想法1

1. 區(qū)塊構(gòu)建者生成bundle包并發(fā)布它們創(chuàng)建的bundle包的頭（headers），一個bundle包頭包含對包主體（bundle body）的commitment承諾（預(yù)期的區(qū)塊內(nèi)容）、對提議者的付款以及構(gòu)建者的簽名。
2. 提議者選擇提供最高付款的bundle包頭（僅考慮構(gòu)建者有足夠余額來實際支付的bundle包）。他們簽署并發(fā)布包含該包頭（bundle header）的提議。
3. 看到簽名的提議后，提供包含包頭（bundle header）的區(qū)塊構(gòu)建者將發(fā)布完整的bundle包。

在這一點上，分叉選擇規(guī)則有能力做出三個判斷中的一個（而不是通常的兩個）：

1. 區(qū)塊提議不存在
2. 區(qū)塊提議存在，但包主體（bundle body）不存在
3. 區(qū)塊提議存在，并且包主體（bundle body）存在

請注意，在第二種情況下，proposal仍然成為了鏈的一部分，并且至關(guān)重要的是，區(qū)塊構(gòu)建者向提出者的付款仍在處理（但區(qū)塊構(gòu)建者自己不會獲得任何費用或自己獲取MEV）。

分析

五個屬性中的三個很容易滿足：

1. 提議者無條件地接受承諾的付款，因此bundle包不能欺騙提議者；
2. 三個步驟都是非常自動化和低帶寬的，因此這滿足弱提議者友好性；
3. 提議者無法看到他們正在簽署的bundle包的內(nèi)容，因此這滿足bundle包的不可竊取性；

而共識層屬性，以及不受信任的提議者友好性要更加棘手。這種設(shè)計確實改變了分叉選擇的工作方式，將其從2個選項增加到3個選項，這也意味著提議者不再是游戲中的最后一個參與者。從理論上講，人們可以推斷，如果分叉選擇能夠做出決定，那么這應(yīng)該是好的，但這仍然是一個潛在未知的重大變化。

提議者看不到bundle包內(nèi)容，也不能通過bundle包竊取來欺騙區(qū)塊構(gòu)建者，但是他們可以對區(qū)塊構(gòu)建者使用更微妙的攻擊。他們可以在一個slot時間段的末尾發(fā)布他們的提議，確保證明人（可能）按時看到proposal提議，但不能給區(qū)塊構(gòu)建者足夠的時間發(fā)布body，因此證明人很有可能沒有按時看到body。這給區(qū)塊構(gòu)建者帶來了風險，并激勵他們青睞值得信賴的提議者。此外，它還創(chuàng)造了一個機會，通過這個機會，惡意的大多數(shù)人可以對自己不喜歡的區(qū)塊構(gòu)建者進行重罰。

對于這一問題，我認為有兩種緩解方法：

1. 證明人在接受提議的最長時間和接受一個body的最長時間之間有2秒的延遲。如果你信任證明人，這基本上可以解決問題，盡管區(qū)塊構(gòu)建者有損失資金風險的基本問題仍然存在。此外，尚不清楚證明者以這種方式投票是否符合激勵措施（盡管可通過要求他們證明提案的2 秒長VDF 解決方案來迫使他們等待）。
2. 如果一個body沒有被包含在內(nèi)，提議者只會得到一半的付款（而區(qū)塊構(gòu)建者只支付一半）。這使得提議者惡意破壞的代價很高，但它仍確保了區(qū)塊構(gòu)建者惡意破壞的代價仍然很高（在這兩種情況下，代價都足以讓你相信甚至匿名參與者也不想這么做）。例如，如果一個bundle包的提議者費用為1，區(qū)塊構(gòu)建者利潤為1.05:

（1）誠實的行為將導(dǎo)致（構(gòu)建者，提議者）回報為（0.05, 1）；

（2）提議者或證明人發(fā)布太晚，導(dǎo)致一個只有header頭的區(qū)塊被接受，則回報為 (-0.5, 0.5) ；

想法2

1. 區(qū)塊構(gòu)建者制作bundle包并發(fā)布他們創(chuàng)建的bundle包頭。一個bundle包頭包含對內(nèi)容的承諾、對提議者的付款以及來自構(gòu)建者的簽名。
2. 提議者選擇并簽署一份聲明，該聲明由他們所看到的bundle包頭列表組成。
3. 看到該聲明后，選定的區(qū)塊構(gòu)建者會發(fā)布其相應(yīng)的包主體（bundle body）。
4. 提議者從他們預(yù)先提交的列表中選擇一個bundle包頭，并用它發(fā)布一個提議。

有一個新的罰沒條件，它可以驅(qū)逐和懲罰任何發(fā)布不屬于（相同slot時間段內(nèi)）列表提議的提議者。

還要注意的是，提議者在步驟（2）中提交的bundle包頭列表也可以是包頭的加密哈希列表，其中每個哈希都加密到該bundle包的構(gòu)建者的公鑰，以便只有構(gòu)建者知道它們是否被接受。這降低了DoS攻擊風險。

分析

同樣，五個屬性中有三個很容易滿足：

1. 提議者不能竊取bundle包，因為他們只有在已將自己限制在有限的現(xiàn)有bundle包頭集時才能看到任何bundle包主體。
2. 如果不包括完整的body，就不可能發(fā)生構(gòu)建者對提議者的付款，因此提議者也不能在經(jīng)濟上欺騙構(gòu)建者。
3. 共識屬性和以前一樣，因為系統(tǒng)仍然是提議者為最后一個行動者的游戲，并且共識規(guī)則決定的內(nèi)容沒有變化。

在這種情況下要確保的兩個較難的屬性是，弱提議者友好性和不受信任的區(qū)塊構(gòu)建者友好性。令人擔憂的是，惡意的區(qū)塊構(gòu)建者可以通過提出大量的提議來攻擊提議者，這些提議都提供了非常高的費用，但從不公布其中任何一個提議的body。如果提議者對他們接受多少bundle包有上限，那么這種攻擊可以將所有合法bundle包定價，并使提議者沒有可合法包含在其區(qū)塊中的bundle包。如果提議者可接受的bundle包數(shù)量沒有上限，那么這可能導(dǎo)致向提議者發(fā)送無限數(shù)量的全bundle包體（相想每個500 kb），這是一個巨大的帶寬需求。

該難題的一個解決方案是以某種非硬性限制的方式對bundle包頭提交進行速率限制。

1. 提交bundle包的費用，通過一些類似 EIP-1559 的機制進行調(diào)整以達到一定的速率（例如每個slot 8個bundle包）。
2. 作為區(qū)塊建設(shè)者的存款要求，以及一條規(guī)則，即當更低價格的bundle包被包含了，而你發(fā)布的bundle包沒有被包含，那么你就不能為接下來的N個slot提交bundle包。

費用本身也可能僅在你的bundle包未包含，但較低價格的undle包包含在內(nèi)的情況下收取，因為這是你可能存在惡意行為的具體情況（或提議者是惡意的或網(wǎng)絡(luò)當時是壞的）。

這是有先例的，比如ENS拍賣收取0.5%的失敗者費用，以阻止人們在顯然不會獲勝的情況下進行出價（只是為了增加獲勝者必須支付的金額）。

然而，這些技術(shù)存在對提議者引入信任要求的風險，因此需要謹慎完成，并且未能將bundle包包含在內(nèi)的懲罰不能太高。

另一種解決方案是允許免費和無限制的bundle包主體發(fā)布，但限制網(wǎng)絡(luò)層的主體傳播。一種簡單的算法是：

1. 為可以傳播bundle包主體的最小時間添加一個輕微的延遲：最高支付bundle包的延遲為0秒，第二高支付bundle包的延遲為0.2秒，第三高支付 bundle包的延遲為0.38秒，第K高支付的bundle包，就延遲 秒。

添加一個規(guī)則，如果節(jié)點已廣播了一個更高收入的bundle包主體，則該節(jié)點不會再廣播一個bundle包主體。

這兩種技術(shù)可以結(jié)合在一起：你可以收取少量費用來將預(yù)期的bundle包數(shù)量減少到（例如）每slot 50個，然后使用這樣的網(wǎng)絡(luò)層機制進一步降低帶寬需求。

結(jié)論

截至目前，我還無法確定上述兩種方法是否是解決問題的唯一途徑，可能還會有其他的方法。在這兩種方法中，想法 (1) 在概念上更簡單，但它給區(qū)塊構(gòu)建者帶來了風險以及更復(fù)雜的分叉選擇規(guī)則要求。

而從分叉選擇和共識角度來看，想法 (2)要更簡單，但它在處理惡意區(qū)塊構(gòu)建者DoS攻擊方面存在挑戰(zhàn)，并且該問題的任何解決方案也有可能產(chǎn)生其他的問題（盡管可以想象這可以最小化）。到目前為止，我仍然不確定哪個方案會更好一些。

注：原文作者是以太坊聯(lián)合創(chuàng)始人Vitalik Buterin。