Ethereum L2スケーリングソリューションの評価:比較フレームワーク
様々な要素を考慮してEthereum Layer-2スケーリングソリューションを評価するためのガイドを提供します。ZK Rollup、optimistic Rollup、サイドチェーン、ペイメントチャンネル、Plasma、Validium:どれがあなたにとって正しいのか?
Ethereum Layer-2スケーリングエコシステムは、スケーリングソリューションの数が増えたことで、構築者にとって扱いにくいものになってきました。この問題は、信頼性や安全性、経済性、そして使いやすさをコミットする全てのソリューションの背後にある、避けられないニュアンスの欠如にあります。構築者の皆様には、ここでの論説を事実として受け止めず、包括的なデューデリジェンスを行い、各ソリューションが行うトレードオフを掘り下げていくことをお勧めします。
この作業を容易にするために、私たちは、構築者が様々なスケーリングソリューションを評価し、ニーズに適したものを採用する為の質問をまとめました。質問は、以下のカテゴリーに分類されています:
- セキュリティ
- パフォーマンス/経済性
- ユーザビリティ
- その他
これらの質問に加えて比較表を作成しました。比較表の作成にあたっては、中立性と公平性を保つように努めましたが、様々なアプローチのニュアンスを表の形で簡潔に表現するのは難しい作業でした。そのため、質問数を増やし文脈を加えることで、それを補っています。
この表のレビューと修正をしてくださったGeorgios Konstantopoulos氏(独立系L2研究者)、John Adler氏(Fuel)、Ben Jones氏(Optimism)、JD Kanani氏(Matic)、Patrick McCorry氏(any.sender)、Justin Drake氏(Ethereum Foundation)、Brecht Devos氏(Loopring)に感謝します。
セキュリティ
活性化の仮定
プロトコルはユーザの活性度を必要とするでしょうか?ユーザはスケーリングソリューションの全てのオンチェーン・アクティビティを自分で、または信頼できる代表者を介して監視する必要があるのでしょうか?
場合によっては、それを、サービス提供するユーザーとインセンティブが一致する信頼された当事者に委ねることができます。しかし、そのような信頼された代表者が誤った行動をとった場合に失う金額は、信頼された代表者になるために投入した対応する「保証金」(セキュリティボンド)によって常に制限されている事に注意する必要があります。保証金以上の価値を盗む機会があり得るかどうか、また、そのリスクに対してどの程度安心が得られるかを考慮する必要があります。
大量退出の想定
スケーリングソリューションのセキュリティの前提には、全てのユーザーが短時間でL1への出口トランザクション(引き出し)を成功させる能力が考慮されているかどうか?
L2での大量退出は、特定のL2ソリューションの全てのユーザが、セキュリティ上の理由から短期間でL2から撤退する必要がある場合に発生します。ユーザーがL2に留まることを選択した場合、オペレーターが何らかの操作を行い、L2に残っている資金を流出させる可能性があります。例えば、Maticでは、全ユーザーが撤退するために開いている期間は1週間です。
これは、ネットワークの混雑やDoS攻撃のために非常に問題となる可能性があります。例えば、大量の引き出しが可能な期間に、Ethereumのネットワークが非常に混雑し、トランザクションの処理が間に合わなくなる可能性があります。混雑していない場合でも、攻撃者はガス価格を操作したり、ノードに影響を与える事で、トランザクションが時間内に処理されないようにする事も可能です。これは、検討に値する攻撃ベクトルです。
保管
L2バリデーターの定足数は、無期限にユーザーが資金にアクセスできないようにできるでしょうか?ユーザの資金を差し押さえることができるでしょうか?
これは、プロジェクトに耐検閲性を与える場合に特に重要です。
ホットウォレットの鍵の悪用に対する脆弱性
L2ソリューションにおける資金の安全性は、システムの運用を維持するためにオンラインマシン上に保持しなければならないキー(ホットウォレットキー)をオペレータが確保できるかどうかにかかっているか?
暗号経済的な攻撃に対する脆弱性
暗号経済学的な攻撃に対するソリューションの脆弱性、およびゲーム理論的な仮定に依存しているか?
暗号経済的なインセンティブを使った攻撃にはL2バリデーターの質やマイナーへの賄賂、ダークDAOの作成など様々な種類があります。これらの攻撃ベクトルは急速に進化しており、ゲーム理論的な仮定に依存したシステムでは証明的に排除する事が難しくなっています。
また、技術的には盗みではありませんが、実質的には同等のシナリオも含まれています。例えば、Validiumの二重支出攻撃は攻撃者が他人の資金を盗む事はできませんが、自分の資金を二重に支出する事はできるというものです。
暗号化プリミティブ
そのソリューションは標準的な暗号技術に依存しているか、それともSNARKsやSTARKsのような新しい暗号研究を利用しているか?
一般的に暗号技術は、世に出てからの期間が長ければ長いほど、誰かに破られる可能性が高くなります。使用されているプリミティブが高度で最新のものであればあるほど、それを実装・監査するチームにはより高い能力と精査が求められます。
性能/経済性
最大スループット
Ethereum 1.0の境界内でのソリューションの最大可能なスループットは何でしょうか?イーサリアム2.0ではどうでしょうか?
ソリューションのスループットは現在満足できるものかもしれませんが、将来を見据えて、プロジェクトの追加スループットのニーズを予測し、採用しようとしているソリューションが将来的に保証されているかどうかを検討することは意味があります。
資本効率
スケーリング・ソリューションの資本効率は?動作させるために相当量の資本を必要とするのか?
資本効率の低いシステムは、他のソリューションに比べてユーザーにとってコストが高くなり、即時の流動性が得られないためにオペレーションが中断する可能性があります。例えば、ペイメントチャネルは比較的資本効率が悪く、チャネルオペレーターは、そのチャネルがキャパシティに達しないように、チャネルの平均的なボリュームの倍数をロックアップする必要があります。
新規アカウント開設のコスト
新規ユーザーがL2でアカウントを使い始めるために、L1のオンチェーントランザクションが必要か?
比較表では、各システムのベストケースのシナリオを示していますが、個々の実装ではこれよりも効率が悪くなる可能性があります。たとえば、zkSyncとLoopringはzkRollupsを使用していますが、Loopringはユーザーが支払いを受け取る前にアカウントを開くためにL1トランザクションを行う必要がありますが、zkSyncはこれを行いません。
ユーザビリティ
引き出しの時間
L1への出金にはどのくらいの時間がかかるか?
過去にいくつかのソリューションで引き出しに1週間以上かかることがありました。この待ち時間を軽減するために、リスクプレミアムと引き換えにユーザーに流動性を提供するリクイディティプロバイダーは存在するでしょうか?そのようなリクイディティプロバイダーが存在する場合、その信頼性とコストはどの程度でしょうか?迅速な引き出しに伴う代償を抱えながらそのソリューションを利用することの真の対価は何でしょうか?
主観的ファイナリティまでの時間
プロトコルのセキュリティの前提条件の下で、トランザクションがL1で元に戻せなくなる状態にどのくらい早く到達できるか?
主観的ファイナリティとは、L1スマートコントラクトがまだそれに依存できない場合でも、外部の観察者が取引の不可逆性を説得できることを意味します。例えば、Optimistic Rollupsでは、L1ファイナリティに到達するためにはEthereum上で1回の確認が必要ですが、完全なファイナリティには1週間程度かかります。
主観的ファイナリティのクライアントサイドでの検証可能性
主観的ファイナリティまでの時間は、ライトクライアント(ブラウザ/モバイルウォレット)で検証できるのか?
上記の楽観的なロールアップの例を続けると、EthereumではL1ファイナリティに到達するためには1回の確認が必要ですが、自分の取引が最終的なものであることを確認するためには、ロールアップの状態全体をダウンロードして、Optimistic Rollupブロックが無効でないことを確認するために、先週までの全てのトランザクションを実行する必要があります。
インスタント・トランザクション確認
トランザクションの確認は完全に実行する事ができるか?
“Instant apparent finality “は、大半のL2プロトコルの上に実装する事が可能です。つまり、UX上では取引が即座に確認されたように見えます。決済チャンネル(ステートチャンネル)のみがこれらの確認に完全なセキュリティ保証を提供していますが、他のプロトコルでは、これらの取引はL1で確認される前に一定期間戻すことができます。しかし、元に戻すことは自由ではなく、そのソリューションの検証者は、元に戻すことに成功したかどうかに関わらず、セキュリティボンド(つまり預金)を失うことになります。
この機能は、スケーリングソリューションの具体的な実装の詳細に依存するものとなります。
その他の側面
スマートコントラクト
L2は任意にプログラム可能なスマートコントラクトをサポートしているか?あるいは実装できる限られたサブセットのみをサポートしているか?
EVM-bytecodeの移植性
既存のEthereumコントラクトのEVM-bytecodeを変更なく移植できるか?
プライバシーのネイティブサポート
プロトコルは、プライバシーのネイティブサポートを提供しているか?
様々なプラットフォームにおける匿名解除に関する複数の研究に記載されているように、デフォルトで低コストのシールドされたトランザクションがなければ、プライバシー保護は非常に効果的ではありません。
P.S. zkRollupsについての余談
zkRollupsを使用して、メインネット上に存在する2つのスケーリングソリューションがあります。LoopringとzkSyncです。
この2つの大きな違いは、基礎となる証明システムの選択です。LoopringはGroth16 SNARKを使用していますが、これはアプリケーションに特化した信頼できるセットアップを持っており、一方zkSyncは普遍的な信頼できるセットアップを持つ新しい証明システムであるPLONKを使用しています。
この証明システムの設計空間における最近のブレークスルーを考慮すると、私たちはPLONKがzkRollupsの採用を促進する大きな要因になると考えており、この点については次回の投稿で詳しく説明していきます。
