Cointime

Download App
iOS & Android

ブロックチェーン スケーリングの次のフロンティア: ZK ロールアップの詳細

Validated Media

原題: ZK Rollups: Elephant In the Room

原作者:ハ・ジェヒョン

オリジナル編集: Deep Chao TechFlow

ブロックチェーン業界の現状は、ゼロ知識 (ZK) 時代にたとえることができます。 ZK はどこに行っても目立っており、その名前に ZK が含まれていない次世代ブロックチェーン プロジェクトを見つけることはますます稀になってきています。技術的な観点から見ると、ZK がよりスケーラブルでプライベートなブロックチェーン エコシステムに貢献できる有望なテクノロジーであることは否定できません。しかし、ZK の複雑な技術的背景により、個人投資家であれ機関投資家であれ、多くの投資家は、ZK テクノロジーがどのようなメリットをもたらすのかを十分に理解せずに、見た目がクールで斬新で、ブロックチェーンのトリレンマを解決できるかもしれないという「信念」に基づいて ZK プロジェクトに投資することがよくあります。すべてのプロジェクト。

この ZK シリーズでは、ZK ロールアップの不都合な事実 (欠点とデメリット) とその有益な応用方法を探っていきます。まず、ブロックチェーンの ZK 証明 (ZKP) の 2 つの中心的な特性、「ゼロ知識」と「単純さ」を分析します。次に、現在使用されている多数の ZK ロールアップが「ゼロ知識」の側面を真に活用していないことについて説明します。次に、実装の複雑さなどのよく知られた問題を回避しながら、ZK ロールアップの適用が役に立つというよりも有害になる可能性がある領域を見ていきます。最後に、ZK の原則を効果的に具体化し、実際に ZK テクノロジーの使用から明らかなメリットを得ている優れたプロジェクトを紹介します。

復習: ZK ロールアップのトランザクション ライフサイクル

ロールアップは、トランザクションのバンドルをオフチェーンで実行し、最新の L2 状態の概要データを L1 に保存することで、L1 のスループット制限を解決するスケーリング ソリューションです。中でもZK Rollupsの優れた特徴は、オフチェーン計算の有効性をチェーン上で証明するものを提出することで、迅速に資金を引き出すことができることです。 ZK ロールアップの問題を掘り下げる前に、トランザクションのライフサイクルを簡単に確認してみましょう。

図 2: ZK ロールアップのトランザクション ライフ サイクル 出典: Presto Research Center

1. 各 L2 ユーザーはトランザクションを生成し、シーケンサーに送信します。

2. シーケンサーは複数のトランザクションを集約して並べ替え、これらのトランザクションをオフチェーンで実行して新しいロールアップ状態を計算します。その後、シーケンサーはこの新しいロールアップ状態をオンチェーン状態のスマート コントラクトに「バッチ」形式で送信し、対応する L2 トランザクション データをデータ ブロックに圧縮してデータの可用性を確保します。

3. バッチは証明者に送信され、証明者はバッチの実行の有効性証明 (または ZKP) を作成します。この有効性証明は、追加データ (つまり、以前の状態のルート) とともに L1 のバリデーター スマート コントラクトに送信され、バリデーターが何を検証しているのかを識別するのに役立ちます。

4. バリデータ契約チェックが有効であることが証明されると、ロールアップのステータスが更新され、送信されたバッチ内の L2 トランザクションは完了したとみなされます。

(この説明は ZK ロールアップ プロセスの簡略化されたバージョンであり、各実装はプロトコルごとに異なる場合があることに注意してください。役割を区別する場合、L2 にはアグリゲーター、実行者、提案者などのエンティティがさらに存在する可能性があります。 データ ブロック 層上記の説明は、集中シーケンサーがトランザクションを実行し、バッチの統一されたデータ ブロック形式を生成する強力な権限を持っているシナリオを想定しています。

(この説明は ZK ロールアップ プロセスの簡略化されたバージョンであり、各実装はプロトコルごとに異なる場合があることに注意してください。役割を区別する場合、L2 にはアグリゲーター、実行者、提案者などのエンティティがさらに存在する可能性があります。 データ ブロック 層上記の説明は、集中シーケンサーがトランザクションを実行し、バッチの統一されたデータ ブロック形式を生成する強力な権限を持っているシナリオを想定しています。

オプティミスティック ロールアップとは異なり、ZKP (ZK-SNARK や ZK-STARK など) のおかげで、ZK ロールアップは、すべてのトランザクションを再生する必要なく、単純な証明を検証することで数千のトランザクションの実行の正確さを検証できます。では、この ZKP とは何で、どのような特徴があるのでしょうか?

ZKP の 2 つの特性: 知識ゼロとシンプルさ

名前が示すように、ZKP は基本的に証明です。証拠は、プロバイダーの主張を完全に裏付けるものであれば何でも構いません。ボブ (プロバイダー) がアリス (検証者) に自分のラップトップに対する権限があることを納得させたいとします。これを証明する最も簡単な方法は、ボブがアリスにパスワードを伝え、アリスがラップトップにパスワードを入力して、ボブが実際に許可を持っているかどうかを確認することです。しかし、この検証プロセスはアリスとボブの両方にとって満足のいくものではありません。ボブが非常に長く複雑なパスワードを設定した場合、アリスがそれを正しく入力するのは非常に困難になります (アリスがコピー アンド ペーストできないと仮定すると)。もっと現実的に言えば、ボブは自分の権威を証明するためにアリスにパスワードを明かしたくないかもしれません。

ボブがパスワードを明かさなくても、アリスがコンピュータのアクセス許可をすぐに確認できる認証プロセスがあったとしたらどうなるでしょうか?たとえば、図 3 に示すように、ボブは指紋認識を使用してアリスの前でラップトップのロックを解除できます (これは ZKP の完全な例ではないことに注意してください)。ここで、アリスとボブの両方が ZKP の 2 つの重要な特性、つまりゼロ知識特性と単純性特性から恩恵を受けることができます。

図 3: 知識ゼロおよび単純さによる高レベルの直感 出典: imgflip

ゼロ知識 (ZK)

ゼロ知識特性とは、プロバイダーによって生成された証明が、証明の有効性以外の秘密証人に関する情報 (つまり、個人データ) を明らかにせず、検証者がデータを知らないままになるという事実を指します。ブロックチェーンでは、このプロパティを使用して個々のユーザーのプライバシーを保護できます。 ZKP が各トランザクションに適用される場合、ユーザーはトランザクションの詳細 (送金、口座残高の更新、スマート コントラクトの展開、処刑)を一般に公開します。

シンプルさ

単純性という性質は、大きなサイズの宣言から短くて検証可能な証明を生成する ZK の能力を指します。言い換えれば、大きなものをコンパクトな形式に圧縮します。ブロックチェーンでは、これは特にロールアップに使用されます。 ZKP を使用すると、L2 の検証者は、L1 の検証者に簡潔な証明を送信することで、トランザクションが正しく実行されたと主張できます (テラバイトレベルのトランザクションの正当性は、10 ~ 100 KB の証明で表現できます)。バリデーターは、すべてのトランザクションを再実行するのではなく、簡潔な証明を検証することで、実行の正当性を短期間 (つまり、10 ミリ秒から 1 秒) で簡単に確認できます。

ZK Rollup は優れていますが、プライバシーを意味するものではありません

ZKP の上記の機能は、ZK ロールアップでうまく活用されています。バリデーターは、プロバイダーが受信した ZKP から元のトランザクション データを推測することはできませんが、簡潔な証明を検証することで、プロバイダーの主張 (つまり、新しい L2 状態) を効果的に検証できます。そうは言っても、現在の ZK ロールアップがゼロ知識と単純さの特性に完全に準拠していると主張するのは誤解を招くでしょう。これは、プロバイダーとバリデーター間の対話に焦点を当てた場合に当てはまりますが、ZK ロールアップにはシーケンサー、プロバイダー、ロールアップ ノードなどの他のコンポーネントもあります。では、「知識ゼロ」の原則は彼らにも保証されているのでしょうか?

ZK ロールアップの ZKP で完全なプライバシーを実現するという課題は、他の部分が公開されたままで、一部の部分が ZK を通じて非公開になった場合に発生する可能性のある妥協から生じます。 ZK ロールアップのトランザクション ライフサイクルについて考えてみましょう。トランザクションがユーザーからシーケンサーに送信されるとき、プライバシーは維持されますか?プロバイダーについてはどうですか?それとも、L2 バッチが DA レイヤーに送信されるときに、個々のアカウント情報のプライバシーは保護されますか?現在のところ、これらのシナリオはどれも当てはまりません。

図 4: ZK ロールアップでのプライバシー漏洩 出典: Presto Research

ほとんどの主流の ZK ロールアップでは、シーケンサーまたはプロバイダー (または強力な権限を持つその他の集中エンティティ) は、送金金額、口座残高の更新、契約の導入と実行などのトランザクションの詳細を明確に把握できます。簡単な例を挙げると、ZK Rollup ブロック エクスプローラーにアクセスすると、前述の詳細をすべて簡単に確認できます。それだけでなく、集中シーケンサーが何らかの理由でサービスを停止し、別のロールアップ ノードがロールアップ状態を復元しようとする状況も考慮してください。 DA 層 (ほとんどの場合 L1 イーサリアム) の公開されている L2 データから情報を抽出し、L2 状態を再構築します。このプロセス中、DA 層に保存されている L2 トランザクションを再生できるノードは、各ユーザーのアカウントのステータスに関する情報を回復できます。

したがって、「ゼロ知識」という用語は、現在の ZK ロールアップでは断片化された形式で実装されています。これが間違っているとは考えられませんが、ZK が知識ゼロが完全なプライバシーに等しいことを意味するという一般的な認識とは明らかに異なります。現在の ZK ロールアップの新規性は、「知識ゼロ」ではなく「単純さ」という特性を利用していることです。つまり、トランザクションをオフチェーンで実行し、バリデーターが実行の正当性を迅速かつスケーラブルに再検証することなく検証できるように、簡潔な証明を生成します。それらを実行しています。

このため、Starknet などの一部の ZK ロールアップは、混乱を避けるために自らを「有効性ロールアップ」と呼んでいますが、Aztec など、真の ZK プライバシーを保証するものは、自らを ZK-ZK ロールアップと名付けています。

ZK ロールアップの実用性についての徹底的な考察

前述したように、ほとんどの ZK ロールアップは ZK プライバシーを完全には実装していません。それで、私たちの次の目標は何でしょうか? Rollup のあらゆる部分に ZK を完全に導入することで、完全なトランザクション プライバシーを実現しますか?実際、これは単純な質問ではありません。技術をさらに成熟させるには大幅な技術進歩が必要であることに加えて、ZK はイデオロギー (例: 私的取引への違法使用) と実用性 (例: 本当に機能するのか?) の点で依然として物議を醸す問題を抱えています。完全なトランザクション プライバシーの倫理について議論することはこの記事の範囲を超えているため、ブロックチェーン プロジェクトで遭遇する ZK ロールアップに関する 2 つの実際的な問題に焦点を当てます。

ポイント 1: ZKP の生成が高速決定のボトルネックになる可能性がある

まず、ZK ロールアップ自体の有用性について説明します。 ZKロールアップの最も魅力的なセールスポイントは、ZKPのおかげで取引が「迅速に完了」するため、資産引き出しの待ち時間が短縮されることです。 TPSの増加と取引手数料の低さも追加の利点です。 ZK ロールアップ機能はゲーム業界で最も効果的に使用されます。これは、ゲーム内通貨の入出金が非常に頻繁に行われるため、毎秒大量のゲーム内トランザクションが発生するためです。

しかし、ZK Rollups は本当にゲームに最適なテクノロジー スタックと考えられるのでしょうか?この点で、ZK ロールアップの「クイック エンディング」の概念についてさらに深く考える必要があります。ユーザーが ZK ロールアップに基づくテクノロジー スタック上で実行される Web3 ゲームを楽しんでいると想像してください。ユーザーはゲーム内アイテムをゲーム内通貨と交換し、その資産をゲームから引き出しようとします。

しかし、ZK Rollups は本当にゲームに最適なテクノロジー スタックと考えられるのでしょうか?この点で、ZK ロールアップの「クイック エンディング」の概念についてさらに深く考える必要があります。ユーザーが ZK ロールアップに基づくテクノロジー スタック上で実行される Web3 ゲームを楽しんでいると想像してください。ユーザーはゲーム内アイテムをゲーム内通貨と交換し、その資産をゲームから引き出しようとします。

資産を引き出すには、ゲーム内トランザクションを完了する必要があります。これは、トランザクションが新しいロールアップ状態コミットメントに含まれる必要があり、対応する ZKP が L1 に送信される必要があり、トランザクションが不可逆であることを確認するために L1 イーサリアムでの証明の終了を待つ必要があることを意味します。これらすべてのプロセスを瞬時に実行できれば、ZK Rollups がよく宣伝する「即時取引確認」を実現でき、ユーザーはすぐに資産を引き出すことができます。

しかし、現実はそれとは程遠いのです。 L2beat が提供するさまざまな ZK ロールアップの終了時間統計によると、zkSync Era は平均して約 2 時間、Linea は約 3 時間、Starknet は約 8 時間かかります。これは、ZKP の生成に時間がかかり、トランザクション手数料を削減するためにより多くのトランザクションをバッチ (つまり、単一プルーフ) に含めるにも追加の時間がかかるためです。言い換えれば、プルーフの生成と送信の速度が、ZK ロールアップの迅速な終了を実現する上で潜在的なボトルネックとなり、Web3 ゲームのユーザー エクスペリエンスを低下させる可能性があります。

図 5: ZKP の生成は、ZK ロールアップの高速決定のボトルネックの潜在的な原因となる可能性があります: imgflip

一方、Ronin (Pixels や Axie Infinity などの Web3 ゲームをサポート) のようなゲームに最適化されたチェーンは、分散化とセキュリティを犠牲にしながら、超高速のファイナライズを保証します。 Ronin は ZK やロールアップベースのチェーンではありません。PoA (Proof of Authority) + DPoS (Delegated Proof of Stake) コンセンサス アルゴリズムの下で実行される EVM ブロックチェーンです。委任されたシェアの数に基づいて 22 個のバリデーターを選択し、これらのバリデーターは PoA 方式 (つまり、22 個のバリデーターのみの間での投票プロセス) でブロックを生成および検証します。その結果、Ronin ではトランザクションが迅速に完了し、ブロックに含まれるまでの遅延がほとんどなく、検証時間も短くなります。 Shillin のハード フォーク後、各トランザクションが完了するまでにかかる時間は平均でわずか 6 秒です。 Ronin は、ZKP を必要とせずにこれらすべてを実装します。

もちろん、Ronin にも欠点はあります。集中管理されたバリデーターによって管理されるため、51% 攻撃に対して比較的脆弱になります。また、決済レイヤーとしてイーサリアムを使用していないため、イーサリアムのセキュリティを継承することはできません。クロスチェーンブリッジの使用にはセキュリティリスクもあります。しかし、ユーザーの観点から見ると、彼らは気にしていますか?現在、分散ソートを行わない ZK ロールアップにも単一障害点 (SPOF) の問題があります。イーサリアムはトランザクションのロールバックの可能性を減らすためそれらを保証しますが、集中型シーケンサーまたはバリデーターが失敗した場合には ZK ロールアップもフリーズする可能性があります。 ZK ロールアップの「ZK」は、実行の正しさの妥当性を検証するためにのみ使用されることにもう一度注意してください。同じ機能を提供するが、より高速で安価な別のプロジェクトがある場合、ZK ロールアップは Web3 ゲーム ユーザーや開発者が選択するテクノロジ スタックとはみなされなくなる可能性があります。

ポイント2:解放ステータスの違いは諸刃の剣

もう 1 つのポイントは、ZK Rollup プロトコル実装の実用性です。その中でも、ここでは、ZK ロールアップでデータの可用性を確保する方法の 1 つである状態差分リリースに焦点を当てます (Dencun アップグレードのロック解除: DA レイヤーのスケーリングの見えない真実、Jaehyun Ha、12Apr24 を参照)。

ロールアップでのデータの利用可能性を理解する簡単な方法は、アマチュア登山家がエベレストへの登山をデモンストレーションし、記録することを想像することです。最も簡単な方法は、ベースキャンプから山の頂上までのあらゆるステップをビデオに記録することです。ビデオ ファイルは大きくなる可能性がありますが、誰でも登山者の登頂を確認でき、その映像を再生できる可能性があります。この比喩は、データの可用性を確保するための元のトランザクション データ公開アプローチと比較できます。オプティミスティック ロールアップはこのアプローチに従い、シーケンサーの状態コミットメントは信頼できないため、個々の挑戦者が正しい実行を再生して検証します。 ZK ロールアップでは、Polygon zkEVM と Scroll がこのアプローチを使用して、生の L2 トランザクション データを圧縮形式で L1 に保存し、必要に応じて誰でも L2 トランザクションを再生してロールアップの状態を復元できるようにします。

アマチュア登山家の例に戻ると、別の検証方法は、有名な登山家がアマチュア登山家と一緒にエベレストに登り、実際に登頂が完了したことを世界に証明することかもしれません。信頼できる個人によって登山が検証されたため、登山者は記録のためにすべてのステップを記録する必要がなくなりました。登山口と山の頂上で写真を撮るだけで、他の人はその登山者が頂上に到達したと思い込んでしまいます。この比喩は、データの可用性を確保するために使用される状態差アプローチを反映しています。 ZK Rollups では、zkSync Era と StarkNet がこのアプローチを採用しており、L2 トランザクションが L1 で実行される前後の状態の差分のみを保存するため、誰でも初期状態からの状態差を計算して、必要に応じてロールアップの状態を復元できます。

図 6: 元のトランザクションのリリースとステータス差異のリリース 出典: Presto Research

この状態差分方式は、中間トランザクションを保存する手順を省略でき、L1 のストレージコストを削減できるため、元のトランザクションデータ公開方式よりもコスト効率が高いことは間違いありません。これは一般に問題ではありませんが、ここには潜在的な欠陥があります。このアプローチでは完全な L2 トランザクション履歴を回復することができず、一部の DApps では問題になる可能性があります。

DeFi レンディング プロトコルである Compound を例に挙げます。これは、状態の違いに基づいて ZK Rollup テクノロジー スタック上に構築されていると想定されています。これらのプロトコルでは、供給金利と貸出金利を毎秒計算するために完全な取引履歴が必要です。しかし、ZK ロールアップ シーケンサーが失敗し、他のロールアップ ノードが最新の状態を復元しようとした場合はどうなるでしょうか?状態を復元することは可能ですが、各中間トランザクションではなくバッチ間のスナップショットしか追跡できないため、レートは不正確に復元されます。

結論は

この記事は主に、今日のほとんどの ZK ロールアップには「ZK」が存在せず、DApps の多くの場所で ZKP および ZK プログラムを使用することが最良の選択ではない可能性があると主張します。 ZK テクノロジー自体には何も問題がないため、告発されても問題ないと感じるかもしれませんが、そのテクノロジーの進歩を利用する過程で、DApps の潜在的なパフォーマンス低下を引き起こす可能性があります。ただし、これは ZK テクノロジーがこの業界にとって役に立たないと言っているわけではありません。 ZKP と ZK ロールアップが最終的に成熟すると、ブロックチェーンのトリレンマに対するより良いソリューションが提供されることは間違いありません。実際、ZK プライバシーを維持する ZK ベースのプロジェクトがすでに存在しており、ZKP と ZK コンボリューションを効果的に利用する多くの種類の DApps も存在します。

コメント

全てのコメント

Recommended for you

  • トレーダーユージーン: トレンドが到来したら、SOLはDOGE、XRP、ADAと同様の措置を講じることができます

    トレーダーのユージン・ン・ア・シオ氏は、「人々はそこから利益を得ており、新高値を突破したときに必要なのは忍耐とダイヤモンドハンドだけだ」と投稿した。

  • 裁判所、トランプ機密文書訴訟の上告中止に同意

    アメリカ放送協会(ABC)によると、米連邦控訴裁判所は現地時間16日、トランプ次期大統領の機密文書事件に対するスミス特別検察官の上告中止要請を承認した。この動きは、現職大統領が在任中に刑事訴追されることを禁じる司法省の長年の政策をめぐるトランプ氏に対する2件の訴訟を鎮圧するためのスミス氏の取り組みの一環である。スミス氏は、トランプ氏が2024年の米大統領選挙で勝利し、2025年1月に米大統領に就任する予定となっており、「政府がこの前例のない状況を評価し、それが大統領にとって適切かどうか判断する時間を与えるため、現時点で上訴の中止が要請された」と述べた。司法省に適切な政策方針をとらせる。」

  • ビットワイズ戦略ディレクター: 追加収入を得るために、この段階で MSTR の 100 株を保有することをお勧めします。

    Bitwise Alpha の戦略責任者である Jeff Park 氏は、「購入を検討」と投稿しました。

  • NDV連荘:10月以来、BNBポジションで800万米ドル以上を連続オープン

    11月17日のニュースによると、NDV Lianchuang Christian2022.ethが投稿した

  • エコノミスト:ETH/BTCは米国選挙後2年以上ぶりの安値に下落、そのパフォーマンスは予想より残酷だった

    マクロ経済学者のリン・オールデン氏は、「新政権は選挙に勝利し、最初は上昇し、その後下落したが、良いニュースが届いた後、新安値を付けた」と投稿した。 ETH/BTC為替レートは2021年3月以来の安値(0.033)に下落した。

  • Bonk DAOは12月のクリスマス前に1兆BONKを破壊する計画

    Bonk DAO は最近、流通している 1,000 億 BONK を破壊し、12 月のクリスマスまでに 1 兆 BONK を破壊する予定です。大規模な焼き討ち計画 (BURNmas) は、11 月 15 日の午前 12 時 01 分 (UTC) に開始され、12 月 24 日の午前 12 時 01 分 (UTC) に終了します。 BONK のコアコントリビューターである iamkadense が「コミュニティはそれだけでは終わらないかもしれない」に投稿しました。これらの焼き付けられたトークンは、BONK を利用して 1 つ以上の機能を実装する Solana エコシステム内のアプリケーションから取得されます。公式投稿によると、これらには、Dragontail で行われた賭け金の燃焼、BONKmark を使用して送信されたクリスマス カード、LiveBonk で行われた取引、および BONK の X アカウントで指定されたその他のアプリケーションが含まれます。

  • スペースXは既存株を1株当たり135ドルで売却する計画

    匿名の関係筋2人によると、スペースXは今年12月に株式公開買い付けを開始し、既存株を1株当たり135ドルで売却する計画だという。 この動きにより、同社の価値は2500億ドル以上になると予想される。スペースXは買収計画についてまだコメントしていない。この買収計画は、国家宇宙探査政策の予想される変更と同時に行われる。

  • Coinbase CEO: 政府効率省 (DOGE) は米国の経済的自由を高める一生に一度の機会です

    Coinbase CEO ブライアン・アームストロングが投稿した記事民主政府の規模を拡大することにはマイナス面もあります(より多くの自由を約束することで選挙に勝つ)。政府支出の総額を制限する(たとえば10%)憲法改正が必要である、あるいはインセンティブを調整する方法を見つける必要がある(バフェット氏は、予算が不均衡であれば予算に投票したすべての議員が再選の資格を失うと主張している)。

  • DEXXはハッカーに宛てて「24時間以内に資金が返還されればバグ報奨金が支払われる、そうでなければ警察とともに法執行措置が取られる」と書簡を送っている。

    オンチェーン取引端末 DEXX は、X 上のハッカーに公開書簡を公開しました。盗まれたトークンを見つけるために、セキュリティ機関、パートナー、取引プラットフォームから強力な支援を受けています。また、盗まれた資金を速やかに凍結するために、お客様のアドレスも監視します。今後 24 時間以内にこのインシデントを解決するよう求められます。これにより、当社はそれ以上の措置を講じることができなくなります。 電子メールでご連絡いただき、盗まれた資金を返却していただくようお願いいたします。感謝の気持ちを込めて、豊富なバグ報奨金と豪華なギフトをご提供いたします。資金を返却していただければ、ハッキングに関して現在当社が保有している情報はすべて直ちに破棄されます。また、その後の追跡と分析もすべて停止し、お客様は一切の責任を負わないものとします。ただし、お客様が従わない場合は、どんなに時間がかかっても、当社は地元の警察、治安機関、取引プラットフォームと協力して調査を継続し、ユーザー資産を保護するための強制措置を講じます。

  • DEXXユーザー資金盗難事件:取引観察者の目に映る混乱と警告

    この「暗い森」のような Web3 の世界では、常に警戒し、セキュリティに注意を払うことによってのみ、トランザクションの道をさらに前進し、次の犠牲者になることを避けることができます。