V神最新思考：两种途径解决PoS共识机制下的MEV问题

特别感谢Justin Drake以及Flashbots团队给予的反馈和讨论。

威胁共识网络持续去中心化的一个主要风险是围绕矿工可提取价值（MEV）的经济学，这是从选择下一个区块内容的能力中获取利润的复杂技巧。列举一个简单的MEV示例：针对自上一个区块以来发生的价格变动对所有链上去中心化交易所进行套利。虽然一般的PoS奖励是相当平等的，因为单一验证器的回报率与强大的验证池相同，但在寻找复杂的MEV提取机会方面，存在着显著的规模经济性。

简单说，一个规模大10倍的池子就拥有10倍的机会来提取MEV，并且它可以花费更多的精力来进行优化，以从每个利润机会中提取更多。除了这个问题之外，MEV 还使得去中心化池复杂化，因为在去中心化池子中，仍然需要一个实体来负责打包并提出区块，并且他们可以轻松地秘密提取MEV，而无需和池子本身分割收入。

最出名的解决方案就是提议者（proposer）/区块构建者（block-builder）分离。与区块提议者试图自己生产收益最大化的区块不同，他们依赖于一个市场，在这个市场中，我们称之为区块构建者的外部参与者生产包含完整区块内容和提议者费用的bundle包，而提议者选择最高费用的bundle包。提议者的选择被简化为选取费用最高的bundle包，这种算法非常简单，以至于在一个去中心化池子中，它甚至可以在 MPC 内完成以防止欺诈。

这篇文章提出了一些关于如何实现这一点的设计。

另请参阅 2018 年的想法，这些想法与此处的想法密切相关：优化提议承诺方案（Optimised proposal commitment scheme）

我们将重点关注五个主要的期望属性：

不受信任的提议者友好性：提议者欺骗区块构建者的风险很小或没有风险，因此区块构建者没有动机选择具有一定链下声誉或与构建者有个人关系的提议者（因为这将有利于大型池子）。
不受信任的构建者友好性：区块构建者欺骗提议者的风险很小或没有风险，因此提议者没有动机选择具有一定链下声誉或与提议者有个人关系的构建者（因为这会让新的构建者更难进入市场）。如果需要存款来实现这一点，则应最大限度地降低门槛。
弱提议者友好性：该机制不应该要求提议者具有 (i) 高带宽或其他计算资源或 (ii) 高技术复杂性。
Bundle包不可窃取：提议者应不可接受区块构建者提出的Bundle包并从中提取交易来制作自己的Bundle包，从而阻止区块构建者获利（并可能进一步损害他们）。
共识层的简单性和安全性：从共识层的角度来看，该机制应该继续是安全的，并且最好与现有的区块提议机制进行相同的分析。

区块构建者生成bundle包并发布它们创建的bundle包的头（headers），一个bundle包头包含对包主体（bundle body）的commitment承诺（预期的区块内容）、对提议者的付款以及构建者的签名。
提议者选择提供最高付款的bundle包头（仅考虑构建者有足够余额来实际支付的bundle包）。他们签署并发布包含该包头（bundle header）的提议。
看到签名的提议后，提供包含包头（bundle header）的区块构建者将发布完整的bundle包。

在这一点上，分叉选择规则有能力做出三个判断中的一个（而不是通常的两个）：

区块提议不存在
区块提议存在，但包主体（bundle body）不存在
区块提议存在，并且包主体（bundle body）存在

请注意，在第二种情况下，proposal仍然成为了链的一部分，并且至关重要的是，区块构建者向提出者的付款仍在处理（但区块构建者自己不会获得任何费用或自己获取MEV）。

分析

五个属性中的三个很容易满足：

提议者无条件地接受承诺的付款，因此bundle包不能欺骗提议者；
三个步骤都是非常自动化和低带宽的，因此这满足弱提议者友好性；
提议者无法看到他们正在签署的bundle包的内容，因此这满足bundle包的不可窃取性；

而共识层属性，以及不受信任的提议者友好性要更加棘手。这种设计确实改变了分叉选择的工作方式，将其从2个选项增加到3个选项，这也意味着提议者不再是游戏中的最后一个参与者。从理论上讲，人们可以推断，如果分叉选择能够做出决定，那么这应该是好的，但这仍然是一个潜在未知的重大变化。

提议者看不到bundle包内容，也不能通过bundle包窃取来欺骗区块构建者，但是他们可以对区块构建者使用更微妙的攻击。他们可以在一个slot时间段的末尾发布他们的提议，确保证明人（可能）按时看到proposal提议，但不能给区块构建者足够的时间发布body，因此证明人很有可能没有按时看到body。这给区块构建者带来了风险，并激励他们青睐值得信赖的提议者。此外，它还创造了一个机会，通过这个机会，恶意的大多数人可以对自己不喜欢的区块构建者进行重罚。

对于这一问题，我认为有两种缓解方法：

证明人在接受提议的最长时间和接受一个body的最长时间之间有2秒的延迟。如果你信任证明人，这基本上可以解决问题，尽管区块构建者有损失资金风险的基本问题仍然存在。此外，尚不清楚证明者以这种方式投票是否符合激励措施（尽管可通过要求他们证明提案的2 秒长VDF 解决方案来迫使他们等待）。
如果一个body没有被包含在内，提议者只会得到一半的付款（而区块构建者只支付一半）。这使得提议者恶意破坏的代价很高，但它仍确保了区块构建者恶意破坏的代价仍然很高（在这两种情况下，代价都足以让你相信甚至匿名参与者也不想这么做）。例如，如果一个bundle包的提议者费用为1，区块构建者利润为1.05:

（1）诚实的行为将导致（构建者，提议者）回报为（0.05, 1）；

（2）提议者或证明人发布太晚，导致一个只有header头的区块被接受，则回报为 (-0.5, 0.5) ；

区块构建者制作bundle包并发布他们创建的bundle包头。一个bundle包头包含对内容的承诺、对提议者的付款以及来自构建者的签名。
提议者选择并签署一份声明，该声明由他们所看到的bundle包头列表组成。
看到该声明后，选定的区块构建者会发布其相应的包主体（bundle body）。
提议者从他们预先提交的列表中选择一个bundle包头，并用它发布一个提议。

有一个新的罚没条件，它可以驱逐和惩罚任何发布不属于（相同slot时间段内）列表提议的提议者。

还要注意的是，提议者在步骤（2）中提交的bundle包头列表也可以是包头的加密哈希列表，其中每个哈希都加密到该bundle包的构建者的公钥，以便只有构建者知道它们是否被接受。这降低了DoS攻击风险。

分析

同样，五个属性中有三个很容易满足：

提议者不能窃取bundle包，因为他们只有在已将自己限制在有限的现有bundle包头集时才能看到任何bundle包主体。
如果不包括完整的body，就不可能发生构建者对提议者的付款，因此提议者也不能在经济上欺骗构建者。
共识属性和以前一样，因为系统仍然是提议者为最后一个行动者的游戏，并且共识规则决定的内容没有变化。

在这种情况下要确保的两个较难的属性是，弱提议者友好性和不受信任的区块构建者友好性。令人担忧的是，恶意的区块构建者可以通过提出大量的提议来攻击提议者，这些提议都提供了非常高的费用，但从不公布其中任何一个提议的body。如果提议者对他们接受多少bundle包有上限，那么这种攻击可以将所有合法bundle包定价，并使提议者没有可合法包含在其区块中的bundle包。如果提议者可接受的bundle包数量没有上限，那么这可能导致向提议者发送无限数量的全bundle包体（相想每个500 kb），这是一个巨大的带宽需求。

该难题的一个解决方案是以某种非硬性限制的方式对bundle包头提交进行速率限制。