簡而言之,標準的EVM底層架構在理性行為者防禦方面存在結構性限制:鏈上無法驗證鏈下真實情況,因此,只要攻擊者足夠耐心且具備良好的操作安全性,就能攻破任何鏈上匿名機制。我稱之為“氣隙問題” 。共識層上的六種機制組合可以消除而非限制這一問題。本文定義了該問題;後續文章將詳細介紹每種機制。
一類問題在標準EVM底層架構上始終無法有效解決。無論問題是關於多賬戶串謀、女巫農場治理、預言機操縱、鏈下協調、刷量交易、預簽名重放,還是任何其他依賴於鏈上無法識別的因素的理性行為者攻擊模式——在極限情況下,誠實的答案都是一樣的: “你無法從結構上阻止它;你只能限制其殘餘並將其計入價格。”
對於所有涉及這些問題的基於EVM的協議,這個答案都是正確的。這也是EVM本身能夠給出的唯一答案。但這並非唯一的答案。一種不同的底層架構——一種專門設計用於突破此限制的架構——可以解決這個問題,而不是限制它。
這是構建該架構系列文章的第一篇。本文首先定義了問題,並概述瞭解決該問題的六重機制組合。後續文章將深入探討每個機制。
氣隙問題
區塊鏈可以驗證交易、簽名和合約狀態——鏈上發生的一切。但它無法驗證鏈下的真實情況:兩個匿名地址是否由同一人控制,鏈下事件是否真實發生,參與者是否出於善意,一系列操作代表的是獨立意圖還是協同提取。預言機可以彌補這一差距,但會引入信任假設;它們並不能消除物理隔離。
這就是標準EVM上所有理性行為者防禦最終都會失效的結構性原因。一個足夠耐心且具備良好運維安全性的攻擊者可以攻破任何鏈上匿名機制。攻擊者的出口總是存在的——針對不同類型的攻擊有不同的出口,但始終至少有一個——因為鏈上永遠無法看到攻擊者在鏈下實際進行的操作。
氣隙問題在本質上更接近預言機問題,而非最大等效值(MEV)問題。兩者都涉及區塊鏈與鏈外現實的關係。對剩餘部分進行約束和定價是EVM的正確答案,因為EVM本身沒有能力解決這個問題。但這並非設計空間的正確答案。
“縮小信息鴻溝”的含義
需要明確指出的是:關閉物理隔離並不意味著區塊鏈能夠感知鏈外現實。這個問題從定義上來說就是無法解決的。關閉物理隔離意味著設計協議,使鏈外現實不再重要——也就是說,任何鏈外協調、多賬戶分層或隱藏的對抗行為,在所有可用的攻擊向量上,其預期值都必然為負。
當該性質成立時,會產生兩個結果。
首先,攻擊者的退出策略——即理性行為者通過鏈下協調獲利的策略——作為一個類別不復存在。這並非因為每一種攻擊都被檢測和阻止,而是因為無論是否被檢測,任何攻擊都無法獲利。
其次,鏈上和鏈下的現實都具有相同的信任屬性:該協議可以像信任鏈上證明一樣信任鏈下的自我報告,因為無論參與者撒謊的內容是什麼,他們都無法從中獲利。
隔閡並非因為雙方之間架起了更大的橋樑而消失,而是因為雙方現在都坦誠相待,毫無隱瞞。
組成
共識層架構可以包含六種機制,每種機制都針對攻擊樹中的一個不同出口進行封鎖。單獨來看,它們都無法完全消除物理隔離。但通過組合這些機制,就能實現這一點,因為交叉覆蓋意味著即使攻擊者繞過了一種機制,最終還是會被另一種機制所擊敗。
1. 提交-揭示拍賣。加密時間綁定:意圖在操作可見之前被鎖定。在共識層而非協議層面選擇加入,即可防止信息不對稱排序攻擊(搶先交易、夾心攻擊、回溯攻擊)。
2. L1 時間戳錨定。時間聲明由底層 L1 驗證器集進行驗證。重組重放攻擊、檢查時間與使用時間對比攻擊以及過時狀態攻擊將失去有效攻擊窗口。
3. 心智證明。合法性在時間上是不可簡化的。聲譽/貢獻分數無法購買,只能通過在鏈上持續的真實貢獻獲得。女巫農場無法壓縮時間線;資金無法替代參與歷史。這杜絕了那些依賴於瞬間偽造“已建立”身份的攻擊。
4. 蜜罐/誘餌路由。檢測到異常的攻擊者會被路由到一個加密上無法區分的影子網絡,在那裡他們會消耗計算資源去創建一個毫無價值的分支,並在暴露後失去貢獻分數。防禦變成了對抗性的柔道:攻擊者用攻擊本身來為攻擊付出代價。
5. 沙普利零玩家公理。根據沙普利公理(Shapley, 1953),Sybil賬戶的邊際貢獻為零,因此沙普利值也為零。每個賬戶的成本與賬戶創建數量呈線性關係;收益始終為零。多賬戶串謀、刷量交易以及任何依賴於偽造獨立參與的榨取策略最終都會失敗。這是數學公理的結論,而非檢測得出的結論。
6. 追回級聯效應。標記後,汙點會在交易圖中傳播;拓撲隔離使得事後利潤可以追回。即使成功提取,事後也是可逆的,而且理性的交易對手會拒絕與受汙染的地址進行交易,從而加劇了成本。
交叉覆蓋特性是關鍵所在。耐心的攻擊者或許能找到繞過機制 (1) 的路徑——但攻擊仍然會敗給機制 (3)、(5) 或 (6)。擁有足夠資金擊敗機制 (3) 的攻擊者會敗給機制 (1) 和 (5)。擁有足夠安全措施規避機制 (4) 的攻擊者會敗給機制 (5) 和 (6)。每種機制都是必要的;它們共同構成充分條件。
為什麼基質很重要
上述機制無法作為智能合約層部署在標準 EVM 鏈之上——至少無法達到它們在共識層集成時所具備的安全特性。具體而言:
- L1 時間戳錨定需要共識層面的時間承諾,而不是合約層面對
block.timestamp依賴。 - 心智證明需要參與歷史作為共識的組成部分,而不是攻擊者可以選擇性地呈現的元數據。
- Shapley 零玩家強制執行要求狀態單位能夠以某種方式尋址,使得“邊際貢獻”能夠以低成本計算——這在 UTXO/單元模型基質中是自然的,而在賬戶模型基質中則是扭曲的。
- 追回級聯需要標記後的汙點傳播,而這種傳播是由底層強制執行的,而不是應用程序必須寄希望於交易對手遵守的。
當“如何從結構上防止理性行為者攻擊”這一問題比EVM的網絡效應更具價值時,基於EVM的協議便達到了物理隔離的極限。理論上,架構層面的解決方案已經可行,但這需要底層支持,而賬戶模型EVM無法完全提供這種支持。
UTXO/單元模型底層架構(如比特幣/ Cardano /Nervos/ Aptos系列)能更自然地支持組合,因為它們允許每個單元的狀態所有權和可組合的驗證腳本作為一等原語。這並非意味著EVM最終無法通過精心設計的合約實現組合——只是說這些機制的天然底層架構是將狀態視為可擁有的單元,而不是全局存儲槽。本系列後續文章將逐一介紹這些機制,並在適當情況下探討底層架構的適配性問題。
本系列文章將要討論和不會討論的內容
本系列文章將論證:
- 六機制組合物可以溶解氣隙而不是束縛氣隙。
- 該作品背後的方法論——增強機制設計——不僅適用於 DeFi,也適用於任何純粹的經濟機制在對抗性部署下失效的系統。
- 這種成分的天然基質是具有明確細胞所有權的基質,儘管賬戶模型近似是可能的,但工程成本更高。
它不會爭辯:
- 理性行為者攻擊是需要防禦的最重要攻擊類型(其他類型——漏洞利用、治理失敗、監管俘獲——也是真實存在的,並且與理性行為者攻擊無關)。
- 該化合物是彌合氣隙的唯一方法(這是存在性證明,而不是唯一性聲明)。
- EVM 對於所有東西來說都是一個糟糕的基底(它的網絡效應是真實的,許多協議正確地接受了氣隙上限,因為關閉它並不值得更換基底)。
本系列文章
以下文章將詳細介紹各個組成部分:
- 增強機制設計:一種形式化方法——形式框架:增強算子 A: M → M′、核心保留、增強分類。
- 具有統一清算功能的提交-揭示批量拍賣— MEV 關閉,深入探討。
- Shapley Null-Player & Proof of Mind: Sybil Defense by Axiom — 結合了 Sybil 類的封閉性。
- 追回級聯和蜜罐路由:對抗柔道防禦——事後和對抗性閉合。
- 增廣鍵合曲線和增廣哈伯格稅:兩個案例研究——方法論應用於已知原語。
- 三項式穩定性定理——將三個貨幣基本元素組合起來,以限制波動性與電力成本變化之間的關係。
- 當誠實成為承重:一個組合論證——綜合;結構誠實的後果及其對 DeFi 之外的協議設計的意義。
發佈頻率:大約每週一篇。
未解決的問題
在系列文章繼續之前,我想就我預料到的最強烈的反對意見徵求一些反饋:最近在(a)閾值加密內存池、(b)基於 MPC 的身份證明或(c)基於 ZK 的鏈下證明聚合方面取得的進展,使得在 EVM 底層上無需更改共識即可彌合氣隙。
在後續帖子論證基底層成分之前,我想先聽到對此反對意見的最有力版本。如果無需離開EVM即可關閉氣隙,這將從根本上改變其餘的論證——我寧願現在就知道,而不是等到第8篇帖子之後。
參考
- Shapley, LS (1953). n人博弈的價值。博弈論貢獻,II。
- Hurwicz, L. (1960).資源分配過程中的最優性和信息效率。
- Myerson, RB (1981).最優拍賣設計。運籌學 R 語言
