恶意MEV（最大可提取价值）攻击被视为以太坊交易者面临的重要风险之一。最新研究显示，以太坊网络上每天约发生近2000起夹击攻击，每月从网络中提取的价值超过200万美元。即便是进行大额WETH、WBTC或稳定币兑换的用户，也可能在单笔交易中损失相当比例资金。

MEV问题与区块链的透明性密切相关：在交易执行并最终确认之前，交易内容对网络参与者可见，为抢先交易等行为提供了空间。围绕这一问题，业界提出了多种基于“交易池加密”的缓解思路，其中阈值加密是重要方向之一。此前的研究和实践中，Shutter等项目采用按周期批量加密的模式，批量阈值加密（BTE）则通过单一密钥解密多笔交易，以降低通信成本并提升吞吐量。

在此背景下，H. Zhang等人在2022年提出了“冻结抢先者”（Flash Freezing Flash Boys，F3B）方案，尝试通过“每笔交易加密”的阈值加密设计，进一步压缩抢先交易空间。相关研究对该方案的工作机制、在延迟和存储方面的扩展性，以及其尚未在以太坊实际部署的原因进行了分析。

每笔交易加密的设计思路

早期基于阈值加密的交易池方案多采用按周期批量加密模式。以FairBlock和Shutter早期版本为例，系统在一个固定周期（如以太坊上的32个区块）内使用同一密钥加密所有交易。该模式存在一个结构性问题：未能在周期末被打包进区块的交易，仍会在批量解密时与其他交易一同被解密，从而在未被包含的情况下暴露交易内容，为验证者或其他参与者提供抢先交易机会。

F3B试图通过“每笔交易单独阈值加密”消除这一漏洞。其核心流程包括：

• 用户使用仅由特定阈值委员会掌握的密钥，对交易进行加密；该委员会被称为“秘密管理委员会”（Secret Management Committee，SMC）。
• 用户将交易密文及相关加密密钥信息一并提交给共识组节点。节点可以在不知晓明文内容的前提下，对交易进行存储和排序，并保留后续解密所需的元数据。
• 与此同时，SMC为该笔交易准备解密份额，但在交易获得共识并达到最终确认之前，不会释放这些份额。
• 当交易最终确认后，SMC释放足够数量的有效解密份额，共识组据此重构对称密钥，解密并执行交易。

长期以来，每笔交易加密被认为在计算和带宽成本上难以接受。F3B通过“只对轻量级对称密钥进行阈值加密，而非直接加密整笔交易”来降低开销：交易本身由对称密钥加密，对称密钥再通过阈值加密保护。研究指出，以简单兑换交易为例，这一设计可将需要非对称加密的数据量缩减约十倍。

两种密码学实现及延迟对比

研究提出，F3B可基于两类密码学协议实现：TDH2和PVSS。二者在密钥生成方式、委员会结构以及由此带来的灵活性、延迟和存储成本方面存在差异。

TDH2：固定委员会、统一公钥

TDH2（Threshold Diffie-Hellman 2）依赖一个固定委员会运行分布式密钥生成（DKG）过程，产生各自的密钥份额和一个集体公钥。具体流程包括：

• 用户为每笔交易生成新的对称密钥，用该密钥加密交易内容；
• 用户再使用委员会的集体公钥加密该对称密钥，并将“加密交易 + 加密对称密钥”写入链上；
• 当链上达到预定确认数后，委员会成员各自发布对“加密对称密钥”的部分解密份额，并附带非交互零知识证明（NIZK），以防止选择密文攻击；
• 共识组验证NIZK后，在收集到足够数量的有效解密份额时，重构对称密钥，进而解密并执行交易。

NIZK在此用于证明：用户提交的密文格式正确且可被解密，同时保证受托人提交的解密份额有效。

PVSS：公开可验证秘密共享

第二种实现方案基于PVSS（Publicly Verifiable Secret Sharing）。在该模式下：

• 委员会成员各自持有长期私钥及对应公钥，公钥存储在链上，任何用户均可访问；
• 用户为每笔交易选择一个随机多项式，通过Shamir秘密共享生成秘密份额，并使用各受托人的公钥分别加密这些份额；
• 对称密钥通过对重构出的秘密进行哈希得到；
• 用户为加密份额附带NIZK证明，使任何人都可验证所有份额源自同一秘密，并附上公开的多项式承诺，将份额与秘密绑定；
• 交易被包含并最终确认后，委员会成员释放解密份额，系统重构对称密钥，完成解密和执行。

与TDH2相比，PVSS允许用户自由选择负责其交易的委员会成员，灵活性更高，但由于需要针对每位受托人单独加密份额，公钥密文体积和计算成本相应增加。

性能与存储开销

研究在模拟权益证明以太坊环境中对F3B进行了原型测试。结果显示，在128名受托人组成的委员会下：

• 交易最终确认后的额外延迟约为：TDH2 197毫秒、PVSS 205毫秒；
• 该延迟分别约占以太坊768秒最终确认时间的0.026%和0.027%；
• 存储方面，TDH2每笔交易的额外数据约为80字节；
• PVSS的存储开销则随委员会成员数量线性增长，原因在于每名成员对应的份额、证明和承诺均需上链。

研究认为，在上述参数下，F3B对以太坊性能和容量的影响较小，同时可为交易提供隐私保护。

激励与惩罚机制设计

为约束秘密管理委员会成员的行为，F3B引入质押与惩罚机制：

• 受托人需锁定质押资金，并通过手续费获得激励，以维持在线状态和协议要求的性能；
• 若有人提交有效的违规证明，显示存在提前解密行为，相关受托人的质押将被没收。

在TDH2方案中，违规证明为可公开验证的受托人解密份额；在PVSS方案中，则为解密份额及该受托人专属的NIZK证明。该机制提高了可被检测到的不当行为的成本，但无法阻止受托人在链下私下串通、重构并解密交易数据而不公开任何份额。因此，协议仍依赖“委员会多数成员诚实”的假设。

此外，由于加密交易在最终确认前无法执行，系统还面临另一类潜在攻击：恶意用户可能通过大量不可执行的加密交易占用区块空间，拖慢确认速度。这一问题在各类加密交易池方案中普遍存在。F3B通过要求用户为每笔加密交易缴纳存储押金来提高垃圾交易成本，押金在交易提交时预先扣除，交易成功执行后仅部分退还。

在以太坊部署的现实障碍

研究指出，“冻结抢先者”方案在密码学层面提供了较为完整的MEV缓解框架，但在以太坊主网上的实际部署难度较大。

一方面，F3B不改变现有共识机制，并与当前智能合约保持兼容；另一方面，其要求对执行层进行修改，以支持加密交易和延迟执行逻辑。这意味着需要一次范围大于“合并”以来任何升级的硬分叉调整，集成复杂度较高。

尽管如此，研究认为，F3B的意义并不限于以太坊生态。其“信任最小化的私有交易数据共享”机制，可被其他新兴区块链网络或需要延迟执行的去中心化应用采用。即便在区块时间低于1秒、已显著压缩MEV空间的网络中，类似F3B的协议仍可完全消除基于交易池的抢先交易。

研究还提到，F3B可用于密封竞价拍卖等场景：竞标者在拍卖阶段提交加密报价，直至竞拍结束前报价保持隐藏，仅在截止后统一解密并执行，从而避免竞价操纵、抢先交易或提前信息泄露。