一文读懂以太坊的“重组”，不再担心甚至爱上MEV

MEV 不太可能导致破坏以太坊的频繁重组，其作用是推动创造更公平和民主化金融体系的设计空间。

蜻蜓之前有一篇文章阐述了以太坊MEV的积极意义，请阅读：《蜻蜓合伙人：MEV没那么糟糕，如何与MEV共存进化？》 “

作者：Saneel Sreeni，初级合伙人，蜻蜓资本

编译：Perry Wang

在开始阅读这篇文章之前，我个人强烈推荐阅读我们之前关于Miner Extractable Value (MEV) 的文章（中文版，由链闻出版），宣布Flashbots成立的文章，以及这个播客来了解Flashbots（Flashbots是一个组织旨在捍卫 MEV 生态系统）生态系统和 MEV 的透明度。 本文讨论了一些关于 Flashbots、MEV 提取以及它们如何与以太坊共识交互的更复杂的细节。

2021年6月29日，Flashbots的Discord讨论区冒出一个有趣的想法：

幽灵般的！

使用 Flashbots 来激励审查制度有点可怕。 这也与 Flashbots 减少 MEV 造成的负面外部性的使命背道而驰。 尽管如此，正如另一位社区成员很快指出的那样，这种审查在经济上是不可行的，因为它需要支付比 MEV 搜索者或想要包含相同交易的用户更多的费用：

@CuriousDefiUser，干得好！

躲过危机！

好吧，不完全是。 虽然 Austin Williams 最初的想法不一定会引起恐慌，但几天后另一位社区成员 Nathan Worsley 的后续想法提出了一个更令人不安的问题。

有动机审查/替换过去的交易，而不是在未来审查交易

经过一段时间的讨论，最初的想法很快演变为：

实施激励性区块重组意味着在 Flashbots 的 MEV-Geth 之上构建必要的基础设施

这些帖子的背后是 Twitter 上的愤怒故事、才华横溢的独立黑客，以及为什么社会共识与密码算法共识一样重要的一些最好的例子。

让我们深入了解一下。

GHOST协议与时间穿梭机上的“大叔”

在目前的状态下，以太坊是一个使用中本聪提出的工作量证明（PoW）共识机制的系统； 这意味着确保网络安全的矿工之间的网络共识依赖于原始哈希率。 这也意味着交易仅具有概率最终性； 交易被包含在区块中的时间越长，它被推翻的可能性就越小。 因此，一般建议PoW区块链上的用户耐心等待交易“完成”。 在以太坊上，假设交易在 7 个区块后完成，这通常是一个安全的想法。

在 PoW 系统中以太坊POW会不会重启，两个矿工可以同时挖掘有效区块并尝试将这些区块广播到网络。 最终发生的是，网络只剩下两个有效区块，但在下一次挖矿竞争开始之前，只能将一个区块添加到主链中。 这意味着其中一个块必须变得“陈旧”或被丢弃。 由于两个原因，这个解决方案不是很好。 首先，生产过时区块的矿工是在白白浪费资源！ 其次，它使网络容易出现中心化风险，因为矿工急于确保他们有足够的哈希率以避免产生过时的区块。 有关这方面的更多信息，请单击此处以了解更多信息。

在比特币网络上以太坊POW会不会重启，10 分钟的区块生产时间和不到一分钟的传播时间使得产生陈旧区块的概率非常低。 然而，在以太坊上，块生产时间要短得多——大约 12 到 13 秒——产生陈旧块的可能性要高得多。 这使得上述资源浪费和中心化问题更加突出。 以太坊通过使用 GHOST（Greedy Heaviest-Observed Sub-Tree，也称为 Ghost 协议）协议的改进版本解决了这个问题。 GHOST协议设计于2013年，旨在解决快速出块的区块链中过时块的精确问题，其基本前提很简单：矿工接受的“最长”链是累积PoW最高的挖矿难度链，其中包括与当前块具有相同祖先的过时块。 这样的块被称为“叔块”。 以太坊采用了GHOST协议的一个变体，使用相同的筛选原则，选择难度最长的链，但在难度计算中不包括叔块。 它将一些区块奖励分配给叔块，使这些块中的交易可访问，但不包括主链中的交易。 采用新的“最长”链并忽略过时区块的过程称为链重组。

说了半天，这跟MEV有什么关系？

有两种主要方式可以激励网络用户利用叔块和重组引发的情况来获利。 第一个，已经在实践中发生并且威胁性小得多，被称为“Uncle Bandit”并且由 Flashbots 独家启用。 截至 2021 年 7 月中旬，约 86% 的以太坊算力使用 Flashbots 的 MEV-Geth 客户端； 但是，Flashbots 捆绑包仍然有可能被包含在叔叔块中，为“叔叔劫匪”创造机会。 这最初在 Robert Miller 的帖子中有详细说明。 由于包含在叔块中的交易不会改变以太坊的状态，但其他人仍然可以看到并且是有效的交易，精明的 MEV 搜索者可以查看进入叔块的 Flashbots 包，并发布一个新的包，其中包含一些来自原始捆绑包的交易，以及他们自己的一些交易，以捕捉主链上的套利机会。

但是“土匪叔叔”本身并不会对协议构成威胁； 最后，它们是 bundle 有一定概率被包含在叔块中的结果，而其他人则利用了这个边际机会。 然而，土匪大叔的肮脏表弟时光土匪更让人担心。 正如关于 MEV 的开创性研究论文中详述的那样，时间强盗是一种理论上的攻击，发生在 MEV 的奖励开始超过块奖励时。 时间强盗攻击的前提是能够获得大量以太坊算力的矿工可以让以太坊时钟倒转。 最简单的方式是租用以太坊算力的51%； 通过这些操作，攻击者将回溯捕获一定数量的区块，捕获这些区块中所有当前和过去的 MEV 利润，并用这些利润来填补攻击成本。

MEV 利润 交易费用的大约百分比。 资料来源：Flashbots

如上图所示，随着 MEV 利润占矿工经济回报的比例越来越大，时间强盗攻击和重组的威胁也越来越大。 这也意味着理论上应该可以贿赂矿工进行链重组。 策略是：等待其他用户提交盈利bundle，贿赂矿工重组链条，然后进行“大盗叔叔”或时间强盗攻击以获利。 这是我们将在本文中讨论的戏剧的开始。

混沌魔术师与核重组

在 Nathan 最初提出改进版 MEV-Geth（可以激励叔叔/时间强盗式链重组）的想法后，MEV 寻求者立即开始研究该软件，加密货币领域的 Twitter 博主也卷入其中一场激烈的辩论这个模因准确地总结了社区的主要情绪：

流行的 Twitter 帐户 MEV Intern 表示深切关注此类软件在没有防御工具的情况下问世； 毕竟，虽然这种激励链重组在技术上允许在共识限制内进行，但它们确实会破坏协议稳定性，并通过创建挑战矿工行为安全假设的场景来过度压力测试以太坊。

不管怎样，潘多拉的魔盒已经打开了。

不久之后，两位知名的 MEV 策略师和研究人员——Edgar Arout 和 0xbunnygirl——提出了他们自己版本的“重组请求”。

Edgar 的存储库是 Flashbots 创建的 MEV-Geth 客户端的一个分支。 该存储库已设为私有，但代码库仍处于活动状态，这将使 MEV 搜索者能够请求重组过去一定数量的区块，省略某些交易并添加新交易，包括向矿工付款。

0xbunnygirl 随后受到启发，在以太坊上启动智能合约，这将为此提供一个非常简单的支付渠道。 需要链重组的合约使用户能够将带有相关奖励的请求附加到矿工，以及他们想要重组回的区块。 然后矿工将执行时间强盗攻击，其中包括使其能够在链重组中获得奖励的交易以及需要省略/包含的交易，以及矿工将因不诚实行为而被削减的契约。 当然，这份合约也是一个概念证明； 回滚状态时，矿工可以自行决定是否不诚实并审查资产削减交易，合约未编码为在实际合约中包含特定交易或审查另一笔交易。

然后…

什么都没有发生（矿工不会受到惩罚）。

即使没有功能性工具，人们也不会满足于这类开发工作。 创建重组激励系统的工作激怒了该领域的许多著名研究人员、开发人员和行业领导者。 埃德加最终将搁置重组协议。 Flashbots 发表官方声明，谴责链重组为负和博弈，强调其导致博弈论不稳定、系统性风险，以及矿工长期收益可能减少的情况。 针对Ethermine等矿池可能自行提出系统重组请求的说法，Flashbots回应如下：

社会共识，而不是算法共识，阻止了似乎损害以太坊的工具的开发，仅此而已。

加密货币方面对该消息几乎没有反应。

我们会成功的，匿名者

尽管围绕重组请求的所有发展和争论最终可能不会构成威胁，但问题仍然存在：现在和将来，Time/Uncle Bandit 攻击的威胁有多大？

好吧，事实证明，也许不多。 让我们看看为什么。

经济考虑

MEV 研究员 0x9116 在重组可能有利可图的领域做了一些粗略的计算。 简单总结一下他的链推，假设需要30%的算力（Ethermine大概有这个量），它的MEV需要超过总费用的3.3倍，再加上0.58个ETH。

让我们进一步扩展这个例子。 鉴于在 PoW 系统中控制 51% 的网络哈希率可以控制整个网络（从而控制最大 MEV），让我们看看当我们刚好低于该水平或 50% 时微积分如何变化。 在这种情况下，我们可以使用与上面的链式推送相同的计算框架，并进行一些修改。 我们没有像最初假设的那样假设我们（作为寻找时间强盗攻击的矿工）一定会从接下来的两个区块中获得奖励，而是放宽假设并用概率对这些结果进行加权。 基本区块奖励为 2 ETH。

假设有一个我们还没有开采的区块 A，我们有 50% 的哈希率，将区块 A 的矿工奖励表示为 X，并将预期的 MEV 支出表示为 Y。我们想要开采两个区块（要么用于时间强盗，或用于正常操作）。 如果我们在 A 之后开采接下来的两个区块，我们有 50% 的机会独立开采每个区块，因此预期收益为 0.5 * (4 ETH + 2Y) 或 2 ETH + Y。如果我们进行时间强盗攻击（退出如果下一个区块 B 被开采，如最初假设的 0x9116）：

这意味着预期收益为 2.6875 + 0.875Y + 0.25X，这必须大于诚实挖掘接下来两个区块的预期收益。 这意味着 X > 0.5Y — 2.875 ETH 是必要条件。 这意味着即使哈希率接近 51%，X 也大于当前块中捕获的 MEV 减去 2.875 ETH 的一半。 虽然这种情况偶尔会发生，但截至 2021 年 7 月中旬，租用 51% 的以太坊网络哈希率 1 小时的成本约为 110 万美元。 这意味着租用 50% 的哈希率（以最大化时间劫匪的可能性而不完全劫持共识）将花费大约 100 万美元。 因此，要使重组在经济上有利可图，需要 X > 100 万美元，或者按撰写本文时的市场价格计算大约 550 ETH。 如下图所示，每天提取的 MEV 总量通常为数百万美元，因此尝试租用 50% 的算力来发起时间强盗攻击的成本可能远远超过收益。

当然，也许一些单独的块可以证明这个成本是合理的。 例如，孙宇晨在Liquity的10亿美元头寸几乎被平仓，他不得不支付3亿美元保证金以避免被平仓。 如果届时在链端进行重组，重组的收益将超过租用算力的50%。 成本。 然而，单个攻击者也不太可能租用 50% 的哈希率——就目前而言，在任何给定时间 NiceHash 上可供出租的以太坊哈希率通常低于 10%。

如果你想在这里进行参数计算，我制作了一个工具，允许你自行决定诚实地挖掘两个块的预期收益与使用可用网络尝试对最近的块进行时间强盗攻击的预期收益散列。 费率份额，在时间强盗攻击中支付给矿工的总费用，以及为挖掘未来区块而支付给矿工的预期费用：

记住 ETH 的总价值！

另一方面，如果重组足以获得足够的经济激励，则应该有足够的经济利益抑制重组。