ブロック内のトランザクションを含めたり除外したり、または順序を変更することによって抽出できる価値は、「最大抽出可能価値」として知られています。MEV. MEVはほとんどのブロックチェーンで一般的であり、コミュニティ内で広く関心と議論の対象となっています。
注意:このブログ投稿は、MEVに対する基本的な理解を前提としています。一部の読者は、私たちのを読むことから始めたいと思うかもしれません。MEVの説明.
多くの研究者がMEVの状況を観察し、明らかな質問を投げかけています:暗号技術はこの問題を解決できるのでしょうか?一つのアプローチは暗号化されたメンプールで、ユーザーが暗号化された取引を放送し、それが順序付けられた後にのみ公開されます。したがって、コンセンサスプロトコルは取引の順序を盲目的にコミットする必要があり、順序付けの過程でMEVの機会を利用する能力を防ぐようです。
残念ながら、実用的および理論的な理由から、暗号化されたメンプールがMEVに対する普遍的な解決策を提供するとは見ていません。私たちはその困難を概説し、暗号化されたメンプールがどのように設計されるかを探ります。
暗号化されたメンプールに関する多くの提案がありましたが、暗号化されたメンプールの一般的な枠組みは次のとおりです:
ステップ3(取引の復号化)は重要な課題を提起します:誰が復号化を行い、復号化が行われない場合はどうなるのでしょうか?素朴な解決策は、ユーザー自身が自分の取引を復号化するということです(この場合、暗号化は必要なく、単にコミットメントを隠すことができるでしょう)。しかし、このアプローチは脆弱です:攻撃者は次のような行動を取ることができます。投機的MEV.
投機的MEVを用いる攻撃者は、特定の暗号化された取引がいくつかのMEVを生むと推測しようとします。彼らは自分の取引を暗号化し、それが望ましい場所(例えば、ターゲット取引の直前または直後)に現れることを期待します。取引が望ましい順序でシーケンスされると、攻撃者はそれを復号化し、彼らの取引がMEVを抽出します。そうでない場合、彼らは復号化を拒否し、彼らの取引は最終的なチェーンには含まれません。
ユーザーは解読に失敗した場合に何らかのペナルティを受ける可能性がありますが、これは実装が難しいです。ペナルティはすべての暗号化されたトランザクションに対して同じである必要があります(それらは暗号化されているため、区別できないからです)が、同時に高価値のターゲットに対しても投機的なMEVを思いとどまらせるのに十分大きくなければなりません。これには多くの資本を拘束する必要があり、その資本は匿名であるべきです(どのユーザーがどのトランザクションを投稿したのかに関する情報が漏れないようにするためです)。また、バグやネットワークの障害により正当な解読の試みに失敗した場合、誠実なユーザーにコストがかかることになります。
したがって、ほとんどの提案は、取引が暗号化され、投稿ユーザーがオフラインになったり協力しなかったりしても、将来的に必ず復号が可能であることが保証される方法で行われるべきだと示唆しています。これはいくつかの方法で実現できます:
TEEs: ユーザーは、Trusted Execution Environment(TEE)によって保持されるキーに対して、取引を暗号化できます。TEE) エンクレーブ。一部のシンプルなバージョンでは、TEEは特定の時間の期限後にトランザクションを復号化するためにのみ使用されます(これはTEE内での時間の概念を必要とします)。より高度なアプローチでは、TEEを使用してトランザクションを復号化し、到着時間や手数料などの基準に基づいてブロックを構築します。TEEのメリットは、他の暗号化されたメンプールアプローチと比較して、プレーンテキストトランザクションで操作できる能力があり、これにより元に戻るトランザクションをフィルタリングすることによってオンチェーンスパムを減少させることができることです。ただし、この方法はハードウェアへの信頼を必要とします。
秘密分散と閾値暗号化:このアプローチでは、ユーザーは取引を委員会によって共有されるキーに対して暗号化します。通常、これはバリデーターのサブセットです。復号化には一部の閾値(例えば、委員会の3分の2)が必要です。
最も単純なアプローチは、各ラウンド(例えば、Ethereumの各ブロックまたはエポック)で新しい共有復号鍵を使用し、取引が確定したブロック内に順序付けられた後に委員会が再構築して公表します。このアプローチは単純な秘密分散を使用できます。欠点は、これによりメンプールからのすべての取引が明らかになり、ブロックに含まれなかった取引も含まれることです。このアプローチは、各ラウンドでの新しい分散鍵生成(DKG)も必要です。
プライバシーのためのより良いアプローチは、実際に含まれたトランザクションのみを復号化することです。これは、しきい値復号化を使用することで実現できます。このアプローチは、同じキーを使用して複数のブロックのDKGプロトコルのコストを平均化することも可能にします。委員会は、トランザクションが確定したブロックに順序付けされた後にトランザクションをしきい値復号化します。課題は、委員会がはるかに多くの作業をしなければならないことです。ナイーブに言えば、委員会の作業は復号化するトランザクションの数に対して線形です。ただし、最近仕事バッチ閾値復号を提案しており、これにより大幅に改善できる可能性があります。
閾値復号化では、信頼がハードウェアの一部から委員会に移ります。主張は、ほとんどのプロトコルがすでにコンセンサスプロトコルのバリデーターに対して誠実な多数派の仮定を行っているため、バリデーターの多数派が誠実であり、取引を早期に復号化しないという類似の仮定を行うことができるということです。ただし、注意が必要です:これらは同じ信頼の仮定ではありません。チェーンのフォークのようなコンセンサスの失敗は公に見える(弱い信頼の仮定と呼ばれます)が、悪意のある委員会が取引を早期に私的に復号化した場合は、公開証拠が生成されず、そのためそのような攻撃は検出されず、スラッシュされることもありません(強い信頼の仮定)。したがって、外部から見ると、コンセンサスと暗号化委員会のセキュリティの仮定は同じように見えるかもしれませんが、実際的な考慮事項により、委員会が共謀しないという仮定はより tenuous になります。
タイムロックおよび遅延暗号化:しきい値暗号化の代替として、遅延暗号化の形態が存在します。ユーザーは、秘密鍵がタイムロックされたパズルの中に隠されている公開鍵に対して取引を暗号化します。タイムロックパズルとは、秘密をカプセル化した暗号パズルであり、あらかじめ決められた時間が経過した後でのみ明らかにされることができます。具体的には、このパズルは、いくつかの非平行計算を繰り返し実行することで解読できます。この場合、このパズルは誰でも開けることができ、鍵を回収して取引を復号化できますが、取引が最終化される前に復号化できないように設計された遅い(本質的に直列的な)計算が必要です。このプリミティブの最強バージョンは、遅延暗号化このようなパズルを公に生成することができます。また、信頼できる委員会を使用して、タイムロック暗号を介してパズルを計算することで近似することもできますが、その時点でしきい値暗号に対する利点は疑問です。
遅延暗号化または信頼できる委員会による計算によるものかにかかわらず、いくつかの実用的な課題があります。まず、遅延が計算的な性質であるため、復号の正確なタイミングを確保することがより困難です。次に、これらのスキームは、パズルを効率的に解決するために高度なハードウェアを実行する何らかのエンティティに依存しています。この役割を果たすのは誰でも可能ですが、この当事者にどのようにインセンティブを与えるかは不明です。最後に、これらの設計では、ブロックに決して最終化されなかった取引を含む、すべてのブロードキャスト取引が復号されます。閾値ベース(またはウィットネス暗号化)ソリューションは、成功裏に含まれた取引のみを復号する可能性があります。
ウィットネス暗号化。最後に、最も高度な暗号技術アプローチは、というツールを使用します。ウィットネス暗号. 理論的には、ウィットネス暗号は特定のNP関係のウィットネスを知っている誰にでも情報を暗号化することを可能にします。例えば、特定の数独パズルの解を持っている人や、特定の値のハッシュプリイメージを持っている人が復号できるように暗号化することができます。
SNARKsは、任意のNP関係にも可能です。ウィットネス暗号は、特定の条件を証明するSNARKを計算できる誰にでもデータを暗号化することと考えることができます。暗号化されたメンプールにおいて、そのような条件の一例は、トランザクションはブロックが確定したときにのみ復号化できるということです。
これは非常に強力な理論的プリミティブです。実際、これは委員会ベースのアプローチと遅延ベースのアプローチが特定のケースである一般化です。残念ながら、私たちはウィットネスベースの暗号化の実用的な構成を持っていません。さらに、たとえそれがあったとしても、プルーフ・オブ・ステークチェーンに対する委員会ベースのアプローチに対してどのように改善されているのかは明らかではありません。ウィットネス暗号化が、トランザクションが確定したブロックに順序付けられたときのみ復号化できるように設定されている場合でも、悪意のある委員会は依然としてコンセンサスプロトコルを私的にシミュレートしてトランザクションを確定させ、その後この私的チェーンをウィットネスとして使用してトランザクションを復号化することができます。その時点で、同じ委員会によるスレッショルド復号化を使用することは同等のセキュリティを提供し、はるかに簡単です。
ウィットネス暗号化は、プルーフ・オブ・ワークのコンセンサスプロトコルにおいて、より決定的な利点を提供します。なぜなら、完全に悪意のある委員会であっても、現在のヘッドの上にいくつかの新しいブロックをプライベートにマイニングして最終性をシミュレートすることはできないからです。
暗号化されたメンプールがMEVを防ぐ能力に制限を与えるいくつかの重要な実用的課題があります。一般的に、情報を機密のまま保持することは難しいです。興味深いことに、暗号化はweb3空間ではほとんど使用されていないツールです。しかし、私たちはウェブ(TLS/HTTPS)やプライベートコミュニケーション(PGPからSignalやWhatsappなどの現代の暗号化メッセージングプラットフォームまで)で暗号化を展開する課題を示す数十年の実践的な経験があります。暗号化は機密性を保持するためのツールですが、それを保証するものではありません。
まず、ユーザーの取引の平文に直接アクセスできる当事者が存在する可能性があります。一般的な場合、ユーザーは自分の取引を暗号化せず、これをウォレットプロバイダーにアウトソーシングします。その結果、ウォレットプロバイダーは平文の取引にアクセスでき、この情報を使用したり販売したりしてMEVを抽出することができます。暗号化は、鍵にアクセスできる当事者のセットよりも強力であることは決してありません。
これに加えて、最大の問題はメタデータです。つまり、暗号化されたペイロード(取引)を取り巻くデータであり、これは暗号化されていません。検索者はこのメタデータを使用して、取引の意図を推測し、投機的なMEVを試みることができます。検索者は取引を完全に理解する必要はなく、毎回正しい必要もありません。例えば、ある程度の確率で取引が特定のDEXからの買い注文を示していることを知っていれば十分です。
私たちは、いくつかのタイプのメタデータを考慮することができます。その中には、暗号化に関する古典的な課題もあれば、暗号化されたメンプールに特有のものもあります。
トランザクションサイズ:暗号化自体は、暗号化されたプレーンテキストのサイズを隠すことはありません。(暗号化されるプレーンテキストのサイズを隠すことを除外するために、意味的安全性の正式な定義において特定の例外が作られていることは、悪名高いです。)これは、暗号化された通信に対する古典的な攻撃ベクトルです。(有名な例では、暗号化されていても盗聴者はどのビデオを決定できるは、ビデオストリームの各パケットのサイズからリアルタイムでNetflixでストリーミングされています。)暗号化されたメンプールの文脈では、特定のトランザクションタイプが情報を漏らす特定のサイズを持っている可能性があります。
放送時間:暗号化はタイミング情報も隠さない(別のクラシック攻撃ベクター). web3の文脈では、特定の送信者—例えば、構造化販売において—が定期的に取引を行う可能性があります。取引のタイミングは、外部取引所での活動やニュースイベントなど、他の情報と相関している場合もあります。タイミング情報を利用するより微妙な方法はCEX/DEXアービトラージです。シーケンサーは、CEX価格に関するより最近の情報を利用するために、可能な限り遅く作成された取引を挿入することで利益を得ることができます。同じシーケンサーは、特定の時点以降に放送された他の取引(暗号化されていても)を除外することができ、その取引のみが最新の価格情報の利点を持つことを保証します。
発信元IPアドレス:検索者はピアツーピアネットワークを監視し、発信元IPアドレスを観察することでトランザクション送信者の身元を推測するかもしれません。この問題は実際に10年以上前に特定されたビットコインの初期の頃。このことは、特定の送信者が特定のパターンを持っている場合、検索者にとって有用です — 例えば、送信者を知ることで、暗号化された取引を既に復号された以前の取引にリンクさせることが可能になるかもしれません。
高度な検索者は、上記のメタデータタイプの任意の組み合わせを使用して、トランザクションの内容を予測するかもしれません。
これらの情報はすべて隠すことが可能ですが、パフォーマンスと複雑さのコストがかかります。例えば、トランザクションを標準の制限までパディングすると、トランザクションサイズが隠れますが、オンチェーンでの帯域幅とスペースを無駄にします。メッセージを送信する前に遅延を追加すると、トランザクション時間が隠れますが、レイテンシに影響を与えます。Torのような匿名ネットワークを介してトランザクションを送信すると、送信者のIPアドレスを隠すことができますが、これには独自の課題があります.
隠すのが最も難しいメタデータは、取引手数料データです。このデータを暗号化することは、ビルダーにとっていくつかの課題を生み出します。最初の問題はスパムです。取引手数料の支払いデータが暗号化されると、誰でも不正な暗号化された取引を放送でき、それは順序づけられますが、手数料を支払う能力はありません。したがって、復号化後には実行できなくなりますが、どの当事者も罰せられることはありません。これは、取引が正しく形成され、資金が提供されていることを証明するSNARKsを使用することで解決できる可能性がありますが、これによりオーバーヘッドが大幅に増加します。
第二の問題は、効率的なブロック構築と手数料オークションです。ビルダーは利益のあるブロックを構築するために手数料を使用し、オンチェーンリソースの現在の市場価格を確立します。このデータを暗号化することは、このプロセスを妨げます。各ブロックにフラットな手数料を設定することでこれに対処することが可能ですが、これは経済的に非効率的であり、取引の含有に対する二次市場を促進する可能性があり、暗号化されたメンプールを持つことの目的を損なうことになるでしょう。安全なマルチパーティ計算または信頼できるハードウェアを使用して手数料オークションを行うことは可能ですが、これらは両方とも高額なステップです。
最後に、安全で暗号化されたメンプールは、システムにさまざまな方法でオーバーヘッドを課します。暗号化は、チェーンに遅延、計算および帯域幅のオーバーヘッドを追加します。シャーディングや並列実行のサポートと組み合わせる方法 — これらは重要な将来の目標です — は明らかではありません。生存性のための追加の障害点(例えば、しきい値ソリューションの復号委員会や遅延関数ソルバー)を追加する可能性があります。そして、設計および実装の複雑さを確実に増加させます。
暗号化されたメンプールの多くの問題は、取引のプライバシーを確保しようとするブロックチェーン(例:Zcash、Monero)と共有されています。もし明るい面があるとすれば、MEV削減のための暗号化のすべての課題を解決することは、結果として取引のプライバシーを確保する道を開くことになるでしょう。
最後に、暗号化されたメンプールは経済的な課題に直面しています。技術的な課題とは異なり、十分なエンジニアリングの努力で軽減できる可能性があるものではなく、これらは解決が難しいと思われる根本的な制限です。
MEVの基本的な問題は、取引を作成するユーザーと、MEV機会を見つけるサーチャーやビルダーとの間の情報の非対称性に起因します。ユーザーは通常、自分の取引からどれだけのMEVを抽出できるかを知りません。その結果、完全に暗号化されたメンプールがあっても、ユーザーはビルダーからの支払いと引き換えに自分の復号鍵を渡すよう誘導される可能性があります。これはインセンティブ付き復号と呼ぶことができます。
これがどのように見えるか想像するのは難しくありません。なぜなら、現在「MEV Share」と呼ばれるバージョンが存在するからです。MEV Shareは、ユーザーが取引に関する情報を選択的にプールに提出できるオーダーフローオークションであり、サーチャーが取引によって提示されたMEVの機会を悪用するチャンスを競います。入札に勝ったサーチャーはMEVを抽出し、利益の一部(すなわち、入札額またはその一部)をユーザーに返金します。
このモデルは、ユーザーが参加するために彼らの復号鍵(またはおそらく一部の情報のみ)を明らかにすることを要求する、暗号化されたメンプール空間内ですぐに適応可能です。しかし、ほとんどのユーザーは、そのようなスキームに参加することの機会コストを理解せず、返ってくる報酬だけを見て、自分の情報を提供することに満足しています。また、従来の金融からの例(例:ロビンフッドのようなゼロ手数料の取引サービス)があり、ユーザーの注文フローを第三者に販売することで利益を得ています。注文フローのための支払い” ビジネスモデル。
他の可能性のあるシナリオには、大規模なビルダーがユーザーに取引(またはそれに関する情報)を検閲の理由で明らかにさせることが含まれます。検閲耐性はweb3内で重要かつ議論の余地のあるトピックですが、大規模な提案者やビルダーが検閲リストを強制する法的義務を負っている場合(例:OFAC), 暗号化されたトランザクションのシーケンスを拒否する可能性があります。この問題は技術的に解決可能かもしれませんが、ユーザーが自分の暗号化トランザクションが検閲リストに準拠していることを証明するゼロ知識証明を生成できる場合に限ります。しかし、これによりコストと複雑さが増すことになります。たとえチェーンが強力な検閲耐性を持っていて、暗号化されたトランザクションが必ず含まれることが保証されていても、ブロックビルダーは依然としてプレーンテキストで知っているトランザクションをブロックの上部に優先的に配置し、暗号化されたトランザクションをブロックの下部に降格させる可能性があります。したがって、特定の実行保証を求めるトランザクションは、結局ビルダーにその内容を明らかにせざるを得ないかもしれません。
暗号化されたメンプールは、いくつかの明らかな方法でシステムにオーバーヘッドを追加します。ユーザーはトランザクションを暗号化し、システムはそれらを何らかの方法で復号化しなければなりません。これにより計算コストが増加し、トランザクションサイズが大きくなる可能性があります。上記で述べたように、メタデータを扱うことがこれらのオーバーヘッドを悪化させる可能性があります。しかし、他の効率性コストはそれほど明白ではありません。金融において、市場は価格がすべての利用可能な情報を反映している場合に効率的と見なされ、非効率性は遅延や情報の非対称性から生じます — これは暗号化されたメンプールの自然な結果です。
これらの非効率性の結果の一つは、追加の遅延が暗号化メンプールによって引き起こされるため、価格の不確実性が増すことです。したがって、価格スリッページ許容範囲を超えることによる取引失敗の数が増加し、チェーンスペースを無駄にする可能性があります。
同様に、この価格の不確実性は、オンチェーンのアービトラージから利益を得ようとする投機的なMEV取引を引き起こす可能性があります。重要なのは、遅延実行を考慮した場合、現在のDEXの状態に関する不確実性が高まるため、暗号化されたメンプールではこれらの機会がより広範囲に存在する可能性があることです。このため、価格の不一致が発生することで、効率的でない市場が生まれる可能性があります。このような投機的なMEV取引は、機会が見つからない場合、しばしば中止されるため、ブロックスペースを無駄にすることにもなります。
私たちの目標は、暗号化されたメンプールの課題を概説することであり、人々が他の方法で構築し解決することに集中できるようにすることでしたが、彼らはまだMEVの解決策の一部である可能性があります。
一つの可能な解決策は、ハイブリッドデザインです。このデザインでは、一部の取引が暗号化されたメンプールを介してブラインドオーダーされ、他の取引は別のソリューションを介してオーダーされます。特定の種類の取引、例えば、MEVを避けるために慎重に暗号化/パディングし、より多くの費用を支払う意欲のある大規模市場参加者からの買い/売りオーダーにとって、ハイブリッドデザインが適切な解決策となるかもしれません。これらのデザインは、脆弱性を持つセキュリティ契約へのバグ修正など、非常に敏感な取引にも適しているかもしれません。
しかし、技術的な制約や重要なエンジニアリングの複雑さ、パフォーマンスのオーバーヘッドのため、暗号化されたメンプールは、時折持ち上げられるようなMEVに対する魔法の解決策である可能性は低いです。コミュニティは、開発する必要があります。その他のソリューション, MEVオークション、アプリケーションレイヤーの防御、およびファイナリティ時間の最小化を含む。MEVはしばらくの間課題となるでしょう。MEVの欠点を管理するための適切な解決策のバランスを見つけるには、慎重な調査が必要です。
プラナヴ・ガリミディはa16z Cryptoのリサーチアソシエイトです。彼は、ブロックチェーンシステムに関連するメカニズムデザインとアルゴリズムゲーム理論の問題について研究しています。特に、インセンティブがブロックチェーンスタック全体でどのように相互作用するかに焦点を当てています。a16zに入る前は、プラナヴはコロンビア大学の学生で、コンピュータサイエンスの学位を取得して卒業しました。
ジョセフ・ボノーはニューヨーク大学カウラント研究所のコンピュータサイエンス学科の准教授であり、a16z cryptoの技術顧問です。彼の研究は応用暗号学とブロックチェーンセキュリティに焦点を当てています。彼はメルボルン大学、NYU、スタンフォード、プリンストンで暗号通貨のコースを教え、ケンブリッジ大学でコンピュータサイエンスの博士号を取得し、スタンフォード大学でBS/MSの学位を取得しました。
リオバ・ハインバッハは、プロフェッサー・ドクター・ロジャー・ワッテンホファーの指導を受けている4年目の博士課程の学生です。分散コンピューティング (Disco)チューリッヒ工科大学のグループ。彼女の研究は、分散型金融(DeFi)に焦点を当てたブロックチェーンプロトコルに中心を置いています。特に、アクセスしやすく、分散化され、公平で効率的なブロックチェーンとDeFiエコシステムの実現に焦点を当てています。彼女は2024年の夏にa16zクリプトで研究インターンを務めました。
ここに表明されている見解は、引用された個々のAH Capital Management, L.L.C.(「a16z」)の職員のものであり、a16zまたはその関連会社の見解ではありません。ここに含まれる特定の情報は、a16zが管理するファンドのポートフォリオ会社を含む第三者の情報源から取得されています。信頼できると考えられる情報源から取得されていますが、a16zはその情報を独自に確認しておらず、その情報の現在または持続的な正確性、または特定の状況における適切性についていかなる表明も行いません。さらに、このコンテンツには第三者の広告が含まれている場合があります;a16zはそのような広告をレビューしておらず、そこに含まれる広告コンテンツを支持していません。
このコンテンツは情報提供のみを目的としており、法的、ビジネス、投資、または税務のアドバイスとして依存すべきではありません。これらの事項については、独自のアドバイザーに相談してください。証券またはデジタル資産への言及は説明の目的のみであり、投資の推奨や投資顧問サービスの提供を構成するものではありません。さらに、このコンテンツは投資家または潜在的な投資家を対象としておらず、a16zが管理するファンドへの投資決定を行う際に依存することはできません。(a16zファンドへの投資の提案は、プライベートプレースメントメモランダム、サブスクリプション契約、およびそのようなファンドのその他の関連文書によってのみ行われ、これらはすべてを通して読む必要があります。) a16zが管理するビークルへのすべての投資を代表するものではなく、言及、参照、または説明されている投資やポートフォリオ企業は、将来の投資が利益をもたらすことや、他の投資が同様の特性や結果を持つことを保証するものではありません。Andreessen Horowitzが管理するファンドによる投資のリスト(発行者がa16zに公開開示の許可を提供していない投資および公開取引されているデジタル資産への未発表の投資を除く)は、以下で入手できます。https://a16z.com/investments/.
この内容は、記載された日付のみに基づいています。これらの資料に表現された予測、見積もり、予想、目標、見通し、および/または意見は、通知なしに変更される可能性があり、他の人が表現した意見と異なるか、矛盾する場合があります。詳細については、https://a16z.com/disclosures追加の重要な情報について。