Optimistic Bridge:クロスチェーンコミュニケーションの新たなパラダイム
数ヶ月前に、ConnextはNomadとの提携を発表しました。Nomadは、チェーン間のデータリレイヤーに不正証明(fraud proofs: Optimistic Rollupsに類似)を使用するクロスチェーン通信プロトコルです。
この記事では、Optimistic Bridgeがどのように機能するか、またそのトレードオフは何か、なぜそれを私たちが良いと思うのかについて掘り下げていきます。
復習:相互運用性のトリレンマ
相互運用性のトリレンマとは、ブリッジングにまつわるトレードオフの関係性を説明するモデルで、現存するクロスチェーン通信プロトコルの種類を分類したものです。
昨年、トリレンマに関する記事を作成した時に、ブリッジを検証の仕方で3種類に分類しました:
いずれの場合も、検証メカニズムによって、3 つの特性のうち少なくとも 1 つがトレードオフと なりました:
- 信頼性の最小化:ベースチェーンが持つ安全性を超える経済的な安全性の仮定を追加しない
- 一般化:チェーン間で任意のデータの受け渡しをサポートする
- 拡張性:最小限のカスタム作業で、多くの異種チェーンに展開できる
Optimistic Verification
ローカル、外部、ネイティブの各検証によるブリッジとは異なり、Optimistic Bridgeはレイテンシーという新たなトレードオフを模索します。
ここでは仕組みを簡単に説明します:
- 他のブリッジと同様、データはユーザーまたはdAppによってコントラクト関数にオリジンチェーンにポストします。
- updaterと呼ばれるエージェントは、1.のデータを含むmerkle rootに署名し、オリジンチェーンにポストします。アップデータは、Optimisticロールアップシーケンサーと同様に、不正があった場合にスラッシュされる資金を担保します。
- この時点で、任意のリレイヤーシステム(Gelato、Keep3r、Biconomyなど)はオリジンチェーン上でこのルートを読み込み、1つまたは複数のデスティネーションチェーンにポストすることが可能となります。
- 宛先となるチェーンにデータを投稿すると、30分の不正証明ウィンドウが始まります。この間、チェーンを監視者(ウォッチャー)は、オリジンのチェーンで不正証明を行い、デスティネーションとの通信路を切断することができます。この場合、アップデーターのボンドは切り落とされる。つまり、アップデーターの資金は剥奪されて、異議を唱えたウォッチャーに渡されます。
- 30分以内に不正証明が行われなかった場合、デスティネーションチェーンに渡されたデータは確定し、アプリケーションによって消費されると考えられます。通常、これはサービスプロバイダ(プロセッサ)がブリッジのデータのマークル証明を提出し、そのデータを利用してデスティネーションチェーンのコントラクト関数を呼び出すことで起こります。
渡されるデータは完全に任意なので、Optimistic Bridgeは最小限の信頼性であらゆるタイプのクロスチェーンアプリケーション/ユースケースを構築することができます。
いくつかの例を挙げます:
- ロック&ミントまたはバーン&ミント方式のトークンブリッジ
- チェーン間のDEX流動性を単一のシームレスなTXで接続
- クロスチェーンボールトのザッピングとボールトの戦略管理
- チェーン間のグローバル定数(例:PCV)の複製/同期などの重要なプロトコル操作
- オラクルを導入することなくUniV3 TWAPを全チェーンに導入
- チェーンにとらわれないveTokenガバナンス
- メタバース間の相互運用性
経済的セキュリティモデル
Optimisticロールアップやステートチャネルネットワークと同様に、 Optimistic Bridgeデザインは、チェーンを監視し不正を報告する監視者のセットに依存しています。これは、ロールアップがサイドチェーンと根本的に異なるセキュリティモデルを持つのと同じように、外部で検証されたブリッジとは根本的に異なるセキュリティモデルです。
外部認証ブリッジの暗号経済学
外部認証ブリッジ(マルチシグ、バリデータ、PoS、MPCなど)は、正直多数決の仮定を利用します。暗号経済学的に言えば次のことを意味します。
n人の検証者がいる外部検証ブリッジを攻撃するコストは、m人の検証者を破損またはハッキングするコストと等しくなる。
ブリッジの経済的安全性がチェーンを51%攻撃するコストを超えない限り、必然的に外部検証ブリッジが信頼の仮定を追加することを意味します。
外部認証ブリッジの完全な経済的安全性は、システムが (a) 確実に不正を証明し、(b) ハッキングで失われる可能性のある全ての価値をユーザーに払い戻せる場合に達成され ます。言い換えれば、ユーザーおよび/またはLPは、スラッシュ可能なステーク(例えばThorchain上のRUNE)の価値がシステム全体のTVL以上である場合にのみ保険に加入することができます。ここで詐欺を決定的に証明するには、信頼できるクロスチェーン通信メカニズムが必要であり、問題をやや再帰的にしています。
Optimistic Bridgesの暗号経済学
一方、監視者+不正の証明パターンでは、1人の正直な検証者を仮定しています。つまりOptimistic Bridgeでは、システム内のn人のうち1人が更新を正しく検証すればよいことになります。
n人の検証者を持つOptimistic Bridgeを攻撃するコストは、n人の検証者を破損またはハッキングするコストと等しくなります。
Optimisticシステム(ロールアップ、チャネル、ブリッジなど)のウォッチャーがパーミッションレスである場合(そして基礎となるチェーンがライブであると仮定)、システムを攻撃する経済コストは無限大となります。これは、不正を証明できるウォッチャーが少なくとも1人、世界で匿名で活動していないことを確認する方法がないためです。
このことは実に興味深い帰結をもたらすもので、Optimistic Bridgeでは、詐欺を試みるEVは常に負です。なぜなら、基盤となるチェーンが安全である限り、いくらお金を積んでも攻撃が成功することは保証されないからです。そのため、アップデーターによって結合される必要のあるスラッシュ可能なステークの量は、不正行為の試みを防ぐのに十分な量である必要があります。このため、例としてORUシーケンサは、ロールアップの総TVLの一部しかボンドする必要がありません。
Optimistic Bridgeが外部検証ブリッジに対して行う最も重要な改善は、おそらく、活性と安全性のトレードオフです。言い換えれば、基礎となるチェーン自体が安全である限り、理論上の最悪のケースシナリオは、もはや資金の損失ではなく、システムの停止となるなのです。
アップデーターDoS
ロールアップシーケンサーと同様、中央集権的なアップデーターがアップデートに署名しなくなった場合、悪意を持って、あるいは誤ってシステムを停止させることが可能となります。
しかし、Nomadのアップデーターを分散させるのは簡単な作業です。例として(1つのアップデータではなく)多くのボンドアップデータを持ち、ラウンドロビン方式でアップデートに署名し、アップデーターが「順番」を逃した場合はフェイルオーバーとスラッシングを行うというものがあります。
アップデーターの不正
Optimistic Bridgeのチェーン間でリレーされるすべてのデータは、アップデーターによって署名されなければなりません。つまり、システム内の不正はアップデーターから発生することになります。
Optimistic Bridgeでは、不正は常にオリジンチェーン上で決定論的に証明可能です(ORUの不正がL1上で常に証明可能であるのと同様)。これを行うには、ウォッチャーはオリジンチェーンのコントラクトに無効なアップデートの証明を提出するだけでよく、その結果、アップデーターがスラッシュされることになります。そして、ウォッチャーは署名されたメッセージを送信し、30分以内に通信チャネルを「切断」します(不正なデータが確定する前に)。
実は、宛先チェーンで不正を証明する必要は全くありません。ホームチェーンでそれを行うことは、アップデーターにペナルティを与え、不正を抑制し、通信チャネルを切断することで潜在的な損害を軽減します。
ウォッチャーによるDoS
Optimistic Bridgeでは、どんなウォッチャーでも通信チャネルを切断することができるので、スパムのような切断によって、ウォッチャーが与えられた通信チャネルに悪影響を与えたり、永久に停止させたりすることが可能です。また、このリスクは通信チャネルごとに区分けされています(あるチャネルを切断してもシステム全体がダウンすることはありません)。
この種の攻撃ベクトルは、ウォッチャーに適切な種類のインセンティブを導入することで、より長期的に軽減することができます。ウォッチャーは正しく異議を唱えることで、アップデーターから切り捨てられたボンドを獲得できるので、ウォッチャーが不正証明を開始するためのベースライン税を導入することで、ウォッチャーグリーフを緩和することが可能です。この税は、(a)スパムを抑制するのに十分なほど高く、かつ(b)ウォッチャーが有効な不正の証明を行う強い動機となるようなものである必要があります。また、もう一つの簡単な解決策は、ウォッチャーが生成した切断署名をホームチェーンに投稿し、不正証明ができない場合はウォッチャーをスラッシュするというものです。
現状では、Nomadはウォッチャーセットに許可を与えることでこの問題に対処しています。これにより、不正を行う可能性のあるウォッチャーが固定/既知のセットとなるため、システムの経済的安全性が変化します(したがって攻撃のコストが制限されます)。しかし、信頼最小化には簡単で信頼性の高い方法があるため、これは許容できる一時的な解決策だと考えています。このアプローチはまた、他の不正防止システムがどのように展開されてきたかを反映しています:
- ステートチャンルネットワークは歴史的に、適切なインセンティブが構築されるまで、同じスタイルのグリーフィングベクトルを軽減するためにパーミッション付きのウォッチャーセットで開始されてきました
- Optimisticロールアップは現在、不正証明がまだアクティブ化されていない、同じタイプのブートストラップフェーズにあります。これはロールアップの信頼性が高いことを意味しますが、より広いコミュニティは、これは実装がより成熟するまでの一時的なテストフェーズに過ぎないことを意味します
上記で議論した仮定は、基盤となるチェーン自体がウォッチャーからの取引を受け入れることができるというものです。この仮定は、不正証明に基づくシステムでも同じで、典型的な構造では、ウォッチャーがチェーンへの取引を完了しなければならないいくつかの証明ウィンドウを持っています。
Nomadは、確率的最終連鎖を攻撃するコストに関する既存の研究に基づいて、30分の待ち時間をパラメータ化しています。このパラメトリクスの背後にある研究/論理については、今後のブログ記事で紹介していきたいと思います。
他のアプローチとの比較
どのような分散システムにもトレードオフがあり、ブリッジングにフリーランチはありません。Optimisticシステムのトレードオフは、転送に30分のレイテンシーが加わることです。しかし、これはConnextを重ねるモジュラーデザインを使用することで軽減できると考えています。
M of N Bridges
上記で示したように、Optimistic Bridgeは外部検証(マルチシグ、スレッショルド、MPC、バリデータセットベース)ブリッジと比較して、セキュリティと信頼最小化において大きなステップアップを提供します。Optimistic Bridgeの1 of Nセキュリティモデルは、共謀や漏洩した鍵に関連する攻撃ベクトルを軽減することができます。
例えば、6 億 2500 万ドルのRonin Bridgeのハッキングは、RoninがOptimistic Bridgeを使用していれば、たとえすべての鍵が漏洩していたとしても不可能であったと考えられます。
LayerZeroも同様で、2つの重複するm of nセットを利用し、機能的には単に大きなm of nセットとして機能します(両セットの参加者全員の身元が判明していないと、参加者セットのサイズと共謀ベクトルを推論するのは難しくなります)。
アトミックスワップ&高速流動性
ローカル検証型システム(Connextの現在のnxtpの実装)は、Optimistic Bridgeのように信頼性が高く展開しやすい一方で、チェーン間で任意のデータを渡すことをサポートすることができません。
この意味で、資金移動と単純なコントラクトの締結を超えるものについては、Optimistic Bridgeと比較してパフォーマンスが劣ることになります。とはいえ、Optimistic Bridgeのトレードオフであるレイテンシーを緩和するメカニズムとして、今後も高い有用性を維持する可能性があります。
ヘッダーリレー
IBCのライトクライアントヘッダーリレーシステムは、チェーンAのVM内でチェーンBのコンセンサスを検証することで機能します。ヘッダーリレーでは、各チェーンのバリデータセットが互いに検証し合うため、理論上クラス最高の信頼性を仮定することが可能です。また、Optimistic Bridgeのようなレイテンシーのトレードオフに縛られることもありません。
ヘッダーリレーにもいくつかの課題があります:
- 新しいチェーンやコンセンサスメカニズムごとに、カスタムライトクライアントを構築する必要がある
- Ethereum PoWの場合、メモリ要件が高いため、コンセンサス検証のコストは法外なものとなる
- ヘッダーリレーは、ロールバックリスクのためにOptimisticロールアップでは機能しない可能性がある
ZK Bridge
完全なZK Bridgeはまだ存在していませんが、ゼロ知識証明に基づくブリッジを構築することは可能であり、ヘッダーリレーと同じ戦略を用いてチェーン間のデータ検証を行うことができます。
ヘッダーリレーと同様、ZK Bridgeは信頼性を考慮し、レイテンシーが低いという特徴があります。また、コンセンサスの証明がもはやオンチェーンで行われる必要がないため、通常のヘッダーリレーシステムよりもはるかに安価になります。
一方で、いくつかの新しいトレードオフも発生します:
- ライトクライアントヘッダリレーと同様、各チェーンのコンセンサスを検証するためにカスタム戦略を展開する必要があり、ORUでは全く機能しない可能性もあります。ZK Bridgeの場合、すべてのチェーンが同じ暗号プリミティブを実装しているわけではないことを考えると、これはさらに困難であると想定されます
- ゼロ知識で全てコンセンサスモデルを証明することは、実際には不可能です。このような場合、ある種のファイナリティガジェットが必要となり、新たな信頼性の仮定が追加されます
他にも、証明者のコストやデータの可用性に関する欠点があると思われますが、これらはまだ十分に研究されていません。
ブリッジの未来は明るい
これまで、信頼できる第三者検証機関を介さないチェーン間で任意のデータを中継する、計算コストの低いメカニズムは存在しませんでした。
Optimistic Bridgeは、既存のマルチシグ型のブリッジのシンプルさと導入のしやすさを維持しながら、非常に高いレベルのセキュリティと信頼最小化を実現します。
このような理由から、私たちはNomadに非常に期待を寄せており、クロスチェーンおよびクロスロールアップ通信の大きな飛躍を意味するものだと考えています。
Nomadは、ヘッダ検証を行わないクロスチェーン通信を根本的に安価に実現する新しい設計です。すべてのスマートコントラクトチェーンやロールアップに高速で安価な通信を提供するクロスチェーン通信ネットワークのベースレイヤーを形成します。
