オレンジピリングに遭って、今はBTCを保有しているわけだ。遅かれ早かれだ。

そして、あなたはこの業界の神聖な格言を耳にした。様々なCEXラグやハッキングの恐怖が重なり、あなたはついにビットコインを自己保管することを決めた。

おめでとう、あなたは今、自分の経済的な運命を握っている。万歳でしょう?

イーサリアムの悪名高い高いガス代が恥ずかしくなるくらい高い。というのも、あの忌々しいクジラとは違って、あなたは100万ドル相当のビットコインを持っているわけではないからだ。

さて、どうする?もっといい方法があるはずだ。

巣立ち

ビットコイン(メインチェーン、ブロックチェーン)の外部でビットコイン(BTC、暗号通貨)を保有する場合、メインチェーンのセキュリティと保護は受けられないため、あなたがいるチェーンやレイヤーの信頼前提を継承する必要があり、あなたが保有するBTC代表トークン(該当する場合)も継承する必要があります。

残念ながら、これがiBitnevitableのトレードオフなのだ。

この記事では、世の中に存在する様々なスケーリング・アプローチとブリッジの概要を提供することを目的とし、また、それぞれが負担しなければならない信頼の犠牲について概説する。さらに、それぞれの欠点と、メインチェーンのセキュリティと保護のユーザーを大きく損なうことなくBTCを「輸出」できる適切なビットコイン・スケーリング・ソリューションがまだ存在しない理由を明らかにする。

ビットコインとメインチェーンという用語は、全体を通して互換的に使用される。始めよう。

ライトニング・ネットワーク

2018年1月に開始されたライトニングネットワークは、ビットコインをスケールさせるための最も初期の試みの1つである。その中核となるライトニングネットワークは、決済チャネルのネットワークで構成されており、各決済チャネルは基本的にビットコイン上の2つの当事者間の2対2のマルチシグ契約( HTLCを活用)である。

ライトニングネットワークが機能するのは、ビットコインを送りたいピアとの接続を維持する複数の支払いチャネルが存在するためです。そのため、Bobと直接接続していなくても、Alice(AliceはBobと接続している)と接続していれば、Lightningノードから支払いを開始し、Alice経由でBobに支払うことができます。

理論的には、取引相手が(十分な流動性を持つ)少なくとも1つの相互ピアを共有していれば、誰とでも取引できる。これがライトニング・ネットワークの「ネットワーク」です。

tldr

BobがAliceとペイメントチャネルを開きたい場合、彼らは鍵を組み合わせて2-of-2マルチシグコントラクトを生成し、これがチャネルのアドレスとして機能する。次に、Bobは2つのトランザクションをブロードキャストする。すなわち、彼のコミットメント トランザクション(Aliceが応答しなくなった場合に彼の資金を彼のファンディングウォレットに戻すた めに使う)と、彼のファンディングトランザクション(Bobはビットコインを2-of-2マルチシグに入金する)である。同様に、Aliceも自分のコミットメント取引とファンディング取引をブロードキャストする。最初のコミットメント取引は、誰かが支払いチャネルに資金を供給する前に両パーティが署名することが重要であることに注意。これはどちらかのパーティがオフラインになった場合に、資金がマルチシグに滞留しないようにするためである。

いったん支払いチャネルが確立されると、ボブとアリスはマルチシグ内のビットコインを何度でも、どのようにでも自由に使うことができる。資金を "送る "とき、あなたは実際には相手と共有するコミットメントトランザクションを更新して最新の残高状態を反映させ、以前のコミットメントを 無効にする。コミットメント・トランザクションは、支払チャネルがまだ生きている間はオンチェーンに送信されることはなく、BobとAliceだけが知っている。コミットメントトランザクションは、ペイメントチャネルがクローズされたときにのみ公開される。

Bobがチャネルをクローズしたいとき(そして自分のビットコインをメインチェーンに戻したいとき)、それには2つの方法がある:Aliceと協力的にクローズするか、非協力的にクローズするか(別名強制クローズ)。協調的クローズ(ハッピーパス)では、BobとAliceはマルチシグからの残高のシェアに合意し、それぞれのウォレットに資金をすぐに戻す新しい取引に署名する。

しかし、強制クローズシナリオ(アンハッピーパス)では、BobまたはAliceのどちらかがクローズトランザクションに協力的に署名できないか、または署名する気がない可能性がある。この場合、フォースクローズを開始した当事者は、残高を仲裁契約に費やし、CSVの遅延(別名、紛争期間)内にその当事者に異議を申し立てることを許可する。この当事者が(古いコミットメント取引を公表して)「不正」を行おうとした場合、同業者は単に最新のコミットメント取引を公表し、調停契約から不正を行った当事者の資金を自分のために請求する。

[lightning.engineering] 図解:ボブの8BTC強制閉鎖請求の失敗

説明のために、ボブとアリスがそれぞれ4BTCと6BTCの「真の」残高を持っていると仮定しよう(支払いチャネルには合計10ビットコインが含まれている)。ボブが強制決済を開始し、(古いコミットメントトランザクションを公開することで)ペイメントチャネルに8BTCあると主張した場合、アリスは単に最新のコミットメントトランザクションを公開し、仲裁契約からボブの8BTCを請求することができる。これはBobに対する抑止力として機能し、Lightningチャネルを開く際に当事者がお互いを信頼する必要がないことを保証する。

ノードでもコインでもない。

ライトニング・ネットワークの特徴は、自分自身のライトニング・ノードを運営しない限り、セルフ・カストディができないことだ。そうでなければ、ネットワークを利用するためには、信頼できるライトニングノードにBTCを預けなければならず、あなたのビットコインはライトニングノードの内部台帳の一部を形成し、ライトニングノードがあなたの代わりに取引を行う。もしあなたの預金を保管しているLightningノードが破綻した場合、あなたのBTCはそのノードに流出し、あなたには何の救済もありません。これは基本的に、信頼できるCEXにビットコインを預けるよりも悪いことだ!

自分自身のLightningノードを運営することにした場合、常にオンラインに接続し、仲間からのチャネル違反を監視する必要がある。 ウォッチタワー・ノードを割り当て、違反の監視に協力させることは可能だが( ウォッチタワー・ノードは、あなたに代わって不正な強制決済に対抗するために、あなたが決済チャネルで行う取引ごとに生成されるあなたのコミットメントを保存する)、本質的には中央集権的なエンティティを信頼することに逆戻りすることになる。繰り返しますが、ビットコインを保護するために、どこかのランダムな監視塔の会社ではなく、BinanceやCoinbaseを信頼する方が良いでしょう!

[サム・エイケン】図解:LNウォッチタワーの実際

上記だけでは十分でないと思われるかもしれないが、もし自分のLightningノードを運営するのであれば、自分のノードの流動性をピアとの関係で手動で管理する必要がある。例えば、支払いチャネルが合計で10BTCしか持っていない場合、お互いの間で保持できる残高の上限は10BTCとなる。しかし、これはあなたが複数のピアと接続している可能性がある(多くの異なる相手に支払いを行う可能性が高いため)という事実とは無関係です。あなたが直接接続していない相手と取引したい場合は、あなたと取引相手の両方と接続しており、支払いをルーティングするのに十分な流動性を持つ他のライトニングノードに頼る必要があります。平均的なノードランナーにとって流動性管理が非常に面倒な理由がお分かりいただけただろう。

ルーティングノードは、資本力のあるLightningノード(ほとんどの場合、大規模な機関によって運営されている)で、決済のルーティングに特化している。ルーティングノードは仲介チャネルとしてLightningノードの間に位置し、ネットワーク全体の支払いの準マッチメイカーとして機能する。その結果、ネットワークは中央集権化する傾向にあり、本稿執筆時点では、上位10社のLightningノードがネットワーク全体の容量の75%以上を占めている!

[LnRouter.app] アクティブなライトニング・ノード、容量でフィルタリング

ACINQによって開発されたPhoenix Walletは、一般ユーザー向けにライトニング・ネットワーク上のセルフ・カストディを簡素化する試みである。同社のウォレットアプリをダウンロードすると、あなたの携帯電話は自動的にあなた自身のLightningノードになる。流動性管理と支払いルーティングを簡素化するため、あなたのLightningノードはACINQノードに接続し、ACINQをインバウンドとアウトバウンドの支払いのルーターとして利用する。

とはいえ、定期的にオンラインに接続し、違反がないかを監視する必要があります。可能性は低いですが、ACINQがあなたのチャンネルを古いコミットメントで強制閉鎖しようとした場合、あなたはそれに異議を唱え、正しい最新のコミットメントを提示するためにオンラインになる必要があります。さもなければ、ACINQに資金を奪われることになります。

結論

ライトニング・ネットワークは、ノード運営者向けに設計されています。しかし、現実の世界では、誰もが自分のノードを運営する必要はありません。

残念なことに、ライトニング・ネットワークは一般的な非ギークBTCホルダー向けではない。自前でノードを運営する必要があるという事実と、決済ネットワークという限定的なユースケース(DeFiのようなリッチなユースケースをネイティブにアンロックするようにプログラムできない)が相まって、このプロトコルは自前でノードを運営する真のビットコイナーの片隅に追いやられている。

ノードでもコインでもない。また、一般ユーザーにとっても理想的ではありません。

ステートチェーン

コンセプトとしてのステートチェーンは、ライトニングの決済チャネルから多くを借りており、どちらも無制限のオフチェーン取引を可能にし、最終的には終了時にビットコイン上で「決済」される。

tldr

ライトニングチャネル(2-of-2マルチシグ)とは異なり、ステートチェーンのUTXOデポジットアドレスは、オペレータによって完全にオフチェーンで作成されます。オペレータは、自身とUTXOの現在の所有者の両方にキーシェアを生成する信頼できるエンティティです。ステートチェーンを開始したいUTXOの所有者は、オペレーター(信頼できるエンティティ)と協力して、対応する公開鍵が最初の所有者とオペレーターの鍵シェアの両方から形成されるアドレスを作成する。ここから、所有者はUTXO(またはビットコイン)でステートチェーンに資金を供給し、(オペレーターの協力を得て)バックアップトランザクションを作成する。

[Nik/Coinmonks】ステートチェーンの実例:UTXOの所有権をアリスからボブに移す

現所有者がUTXOの所有権を新所有者に移転したい場合、オペレータは、同じ預託アドレスに相当す るキー・シェアを生成し直し、旧所有者とのキー・シェアを削除するだけでよい。その後、新所有者は(運営者の協力を得て)バックアップ・トランザクションを作成するが、そのタイムロックはより短い。ステートチェーンが入れ替わるたびに、オペレータは前の所有者の鍵シェアを削除し、新しい所有者のバックアップ・トランザクションに共同署名する。

こうすることで、旧所有者が新所有者の代わりに一方的にステートチェーンから資金を引き出すことができなくなる。というのも、旧所有者が協調してステートチェーンから退出(即時退出)するためには、旧所有者の退出トランザクションにオペレーターが連帯署名する必要があり(オペレーターはトランザクションに連帯署名できる以前のキーシェアを削除しているため、もはや連帯署名できない)、そうでなければ旧所有者はバックアップトランザクションを提出する前にタイムロックの期限が切れるのを待たなければならないからである。とはいえ、新所有者がステートチェーンから退出したいときにオペレーターがオフラインになったとしても、バックアップ・トランザクションの方がタイムロックが短いため、旧所有者よりも先にバックアップ・トランザクションを提出し、資金を要求することができる。

信頼のオペレーターに

十分明らかでないかのように、運営者はステートチェーンの唯一の障害点である。新しい所有者は、運営者が前の所有者のキー・シェアを本当に削除し、結託して前の所有者のために資金を要求しないことを信頼する必要がある。運営者のサーバーは基本的にウェブ2のクローズド・ボックスであるため、新しい所有者は運営者の以前のキー・シェアが削除されたことを確認する方法がない(つまり、運営者自身でない限り)。

ステートチェーンのプロジェクトであるMercury Layerは、この信頼要素を排除することを目的としている。Schnorrの ブラインドされた変種を利用することで、Mercuryのオペレーターはビットコインチェーン自体を意識しない。従って、オペレーターは、どの入金アドレスに共同署名しているのか、バックアップ取引の詳細、オペレーターが生成した署名について知ることはない。同じオペレータが複数のステートチェーンを扱うと仮定すると、Mercuryは基本的に、署名によって何が可能になるかを知らないまま、送られてくるすべての共同署名リクエストにブラインドで署名することになる。これにより、オペレーターによる選択的な共謀が防止され、悪意を持つインセンティブがない(ブラインド署名のため、何が争奪戦になるかわからない)ため、鍵の生成と署名がサーバー上で正しく行われることが保証される。

[Ruben Somsen] オペレーターはブラインドされたメッセージに署名している - それがビットコイン取引なのか、まったく別のものなのかはわからない。

しかし、マーキュリーの努力にもかかわらず、ステートチェーンは基本的に重大な制限を受けたままだ。ステートチェーンは、ライトニングネットワークのようにUTXO送金を実際に促進するのではなく、その核心は単なるアドレス所有権の送金プロトコルだからだ。さらに、オペレータがオフラインになった場合、すべての「送信」は停止され、バックアップトランザクションを介してビットコインに資金を戻す請求ができるようになるまで、長いタイムロックの有効期限が切れるのを待つ必要があります。

結論

ステートチェーンは、ビットコインのコストと制限を越えてUTXOを送金するための巧妙な「ハック」を提供する一方で、異なる金額の大規模な高頻度のUTXO送金には依然として適していません。この文脈では、ステートチェーンはライトニング・ネットワークよりもさらに制限的である。ステートチェーンに資金を供給した正確なUTXOしか送金できないことに加え、支払い以外のより豊かなユースケース(DeFiなど)のロックを解除できないのと同じように、プログラマビリティの欠如とも戦わなければならない。

言ってしまえば、ステートチェーンはまさに「ハチャメチャな」信頼最小化アドレス所有権移転プロトコルに過ぎない。つまり、少なくともLightningはノードランナーにとって実際に機能する!

ステートチェーン - 開発者にとっては楽しいが、他の人々にとってはそうでもない。

カストディアルBTC

カストディアルBTCソリューション(OGたちは "ビットバンク "と呼ぶ)は、"真の "ビットコイナーにとってはイデオロギー的な平手打ちであるにもかかわらず、皮肉なことに、一般的なユーザーにとっては、安くて、早くて、そこそこ安全な方法でビットコインを取引できる最も安全な(そして最も便利な)手段の一つであり続けている。

信頼できるBTCカストディアンは、そのほとんどが最古の暗号機関であり、業界内、さらにはTradFiでも高く評価されている。

tldr

カストディアルBTCソリューションは、通常、預金者から十分に信頼された信頼できるエンティティが、彼らに預けられたすべてのビットコインのカストディアンとして機能する。その後、彼らは異なるチェーン(および環境)間で代表的なトークンを鋳造し、各ユニットはカストディアンによって準備されているビットコインの量と1:1で裏付けされる(理論上)。

ビットコインよりも安価で高速なチェーン上に存在するため、これらのBTCを代表するトークン(wBTC、cbBTCなど)は、保有者がDeFi全体で使用し、BTC建ての利回りを獲得し、はるかに高速で安価な実行環境で相互に取引することを可能にする。

信頼できる管理人に

[BitGo】BitGo:wBTCの信頼できるカストディアン

言うまでもなく、カストディアルBTCソリューションのユーザーは、保有しているBTC代表トークンのカストディアンを全面的に信頼しなければならない。異なるカストディアン・エンティティーは、保有者の視点からの解釈に従って、異なるレベルのリスクを伴うだろう。

例えば、過去の実績、取引所の流動性、OG性を重視するユーザーであれば、BitGoのwBTCを使用する傾向が強いだろう。同様に、明確な規制、透明性、アメリカのデュープロセスと法の支配の尊重を重視する人であれば、CoinbaseのcbBTCを保有することを好むかもしれない。これはTetherのUSDTとCircleのUSDCのどちらを安定コインとして選択するかを決める際の考慮事項に似ている!

結論

カストディアルBTCソリューションは現在、そうでなければ自己保管しないBTCユーザーにとって有用な橋渡し役となっているが、せいぜいその場しのぎのソリューションにとどまっている。

wBTCを保有している場合、CEXに資金を預けている場合と同じように、BitGoを信頼していることになります。CoinbaseのcbBTC、BinanceのBBTC、その他多数のBTCカストディアンも同様です。

セキュリティが甘く、強大な ラザロと遭遇すれば(そうでないことを祈るが)、金正恩の核兵器に必要なビットコインが消えてしまう!

連邦BTC

wBTCを想像してほしいが、BitGoだけが管理者としているのではなく、Wintermute、ChorusOne、その他の機関もパーティに参加し、王国の鍵を与えられている。

一人の管理人より何がいいんだ?たくさんいる方がいい

tldr

Federated BTCブリッジは、基本的に集団保管BTCブリッジである。このブリッジは、複数の評判の高いエンティティが署名者セットを形成し、その中で保有する預託ビットコインの取引を承認するには過半数が必要である。

このアイデアは、カストディアルBTCソリューションに存在する単一障害点リスクを排除することである。EOAよりもマルチシグウォレットを使用して、貯蓄の大部分を自己保管するのと同じように、複数の信頼できるエンティティに署名権限を分散することで、個々の署名者をより少なく信頼することができるという考え方です。

そのため、フェデレートされたBTCのセットアップを侵害する(そしてその中に保管されているビットコインを盗む)ためには、攻撃者は署名者セットに含まれるエンティティの大部分を侵害する必要がある。Coinbaseを侵害することは難しい。しかし、Coinbase、OKX、Wintermute、Fireblocksを侵害し、かつ発見されないようにすることは、潜在的な攻撃者にとって非常に野心的な仕事である。

マルチシグとMPC

単純化しすぎかもしれないが、フェデレートされたBTCのセットアップで署名権限を分配するには、主に2つの方法がある。それぞれの実装の詳細には触れないが(たくさんあるので)、主なアイデアは、マルチシグでは、「共有」アドレスはオンチェーンで生成され、各署名者は完全に独立した秘密鍵を所有するということである。つまり、共有アドレスからのトランザクションが署名者によってまとめて署名されると、その署名はオンチェーンで記録される。

MPCでは、「共有」アドレスはオフチェーンで生成され、各署名者は部分的な鍵シェアを所有する。オンチェーン取引に署名する際、署名者はそれぞれのキーシェアを組み合わせて署名を共同計算する。ブロックチェーンから見ると、署名は一人の署名者から出された標準的な署名のように見えるが、実際にはMPC構築の一部として署名者がオフチェーンでまとめて生成したものである。

もちろん、それぞれのアプローチにはニュアンスの違いやトレードオフが存在する。それらについて詳しく説明することは、この記事の範囲外ではあるが、Fireblocksによる MPC vs. Multi-sigの入門書を読むことをお勧めする。

信頼の連盟に

理論的には、これはすべて非常に安全に聞こえる。それぞれの評判を賭けて、最高レベルの暗号機関がBTCブリッジを守っているのだ。何か問題があるのだろうか?

信頼が低いからといって、信頼がないわけではないのだ。フェデレーション型BTCブリッジでは、署名者の選択が最も重要である。フェデレーションは十分な数の署名者を含み、安全な多数決のしきい値(少なくとも3分の2)を持ち、十分に地理的に分散している必要がある。言うまでもなく、各署名者は、フェデレーション・ブリッジの成功に既得権を持つだけでなく、保護する意思のある十分な評判をすでに持っている必要がある。

私にとっては、少なくとも1つの現在稼働中のBTCブリッジに署名している機関のうち、正直なところ、自分の貯蓄を預けられる機関はほんの一握りしかない。信頼できるCoinbaseがあることを祈りつつ、Galaxy、Wintermute、そしてFireblocksだろう。残りがすべて不誠実な金融機関だとは言わないが、自分の貯蓄を100%託すかどうかは別問題だ。

要するに、15人の署名者をフェデレーションに参加させても、そのうちの10人が適切なセキュリティ・プラクティスを実践していなかったり、単に大雑把だったりしたら、意味がないのだ。問題なのは、50人の署名者はともかく、優れたオペセキュリティーで評判の高い15人の署名者を見つけるのは、言うは易く行うは難しということだ。

誰もが評判が良く、安全だと主張するとき?ほら、実際にそうなのはごく少数だ!

とはいえ、ビットコインのメインチェーンの外部にある他のチェーン(またはレイヤー)にBTCを「エクスポート」するには、フェデレーション化されたBTCブリッジが最善の方法であることに変わりはないというのが私の見解だ。cypherpunksが墓の中で転がることを期待するが、質の高い署名者の注意深くキュレートされたフェデレーションは、ほとんどの場合、現状で可能な無許可の代替手段よりも安全であろう。

結局のところ、今日目にするほとんどのBTC表現が署名者の連合に依存しているのには理由がある。solvBTC、pumpBTC、LombardのLBTC、StacksのsBTC、AvalancheのBTC.b、BitlayerのWBTC、LiquidのL-BTC、MerlinのMBTC - これらはすべて、それぞれがキュレートした署名者の連盟に信頼を置く必要があります。しかし、実際に評判の良い署名者を見つけるのは難しいため、同じ署名者が2つ以上のブリッジ・セットアップに参加しているような、フェデレーション間で署名者が重複している事例を複数見つけても驚かないでほしい。例えば、CoboはsolvBTC、pumpBTC、そしてMerlinのMBTCのシグナーを務めている。また、Chorus.oneはLombardのLBTCとStacksのsBTCの両方の署名者である。

フェデレーション内の2つの署名者が、実際には同じエコシステムやエンティティの一部である場合さえある。例えば、AvalancheのBTC.bは、AvascanとAva Labsを8つの署名者のフェデレーションに含んでいる。8人中5人が多数派であると仮定すると(必要最低限)、攻撃者が買収または妥協できる(そしてBTC.bブリッジのセキュリティーを著しく脅かす)のは3人の署名者のみとなる。

ロンバードLBTC

信用できることに、一部のプロジェクトは署名者のオプセックの重要性を認識し、この攻撃ベクトルを最小化するための措置を講じている。例えば、ロンバードは、コンソーシアム(署名者セット)に、 HSMで密封された Nitroエンクレーブを利用し、 Cubistが構築した非保護鍵管理プラットフォームであるCubeSignerの実行を義務付けることで、セキュリティに多層的なアプローチを採用している。実際には、CubeSignerによって、鍵はアドレスの生成からトランザクションの署名まで、安全なハードウェアに保管される。

しかし、あなたが自宅にあるLedgerハードウェアウォレットの完全性と堕落性についてLedgerを信頼するように、LombardのLBTCホルダーもまた、コンソーシアムの署名者が実行するCubeSignerインスタンスの完全性と堕落性についてCubistを信頼する必要がある。

[ロンバード】図解ロンバードLBTC建築

加えて、これは署名者の共謀の可能性のリスクにもかかわらず、それがいかにありそうにないことであってもである。単純な事実として、ロンバード・コンソーシアムの署名者の過半数が結託すれば、コンソーシアムのアドレス全体で保有されているBTCを危険にさらし、ユーザーの資金を盗むことができる。

結論

業界として、現在のようなBTCの表現方法の選択に満足していては、私たち自身が損をすることになります。メインチェーンの取引手数料を支払う懐を持つ一部のクジラだけが、信頼できる方法でBTCを取引できるのであれば、ビットコイン(そして実際、この業界全体)に意味はない。BTCを大衆のための信用なき健全な貨幣とするこの概念全体は、多くの人々がBTCを貯蓄し、使用し、取引する唯一の現実的な方法が、国家の管轄の下、誤りを犯しやすい人間によって運営される団体に信頼を置くことを必要とする場合、存在しなくなるだろう。

連邦BTCブリッジは確かに、人々がBTCを迅速かつ安価に保有し、取引できる道を開いた。しかし、それらは決してビットコインのスケーリングの最終的な目的ではなく、むしろ手段である。

今のところ十分だが、業界(そして市場)が切実に必要としている聖杯のようなソリューションではないことは確かだ。

ルートストック rBTC

[Rootstock] Rootstock:ビットコインのOGスケーリングソリューションのひとつ

2018年1月にローンチされたRootstockは、ビットコインのサイドチェーンとしては最初で最長の歴史を持つ。コンセンサスのためにマージマイニングを活用し、Rootstockのガス料金の支払いにもrBTCが使用される双方向フェデレートBTCブリッジを採用している。

キャッチは?Rootstockの連合BTCブリッジは、安全であるために正直な多数決の仮定を必要としない!

さて、皆さんの関心を引いたところで、本題に入ろう。

マージマイニング

Rootstockチェーンはコンセンサスを得るためにマージマイニングを採用している。PoSチェーン(ステーキングセットに対するステーキング資産の割合が投票力を表す)とは異なり、マージマイニングチェーンは、Rootstockチェーンの検証に拡張することで、ビットコインのマイニングに既に使用されているハッシュレート容量を活用しようとするものである。これにより、ビットコインのマイナーは、同じインフラとエネルギー消費でビットコインとRootstockの両方を同時に確保することができ、同じ支出で両方のネットワークからマイニング報酬を得ることができます。同じリソース(ETHなど)を使用して、ネイティブPoSチェーン(リキッドステーキングプラットフォームを介して)と外部PoSネットワーク(LSTをリステーキングして選択したネットワークをセキュアにする)の両方を同時にセキュアにします。

[アレクセイ・ザミャーチン] イラスト:マージ・マイニング

この記事を書いている時点で、ビットコインのマイナーの~80%がRootstockのマージマイニングに参加することを選択している!

チェーン上のスループットを高めるため、Rootstockのブロックはビットコインのブロックよりも速く採掘されるように設計されている(したがって、ビットコインよりも難易度が低い)。現在のところ、Rootstockの平均ブロック時間は 約25秒で、ビットコインの平均ブロック時間は10分である。

tldr

BTCをチェーンに橋渡しするために、Rootstockは、ハードウェアのひねりを加えた特別なタイプのフェデレートBTCセットアップを実装しました。ペグナトリー(署名者)は、PowHSMと呼ばれるRootstockのハードウェアセキュリティモジュールを実行する必要がある。PowHSMは、フェデレーションのマルチシグ方式の一部である署名者の鍵を保存する役割を担う、改ざん防止デバイスである。ロンバードのCubeSignerの実装と同様に、PowHSMは、鍵が生成から署名まで安全なハードウェア内に留まるように設計されているため、外部の攻撃者が鍵を抜き取ることはおろか、Rootstockや署名者本人でさえも鍵を見ることはできない。

Rootstock上のBridge契約はBitcoin SPVを実行し、RootstockからBitcoinを信頼できない方法で見ることができる。ペグイントランザクションの場合、ペグナトはユーザーのビットコインへのBTCデポジットが100回確認されるのを待ってからブリッジに通知し、ユーザーのBTCデポジットが確認されると(Bitcoin SPVを介して)ユーザーにrBTCを鋳造する。

ペグアウト取引の場合、ブリッジはまずペグアウト要求を受け入れる。(Rootstock上で)4000ブロック確認後、ブリッジはペグナトリーがサインオフするために、そのリクエストに対応するビットコインペグアウトトランザクションを構築する。その後、すべてのPowHSMがこのコマンドを( Powpeg、別名Rootstockフルノード経由で)受信し、ペグナトリーがトランザクションに署名するトリガーとなります。大多数のペグナトリーが取引に署名すると、Rootstockのビットコインマルチシグが対応する量のBTCを引き出しユーザーのビットコインアドレスに放出する。

談合などクソ食らえ

Rootstockの連合型BTCブリッジの実装が他のものと異なるのは、ブリッジの安全性を保つために、署名者セットから正真正銘の多数決による信頼の前提を必要としないことです。言い換えれば、Rootstockの署名者の過半数が結託したとしても、ブリッジを侵害し、ユーザーの資金を盗むことはできません。

なぜこのようなことが可能なのか。それは、Rootstockがトランザクション生成と トランザクション署名を 切り離し、Powpegに接続されたHSMセキュア署名と組み合わせることができるからだ。

典型的なマルチシグやMPCでは、署名者がトランザクションを生成署名する。Lombardを例にとると、ユーザーはまずLombardのブリッジ契約とオンチェーンでやりとりして、ペッグアウトのリクエストを提出しなければならない。Lombardの署名者の1人がこれを受け取り、ユーザーのリクエストをビットコイン取引として生成してから、コンソーシアムに提案して署名を求める。多数決で承認されると、ロンバードのビットコイン・マルチシグが対応するBTC額を引き出しユーザーにリリースする。これは、マイナーな(取るに足らない)バリエーションを除いて、すべてのフェデレートされたBTCブリッジ全体で代表的であることを期待しています。

続いて、ロンバードの署名者は、ユーザーのペッグアウトを促進するビットコイン取引を生成する人であることに注目。過半数の署名者が共謀した場合、署名者は(過半数の承認を得て)不正な取引をコンソーシアムに提案し、過半数の承認を得ることができる。これが、フェデレートされたBTCブリッジが、Rootstockに至るまで、ほとんど常に誠実な多数決によるセキュリティを前提としてきた理由である!

[IOV Labs】図解:ルートストックのパウペグのアーキテクチャ

Rootstockは、ペグナトがユーザーのペグアウト要求に対応するビットコイントランザクションを生成しないという点でユニークである。これは、Rootstock上のブリッジコントラクトがユーザーのためにビットコイントランザクションを構築し、それがチェーンのマージマイニングプロセスに参加することを選択したビットコインマイナーによって検証されるからである。ペグナトリーはトランザクションの生成には関与しない。ペグナトリーの役割は単にPowHSMを実行することであり、PowHSMはPowpegに接続し、受信するとすでに構築されたトランザクションに「自動的に」署名する。

視覚化するために、スワップを行うためにUniswapインターフェイスにアクセスしていると想像してください。まず、あなたのウォレット(例:Metamask)は、あなたが意図すること(例:"swap X ETH for USDC")に基づいてトランザクションデータを生成し、あなたが署名するためにハードウェアウォレット(例:Ledger)にポップアップ表示されます。このシナリオでは、Uniswapインターフェイスをクリックする人は引き出しユーザーに似ており、取引データを生成するウォレットはRootstockのBridge契約に似ており、ハードウェアウォレットの物理的なボタンを押す人は受け取った取引に署名するpegnatory-run PowHSMに似ています。

私たちが信頼するハードウェアの中で。

Rootstockブロックチェーンは現在、ビットコインのハッシュパワーの80%でマージマイニングされていることを思い出してください。したがって、ビットコインのハッシュパワーの40%以上を所有し、少なくとも4000 Rootstockブロック(~28時間)維持することで、rBTCブリッジを危険にさらすというハードなルートに進みたいのでなければ、潜在的な攻撃者としては、代わりにRootstockのPowHSM実装の完全性をターゲットにする方が良いでしょう。Lombardの署名者のopsecリスクを否定するためにCubistを信頼するのと同じように、ユーザーも、Rootstock、潜在的な攻撃者、あるいはペグナトリー自身によって悪用される可能性のあるバグや秘密のバックドアがペグナトリーが運営するPowHSMにないことをRootstock Labsを信頼する必要があります。

Rootstockの防衛策としては、PowHSMファームウェアをオープンソース化することで、ユーザーが同社を信頼する必要性を減らすための措置を講じている。しかし、ファームウェア自体はLedger Nano SまたはIntel SGXの上に実装されているため、ユーザーは、セキュア・エレメント・チップが本当に安全であり、秘密チャネル、偏った乱数生成器、またはいかなる形態のバックドアもデバイスに導入しないというLedger社またはIntel社(製造業者として)の言葉を信用する必要がある。

結論

Defense-in-Depth(別名レイヤードセキュリティ)を活用することで、Rootstockは、他のどの企業も成し得なかったことを成し遂げました - ユーザーが預けた資金のセキュリティのために正直な多数決を仮定する必要のない、フェデレートされたBTCブリッジを実装しています。

しかし、繰り返しになるが、信頼が低いからといって信頼がないわけではない。ルートストックの12人からなるペグナトリーセットの構成は、他のフェデレーション・ブリッジのセットアップの署名者セットを信頼するのと同じように、依然として信頼する必要がある。ただしRootstockの場合、ペグナトリーにはトランザクションデータを改ざんする権限がないため(彼らは「単に」PowHSMを実行するだけである)、正真正銘の多数派による結託のリスクは排除され、ペグナトリーの有効性「のみ」を信頼することになる。ただし、大多数のペグナトがオフラインになった場合、Rootstockのビットコインマルチシグ内で資金が滞留するリスクは発生する。

さらに、RootstockのPowHSM実装のセキュリティも信頼する必要がある。これには、PowHSM へのファームウェアのインストー ルが適切に行われていることを信頼することも含まれるし、Ledger 社やIntel 社のデバイスの完全性 を信頼することも含まれる。

[Rootstock】全体像:Rootstockの連合型双方向ペッグとビットコインのメインチェーン

RootstockのrBTCブリッジは、確かに既存のBTCブリッジを大きく改善したものだが、スタックの特定の部分について、ユーザーがある程度の信頼を置く必要があることに変わりはない。Rootstockの連携ブリッジセットアップが提供するセキュリティは、世の中の99%のトークンと表現に対してすでに十分すぎるほどであることは否定しないが、BTCに関しては脱線する。

Rootstockは、(私の意見では)最高のフェデレートBTCブリッジの実装を持つだけでなく、現在稼働している最高の全体的なBTCブリッジを持つことで、多くの花を咲かせるに値する。

しかし、仕事はまだ終わっていない。

担保BTC

ライトニングを除けば、担保付きBTCブリッジは、スケーラブルなチェーンやレイヤーにBTCを真にパーミッションレスな方法で「エクスポート」する数少ない方法の一つである。

評判は関係なく、信頼できるエンティティも必要ありません。誰でも参加できるオープンなデザインでありながら、信頼は最小限に抑えられているため、ユーザーは誰も信用する必要はない。

ここでは、現金が文字通り王様なのだ。

tldr

考え方は簡単で、担保となるBTCブリッジに1ドル相当のBTCを預けるごとに、少なくとも1ドル相当以上の他の資産が裏付けとなる。

実装についてはどうだろう?それほどでもない!

細かなバリエーションはあるものの、担保付BTCブリッジは主に2つの実装タイプに分類できる:CDP型ブリッジとステーク・ウェイト型ブリッジである。

インターレーiBTC

CDPは担保付き負債ポジションの略で、MakerDAOによって普及し、LiquityのLUSDやMakerDAOのDAI自体のような分散型ステイブルコインプロジェクトで主に見られます。デットトークン(別名LUSDまたはDAI)を鋳造するために、ユーザーはポジションの最大許容負債額を超える担保(すなわちwBTC、ETH)を預けなければなりません。担保比率は、担保資産のボラティリティとリスクの認知度によって決まります。安全な「優良」資産は低い比率になる傾向がありますが、ロングテール資産は認知されたリスクを補うために高い担保比率が必要になります。担保比率が一定の閾値(110%など)を下回ると、保管庫は清算に陥り、ポジション保有者は担保をすべて失うリスクを負うことになる。

InterlayのiBTCは、CDPスタイルのBTCブリッジ実装のそのような例の一つであり、ブリッジされたBTCのすべての$1相当は、宛先チェーン上の>$1相当の担保によって裏打ちされなければならない。iBTCを鋳造するには、保管人はメインチェーンにBTCを預ける前に、まずInterlayに担保を預けなければならない。iBTCを鋳造できる量は、VaulterのInterlay上の担保価値に対応します:ロックされた担保が160ドルの価値がある場合、VaulterはInterlay上で100ドル相当のiBTCしか鋳造できませんCR160%)。もし評価者の担保価値が清算比率を下回れば、誰でもiBTCを燃やしてプレミアム(110%)で担保を換金することができる。

[Interlay】図解:インターレーiBTC

iBTCをビットコインのBTCに交換するには、ユーザーはまず取引所にリクエストを提出し、取引所は対応するBTC額をビットコイン保管庫からユーザーに送ることで引き出しを処理する。保管業者がオフラインになったり、単にBTCの換金を拒否した場合、ユーザーはiBTC換金の価値に見合った保管業者の担保と、いくらかの「換金失敗」報酬を請求することができる。こうすることで、保管者はユーザーのためにBTCを換金するインセンティブを得ることができ、Interlayにロックされた担保でユーザーにプレミアムを支払うリスクを回避することができる。

しきい値 tBTC

一方、ステーク・ウェイト型ブリッジは基本的に連合型BTCブリッジであるが、署名者セットを厳選された少数の信頼できるエンティティのみに制限する代わりに、ブリッジに資産をステークする(そしてブリッジの署名者として動作するために必要なソフトウェアを実行する)ことで、誰でも署名者として参加することができる。署名権限は、各ブリッジの実装の詳細に応じて、マルチシグおよび/またはMPCを介して分配される。

それでは、最も著名なステーク加重BTCブリッジ実装であるThresholdのtBTCを見てみよう。ThresholdはMPCを活用し、100人の署名者からなるブリッジのビットコイン入金アドレスを生成します。署名者はランダム化プロセス( Sortition Pool経由)で選ばれ、署名者に選ばれる確率は、署名者セットに対する賭け金$Tの割合に等しくなります - あなたが10 $Tを賭けていて、署名者セットが合計800 $Tを賭けている場合、そのビットコイン入金アドレスの署名者に選ばれる確率は1.25%です。ビットコイン入金アドレスに100人の署名者がいると仮定すると、あなたのノードはセットから少なくとも1人の署名者を構成すると予想できます。さらに、ウォレット生成と署名に Threshold ECDSAアルゴリズムを使用しているため、Thresholdのビットコイン入金アドレスから資金を移動するには、100人中51人の署名者が協力する必要があります。

[カオスラボ】図解:スレッショルド tBTC

14日ごとに、ブリッジはThresholdの現在のステーキング構成に基づいて、ユーザーのBTC入金用に新しいビットコイン入金アドレスを生成します。新しいステークホルダーがThresholdの将来のビットコイン入金アドレスの署名者になることを可能にするだけでなく、これは フォワード・セキュリティーも実現します:仮に不正な多数派がThresholdのステーク構成を構成したとしても、その時点から生成される新しいビットコイン入金アドレスが損なわれるだけです。言い換えれば、腐敗した多数派がステーキング構成を引き継ぐ前にThresholdを使用してBTCをブリッジ(およびtBTCを鋳造)した場合、あなたのBTCは、その時点で安全な正直多数派の署名者セットによって制御されるビットコイン入金アドレスに安全に保存されたままになります。

iBTC - 信頼の担保

どちらのブリッジ・モデル(CDP方式とステーク・ウェイト方式)も、その設計において、特権を持つエンティティのクローズド・セットを前提としていない。ブリッジのセキュリティに関して重要なのは、システムにロックされた担保だけである。

InterlayのCDPスタイルのブリッジの場合、ユーザーは各iBTCの裏付けとなる担保を信頼しなければならない。ゴミが入ればゴミが出る - もしブリッジが不発の資産を担保に受け入れると、担保不足のリスクを負うことになる。清算人は、交換に受け取る担保に流動性のある市場や効率的な価格発見がなければ、保管庫を清算する気にならないかもしれない。要点を整理するために、あなたが清算人であると想像して自問してみましょう。オンチェーンでの流動性が薄く、1時間ごとに20%の価格変動を受けやすいmemecoinに対して、10%のプレミアムを支払ってVaultを清算したいと思いますか?

ユーザーとして、Interlay上の担保資産の価格フィードをストリーミングするオラクルネットワークを信頼する必要があることは避けられません。オラクルは同じように構築されているわけではありません。価格ソースのサンプルが豊富で、強固なセキュリティ対策を実施しているものもあれば、もう少し疑わしいものもあります。実際、最も脆弱なリンクは、CDPの担保やスマートコントラクトの実装ではなく、オラクルであることがしばしば判明している!

tBTC - ステーカーズ・イン・ウィ・トラスト

当然ながら、tBTCホルダーは、Thresholdの$Tステーク構成が分散化されたままであること、そして現在も将来も、単一のエンティティや連合が$Tステーク額の51%以上を占めることができないことを信頼する必要がある。

Thresholdのフォワード・セキュリティは、(ステーキング・コンポジションが)侵害された時点以降の被害は将来のBTC入金のみに限定されますが、これが実際にいつ起こるかははっきりしません。攻撃者はステークした$Tの残高を複数のアドレスに分割することができ、残高が複数のパーティによって保有されているように見せかけ、実際には同じエンティティによって管理されている。これは、Thresholdの基本的な署名アルゴリズムが(少なくともtBTC v1では)挙動不審な署名者を識別できないため、攻撃者候補が署名者セットに徐々に忍び込み、(最終的に)ステーキング・マジョリティを形成する際に検知されないままであることによってさらに悪化する。上記はThresholdにとって十分な懸念事項であったようで、彼らは許可された署名者セットでブリッジを立ち上げることを決定した!

しかし議論のために、ブリッジが無許可になったと仮定してみよう。$Tトークンは時価総額で数十億ドルに達し、攻撃者がブリッジの賭け金構成の51%まで$Tを蓄積できる可能性は極めて低いだろう。この「終盤」の状態でも、ブリッジはまだキャパシティによってスロットルされている。ユーザーのBTCデポジットは、署名者セットが経済的に安全であると考えられるのは、彼らが集合的に管理するすべてのビットコイン預託アドレスにわたってユーザー資金を盗んで得られるものより、ステークされた担保で失うものの方が多い場合のみである。

上記を定量化するために、合計$10M相当の$TがThresholdに賭けられているシナリオを想像してみよう。また、簡単のため、署名者セットは終始変化しないと仮定する。サインオフには100人中51人が必要なので、ブリッジの経済的安全性は510万ドルの価値があると言えます。これはThresholdが不正なステーカーを斬りつけるために利用できる最大の担保価値です。理論的には、管理されたビットコイン入金アドレスのユーザーBTC入金額の合計が5.1Mドルを超えると、署名者が結託してユーザー資金を吸い上げることが有益になる。実際には、署名者セットは複数のビットコイン入金アドレスにわたって固定されませんが(新しいステーカーや退出するステーカーに対応するため)、その背後にあるゲーム理論はまだ立っています:署名者セットの不正な大多数は、制御されたビットコイン入金アドレスにわたるユーザーBTC預金の価値が、彼らが失うことになる賭け担保よりも大きい場合にブリッジを侵害することができます。

結論

Lightning以外では、担保付きのBTCブリッジのみが、真のパーミッションレスであると主張できる。残念なことに、これらのブリッジには、ブリッジ自体の外部に存在する一連の難問と暗黙の信頼前提がある。

CDPスタイルのブリッジの安全性は、基本的にブリッジの裏付けとなる担保メイクと絡み合っている。ブリッジが高品質の資産(すなわちETH)のみに限定するのであれば、その資産を引き付けるために他のDeFiプロトコルと利回りで競争する必要があります。

CDP-style bridges are also highly capital-inefficient — in the case of Interlay, at least $1.6 worth of collateral is needed in order to mint $1 worth of iBTC. You can only lower the collateralization ratio down to a certain threshold: set it too low (<110%), and you’re staring at a barrel of failed liquidations and the risk of the bridge failing due to being straddled by bad debt.

オラクルのセキュリティの問題もある。そもそも整然とした清算を可能にするために、CDPスタイルのブリッジは、オラクルから供給される強固で正確な価格フィードに依存している。つまり、デフォルトでは、ユーザーはブリッジのオラクル・ネットワークまたはプロバイダーを信頼する必要がある。

結局のところ、ブリッジの新しいビットコイン入金アドレスを生成する際に、誰が署名者セットの一部となるかを決定する。ユーザーは、ステーキングトークンの所有権分配が十分に非中央集権的であり、単一のエンティティや連合が過半数を獲得できないことを信頼しなければなりません。

加えて、ステークウェイトブリッジは基本的にキャパシティスロットル(CDPスタイルのブリッジよりはるかに優れているとはいえ)である。このため、ブリッジの複数のデポジット・アドレスにわたって安全に保管できるBTCの上限が事実上制限される。いかなる状況においても、これらのアドレスにわたるユーザーBTCデポジットの合計額が、それらを管理する大多数の署名者のステークされた担保価値の合計額を超えることがあってはならない。

代表は平等ではない

メインチェーンから抜けることには、それなりのニュアンスが伴う。ビットコインの外部にBTCを表現することは、メインチェーン上にBTCを保持することほど安全ではないことは事実だが、いずれにせよ、隠し場所にそこまでのセキュリティが必要ない場合もある。ここにいる全員が億万長者というわけではない!

上記で取り上げたBTCスケーリングレイヤーとブリッジのほとんどは、当分の間、それなりに安全であり続けると信じているが、セルフカストディアルBTCホッダーとして、少なくとも今日の市場にある選択肢を認識しておくことは重要だと思う。この記事を通じて、平均的なBTCホッダーが、さまざまな自己保管環境をナビゲートする際に存在する信頼のトレードオフについて、よりよく知られるようになることを願っています。

次回の連載では、BitVMというゲームを変える発見を探ります。BitVMはビットコイン上のコンピューティングパラダイムで、楽観的な方法でプログラムをビットコイン上で実行することを可能にします。これは、ほとんどの計算をオフチェーンで処理するため、ビットコインの制限に妨げられないことを意味する。ただし、結果に不服がある場合は、ビットコイン上のオンチェーンで論争を起こすことができる。不正行為があれば、不正を行った者は摘発され、罰せられる。第一段階として、これはビットコインから外部のスケーリングレイヤーへの信頼最小化BTCブリッジの構築を初めて可能にする。将来的にはBitVMは、取引データがビットコインのブロックチェーン上に保存される真のビットコイン・ロールアップを可能にする可能性さえある。

BOBのハイブリッド・チェーンは、ビットコインのセキュリティとEVMの最先端ツールの長所を融合し、両者の長所を受け継いでいる。世界初の実用的なBitVMの実装の先駆者であるBOBは、安全でありながら安価なビットコイン取引とDeFi(ビットコイン以外のネイティブ・ビットコインを見よ)の本拠地となる!

あまりにも良すぎると思われますか?ビットコインDeFiへの入り口であるBOBのハイブリッド・チェーンを深く掘り下げるパート2にご期待ください。

もし、私が言及する価値のある何かを見逃していると感じたら、X/Twitterでご連絡ください。また、この記事が参考になった場合は、リポストや「いいね!」をしていただけるとありがたいです!