ゼロ知識証明技術がモジュラー・アーキテクチャーに完全に統合されるとどうなるか？

Author: Hannes Huitula Source: equilibrium labs research Translated by Good Oba, Golden Finance

ブロックチェーンとは何か、そして現在のコンピューティング・パラダイムをどのように拡張するのか？

ブロックチェーン（名詞）：世界中の参加者が、第三者の支援を必要とせずに、共通に合意されたルールに沿って共同作業を行うことを可能にする調整マシン。

コンピューターは、データの保存、計算、そして人間同士や人間とのコミュニケーションという3つのことを行うように設計されている。ブロックチェーンは、これら3つのこと（ストレージ、計算、通信）が合意された方法で行われることを追加的に保証するという、4つ目の次元を追加します。これらの保証は、それを促進する信頼できる第三者を必要とすることなく、見知らぬ人同士のコラボレーションを可能にする（分散化）。

これらの追加的な保証は、経済的 (信頼ゲーム理論とインセンティブ/ディスインセンティブ) か、暗号的&暗号-経済の両方の組み合わせを利用しています。これは、主に評判に基づくシステムの現状とは対照的です。

Web3はしばしば「Read, Write, Own」と表現されますが、私たちはインターネットの第3の反復のためのより良いコンセプトは「Read, Write, Own」であると考えています。検証である。なぜなら、パブリック・ブロックチェーンの主な利点は、保証された計算と、その保証が守られているかどうかの簡単な検証だからです。売買や管理が可能なデジタル成果物を構築すれば、所有権は保証された計算のサブセットになります。しかし、ブロックチェーンの多くのユースケースは、所有権に直接関係なく、保証された計算から利益を得ることができる。例えば、完全なオンチェーンゲームであなたのライフ値が100分の77だった場合、あなたはそのライフ値を所有しているのでしょうか、それとも単に相互に合意されたルールに従ってチェーン上で強制されているのでしょうか？私たちは後者だと主張しますが、クリス・ディクソンは同意しないかもしれません。

Web3=読み取り、書き込み、検証

ZKとモジュール性 - 成長を加速させる2つのトレンド

ZKとモジュール性。トレンド

ブロックチェーンは多くのエキサイティングなことを提供しますが、分散型モデルはP2Pメッセージングやコンセンサスなどのアドオンによってオーバーヘッドや非効率性も追加します。さらに、ほとんどのブロックチェーンは依然として再実行によって正しい状態遷移を検証している。これは、ネットワーク上のすべてのノードが、提案された状態遷移の正しさを検証するためにトランザクションを再実行しなければならないことを意味する。これは無駄であり、1つのエンティティのみが実行する集中型モデルとは対照的である。分散型システムには常にオーバーヘッドとレプリケーションが含まれますが、効率性という点では徐々に集中型ベンチマークに近づくことを目標とすべきです。

基盤となるインフラは過去10年間で劇的に改善されましたが、ブロックチェーンがインターネットレベルのスケールを扱えるようになるまでには、まだやるべきことがたくさんあります。私たちは、2つの主要な軸（表現力と硬さ）に沿ってトレードオフがあると見ており、ZKがスケーリングする間、モジュール性はトレードオフのフロンティアに沿ってより速い実験ができると考えています。何を保証できるか？スケーラビリティ (コスト、レイテンシ、スループットなど)、プライバシー (または情報フロー管理)、プログラマビリティ、コンポーザビリティを含みます。

モジュール性とは、システムのコンポーネントを分離および再結合できる度合いを指します。 より迅速なフィードバック・ループと参入障壁の低さ、そして必要資本（経済的および人的）の少なさによって、モジュール性はより迅速な実験と専門化を可能にする。モジュール化と統合の問題は二項対立ではなく、どの部分がデカップリングに適し、どの部分がそうでないかを見極めるための一連の実験なのだ。

一方、ゼロ知識証明（ZKP）は、一方の当事者（証明者）が、もう一方の当事者（検証者）に対して、追加情報を明らかにすることなく、自分たちが何かを知っていることを証明することを可能にします。を証明することができます。これにより、再実行を避けることでスケーラビリティと効率が向上し（すべてを実行する検証するというモデルから、一度実行し、すべてを検証するというモデルに移行する）、（制限付きで）プライバシーを可能にすることで表現力が向上する。より弱い暗号経済的な保証をより強い暗号経済的な保証に置き換えることで、保証の硬度が向上し、トレードオフの境界が外側に押し出されることでそれが現れます（上の図を参照）。

モジュール化と「あらゆるもののZK化」は、どちらも加速し続けるトレンドだと考えています。この2つは、別々にこの分野を探求する上でも興味深い視点を提供してくれますが、私たちは特にこの2つの交差点に興味を持っています。

1. モジュール化スタックのどの部分がすでにZKPに組み込まれていて、どの部分がまだ探求されていないのか？

2. ZKPによって軽減できる問題は何でしょうか？

しかし、これらの疑問について議論する前に、2024年のモジュラー・スタックについて最新の情報を得る必要があります。

2024年のモジュラー・スタック

4つのコンポーネント（実行、データ公開、コンセンサス、決済）を持つモジュラー・スタックの一般的なイメージは、単純なメンタルモデルとして有用です。は有用ですが、モジュール性空間がどれほど進化したかを考えると、もはや適切な表現ではないと考えます。さらなる分割によって、以前はより大きな部分の一部と考えられていた新しいコンポーネントが生まれ、同時に新しい依存関係や、異なるコンポーネント間の安全な相互運用性の必要性も生じています（これについては後で詳しく説明します）。この分野の開発ペースを考えると、スタックのさまざまなレベルでの革新的な技術すべてに遅れずについていくのは困難です。

ウェブ3スタックを探求する初期の試みには、Kyle Samani (Multicoin)のものがあり、当初は2018年にリリースされ、2019年に更新された。これは、分散型のラストマイルインターネットアクセス（Heliumなど）からエンドユーザーの鍵管理まですべてをカバーしている。その背後にある原理は再利用できるが、証明や検証など、完全に欠けている部分もある。

このようなことを念頭に置いて、既存の4つの部分からなるモジュラー・スタックを拡張した、2024年モジュラー・スタックの更新された表現を作成しようとしました。つまり、P2Pネットワーキングのようなものは、別々のコンポーネントに分割されるのではなく、コンセンサスに含まれます。

モジュール式スタックのZK

モジュール式スタックの最新のビューができました。モジュール式スタックの最新のビューが得られたので、ZKがスタックのどの部分に浸透しているのか、ZKを導入することで解決できる未解決の問題（再実行の回避やプライバシー機能）は何かという、本当の問題に目を向け始めることができます。各コンポーネントに個別に飛び込む前に、ここで私たちの発見を要約します。

1 - ユーザー操作の抽象化

現在のブロックチェーンユーザーは、複数のチェーン、ウォレット、ウォレットをナビゲートする必要があります。現在のブロックチェーンのユーザーは、複数のチェーン、ウォレット、インターフェイスをナビゲートする必要があります。ユーザー操作による抽象化とは、このような複雑さを抽象化し、ユーザーが1つのインターフェース（特定のアプリケーションやウォレットなど）のみとやり取りできるようにする試みの総称であり、複雑さはすべてバックエンドで発生する。基礎となる抽象化の例には、以下のようなものがあります：

• アカウント抽象化（AA）は、スマートコントラクトが各操作にユーザーの署名を必要とせずにトランザクションを実行することを可能にします（「プログラム可能な暗号化アカウント」）。アカウント」）。誰が署名できるか（鍵の管理）、何に署名するか（トランザクションの負荷）、どのように署名するか（署名アルゴリズム）、いつ署名するか（トランザクションの承認条件）を定義するために使用できる。これらの機能を組み合わせることで、ソーシャルログインを使ってdAppsとやり取りする、2FA、アカウント回復、自動化（トランザクションの自動署名）などの機能が可能になる。通常、議論はイーサ（ERC-4337は2023年春に通過）を中心に展開されますが、他の多くのチェーンはすでにネイティブアカウント抽象化を組み込んでいます（Aptos、Sui、Near、ICP、Starknet、zkSync）。

• チェーンの抽象化により、ユーザーは1つのアカウント(1つのインターフェイス、複数のチェーン)とやり取りしながら、異なるチェーン上のトランザクションに署名することができます。Near、ICP、dWalletを含むいくつかのチームがこれに取り組んでいる。これらのソリューションはMPCとチェーン署名を活用しており、別のネットワークの秘密鍵がより小さな部分に分割され、ソースチェーン上のクロスチェーン取引に署名する検証者間で共有される。ユーザーが別のチェーンとやり取りしたい場合、閾値暗号化を満たすために十分な数の検証者が取引に署名する必要がある。これにより、秘密鍵が完全に共有されることがないため、セキュリティが保たれる。しかし、検証者が結託するリスクがあるため、基礎となるチェーンの暗号経済的なセキュリティと検証者の分散化が非常に重要であることに変わりはない。

• 高いレベルで、インテントはユーザーのニーズをブロックチェーンが実行できるアクションに結びつけることができます。これにはインテント・ソルバー、つまりユーザーのインテントに最適な解決策を見つけることを任務とする専門化されたオフチェーン・エージェントが必要です。DEXアグリゲーター("best price")やブリッジアグリゲーター("cheapest/fastest bridge")など、特殊化されたインテントを使用するアプリケーションはすでにあります。一般的なインテント決済ネットワーク（Anoma、Essential、Suave）は、ユーザーがより複雑なインテントを表現しやすくし、開発者がインテント中心のアプリケーションをより簡単に構築できるようにすることを目的としている。しかし、プロセスをどのように形式化するか、インテント中心の言語とはどのようなものか、最適解が常に存在し、見つけることができるかなど、多くの未解決の問題が残っています。

既存のZK統合

• 次のようになります。AA x ZKを使った認証：一例として、SuiのzkLoginがあります。これは、ユーザーがメールアドレスなどの使い慣れた認証情報でログインできるようにするものです。これは、第三者がSuiのアドレスと対応するOAuth識別子をリンクするのを防ぐためにZKPを使用しています。

• AAウォレットのより効率的な署名検証：AA契約のトランザクションを検証することは、従来のアカウント（EOA）によって開始されたトランザクションよりもはるかにコストがかかる可能性があります。Orbiterは、トランザクションの署名が正しいことを検証し、AAアカウントを維持するためにZKPを活用するサービスをバンドルすることで、これに対処しようとしています。オービターは、ZKPを利用してトランザクション署名の正しさを検証し、AAアカウントのランダム値とガス残高を（Merkle世界状態木を経由して）維持するサービスをバンドルすることで、この問題を解決しようとしている。これは、証明集約を活用し、オンチェーン検証のコストをすべてのユーザーに均等に分散することで、大幅なコスト削減につながります。

ZKPが解決できるオープンな問題

• Proof of Best Execution or Intent Realisation：インテントとAAはユーザーから複雑さを抽象化することができますが、中央集権的に作用することもあり、最適な実行パスを見つけるために専用の参加者（ソルバー）に頼る必要があります。ZKPは、ソルバーの善意を単に信頼するのではなく、ユーザーの最適なパスがソルバーによってサンプリングされたパスから選択されたことを証明するために使用できます。

• インテント決済のプライバシー：Taigaのようなプロトコルは、ユーザーのプライバシーを保護するために、完全にシールドされたインテント決済を可能にすることを目指しています。より広範なイニシアチブの一部です。ZKP（Halo2）を使用して、状態遷移に関する機密情報（アプリの種類、関係者など）を隠します。

• AAAウォレットのパスワード回復：この提案の背景にあるアイデアは、ユーザーが秘密鍵を紛失した場合にウォレットを回復できるようにすることです。コントラクトウォレットにハッシュ（パスワード、乱数）を保存することで、ユーザはパスワードの助けを借りてZKPを生成し、それが自分のアカウントであることを確認し、秘密鍵の変更を要求することができる。確認期間（3日以上）を設けることで、不正アクセスを防ぐことができる。

2-順序付け

取引はブロックに追加される前に順序付けされる必要があり、これは多くの方法で行うことができます：提案者の収益性でソート（最初に支払う取引が最も高い）、提出順（最初に支払う。)、提出順(first-in-first-out)、プライベートメモリプールからのトランザクションを優先する、など。

もう1つの問題は、誰がトランザクションを注文できるかということです。モジュールの世界では、複数の異なる当事者がこの操作を実行できます。これには、集約発注者（中央集権型または分散型）、L1発注者（集約に基づく）、共有発注ネットワーク（複数の集約によって使用される発注者の分散型ネットワーク）が含まれます。これらはすべて、信頼性の前提やスケーラビリティが異なる。実際には、トランザクションの実際のソートとブロックへのバンドルは、専門化された参加者（ブロックビルダー）によってプロトコルの外部で行うこともできる。

既存のZK統合

• メモリの検証プールの正しい暗号化：Radiusは、Practical Verifiable Delay Encryption ( PVDE ) を使用して暗号化されたメモリプールを持つ共有ソートネットワークです。ユーザーはZKPを生成し、このZKPはタイムロックパズルを解くことで有効なトランザクション、すなわち有効な署名と乱数を含むトランザクションが正しく復号化され、送信者がそのトランザクションの支払いに十分な残高を持っていることを証明するために使用される。

ZKPが解決できるオープンな問題

• Verifiable Sequencing Rules (VSR)：提案者/シーケンサーに実行順序に関する一連のルールを守らせ、さらにそのルールの順守を保証する。検証はZKPまたは不正の証明によって行うことができ、後者は提案者/発注者が不正を行った場合にカットされる、十分に大きな経済的保証を必要とする。

3-実行（書き込みのスケーリング）

実行レイヤーには状態更新のロジックが含まれ、スマートコントラクトが実行される場所です。計算の出力を返すことに加えて、zkVMは状態遷移が正しく完了したことを証明することもできます。これにより、他のネットワーク参加者は、トランザクションを再実行することなく、証明を検証するだけで正しい実行を確認することができます。

より高速で効率的な検証に加えて、証明可能な実行のもう1つの利点は、オフチェーン計算の典型的なガス問題や限られたオンチェーンリソースに遭遇しないため、より複雑な計算が可能になることです。これによって、より計算集約的で、ブロックチェーン上で実行でき、保証された計算を活用できる、まったく新しいアプリケーションへの扉が開かれます。

既存のZK統合

• zkEVMrollups：EtherとEVM実行環境の互換性のために最適化されたzkVMの特別なタイプです。2023年には、Polygon zkEVM、zkSync Era、Scroll、Lineaなど、複数のzkEVMが発表されました。 Polygonは最近、1ブロックあたり0.20～0.50ドルでメインネットを証明できるタイプ1のzkEVMプローバをリリースしました！RiscZeroもEtherブロックを証明するソリューションを持っていますが、利用可能なベンチマークの数が限られているため、コストは高くなります。  

• 代替案 zkVM: プロトコルの中には、イーサとの互換性を最大化しようとするのではなく、パフォーマンス/プロビジョナビリティ（Starknet、Zorp）または開発者の利便性のために最適化するという代替案を取っているものがあります。後者の例としては、zkWASMプロトコル（Fluent、Delphinus Labs）やzkMOVE（M2、zkmove）があります。

• プライバシーに焦点を当てたzkVM: この場合、ZKPは再実行の回避とプライバシーの有効化という2つの目的のために使用されます。ZKP だけで達成できるプライバシーは限られていますが (個々のプライベートな状態)、今度のプロトコルは、既存のソリューションに多くの表現力とプログラマビリティを追加します。

• ZKコプロセッサ：オン・チェーン・データ（ただし状態は含まない）のオフ・チェーン計算を可能にします。zkpは正しい実行を証明するために使用され、楽観的コプロセッサよりも速い決済速度を提供します。より高速な決済が可能だが、コストとのトレードオフが必要。ZKPを生成するコストや難しさを考えると、開発者がZKか楽観的モード（コストと保証された硬さのトレードオフ）を選択できるBrevis coChainのようなハイブリッドバージョンを見てきました。

ZKPが解決できるオープンな問題

• 重要なzkVM: ほとんどのベースレイヤー(L1)は、正しい状態遷移を検証するために、まだ再実行を使用しています。zkVMをベースレイヤーに組み込むと、検証者が証明を検証できるため、これを回避できます。これにより、運用効率が向上します。多くの人はzkEVMを搭載したイーサに注目していますが、他の多くのエコシステムも同様に再実行に依存しています。

• zkSVM：SVMは現在主にSolana L1で使用されていますが、EclipseのようなチームはSVMを使用したEtherでの集約を実験しています。SVMにおける状態遷移の潜在的な課題に対処するためである。しかし、本格的なzkSVMはまだ検討されていません。おそらく、問題の複雑さと、SVMが証明可能性以外の側面に対して最適化されているという事実が原因でしょう。

4-データクエリ（読み取りスケーリング）

データクエリ、つまりブロックチェーンからのデータの読み取りは、ほとんどのアプリケーションで重要な部分です。近年の議論や努力の多くは、書き込みの拡張（実行）に焦点を当てていますが、読み取りを拡張することは、（特に分散環境では）両者のバランスが悪いため、さらに重要です。読み取り/書き込みの比率はブロックチェーンによって異なりますが、Sigが推定したデータの1つによると、Solana上のノードへの呼び出しの96%は読み取り呼び出しであり（2年間の実証データに基づく）、読み取り/書き込みの比率は24:1です。

拡張された読み取りには、専用のバリデータクライアント（例えば、Solana上のSig）を介した読み取りが含まれます。例えば、Solana上のSig)を介した読み込みがあり、より高いパフォーマンス(1秒あたりの読み込み数)を実現し、例えばコプロセッサの助けを借りて、より複雑なクエリー(読み込みと計算の組み合わせ)を可能にします。

もう1つの側面は、データの照会方法の分散化です。今日、ブロックチェーンにおけるほとんどのデータ照会リクエストは、RPCノード( Infura )やインデクサー( Dune )など、（レピュテーションに基づく）信頼できるサードパーティによって促進されています。より分散化されたオプションの例としては、The Graphやアンチ・ストレージ・オペレーター（これも検証可能）がある。また、Infura DINやLava Network（分散RPCに加えて、Lavaは後に追加のデータアクセスサービスを提供することを目指しています）のような分散RPCネットワークを作成する試みもあります。

既存のZK統合

• Proof-of-Storage：信頼できるサードパーティを使わずにブロックチェーンからデータにアクセスする方法。ZKPは、正しいデータが取得されたことを圧縮して証明するために使用される。

ZKPが解決できるオープンな問題

• プライバシーステータスの効率的なクエリ：プライバシープロジェクトでは、アカウントベースのモデルよりも優れたプライバシー機能を提供できますが、開発者の使いやすさは犠牲になります。プライベートのUTXOモデルは同期の問題にもつながる可能性があり、Zcashは2022年以降、ブロックされた取引量の大幅な増加に見舞われた後、これに苦慮してきた。資金を使用する前にウォレットをチェーンに同期させる必要があるため、これはネットワークが機能するためのかなり基本的な課題である。これを念頭に置いて、Aztecは最近、紙幣発見のアイデアのためのRFPをリリースしましたが、明確な解決策はまだ見つかっていません。

5 - 証明

証明と検証は、ZKPを組み込むアプリケーションが増えるにつれて、モジュールスタックの重要な部分に急速になりつつあります。しかし今日、ほとんどの証明インフラストラクチャはまだライセンス供与され、中央集権化されており、多くのアプリケーションは単一の証明者に依存しています。

集中型のソリューションはそれほど複雑ではありませんが、証明アーキテクチャを分散化し、モジュールスタックの個々のコンポーネントに分割することで、複数の利点がもたらされます。主な利点は、アクティブ保証という形であり、頻繁な証明生成に依存するアプリケーションにとって重要である。また、ユーザーは、より高いレビュー耐性と、複数のプローバ間の競争と作業負荷の共有によるコスト削減の恩恵を受けることができます。

私たちは、利用可能なハードウェアの利用率が高く、証明書の複雑さが低いため、一般的な証明書ネットワーク（多くのアプリケーション、多くの証明書作成者）は単一アプリケーションの証明書ネットワーク（1つのアプリケーション、多くの証明書作成者）よりも優れていると主張します。高い利用率はまた、プローバがより高い料金によって冗長性を補う必要がないため、ユーザーにとってより低いコストに有利です（支払うべき固定コストはまだあります）。

図キャピタルは、認証生成と認証集約それ自体（認証生成そのものですが、トレースを実行する代わりに2つの認証を入力として受け取るだけです）を含む、認証サプライチェーンの現状をよく表しています。

既存のZK統合

• STARKとSNARKラッパー：STARK証明は高速で、信頼できるセットアップを必要としませんが、欠点は大量の証明を生成することです。STARKをSNARKでカプセル化するという最終ステップを踏むことで、Ether上で検証するコストが大幅に削減されます。その反面、複雑さが増し、これらの「複合証明システム」の安全性は十分に研究されていない。既存の実装の例としては、Polygon zkEVM、zkSync EraのBoojum、RISC Zeroなどがあります。

• ユニバーサル分散型証明ネットワーク：分散型証明ネットワークにより多くのアプリを統合することで、証明者をより効率的にします。より効率的で（ハードウェアの利用率が高く）、ユーザーにとって安価になる（ハードウェアの冗長性にお金を払う必要がない）。この分野のプロジェクトには、GevulotやSuccinctが含まれます。

ZKPが解決できるオープンな問題

• ZK不正証明：楽観的な解決策では、誰でも状態遷移に挑戦でき、挑戦中に不正証明を作成できます。ZK Fraud Proofは、チャレンジされた状態遷移の証明を作成することでこの問題を解決し、より効率的な検証（再実行の必要なし）と潜在的な高速決済を実現することを目指しています。少なくともOptimism（O1 LabsとRiscZero）とAltLayer x RiscZeroはこれに取り組んでいる。

• より効率的な証明集約：ZKPの主な特徴の1つは、検証コストを大幅に増加させることなく、複数の証明を1つの証明に集約できることです。これにより、検証のコストを複数の証明またはアプリケーションに分散させることができます。証明の集約も証明であるが、入力は実行トレースの代わりに2つの証明である。この分野のプロジェクトの例としては、NEBRAやGevulotがあります。

6 - データ公開（利用可能性）

データ公開（DP）は、データが短期間（1～2週間）で利用可能になり、簡単に検索できるようにします。これは、セキュリティ（楽観的な集計には、チャレンジ期間（1～2週間）内に再実行することで正しい実行を検証するための入力データが必要）およびアクティビティ（システムが有効性の証明を使用している場合でも、資産の所有権を証明するためにデータが必要となる場合がある）にとって非常に重要である。(エスケープハッチや強制取引）。ユーザー（zk-ブリッジやロールアップなど）は、刈り込まれる前の短期間のトランザクションと状態の保存コストをカバーする1回限りの支払いに直面する。データ公開ネットワークは、長期的なデータ保存のために設計されたものではありません (代わりに、可能なソリューションについては次のセクションを参照してください)。

Celestiaはメインネットワークに代わるDPレイヤーを最初に立ち上げました（10月31日）が、Avail、 EigenDA、Near DAが2024年中に立ち上げられると予想されているため、すぐに多くの選択肢から選べるようになるでしょう。さらに、EtherのEIP 4844アップグレードは、Ether上でデータを公開するために拡張され（ブロブストレージのための別個の手数料市場を作成することに加えて）、完全なダンクスライシングのための基礎を築いています。DPは他のエコシステムにも拡張されており、 Nubitはその一例で、ビットコイン上にネイティブDPを構築することを目指しています。style="text-align:center">

多くのDPソリューションは、純粋なデータ配信以外のサービスも提供しています。アグリゲート間のスムーズな相互運用性（AvailのNexusなど）。また、データ公開と長期的な状態保存の両方を提供するプロジェクト（DomiconやZero Gravity）もあり、これは魅力的な提案である。これは、モジュール式スタックの2つのコンポーネントを再バンドルする例でもあり、さらなる進展（分割と再バンドルに関するさらなる実験）が見られるかもしれない。

既存のZK統合

• 訂正されたコードの証明：打ち消し符号は、符号化されたデータの一部が利用できなくても元のデータを復元できるような、ある程度の冗長性を導入しています。これはDASの前提条件でもあり、ライトノードはデータが存在することを確率的に確認するために、ブロックの一部だけをサンプリングする。悪意のある提案者がデータを不正にエンコードした場合、ライトノードが十分なユニークブロックをサンプリングしても、元のデータを復元できない可能性があります。正しい正しい削除コードを証明するために、有効性の証明（ZKP）または不正の証明を使用することができます。Celestiaを除く他のすべてのソリューションは、Proof of Validityの使用を目指しています。

• ZKライトクライアントはデータブリッジのサポートを提供します：外部のデータ公開レイヤーを使用するロールアップは、データが正しく公開されたことを決済レイヤーと通信する必要があります。そこで、プルーフ・オブ・データ・ブリッジの出番となる。Avail（ VectorX ）とCelestia（ BlobstreamX ）の両データ証明ブリッジは、Succinctで構築されたZK Light Clientで動作します。

ZKPが解決できるオープンな問題

• ZKPが解決できるオープンな問題。align: left;">Celestiaは、正しい消去コーディングのために有効性の証明を組み合わせています: Celestiaは現在、正しい消去コーディングのために不正な証明を使用しているため、データ公開ネットワークにおける異常値です。悪意のあるブロック提案者が不正にデータをエンコードした場合、他の完全なノードは不正証明を生成し、それに異議を唱えることができる。このアプローチは実装が比較的簡単な反面、遅延が発生し（ブロックが最終的になるのは不正証明ウィンドウの後）、ライトノードは不正証明を生成する正直なホロノードを信頼する必要があります（ホロノード自身では検証できません）。しかし、Celestiaは現在のReed-SolomonエンコーディングとZKPを組み合わせて、エンコーディングが正しいことを証明することを検討しており、これは最終性を大幅に減らすことになる。このトピックに関する最新の議論は、以前のワーキンググループ（CelestiaのベースレイヤーにZKPを追加する、より一般的な試みに加えて）の記録とともに、ここで見ることができます。

• ZKプルーフDAS：ZKプルーフデータの可用性については、ライトノードがデータの小さなチャンクをダウンロードすることで、通常のサンプリングを行うことなく、単純にマルクルートとZKPを検証することについての検討がありました。これは、ライトノードの要件をさらに減らすことになりますが、開発は停滞しているようです。

7-長期（状態）保存

履歴データの保存は、主に同期目的とデータ要求に対応するために重要です。しかし、すべてのフルノードがすべてのデータを保存することは実現不可能であり、ほとんどのフルノードはハードウェア要件を合理的に保つために古いデータを削除します。その代わりに、私たちは専門機関（アーカイブノードとインデクサー）に頼って、すべての履歴データを保存し、ユーザーの要求に応じて利用できるようにしています。

また、FilecoinやArweaveなど、長期的な分散型ストレージソリューションをリーズナブルな価格で提供する分散型ストレージプロバイダーもあります。ほとんどのブロックチェーンは正式なアーカイブ保存プロセスを持っていない（保存する誰かにのみ依存している）が、分散型ストレージプロトコルは、ストレージネットワークの内蔵ストレージを介して過去のデータを保存し、ある程度の冗長性（少なくともデータを保存するXノード）を追加するための良い候補である。インセンティブとしては

既存のZK統合

• ストレージの証明：長期保存プロバイダーは定期的にZKPを生成し、彼らが持っていると主張するすべてのデータを保存していることを証明する必要があります。この例として、FilecoinのProof of Time and Space (PoSt)があり、ストレージプロバイダーはPoStチャレンジに成功するたびにブロックが報酬として与えられます。

ZKPが解決できるオープンな問題

• データの出所と機密データの閲覧権限の証明：機密データを交換したい信頼できない2つの当事者に対して、ZKPを使用することで、実際の文書をアップロードしたり、パスワードやログを漏らしたりすることなく、一方の当事者がデータの閲覧に必要な認証情報を持っていることを証明できます。詳細はこちら。

8-合意

ブロックチェーンが分散P2Pシステムであることを考えると、グローバルな真実を決定する信頼できる第三者は存在しません。その代わりに、ネットワークノードはコンセンサスと呼ばれるメカニズムを通じて、現在の真実（どのブロックが正しいか）に合意する。PoSベースのコンセンサス方法は、BFTベース（検証者のビザンチンフォールトトレランスクォーラムが最終状態を決定する）とチェーンベース（最終状態がフォーク選択ルールによって遡及的に決定される）のいずれかに分類することができる。既存のPoSコンセンサス実装のほとんどはBFTベースであるが、カルダノは最も長いチェーン実装の例である。

コンセンサスは、共有シーケンサー、分散プルーフ、ブロックチェーンベースのコンセンサスなど、モジュールスタックのさまざまなコンポーネントの重要な部分です。

コンセンサスは、共有シーケンサー、分散型証明、ブロックチェーンベースのデータ公開ネットワーク（EigenDAのように委員会ベースではない）など、モジュラー・スタックのさまざまな構成要素の重要な部分です。

既存のZK統合

• ZKベースのプライバシーネットワークでは、以下のようなものがあります。Penumbraは、誓約報酬を排除し、代わりに誓約されていない株式と誓約された株式を別々の資産として扱うことで、この問題を解決することを目指しています。このアプローチでは、個々の誓約は非公開に保たれるが、各バリデータに紐づく総額は公開されたままとなる。

• 私的ガバナンス：匿名投票を可能にすることは暗号における長年の課題であり、Nominal Private Votingのようなプロジェクトはこれを促進しようとしています。同じことがガバナンスにも当てはまり、少なくともPenumbraは提案に対して匿名で投票している。この場合、ZKPを使用して、（トークンの所有権などを通じて）投票権があり、特定の投票基準を満たしている（まだ投票していないなど）ことを証明することができます。

ZKPが解決できるオープンな問題

• Private Leader Election: イーサネットは現在、各エポックの最初に次の32人のブロック提案者を選出し、この選出結果は公開されています。このため、悪意のあるパーティがイーサを無効化しようと、各提案者に対して順番にDoS攻撃を仕掛ける危険性がある。この問題に対処するため、WhiskはEther上でブロック提案者を選出するための、プライバシーを保護するプロトコルの提案を行います。検証者はZKPを使用して、シャッフリングとランダム化が正直に実行されていることを証明します。同様の最終目標を達成する方法は他にもあり、そのいくつかはa16zによるこのブログ投稿で説明されています。

• 署名の集約：ZKPを使った署名の集約は、署名検証の通信と計算のオーバーヘッドを大幅に削減します（個々の署名の代わりに集約された証拠を検証する）。これはすでにZKライトクライアントで活用されていますが、コンセンサスにも拡張できる可能性があります。

9-和解

和解は最高裁判所に似ています。紛争を解決するための究極の真実の源である。取引は、それが不可逆的であるとき（あるいは確率的な最終性の場合は、それを覆すことが困難であるとき）に最終的であるとみなされる。最終的な決済が行われるタイミングは、使用される決済レイヤーに依存し、さらに、使用される特定の最終的な決済ルールとブロックタイムに依存します。

遅い最終性は、ロールアップがトランザクションを承認するためにイーサからの確認を待つ必要があるクロスロールアップコミュニケーションにおいて特に問題となります（Optimistic Rollupsでは7日間、Validity Rollupsでは12分と証明時間）。これはユーザーエクスペリエンスの低下につながる。この問題に対処するために、一定レベルのセキュリティを備えた事前確認を使用する方法がいくつかある。例えば、エコシステムに特化したソリューション（Polygon AggLayerやzkSync HyperBridge）や、EigenLayerの手頃なセキュリティを利用することで、複数の異種アグリゲーションエコシステムを接続するように設計された汎用ソリューション（NearのFast Finality Layerなど）があります。オプションとして、EigenLayerのネイティブなアグリゲーション・ブリッジは、完全な決定を待たずにソフトな検証を行うために活用することもできます。

既存のZK統合

• スピードアップ決済速度: 楽観的集約とは対照的に、有効性集約は、チャレンジされるかどうかにかかわらず、正しい状態遷移を証明するためにZKPに依存するため、チャレンジ期間を必要としません（悲観的集約）。これにより、ベースレイヤーでの決済が速くなり（イーサの7日間に対して12分）、再実行を避けることができます。

10 - セキュリティ

セキュリティは保証の硬さと関係があり、ブロックチェーンの価値提案の重要な部分です。しかし、暗号経済的なセキュリティをナビゲートすることは難しく、参入障壁を増やし、それを必要とするアプリケーション（様々なミドルウェアや代替L1）におけるイノベーションの摩擦となっています。

共有セキュリティのアイデアは、各コンポーネントが独自のセキュリティを構築するのではなく、PoSネットワークの既存の経済的セキュリティを活用し、リスク削減（ペナルティ条件）を追加することです。PoWネットワーク（マージ・マイニング）でも同じようなことが初期に試みられたが、インセンティブに一貫性がないため、採掘者が結託してプロトコルを悪用しやすくなる（物理的な世界で作業が行われるため、悪い行動、つまり計算能力の使用を罰するのが難しくなる）。インセンティブがあるからです。

共有セキュリティを前提に構築されたプロトコルには、次のようなものがあります：

• EigenLayerの目標は、既存のイーサネット・セキュリティを活用して、幅広いイーサネット・セキュリティを保護することです。イーサネット・セキュリティを活用して、幅広いアプリケーションを保護することです。ホワイトペーパーは2023年初頭にリリースされ、EigenLayerは現在メインネットのアルファフェーズにあり、フルメインネットは今年後半に利用可能になる予定です。

• Cosmosは2023年5月にチェーン間セキュリティ（ICS）を開始し、Cosmos Hub（約24億ドルの誓約済みATOMに支えられたCosmos最大のチェーンの1つ）がそのセキュリティを消費者チェーンにリースすることを可能にしました。.Cosmos Hubのサポートを提供するバリデータと同じセットをコンシューマーチェーンのブロック検証にも使用することで、Cosmosスタックの最上位で新しいチェーンを立ち上げる際の障壁を軽減することを目的としている。しかし、現在アクティブなコンシューマーチェーンは2つだけである（NeutronとStride）。

• Babylonはまた、共有セキュリティでBTCを利用できるようにしようとしています。マージマイニングに関連する問題（悪行を罰するのが難しい）を解決するため、仮想PoSレイヤーを構築し、ユーザーがBTCをビットコインの誓約契約にロックできるようにしています（ブリッジングなし）。ビットコインにはスマートコントラクト層がないため、誓約契約のカットルールは代わりにビットコインスクリプトで書かれたUTXOトランザクションとして表現されます。

• 他のネットワークでの再担保には、NearのOctopusやSolanaのPicassoがあります。Polkadotパラレルチェーンも共有セキュリティの概念を活用しています。

既存のZK統合

• ZKと経済的セキュリティのミックス。ZKと経済的セキュリティのミックス：ZKベースのセキュリティ保証はより強力かもしれませんが、証明のコストはアプリケーションによってはまだ高すぎ、証明の生成には長い時間がかかります。dAppは、セキュリティとコストのトレードオフの観点から、特定のニーズに応じて純粋なZKモデルかcoChainモデルのどちらかを選択できます。

11-相互運用性

ブリッジハックによる28億ドルの損失に代表されるように、安全で効率的な相互運用性は、マルチチェーンの世界では大きな問題であり続けています。ブリッジ・ハッキングによる28億ドルの損失はその一例である。モジュラーシステムでは、相互運用性がさらに重要になる。他のチェーン間で通信するだけでなく、モジュラーブロックチェーンでは、異なるコンポーネントが互いに通信する必要もある（DAレイヤーと決済レイヤーなど）。その結果、統合型ブロックチェーンのように、単純にフルノードを稼働させたり、個々のコンセンサス証明を検証したりすることは、もはや実現不可能となる。これにより、方程式にモバイル要素が加わることになる。

相互運用性には、ブロックチェーンをまたがるより一般的なメッセージングだけでなく、トークンのブリッジングも含まれます。いくつかの異なるオプションがあり、どれもセキュリティ、レイテンシ、コストの点で異なるトレードオフがあります。3つすべてを最適化するのは非常に難しく、通常は少なくとも1つを犠牲にする必要がある。加えて、チェーン間で標準が異なるため、新しいチェーンを実装することが難しくなります。

ライトクライアント（またはノード）のさまざまなタイプについての明確な定義はまだありませんが、Dino（Fluent & Modular Mediaの共同創設者）によるこの記事は、ライトクライアント（またはノード）のさまざまなタイプについての明確な定義を与えてくれます。Mediaの共同設立者）によるこの記事は、良い紹介をしている。今日、ほとんどのライトクライアントはコンセンサスだけを検証しているが、理想的には、信頼の仮定を減らすために、実行とDAを検証できるライトクライアントが必要だ。そうすることで、高いハードウェア要件を必要とせずに、ほぼ完全なノードのセキュリティを実現できるだろう。

既存のZK統合

• ZKライトクライアント（コンセンサス検証）：現在のライトクライアントのほとんどは、他のチェーンのコンセンサスを検証することができます。ZKPは、検証元チェーンで使用されている署名スキームが検証先チェーンでネイティブにサポートされていない可能性があるため、検証をより迅速かつ安価にするために使用される。ブリッジングにおけるZKライトクライアントの重要性は高まることが予想されるが、現在のところ、プルーフィングと検証のコスト、新しいチェーンごとにZKライトクライアントを実装するコストなどが、より広範な採用の妨げとなっている。この分野のプロトコルの例としては、Polyhedra、Avail、CelestiaのProof of Data Bridge、Electron LabsのzkIBCがあります。ブロックチェーンから過去と現在のデータを照会できるようになります。これは、チェーン全体の通信に使用できるため、相互運用性にも関連する。例えば、ユーザーはあるチェーン上でトークンを所有していることを証明し、別のチェーン上で（ブリッジングなしで）トークンをガバナンスに使用することができる。LambdaClassによって開発されたこのソリューションのように、保存された証明を使用してブリッジする試みもあります。

• ZKオラクル：オラクルは、実世界のデータをブロックチェーンに接続する仲介役として機能します。zk予言マシンは、データの出所と完全性、およびそのデータ上で実行されるあらゆる計算を証明することで、現在の評判ベースの予言マシンモデルを改善します。

ZKPが解決できるオープンな問題

• 完全なライトクライアント：完全なライトクライアントは、チェーンの残りの部分のバリデータセットを盲目的に信頼するのではなく、正しい実行とDAも検証します。これにより、信頼の前提を減らし、完全なノードに近づけると同時に、ハードウェア要件を低く抑えることができる（より多くの人がライトクライアントを実行できるようになる）。しかし、コンセンサス以外の何かを検証することは、ほとんどのチェーン、特にイーサではまだ法外に高価である。加えて、ライトクライアントはメッセージの検証（問題の半分）を可能にするだけである。

• アグリゲーションレイヤー：ポリゴンのアグリゲーションレイヤーは、アグリゲーション証明と統一されたブリッジング契約を活用することで、エコシステム内のL2間のスムーズな相互運用性を実現することを目的としています。集約の証明は、より効率的な認証とセキュリティを可能にします。依存関係のあるチェーンの状態とバンドルが一貫していることを強制し、集約された状態が別のチェーンの無効な状態に依存している場合、イーサ上で解決できないことを保証します。zkSyncのHyperChainsとAvail Nexusも同様のアプローチを取っています。

いつZKはモジュラースタックを食べたのでしょうか？

ZKPの生成が非常に速く（ほとんど光の速さで）、非常に安価に（ほとんど無料で）なる状態に到達できたと仮定すると、最終的な状況はどのようになるのでしょうか？言い換えれば - ZKがモジュラースタックを食べたのはいつなのでしょうか？

大まかに言って、この場合2つのことが当てはまると考えています： 

1. すべて不要な再実行がなくなる：（N/N再実行の代わりに）1/N実行モデルに移行することで、ネットワークの全体的な冗長性を大幅に削減し、基礎となるハードウェアをより効率的に使用できるようになります。多少のオーバーヘッドは残るものの、これによってブロックチェーンは計算効率の点で中央集権型システムに徐々に近づいていくだろう。

2. ほとんどのアプリは、経済的な安全性ではなく、ZKに裏打ちされた暗号保証に依存しています。証明を生成するコストと時間がもはや関係ない考慮事項である場合、ほとんどのアプリは、より強力な保証のためにZKPに依存するようになると考えています。これはまた、ZKアプリを構築するためのユーザビリティと開発者の利便性を改善する必要がありますが、これらは複数のチームが取り組んでいる問題です。

3つ目の条件はプライバシー (または情報フロー管理)ですが、より複雑です。 ZKP は、クライアント側の証明で一部のプライバシー アプリに使用できます。これは、Aleo、Aztec、または Polygon Miden のようなプラットフォームが目指して構築しているものですが、ZKP アプリを構築する目的では、いくつかのことに取り組まなければなりません。Aleo、Aztec、またはPolygon Midenのようなプラットフォームは、これを達成するために構築されていますが、すべての潜在的なユースケースに対してスケールでプライバシーを達成することは、MPCとFHEの進歩にも依存しています。

私たちの論文のリスク

もし私たちが間違っていて、未来がモジュラーでもZK対応でもなかったら？

モジュール化は複雑さを追加する

ユーザーと開発者は、増え続けるチェーンに直面します。ユーザーは複数のチェーン（そして潜在的には複数のウォレット）にまたがって資金を管理する必要があります。一方、この分野がまだ発展途上であることを考えると、アプリケーション開発者は安定性や予測可能性が低く、どのチェーンを構築するかを決めるのが難しくなっている。また、状態や流動性の断片化も考慮する必要がある。どのコンポーネントが有意義に分離され、どのコンポーネントが再結合されるかというフロンティアの実験がまだ行われている現在、これは特に当てはまります。私たちは、ユーザーが操作できる抽象化と、安全で効率的な相互運用可能なソリューションが、この問題の解決策の重要な部分であると考えています。

ZKで十分なのか？ 

避けられない事実は、証明の生成に時間がかかりすぎ、証明と検証のコストが今日でも高すぎるということです。Trusted Execution Environment/TEE（プライバシー）やOptimistic/Cryptographic Economic Securityソリューション（コスト）などの競合ソリューションは、今日のアプリケーションの多くにとってより理にかなっています。

しかし、ZKPのソフトウェア最適化とハードウェアアクセラレーションについては、多くの研究が行われています。プルーフ・アグリゲーションは、複数の異なるパーティにコストを分散させることで、検証コストをさらに削減するのに役立ちます（/ユーザー・コストの削減）。ZKPハードウェア・アクセラレーションの課題は、プルーフ・システムの急速な発展である。このため、特殊なハードウェア（ASIC）を作成することは困難であり、基礎となる証明システムの標準が進化すると、すぐに時代遅れになる可能性があります。

Ingonyamaは、ZKスコアと呼ばれる比較可能な指標を通じて、証明者性能のベンチマークを作成しようと試みました。これは、計算を実行するコスト（OPEX）に基づいており、MMOPS/WATTを追跡します。このトピックについては、CysicとIngonyamaのブログとWei Daiの講演を参照されたい。

ZKPが提供できる限定的なプライバシーは有用か？

ZKPは個人的な状態のプライバシーを実現するためにのみ使用でき、複数のパーティが暗号化されたデータ上で計算する必要がある共有状態には使用できません（たとえば、プライベートなUniswapなど）。FHEとMPCもまた完全なプライバシーを必要とするが、広く使用できるようになる前に、コストと性能の面で何桁も改善される必要がある。とはいえ、ZKPはIDソリューションや決済など、プライベートな共有状態を必要としないいくつかのユースケースには有用である。すべての問題を同じツールで解決する必要はないのだ。

概要

それでは、私たちはどこにいるのでしょうか？私たちは日々前進していますが、まだやるべきことは大量にあります。取り組むべき最も差し迫った問題は、スピードやコストを犠牲にすることなく、異なるモジュラー・コンポーネント間で価値や情報をどのように安全に流すことができるかということと、最終消費者が異なるチェーン間の橋渡しやウォレットの切り替えなどを気にする必要がないように、すべてを抽象化することである。

私たちはまだ実験段階ですが、それぞれのユースケースに最適なトレードオフの範囲を把握するにつれて、物事は安定していくはずです。その結果、（非公式または正式な）標準が出現する余地が生まれ、これらのチェーンの上のビルダーにより安定性がもたらされることになる。

今日、ZKPを生成するコストと複雑さのため、暗号経済的セキュリティがデフォルトであるユースケースはまだ多く、両方の組み合わせを必要とするユースケースもあります。しかし、証明と検証のコストと待ち時間を削減するために、より効率的な証明システムと専用ハードウェアを設計するにつれて、この割合は時間の経過とともに減少していくはずです。コストとスピードが指数関数的に削減されるたびに、新しいユースケースが解放されます。

この投稿は特にZKPに焦点を当てていますが、最新の暗号ソリューション（ZKP、MPC、FHE、およびTEE）が最終的にどのように連携するのかにもますます関心が高まっています。