比特币MEV和破解悬赏

隔夜比特币继续在 26.5-27k 区间盘整。链上活跃度数据继续降低，大量 BTC 被囤积起来不动，降低了日交易量。

间或有讨论所谓 MEV 问题，便查询了一下比特币 MEV 的案例。所谓 MEV 一词，实源于以太坊，原本是「矿工可提取价值」（Miner Extractable Value）的缩写。自以太坊弃 PoW 而转 PoS 之后，随改名为「最大可提取价值」（Maximal Extractable Value）。

什么是 MEV？定义如下：

「最大（在工作量证明上下文中以前称为「矿工」）可提取价值（MEV）是指通过审查和 / 或更改区块中交易的顺序，可以从区块生产中提取的超过标准区块奖励和燃料费的最大值。

「当有人在区块链中发送交易时，交易被广播到网络与实际被挖掘成区块之间存在延迟。在此期间，交易位于一个称为内存池的待处理交易池中，每个人都可以看到其中的内容。套利者和矿工可以监控内存池并找到最大化自己利润的机会，例如通过抢先交易。如果领跑者是矿工，他们也可以重新排序甚至审查交易。」

可见，当且仅当区块链上待处理的交易除了矿工费之外，还存在额外的套利可能性时，才会出现 MEV。由于以太坊主打上层应用，这导致 MEV 在以太坊上非常常见。比如当你在 Uniswap 中要花费 10 USDT 购买 100 AAA 代币，MEV 机器人看到你发出购买交易后，就会发出一笔购买 AAA 的交易，并「贿赂」矿工把它的买单放到你的前面执行。由于 AMM 的算法特性决定了，MEV 机器人买入价最便宜，你贵一点儿（由于允许滑点误差，你的交易依然会成功），你俩买完后，AAA 代币的价格就升高了，比如到了 100 AAA 可以兑换 12 USDT 了。这时候 MEV 机器人就把刚才 0.1 刀买入的 AAA 以 0.12 刀抛售，赚取其中的差价。

那么，比特币链上有 MEV 的可能性吗？理论上可能。但实际上极少。

事实上，早在 MEV 这个术语被发明之前，10 年前的 2013 年，核心开发者 Peter Todd 在 bitcointalk 论坛上发起了一个赏金破解哈希算法的小活动。这个活动也是为了展示一下 P2SH 能做些什么有趣的事情。

他创建了若干个 P2SH 地址，每一个都对应一个脚本，脚本的内容就是验证你是否提交了两个哈希冲突的数。若是，则你就可以取走地址里全部的 BTC。他构造的几个脚本分别对应以下几个哈希函数的破解：SHA1，SHA256，RIPEMD160，RIPEMD-160(SHA-256())，SHA256(SHA256())。

对应的 P2SH 地址及其余额（截止到今天）如下：

37k7toV1Nv4DfmQbmZ8KuZDQCYK9x5KpzP 0 （历史交易量约 2.5 BTC）

35Snmmy3uhaer2gTboc81ayCip4m9DT4ko 0.27634251 BTC

3KyiQEGqqdb4nqfhUzGKN6KPhXmQsLNpay 0.11476888 BTC

39VXyuoc6SXYKp9TcAhoiN1mb4ns6z3Yu6 0.10026873 BTC

3DUQQvz4t57Jy7jxE86kyFcNpKtURNf1VW 0.10026873 BTC

总计：0.59164885 BTC 约合 10 万 RMB

据《上帝掷骰子：比特币史话》第五章「哈希」第 15 话「破解」，SHA-1 哈希算法其实早在 2005 年就被我国密码学家王小云教授团队攻破了。

Peter Todd 在悬赏帖子里说，欢迎向上述地址捐赠赏金——把 BTC 打进相应地址即可。尤其是第一个地址，检验对 SHA-1 的破解——据信破解成本大概是 277 万美元。

2014 年 12 月 20 日，SHA1 悬赏地址收到第一笔 0.001 BTC 的捐赠。到 2016 年 10 月 8 日，悬赏地址已经累积了 2.48 BTC。2017 年 2 月 23 日，终于有人提供了正确的破解结果，一举提取了 2.48 BTC 的赏金。现价折合约 6.6 万美元。

其他几组悬赏地址仍然坚如磐石，迄今无人提供破解结果。正如《史话》第五章「哈希」第 16 话「矛与盾」的记述，中本聪早在 2010 年 6 月 14 日针对哈希破解问题所作的评价那样：

由于区块链完全透明公开的特性，我们任何人点开提供破解结果这笔交易，都能一目了然地看到，挑战者所提供的两个 SHA-1 冲突的原像。

此处就存在矿工进行 MEV 的可能性：如果一个比特币出块节点看到了这样一笔交易，并且判断出来这是从悬赏地址提取 2.48 BTC 的正确答案，那么矿工就可以抄袭他的正确答案，构建一笔新交易把 BTC 提取给自己，然后优先打包自己构建的新交易。

从区块链的记录来看，我们无法判断这究竟是一笔正常的提交答案领取赏金的交易，还是矿工抢先的交易。由于这个悬赏不像知名协议那样众所周知，所以矿工可能也不太会注意到这里有 MEV 的机会。何况 2.48 BTC 相比于矿工的正常产量，实在是太微不足道了。

不仅仅是 MEV，一旦答案披露，它就可以被重复利用，即所谓「重放」（replay）。在此之后，如果任何人再向这个悬赏地址里捐赠 BTC，必然会被立刻提取领走。

比特币矿工所日以继夜计算的，就是 SHA-256 哈希。时至今日，比特币全网的巨大算力，据称每秒哈希数（362Ehash/s = 362 * 10^18 = 3.6 * 10^20）已经和宇宙中的星星数量（2 * 10^22 ～ 3 * 10^23）差不多了。如果一个哈希是一颗恒星，那么每 100-1000 秒，比特币矿工们就遍历一次宇宙。

即便如此，仍然无人攻破 SHA-256 哈希。

在比特币链上，还有比 Peter Todd 的哈希破解悬赏金额高得多的多的赏金地址呢。据信高达 100 万枚 BTC 以上。成天忽悠比特币不安全、叫嚣破解比特币的嘴炮很多，可是十几年了也没看到哪个真把赏金拿走。今日篇幅有限，以后有时间我们再慢慢谈吧。