基于意图的架构及其风险

  • Paradigm
  • 发布于 2023-06-02 20:24
  • 阅读 26

本文讨论了以太坊社区中关于“意图”的概念及其应用,重点介绍了意图如何简化用户与区块链的交互,并探讨了实施这些意图时可能面临的风险及其缓解策略。文中介绍了意图的定义、使用方式及其带来的可能优势,同时分析了与现有中介和内存池系统的关系。

大纲

引言

近日,“意图”及其应用的讨论在以太坊社区中成为了主流话题。

如果一个交易明确指向“如何”执行一个动作,意图则指向“什么”是这个动作期望的结果。如果一笔交易说“做A然后做B,支付确切的C以获得X回来”,意图则说“我想要X,我愿意支付最多C”。

这种声明式范式为用户体验和效率带来了令人兴奋的改进。借助意图,用户能够简单地表达希望的结果,同时将实现这一结果的任务外包给复杂的第三方。意图的概念与如今必须由用户明确指定所有参数的执行范式形成了对比。

虽然这些改进的前景为生态系统提供了急需的进步,但在以太坊上的基于意图的设计也可能对链下基础设施产生重大影响。特别是,它们与MEV相关的活动和市场控制之间存在重要联系。本文旨在提供意图及其好处的简要定义,探讨实施过程中涉及的风险,并讨论可能的缓解措施。

什么是意图?

用户与以太坊交互的当前标准方式是制作并签署交易,这些消息是以特定格式提供给以太坊虚拟机(EVM)以执行状态转换所需的所有信息。然而,创建交易可能是一个复杂的过程。创建交易需要对大量智能合约及诸如nonce管理等细节进行推理,同时持有特定资产以支付Gas费用。这种复杂性导致用户体验不佳,并因为用户被迫在信息获取或复杂执行策略不足的情况下做出决策而造成效率损失。

意图的出现是为了解除用户的这些负担。非正式地说,意图是签署的一组声明性约束,允许用户将交易创建外包给第三方,而无需完全放弃对交易方的控制。

在基于交易的标准流程中,交易签名允许验证者在特定状态下沿着一个计算路径执行,而小费则激励验证者如此执行。另一方面,意图并不具体指定必须采取的计算路径,而是允许任何符合某些约束的路径。通过签署和分享意图,用户实际上是在授予接收方以其名义选择计算路径的权限(见下图)。这个区分使意图的定义更加严谨,即签名消息,它允许从给定起始状态进行一组状态转换,而其中一个特殊情况是允许唯一转换的交易。就是说,我们将继续将“意图”称为与交易不同的概念。

重要的是,许多意图可以包含在单笔交易中,从而允许匹配重叠意图,提高Gas和经济效率,例如在一个构建者维护的订单薄中,两个订单在进入市场之前可以相互抵消。其他应用包括跨域意图——签署一条消息而不是在不同域上进行多笔交易——使用不同的重放抵抗方案,以及更灵活的用户Gas支付,比如允许第三方赞助Gas或进行不同代币的支付。

过去和未来是意图

意图的诞生是为了外包与区块链交互的复杂性,同时允许用户保持对其资产和密码身份的保管。

你可能会注意到,许多这些概念对应于已经运作多年的系统:

  1. 限价单:如果我收到至少200 Y,可能从我的账户中提取100 X。
  2. CowSwap风格的拍卖:同上,但依赖第三方或机制将多笔订单匹配以最大化执行质量。
  3. Gas赞助:以USDC支付Gas而非ETH。意图只能被满足,前提是有匹配的意图支付ETH作为费用。
  4. 代理:仅允许以某些预授权的方式与特定账户交互。只有在最终交易遵循意图中指定的访问控制列表的情况下,此意图才能得到满足。
  5. 交易批量处理:允许批量处理意图以提高Gas效率。
  6. 聚合器:仅对某一行为使用“最佳”价格/收益。该意图可以通过证明在多个场所执行的聚合以及采取了最佳路径来实现。

展望未来,意图在跨链MEV(例如,SUAVE)、ERC4337风格的账户抽象,甚至Seaport订单的背景下正受到重新热议!尽管ERC4337正在全速推进,但跨域意图等其他新颖应用仍需进一步研究。关于意图及其应用的更多讨论可以在这个演讲中找到。

关键的是,在所有旧的和新的基于意图的应用中,必须至少存在其他一方掌握意图、激励实现意图并能够及时做到这一点。我们必须询问这些方的身份、_如何_进行执行以及他们的_激励_是什么,以确定基于意图的系统的有效性、信任假设和更广泛的影响。

中介与他们的内存池

意图找到愿意中介的最明显渠道是以太坊内存池。不幸的是,当前的设计并不支持意图的传播。关于DoS攻击的担忧可能意味着即使在长期内,以太坊内存池对完全通用意图的支持也是不可能的。正如我们将在下文中看到的,以太坊内存池的开放和无权限特性为意图的采用带来了额外的阻碍。

在缺少以太坊内存池的情况下,意图系统设计者现在面临一些设计问题。一个高层次的决定是,意图是将传播到有权限的集合中,还是以无权限的方式可供任何方执行意图。

无权限内存池

一个可能努力追求的设计是一个去中心化的API,允许在系统各个节点之间传播意图,从而提供对执行者的无权限访问。这种做法已经有先例。例如,在0x协议中,转发者相互传播限价单,并在订单匹配时将其上链。这个想法也在共享ERC4337内存池的背景下得到探索,以应对中心化和审查风险。然而,这种无权限的“意图池”的设计面临一些重大挑战:

  • DoS抵抗:可能需要限制意图的功能以避免攻击向量(参见ERC4337提案以获取进一步讨论)。
  • 传播激励:对于许多应用,执行意图是一项有利可图的活动。因此,运行意图池的节点有动力不传播,以减少执行意图时的竞争。
  • MEV:依赖链下参与者的良好行为以确保执行质量的意图,可能在使用公共无权限意图池时面临困难。如果糟糕的执行是有利可图的,公共无权限意图池很可能导致这种结果。这与今天以太坊内存池中的夹击情况相似,并预计将成为与DeFi相关的意图普遍存在的问题。在这里,一个可能的前进方向可能是无权限但加密的意图池。

有权限的“内存池”

一个信任的中心化API则具有更强的DoS抵抗能力,而不需要传播意图。信任模型也提供了对MEV担忧的某种保护。只要信任假设成立,执行质量应该是有保障的。受信任的中介可能也有与之相关的声誉,从而提供一定的激励来提供良好的执行。有鉴于此,短期内有权限的意图池对基于意图的应用开发者具有吸引力。然而,正如我们所知,强烈的信任假设有其缺点,并且与区块链的许多理念反向。下面将讨论这些问题。

混合解决方案

还有一些解决方案是上述两者的混合。例如,可能会有有权限的传播,但无权限的执行(假设信任假设成立),或者反之。混合解决方案的一个常见例子是订单流拍卖

这些设计的高层思想在于,需要对方的用户可能需要区分出更好的和较差的对方(例如,以有利的价格在交易的另一方进行交易)。设计流程通常包括一个受信任的方,该方从用户处接收意图(或交易),并在其名义上促成拍卖。拍卖的参与是(有时)无权限的。

这类设计有其自身的缺点,很可能受限于许多关于有权限意图池的担忧,但重要的差异将在稍后显现。

底线:基于意图的应用不只是与智能合约交互的新消息格式,它们还涉及以替代的内存池形式实施传播和对方发现机制。设计一种和符合激励相容、不造成中心化的意图发现和匹配机制并非易事。

可能出错的地方

虽然意图是交易的新兴范式,但其广泛采用可能意味着用户活动的转移加速向替代内存池。如果管理不当,这种转移可能面临中心化和寻租中介的固化风险。

订单流

如果意图执行被限制,且有权限的集合没有谨慎选择,向公共内存池的迁移可能威胁到以太坊区块生产的中心化。

以太坊大多数的区块生产目前通过MEV-Boost进行,这是提议者-构建者分离(PBS)的协议外实现,当前的路线图没有任何改变这一接口的迹象。PBS依赖于区块构建者之间的竞争市场,将MEV引导到验证者集。一大关切是,区块构建者能够获取生产有价值区块所需的原材料——交易和意图,即“订单流”的独占访问权。在PBS语言中,有权限的意图访问被称为“独占订单流”(EOF)。正如这篇文章中讨论的那样,若EOF掌握在不当方手中,可能威胁到PBS依赖的市场结构,因为订单流的独占性质意味着对竞争力量的屏障。

拥有以太坊订单流的大量份额的区块构建者(或合作实体)将有能力生成大多数主网区块,从而开启审查的途径。由于该网络依赖于构建者之间的竞争将价值引导向验证者(或被燃烧于未来),单一构建者的垄断将构成将价值从以太坊转移到构建者的变迁。寻租和审查无疑是对协议的重要威胁。

信任

由于许多解决方案依赖于中介的信任,新基于意图的架构的开发受到高进入门槛的阻碍,导致创新和竞争降低以确保执行质量。

在最坏的情况下,用户可能处于只有一个方执行意图的境地,例如上面提到的垄断区块构建者。在这种环境下,垄断区块构建者将能够提取租金,任何有关意图处理的新提案如果不被构建者采用就会失去吸引力。面对垄断者,个人用户失去了谈判权力——在使用意图赋予中介额外自由度的案例中,这种效果更加明显。

不幸的是,由于基础设施集中,市场停滞并不仅限于对构建者市场的担忧。即使对于非区块构建操作,较高的进入门槛也可能使中介处于强势地位,因为他们面临着有限的竞争。以当前的订单流拍卖市场为例。像Flashbots和CoWswap这样的多个实体占据了绝大多数的订单流。订单流的分布很大程度上是因为这些实体存在多年或与有声誉的实体关联,意味着它们成功地获得了一定程度的公众信任。如果有新的OFA设计试图进入市场,操作新的OFA的人必须花费大量时间来说服用户和钱包他们是可信的,并不会滥用他们的地位。赢得信任的这一努力显然构成了一个实质性的进入障碍。

订单流拍卖市场最近才开始受到关注,目前尚不清楚竞争将如何发展,但该市场确实提供了一个示例,说明有权限、受信任的内存池可能使少数强大参与者根深蒂固,从而损害用户的最佳利益。

EIP4337意图格式提供了另一个可能令人垄断的机制实例。考虑一个建立了受信任的架构以支持4337意图的世界。如果提出另一种意图格式——或许是为额外用例如跨域功能服务——但已建立的受信任中介不采用这种新格式(毕竟,它并没有获得广泛的采用,并与他们的商业模式相竞争),则实施新格式将需要在新实体中建立信任。我们再次处于创新和挑战现状面临信任入场障碍的地步。

不透明性

由于许多意图架构意味着用户放弃对其链上资产的某些控制,而且有权限内存池暗示一定程度的外部不可渗透性,我们风险建立一个不透明的系统,使得用户期望是否得到满足,以及对生态系统的威胁保持隐秘。

上述部分涉及订单流市场中权力不平衡所对用户和协议造成的风险。相关的担忧是,正在用户与区块链之间发展的中介和内存池生态系统甚至对敏锐观察者来说变得不透明。这种担忧特别适用于寻求让用户外包重要决定(如订单路由)的基于意图的应用。

意图对用户执行的不利影响通常源于交易在多大程度上给其执行者提供了自由度(例如滑点限制)。因此,声称以意图为基础的应用放弃更大程度的自由度,应更加谨慎地设计其系统以确保执行,在逻辑上是没有太大飞跃的。从这个角度来看,最糟糕的结果是一个使用基于意图的应用需要签署一个消失的意图(如果你愿意,就投身于黑暗森林),然后不知名地以多少种方式形成一个交易,没有关于交易是如何或由谁创建的清晰度。当然,监控这样的生态系统的能力也与EOF和基于信任的巩固有关。如果即使是最敏锐的观察者也看不到,以太坊社区如何能够监控其区块生产生态系统的健康面临威胁?

缓解风险

以太坊的内存池是有限的。对于某些应用,这是因为它缺乏隐私(夹击),而其他应用则因无法支持更广泛的消息格式。这样一来,钱包和应用开发者面临着艰难的处境,因为他们必须找到某种方式将用户连接到区块链,同时避免上述风险。

通过审查上述问题,我们可以推导出理想系统的一些属性。这样的系统应该是无权限的,以便任何人都可以匹配和执行意图,而不会以牺牲太多的执行质量为代价;通用的,以便部署新应用不需要建立新的内存池;以及透明的,以便执行意图的过程是公开报告的,并在隐私保护允许的情况下提供执行质量审计的数据。

尽管像Flashbots和Anoma这样的团队正在努力朝着通用解决方案发展以满足上述要求,将隐私和无权限相结合,但理想系统可能在短期内无法准备好。因此,不同的解决方案在自身利益相互权衡下,可能最适合于不同的应用。尽管应对许多与基于交易应用相关的相同担忧而产生的机制(如crlists)可能不适用于意图,但小工具,如在可能的情况下允许用户回退到交易,可能有助于改善最糟糕的情况。同样地,希望推出意图池的应用,如果无权限的设计是好的,应谨慎选择中介。

总体而言,我们要求基于意图的应用设计者充分考虑其应用的链下影响,因为这些影响可能关乎更广泛的社区,而不仅仅是他们的用户群体。同时,我们要求广泛的社区对围绕以太坊的链下生态系统的发展保持警惕。

结论

意图的采用代表了一种从指令式范式到声明式范式的转变,这一转变承诺显著提高用户体验(UX)和因MEV泄漏造成的效率损失。这些应用的需求显而易见,许多基于意图的应用在过去几年中得到广泛使用。

意图的日益普及,部分受到ERC4337推动,可能加速了从以太坊内存池到新场所的转移。尽管这种转移是合理且不可避免的,但基于意图的应用设计者在其系统链下组件设计上确实有理由谨慎,同时在强大的基础设施发展中。

在这一新兴的交易范式中仍有很多研究和工程需要完成,而且我们在这篇文章中未涉及的领域如设计允许隐私的意图表达语言。如果你对这个或其他与意图相关的研究主题感兴趣,请与0xquintus georgios@paradigm.xyz联系。

非常感谢Dan RobinsonCharlie NoyesMatt HuangJohn GuibasXinyuan SunElijah Fox对这篇文章的反馈,以及Achal Srinivasan为设计图表的贡献。

  • 原文链接: paradigm.xyz/2023/06/int...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Paradigm
Paradigm
Paradigm 是一家研究驱动型技术投资公司 https://www.paradigm.xyz/