BTE는 계층 2 롤업을 통해 보류 중인 트랜잭션 개인 정보 보호를 달성하는 데 도움이 될 수 있는 획기적인 고정 크기 암호 해독 공유(최소 48바이트)를 제공합니다.
BTE(Batched Threshold Encryption)는 임계값 암호화와 같은 기본 개념을 기반으로 구축되어 단일 참여자에게 중요한 데이터를 노출하지 않고도 여러 당사자 간의 안전한 협업을 가능하게 합니다. BTE는 이전에 다룬 Shutter와 같은 최초의 TE 암호화 멤풀 방식이 발전된 것입니다. 현재 BTE에 대한 모든 기존 작업은 프로토타입 또는 연구 단계에 남아 있지만 성공할 경우 분산형 원장의 미래를 형성할 수 있습니다. 이는 더 많은 연구와 잠재적 채택을 위한 명확한 기회를 제공하며, 이 기사에서 이에 대해 살펴보겠습니다.
대부분의 최신 블록체인에서 거래 데이터는 블록에서 순서가 지정되고 실행되고 확인되기 전에 테마풀에서 공개적으로 볼 수 있습니다. 이러한 투명성은 정교한 당사자들이 최대 추출 가능 가치(MEV)로 알려진 추출 관행에 참여할 수 있는 방법을 제공합니다. MEV는 재정적 이익을 위해 거래를 재정렬, 포함 또는 생략할 수 있는 블록 제안자의 능력을 활용합니다.
선점 및 샌드위치 공격과 같은 일반적인 형태의 MEV 악용은 여전히 널리 퍼져 있으며, 특히 10월 10일 플래시 충돌 당시 약 2달러에 달하는 이더리움에서 더욱 그렇습니다. 9백만 개가 추출되었습니다. 전체 추출 MEV를 정확하게 측정하는 것은 여전히 어렵습니다. 이러한 공격의 약 32%가 채굴자에게 비공개로 전달되었고 일부는 단일 악용으로 200개 이상의 연쇄 하위 트랜잭션이 관련되었기 때문입니다.
일부 연구자들은 보류 중인 트랜잭션이 블록이 완료될 때까지 암호화된 상태로 유지되는 멤풀 설계로 MEV를 방지하려고 노력했습니다. 이는 다른 블록체인 참가자가 거래 사용자가 어떤 거래나 조치를 취하려고 하는지 확인하는 것을 방지합니다. 많은 암호화된 멤풀 제안에서는 이를 위해 일종의 임계값 암호화(TE) 형식을 사용합니다. TE는 거래 데이터를 공개할 수 있는 비밀 키를 여러 서버에 분할합니다. 다중 서명과 유사하게, 키 공유를 결합하고 데이터 잠금을 해제하려면 최소한의 서명자가 함께 작업해야 합니다.
표준 TE는 모든 서버가 각 트랜잭션을 개별적으로 해독하고 부분적인 해독 공유를 브로드캐스트해야 하기 때문에 효율적으로 확장하는 데 어려움을 겪습니다. 이러한 개별 공유는 집계 및 확인을 위해 온체인에 기록됩니다. 이로 인해 네트워크 속도가 느려지고 체인 정체가 증가하는 서버 통신 부하가 발생합니다. BTE는 각 서버가 크기에 관계없이 전체 배치를 잠금 해제하는 일정한 크기의 단일 암호 해독 공유를 릴리스할 수 있도록 하여 이러한 제한을 해결합니다.
Arka Rai Choudhuri, Sanjam Garg, Julien Piet 및 Guru-Vamsi Policharla(2024)가 개발한 BTE의 첫 번째 기능 버전은 소위 KZG 약속 체계를 사용했습니다. 이를 통해 서버 위원회는 다항식 기능을 공개 키에 잠그고 해당 기능을 처음에는 사용자와 위원회 구성원 모두에게 숨길 수 있습니다.
공개 키로 암호화된 트랜잭션을 해독하려면 해당 트랜잭션이 다항식에 적합합니다는 것을 증명해야 합니다. 고정 차수 다항식은 설정된 포인트 수에서 완전히 결정될 수 있으므로 서버는 이 증명을 제공하기 위해 소량의 데이터만 집합적으로 교환하면 됩니다. 공유 곡선이 설정되면 여기에서 파생된 하나의 압축된 정보를 전송하여 일괄 처리의 모든 트랜잭션을 한 번에 잠금 해제할 수 있습니다.
중요한 것은 다항식에 맞지 않는 거래는 잠긴 상태로 유지되므로 위원회는 암호화된 거래의 하위 집합을 선택적으로 공개하고 다른 거래는 숨길 수 있다는 것입니다. 이렇게 하면 실행을 위해 선택한 배치 외부의 모든 암호화된 트랜잭션이 암호화된 상태로 유지됩니다.
따라서 Ferveo 및 MEVade와 같은 현재 TE 구현은 BTE를 통합하여 배치에 포함되지 않은 트랜잭션에 대한 개인 정보를 보호할 수 있습니다. BTE는 또한 시간 지연 암호화 또는 신뢰할 수 있는 시퀀서를 통해 이미 공정성과 개인 정보 보호를 추구하는 Metis, Espresso 및 Radius와 같은 레이어 2 롤업에도 자연스럽게 적합합니다. BTE를 사용함으로써 이러한 롤업은 누구든지 차익거래 또는 청산 이익을 위해 거래 가시성을 악용하는 것을 방지하는 무신뢰 주문 프로세스를 달성할 수 있습니다.
그러나 이 첫 번째 BTE 버전에는 두 가지 주요 단점이 있었습니다. 새로운 트랜잭션 배치가 암호화될 때마다 새로운 키 생성 및 매개변수 설정 라운드를 포함하여 시스템을 완전히 다시 초기화해야 했습니다. 노드가 모든 부분 공유를 결합하기 위해 작동함에 따라 암호 해독은 상당한 메모리와 처리 능력을 소비했습니다.
이 두 가지 요인 모두 BTE의 실용성을 제한했습니다. 예를 들어, 위원회 새로 고침 및 블록 처리를 위해 필요한 빈번한 DKG 실행으로 인해 이 계획은 무허가 네트워크로 확장하려는 시도는 말할 것도 없고 중간 규모의 허가된 위원회에 대해 효과적으로 금지되었습니다.
검증인이 수익성 있는 거래만 복호화하는 선택적 복호화의 경우 BTE는 모든 복호화 공유를 공개적으로 검증할 수 있도록 합니다. 이를 통해 누구나 부정직한 행동을 탐지하고 가중처벌을 통해 위반자를 처벌할 수 있습니다. 정직한 서버의 임계값이 활성 상태로 유지되는 한 프로세스의 신뢰성을 유지합니다.
Choudhuri, Garg, Policharla 및 Wang(2025)은 일회성 설정 BTE라는 체계를 통해 서버 통신을 개선하기 위해 BTE로 첫 번째 업그레이드를 수행했습니다. 이 체계에는 모든 암호 해독 서버에서 한 번 실행되는 단일 초기 분산 키 생성(DKG) 의식만 필요했습니다. 그러나 각 배치에 대한 약정을 설정하려면 다자간 계산 프로토콜이 여전히 필요했습니다.
진정한 최초의 획기적인 BTE 체계는 Bormet, Faust, Othman 및 Qu가 향후 모든 배치를 지원할 수 있는 단일 일회성 초기화로 BEAT-MEV를 도입한 2025년 8월에 나왔습니다. 이는 두 가지 고급 도구, 즉 천공 가능한 의사 난수 기능과 임계값 동형 암호화를 사용하여 이를 달성했으며, 이를 통해 서버는 동일한 설정 매개변수를 무기한 재사용할 수 있습니다. 각 서버는 암호를 해독할 때 작은 데이터 조각만 전송하면 되므로 서버 통신 비용이 저렴해졌습니다.
이어서 BEAST-MEV라는 또 다른 문서에서는 서버 간 대화형 설정이 필요 없는 SBTE(Silent Batched Threshold Encryption) 개념을 소개했습니다. 반복적인 조정을 노드가 독립적으로 작동할 수 있는 비대화형 범용 일회성 설정으로 대체했습니다.
그러나 나중에 모든 부분 암호 해독을 결합하려면 여전히 많은 대화형 계산이 필요했습니다. 이 문제를 해결하기 위해 BEAST-MEV는 BEAT-MEV의 하위 배치 기술을 빌려 병렬 처리를 사용하여 시스템이 1초 이내에 대규모 배치(최대 512개 트랜잭션)를 해독할 수 있도록 했습니다. 다음 표에는 각각의 연속적인 BTE 설계가 원래 BTE 설계에서 어떻게 개선되는지 요약되어 있습니다.
BTE의 잠재력은 이미 일괄 경매 및 의도 기반 매칭을 통해 MEV를 완화하면서도 여전히 공개 멤풀에서 주문 흐름의 일부를 노출하는 CoW Swap과 같은 프로토콜에도 적용됩니다. 솔버 제출 전에 BTE를 통합하면 이러한 격차를 해소하고 엔드투엔드 트랜잭션 개인정보 보호를 제공할 수 있습니다. 현재로서는 Shutter Network가 조기 채택을 위한 가장 유망한 후보로 남아 있으며, 구현 프레임워크가 더욱 성숙해지면 다른 프로토콜도 뒤따를 가능성이 높습니다.
이 글에는 투자 조언이나 추천이 포함되어 있지 않습니다. 모든 투자 및 거래 활동에는 위험이 수반되므로 독자는 결정을 내릴 때 스스로 조사해야 합니다.
이 기사는 일반적인 정보 제공 목적으로 작성되었으며 법적 또는 투자 조언으로 간주되어서는 안 됩니다. 여기에 표현된 견해, 생각, 의견은 저자만의 것이며 코인텔레그래프의 견해와 의견을 반드시 반영하거나 대표하는 것은 아닙니다.
코인텔레그래프는 이 기사의 내용이나 여기에 언급된 어떤 제품도 보증하지 않습니다. 독자는 언급된 제품이나 회사와 관련된 조치를 취하기 전에 스스로 조사해야 하며 결정에 대한 전적인 책임을 져야 합니다.
원문 제목: How Batched Threshold Encryption could end extractive MEV and make DeFi fair again
BTE offers epochless, constant-size decryption shares (as small as 48 bytes) that can help layer-2 rollups to achieve pending transaction privacy.
Batched Threshold Encryption (BTE)builds on foundational concepts such asthreshold cryptography, which enable secure collaboration among multiple parties without exposing sensitive data to any single participant.
BTE is an evolution of the earliest TE-encrypted mempool schemes, such as Shutter,which we have covered previously.
For now, all existing work on BTE remains at the prototype or research stage, but it could shape the future of decentralized ledgers if successful.
This creates a clear opportunity for more research and potential adoption, which we will explore in this article.
On most modern blockchains, transaction data is publicly viewable in themempoolbefore it is sequenced, executed and confirmed in a block.
This transparency creates avenues for sophisticated parties to engage in extractive practices known as Maximal Extractable Value (MEV).
MEV exploits the block proposer’s ability to reorder, include or omit transactions for financial gain.
Typical forms of MEV exploitation, such as frontrunning and sandwich attacks, remain pervasive, particularly on Ethereum, where, during the flash crash on Oct.
10, an estimated$2.
9 million was extracted.
Accurately measuring total extractive MEV remains difficult becauseroughly 32%of these attacks were privately relayed to miners, with some involving over 200 chained subtransactions in a single exploit.
Some researchers have sought to prevent MEV with mempool designs, where pending transactions are held encrypted until block finalization.
This prevents other blockchain participants from seeing what trades or actions the transacting users are about to take.
Many encrypted mempool proposals use some form ofthreshold encryption (TE)for this.
TE splits a secret key that can unveil the transaction data among several servers.
Akin to a multisig, a minimum number of signers must work together to combine their key shares and unlock the data.
Standard TE struggles to scale efficiently because every server must decrypt each transaction separately and broadcast a partial decryption share for it.
These individual shares are recorded onchain for aggregation and verification.
This creates a server communication load that slows the network and increases chain congestion.
BTE solves this limitation by allowing each server to release a single constant-sized decryption share that unlocks an entire batch, regardless of size.
The first functional version of BTE, developed byArka Rai Choudhuri, Sanjam Garg, Julien Piet and Guru-Vamsi Policharla(2024), used the so-calledKZG commitment scheme.
It lets the committee of servers lock a polynomial function to a public key while keeping that function initially hidden from both users and committee members.
Decrypting transactions that are encrypted to the public key requires proving that they fit into the polynomial.
Because a polynomial of fixed degree can be fully determined from a set number of points, the servers only need to collectively exchange a small amount of data to provide this proof.
Once the shared curve is established, they can send out a single compact piece of information derived from it to unlock all transactions in the batch at once.
Importantly, transactions that do not fit within the polynomial remain locked, so the committee can selectively reveal a subset of the encrypted transactions while keeping others hidden.
This guarantees that all encrypted transactions outside the selected batch for execution remain encrypted.
Current TE implementations, such asFerveoandMEVade, could therefore integrate BTE to preserve privacy for non-batch-included transactions.
BTE also fits naturally with layer-2 rollups such asMetis,EspressoandRadius, which already pursue fairness and privacy through time-delay encryption or trusted sequencers.
By using BTE, these rollups could achieve a trustless ordering process that prevents anyone from exploiting transaction visibility for arbitrage or liquidation gains.
However, this first version of BTE had two major drawbacks: It required a full reinitialization of the system, including a new round of key generation and parameter setup each time a new batch of transactions was encrypted.
Decryption consumed significant memory and processing power as nodes worked to combine all partial shares.
Both of these factors limited BTE’s practicality; for instance, the required frequent DKG execution for committee refresh and block processing made the scheme effectively prohibitive for moderately sized permissioned committees, let alone any attempt to scale to a permissionless network.
For cases of selective decryption, where validators only decrypt profitable transactions, BTE makes all decryption shares publicly verifiable.
This allows anyone to detect dishonest behavior and penalize offenders via slashing.
It keeps the process reliable as long as a threshold of honest servers remains active.
Choudhuri, Garg, Policharla and Wang (2025) made the first upgrade to BTE to improve server communication through a scheme called theone-time setup BTE.
This scheme only required a single initialDistributed Key Generation (DKG)ceremony that runs once across all decryption servers.
However, a multiparty computation protocol was still required to set up the commitment for each batch.
The first truly epochless BTE scheme came in August 2025 when Bormet, Faust, Othman and Qu introducedBEAT-MEVas a single, one-time initialization that could support all future batches.
It achieved this using two advanced tools, puncturable pseudorandom functions and threshold homomorphic encryption, allowing servers to reuse the same setup parameters indefinitely.
Each server only needed to send a small piece of data when decrypting, thus keeping server communication costs low.
Down the line, another paper calledBEAST-MEVintroduced the concept of Silent Batched Threshold Encryption (SBTE) that removed the need for any interactive setup between servers.
It replaced repeated coordination with a non-interactive, universal one-time setup that allows nodes to operate independently.
However, combining all the partial decryptions afterward still required heavy interactive computation.
To fix this, BEAST-MEV borrowed BEAT-MEV’s sub-batching technique and used parallel processing to let the system decrypt large batches (up to 512 transactions) in under one second.
The following table summarizes how each successive BTE design improves on the original BTE design.
BTE’s potential also holds for protocols such asCoW Swapthat already mitigate MEV through batch auctions and intent-based matching, yet still expose parts of the order flow in public mempools.
Integrating BTE before solver submission would seal that gap and provide end-to-end transaction privacy.
For now, Shutter Network remains the most promising candidate for early adoption, with other protocols likely to follow once implementation frameworks become more mature.
This article does not contain investment advice or recommendations.
Every investment and trading move involves risk, and readers should conduct their own research when making a decision.
This article is for general information purposes and is not intended to be and should not be taken as legal or investment advice.
The views, thoughts, and opinions expressed here are the author’s alone and do not necessarily reflect or represent the views and opinions of Cointelegraph.
Cointelegraph does not endorse the content of this article nor any product mentioned herein.
Readers should do their own research before taking any action related to any product or company mentioned and carry full responsibility for their decisions.