Vitalik: 如何提高 PBS 方案的交易抗審查性

來源|?notes.ethereum.org

作者|VitalikButerin

特別感謝Francesco提出解決方案2里的核心想法，并感謝Francesco、JustinDrake、AlexObadia和PhilDaian的反饋和評論。

區塊提議者/構建者分離方案是如何運作的？

在現行的交易市場里，區塊提議者?(當前是礦工，合并后是驗證者)直接通過看交易池里哪些交易支付最高的小費來選擇哪些交易被打包到下一個區塊。這使得區塊交易者可以使用復雜的策略來選擇打包哪些交易，或甚至打包他們自己的交易，以利用像DEX套利和清算的機會(為了簡潔，下文只稱為MEV)來最大化他們的收益。這些策略的復雜性給運行一個有效礦工或驗證者節點造成很高的固定成本，并使得代表其參與者使用這些策略的中心化池占據優勢。

區塊提議者/構建者分離(PBS)?方案通過把區塊構建的角色從區塊提議者上分離開來解決這問題。分離出來的一類行動者叫構建者(buiders)，他們構建執行區塊主體(execblockbodies)?(基本上是一個有序的交易列表，這些交易會成為區塊里的主要負載)和提交出價。提議者的工作就只是接收出價最高的執行區塊。值得注意的是，提議者(和其他所有人)直到他們選擇了在競價中勝出的區塊頭(即也選擇了區塊主體)后都不知道任何執行區塊主體里的內容。這種確認前的隱私(pre-confirmationprivacy)?對以防止“MEV竊取”是有需要的，因為懂行的提議者會發現構建者的MEV提取策略并復制它們而不分給構建者。

PBS與現狀相比，有哪些抗審查挑戰？

首先是現狀，假設有一筆150kgas的交易，且當前的gas上限是30m(目標是15m)。經濟實力強的行動者試圖審查該交易。在當前的交易市場里，如果該筆交易愿意支付基本費和多于1~2?gas的小費，區塊提議者就會愿意對其打包；平均每個區塊有大約15m的gas松弛空間讓他們這樣做。要審查一筆發送者為打包愿意支付x的交易，攻擊者需要把基本費提到高于每gas?X/150k，并將其保持在那里。如果他們這樣做了，其他用戶將因費用太高而退出競價——畢竟，如果基本費高到足以讓一筆重要到足以吸引有人試圖進行針對性審查的交易退出，攻擊者將可能必須自己支付區塊中交易費最貴的交易。保守地說，攻擊者很可能必須自己支付高達每slot?(X/150k)*10m=X*66.7?(因此大約是每小時?x*20000?)

BTC最后活躍6至12個月的供應量創近21個月低點:金色財經報道，數據顯示，BTC最后活躍6至12個月的供應量在過去一小時(1d MA)達到1,733,568.490BTC，創近21個月低點。[2023/3/23 13:21:49]

現在，讓我們來探討一下PBS的情況。假設有一個區塊構建者一直比其他構建者表現更好，要么因為他們說服不老練的用戶運行只給他們發送交易的錢包("專有訂單流")，要么因為他們有更好的算法和數據訪問來發現MEV機會。假設有一些特定受害交易是構建者(“審查構建者”)試圖審查的。設：

M?為在沒有受害交易的情況下非審查構建者的出價P=X-basefee*150k?為受害交易總交易費的小費部分M+P?為受害者交易能夠被打包的情況下非審查構建者的出價A?為審查構建者獲得的優勢(advantage)(等于他們所賺的費用+MEV與非審查構建者可以賺最多的費用+MEV的差值)M+A?是審查構建者的出價，無論是否有受害交易(因為審查構建者不想打包受害交易)

如果?P>A，非審查構建者將能夠給出比審查構建者的0收益出價(M+A)高出?P-A?的出價。為了保持審查，審查構建者將必須把他們的出價提高到?M+P，并每slot損失?P-A?以保持出價高于非審查構建者(還要額外犧牲每個slot獲利A的機會，因此總損失是每slot?P?)。這樣成本仍然很高。但請注意這比每slot?X*66.7?要便宜得多。

如果?P<A，盡管不打包受害交易，審查構建者也能贏得競拍，雖然他們的確不得不把他們的出價提高到稍稍高于?M+P?，從而犧牲了每個slot的?P?收益(審查構建者的收益變成?A-P?而不是?A)。

請注意，在兩種情況里，攻擊者都會因為審查而損失每slot的?P?收益?——對于僅是把一筆交易排除在鏈外來說，這仍然是一個巨大且持續的成本，但遠不像每筆交易在費用市場中的成本那么高。

?PBS的審查經濟學和出塊時間

上述分析的一個重要結果是，在PBS里，審查的成本是按每slot算的(嚴格來說是每個區塊，但為了簡單，我們忽略兩者的區別，因為實際上以太坊上幾乎所有slot都有一個區塊)。如果出塊頻率減低10倍，審查成本會減少10倍。如果出塊頻率增加10倍，審查成本就會增加10倍。這是反直覺的，但與上一部分的邏輯是一致的。請特別注意，現在的收費市場有點像PBS，有100多個競價同時搶一筆交易的打包位置；但是，這是一個有問題的PBS市場，因為它缺乏確認前的隱私保護。

NFT系列“哥布林”goblintown.wtf 交易額突破1億美元:金色財經報道，據 NFTGo 最新數據顯示，“哥布林”goblintown.wtf系列NFT交易額已突破1億美元，本文撰寫時達到1.0185億美元，但由于地板價跌至0.665 ETH，其市值目前縮水至約3353萬美元。[2022/12/29 22:13:11]

因此，很自然要問這樣一個問題：我們能否嘗試擴展PBS，以實現快速出塊，但使得那些區塊是并行出現而不是按順序的？

抗審查方案有哪些設計目標？

DOS保護和沒有免費的數據可用性：提議者(或構建者)不應該能夠打包沒人支付的數據，因為這可能會被攻擊者利用，使鏈數據膨脹，或給rollup欺騙交易費用的機會。例如，這意味著如果一個區塊包含了一筆交易因為余額不足或同一個區塊里其他交易而被證明是無效的，協議必須仍然向提議者收取該交易的基本費。

最小額外帶寬消耗：這個機制不應該只對鏈上數據有效，對p2p網絡上的數據也要有效。舉個例子，在網絡上漂浮著數百個來自不同構建者的冗余完整區塊主體是不現實的。

不再重新引入提議者中心化：PBS的全部意義就在于它不需要提議者是老練的。我們不希望創建一個機制會為老練的提議者重新引入好處，從而激勵提議者進入進一步的協議外競拍關系或加入池。

理想情況下，允許提議者是無狀態的：驗證者能夠變成完全無狀態(一旦Verkletrees被部署到了主網)將會是進一步去中心化和提高可擴展性的一個重大福音。

如果我們依賴利他主義，不要讓利他主義變得昂貴：我們一般可以依賴這樣一個假設——至少有百分之幾的提議者是利他的，且將忽略賄賂出價和接受被審查的交易。但是，如果這樣做在協議內是成本高的，這個假設就會變得很不現實。提議者不應該必須犧牲大額收益來幫助確保被審查的交易能被打包。

解決方案1：我們可以同時運行很多確認前隱私PBS競價嗎？

假設在每個slot里有一個競拍是用于主要執行區塊?(primaryexecblock)?和有?N-1?個競拍是用于輔助執行區塊(auxilaryexecblock)?(因此總共有?N?個競拍)，且它們是并行運行的。這些區塊是按順序被執行的(順序為先主后輔)，但它們共識的達成是平行進行的。

報告：今年三季度國內元宇宙投融資總額達228.4億元，環比降低8.9%:10月11日消息，據新浪VR聯合企查查聯合發布的《2022年Q3國內元宇宙投融資報告》，2022年三季度，國內元宇宙投融資總額達到了228.4億元人民幣，投融資總額較二季度減少22.2億元，環比降低8.9%；投資事件總數為339起，較二季度增加188起，環比增長125%。其中，三季度已披露融資額的企業中，融資過億元人民幣的事件有49起，在投融資事件總數中占比14.5%，融資總額196億元，占融資總額超86%。

從賽道分布來看，國內元宇宙市場投融資涉及領域主要包括硬件、軟件、基礎設施、場景應用四大板塊。其中硬件板塊共發生270起投融資事件，占投融資事件總數的79.6%；硬件板投融資總額216億元，占投融資總額的64%，硬件板塊投融資數量和總額較二季度增長均超過10倍。

此外，報告稱，國內元宇宙融資額前十名企業融資總額高達115.84億元，占投融資總數的50.7%，國內投融資分布總體兩級分化趨勢顯著，強者恒強局面初步形成。[2022/10/11 10:30:59]

假設一個交易發送人愿意支付?P?小費。要把該交易排除在鏈外，審查者將需要愿意給每個輔助執行區塊競拍的控制員每slot?P+1，因此他們將必須支付每slot(P+1)*N。

攻擊者必須每個slot都出價，且不僅當有人試圖進行輔助打包時才需要出價，因為如果攻擊者只自動出價高于輔助打包，提議者會開始提交虛假的自我出價來迫使攻擊者出價高于他們。

但有一個問題：輔助執行區塊會如何被構建？構建主要執行區塊的構建者("主要構建者")會相對比較簡單，因為他們看到他們正在構建的區塊所建基的前狀態：這是前一個區塊的后狀態。另一方面，構建輔助執行區塊的構建者(輔助構建者)則沒那么幸運：他們在同一個slot里構建的任何區塊都需要基于主要執行區塊(和較底部索引的輔助執行區塊)。因此，當輔助構建者在選擇打包哪些交易是并不知道他們要基于什么狀態來構建的。

如果一個輔助構建者打包一筆已經被打包到前一個區塊的交易，他們必須支付直到簽名和隨機數驗證前的數據和執行的gas，但他們不會得到來自該筆交易的手續費。因此，他們會損失錢?(在這種情況下設計一個免除數據+驗證gas費的協議是不安全的，因為這可能會被rollup和其他存儲數據到區塊鏈的用例濫用)。

印度電商巨頭Meesho宣布將探索區塊鏈、元宇宙和NFT用例:5月28日消息，印度社交電商獨角獸Meesho宣布將探索區塊鏈、元宇宙、Web3 和 NFT用例重新定義線上銷售。Meesho聯合創始人兼首席技術官Sanjeev Barnwal表示，Meesho希望讓買賣雙方在元宇宙中互動，推出元宇宙業務只是時間和時機問題，但現在已經開始探索Web3及其擴展用例。

如果元宇宙成為常態，電商公司其實可以做很多事情，比如在線模擬線下購買體驗。從根本上說，將會改變用戶體驗游戲規則。

值得一提的是，雷軍旗下的順為資本是Meesho公司股東，且參與過該公司早期階段融資。[2022/5/28 3:47:13]

這就提出了一個問題：輔助構建者是否有一個安全策略來打包交易到輔助執行區塊？這個策略在正常情況下應該是可獲利的(預期里)，且如果一個會進行審查的主要構建者明顯正在試圖攻擊他們時能提供保護。一個攻擊的可能例子是，一個會進行審查的主要構建者可以在直到他們預見有輔助構建者開始打包交易時突然打包那些交易，從而實現審查。如果他們一直這樣做，他們可以導致輔助構建者虧錢；一旦輔助構建者虧損太多，他們就會退出市場，讓會進行審查的構建者可以自由審查交易。

?最低限度可行的輔助構建者策略

請記住，在“好的情況”下，輔助區塊會是空的，因為任何想被打包的交易都會被打包到主要區塊。因此，這個策略只需要在審查真的發生的時候才激活。

設：

N?=每個slot上發生的競拍總數(包括主要的和輔助的)P?=交易小費B?=當前的基本費首先，為了簡單起見，假設?N=2?(因此，每個slot只有一個輔助執行區塊)。也假設?P=B?(審查的受害者總是支付兩倍的費用，以吸引輔助構建者和避免審查)。下面是一個建議的輔助構建者策略：

如果一個輔助構建者看見一筆交易在?k?個slot前第一次被接收，但還未被打包，并且從那時起就一直有效，那么構建者應該在他們的提議區塊里打包這筆交易的概率是。

假設會進行審查的主要構建者在k個slot后接受了受害者交易。要么?k=0，在這種情況里他們只有?0.00000001?的機會能“陷害”輔助構建者(意思是，審查構建者和輔助構建者在同一個slot里發布，導致他們會虧損錢)，要么?k>0，在這種情況下攻擊者陷害輔助構建者的概率與輔助構建者先于攻擊者打包受害交易的概率相等(即??，因為k≥1)。

以太坊L2網絡總鎖倉量為47.3億美元:金色財經消息，L2BEAT數據顯示，截至5月27日，以太坊Layer2上總鎖倉量為47.3億美元。其中鎖倉量最高的為擴容方案Arbitrum，約25.8億美元，占比54.51%。其次是dYdX，鎖倉量9.47億美元，占比20.1%。Optimism占據第三，鎖倉量4.82億美元，占比10.18%。[2022/5/27 3:46:14]

在后一種情況下，輔助構建者平均來說是不賺不賠。這是因為在攻擊者陷害他們時，他們虧損?B，而在他們打包了一筆交易時，他們獲利?P，而我們在上文假設?P=B。將指數基數降低到?2?以下，使數學運算更簡單，并確保輔助構建者是可獲利的。我們可以通過把基數設為??延展到任意小費。

而?N>2?的情況比較棘手，因為有可能出現干擾：如果一筆交易同時被打包到兩個輔助執行區塊呢？但是，如果我們假設輔助構建者使用獨立的隨機策略，發生沖突的機會是可控的(一個模擬腳本表明，如果基數是2，無論有多少名構建者，P都接近于1/4)。

在實踐中，上述的數字幾乎肯定是太悲觀的。被審查的交易可能在幾個slot后就被輔助構建者打包了，而輔助構建者將對攻擊作出動態反應。此外，交易失敗時的成本比成功時低，所以在實踐中，?P?僅需要大量交易的幾個百分點的?B。相反，上述內容更多的是作為一個存在證明，即輔助構建者可以使用固定的特定策略，甚至在攻擊下也能獲利。

在主要執行區塊內容已知后，為什么不讓輔助構建者通過一個位字段選擇要排除哪些交易到鏈外

一個位字段仍然攜帶足夠多的信息，攻擊者可將指令編碼到智能合約，以了解如何利用MEV機會。此外，如果有多個輔助構建者，他們將必須按順序提供他們的位字段。因此，這將簡單地將輔助競拍轉換為一系列主要競拍。

解決方案2：我們是否仍然可以使用提議者(“混合式PBS")，但僅用作”打包的最后手段”

防止審查的另一個自然想到的方法是把當前的交易費用市場和PBS融合起來。這種方法將依靠提議者來抗審查。只有少數提議者需要實際上使用這個方案；即使95%的提議者不知怎么地就成功被賄賂了，都假裝沒有看到交易并只接受PBS機制下產生的區塊，剩下的5%意味著，平均來說，任何受害交易仍會在20個slot后被打包。

這個方案的工作原理如下。在每個slot：

1.提議者廣播?crList，這是提議者看到的應該被打包的交易列表(即它們的狀態里有正確的隨機數和被打包的充足余額、小費和最高基本費)。這個?crList?只能包含一名?sender?(發送人)的一筆交易。提議者也要對一個?crListSummary?簽名和廣播，它包含在?crList?上每筆?tx?的?tx.sender?和?tx.gaslimit。

2.構建者創建一個提議主體，它必須包含在?crListSummary?里

3.提議者接受勝出的區塊頭

4.構建者發布主體。主體的驗證需要檢查在?crListSummary?上的每個?(sender,gaslimit)，要么是否?block.gasused+gaslimit>block.gaslimit，要么?sender?是否區塊里某筆交易里的發送人。

為了進一步節省空間，還有一個更復雜的替代方法，就是要求?crList?按照?tx.gaslimit?的降序排序，然后要求主體只包括(i)在?crList?上不能被打包的第一筆交易的Merkle證明，和(ii)區塊中那些在?crList?上的交易的位字段。任何人都可以通過重建Merkle證明之前樹的那部分并檢查它是否與Merkle證明相符來驗證。

請注意，無論哪種解決方案，如果提議者錯誤地構建了?crList，構建者可能無法安全地提議一個執行區塊主體。在這種情況下，構建者應該就直接不提議任何東西，就像提議者根本沒有廣播過?crList?一樣。

?融合PBS和無狀態

PBS的一個重要的次要目標是允許驗證者是完全無狀態的(一旦Verkletrees被部署了)。PBS會實現這點是因為只有構建者需要真正地構建主體；構建者還負責附上見證數據(witness)到他們的區塊，使得驗證者可以在無狀態下驗證區塊。

而要把這個屬性擴展到這個方案，每筆交易都需要伴有一個簡單的見證數據，證明交易發送人的余額和隨機數。如果用戶是無狀態的，這個見證數據可以由中間節點(例如，構建者可以自愿做這件事)來添加。

?混合式PBS會如何與二層賬戶抽象交互(例如ERC4337)

ERC4337從根本上改變了抗審查的博弈情況，因為它將以太坊層面上交易的概念與用戶意圖對象的經濟概念解耦了。歸根結底，我們試圖確保用戶意圖對象是抗審查的。當兩者相同時(就像今天一樣)，這可以被說成是交易的抗審查。但是，在ERC4337，交易變成了一個包含許多用戶意圖對象(在ERC4337里這被稱為useroperations)的封裝器。

在"常規的"PBS中，這個區分并不重要，因為協議只直接與執行區塊交互。構建者可以創建一個包含很多筆("常規")交易的執行區塊，或他們可以創建一個包含一筆封裝了多項useroperations的交易的執行區塊，或是兩者的混合。兩種情況的機制是完全相同的；封裝器與封裝器的封裝器之間區別不大。

如果輔助執行區塊被用作抗審查，那么機制仍然是一樣的。如果使用混合式PBS，那么對現狀交易和ERC4337?useroperations的處理就會出現差異：對現狀交易的抗審查性是直接得到保證的，但對ERC4337?useroperations的抗審查性只是間接提供的。

無論是ERC4337還是混合式PBS都需要稍作修改，以確保其在混合式PBS的世界中集成抗審查性。要了解原因，首先看看一個為什么ERC4337將保有抗審查性的第一個有問題的論點：

攜帶ERC4337?useroperations的”交易“直接映射到上述”輔助區塊“的概念。如果一個給定的ERC4337?useroperations不被會進行審查的主要構建者打包，那么任何人(我們把他們稱為”中繼者”)都可以創建一筆打包了useroperations的交易(一個假的輔助執行區塊)，并期望從中獲利。當然，審查者可以在那個確切的時間打包useroperations，并奪走中繼者的收入，但并不總是如此，因此平均而言，中繼者將是可獲利的，原因與上述輔助構建者策略部分的解釋一樣。

這個論點的關鍵缺陷是，“不總是”是錯的。這是因為在輔助執行區塊的情況和ERC4337交易情況之間存在根本的區別。在輔助執行區塊的情況里，主要和輔助執行區塊的主體是同時被提交的。因此，兩邊都不能看到另外一邊在做什么，也做不了搶跑。但在ERC4337交易的情況里，勝出的構建者能看到交易，因此他們能做搶跑。

解決方案1：修改ERC4337

我們可以對ERC4337做如下修改：useroperations將需要有能力指定允許打包它們的一個單一中繼者。這可以保護useroperations不被“竊取”(不過要注意的是，與用戶合謀的審查構建者可能仍然可以汲極輔助構建者的收益，因為會進行審查的構建者可以對有相同隨機數但不同用戶操作的中繼者進行搶跑)。

解決方案2：修改混合式PBS

需要在crList上的交易在所有其他交易前被執行。這就防止構建者搶跑。但是，實際上使用這個功能對提議者來說可能成本更大，因為它可能會減少他們從MEV競拍中獲得的收益，因為在?crList?上的交易本身可能就在提取MEV。因此，用這個方法可能會激勵提議者在?crList??的構建上用更復雜的方法，這又把中心化激勵帶回來了。

總結

PBS是一個活躍發展的研究領域。減輕MEV帶來的驗證者中心化風險對任何尋求保持其去中心化性質的區塊鏈來說都非常重要。但是，防止構建者中心化變成另一種類型的審查漏洞也同樣重要。

在這個時間點上，我在短期更傾向于混合式的PBS。混合式PBS在當前和“純”PBS模型之間得到兩全其美的效果：

即使是一個利他主義的提議者也可以打包任何其他提議者和交易捆打包者正在審查的交易，因此我們保有了現有的抗審查性。MEV提取所需的優先位置被競拍給另一群專門的行為者，因此驗證者不需要碰MEV，這樣我們就減輕了MEV驅動驗證者中心化的風險。提議者不需要親自執行區塊，因此驗證者可以是完全無狀態的。這意味著大幅提高一層的區塊容量會變得更安全。在更長期的未來，混合式PBS的問題以及希望有更多的抽象性這兩點都會是探索輔助執行區塊這樣概念的原因，它們會與主要執行區塊被并行構建。

此外，這篇文章中的論點提出了一些有趣的理由，可能最終會考慮在協議層承認ERC4337的useroperations。在短期內，ERC4337應該保持作為一個額外協議ERC，因為在那里它的創新速度會快得多。但是，長期來看，很明顯把它寫入協議層，并在協議層明確承認用戶意圖對象能為確保它們免受審查提供更多的選擇。

Tags：PBSSLOTLOTISTPBS幣AlphaslotSleepy Sloth FinancePIST Trust

中幣下載