4月2日，一名恶意的以太坊网络参与者利用 mev-boost-relay 中的漏洞窃取了一位 MEV 搜索者的 2000 万美元（请参阅 Flashbots 的事后分析）。在接下来的几天里，开发人员通过发布五个补丁来解决这个 bug，并结合现有的网络延迟和验证器策略，在4月6日导致以太坊网络出现短暂不稳定期。重新组织对于网络健康是不利的，因为它会降低区块生产率并减少结算保证。
3 R9 H0 b2 [3 \. g本文旨在探讨 mev-boost 和共识之间相互作用、揭示以太坊权益证明机制中微妙之处，并列举一些可能前进方向。我们受到搜索者遭受攻击和网络暂时不稳定事件所启发。& Y" G5 Q& h% d# f8 G6 w5 i
什么是 mev-boost？为什么重要？3 P" {+ G6 [3 h& b  i9 [
! x/ @* M) |! ]' P
mev-boost 是由 Flashbots 和社区设计的协议，旨在缓解最大可提取价值（MEV）对以太坊网络造成负面影响。
# q% B* a  \5 Nmev-boost 中有三个角色：. Y* Z1 b, }& k: w( H7 r- ?
Relays - 相互信任拍卖商将提案人连接到区块构建者。
0 g! R  G: B% ~/ i, [2 e; j* MBuilders - 构建区块以最大化自己和提案人的 MEV 的复杂实体。
# a8 t' N* F& v( m; Y3 }; oProposers - 以太坊权益证明验证器。
/ j0 M" L7 }. h0 ]每个区块的大致事件序列是：
: O4 ~7 F9 T- m' ]Builders通过从用户、搜索者或其他（私有或公共）订单流中接收交易来创建一个区块。" N0 B. a3 b* M0 ~5 i
Builders将该区块提交给Relay。
) b' A" {& l- bRelays证该区块是否有效，并计算它向提案人支付多少费用。5 i2 }, @$ `+ l- k; {/ d+ [4 J
Relay向当前时隙的提案人发送“blinded”头部和付款价值。6 g9 X' F4 ^9 S) e
提议人评估他们收到的所有出价，并签署与最高付款相关联的 blinded 头部。
9 F. T7 a) }' ~  [提议人将此已签名头部发送回中继站点。6 i5 Z/ A6 C4 A7 l' X7 W
该区块由中继使用其本地信标节点发布并返回给提议方。奖励通过在该区块内进行交易和区块奖励分配给构建者和提议方。
; \7 r5 d, L( U/ M  xRelay 是一种相互信任的第三方，促进了来自于 proposer 的对于 block space 公平交换以及来自 builder 的 transaction sequencing for MEV extraction。Relay 保护 builders 免受 MEV 偷窃，其中 proposers 复制 builder transactions 来获取 MEV 而不是分配给发现它的 searcher/builder。Relay 保护 proposers 确认 builder 区块有效性、代表 proposer 每个时隙处理数百个区块，并确保 proposer 支付的准确性。: t8 b1 n3 c4 |; E" [( @: y
mev-boost 是关键的协议基础设施，因为它使所有提案人都能够民主地访问 MEV，而无需与构建者或搜索者建立信任关系，这有助于以太坊的长期去中心化。
0 a4 K" O+ c) v$ b
; k4 {" M' [9 R( e. Q
* Q1 w2 ~3 `; h: A# L以太坊的分叉选择规则和mev-boost
6 B6 a5 G, v4 c+ ]! ?
' P/ t$ B) S/ s8 h8 U
; z9 ]" l% ^2 [! E) s0 ~: u1 `4 W! N, h
在我们深入攻击和响应之前，我们先来看一下以太坊的权益证明（PoS）机制及其相关的分叉选择规则。分叉选择规则允许网络就链头达成共识。根据《合并后以太坊重组》：2 f* X, }6 y+ @) |" l1 m
分叉选择规则是一个函数，由客户端评估，它将已经看到的区块和其他消息作为输入，并向客户端输出“正式链”是什么。需要分叉选择规则是因为可能有多个有效的链可供选择（例如，在同时发布具有相同父级的两个竞争区块时）。/ o, I3 D( s3 d& L0 Y9 b2 k$ t3 s$ T
关于分叉选择规则较少知道的一个方面是它与时间的关系，这对区块生产有重大影响。
  K& x4 W! J/ I' r插槽和子插槽周期7 c) X; y, r6 \

3 N0 X% L  w; k) C& h6 h在以太坊 PoS 中，时间被划分为 12 秒增量称为插槽。PoS 算法随机指定验证器获得该插槽提议一个区块；此验证器被称为提议者。在同一插槽中，其他验证器被指派任务：通过应用 fork-choice 规则投票支持他们本地视图中链头所在位置上最新版本的区块。12 秒间隔被分为三个阶段，每个阶段消耗 4 秒。
5 F3 d! [. B$ x, ~% T在插槽中发生的事件如下所示，其中 t=0 表示插槽开始。
2 l$ j4 Z: L' ^! m) |3 @0 z2 [& l在插槽中最关键的时刻是在t=4的认证截止时间。如果一个认证验证器在认证截止时间之前没有看到一个块，他们将会投票给链上先前接受的头部（根据分支选择规则）。越早提出一个块，它就有更多的时间传播，因此它积累了更多的见证（因为更多的验证器在认证截止日期之前看到了它）。1 S( w/ z6 w* t+ X+ p& V: Q
从网络健康角度来看，块发布的最佳时间是t=0（由规范指定）。然而，由于随着时间推移块价值单调递增，建议者有动机延迟发布他们的区块以允许更多MEV积累。请参阅权益证明中计时游戏和这个讨论以获取进一步细节。4 a) x' Y+ Q  u( @# U/ T
历史上，在认证期限之后甚至靠近插槽结束时建议者仍可以发布区块，只要下一个验证器在构建其后续插槽区块之前观察到该区块即可。这是父级区块继承重量和分支选择规则在叶节点处终止导致没有延迟发表区块带来负面影响。为了帮助推动理性行为（延迟区块发布）朝着诚实行为（按时发布）的方向发展，“诚实重组”被实施。
& x/ p0 h6 i+ U1 d3 g8 F提案者提升和诚实的重组
* @( F3 J# W0 c+ _, ^9 I
8 t6 T" ~, L1 z$ b) X3 n两个新概念被引入到共识客户端中，对证明截止日期具有关键影响。/ H& L+ J* t# I8 K. i3 t" B
提案者提升（PR）-试图通过授予提案者相当于完整证明权重40％的分叉选择“提升”来最小化重组平衡攻击。重要的是，这种增强只持续一个时隙。: A4 ~3 m; p( c) `3 e/ t: r: X
诚实的重组（PR）-采用了提议人增强并允许诚实的建议人使用它来强制重新组织具有低于20％认证权重的块。这在Lighthouse和Prysm中实现（自v4.0-Capella发布以来）。此更改是可选项，因为它是由建议人做出的本地决策，并且不会影响验证器行为。因此，没有协调努力将其同时推出到所有客户端，也没有与任何特定硬分叉相关联。$ i7 P- o3 B" Q9 j8 g  {% X6 y! @
请注意，在某些特殊情况下避免进行诚实性重新排序：
/ M4 P; g) a6 v5 ^

" H% P' \, p. ?/ `) N
• 在纪元边界块期间; N. H/ Q  \* r
  
• 如果链条未完成
  8 p5 ~% Q7 L8 |
• 如果链头不是从重新排序块之前的时隙获取* O: Q5 n/ ^% ^( Z1 p3 X4 `8 n
  

条件3确保诚实性重新排序仅从链中删除单个块，这作为断路器使得链能够在极端网络延迟期间继续生成块。这也反映了提案人对其网络视图的信心降低，因为他们不能再确定其提议者增强块将被视为规范。
  ~. w6 Q' j, u8 o下面的图表演示了诚实行为如何改变以实施重新组织策略。/ k0 A' [# g# @/ E
在这种情况下，让b1代表一个晚到的区块。由于延迟，b1仅具有第n个槽位19％的证明权重。剩余81％的证明权重分配给父区块HEAD，因为许多验证者在认证截止日期之前没有看到b1。
* U) G6 ~+ b* X+ l如果没有诚实的重新组织，在第n+1个时隙中提议者将b1视为链头并构建子区块b2。尽管它只有19％的证明权重，但提议者不会努力重新组织b1。在第n+1个时隙期间，b2具有提议者增强功能，并且假设它按时交付，则通过积累该时隙大部分认证而成为规范。. d9 R) x. M4 ?, ]& ~0 N
通过诚实地重新组织，情况就大不相同了。现在第n+1个时间段的提案人发现对于 b1 的 19% 认证权重低于重新组织阈值, 因此他们以 HEAD 作为 b2 的父级来构建一个新区块，并强制性地进行了重新组织 b1. 当我们达到 n + 1 时间段的认证截止日期时, 诚实验证器将比较 b2（40% 来自提案人增强）与 b1（19%）相对权重。所有客户端都执行提议人增强，因此 b2 将被视为链头，并将积累时隙 n+1 的认证。; U( `7 ^: @" h6 f! T7 y
针对解绑攻击的中继和信标节点修复' t+ X- z: T# H) k* B. k
* F; l! A- _8 n; o; I
在4月2日的解绑攻击中，提议者利用了一个中继漏洞，通过向中继发送无效的签名头来进行攻击。随后几天，中继和核心开发团队发布了许多软件补丁以减轻重复攻击的风险。五个主要变化如下：
2 Z+ c4 a$ A. T  n8 R1.Relay更改：
& B: x9 M3 l, z; u. z

6 j& _5 s7 U( N) |- R, k, O

• 检查数据库是否存在已知恶意提议者（仅由超声波中继在生产环境下使用，并已被删除）。6 ]6 Q% f& Z( D4 }
  
• 检查该时段内是否已将完整块传递给P2P网络。
  % Y( |) i. w% P' r* J
• 在发布块之前引入0-500ms范围内的统一随机延迟（从所有接力器移除）。
  $ g- g! \1 p( o+ z$ }& d2 C

2.信标链节点更改（仅适用于接力信标链节点）：
! C* }/ [1 Q% \" y

$ A0 r8 I0 Y9 \: `' K; _( \& K" D

• 广播信标块之前验证其有效性。
  * h$ G. v2 E0 W2 S+ Y/ D  D' q2 c
• 在发布块之前检查网络上是否有等价物。% }; j$ }  V, ?" }
  

这些变化的组合导致共识不稳定，而大部分验证器现在都使用上述诚实重组策略进一步加剧了这种情况。
$ T6 f1 a4 H% X& m2 \# K+ ~未预料到的后果
9 A/ E1 Q/ m6 N) ~9 z( v* K: H
: C- Y( y. U- H0 D7 d5 x4 S; g以上5个更改每一个都会增加接力区块发布热路径上的延迟时间，从而增加了接力区块可能会超过证明截止期限而被广播的概率。下图显示了这五个检查的顺序以及引入延迟如何导致块发布超过证明截止期限。4 c! H1 X) a1 \' c
在实施这些检查之前，签名头到达时间显著晚于t=0（例如t=3）通常不会出现问题。中继开销非常低，因此会在t=4之前发布块。
  B  U/ q+ I6 k/ C然而，随着这五个补丁引入的延迟时间增加，中继现在可能部分负责延迟广播。让我们看一下以下假设情况下的区块发布。
2 S1 i0 w% N  ~7 x中继在t=3时从提议者处接收到已签名的头部。到了t=4，中继仍在执行检查，因此广播发生在证明截止期之后。在这种情况下，提议者发送已签名头部晚和中继引入一些额外的延迟相结合导致错过了证明截止期。如果没有诚实重组，则这些块很可能会进入链上。如我们在图2中所看到的那样，随后插槽的诚实提议者不会故意重新组织由于时间太晚而被拒绝的块。然而，在有诚实重组的情况下，错过证明截止期意味着该块将被下一个提议者重新组织。- B6 {( x+ V! u( ]" p8 Z8 L
因此，在攻击后几天内，分叉块数量急剧增加。
$ c- Y# o; [/ V# `Metrika 2周的数据显示，在最糟糕的情况下，一个小时内有13个区块（4.3％）被重新组织，这比正常情况多了约5倍。随着中继推出各种变化，分叉块数量的急剧增加变得明显起来。由于中继操作员和核心开发人员做出了巨大的社区努力，一旦理解了影响，许多更改就被撤销，并且网络恢复到健康状态。6 T0 e% C  i9 U- p: l
截至今天，最有用的更改是信标节点块验证和在广播之前进行等价检查。恶意提议者不能再通过向中继发送无效头部并确保中继信标节点在发布之前不看到等价块来执行攻击。尽管如此，该中继仍然容易受到Mev-boost和ePBS中介攻击所呈现的更普遍等价攻击的影响。
8 [2 H' H! R; W3 V3 ~8 c$ N! Y
* ~) f4 b3 G8 g' Q$ N/ ]4 K6 M5 k6 D$ T1 T; d, C' g( B
那么我们该怎么办呢？
4 E" z( M; u, x
! k8 l0 e8 |7 c  U5 d
1 U# G( r# e: w: u9 D5 K) ^# T% T( G% w5 f& B, Z
在这篇文章中，我们强调了 mev-boost 的工作原理以及它对以太坊共识的重要性。我们还详细介绍了与时间相关的 Ethereum 分叉选择规则中一些不太为人知的方面。通过使用拆分攻击和开发者的响应作为案例研究，我们强调了分叉选择规则中与时间相关的方面潜在脆弱性及其对网络稳定性的影响。! s3 z' h. e! o, p1 |# P
鉴于此，研究界应评估什么是“可接受”的重新组织数量，并考虑普遍情况下等价攻击所带来的风险，以确定是否需要实施缓解措施。
. g9 I+ ?0 @! p- `! O此外，目前正在积极探索多个未来方向：
. d$ N2 y/ a% e3 j" Y8 M5 j* C" A实现“headlock”以保护 mev-boost 免受等价攻击。这也需要更改共识客户端软件并可能需要进行规范更改以延长证明截止期。
2 e/ h) V3 X4 ^9 f' j" X增加针对 mev-boost 软件的漏洞赏金计划数量和可见度。5 F* }/ D' @$ b. x& b' L, A6 q
扩展模拟软件以探索子时隙定时如何影响网络稳定性。这可以用于评估如何通过调整证明截止期来减少重新组织。7 X+ M9 Q4 W# P- O" n/ |$ v! ^
优化中继上的块发布路径以减少不必要的延迟。这已经在研究中了。# c8 O. m$ O0 n
认识到 mev-boost 是核心协议功能，并将其吸收到共识客户端中，即 enshrined-PBS（ePBS）。两个时隙的 ePBS 容易受到等价攻击的影响，因此实现“headlock”仍然是一种选择。
; j1 t, k* r5 Y! a4 W. K- S) d) Z增加基于延迟和证明截止期问题的更多 hive 和/或规范测试。
1 p, M! `) U, A5 Q; j/ g. x; B通过构建中继规范的其他实现来鼓励中继客户端多样性。. a4 _; p( W& m/ U# Z6 U: I
考虑调整等价惩罚措施，但请记住，在极大 MEV 机会存在时，即使完全削减32 ETH也可能无法阻止恶意行为。
& \; s9 D- m) c总体而言，我们对 MEV 和 mev-boost 生态系统周围重新激发起来的能量感到兴奋。通过拆分攻击和缓解措施，我们已经了解了延迟、mev-boost 和共识机制之间关键关系；我们希望协议能够持续强化。+ E6 P, R$ ?# \& Q+ j
如果您对这些话题感到兴奋和有趣，请联系 Georgios (email) 或 Mike (email)。
- G8 m7 W4 G$ y% b非常感谢 Bert Miller、Danny Ryan、Alex Stokes、Francesco D’Amato、Michael Sproul、Terence Tsao、Frankie、Joachim Neu、Chris Hager、Matt Garnett、Charlie Noyes 和 samczsun 对本文的反馈，以及 Achal Srinivasan。