一文了解技术新概念Shutterized信标链

　　Shutterized信标链(Shutterized Beacon Chain)允许有选择地对交易进行加密，并在交易内容对任何人可见之前将它们纳入到链中。这将大大提高审查阻力，并减少恶意MEV。本文将为大家详细介绍这一概念。

　　摘要

• 　　MEV是一个重要的问题，但它可以直接在L1信标链中解决

• 　　Shutter提供了一个解决方案：一组节点使用DKG协议计算一个加密密钥，让用户用它加密他们的交易，并在加密交易链上释放解密密钥。

• 　　通过使用验证者集来运行DKG协议，并为加密交易引入调度机制，该技术可以应用于类似以太坊的信标链。

　　问题

　　矿工可提取价值(MEV)和抢先交易(front runing)被广泛认为是区块链领域最后尚未解决的基本问题。现在有数亿美元的记录在案的MEV，其中大多数对用户和交易者来说有百害而无一利。随着时间的推移，这个问题将不可避免地变得更具破坏性，最终甚至可能成为阻挡我们的社区走向主流的致命障碍。

　　MEV一词由Phil Daian等人创造，描述了区块生产者通过选择、插入、排序和审查交易来获取的收益。仅2020年提取的MEV价值就超过3.14亿美元，这只是一个下限。通常，MEV不是由区块生产者自己捕获的，而是由使用复杂机器人的独立实体捕获。

　　MEV的一个重要子集是通过所谓的抢先交易获取的收入，这种攻击在传统市场是非法的，但在加密领域仍不受监管。抢先交易者监视网络中值得下手的交易，一旦确定目标，他们就发送自己的交易，试图提前将其包含在链中。他们通过支付更高的Gas价格、运营遍布全球的网络基础设施、自己成为区块生产者或通过反向通道支付来实现抢先交易。

　　抢先交易攻击最常见的受害者是去中心化交易所的交易员。抢先交易让他们不得不支付更高的价格，而不是因为他们提供给市场的信息而得到公平的回报。另一方面，抢先交易者以几乎无风险的方式从受害者那里吸走利润，却没有对系统做出任何有用的贡献。一个简单的例子就是套利交易，赚取同一资产在两个不同交易所的价差。抢先交易者经常从其他市场参与者那里复制这类交易，并更早地执行，从而获得回报，而最初的交易者却空手而归。

　　除了交易所，许多其他应用程序也会受到影响，包括赏金分发和拍卖。重要的是，由于它们依赖于治理系统的投票(这代表了以太坊中一个大型和快速增长的领域)，更容易遭受抢先交易攻击。如果没有一个系统来保护免受这些类型的攻击，可能会面临重大挑战。

　　在传统金融中，抢先交易可以通过各种可信的中介机构和经营者的监管或监督(在一定程度上)得到遏制。在无许可、去中心化的系统中，情况并非如此，因此它可能是主流加密货币采用的战略障碍。

　　要求

　　我们认为信标链应该为其用户提供MEV保护，而不需要额外的开销或用户体验方面的变化。这种保护也不应该附带额外的安全保证，或者在附加的安全假设失败时，至少应该回退到标准的非MEV保护功能。最后，它应该像共识协议一样具有类似的去中心化水平。

　　Shutter

　　Shutter允许用户以某种方式发送加密交易，这种方式保护用户在通过黑暗森林的道路上不受抢先交易者的影响(每笔交易都必须经过抢先交易者的狩猎场)。例如，交易员可以使用Shutter使他们的订单对抢先交易者不透明，这意味着攻击者既不能确定这是一个买入或卖出订单，也不能确定正在交换哪些代币，或以何种价格交换。系统只有在交易离开黑暗森林后，即在交易的执行环境确定之后，才会解密并执行交易。

　　用于加密和解密的密钥由一组称为Keyper的特殊节点提供。密钥持有者通常通过运行分布式密钥生成(DKG)协议来生成加密密钥。然后，他们发布相应的解密密钥。该协议使用阈值密码学——一种技术，使一组密钥持有者能够提供只有在至少一定数量的成员协作时才能打开的密码锁。这就确保了任何一方或少数合谋的Keyper都不能提前解密任何内容或破坏协议以阻止它执行交易。只要一定数量的Keyper(“阈值”)不破坏规矩，协议就能正常运行。

　　核心协议内的L1 Shutter

　　我们已经开发了链上shutter，这是一种保护个人智能合约不受L1命令攻击的机制，但它的缺点是破坏可组合性。我们正在进一步研究直接在rollup内部署shutter。在这里，我们将描述一种将shutter系统集成为以太坊式信标链一部分的设计。这样做的好处是完全脱离用户，并保持可组合性。

　　与在每一个shutter系统中一样，这种协议需要一组Keyper。Keyper组通过类似的程序在区块链验证者中选择委员会或区块生产者，除非它们的选择频率要低得多(例如一天一次)。Keyper使用信标链来生成共享的eon密钥。eon公开密钥将提供给用户，用于加密他们的交易。

　　区块生产者收集区块的加密和明文交易。它们在其区块中包含要执行的明文交易，而加密交易则按照未来的区块高度进行调度。

　　在产生一个区块之后，Keyper应该生成解密密钥，以对该区块计划的交易进行解密。其后的区块必须包含被认为是有效的解密密钥。通过首先执行为该区块调度的加密交易，然后再执行该区块中包含的明文交易，来计算该区块的post状态。

　　执行顺序和上下文(区块号、时间戳等等……)是由密文交易包含的顺序和前一个区块的上下文决定的。在对交易进行解密之前，就已经确定了执行的上下文，因此不可能使用有关交易数据的信息来提取MEV。它还防止了可能被用于乐观地抢先交易的侧通道信息。

　　密文交易费用

　　区块生产者需要以某种方式确保加密交易值得包含在一个区块中，即他们可以在不知道交易数据的情况下支付交易费用。如果费用将在执行时支付，区块生产者将不能保证得到支付，因为帐户可能会在包含和执行之间耗尽余额。

　　因此，加密交易通过在其被包含在链中时提供一个支付费用的签名信封来证明其被包含的合理性。信封内容包括：gas消耗、gas价格，以及在这些字段上的签名，以便恢复付款人的地址。该费用将在包含密文交易时支付给区块生产者，即不在执行时支付。密文交易的gas消耗计入其所在区块的gas上限。

　　传统的gas上限需要被gas消耗量所取代，这意味着用户将为其计划使用的所有gas付费，即使在交易被解密和应用时，用户只使用了其中的一部分。这对于交易被纳入链时支付的费用是必要的。这可以防止区块生产者将一个具有难以置信的高gas限额的交易(取代其他交易及其费用)，解密到一个使用很少gas(和费用)的交易。

　　使用信封交易的另一个缺点是交易的元数据会被泄露，即知道了付款人和gas价格/消耗上限。有可能，利用这些泄露的信息仍然可以提取一小部分MEV。

　　有人指出，可以设想zk-SNARK方法来解决这一费用支付问题，并防止元数据信息泄露。

　　安全保证

　　密钥用户生成的eon公钥和解密密钥要求诚实参与者的阈值为t/n。可以对参数t和n进行调整以适应协议。t越高，keyper们越难过早地串通和解密交易(允许MEV提取)。另一方面，较低的t可以保证解密密钥能够及时释放。

　　为了强制密文交易的解密和应用，我们必须强制在每个区块中包含解密密钥。在这些情况下，如果Keper们离线或拒绝生成解密密钥，区块生产将停止。

　　如果没有计划执行的加密交易，我们可以通过允许在没有解密密钥的情况下生成区块来减轻Keyper的活动影响。万一Keyper下线，链将通过分拆具有加密交易的区块来恢复，并只产生具有明文交易的区块。

　　我们还可以通过声明，如果在n个时隙期间没有生成任何区块(由于没有解密密钥)，则下一个区块不需要包含解密密钥，解密的交易将被忽略，从而恢复活跃。这将回到链的传统非MEV保护功能。

　　部署的更改

　　我们已经开发了Keyper软件，以及所有的加密/解密逻辑。我们还开发了允许区块生成器(或排序器/定序器)提交到一批加密交易的逻辑，向Keyper发出信号，现在可以安全释放解密密钥了。

　　现在还需要做的是改变客户端部署中定义区块正确性的规则，以及交易执行的规则。必须重新定义向客户端提交交易的接口。最后，可能需要编写工具和插件来允许dapp与需要使用公钥加密交易的MEV保护链无缝集成。