: даже полностью злонамеренный комитет не сможет приватно «домайнить» несколько блоков, чтобы смоделировать финализацию.

Технические сложности зашифрованных мемпулов

Значительные практические сложности ограничивают потенциал зашифрованных мемпулов в борьбе с MEV. В целом обеспечение конфиденциальности крайне непросто. Несмотря на давний опыт использования криптографии в интернет-протоколах (TLS/HTTPS) и защищённых коммуникациях (от PGP до Signal/WhatsApp), в web3 шифрование применяется редко. Это инструмент для защиты конфиденциальности, но не её гарантия.

Во-первых, доступ к открытому содержимому транзакции пользователя могут получить сторонние участники — часто пользователь поручает шифрование своему кошельку, который получает полный доступ и может использовать или продавать эти данные для извлечения MEV. Уровень защиты ограничен числом лиц, владеющих ключом.

Основная уязвимость — это метаданные, то есть сопутствующая зашифрованной транзакции информация, не скрываемая шифрованием. По метаданным поисковые боты могут делать выводы о содержимом и извлекать спекулятивный MEV. Для этого им не нужно точно знать детали транзакции — достаточно, например, предположить с высокой вероятностью, что транзакция представляет собой ордер на покупку с определённой DEX.

Выделяют несколько типов метаданных, часть из которых типична для криптографии, часть — уникальна для зашифрованных мемпулов:

• Размер транзакции: шифрование не скрывает длину полезной нагрузки (что прямо отражено в формальных определениях). Это классический вектор атаки: например, даже при наличии шифрования можно вычислить, какое видео передается через Netflix, анализируя размеры пакетов. В мемпуле транзакции определенного типа могут иметь специфический размер, что выдает дополнительную информацию.

• Время трансляции: шифрование не скрывает время отправки, что также является известным вектором атаки (см. пример). В web3, например, крупные ордера могут отправляться строго по расписанию или во время событий на внешних площадках или в новостях. Более сложный вариант использования временного признака — арбитраж между CEX/DEX: секвенсор вставляет свою транзакцию как можно позже, чтобы воспользоваться последней информацией о ценах CEX, и блокирует все остальные поступившие позднее транзакции, получая преимущество.

• IP-адрес отправителя: поисковые системы могут отслеживать p2p-сеть и определять IP-адрес отправителя, что давно известно (подтверждено на ранней стадии Bitcoin). Эта информация полезна, если шаблоны поведения отдельных отправителей известны, — таким образом зашифрованную транзакцию можно связать с ранее раскрытыми.

• Адрес отправителя и данные о газе/комиссиях: комиссионные данные — особый вид метаданных. В Ethereum транзакция содержит ончейн-адрес отправителя, максимальный лимит газа и цену за газ. Адрес позволяет связывать транзакции между собой и с реальными субъектами, а лимит газа дает понять, с каким сервисом или контрактом идет взаимодействие.

Продвинутые поисковые боты комбинируют все эти метаданные для высокой точности прогнозирования содержимого транзакций.

Весь этот объем данных теоретически можно скрыть, но это приводит к потерям производительности и дополнительной сложности системы. Выравнивание размера транзакций путем добавления служебных данных маскирует объем, но ведет к перерасходу пропускной способности и ончейн-хранилища. Задержки при трансляции маскируют время отправки, но увеличивают задержки обработки. Передача через анонимные сети типа Tor скрывает IP-адрес, но тоже сопряжена с рисками.

Наиболее сложная для сокрытия категория метаданных — комиссия. Если эти данные зашифрованы, строителю блока становится сложно фильтровать спам: любой может отправлять некорректные транзакции, которые займут место, не будут оплачены и не приведут к санкциям. Это можно решить с помощью SNARK-доказательств корректности и обеспеченности транзакций, но это делает систему гораздо сложнее и тяжелее.

Вторая проблема — организация эффективной сборки блоков и аукционов комиссий. Строители используют комиссионные ставки для формирования максимально прибыльных блоков и определения справедливой цены цепочечных ресурсов. Шифрование этих данных нарушает процесс. Введение единой фиксированной комиссии снижает экономическую эффективность и стимулирует развитие вторичных рынков транзакционного включения, противоречащих самой идее зашифрованного мемпула. Проведение аукционов через защищённые вычисления или доверенное железо возможно, но крайне затратно.

Наконец, защищённые зашифрованные мемпулы существенно увеличивают нагрузку на систему: шифрование создает вычислительные и сетевые издержки, увеличивает задержки и размер транзакций. Интеграция с шардингом и параллельным исполнением требует дополнительной проработки и несет новые риски отказа (например, неработоспособность комитета расшифровки или процессора тайм-лок функции). Это также заметно усложняет проектирование и сопровождение решений.

Большинство этих трудностей схожи с вызовами, характерными для специализированных блокчейнов приватности (например, Zcash, Monero). В долгосрочной перспективе решение задач шифрования для борьбы с MEV позволит создать фундамент для приватности транзакций в целом.

Экономические вызовы зашифрованных мемпулов

Кроме технических, существуют и фундаментальные экономические ограничения, которые нельзя устранить лишь инженерными мерами.

Проблема MEV обусловлена информационной асимметрией между пользователями, создающими транзакции, и поисковиками и строителями, извлекающими MEV. Пользователи чаще всего не осведомлены о величине MEV в своих транзакциях. Поэтому даже с идеальным зашифрованным мемпулом пользователь может быть склонен раскрывать ключ расшифровки в обмен на вознаграждение, не соответствующее реальной ценности MEV. Это называется стимулируемой расшифровкой.

Такой подход уже реализован в виде MEV Share — аукциона ордерфлоу, который позволяет пользователям избирательно раскрывать информацию о своих транзакциях для пула, где поисковые участники конкурируют за возможность использовать MEV. Победитель аукциона получает MEV и возвращает часть прибыли пользователю в виде комиссии.

Эту модель можно легко встроить и в зашифрованные мемпулы: пользователь раскрывает ключ расшифровки (или часть информации), чтобы участвовать в схеме. Большинство пользователей не осознают потерь, видят только выигрыш и охотно соглашаются на такие условия. Аналогичная ситуация наблюдается и в традиционных финансах, например, бесплатные сервисы типа Robinhood зарабатывают на продаже ордерфлоу третьим сторонам — так называемая модель payment-for-order-flow.

Возможны и другие сценарии: крупные строители могут требовать раскрытия транзакций (или их части) в целях цензуры. Устойчивость к цензуре — актуальная и обсуждаемая тема web3. Если ведущие участники обязаны исполнять требования регуляторов (например, OFAC), они могут отказываться обрабатывать зашифрованные транзакции. Технически это можно решить посредством нулевых доказательств соответствия транзакции цензурным требованиям, но это удорожает и усложняет систему. Даже в условиях высокой устойчивости, когда включение зашифрованной транзакции гарантировано, блок-строители могут отдавать приоритет понятным транзакциям, а зашифрованные сдвигать вниз по приоритету. В результате, для получения гарантий исполнения пользователю все равно придется раскрывать детали транзакции.

Другие вопросы эффективности

Зашифрованные мемпулы увеличивают нагрузку на систему: пользователям нужно шифровать транзакции, а сети — их расшифровывать, что ведет к росту вычислительных затрат и размера транзакций. Работа с метаданными дополнительно усугубляет такие издержки. Менее очевидный аспект: в финансах эффективность рынка — это когда цена отражает всю доступную информацию. Любые задержки и информационные асимметрии, вызванные зашифрованными мемпулами, делают рынок менее эффективным.

Одно из последствий — рост ценовой неопределенности из-за задержек раскрытия транзакций, что приведет к увеличению числа неудачных сделок по причине превышенного слиппеджа и расходу пространства блокчейна впустую.

Такая же неопределенность приведет к росту спекулятивных MEV-транзакций, направленных на арбитраж между DEX. При внедрении зашифрованных мемпулов такие возможности станут еще шире, поскольку дополнительная задержка исполнения увеличивает расхождение цен между площадками, ухудшая эффективность рынка. Эти спекулятивные MEV-транзакции также часто будут занимать место в блоках без эффекта — при отсутствии арбитражных возможностей они просто отменяются.

Наша цель — обозначить вызовы, связанные с зашифрованными мемпулами, чтобы стимулировать поиск и разработку альтернативных решений, хотя и сами зашифрованные мемпулы, возможно, займут свое место в борьбе с MEV.

Перспективным направлением являются гибридные архитектуры, где часть транзакций сортируется через зашифрованный мемпул, а часть — через открытые механизмы. Для крупных ордеров институциональных игроков, готовых тщательно шифровать транзакции и платить за отсутствие MEV, гибридные схемы могут быть оптимальны. Эти решения подходят и для особо критичных транзакций, например, фикса уязвимостей в смарт-контрактах.

В результате, учитывая технологические и инженерные ограничения, а также дополнительные издержки, зашифрованные мемпулы вряд ли станут универсальным решением проблемы MEV. Сообществу предстоит разрабатывать альтернативные подходы — такие как аукционы MEV, защиту на уровне приложений и сокращение времени до финализации. MEV еще долго будет актуальным вызовом, и поиск сбалансированных решений для минимизации его рисков требует глубокой проработки.

Пранава Гаримиди — научный сотрудник a16z Crypto; специализируется на проблемах теории механизмов и алгоритмической теории игр в контексте блокчейнов, с фокусом на взаимодействие стимулов на всех уровнях стека. Ранее окончил Колумбийский университет по специальности «информатика».

Джозеф Бонно — доцент кафедры информатики Института Куранта (Нью-Йоркский университет), технический советник a16z crypto; эксперт по прикладной криптографии и безопасности блокчейнов. Преподавал курсы по криптовалютам в университетах Мельбурна, NYU, Стэнфорде, Принстоне; получил докторскую степень в Кембридже и бакалаврскую/магистерскую в Стэнфорде.

Лиоба Хаймбах — аспирантка четвёртого года под руководством проф. Роджера Ваттенхофера в группе распределённых вычислений DISCO ETH Zurich, занимается исследованием протоколов децентрализованных финансов (DeFi) и совершенствованием справедливой, эффективной и доступной блокчейн-экосистемы. Проходила стажировку в a16z crypto летом 2024 года.

Мнения, изложенные в данном материале, отражают исключительно точку зрения отдельных сотрудников AH Capital Management, L.L.C. (“a16z”), цитируемых в тексте, и не являются позицией a16z или его аффилированных лиц. Часть данных взята из сторонних источников, включая портфельные компании фондов под управлением a16z. Данные признаны надежными, однако a16z не проводил их независимой проверки и не гарантирует актуальность/релевантность для каждой ситуации. В ряде случаев в материале присутствует сторонняя реклама, содержание которой не оценивается и не одобряется a16z.

Материал подготовлен исключительно в информационных целях и не является юридической, деловой, инвестиционной или налоговой консультацией. Для получения соответствующих консультаций обращайтесь к своим профессиональным советникам. Любые упоминания о ценных бумагах или цифровых активах приводятся исключительно для иллюстрации и не являются инвестиционной рекомендацией или предложением инвестиционных услуг. Материал не адресован и не предназначен к использованию инвесторами или потенциальными инвесторами; его нельзя рассматривать как основание для вложений в какие-либо фонды под управлением a16z. (Предложение инвестировать в фонд a16z будет сделано исключительно на основании официальной документации: меморандума о частном размещении, договора о подписке и иных документов, которые рекомендуется изучить полностью.) Перечисленные вложения или портфельные компании не представляют собой указатель всех инвестиций фондов Andreessen Horowitz (за исключением не раскрытых и не анонсированных публично активов). Полный и актуальный список доступен по адресу: https://a16z.com/investments/.

Информация актуальна на дату публикации. Все прогнозы, оценки, целевые показатели и мнения могут меняться без уведомления и отличаться от позиций других экспертов. См. дополнительные разъяснения: https://a16z.com/disclosures.

Отказ от ответственности:

1. Статья размещена с сайта [a16zcrypto]. Все авторские права принадлежат авторам [Pranav GarimidiJoseph BonneauLioba Heimbach]. По вопросам размещения обращайтесь в команду Gate Learn для оперативного реагирования.
2. Юридический отказ: изложенные взгляды и мнения принадлежат только авторам и не являются инвестиционной рекомендацией.
3. Переводы статьи на другие языки осуществляются командой Gate Learn и защищены от несанкционированного копирования, распространения или плагиата, если не указано иное.