区块链公开透明的设计带来去中心化和可验证性,却也催生了基于交易排序和包含权的价值抽取行为,即最大可提取价值(MEV)。MEV 对普通用户和去中心化金融(DeFi)市场构成隐形税收,尤其是在以太坊等高流动性链上,前置交易、夹层攻击和交易重排常年造成用户损失。为了解决这一问题,研究社区提出了多种技术路径,其中阈值加密(threshold encryption)作为一类可行性强、部署弹性大的方案,正逐步从理论走向实战。Shutter 项目便是将阈值加密应用到加密池(mempool)隐私保护上的先行者之一,其在 Gnosis Chain 的实际部署为链上 MEV 缓解提供了宝贵的经验与教训。 理解 MEV 的本质有助于评估阈值加密的价值。传统公链的内存池公开暴露了所有待处理交易的详细信息,区块生产者或中间者能够通过观察这些交易并调整交易顺序、插入或取消交易来收割套利收益。
阈值加密的基本思路是将交易在进入公共排队阶段之前加密,直到交易排序和包含已被确定,才能解密并执行,从而切断区块生产者在排序阶段对交易内容的可见性,降低其通过操控顺序获得 MEV 的能力。 阈值加密的实现通常依赖分布式密钥生成(DKG)与阈值秘密共享。协议由一个阈值委员会负责生成公钥和私钥份额,用户用公钥对交易进行加密并将密文提交到网络。区块提议者在不知道明文的情况下对密文进行排序并打包,待达到解密条件(例如块已最终确定或达成某个时钟条件)后,阈值委员会的成员各自发布解密份额,合格数量的份额合并后恢复交易明文并执行。这样一来,单一节点无法解密交易,只有达到阈值的多人协作才能还原交易内容。 Shutter 在设计和部署过程中做出了一些关键选择,既揭示了阈值加密在实际环境中的潜力,也暴露了现实世界中的权衡。
Shutter 最初采用了每个时期(per-epoch)加密的策略,希望通过在一个时期内重用密钥来 amortize 解密开销,降低委员会的工作负载。然而该方案存在安全隐患:当某个时期的密钥被重构后,整个时期内未被包含在链上的所有密文都会被解密并暴露,导致未被打包的交易也可能泄露,从而仍然可能被利用产生 MEV。为了解决该问题,Shutter 在 Gnosis Chain 的实际部署中采用了更为保守的每笔交易加密(per-transaction)策略。每笔交易都有自己的加密上下文并需独立解密,避免了因批量密钥重构而泄露未被包含交易的风险,但代价是委员会的工作量随吞吐量线性增长,从而带来更高的延迟与运营成本。 在 Gnosis Chain 上的 Shutterized Beacon Chain 充当了一个加密化的 RPC 层:钱包或用户客户端将交易加密后发送到 Shutter 的替代 RPC,RPC 将密文广播给排序合约,排序合约按密文的接收顺序或其他策略生成打包顺序。只有在交易被包含并验证之后,阈值委员会才发布解密份额,让交易恢复为明文并在链上执行。
这种设计的优点在于与链的共识机制相对解耦,无需修改底层共识规则即可部署到多条 EVM 链上,具备较好的兼容性。 尽管架构上具有吸引力,但实际部署揭示了若干约束与挑战。首先是信任模型:Shutter 的 Keypers(阈值委员会成员)在当前实现中是许可式选举的,用户必须在一定程度上信任这些被选中的 Keypers 不会串通或被攻破。虽然阈值门槛提供了对单点妥协的防护,但当多数委员被攻破或共谋时,隐私保障会失败。真正的去信任化部署需要扩大委员集合并引入更强的去中心化选举和激励机制,这一过程涉及治理、经济激励与技术复杂性三方面的综合考量。 其次是延迟问题。
Shutter 在 Gnosis 的部署显示出较高的交易包含延迟,平均约为分钟级别,而链本身区块产生可达秒级。延迟主要源于当前 Keypers 数量与部署节奏不足,解密及密钥操作需要时间窗口来保证安全性与可用性。对于需要低延迟确认的应用场景,如高频套利或即时支付,当前实现存在适用性限制。团队提出了多阶段的改进路径,包括提高 Keyper 数量、优化密钥管理协议、实现更高效的解密批处理技术等。 为改善每笔交易加密的效率损耗,研究与工程界提出了批量阈值加密(batched threshold encryption)作为折中方案。批量阈值加密试图在保留每笔交易隐私的情况下将解密开销和委员会负载保持在近乎恒定的水平。
核心思想是对交易进行某种形式的分组或流水线化处理,使得在不暴露未包含交易的隐私前提下,仍能利用批量操作减少重复的加密和解密计算。然而实现批量方案需要谨慎设计 reveal 条件与回滚机制,以防止批量解密带来的新型攻击面或隐私泄露路径。 另一个值得关注的方向是将阈值加密与按目标块绑定的交易逻辑结合,例如 Shutter 在 OP Stack 测试网中探索的方案。通过在交易中包含目标区块信息,并在执行阶段校验当前区块与目标区块匹配,协议可以采用每时期加密而不至于在密钥重构时泄露未被包含的交易。若交易未能在目标块被打包则回滚并允许重新提交,这种设计通过将交易生命周期与特定区块绑定,实现了效率与隐私之间的更佳平衡,但同时对客户端和重试机制提出了更高要求。 在生态影响层面,真正普及阈值加密的加密池保护需要多方协同:钱包需要原生支持对交易加密并与加密 RPC 对接;RPC 服务商需要提供高可用的加密节点与排序服务;中继者和 builder(区块构建者)需要适配密文排序与解密后的交易注入流程;验证者与矿工需要提供能够配合阈值解密流程的接口并获得相应激励;治理则需设计 Keyper 的选拔、退出与惩罚机制,确保安全和去中心化之间的权衡。
Shutter 团队提出了渐进式的路线图,从链下的替代 RPC 起步,逐步在 relays、builders、验证者和最终的链内原生支持之间展开协作与激励设计。 安全性并非仅来自密码学方案本身,工程实现和运维同样关键。Keyper 的私钥管理、节点的物理与网络安全、DDoS 防护、恢复机制与密钥更新策略都会影响系统整体的抗攻击能力。此外,漏洞赏金计划、代码审计、多实现并行测试以及迁移路径的设计都有助于在推广过程中降低风险。Shutter 的实践经验显示,早期部署必须兼顾可用性与保守的安全策略,避免过分追求低延迟而牺牲隐私或引入复杂的回滚逻辑。 从用户体验角度出发,阈值加密的成功还需解决交易失败、重试与费用估算等问题。
加密后交易的 gas 估算变得更为复杂,客户端需要在加密前或通过模拟环境对交易成本进行合理预测。若交易因未在目标块打包而被回滚,Wallet 需要提供友好的重试机制与明确的费用提示,避免用户在隐私保护下遭遇糟糕的体验。改进的用户界面与钱包后端能显著提升阈值加密方案的采用率。 经济激励层面,如何激励 builders 与验证者参与加密交易的排序与解密过程也十分关键。当前开放市场中的 MEV 收益模式激励强烈,若没有合理的经济补偿或协议层面的激励调整,区块构建者可能仍选择绕过加密流程以追求更高收益。可行的解决方案包括在共识层或协议层面为参与加密解密流程的节点设计奖励、对不遵守排序规则的行为施加惩罚,或通过市场机制将部分 MEV 收益用于补贴解密服务成本。
展望未来,阈值加密有望与其他隐私和顺序保障机制协同发展,例如闪电网络式的链下聚合、可信执行环境(TEE)辅助的加密服务、以及链内顺序抽签机制的组合应用。随着加密基础设施的成熟,Shutter 型的方案可以作为过渡桥梁,帮助生态从公开 mempool 向更隐私、抗 MEV 的方向平滑迁移。关键在于逐步去中心化 Keyper 的选举机制、提升系统可用性与延迟表现、以及建立完整的经济激励模型。 总而言之,Shutter 将阈值加密从理论推向实战,提供了关于如何在真实网络中部署加密池保护的第一手经验。其每笔交易加密的保守选择展示了对隐私优先策略的重视,而在效率、延迟与去信任化方面的局限则提示了未来改进的方向。对于开发者、钱包厂商、RPC 提供商和链上基础设施的运营者来说,认识阈值加密的技术细节与运营挑战、参与生态联动并共同设计激励和回退机制,是推动 MEV 缓解走向主流的必经之路。
随着更多实证部署、协议协同与工具链完善,阈值加密有望成为减少前置交易和保护普通用户资产免受隐形抽取的核心技术之一。 。
