IOBC Capital:なぜOptimistic RollupsのセキュリティはZKよりも劣るのか?
TechFlow厳選深潮セレクト
IOBC Capital:なぜOptimistic RollupsのセキュリティはZKよりも劣るのか?
詐欺証明+インタラクティブ証明。
Web3業界の深掘り報道に専念し潮流を洞察ヴィタリックは2021年に次のように述べました:
一般的に私の見解は、短期的にはオプティミスティックロールアップが汎用EVM計算において優位になる可能性があり、ZKロールアップはシンプルな支払い、取引および他の特定用途アプリケーションのケースで勝ち残る可能性があるということです。しかし、中長期的にはZK-SNARK技術の進歩により、ZKロールアップがすべての利用シナリオで優位になると考えています。(要するに、短期的にはオプティミスティックロールアップが汎用EVM計算で勝ち、ZKロールアップが単純な決済・取引などの特定用途で勝つだろう。だが、ZK-SNARK技術の進化とともに、中長期的にはZKロールアップがすべての分野で優位となる。)
現在、最も注目されているZKロールアッププロジェクトの多くはまだトークンを発行していません。たとえばzkSync、StarkEX、StarkNet、Aztecなどが該当します。一方で、オプティミスティックロールアップの「二大巨頭」の一つであるOptimismのトークンはすでに主要な取引所で上場・取引されており、最近では利上げの終息、ETH2.0の近づき、OPエアドロップによる売り圧の解消などさまざまな要因から、OP価格も好調なパフォーマンスを見せています。この強気の価格動向を目の当たりにして、「OPはいったいどこでZKに劣っているのか?」と疑問に感じる人も多いことでしょう。
まず、オプティミスティックロールアップとZKロールアップの最も重要な違いを以下に整理します:
-
第一に、セキュリティ性においてZKロールアップがオプティミスティックロールアップを上回る。ZKロールアップはL1に新しいステートを提出する際に証明(Proof)を付随させるため、L1のセキュリティ保証をそのまま継承できる。一方、オプティミスティックロールアップは証明なしでステートを提出するため、TVLがある程度大きくなると、マイナーが賄賂を受け取って不正な状態の際の詐欺証明(Fraud Proof)をブロックに取り込まないリスクがあり、資産盗難の恐れが生じる。
-
第二に、スケーラビリティにおいてZKロールアップが優れる。オプティミスティックロールアップの実質的なスループット上限は約500TPSだが、ZKロールアップは2000TPS以上を達成でき、StarkExに至っては9000TPSに達する。
-
第三に、検証可能性と最終性においてZKロールアップが優れる。ZKロールアップの最終確定時間は非常に短く、たとえばzkSyncでは10分程度である。一方、オプティミスティックロールアップの最終確定には最低でも1週間かかる。この差は、資本効率の面で大きな開きとなる。
-
第四に、EVM互換性においてオプティミスティックロールアップが優れている。オプティミスティックロールアップはEVMと互換性があるため、既存のイーサリアムL1上のDappsを迅速かつ容易に移行させることができる。そのため、現時点ではオプティミスティックロールアップ系L2プロジェクトのTVLランキングは上位にある。ただし、zkVMの開発が進むにつれて、この優位性は徐々に薄れていくだろう。
なぜオプティミスティックロールアップのセキュリティがZKに劣り、資本効率が低いのかを理解するには、その動作原理を知る必要があります。以下ではArbitrum Rollupを例に説明します。
Arbitrum Rollupはオプティミスティックロールアップの一形態です。その基本構造は以下の図の通りです。
ArbitrumはイーサリアムのL2プロトコルであり、EthBridgeはArbitrumチェーン上で発生している事象の最終的な権威を持つ存在であり、Inbox/Outboxの管理も担っています。Arbitrumの実行環境はAVM(Arbitrum Virtual Machine)であり、その設計起点はEVMに基づいており、多くの点で変更がないため、EVMで作成またはコンパイルされたプログラムをサポートしています。Offchain LabsがArbitrum向けに開発したOSがArbOSであり、これはEVMと互換性のある実行環境をスマートコントラクトに提供します。つまり、ArbOS上ではEVM互換のDappsを実行でき、イーサリアムチェーン上のDappsを直接移植することが可能なのです。
Arbitrumでは、Arbitrum Rollupチェーン上で発生するすべてのトランザクションがRollupチェーン上に記録されます。Arbitrum上でトランザクションを実行するにもETHのガス料金が必要ですが、L1よりも大幅に安価です。Ethereumチェーンに送信されるのは元のトランザクションデータのみであり、コントラクトの計算処理とストレージはArbitrum Rollupチェーン上で行われます。トランザクションの圧縮を最適化し、Ethereumチェーン上に公開するデータ量を最小限に抑えることは、L2のコスト削減とスループット向上にとって極めて重要です。Calldataを持たないシンプルな送金取引の場合、ベンチマークによるとArbitrumは毎秒最大4500件の送金取引を処理できます。
どのようにして合意が形成されるのか?
Arbitrum Rollupは「楽観的(オプティミスティック)」なロールアップであり、すべての参加者が誠実であることを前提としています。そのため、断言(Assertion)を発表する際にはその正当性を証明する必要はありません。代わりに、「詐欺証明(Fraud Proof)」の仕組みによってL2ネットワークの正しい合意を確保しています。
Arbitrumの詐欺証明(Fraud Proofs):断言がチェーン上に投稿されると、それを提出した検証者は保証金を預けます。そして一定期間のチャレンジウィンドウが設けられ、誰かがその断言が誤りだと判断すれば、自身も保証金を預けて異議を唱えることができます。チャレンジ期間中、断言者と挑戦者は相互にプロトコルを通じてやり取りを行い、チェーン上のコントラクトがそのプロトコルの審判役となります。最終的にどちらかが虚偽の主張を行ったと判定されれば、その者の保証金は没収され罰則が課されます。
では、Arbitrumはチャレンジ期間中の争いをどう解決するのか?
その鍵は「インタラクティブ証明(Interactive Proving)」にあります。これは争点を細分化し、核心的な相違点を見つけ出し、L1の審判(Referee)がそれを判断するという仕組みです。
具体例で説明します:アリスが「93が正しい」という断言を提出し、ボブが異議を唱えて「95が正しい」と反論したとします。アリスの主張がNステップの実行を含んでいる場合、彼女はその半分(N/2)ずつの2つの主張を提出します。ボブはそのうちの一方を選び、異議を申し立てます。これにより、争点の範囲が半分に狭まります。このプロセスを繰り返すことで、各段階で争点を半分ずつに絞っていき、最終的に1ステップの実行について意見が対立するまで狭めます。争点が1ステップにまで絞られた時点で、L1の審判がその命令の実際の動作と、アリスの主張が正しいかどうかを確認して争いを解決します。
Arbitrumの採用するインタラクティブ証明と、イーサリアムL1の「トランザクションの再実行(Re-executing Transaction)」との違いは次の通りです。再実行はトランザクション全体を模擬する必要があるのに対し、インタラクティブ証明ではアリスとボブが自ら争点を1ステップまで絞ることで、L1審判はたった1ステップの実行を模擬するだけで済むのです。また、ArbitrumとOptimismの違いもここに現れます。Optimismでは問題のあるトランザクション全体をEVM上で再実行します。
以上から、オプティミスティックロールアップがZKに比べてセキュリティが低く、資本効率が悪い理由は、根本的に証明メカニズムの違いにあることがわかります。
拡張性という本来の目的に戻れば、イーサリアムL1の性能と比較して、オプティミスティックロールアップはすでに主要なスケーリング目的を達成しており、EVM互換という利点もあって、それなりの発展を遂げています。L2プロジェクトのTVLランキングを見ても、オプティミスティックロールアップの双璧であるArbitrumとOptimismは、それぞれ24.8億ドル、10.4億ドルのTVLでトップ2を占めています。Arbitrumエコシステムには21カテゴリ249のアプリケーションプロトコルが参画しており、Optimismエコシステムにも179のプロジェクトがあります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
