ZKはモジュラースタックを食べるのか?
ブロックチェーン(名詞):世界中の参加者が第三者の手助けなしに共通に合意されたルールに沿って協力することを可能にする調整機械。
コンピューターは、データを保存し、計算し、お互いや人間と通信するために設計されています。ブロックチェーンは、この3つのこと(保存、計算、通信)が合意された方法で行われるという追加の保証を加えた第4の次元を提供します。これらの保証により、信頼された第三者なしに見知らぬ人同士の協力が可能になります(分散化)。
これらの追加の保証は、経済的なもの(信頼ゲーム理論およびインセンティブ/非インセンティブ)または暗号的なもの(信頼数学)のいずれかであり、ほとんどのアプリケーションはその両方の組み合わせである暗号経済を利用しています。これは、主に評判に基づくシステムの現在の現状とは明確に対照をなしています。
Web3はしばしば「読む、書く、所有する」と表現されますが、我々はインターネットの第3世代については「読む、書く、検証する」という方が適切だと考えています。なぜなら、パブリックブロックチェーンの主な利点は保証された計算そして、これらの保証が守られたことを簡単に検証することができます。所有権は、買ったり売ったり、制御したりできるデジタルアーティファクトを構築すれば、保証された計算の部分集合となります。ただし、多くの場合、ブロックチェーンのユースケースは保証された計算から利益を得るものの、所有権とは直接関係していません。たとえば、完全にオンチェーンのゲームでのあなたのヘルスが77/100である場合、そのヘルスは所有していますか、それとも広く合意されたルールに従ってオンチェーンで強制されているだけですか?私たちは後者を主張するでしょうが、クリス・ディクソン意見が異なるかもしれません。
Web3 = 読む、書く、検証する
ZKとモジュラリティー - 加速させる2つのトレンド
ブロックチェーンには興奮する要素がたくさんありますが、分散型モデルはP2Pメッセージングやコンセンサスなどの追加機能によってオーバーヘッドと効率の低下ももたらします。さらに、ほとんどのブロックチェーンは引き続き再実行によって正しい状態遷移を検証します。つまり、ネットワーク上の各ノードは提案された状態遷移の正確性を検証するためにトランザクションを再実行する必要があります。これは無駄であり、中央集権型モデルとは対照的です。中央集権型モデルでは1つのエンティティのみが実行します。分散型システムには常にオーバーヘッドと複製が含まれますが、効率の面では漸近的に中央集権型の基準に近づくことを目指すべきです。
過去10年間で基盤インフラは大幅に改善されましたが、ブロックチェーンがインターネットレベルの規模を処理できるようになるには、まだ多くの作業が残っています。我々は、表現力と硬さという2つの主要な軸に沿ったトレードオフを見ており、モジュラリティがトレードオフフロンティアに沿ったより速い実験を可能にし、ZKがそれを拡大すると信じています。
- Expressivity - あなたが保証できるものは何ですか? スケーラビリティ(コスト、レイテンシ、スループットなど)、プライバシー(または情報フロー管理)、プログラマビリティ、およびコンポーザビリティが含まれています。
- ハードネス - これらの保証はどれくらい堅牢ですか?セキュリティ、分散化、ユーザー&コードの安全性を含んでいます。
モジュラリティは、システムのコンポーネントを分離および再組み合わせる度合いを示します。より速いフィードバックループとより低い進入障壁により、資本(経済的および人的の両方)を必要とせずに、モジュラリティはより速い実験と専門化を可能にします。モジュラ vs 統合の問題は2進的ではなく、むしろ、どの部分を分離するか、そしてどの部分を分離しないかを見極めるためのスペクトラムです。
ゼロ知識証明、またはZKPsは、一方の当事者(証明者)が、他方の当事者(検証者)に対して、あることが真実であることを証明することを可能にし、その妥当性以外の追加情報を明らかにすることなく、スケーラビリティと効率を向上させることができます(すべての実行を検証するモデルから1つが実行し、すべてが検証するモデルに移行することによって)。また、プライバシー(制限付き)を可能にすることで、表現力も向上させます。ZKPsは、弱い暗号経済的保証をより強力なものに置き換えることで、保証の難しさを向上させ、トレードオフの限界を外側に押し出すことで、表されます(上記のチャートを参照)。
私たちは、モジュラリティと「すべてのZKfication」の両方が加速し続けるトレンドだと信じています。両方とも個別に空間を探索する興味深いレンズを提供しますが、私たちは特にその2つのクロスオーバーに興味があります。私たちが興味を持っている2つの主要な質問は次のとおりです。
- モジュラースタックのどの部分にZKPが既に組み込まれており、どの部分がまだ未開拓ですか?
- ZKPs でどの問題が緩和される可能性がありますか?
ただし、これらの質問に入る前に、2024年のモジュラースタックの最新のビューが必要です。
2024年のモジュラースタック
よく使われるモジュラースタックのイメージは、4つのコンポーネント(実行、データ公開、合意、決済)を持つものです。これは単純なメンタルモデルとして有用ですが、モジュラースペースが進化したことを考えると、もはや適切な表現ではないと感じます。さらなるアンバンドリングにより、以前は大きな一部と考えられていた新しいコンポーネントが生まれ、さらに異なるコンポーネント間の安全な相互運用性の必要性と新たな依存関係が生まれます(後で詳しく説明します)。この領域が進化するペースを考えると、スタックの異なるレベルでのあらゆる革新について常に最新情報を得ることは難しいかもしれません。
これまでのWeb3スタックの探索の試みには、Gate.ioによるものが含まれます。Kyle Samani(マルチコイン) - 元々公開されました2018そして更新されました2019。それは分散型の最後のマイルのインターネットアクセス(など、ヘリウム)エンドユーザーキーマネジメントを終了します。それに関連する原則は再利用できる可能性がありますが、証明や検証などの一部の要素が完全に欠落しています。
これらを考慮に入れて、2024年のモジュラースタックの更新された表現を作成しようと試みました。既存の4つの部分からなるモジュラースタックを拡大しています。機能ではなくコンポーネントごとに分割されており、たとえばP2Pネットワーキングは機能としてではなくコンセンサスに含まれています。これは、プロトコルを構築するのが難しいためです。
ZKインザモジュラースタック
モジュラースタックの最新のビューを持っているので、実際の問題、つまり、ZKがすでに浸透しているスタックの部分と、ZKを導入することによって解決できるオープンな問題(再実行を回避するかプライバシー機能を使用するか)を見ていくことができます。各コンポーネントを個別に詳しく調査する前に、私たちの調査結果の要約を以下に示します。
1 - ユーザー操作の抽象化
ブロックチェーンの現行ユーザーは、複数のチェーン、ウォレット、インターフェースをナビゲートする必要があり、これは広範な採用のための障害となります。ユーザー操作の抽象化は、この複雑さを抽象化し、ユーザーがバックエンドで複雑さが発生する中で、たとえば特定のアプリケーションやウォレットなど、1つのインターフェースだけとやり取りできるようにするための試みの総称です。インフラレベルの抽象化の例には、次のようなものがあります:
- Account abstraction (AA)は、各操作ごとにユーザーの署名を必要とせずにスマートコントラクトが取引を行うことを可能にします(プログラマブル暗号アカウント”).署名できる人(鍵管理)、署名する内容(txペイロード)、署名方法(署名アルゴリズム)、署名するタイミング(トランザクション承認の条件)を定義するために使用できます。これらの機能を組み合わせることで、ソーシャルログインを使用したdApps、2FA、アカウント復旧、自動化(txへの自動署名)などが可能になります。議論はしばしばイーサリアム(ERC-43372023年春に成立した法律には、他の多くのチェーンがすでに組み込み済み、ネイティブなアカウント抽象化がありますAptos, スイ、近く, ICP,スタークネット, そして zkSync)。
- Chain Abstraction allows users to sign transactions on different chains while only interacting with one account (one interface, multiple chains). Several teams are working on this, including Near、ICP, そして dウォレットこれらのソリューションは、MPCとチェーン署名を活用しており、他のネットワークの秘密鍵が複数の小さな部分に分割され、ソースチェーンの検証者によって共有され、クロスチェーントランザクションに署名します。ユーザーが別のチェーンとやり取りしたい場合、十分な数の検証者がトランザクションに署名してしきい値暗号化を満たす必要があります。これにより、秘密鍵がどこでも完全に共有されることはないため、セキュリティが維持されます。しかし、検証者の共謀のリスクに直面する可能性があります。これが、基礎となるチェーンの暗号経済セキュリティと検証者の分散化が依然として非常に重要である理由です。
- 高いレベルで言えば、インテントはユーザーの要望と必要性をブロックチェーンで実行可能な操作につなげることを可能にします。これにはインテントソルバーが必要で、これはユーザーの意図に最適な解決策を見つけるために任された専門のオフチェーンエージェントです。既にいくつかのアプリが専門のインテントを使用しており、DEXアグリゲーター(「最良の価格」)やブリッジアグリゲーター(「最安値/最速のブリッジング」)などがあります。一般的なインテント決済ネットワークアノマ、エッセンシャル、スワーヴ)ユーザーがより複雑な意図を表現しやすくし、開発者が意図中心のアプリケーションを構築しやすくすることを目指しています。ただし、プロセスを形式化する方法、意図中心の言語がどのように見えるか、常に最適な解決策が存在するか、それを見つけることができるかなど、まだ多くの未解決の問題があります。
既存のZK統合
- AA x ZKを使用した認証:これの1つの例はSuiのzkログイン, ユーザーは電子メールアドレスなどの馴染みのある資格情報を使用してログインできるようにするものです。それはZKPsを使用して、第三者がSuiアドレスを対応するOAuth識別子とリンクするのを防ぎます。
- AAウォレットのより効率的な署名検証:AA契約での取引の検証は、従来のアカウント(EOA)によってイニシエートされた取引よりもかなり高額になる可能性があります。オービターこれを解決しようとするために、ZKPsを活用したバンドラーサービスを使用して、トランザクション署名の正確性を検証し、AAアカウントのノンス値とガス残高を維持します(Merkleワールドステートツリーを介して)。プルーフの集約とオンチェーン検証コストをすべてのユーザー間で均等に分担することで、これにより著しいコスト削減がもたらされる可能性があります。
ZKPs が解決できるオープンな問題
- 最善の実行または意図の達成の証明:意図とAAはユーザーから複雑さを抽象化する一方、中央集権化の要因ともなり、最適な実行パスを見つけるために専門家(ソルバー)に依存する必要があります。ソルバーの善意を単に信頼するのではなく、ZKPsを使用して、ユーザーのための最適なパスがソルバーによってサンプリングされたパスの中から選択されたことを証明する可能性があります。
- 意図決済のためのプライバシー:Gate.ioなどのプロトコルタイガユーザーのプライバシーを保護するために完全に保護された意図的な決済を実現することを目指しています - ブロックチェーンネットワークにプライバシー(または少なくとも機密性)を追加する動きの一環です。状態の遷移に関する機密情報(アプリケーションの種類、関与する当事者など)を隠すためにZKPs(Halo2)を使用しています。
- AAウォレットのパスワードリカバリー:"The idea behind"この提案ユーザーがプライベートキーを失った場合でも、ウォレットを復元できるようにすることです。契約ウォレットにハッシュ(パスワード、ナンス)を保存することで、ユーザーはパスワードのヘルプを受けてZKPを生成し、それが自分のアカウントであることを検証し、プライベートキーの変更を要求することができます。確認期間(3日以上)は、不正なアクセス試行に対する保護機能として機能します。
2 - シーケンシング
トランザクションは、ブロックに追加される前に順序付ける必要があります。これは多くの方法で行うことができます: 提案者による収益性による順序付け(最も支払いの多いトランザクションから)、提出された順序で(先入れ先出し)、プライベートメモリプールからのトランザクションに優先度を与えるなど。
もう1つの質問は、取引の順序を誰が決定するかです。モジュラーワールドでは、ロールアップシーケンサー(中央集権化または分散化を含む)、L1シーケンス(ベースロールアップ)、および共有シーケンスネットワーク(複数のロールアップに使用される分散ネットワークのシーケンサー)など、複数の異なる当事者がこれを行うことができます。これらすべては異なる信頼の前提条件とスケーリング能力実際には、取引の実際の順序付けやブロックへのまとめは、専門家(ブロックビルダー)によってプロトコル外で行うこともできます。
既存のZK統合
- mempoolの正しい暗号化を検証中: 半径は、実証可能な遅延暗号化を備えた暗号化されたメモリプールを持つ共有シーケンシングネットワークですPVDE). ユーザーは、タイムロックパズルを解くことが正しいトランザクションの復号化につながることを証明するためにZKPを生成します。つまり、トランザクションには有効な署名とナンスが含まれ、送信者にはトランザクション手数料を支払う十分な残高があることを証明します。
ZKPsが解決できるオープンな問題
- 検証可能なシーケンスルール(VSR):提案者/シーケンサーを従う実行順序に関するルールのセットこれらのルールが守られていることを追加で保証する。検証はZKPまたは詐欺証拠を通じて行うことができ、後者は提案者/シーケンサーが不適切な行動を取った場合に割り引かれる十分に大きな経済的担保が必要です。
3 - 実行(書き込みのスケーリング)
実行レイヤーには、状態が更新される方法のロジックが含まれており、スマートコントラクトが実行される場所です。計算の出力を返すだけでなく、zkVMは状態の遷移が正しく行われたことを証明することも可能です。これにより、他のネットワーク参加者は、証明の検証のみで正しい実行を検証できます。再実行する必要はありません。
高速で効率的な検証に加えて、証明可能な実行のもう一つの利点は、ガスやオンチェーンのリソースの制限がないため、オフチェーンの計算では通常の問題に直面することがないことです。これにより、ブロックチェーン上で実行する際に計算量が多くなりがちな完全に新しいアプリケーションが可能になり、保証された計算を活用できるようになります。
既存のZK統合
- zkEVMロールアップ:Ethereumと互換性があるように最適化された特別なタイプのzkVMで、EVM実行環境を証明します。ただし、Ethereumとの互換性が高いほど、パフォーマンスのトレードオフが大きくなります。2023年に複数のzkEVMがローンチされました。Polygon zkEVM、zkSyncエラ、スクロール, そして Linea. Polygon recently announced their タイプ1 zkEVMプルーバー, これにより、メインネットのEthereumブロックを1ブロックあたり$0.20〜$0.50で証明できます(さらなるコスト削減のための最適化が今後行われます)。RiscZeroもソリューションを持っていますその証明を可能にするが、限られたベンチマークを用いてコストが高くなるイーサリアムブロック。
- Alternative zkVMs: 一部のプロトコルは、パフォーマンス/証明性を最適化するための代替経路を取っています(スタークネット、Zorp)または開発者向けの使いやすさを重視しており、イーサリアムとの互換性を最大限にすることを目指していません。後者の例にはzkWASMプロトコルなどがあります(流暢、デルフィヌスラボ) および zkMOVE (M2そしてzkmove)
- プライバシーに焦点を当てたzkVM: この場合、ZKPsは2つのことに使用されます。再実行を回避し、プライバシーを実現します。 ZKPsだけでは達成できるプライバシーは限られています(個人のプライベートな状態のみ)。新しいプロトコルでは、既存のソリューションに多くの表現力とプログラム可能性が追加されます。例には、Aleoのものが含まれます。snarkVM、AztecのAVM、およびPolygonのMidenVM.
- ZK-coprocessors:チェーン上のデータでオフチェーン計算を可能にします(ただし、状態はありません)。 ZKPsは正しい実行を証明するために使用され、楽観的な共同プロセッサよりも高速な決済を提供しますが、コストのトレードオフがあります。 ZKPsを生成するコストと/または難しさを考慮すると、いくつかのハイブリッドバージョンが見られます。ブレビスコチェーン, 開発者がZKモードまたは楽観モード(コストと保証の硬さのトレードオフ)の間で選択できるようにします。
ZKPs が解決できるオープンな問題
- Enshrined zkVM: ほとんどのベースレイヤー(L1s)は、正しい状態遷移を検証するために再実行を使用しています。ベースレイヤーにzkVMを確立すると、代わりにバリデータは証明を検証できるため、これを回避できます。これにより運用効率が向上します。ほとんどの注目が、確立されたzkEVMを備えたEthereumにありますが、他の多くのエコシステムも再実行に依存しています。
- zkSVM: SVMは今日、Solana L1内で主に使用されていますが、Eclipseのようなチームは、Ethereumで決済するロールアップにSVMを活用しようとしています。Eclipseはまた、使用する予定ですZK詐欺証明のためのRisc ZeroSVMの状態遷移の潜在的な課題に対して。しかし、完全なzkSVMはまだ探求されていない-おそらく問題の複雑さとSVMが証明可能性以外の他のことに最適化されているという事実のためかもしれません。
4 - データクエリ(スケーリングリード)
ブロックチェーンからデータをクエリすること、またはデータを読み取ることは、ほとんどのアプリケーションにとって重要な部分です。過去数年間の多くの議論や取り組みは書き込み(実行)のスケーリングに焦点を当ててきましたが、読み取りのスケーリングは、特に分散型の環境では2つの間の不均衡があるため、さらに重要です。 読み取り/書き込みの比率はブロックチェーンによって異なりますが、1つのデータポイントはありますシグの見積もりSolanaノードへのすべての呼び出しの>96%が読み取り呼び出しでした(2年間の実証データに基づく)- 読み取り/書き込み比率は24:1です。
スケーリングリードには、専用のバリデータクライアント(SolanaのSigなど)を使用してパフォーマンスを向上させる(より多くの読み取り/秒)だけでなく、より複雑なクエリを可能にする(読み取りと計算を組み合わせる)、たとえば、共同プロセッサーの支援を受けています。
もう1つの視点は、データクエリの方法を分散化することです。今日、ブロックチェーンにおけるほとんどのデータクエリリクエストは、信頼できる第三者(評判に基づく)によって補助されています。たとえば、RPCノード(Infura) and indexers (デューン)。より分散化されたオプションの例には、ザ・グラフおよびストレージ証明オペレーター(これも検証可能です)。また、分散型のRPCネットワークを作成しようとする試みもいくつかあります。Infura DINまたはLava Network(分散型RPC以外に、Lavaは後で追加のデータアクセスサービスを提供することを目指しています)。
既存のZK統合
- ストレージ証明: 信頼できる第三者を使用せずにブロックチェーンから過去および現在のデータを問い合わせることを可能にします。ZKPsは圧縮に使用され、正しいデータが取得されたことを証明します。この分野で構築されているプロジェクトの例にはアクシオム, ブレビス、ヘロドトス、そしてラグランジュ.
ZKPsが解決できるオープンな問題
- プライベート状態の効率的なクエリ: プライバシープロジェクトでは、アカウントモデルよりも優れたプライバシー機能を実現するUTXOモデルのバリエーションがよく使用されますが、開発者向けの利便性が損なわれる代わりに、プライベートUTXOモデルは同期の問題につながることもあります。Zcashは苦戦しています2022年以降、保護された取引のボリュームが大幅に増加したことから。ウォレットは資金を使う前にチェーンに同期する必要があります。そのため、これはネットワークの動作にとって非常に基本的な課題です。この問題に備えて、Aztec最近RFPを投稿しましたメモの発見に関するアイデアはありますが、まだ明確な解決策は見つかっていません。
5 - 証明
ますます多くのアプリケーションがZKPsを取り入れるにつれて、証明と検証がモジュラースタックの重要な部分に迅速になっています。しかし、現在、ほとんどの証明インフラストラクチャはまだ許可され、中央集権化されており、多くのアプリケーションが単一の証明者に依存しています。
中央集権的な解決策は複雑さが少ない一方、証明アーキテクチャを分散化し、モジュラースタック内の別のコンポーネントに分割することにより、いくつかの利点がもたらされます。1つの主要な利点は、頻繁な証明生成に依存するアプリケーションにとって重要なライブネス保証です。ユーザーは、競争と複数の証明者に作業を分担することにより駆動される高い検閲耐性と低い手数料からも利益を得ています。
一般的な用途の証明者ネットワーク(多くのアプリ、多くの証明者)は、単一のアプリケーションの証明者ネットワーク(1つのアプリ、多くの証明者)よりも、既存のハードウェアのより高い利用率と、証明者にとってのより少ない複雑さにより優れていると考えています。より高い利用率は、証明者が冗長性に対する補償を必要とせずに済むため、ユーザーにとっても低い手数料の面で利益になります(ただし、固定費用をカバーする必要があります)。
Figment Capital現在のプルーフサプライチェーンの現状の良い概要を提供しました。これは、プルーフ生成とプルーフ集約の両方で構成されており(それ自体がプルーフ生成であるが、実行トレースではなく入力として2つのプルーフを取るだけです)。
ソース:Figment Capital
既存のZK統合
- STARK with SNARK wrapper: STARKプルーバーは高速で信頼されたセットアップが不要ですが、欠点としては、Ethereum L1で検証するのが非常に高価な大きな証明を生成します。最終段階でSTARKをSNARKでラップすると、Ethereum上で検証するコストが大幅に削減されます。欠点としては、これに複雑さが追加され、これらの「複合証明システム」のセキュリティが十分に研究されていない点があります。既存の実装例には、Polygon zkEVM, zkSync時代のBoojum、およびRISC Zero.
- 汎用分散型証明ネットワーク:分散型証明ネットワークにさらに多くのアプリケーションを統合することで、プルーファーにとってより効率的(ハードウェアの利用率が高い)であり、ユーザーにとってより安価(ハードウェアの冗長性のために支払う必要がない)になります。この分野のプロジェクトには、ゲヴロットそして簡潔.
ZKPsが解決できるオープンな問題
- ZK Fraud Proofs:楽観的な解決策では、誰もが状態の遷移に異議を唱え、異議申立期間中に詐欺証拠を作成することができます。ただし、詐欺証拠の検証は再実行を介して行われるため、かなり手間がかかります。ZK詐欺証拠は、挑戦されている状態の遷移の証拠を作成することで、より効率的な検証(再実行の必要なし)と潜在的に迅速な決済を可能にすることを目指しています。これに少なくとも1つで取り組んでいますOptimism (in collaboration with O1 Labs and RiscZero), and AltLayer x RiscZero。
- より効率的な証明集約: ZKPの素晴らしい機能の1つは、複数の証明を1つの証明に集約することができ、検証コストを大幅に増やすことなく行うことができる点です。これにより、検証コストを複数の証明またはアプリケーションに分散することが可能となります。証明集約も証明ですが、入力は実行トレースではなく2つの証明です。この分野のプロジェクトの例には、NEBRAそしてGevulot.
ソース: Figment Capital
6 - データの公開 (可用性)
データ公開(DP)は、データが短期間(1-2週間)で利用可能で簡単に取得できることを保証します。これは、セキュリティ(楽観的ロールアップでは、正しい実行を検証するために入力データが必要であり、チャレンジ期間中の再実行が必要です(1-2週間))およびライブネス(システムが有効性証明を使用していても、脱出口、強制取引の資産所有権を証明するために基になる取引データが必要になる場合や、入力が出力と一致していることを検証する場合があります)。ユーザー(zk-bridgesやロールアップなど)は、1回限りの支払いに直面し、取引と状態を保存するコストをカバーし、それが剪定されるまでの短期間の費用を補います。データ公開ネットワークは長期的なデータストレージを目的としていません(代わりに、可能な解決策については次のセクションを参照してください)。
セレスティア最初の代替DPレイヤーは、メインネットをローンチしました(10月31日)、しかし、選択肢は今後たくさん出てくるでしょう利用可能, EigenDA、とNear DA2024年にすべての発売が予定されています。また、EthereumのEIP 4844Ethereumのスケーラブルなデータ公開のアップグレード(ブロブストレージのための別個の手数料市場の作成に加えて)、およびフルダンクシャーディングのステージ設定。 DPは他のエコシステムにも拡大しており、1つの例があります。@nubit_org/riema-secures-angel-investment-for-launching-the-first-bitcoin-native-data-availability-layer-49ccf0487380">Nubitは、ビットコイン上でネイティブDPを構築することを目的としています。
多くのDPソリューションは、ソブリンロールアップの共有セキュリティ(セレスティアそして利用可能)またはロールアップ間のよりスムーズな相互運用性(Availのようなネクサス). また、プロジェクトもあります。ドミコンそしてゼロ重力) 両方のデータ公開と長期状態の保持を提供する)、これは魅力的な提案です。これはモジュラースタック内の2つのコンポーネントを再バンドルする例でもあり、今後ますます見られることでしょう(さらなるアンバンドリングと再バンドリングの実験)。
既存のZK統合
- 消去符号の正当性の証明: 消去符号は、エンコードされたデータの一部が利用できない場合でも、元のデータが回復可能であるような一定レベルの冗長性をもたらします。これは、軽量ノードがブロックの一部しか確率的にデータが存在することを保証するためにサンプリングするDASの前提条件でもあります。悪意のある提案者がデータを誤ってエンコードした場合、軽量ノードが十分な一意のチャンクをサンプリングしていても、元のデータが回復できない可能性があります。正しい消去符号化の証明は、有効性証明(ZKPs)または詐欺証明を使用して行うことができます - 後者はチャレンジ期間に関連する遅延に苦しんでいます。Celestiaを除くすべての他のソリューションは、有効性証明を使用することに取り組んでいます。
- データブリッジを強化するZKライトクライアント:外部データパブリッシングレイヤーを使用するロールアップは、データが適切にパブリッシュされたことを決済レイヤーに伝える必要があります。これが、データ構成証明ブリッジの目的です。ZKPを使用すると、ソースチェーンのコンセンサス署名の検証がイーサリアム上でより効率的になります。両方のアベイルズ(ベクトルX) そしてセレスティアの(BlobstreamX)データアテステーションブリッジは、Succinctと共に構築されたZKライトクライアントで動作しています。
ZKPsが解決できるオープンな問題
- Celestia incorporating validity proofs for correct erasure coding: Celestia is currently an outlier amongst the data publication networks as it 正しい消去符号化のために詐欺証明を使用します悪意のあるブロック提案者がデータを誤ってエンコードした場合、他のどの完全ノードでも詐欺証拠を生成してこれに異議を唱えることができます。このアプローチは実装がやや簡単ですが、遅延をもたらす(ブロックは詐欺証拠ウィンドウの後でのみ最終的)し、軽いノードが1つの誠実な完全ノードに詐欺証拠を生成することを信頼する必要があります(自分自身で検証できません)。セレスティアは探検しています現在のリード・ソロモン符号化とZKPを組み合わせて正しい符号化を証明すると、ファイナリティが大幅に低下します。このトピックに関する最新の議論は、次のとおりですここ以前の作業グループからの記録(CelestiaベースレイヤーにZKPを追加する一般的な試みに加えて)。
- ZK-proving DAS: これまでにいくつかの探求が行われてきましたZK-証明データの可用性, 軽量ノードは、通常、データの小さなチャンクをダウンロードしてサンプリングする必要がある代わりに、メルクルルートとZKPを単に検証するだけで済むようになりました。これにより、軽量ノードの要件がさらに削減されますが、開発が停滞しているようです。
7 - 長期(ステート)ストレージ
歴史データを保存することは、主に同期の目的とデータ要求の提供のために重要です。ただし、すべてのフルノードがすべてのデータを保存することは現実的ではなく、ほとんどのフルノードは古いデータを削除してハードウェアの要件を合理的な範囲に保ちます。代わりに、専門の当事者(アーカイブノードやインデクサー)に依存して、すべての歴史データを保存し、ユーザーの要求に応じて利用可能にします。
分散型ストレージプロバイダーもあります、Gate.ioのようなFilecoinまたはアーウィーヴ、それは合理的な価格で長期間の分散型ストレージソリューションを提供するプロトコルです。ほとんどのブロックチェーンはアーカイブストレージの形式的なプロセスを持っていません(単に誰かがそれを保存することに依存しています)、分散型ストレージプロトコルは歴史的なデータを保存し、ストレージネットワークの組み込みインセンティブを通じていくつかの冗長性(少なくともXノードがデータを保存)を追加するのに適した候補です。
既存のZK統合
- ストレージの証明:長期間のストレージプロバイダーは、主張するすべてのデータを保存していることを定期的に証明するためにZKPsを生成する必要があります。これの例はFilecoinの時空の証明(PoSt)では、ストレージ・プロバイダーは、PoStチャレンジに正しく回答するたびにブロック報酬を獲得します。
ZKPsが解決できるオープンな問題
- データの出所と機密データの閲覧権限の証明:機密データを交換したい2つの信頼できない当事者がいる場合、ZKPを使用して、実際の文書をアップロードせずに、パスワードやログインの詳細を開示することなく、1つの当事者がデータを閲覧するために必要な資格を持っていることを証明することができます。
8 - コンセンサス
ブロックチェーンは分散P2Pシステムであるため、グローバルな真実を決定する信頼できる第三者は存在しません。代わりに、ネットワークのノードは、現在の真実(正しいブロックがどれか)について合意するために、コンセンサスと呼ばれるメカニズムを通じて合意します。PoSベースのコンセンサスメソッドは、BFTベース(ビザンチン耐性クォーラムの検証者が最終状態を決定する)またはチェーンベース(最終状態がフォーク選択ルールによって追って決定される)に分類されます。ほとんどの既存のPoSコンセンサス実装はBFTベースです。カルダノ最長チェーン実装の例です。また、Aleo、Aptos、およびSuiにいくつかのバリエーションで実装されているナーワル・ブルシャークなどのDAGベースのコンセンサスメカニズムにも興味が高まっています。
コンセンサスは、共有シーケンサー、分散型証明、ブロックチェーンベースのデータ公開ネットワーク(EigenDAなどの委員会ベースではない)など、モジュラースタックのさまざまなコンポーネントの重要な部分です。
既存のZKインテグレーション
- ZKベースのプライバシーネットワークでのステーキング:PoSベースのプライバシーネットワークは、ステーキングトークンの保有者がプライバシーとコンセンサスへの参加(およびステーキングリワードの受け取り)の間で選択する必要性を提示します。Penumbraはこれを解決することを目指していますステーキング報酬を削除し、代わりに未償還および償還されたステークを別々の資産として扱います。この方法により、個々の委任を非公開に保ちながら、各検証者に償還された総額は依然として公開されています。
- プライベートガバナンス:匿名投票を実現することは、暗号通貨の世界では長らく課題となってきました。Gateなどのプロジェクトが取り組んできました。Nouns プライベート投票これを前進させようとしています。匿名投票にも同じことが当てはまり、少なくともペナンブラで提案に対する匿名投票が進められています。この場合、ZKPを使用して、投票権利を持っていること(たとえばトークンの所有権を通じて)や特定の投票基準が満たされていること(すでに投票していないことなど)を証明することができます。
ZKPsが解決できるオープンな問題
- プライベートリーダー選挙:イーサリアムは現在、各エポックの初めに次の32人のブロック提案者を選出し、この選挙の結果は公開されています。これにより、悪意のある当事者が各提案者に順番にDoS攻撃を仕掛けてイーサリアムを無効にしようとするリスクが生じます。この問題に対処しようとする試みとして、ホイップイーサリアムでブロック提案者を選出するためのプライバシー保護プロトコルの提案です。検証者はZKPsを使用して、シャッフリングとランダム化が正直に行われたことを証明します。同様の最終目標を達成するための他のアプローチもあり、その中にはこの中でカバーされているものもあります。a16zによるブログ投稿.
- シグネチャ集約:ZKPを使用して署名を集約することで、署名検証の通信および計算オーバーヘッドを大幅に削減できる可能性があります(個々の署名ではなく、1つの集約された証明を検証します)。これは既にZKライトクライアントで活用されていますが、合意にも拡張される可能性があります。
9 - 決済
決済は最高裁判所に似ており、状態遷移の正確性が検証され、紛争が解決される真実の最終源泉です。取引は不可逆のポイントで最終と見なされます(または確率的最終性の場合、それを逆戻りすることが十分に困難なポイントで)。最終性にかかる時間は、使用される基盤となる決済レイヤーに依存し、それはさらに使用される具体的な最終性ルールとブロック時間に依存します。
クロスロールアップ通信では、ファイナリティの遅さが特に問題となっており、ロールアップはトランザクションを承認する前にイーサリアムからの確認を待たなければなりません(楽観的ロールアップでは7日、妥当性ロールアップでは12分と証明時間)。これによりユーザーエクスペリエンスが低下しています。この問題を解決するための取り組みが複数あり、ある程度のセキュリティを持つ事前確認を使用する方法があります。例として、エコシステム固有のソリューション(Polygon AggLayerまたはzkSync ハイパーブリッジ) および一般的な用途のソリューションなどNearの高速確定層EigenLayerを活用して複数の異なるロールアップエコシステムを接続しようとするプロジェクトです。また、オプションとして、EigenLayerを活用したネイティブロールアップブリッジ完全な最終性を待つことなく、ソフト確認のため
既存のZK統合
- Gate速度向上と正当性ロールアップ:楽観的ロールアップとは異なり、正当性ロールアップには誰もが挑戦しなくても正しい状態遷移を証明するためにZKPに依存するため、チャレンジ期間は必要ありません(悲観的ロールアップ)。これにより、ベースレイヤーでの決済が大幅に高速化され(Ethereumの12分対7日)、再実行を回避できます。
10 - セキュリティ
セキュリティは保証の硬さに関連しており、ブロックチェーンの価値提案の重要な部分です。しかし、暗号経済セキュリティを起動することは難しいです-参入障壁を高め、それが必要とするアプリケーション(さまざまなミドルウェアや代替L1)にとってイノベーションの摩擦として機能します。
共有セキュリティのアイデアは、PoSネットワークから既存の経済的セキュリティを利用し、追加のスラッシングリスク(罰則の条件)にさらすことです。各コンポーネントが独自に起動しようとするのではなく。PoWネットワークでも同じことをしようとする以前の試みがいくつかありました。マージドマイニングしかし、インセンティブの不一致により、マイナーが共謀し、プロトコルを悪用しやすくなりました(物理世界での作業としての悪い行動を罰するのが難しい、つまりコンピューティングパワーを使用したマイニング)。 PoSセキュリティは他のプロトコルにより柔軟に使用することができます。なぜなら、それにはポジティブな(ステーキング報酬)とネガティブな(スラッシング)インセンティブの両方があるからです。
共有セキュリティを前提としたプロトコルの構築には、次のものが含まれます:
- EigenLayerは、広範囲のアプリケーションをセキュリティで保護するために既存のEthereumセキュリティを活用しようとしています。ホワイトペーパーは2023年初頭に公開され、EigenLayerは現在、メインネットのアルファ版にあり、今年後半にはフルメインネットの開始が予定されています。
- Cosmosはそのインターチェーンセキュリティ(ICS)2023年5月にCosmosの最大のチェーンの1つであるCosmos Hubを可能にし、〜$2.4bnのステーキングされたATOM- コンシューマーチェーンにセキュリティをリースすること。 Cosmos Hubを駆動する同じ検証者セットを使用して、コンシューマーチェーン上のブロックも検証することで、Cosmosスタックの上に新しいチェーンを立ち上げる際の障壁を低減することを目指しています。ただし、現在は、only two consumer chains are live (Neutron and Stride).
- バビロンは、BTCを共有セキュリティに使用できるようにしようとしています。マージドマイニングに関連する問題に対処するために、ユーザーがBitcoin上でBTCをステーキング契約にロックできる仮想PoSレイヤーを構築しています(ブリッジングなし)。Bitcoinにはスマートコントラクトレイヤーがないため、ステーキング契約のスラッシングルールはBitcoinスクリプトで書かれたUTXOトランザクションの形式で表現されています。
- 他のネットワークでのリステーキングには🐙NearとSolanaのPicasso。Polkadotパラチェーンまた、共有セキュリティのコンセプトを活用しています。
既存のZK統合
- ZKと経済セキュリティーの中間点:ZKベースのセキュリティー保証は強力かもしれませんが、証明は依然として一部のアプリケーションにとって費用がかかりすぎるため、証明を生成するのに時間がかかりすぎます。これの1つの例はブレビスcoChain, which is a co-processor that gets its economic security from ETH re-stakers and guarantees computation optimistically (with ZK fraud proofs). dApps can choose between pure-ZK or coChain mode, depending on their specific needs regarding security and cost tradeoffs.
11 - 相互運用性
マルチチェーンの世界での安全で効率的な相互運用性は、Gate.ioのような課題を示しています。$2.8bnがブリッジハックで失われましたモジュラーシステムでは、相互運用性がさらに重要になります。他のチェーンとの通信だけでなく、モジュラーブロックチェーンではDAや決済層など、異なるコンポーネント同士の通信が必要とされます。そのため、統合されたブロックチェーンのように単にフルノードを実行したり、単一のコンセンサスプルーフを検証するだけではもはや実現不可能です。これにより、方程式にさらに多くの要素が加わります。
相互運用性には、トークンブリッジと、ブロックチェーン間でのより一般的なメッセージパッシングの両方が含まれます。世の中にはいくつかの異なるオプションがあり、それらはすべて安全性、遅延、およびコストに関して異なるトレードオフを行います。この 3 つすべてを最適化するのは非常に難しく、通常は少なくとも 1 つを犠牲にする必要があります。さらに、チェーン間で標準が異なるため、新しいチェーンでの実装がより困難になります。
私たちがまだ異なるタイプの軽量クライアント(またはノード)の明確な定義を欠いている間に、この投稿はDinoによるものです(Fluent&Modular Mediaの共同設立者)は良い紹介をしています。ほとんどの軽量クライアントは現在、合意のみを検証しますが、理想的には、実行とDAも検証できる軽量クライアントがあれば、信頼の前提を減らすことができます。これにより、ハードウェア要件が高くなくても、フルノードのセキュリティに近づくことが可能になります。
既存のZK統合
- ZKライトクライアント(コンセンサス検証):ほとんどの現行のライトクライアントは、他のチェーンのコンセンサスを検証できるようになっています。これは、完全な検証者セット(もし十分に小さい場合)または合計検証者のサブセット(例えば、イーサリアムの同期委員会ZKPsは、ソースチェーンで使用されている署名スキームが、宛先チェーンでネイティブにサポートされていない可能性があるため、検証を迅速かつ安価に行うために使用されます。ブリッジングにおけるZK軽量クライアントの重要性が増すことが予想されていますが、より広範な採用のための現在の摩擦要因には、証明と検証のコスト、および新しいチェーンごとにZK軽量クライアントを実装することが含まれます。この領域のプロトコルの例には、多面体, Availのデータ認証ブリッジとCelestiaのデータ認証ブリッジ、そして zkIBC by Electron Labs.
- ストレージ証明:前述のように、ストレージ証明は信頼できる第三者を使用せずに、ブロックチェーンから過去のデータと現在のデータの両方を問い合わせることを可能にします。これは相互運用性にとっても関連しており、クロスチェーン通信に使用できます。例えば、ユーザーはあるチェーン上にトークンを持っていることを証明し、それを別のチェーン上でガバナンスに使用することができます(ブリッジが必要なく)。また、ストレージ証明をブリッジングに使用しようとする試みもあります。LambdaClassによって開発されたこのソリューション.
- ZK Oracles: オラクルは仲介者として機能し、実世界のデータをブロックチェーンに橋渡しします。ZKオラクルは、データの起源と完全性、およびそのデータに対する行われた計算を証明することで、現在の信頼度ベースのオラクルモデルを改善します。
ZKPs が解決できるオープンな問題
- フルライトクライアント:他のチェーンのバリデータセットを盲信するのではなく、フルライトクライアントは正しい実行とDAも検証します。これにより信頼の前提が削減され、フルノードに近づくことができますが、ハードウェア要件は低く保たれます(より多くの人々がライトクライアントを実行できるようになります)。ただし、コンセンサス以外の検証は、特にEthereumなどのほとんどのチェーンではまだ非常に高価です。さらに、ライトクライアントは情報の検証のみを可能にし(問題の半分)、つまり情報が誤っていることを特定できますが、それに対処するための追加のメカニズムが必要です。
- 集約層: PolygonのAggLayerエコシステム内のL2間のスムーズな相互運用性を実現することを目指し、集約された証明と統一されたブリッジ契約を活用しています。集約された証明により、より効率的な検証とセキュリティが実現され、依存するチェーンの状態やバンドルが一貫していることが強制され、他のチェーンから無効な状態に依存している場合には、イーサリアム上でロールアップ状態を解決できません。zkSyncのHyperChainsそして利用可能なネクサスは同様のアプローチを取っています。
ZKがモジュラースタックを食べたのはいつですか?
ZKPの生成が非常に高速(光の速さでほぼ)かつ信じられないほど安価(ほぼ無料で)になる状態に達すると仮定すると、最終的な状況はどのようになりますか?言い換えると、ZKがモジュラースタックを食べ尽くしたときはいつですか?
大まかに言えば、私たちは世界のこの状態で真実だと考えています。
- すべての不必要な再実行が排除されます:実行のモデルを1/Nに移行することで(再実行を伴うN/Nではなく)、ネットワーク全体の冗長性を大幅に削減し、基礎となるハードウェアの効率的な利用を可能にします。いくつかのオーバーヘッドは残りますが、これにより、ブロックチェーンは計算効率の点で漸近的に中央集権的システムに近づくのに役立ちます。
- ほとんどのアプリケーションは、経済的なセキュリティではなく、ZKを有効にした暗号保証に頼っています。証明を生成するためのコストや時間がもはや関連性のある考慮事項でないとき、多くのアプリケーションはより強力な保証のためにZKPに頼ると考えています。これにはZKアプリケーションを構築するための使いやすさと開発者向けの改善が必要ですが、これらは複数のチームが取り組んでいる問題です。
第三の条件はプライバシー(または情報フロー管理)に関するものですが、これはより複雑です。ZKPは、クライアントサイドの証明を使用して、いくつかのプライバシーアプリケーションに使用できます。これは、Aleo、Aztec、またはPolygon Midenなどのプラットフォームが構築しているものですが、すべての潜在的なユースケースに対する広範なプライバシーの実現はMPCおよびFHEの進歩に依存しています。将来のブログ投稿の潜在的なトピックです。
私たちのテーゼに対するリスク
もし私たちが間違っていて、未来がモジュール化されていないし、ZK'fiedされていないとしたらどうなるのでしょうか?私たちの仮説に対するいくつかの潜在的なリスクが含まれます。
モジュラリティは複雑さを増加させます
ユーザーと開発者の両方が、増加し続けるチェーンの数に苦しんでいます。ユーザーは複数のチェーン(そして潜在的に複数のウォレット)を管理する必要があります。一方、アプリケーション開発者は、この領域がまだ進化し続けているため、安定性と予測可能性が少なくなり、どのチェーンに構築するかを決定するのが難しくなります。また、状態と流動性の断片化について考える必要があります。これは特に、どのコンポーネントを分離することが理にかなっており、どれが再結合されるのかという点で、まだ実験を続けている最前線で真実です。私たちは、ユーザー操作の抽象化と安全かつ効率的な相互運用ソリューションがこの問題を解決するために重要な部分であると信じています。
ZKはいつか十分なパフォーマンスを発揮することができるのでしょうか?
証明の生成には時間がかかりすぎており、証明と検証のコストが現在でもあまりに高すぎるという事実を避けることはできません。プライバシーのための信頼できる実行環境/TEEsやコストのための楽観的/暗号経済のセキュリティソリューションなど、競合する解決策の方が多くのアプリケーションにとってはより意味があると言えます。
ZKPsのソフトウェア最適化やハードウェアアクセラレーションに関する多くの作業が行われています。証明の集約により、コストを複数の異なる当事者に分散させることで、検証コストをさらに削減できます(コスト/ユーザーを低減)。また、ZKPsの検証によりベースレイヤーをより最適化する可能性もあります。ZKPsのハードウェアアクセラレーションに関する1つの課題は、証明システムの迅速な開発です。これにより、基本的な証明システムの基準が進化すると、専門のハードウェア(ASIC)を作成することが難しくなり、すぐに時代遅れになるリスクがあります。
IngonyamaGateは、OPEXに基づいているZKスコアという比較可能な指標を通じて、プルーバのパフォーマンスのベンチマーキングを試みました。MMOPS/WATTを追跡し、MMOPSは1秒あたりのモジュラー乗算演算を意味します。このトピックについてさらに詳しく読むには、ブログをお勧めします。@Cysic/BJQcpVbXn?ref=blog.succinct.xyz">Cysic and @ingonyama/revisiting-paradigms-hardware-acceleration-for-zero-knowledge-proofs-5dffacdc24b4">Ingonyama、このトークも含めて、齊藤和。
ZKPsが提供できる限定されたプライバシーは役立ちますか?
ZKPsは、個人の状態のプライバシーを実現するためにのみ使用でき、複数の当事者が暗号化されたデータで計算する必要がある共有状態(例:プライベートUniswap)には使用できません。FHEとMPCも完全なプライバシーのために必要ですが、これらはより広範囲で使用可能なオプションになる前に、コストと性能の点で多くの桁で改善する必要があります。とはいえ、ZKPsは、アイデンティティソリューションや支払いなど、プライベートな共有状態を必要としない特定のユースケースには依然として有用です。すべての問題を同じツールで解決する必要はありません。
概要
では、これで私たちはどこにいますか?毎日進歩している一方で、まだたくさんの作業が残っています。解決すべき最も緊急の問題は、さまざまなモジュラーコンポーネント間で価値と情報が安全に流れる方法、スピードやコストを犠牲にすることなく、また、それをすべてエンドユーザーから抽象化することです。これにより、異なるチェーン間の橋渡し、ウォレットの切り替えなどについて心配する必要がなくなります。
現在、まだ実験段階にありますが、各ユースケースにおいて最適なトレードオフのスペクトル上のどこにあるかを把握しながら、時間とともに安定化するはずです。その結果、(非公式または公式の)標準が出現し、これらのチェーン上でのビルダーにより安定性をもたらす余地が生まれるでしょう。
今日、依然としてZKPsを生成するコストと複雑さのために、多くのユースケースが暗号経済セキュリティにデフォルトしています。いくつかは、その二つの組み合わせが必要です. しかしながら、証明システムと特化型ハードウェアを設計することで、証明および検証のコストとレイテンシーを低下させるため、このシェアは時間とともに減少するはずです。コストとスピードの指数関数的な低下ごとに、新しいユースケースが開かれます。
この記事は特にZKPsに焦点を当てていますが、現代の暗号化ソリューション(ZKPs、MPC、FHE、およびTEE)がどのように連携するかにも興味がますます高まっています。それは既に見ていることです。
読んでくれてありがとう!
免責事項:
- この記事は、[から転載されました均衡]. すべての著作権は元の著者に帰属します [ ハンネス・フィトゥラ]. If there are objections to this reprint, please contact theGate Learnチーム、そして彼らは迅速に対処します。
- 責任の免責事項:本文に表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- 記事の翻訳は、Gate Learnチームによって他の言語に行われます。特に記載がない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
บทความที่เกี่ยวข้อง
Web3の新興トレンド:意図中心プロジェクトの概要
CARV: ゲームとAIにおけるデータ価値の革命
モルフォ・レンディング・プロトコルの概要
ZKはモジュラースタックを食べるのか?
ブロックチェーン(名詞):世界中の参加者が第三者の手助けなしに共通に合意されたルールに沿って協力することを可能にする調整機械。
コンピューターは、データを保存し、計算し、お互いや人間と通信するために設計されています。ブロックチェーンは、この3つのこと(保存、計算、通信)が合意された方法で行われるという追加の保証を加えた第4の次元を提供します。これらの保証により、信頼された第三者なしに見知らぬ人同士の協力が可能になります(分散化)。
これらの追加の保証は、経済的なもの(信頼ゲーム理論およびインセンティブ/非インセンティブ)または暗号的なもの(信頼数学)のいずれかであり、ほとんどのアプリケーションはその両方の組み合わせである暗号経済を利用しています。これは、主に評判に基づくシステムの現在の現状とは明確に対照をなしています。
Web3はしばしば「読む、書く、所有する」と表現されますが、我々はインターネットの第3世代については「読む、書く、検証する」という方が適切だと考えています。なぜなら、パブリックブロックチェーンの主な利点は保証された計算そして、これらの保証が守られたことを簡単に検証することができます。所有権は、買ったり売ったり、制御したりできるデジタルアーティファクトを構築すれば、保証された計算の部分集合となります。ただし、多くの場合、ブロックチェーンのユースケースは保証された計算から利益を得るものの、所有権とは直接関係していません。たとえば、完全にオンチェーンのゲームでのあなたのヘルスが77/100である場合、そのヘルスは所有していますか、それとも広く合意されたルールに従ってオンチェーンで強制されているだけですか?私たちは後者を主張するでしょうが、クリス・ディクソン意見が異なるかもしれません。
Web3 = 読む、書く、検証する
ZKとモジュラリティー - 加速させる2つのトレンド
ブロックチェーンには興奮する要素がたくさんありますが、分散型モデルはP2Pメッセージングやコンセンサスなどの追加機能によってオーバーヘッドと効率の低下ももたらします。さらに、ほとんどのブロックチェーンは引き続き再実行によって正しい状態遷移を検証します。つまり、ネットワーク上の各ノードは提案された状態遷移の正確性を検証するためにトランザクションを再実行する必要があります。これは無駄であり、中央集権型モデルとは対照的です。中央集権型モデルでは1つのエンティティのみが実行します。分散型システムには常にオーバーヘッドと複製が含まれますが、効率の面では漸近的に中央集権型の基準に近づくことを目指すべきです。
過去10年間で基盤インフラは大幅に改善されましたが、ブロックチェーンがインターネットレベルの規模を処理できるようになるには、まだ多くの作業が残っています。我々は、表現力と硬さという2つの主要な軸に沿ったトレードオフを見ており、モジュラリティがトレードオフフロンティアに沿ったより速い実験を可能にし、ZKがそれを拡大すると信じています。
- Expressivity - あなたが保証できるものは何ですか? スケーラビリティ(コスト、レイテンシ、スループットなど)、プライバシー(または情報フロー管理)、プログラマビリティ、およびコンポーザビリティが含まれています。
- ハードネス - これらの保証はどれくらい堅牢ですか?セキュリティ、分散化、ユーザー&コードの安全性を含んでいます。
モジュラリティは、システムのコンポーネントを分離および再組み合わせる度合いを示します。より速いフィードバックループとより低い進入障壁により、資本(経済的および人的の両方)を必要とせずに、モジュラリティはより速い実験と専門化を可能にします。モジュラ vs 統合の問題は2進的ではなく、むしろ、どの部分を分離するか、そしてどの部分を分離しないかを見極めるためのスペクトラムです。
ゼロ知識証明、またはZKPsは、一方の当事者(証明者)が、他方の当事者(検証者)に対して、あることが真実であることを証明することを可能にし、その妥当性以外の追加情報を明らかにすることなく、スケーラビリティと効率を向上させることができます(すべての実行を検証するモデルから1つが実行し、すべてが検証するモデルに移行することによって)。また、プライバシー(制限付き)を可能にすることで、表現力も向上させます。ZKPsは、弱い暗号経済的保証をより強力なものに置き換えることで、保証の難しさを向上させ、トレードオフの限界を外側に押し出すことで、表されます(上記のチャートを参照)。
私たちは、モジュラリティと「すべてのZKfication」の両方が加速し続けるトレンドだと信じています。両方とも個別に空間を探索する興味深いレンズを提供しますが、私たちは特にその2つのクロスオーバーに興味があります。私たちが興味を持っている2つの主要な質問は次のとおりです。
- モジュラースタックのどの部分にZKPが既に組み込まれており、どの部分がまだ未開拓ですか?
- ZKPs でどの問題が緩和される可能性がありますか?
ただし、これらの質問に入る前に、2024年のモジュラースタックの最新のビューが必要です。
2024年のモジュラースタック
よく使われるモジュラースタックのイメージは、4つのコンポーネント(実行、データ公開、合意、決済)を持つものです。これは単純なメンタルモデルとして有用ですが、モジュラースペースが進化したことを考えると、もはや適切な表現ではないと感じます。さらなるアンバンドリングにより、以前は大きな一部と考えられていた新しいコンポーネントが生まれ、さらに異なるコンポーネント間の安全な相互運用性の必要性と新たな依存関係が生まれます(後で詳しく説明します)。この領域が進化するペースを考えると、スタックの異なるレベルでのあらゆる革新について常に最新情報を得ることは難しいかもしれません。
これまでのWeb3スタックの探索の試みには、Gate.ioによるものが含まれます。Kyle Samani(マルチコイン) - 元々公開されました2018そして更新されました2019。それは分散型の最後のマイルのインターネットアクセス(など、ヘリウム)エンドユーザーキーマネジメントを終了します。それに関連する原則は再利用できる可能性がありますが、証明や検証などの一部の要素が完全に欠落しています。
これらを考慮に入れて、2024年のモジュラースタックの更新された表現を作成しようと試みました。既存の4つの部分からなるモジュラースタックを拡大しています。機能ではなくコンポーネントごとに分割されており、たとえばP2Pネットワーキングは機能としてではなくコンセンサスに含まれています。これは、プロトコルを構築するのが難しいためです。
ZKインザモジュラースタック
モジュラースタックの最新のビューを持っているので、実際の問題、つまり、ZKがすでに浸透しているスタックの部分と、ZKを導入することによって解決できるオープンな問題(再実行を回避するかプライバシー機能を使用するか)を見ていくことができます。各コンポーネントを個別に詳しく調査する前に、私たちの調査結果の要約を以下に示します。
1 - ユーザー操作の抽象化
ブロックチェーンの現行ユーザーは、複数のチェーン、ウォレット、インターフェースをナビゲートする必要があり、これは広範な採用のための障害となります。ユーザー操作の抽象化は、この複雑さを抽象化し、ユーザーがバックエンドで複雑さが発生する中で、たとえば特定のアプリケーションやウォレットなど、1つのインターフェースだけとやり取りできるようにするための試みの総称です。インフラレベルの抽象化の例には、次のようなものがあります:
- Account abstraction (AA)は、各操作ごとにユーザーの署名を必要とせずにスマートコントラクトが取引を行うことを可能にします(プログラマブル暗号アカウント”).署名できる人(鍵管理)、署名する内容(txペイロード)、署名方法(署名アルゴリズム)、署名するタイミング(トランザクション承認の条件)を定義するために使用できます。これらの機能を組み合わせることで、ソーシャルログインを使用したdApps、2FA、アカウント復旧、自動化(txへの自動署名)などが可能になります。議論はしばしばイーサリアム(ERC-43372023年春に成立した法律には、他の多くのチェーンがすでに組み込み済み、ネイティブなアカウント抽象化がありますAptos, スイ、近く, ICP,スタークネット, そして zkSync)。
- Chain Abstraction allows users to sign transactions on different chains while only interacting with one account (one interface, multiple chains). Several teams are working on this, including Near、ICP, そして dウォレットこれらのソリューションは、MPCとチェーン署名を活用しており、他のネットワークの秘密鍵が複数の小さな部分に分割され、ソースチェーンの検証者によって共有され、クロスチェーントランザクションに署名します。ユーザーが別のチェーンとやり取りしたい場合、十分な数の検証者がトランザクションに署名してしきい値暗号化を満たす必要があります。これにより、秘密鍵がどこでも完全に共有されることはないため、セキュリティが維持されます。しかし、検証者の共謀のリスクに直面する可能性があります。これが、基礎となるチェーンの暗号経済セキュリティと検証者の分散化が依然として非常に重要である理由です。
- 高いレベルで言えば、インテントはユーザーの要望と必要性をブロックチェーンで実行可能な操作につなげることを可能にします。これにはインテントソルバーが必要で、これはユーザーの意図に最適な解決策を見つけるために任された専門のオフチェーンエージェントです。既にいくつかのアプリが専門のインテントを使用しており、DEXアグリゲーター(「最良の価格」)やブリッジアグリゲーター(「最安値/最速のブリッジング」)などがあります。一般的なインテント決済ネットワークアノマ、エッセンシャル、スワーヴ)ユーザーがより複雑な意図を表現しやすくし、開発者が意図中心のアプリケーションを構築しやすくすることを目指しています。ただし、プロセスを形式化する方法、意図中心の言語がどのように見えるか、常に最適な解決策が存在するか、それを見つけることができるかなど、まだ多くの未解決の問題があります。
既存のZK統合
- AA x ZKを使用した認証:これの1つの例はSuiのzkログイン, ユーザーは電子メールアドレスなどの馴染みのある資格情報を使用してログインできるようにするものです。それはZKPsを使用して、第三者がSuiアドレスを対応するOAuth識別子とリンクするのを防ぎます。
- AAウォレットのより効率的な署名検証:AA契約での取引の検証は、従来のアカウント(EOA)によってイニシエートされた取引よりもかなり高額になる可能性があります。オービターこれを解決しようとするために、ZKPsを活用したバンドラーサービスを使用して、トランザクション署名の正確性を検証し、AAアカウントのノンス値とガス残高を維持します(Merkleワールドステートツリーを介して)。プルーフの集約とオンチェーン検証コストをすべてのユーザー間で均等に分担することで、これにより著しいコスト削減がもたらされる可能性があります。
ZKPs が解決できるオープンな問題
- 最善の実行または意図の達成の証明:意図とAAはユーザーから複雑さを抽象化する一方、中央集権化の要因ともなり、最適な実行パスを見つけるために専門家(ソルバー)に依存する必要があります。ソルバーの善意を単に信頼するのではなく、ZKPsを使用して、ユーザーのための最適なパスがソルバーによってサンプリングされたパスの中から選択されたことを証明する可能性があります。
- 意図決済のためのプライバシー:Gate.ioなどのプロトコルタイガユーザーのプライバシーを保護するために完全に保護された意図的な決済を実現することを目指しています - ブロックチェーンネットワークにプライバシー(または少なくとも機密性)を追加する動きの一環です。状態の遷移に関する機密情報(アプリケーションの種類、関与する当事者など)を隠すためにZKPs(Halo2)を使用しています。
- AAウォレットのパスワードリカバリー:"The idea behind"この提案ユーザーがプライベートキーを失った場合でも、ウォレットを復元できるようにすることです。契約ウォレットにハッシュ(パスワード、ナンス)を保存することで、ユーザーはパスワードのヘルプを受けてZKPを生成し、それが自分のアカウントであることを検証し、プライベートキーの変更を要求することができます。確認期間(3日以上)は、不正なアクセス試行に対する保護機能として機能します。
2 - シーケンシング
トランザクションは、ブロックに追加される前に順序付ける必要があります。これは多くの方法で行うことができます: 提案者による収益性による順序付け(最も支払いの多いトランザクションから)、提出された順序で(先入れ先出し)、プライベートメモリプールからのトランザクションに優先度を与えるなど。
もう1つの質問は、取引の順序を誰が決定するかです。モジュラーワールドでは、ロールアップシーケンサー(中央集権化または分散化を含む)、L1シーケンス(ベースロールアップ)、および共有シーケンスネットワーク(複数のロールアップに使用される分散ネットワークのシーケンサー)など、複数の異なる当事者がこれを行うことができます。これらすべては異なる信頼の前提条件とスケーリング能力実際には、取引の実際の順序付けやブロックへのまとめは、専門家(ブロックビルダー)によってプロトコル外で行うこともできます。
既存のZK統合
- mempoolの正しい暗号化を検証中: 半径は、実証可能な遅延暗号化を備えた暗号化されたメモリプールを持つ共有シーケンシングネットワークですPVDE). ユーザーは、タイムロックパズルを解くことが正しいトランザクションの復号化につながることを証明するためにZKPを生成します。つまり、トランザクションには有効な署名とナンスが含まれ、送信者にはトランザクション手数料を支払う十分な残高があることを証明します。
ZKPsが解決できるオープンな問題
- 検証可能なシーケンスルール(VSR):提案者/シーケンサーを従う実行順序に関するルールのセットこれらのルールが守られていることを追加で保証する。検証はZKPまたは詐欺証拠を通じて行うことができ、後者は提案者/シーケンサーが不適切な行動を取った場合に割り引かれる十分に大きな経済的担保が必要です。
3 - 実行(書き込みのスケーリング)
実行レイヤーには、状態が更新される方法のロジックが含まれており、スマートコントラクトが実行される場所です。計算の出力を返すだけでなく、zkVMは状態の遷移が正しく行われたことを証明することも可能です。これにより、他のネットワーク参加者は、証明の検証のみで正しい実行を検証できます。再実行する必要はありません。
高速で効率的な検証に加えて、証明可能な実行のもう一つの利点は、ガスやオンチェーンのリソースの制限がないため、オフチェーンの計算では通常の問題に直面することがないことです。これにより、ブロックチェーン上で実行する際に計算量が多くなりがちな完全に新しいアプリケーションが可能になり、保証された計算を活用できるようになります。
既存のZK統合
- zkEVMロールアップ:Ethereumと互換性があるように最適化された特別なタイプのzkVMで、EVM実行環境を証明します。ただし、Ethereumとの互換性が高いほど、パフォーマンスのトレードオフが大きくなります。2023年に複数のzkEVMがローンチされました。Polygon zkEVM、zkSyncエラ、スクロール, そして Linea. Polygon recently announced their タイプ1 zkEVMプルーバー, これにより、メインネットのEthereumブロックを1ブロックあたり$0.20〜$0.50で証明できます(さらなるコスト削減のための最適化が今後行われます)。RiscZeroもソリューションを持っていますその証明を可能にするが、限られたベンチマークを用いてコストが高くなるイーサリアムブロック。
- Alternative zkVMs: 一部のプロトコルは、パフォーマンス/証明性を最適化するための代替経路を取っています(スタークネット、Zorp)または開発者向けの使いやすさを重視しており、イーサリアムとの互換性を最大限にすることを目指していません。後者の例にはzkWASMプロトコルなどがあります(流暢、デルフィヌスラボ) および zkMOVE (M2そしてzkmove)
- プライバシーに焦点を当てたzkVM: この場合、ZKPsは2つのことに使用されます。再実行を回避し、プライバシーを実現します。 ZKPsだけでは達成できるプライバシーは限られています(個人のプライベートな状態のみ)。新しいプロトコルでは、既存のソリューションに多くの表現力とプログラム可能性が追加されます。例には、Aleoのものが含まれます。snarkVM、AztecのAVM、およびPolygonのMidenVM.
- ZK-coprocessors:チェーン上のデータでオフチェーン計算を可能にします(ただし、状態はありません)。 ZKPsは正しい実行を証明するために使用され、楽観的な共同プロセッサよりも高速な決済を提供しますが、コストのトレードオフがあります。 ZKPsを生成するコストと/または難しさを考慮すると、いくつかのハイブリッドバージョンが見られます。ブレビスコチェーン, 開発者がZKモードまたは楽観モード(コストと保証の硬さのトレードオフ)の間で選択できるようにします。
ZKPs が解決できるオープンな問題
- Enshrined zkVM: ほとんどのベースレイヤー(L1s)は、正しい状態遷移を検証するために再実行を使用しています。ベースレイヤーにzkVMを確立すると、代わりにバリデータは証明を検証できるため、これを回避できます。これにより運用効率が向上します。ほとんどの注目が、確立されたzkEVMを備えたEthereumにありますが、他の多くのエコシステムも再実行に依存しています。
- zkSVM: SVMは今日、Solana L1内で主に使用されていますが、Eclipseのようなチームは、Ethereumで決済するロールアップにSVMを活用しようとしています。Eclipseはまた、使用する予定ですZK詐欺証明のためのRisc ZeroSVMの状態遷移の潜在的な課題に対して。しかし、完全なzkSVMはまだ探求されていない-おそらく問題の複雑さとSVMが証明可能性以外の他のことに最適化されているという事実のためかもしれません。
4 - データクエリ(スケーリングリード)
ブロックチェーンからデータをクエリすること、またはデータを読み取ることは、ほとんどのアプリケーションにとって重要な部分です。過去数年間の多くの議論や取り組みは書き込み(実行)のスケーリングに焦点を当ててきましたが、読み取りのスケーリングは、特に分散型の環境では2つの間の不均衡があるため、さらに重要です。 読み取り/書き込みの比率はブロックチェーンによって異なりますが、1つのデータポイントはありますシグの見積もりSolanaノードへのすべての呼び出しの>96%が読み取り呼び出しでした(2年間の実証データに基づく)- 読み取り/書き込み比率は24:1です。
スケーリングリードには、専用のバリデータクライアント(SolanaのSigなど)を使用してパフォーマンスを向上させる(より多くの読み取り/秒)だけでなく、より複雑なクエリを可能にする(読み取りと計算を組み合わせる)、たとえば、共同プロセッサーの支援を受けています。
もう1つの視点は、データクエリの方法を分散化することです。今日、ブロックチェーンにおけるほとんどのデータクエリリクエストは、信頼できる第三者(評判に基づく)によって補助されています。たとえば、RPCノード(Infura) and indexers (デューン)。より分散化されたオプションの例には、ザ・グラフおよびストレージ証明オペレーター(これも検証可能です)。また、分散型のRPCネットワークを作成しようとする試みもいくつかあります。Infura DINまたはLava Network(分散型RPC以外に、Lavaは後で追加のデータアクセスサービスを提供することを目指しています)。
既存のZK統合
- ストレージ証明: 信頼できる第三者を使用せずにブロックチェーンから過去および現在のデータを問い合わせることを可能にします。ZKPsは圧縮に使用され、正しいデータが取得されたことを証明します。この分野で構築されているプロジェクトの例にはアクシオム, ブレビス、ヘロドトス、そしてラグランジュ.
ZKPsが解決できるオープンな問題
- プライベート状態の効率的なクエリ: プライバシープロジェクトでは、アカウントモデルよりも優れたプライバシー機能を実現するUTXOモデルのバリエーションがよく使用されますが、開発者向けの利便性が損なわれる代わりに、プライベートUTXOモデルは同期の問題につながることもあります。Zcashは苦戦しています2022年以降、保護された取引のボリュームが大幅に増加したことから。ウォレットは資金を使う前にチェーンに同期する必要があります。そのため、これはネットワークの動作にとって非常に基本的な課題です。この問題に備えて、Aztec最近RFPを投稿しましたメモの発見に関するアイデアはありますが、まだ明確な解決策は見つかっていません。
5 - 証明
ますます多くのアプリケーションがZKPsを取り入れるにつれて、証明と検証がモジュラースタックの重要な部分に迅速になっています。しかし、現在、ほとんどの証明インフラストラクチャはまだ許可され、中央集権化されており、多くのアプリケーションが単一の証明者に依存しています。
中央集権的な解決策は複雑さが少ない一方、証明アーキテクチャを分散化し、モジュラースタック内の別のコンポーネントに分割することにより、いくつかの利点がもたらされます。1つの主要な利点は、頻繁な証明生成に依存するアプリケーションにとって重要なライブネス保証です。ユーザーは、競争と複数の証明者に作業を分担することにより駆動される高い検閲耐性と低い手数料からも利益を得ています。
一般的な用途の証明者ネットワーク(多くのアプリ、多くの証明者)は、単一のアプリケーションの証明者ネットワーク(1つのアプリ、多くの証明者)よりも、既存のハードウェアのより高い利用率と、証明者にとってのより少ない複雑さにより優れていると考えています。より高い利用率は、証明者が冗長性に対する補償を必要とせずに済むため、ユーザーにとっても低い手数料の面で利益になります(ただし、固定費用をカバーする必要があります)。
Figment Capital現在のプルーフサプライチェーンの現状の良い概要を提供しました。これは、プルーフ生成とプルーフ集約の両方で構成されており(それ自体がプルーフ生成であるが、実行トレースではなく入力として2つのプルーフを取るだけです)。
ソース:Figment Capital
既存のZK統合
- STARK with SNARK wrapper: STARKプルーバーは高速で信頼されたセットアップが不要ですが、欠点としては、Ethereum L1で検証するのが非常に高価な大きな証明を生成します。最終段階でSTARKをSNARKでラップすると、Ethereum上で検証するコストが大幅に削減されます。欠点としては、これに複雑さが追加され、これらの「複合証明システム」のセキュリティが十分に研究されていない点があります。既存の実装例には、Polygon zkEVM, zkSync時代のBoojum、およびRISC Zero.
- 汎用分散型証明ネットワーク:分散型証明ネットワークにさらに多くのアプリケーションを統合することで、プルーファーにとってより効率的(ハードウェアの利用率が高い)であり、ユーザーにとってより安価(ハードウェアの冗長性のために支払う必要がない)になります。この分野のプロジェクトには、ゲヴロットそして簡潔.
ZKPsが解決できるオープンな問題
- ZK Fraud Proofs:楽観的な解決策では、誰もが状態の遷移に異議を唱え、異議申立期間中に詐欺証拠を作成することができます。ただし、詐欺証拠の検証は再実行を介して行われるため、かなり手間がかかります。ZK詐欺証拠は、挑戦されている状態の遷移の証拠を作成することで、より効率的な検証(再実行の必要なし)と潜在的に迅速な決済を可能にすることを目指しています。これに少なくとも1つで取り組んでいますOptimism (in collaboration with O1 Labs and RiscZero), and AltLayer x RiscZero。
- より効率的な証明集約: ZKPの素晴らしい機能の1つは、複数の証明を1つの証明に集約することができ、検証コストを大幅に増やすことなく行うことができる点です。これにより、検証コストを複数の証明またはアプリケーションに分散することが可能となります。証明集約も証明ですが、入力は実行トレースではなく2つの証明です。この分野のプロジェクトの例には、NEBRAそしてGevulot.
ソース: Figment Capital
6 - データの公開 (可用性)
データ公開(DP)は、データが短期間(1-2週間)で利用可能で簡単に取得できることを保証します。これは、セキュリティ(楽観的ロールアップでは、正しい実行を検証するために入力データが必要であり、チャレンジ期間中の再実行が必要です(1-2週間))およびライブネス(システムが有効性証明を使用していても、脱出口、強制取引の資産所有権を証明するために基になる取引データが必要になる場合や、入力が出力と一致していることを検証する場合があります)。ユーザー(zk-bridgesやロールアップなど)は、1回限りの支払いに直面し、取引と状態を保存するコストをカバーし、それが剪定されるまでの短期間の費用を補います。データ公開ネットワークは長期的なデータストレージを目的としていません(代わりに、可能な解決策については次のセクションを参照してください)。
セレスティア最初の代替DPレイヤーは、メインネットをローンチしました(10月31日)、しかし、選択肢は今後たくさん出てくるでしょう利用可能, EigenDA、とNear DA2024年にすべての発売が予定されています。また、EthereumのEIP 4844Ethereumのスケーラブルなデータ公開のアップグレード(ブロブストレージのための別個の手数料市場の作成に加えて)、およびフルダンクシャーディングのステージ設定。 DPは他のエコシステムにも拡大しており、1つの例があります。@nubit_org/riema-secures-angel-investment-for-launching-the-first-bitcoin-native-data-availability-layer-49ccf0487380">Nubitは、ビットコイン上でネイティブDPを構築することを目的としています。
多くのDPソリューションは、ソブリンロールアップの共有セキュリティ(セレスティアそして利用可能)またはロールアップ間のよりスムーズな相互運用性(Availのようなネクサス). また、プロジェクトもあります。ドミコンそしてゼロ重力) 両方のデータ公開と長期状態の保持を提供する)、これは魅力的な提案です。これはモジュラースタック内の2つのコンポーネントを再バンドルする例でもあり、今後ますます見られることでしょう(さらなるアンバンドリングと再バンドリングの実験)。
既存のZK統合
- 消去符号の正当性の証明: 消去符号は、エンコードされたデータの一部が利用できない場合でも、元のデータが回復可能であるような一定レベルの冗長性をもたらします。これは、軽量ノードがブロックの一部しか確率的にデータが存在することを保証するためにサンプリングするDASの前提条件でもあります。悪意のある提案者がデータを誤ってエンコードした場合、軽量ノードが十分な一意のチャンクをサンプリングしていても、元のデータが回復できない可能性があります。正しい消去符号化の証明は、有効性証明(ZKPs)または詐欺証明を使用して行うことができます - 後者はチャレンジ期間に関連する遅延に苦しんでいます。Celestiaを除くすべての他のソリューションは、有効性証明を使用することに取り組んでいます。
- データブリッジを強化するZKライトクライアント:外部データパブリッシングレイヤーを使用するロールアップは、データが適切にパブリッシュされたことを決済レイヤーに伝える必要があります。これが、データ構成証明ブリッジの目的です。ZKPを使用すると、ソースチェーンのコンセンサス署名の検証がイーサリアム上でより効率的になります。両方のアベイルズ(ベクトルX) そしてセレスティアの(BlobstreamX)データアテステーションブリッジは、Succinctと共に構築されたZKライトクライアントで動作しています。
ZKPsが解決できるオープンな問題
- Celestia incorporating validity proofs for correct erasure coding: Celestia is currently an outlier amongst the data publication networks as it 正しい消去符号化のために詐欺証明を使用します悪意のあるブロック提案者がデータを誤ってエンコードした場合、他のどの完全ノードでも詐欺証拠を生成してこれに異議を唱えることができます。このアプローチは実装がやや簡単ですが、遅延をもたらす(ブロックは詐欺証拠ウィンドウの後でのみ最終的)し、軽いノードが1つの誠実な完全ノードに詐欺証拠を生成することを信頼する必要があります(自分自身で検証できません)。セレスティアは探検しています現在のリード・ソロモン符号化とZKPを組み合わせて正しい符号化を証明すると、ファイナリティが大幅に低下します。このトピックに関する最新の議論は、次のとおりですここ以前の作業グループからの記録(CelestiaベースレイヤーにZKPを追加する一般的な試みに加えて)。
- ZK-proving DAS: これまでにいくつかの探求が行われてきましたZK-証明データの可用性, 軽量ノードは、通常、データの小さなチャンクをダウンロードしてサンプリングする必要がある代わりに、メルクルルートとZKPを単に検証するだけで済むようになりました。これにより、軽量ノードの要件がさらに削減されますが、開発が停滞しているようです。
7 - 長期(ステート)ストレージ
歴史データを保存することは、主に同期の目的とデータ要求の提供のために重要です。ただし、すべてのフルノードがすべてのデータを保存することは現実的ではなく、ほとんどのフルノードは古いデータを削除してハードウェアの要件を合理的な範囲に保ちます。代わりに、専門の当事者(アーカイブノードやインデクサー)に依存して、すべての歴史データを保存し、ユーザーの要求に応じて利用可能にします。
分散型ストレージプロバイダーもあります、Gate.ioのようなFilecoinまたはアーウィーヴ、それは合理的な価格で長期間の分散型ストレージソリューションを提供するプロトコルです。ほとんどのブロックチェーンはアーカイブストレージの形式的なプロセスを持っていません(単に誰かがそれを保存することに依存しています)、分散型ストレージプロトコルは歴史的なデータを保存し、ストレージネットワークの組み込みインセンティブを通じていくつかの冗長性(少なくともXノードがデータを保存)を追加するのに適した候補です。
既存のZK統合
- ストレージの証明:長期間のストレージプロバイダーは、主張するすべてのデータを保存していることを定期的に証明するためにZKPsを生成する必要があります。これの例はFilecoinの時空の証明(PoSt)では、ストレージ・プロバイダーは、PoStチャレンジに正しく回答するたびにブロック報酬を獲得します。
ZKPsが解決できるオープンな問題
- データの出所と機密データの閲覧権限の証明:機密データを交換したい2つの信頼できない当事者がいる場合、ZKPを使用して、実際の文書をアップロードせずに、パスワードやログインの詳細を開示することなく、1つの当事者がデータを閲覧するために必要な資格を持っていることを証明することができます。
8 - コンセンサス
ブロックチェーンは分散P2Pシステムであるため、グローバルな真実を決定する信頼できる第三者は存在しません。代わりに、ネットワークのノードは、現在の真実(正しいブロックがどれか)について合意するために、コンセンサスと呼ばれるメカニズムを通じて合意します。PoSベースのコンセンサスメソッドは、BFTベース(ビザンチン耐性クォーラムの検証者が最終状態を決定する)またはチェーンベース(最終状態がフォーク選択ルールによって追って決定される)に分類されます。ほとんどの既存のPoSコンセンサス実装はBFTベースです。カルダノ最長チェーン実装の例です。また、Aleo、Aptos、およびSuiにいくつかのバリエーションで実装されているナーワル・ブルシャークなどのDAGベースのコンセンサスメカニズムにも興味が高まっています。
コンセンサスは、共有シーケンサー、分散型証明、ブロックチェーンベースのデータ公開ネットワーク(EigenDAなどの委員会ベースではない)など、モジュラースタックのさまざまなコンポーネントの重要な部分です。
既存のZKインテグレーション
- ZKベースのプライバシーネットワークでのステーキング:PoSベースのプライバシーネットワークは、ステーキングトークンの保有者がプライバシーとコンセンサスへの参加(およびステーキングリワードの受け取り)の間で選択する必要性を提示します。Penumbraはこれを解決することを目指していますステーキング報酬を削除し、代わりに未償還および償還されたステークを別々の資産として扱います。この方法により、個々の委任を非公開に保ちながら、各検証者に償還された総額は依然として公開されています。
- プライベートガバナンス:匿名投票を実現することは、暗号通貨の世界では長らく課題となってきました。Gateなどのプロジェクトが取り組んできました。Nouns プライベート投票これを前進させようとしています。匿名投票にも同じことが当てはまり、少なくともペナンブラで提案に対する匿名投票が進められています。この場合、ZKPを使用して、投票権利を持っていること(たとえばトークンの所有権を通じて)や特定の投票基準が満たされていること(すでに投票していないことなど)を証明することができます。
ZKPsが解決できるオープンな問題
- プライベートリーダー選挙:イーサリアムは現在、各エポックの初めに次の32人のブロック提案者を選出し、この選挙の結果は公開されています。これにより、悪意のある当事者が各提案者に順番にDoS攻撃を仕掛けてイーサリアムを無効にしようとするリスクが生じます。この問題に対処しようとする試みとして、ホイップイーサリアムでブロック提案者を選出するためのプライバシー保護プロトコルの提案です。検証者はZKPsを使用して、シャッフリングとランダム化が正直に行われたことを証明します。同様の最終目標を達成するための他のアプローチもあり、その中にはこの中でカバーされているものもあります。a16zによるブログ投稿.
- シグネチャ集約:ZKPを使用して署名を集約することで、署名検証の通信および計算オーバーヘッドを大幅に削減できる可能性があります(個々の署名ではなく、1つの集約された証明を検証します)。これは既にZKライトクライアントで活用されていますが、合意にも拡張される可能性があります。
9 - 決済
決済は最高裁判所に似ており、状態遷移の正確性が検証され、紛争が解決される真実の最終源泉です。取引は不可逆のポイントで最終と見なされます(または確率的最終性の場合、それを逆戻りすることが十分に困難なポイントで)。最終性にかかる時間は、使用される基盤となる決済レイヤーに依存し、それはさらに使用される具体的な最終性ルールとブロック時間に依存します。
クロスロールアップ通信では、ファイナリティの遅さが特に問題となっており、ロールアップはトランザクションを承認する前にイーサリアムからの確認を待たなければなりません(楽観的ロールアップでは7日、妥当性ロールアップでは12分と証明時間)。これによりユーザーエクスペリエンスが低下しています。この問題を解決するための取り組みが複数あり、ある程度のセキュリティを持つ事前確認を使用する方法があります。例として、エコシステム固有のソリューション(Polygon AggLayerまたはzkSync ハイパーブリッジ) および一般的な用途のソリューションなどNearの高速確定層EigenLayerを活用して複数の異なるロールアップエコシステムを接続しようとするプロジェクトです。また、オプションとして、EigenLayerを活用したネイティブロールアップブリッジ完全な最終性を待つことなく、ソフト確認のため
既存のZK統合
- Gate速度向上と正当性ロールアップ:楽観的ロールアップとは異なり、正当性ロールアップには誰もが挑戦しなくても正しい状態遷移を証明するためにZKPに依存するため、チャレンジ期間は必要ありません(悲観的ロールアップ)。これにより、ベースレイヤーでの決済が大幅に高速化され(Ethereumの12分対7日)、再実行を回避できます。
10 - セキュリティ
セキュリティは保証の硬さに関連しており、ブロックチェーンの価値提案の重要な部分です。しかし、暗号経済セキュリティを起動することは難しいです-参入障壁を高め、それが必要とするアプリケーション(さまざまなミドルウェアや代替L1)にとってイノベーションの摩擦として機能します。
共有セキュリティのアイデアは、PoSネットワークから既存の経済的セキュリティを利用し、追加のスラッシングリスク(罰則の条件)にさらすことです。各コンポーネントが独自に起動しようとするのではなく。PoWネットワークでも同じことをしようとする以前の試みがいくつかありました。マージドマイニングしかし、インセンティブの不一致により、マイナーが共謀し、プロトコルを悪用しやすくなりました(物理世界での作業としての悪い行動を罰するのが難しい、つまりコンピューティングパワーを使用したマイニング)。 PoSセキュリティは他のプロトコルにより柔軟に使用することができます。なぜなら、それにはポジティブな(ステーキング報酬)とネガティブな(スラッシング)インセンティブの両方があるからです。
共有セキュリティを前提としたプロトコルの構築には、次のものが含まれます:
- EigenLayerは、広範囲のアプリケーションをセキュリティで保護するために既存のEthereumセキュリティを活用しようとしています。ホワイトペーパーは2023年初頭に公開され、EigenLayerは現在、メインネットのアルファ版にあり、今年後半にはフルメインネットの開始が予定されています。
- Cosmosはそのインターチェーンセキュリティ(ICS)2023年5月にCosmosの最大のチェーンの1つであるCosmos Hubを可能にし、〜$2.4bnのステーキングされたATOM- コンシューマーチェーンにセキュリティをリースすること。 Cosmos Hubを駆動する同じ検証者セットを使用して、コンシューマーチェーン上のブロックも検証することで、Cosmosスタックの上に新しいチェーンを立ち上げる際の障壁を低減することを目指しています。ただし、現在は、only two consumer chains are live (Neutron and Stride).
- バビロンは、BTCを共有セキュリティに使用できるようにしようとしています。マージドマイニングに関連する問題に対処するために、ユーザーがBitcoin上でBTCをステーキング契約にロックできる仮想PoSレイヤーを構築しています(ブリッジングなし)。Bitcoinにはスマートコントラクトレイヤーがないため、ステーキング契約のスラッシングルールはBitcoinスクリプトで書かれたUTXOトランザクションの形式で表現されています。
- 他のネットワークでのリステーキングには🐙NearとSolanaのPicasso。Polkadotパラチェーンまた、共有セキュリティのコンセプトを活用しています。
既存のZK統合
- ZKと経済セキュリティーの中間点:ZKベースのセキュリティー保証は強力かもしれませんが、証明は依然として一部のアプリケーションにとって費用がかかりすぎるため、証明を生成するのに時間がかかりすぎます。これの1つの例はブレビスcoChain, which is a co-processor that gets its economic security from ETH re-stakers and guarantees computation optimistically (with ZK fraud proofs). dApps can choose between pure-ZK or coChain mode, depending on their specific needs regarding security and cost tradeoffs.
11 - 相互運用性
マルチチェーンの世界での安全で効率的な相互運用性は、Gate.ioのような課題を示しています。$2.8bnがブリッジハックで失われましたモジュラーシステムでは、相互運用性がさらに重要になります。他のチェーンとの通信だけでなく、モジュラーブロックチェーンではDAや決済層など、異なるコンポーネント同士の通信が必要とされます。そのため、統合されたブロックチェーンのように単にフルノードを実行したり、単一のコンセンサスプルーフを検証するだけではもはや実現不可能です。これにより、方程式にさらに多くの要素が加わります。
相互運用性には、トークンブリッジと、ブロックチェーン間でのより一般的なメッセージパッシングの両方が含まれます。世の中にはいくつかの異なるオプションがあり、それらはすべて安全性、遅延、およびコストに関して異なるトレードオフを行います。この 3 つすべてを最適化するのは非常に難しく、通常は少なくとも 1 つを犠牲にする必要があります。さらに、チェーン間で標準が異なるため、新しいチェーンでの実装がより困難になります。
私たちがまだ異なるタイプの軽量クライアント(またはノード)の明確な定義を欠いている間に、この投稿はDinoによるものです(Fluent&Modular Mediaの共同設立者)は良い紹介をしています。ほとんどの軽量クライアントは現在、合意のみを検証しますが、理想的には、実行とDAも検証できる軽量クライアントがあれば、信頼の前提を減らすことができます。これにより、ハードウェア要件が高くなくても、フルノードのセキュリティに近づくことが可能になります。
既存のZK統合
- ZKライトクライアント(コンセンサス検証):ほとんどの現行のライトクライアントは、他のチェーンのコンセンサスを検証できるようになっています。これは、完全な検証者セット(もし十分に小さい場合)または合計検証者のサブセット(例えば、イーサリアムの同期委員会ZKPsは、ソースチェーンで使用されている署名スキームが、宛先チェーンでネイティブにサポートされていない可能性があるため、検証を迅速かつ安価に行うために使用されます。ブリッジングにおけるZK軽量クライアントの重要性が増すことが予想されていますが、より広範な採用のための現在の摩擦要因には、証明と検証のコスト、および新しいチェーンごとにZK軽量クライアントを実装することが含まれます。この領域のプロトコルの例には、多面体, Availのデータ認証ブリッジとCelestiaのデータ認証ブリッジ、そして zkIBC by Electron Labs.
- ストレージ証明:前述のように、ストレージ証明は信頼できる第三者を使用せずに、ブロックチェーンから過去のデータと現在のデータの両方を問い合わせることを可能にします。これは相互運用性にとっても関連しており、クロスチェーン通信に使用できます。例えば、ユーザーはあるチェーン上にトークンを持っていることを証明し、それを別のチェーン上でガバナンスに使用することができます(ブリッジが必要なく)。また、ストレージ証明をブリッジングに使用しようとする試みもあります。LambdaClassによって開発されたこのソリューション.
- ZK Oracles: オラクルは仲介者として機能し、実世界のデータをブロックチェーンに橋渡しします。ZKオラクルは、データの起源と完全性、およびそのデータに対する行われた計算を証明することで、現在の信頼度ベースのオラクルモデルを改善します。
ZKPs が解決できるオープンな問題
- フルライトクライアント:他のチェーンのバリデータセットを盲信するのではなく、フルライトクライアントは正しい実行とDAも検証します。これにより信頼の前提が削減され、フルノードに近づくことができますが、ハードウェア要件は低く保たれます(より多くの人々がライトクライアントを実行できるようになります)。ただし、コンセンサス以外の検証は、特にEthereumなどのほとんどのチェーンではまだ非常に高価です。さらに、ライトクライアントは情報の検証のみを可能にし(問題の半分)、つまり情報が誤っていることを特定できますが、それに対処するための追加のメカニズムが必要です。
- 集約層: PolygonのAggLayerエコシステム内のL2間のスムーズな相互運用性を実現することを目指し、集約された証明と統一されたブリッジ契約を活用しています。集約された証明により、より効率的な検証とセキュリティが実現され、依存するチェーンの状態やバンドルが一貫していることが強制され、他のチェーンから無効な状態に依存している場合には、イーサリアム上でロールアップ状態を解決できません。zkSyncのHyperChainsそして利用可能なネクサスは同様のアプローチを取っています。
ZKがモジュラースタックを食べたのはいつですか?
ZKPの生成が非常に高速(光の速さでほぼ)かつ信じられないほど安価(ほぼ無料で)になる状態に達すると仮定すると、最終的な状況はどのようになりますか?言い換えると、ZKがモジュラースタックを食べ尽くしたときはいつですか?
大まかに言えば、私たちは世界のこの状態で真実だと考えています。
- すべての不必要な再実行が排除されます:実行のモデルを1/Nに移行することで(再実行を伴うN/Nではなく)、ネットワーク全体の冗長性を大幅に削減し、基礎となるハードウェアの効率的な利用を可能にします。いくつかのオーバーヘッドは残りますが、これにより、ブロックチェーンは計算効率の点で漸近的に中央集権的システムに近づくのに役立ちます。
- ほとんどのアプリケーションは、経済的なセキュリティではなく、ZKを有効にした暗号保証に頼っています。証明を生成するためのコストや時間がもはや関連性のある考慮事項でないとき、多くのアプリケーションはより強力な保証のためにZKPに頼ると考えています。これにはZKアプリケーションを構築するための使いやすさと開発者向けの改善が必要ですが、これらは複数のチームが取り組んでいる問題です。
第三の条件はプライバシー(または情報フロー管理)に関するものですが、これはより複雑です。ZKPは、クライアントサイドの証明を使用して、いくつかのプライバシーアプリケーションに使用できます。これは、Aleo、Aztec、またはPolygon Midenなどのプラットフォームが構築しているものですが、すべての潜在的なユースケースに対する広範なプライバシーの実現はMPCおよびFHEの進歩に依存しています。将来のブログ投稿の潜在的なトピックです。
私たちのテーゼに対するリスク
もし私たちが間違っていて、未来がモジュール化されていないし、ZK'fiedされていないとしたらどうなるのでしょうか?私たちの仮説に対するいくつかの潜在的なリスクが含まれます。
モジュラリティは複雑さを増加させます
ユーザーと開発者の両方が、増加し続けるチェーンの数に苦しんでいます。ユーザーは複数のチェーン(そして潜在的に複数のウォレット)を管理する必要があります。一方、アプリケーション開発者は、この領域がまだ進化し続けているため、安定性と予測可能性が少なくなり、どのチェーンに構築するかを決定するのが難しくなります。また、状態と流動性の断片化について考える必要があります。これは特に、どのコンポーネントを分離することが理にかなっており、どれが再結合されるのかという点で、まだ実験を続けている最前線で真実です。私たちは、ユーザー操作の抽象化と安全かつ効率的な相互運用ソリューションがこの問題を解決するために重要な部分であると信じています。
ZKはいつか十分なパフォーマンスを発揮することができるのでしょうか?
証明の生成には時間がかかりすぎており、証明と検証のコストが現在でもあまりに高すぎるという事実を避けることはできません。プライバシーのための信頼できる実行環境/TEEsやコストのための楽観的/暗号経済のセキュリティソリューションなど、競合する解決策の方が多くのアプリケーションにとってはより意味があると言えます。
ZKPsのソフトウェア最適化やハードウェアアクセラレーションに関する多くの作業が行われています。証明の集約により、コストを複数の異なる当事者に分散させることで、検証コストをさらに削減できます(コスト/ユーザーを低減)。また、ZKPsの検証によりベースレイヤーをより最適化する可能性もあります。ZKPsのハードウェアアクセラレーションに関する1つの課題は、証明システムの迅速な開発です。これにより、基本的な証明システムの基準が進化すると、専門のハードウェア(ASIC)を作成することが難しくなり、すぐに時代遅れになるリスクがあります。
IngonyamaGateは、OPEXに基づいているZKスコアという比較可能な指標を通じて、プルーバのパフォーマンスのベンチマーキングを試みました。MMOPS/WATTを追跡し、MMOPSは1秒あたりのモジュラー乗算演算を意味します。このトピックについてさらに詳しく読むには、ブログをお勧めします。@Cysic/BJQcpVbXn?ref=blog.succinct.xyz">Cysic and @ingonyama/revisiting-paradigms-hardware-acceleration-for-zero-knowledge-proofs-5dffacdc24b4">Ingonyama、このトークも含めて、齊藤和。
ZKPsが提供できる限定されたプライバシーは役立ちますか?
ZKPsは、個人の状態のプライバシーを実現するためにのみ使用でき、複数の当事者が暗号化されたデータで計算する必要がある共有状態(例:プライベートUniswap)には使用できません。FHEとMPCも完全なプライバシーのために必要ですが、これらはより広範囲で使用可能なオプションになる前に、コストと性能の点で多くの桁で改善する必要があります。とはいえ、ZKPsは、アイデンティティソリューションや支払いなど、プライベートな共有状態を必要としない特定のユースケースには依然として有用です。すべての問題を同じツールで解決する必要はありません。
概要
では、これで私たちはどこにいますか?毎日進歩している一方で、まだたくさんの作業が残っています。解決すべき最も緊急の問題は、さまざまなモジュラーコンポーネント間で価値と情報が安全に流れる方法、スピードやコストを犠牲にすることなく、また、それをすべてエンドユーザーから抽象化することです。これにより、異なるチェーン間の橋渡し、ウォレットの切り替えなどについて心配する必要がなくなります。
現在、まだ実験段階にありますが、各ユースケースにおいて最適なトレードオフのスペクトル上のどこにあるかを把握しながら、時間とともに安定化するはずです。その結果、(非公式または公式の)標準が出現し、これらのチェーン上でのビルダーにより安定性をもたらす余地が生まれるでしょう。
今日、依然としてZKPsを生成するコストと複雑さのために、多くのユースケースが暗号経済セキュリティにデフォルトしています。いくつかは、その二つの組み合わせが必要です. しかしながら、証明システムと特化型ハードウェアを設計することで、証明および検証のコストとレイテンシーを低下させるため、このシェアは時間とともに減少するはずです。コストとスピードの指数関数的な低下ごとに、新しいユースケースが開かれます。
この記事は特にZKPsに焦点を当てていますが、現代の暗号化ソリューション(ZKPs、MPC、FHE、およびTEE)がどのように連携するかにも興味がますます高まっています。それは既に見ていることです。
読んでくれてありがとう!
免責事項:
- この記事は、[から転載されました均衡]. すべての著作権は元の著者に帰属します [ ハンネス・フィトゥラ]. If there are objections to this reprint, please contact theGate Learnチーム、そして彼らは迅速に対処します。
- 責任の免責事項:本文に表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- 記事の翻訳は、Gate Learnチームによって他の言語に行われます。特に記載がない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
บทความที่เกี่ยวข้อง
Web3の新興トレンド:意図中心プロジェクトの概要
CARV: ゲームとAIにおけるデータ価値の革命