どうやって偽の非中央集権的なクロスチェーンプロトコルを構築するか?
TechFlow厳選深潮セレクト
どうやって偽の非中央集権的なクロスチェーンプロトコルを構築するか?
「偉大なデザインは一見非常にシンプルに見えるが、それを生み出すプロセスは極めて複雑である。」
Web3業界の深掘り報道に専念し潮流を洞察執筆:康水躍、Fox TechおよびWay Network創設者、丹陽投資会長
Adam Back(ビットコインコア開発チームリーダー、BlockStream CEO)の言葉で印象深いものがあります。「偉大な設計は非常にシンプルに見えるが、その設計プロセス自体は極めて複雑なものである」。しかし、見た目がシンプルだからといってすべての製品設計が「偉大」と呼べるわけではなく、たとえばLayerZeroはそうではありません。
クロスチェーンプロトコルは問題が起きるまでは安全に見え、特に問題がないように感じられます。しかし、いったん事故が起きれば、それは常に衝撃的な規模のものです。過去2年間に各ブロックチェーン上で発生したセキュリティインシデントによる損失額を分析すると、クロスチェーンプロトコル関連の事件が最も大きな損失を記録しています。
クロスチェーンプロトコルのセキュリティ問題を解決する重要性と緊急性は、イーサリアムのレイヤー2スケーリングソリューションよりも高い。クロスチェーン間の相互運用性は、Web3が真にネットワークとしてつながるために不可欠な要件です。こうしたプロトコルはしばしば巨額の資金調達を行い、TVLや取引回数も実需によって着実に増加しています。しかし、一般ユーザーの識別能力が低いため、これらのクロスチェーンプロトコルのセキュリティレベルを見極めることが困難です。
まず一つの製品設計構造を見てみましょう:Chain AとChain Bの通信はRelayerが行い、OracleがRelayerを監視します。
この構造の利点は、従来型のようにChainAとChainBの通信を第三者のチェーン(通常dAppを展開しないチェーン)がコンセンサスアルゴリズムと数十ノードによる検証を通じて処理する必要がないため、エンドユーザーにとって「迅速なクロスチェーン」体験を提供できる点です。また、構造が軽量でコード量も少なく、Oracleには既存のChainlinkを利用できるため、こうしたプロジェクトは容易に上場できます。しかし、同時に模倣も容易であり、技術的ハードルは事実上ゼロと言えます。
図1: 偽の非中央集権クロスチェーンプロトコル(基本版)
上記の構造には少なくとも2つの問題がある:
1. LayerZeroは数十のノードによる検証を単一のOracleによる検証に縮小しており、セキュリティ係数は大幅に低下している。
2. 単一検証に簡略化された場合、RelayerとOracleが独立であることを前提とする必要があるが、この信頼前提は永続的に成立するものではなく、「Crypto Native」でもなく、両者が共謀して悪意ある行為を行う可能性を根本的に排除できない。
これがまさにLayerZeroが採用している基本モデルです。独立したセキュリティタイプの「超軽量」クロスチェーンソリューションとして、LayerZeroはメッセージの中継のみを担当し、アプリケーションのセキュリティに対して責任を持たず、また持てる立場にもない。
ではRelayerを解放し、誰でも中継器を運営できるようにすれば、上記の問題は解決できるだろうか?
図2は図1の構成要素の数を増やしたものである。まず、「非中央集権(Decentralized)」とは単に運営者の数が増えたり、誰でも参加できることを意味するのではない。後者は「Permissionless(許可不要)」と呼ばれる。需要側が常にPermissionlessであるのは当然だが、供給側もPermissionlessにすることは画期的な変革ではなく、市場サイドの変化にすぎず、製品自体のセキュリティとの関連性は薄い。LayerZeroのRelayerは情報転送を行うだけの中間者であり、本質的にはOracleと同じくTrusted Third Party(信頼された第三者)に過ぎない。信頼主体を1つから30個に増やすことでクロスチェーンの安全性を高めようとしても、製品特性は変わらず、無駄な試みに終わるだけでなく、新たな問題を引き起こす可能性もある。
図2: 偽の非中央集権クロスチェーンプロトコル(上級版)
あるクロスチェーントークンプロジェクトが設定可能なLayerZeroノードを許可している場合、攻撃者はそれを自身の「LayerZero」ノードに置き換えることができ、任意のメッセージを偽造することが可能になる。結果として、依然としてLayerZeroを利用しているプロジェクトに重大なセキュリティリスクが生じる。さらに複雑な状況では、この問題はより深刻になる。巨大なシステムにおいて、たった一つの环节が交換されただけでも連鎖反応を引き起こす可能性がある。
LayerZero自体にはこの問題を解決する能力がなく、実際にセキュリティ事故が発生した場合、LayerZeroは自然と責任を外部アプリケーションに転嫁する。エンドユーザーは、LayerZeroを使用する各プロジェクトの安全性を自分で慎重に判断する必要があるため、ユーザーエクスペリエンスを重視するプロジェクトは、悪意のあるアプリによって汚染されるのを避けるためにLayerZeroへの接続を慎重に行う。その結果、エコシステムの構築は難しくなる。
もしLayer0がLayer1やLayer2のようにセキュリティを共有できないなら、そのLayer0はインフラストラクチャ(Infrastructure)と呼ぶべきではない。インフラが「基盤」と呼ばれるのは、セキュリティを共有できるからである。あるプロジェクトが自らをインフラストラクチャと称するのであれば、他のインフラ同様、自らのエコシステム内のすべてのプロジェクトに対して一貫したセキュリティを提供すべきであり、つまりすべてのエコシステムプロジェクトがそのインフラのセキュリティを共有できるべきなのである。
したがって、正確に言えば、LayerZeroはインフラストラクチャ(Infrastructure)ではなく、ミドルウェア(Middleware)である。このミドルウェアのSDK/APIを利用するアプリ開発者は、確かに独自のセキュリティ戦略を自由に定義できる。
L2BEATチームは2023年1月5日に「Circumventing Layer Zero: Why Isolated Security is No Security」と題する記事を発表し、アプリ所有者(または秘密鍵を持つ人物)が悪意を持たないと仮定するのは誤りであると指摘した。悪意のあるBobがLayerZeroの設定アクセス権を得た場合、彼はデフォルトのOracleとRelayerを自分が制御するコンポーネントに変更し、イーサリアム上のLayerZeroメカニズムを利用するスマートコントラクトを説得して、善良なAliceが保有するイーサリアム上のすべてのトークンを引き出すことができる。原文リンク
Nomadチームは2023年1月31日に、LayerZeroのRelayerには2つの重大な脆弱性が存在すると指摘した。現在、これらは二名によるマルチシグ状態にあるため、これらの脆弱性は内部の人間または身元が特定されたチームメンバーのみが利用可能である。第一の脆弱性により、LayerZeroのマルチシグから不正なメッセージを送信でき、第二の脆弱性では、Oracleとマルチシグがメッセージやトランザクションに署名した後に内容を改ざんできる。いずれも、すべてのユーザー資金が盗まれる原因となる。原文リンク
華やかな表面に惑わされたときこそ、本源に立ち返るべきである。
2008年10月31日、ビットコインのホワイトペーパーが登場。2009年1月3日、BTCのジェネシスブロックが誕生した。「Bitcoin: A Peer-to-Peer Electronic Cash System」というホワイトペーパーの概要は以下の通りである:
Abstract. A purely peer-to-peer version of electronic cash would allow online payments to be sent directly from one party to another without going through a financial institution. Digital signatures provide part of the solution, but the main benefits are lost if a trusted third party is still required to prevent double-spending. We propose a solution to the double-spending problem using a peer-to-peer network. The network timestamps transactions by hashing them into an ongoing chain of hash-based proof-of-work, forming a record that cannot be changed without redoing the proof-of-work. The longest chain not only serves as proof of the sequence of events witnessed, but proof that it came from the largest pool of CPU power. As long as a majority of CPU power is controlled by nodes that are not cooperating to attack the network, they'll generate the longest chain and outpace attackers. The network itself requires minimal structure. Messages are broadcast on a best effort basis, and nodes can leave and rejoin the network at will, accepting the longest proof-of-work chain as proof of what happened while they were gone.
概要の中国語訳は以下の通り:
完全なP2P電子マネーは、金融機関を経由せずにオンライン支払いを一方から他方に直接送信することを可能にする。デジタル署名は一部の解決策を提供するが、依然として信頼できる第三者が必要であれば、二重支出を防ぐという主な利点は失われる。我々はP2Pネットワークを用いて二重支出問題を解決する方法を提案する。ネットワークは取引をハッシュ化し、継続的なハッシュベースの作業量証明(PoW)チェーンに組み込むことでタイムスタンプを付与し、作業量証明を再計算しない限り変更不可能な記録を作る。最長のチェーンは、観測された出来事の順序の証拠であるだけでなく、それが最大のCPUパワーのプールから生まれたことの証でもある。多数のCPUパワーがネットワークを攻撃しないノードによって制御されていれば、それらのノードは最長チェーンを生成し、攻撃者を上回ることができる。ネットワーク自体は極めて最小限の構造しか必要としない。メッセージはベストエフォート方式でブロードキャストされ、ノードはいつでもネットワークから離脱・再接続でき、その間の出来事の証拠として最長の作業量証明チェーンを受け入れる。
人々はこの後世に多大な影響を与えた論文、特にこの概要から、「中本コンセンサス」として広く知られるようになった理念を抽出しました。その核心は「信頼された第三者(A Trusted Third Party)」の排除、つまり信頼不要(Trustless)、非中央集権(Decentralized)の実現です。ここで言う「中心」とはまさに「信頼された第三者」のことです。クロスチェーン通信プロトコルの本質もビットコインと同様、P2Pシステムであり、Chain AからChain Bへ直接一方が他方に送信するもので、いかなる信頼主体も介在しません。
DecentralizedおよびTrustlessという特徴を持つ「中本コンセンサス」は、その後のすべてのインフラ開発者が共通して追求する目標となっている。言い換えれば、「中本コンセンサス」を満たさないクロスチェーンプロトコルは偽の非中央集権プロトコルであり、DecentralizedやTrustlessといった高次元の表現を使って自らの製品特性を形容すべきではない。しかし、LayerZeroは自らを「Omnichain communication, interoperability, decentralized infrastructure」と称しており、「LayerZeroは、軽量なメッセージ伝送のために設計されたオムニチェーン相互運用性プロトコルであり、構成可能な信頼不要性(configurable trustlessness)により、真正かつ保証されたメッセージ配信を提供する」と述べている。
実際には、LayerZeroはRelayerとOracleという2つの役割が共謀して悪意ある行動を起こさないと仮定しており、さらにユーザーがLayerZeroを使ってアプリを開発する開発者を信頼された第三者として信用することを求めています。また、「マルチシグ」に参加する信頼主体はすべて事前に指定された特権的な存在です。同時に、そのクロスチェーンプロセス全体でいかなる詐欺証明(fraud proof)や有効性証明(validity proof)も生成されておらず、それらをオンチェーンに提出して検証する仕組みもない。したがって、LayerZeroはまったく「中本コンセンサス」を満たしておらず、決してDecentralizedでもTrustlessでもない。
L2BEATチームとNomadチームが問題提起者として善意の記事を発表した後、LayerZeroの対応は「否認」からさらに「否認」でした。ビットコイン以前にも多くの電子マネーがありましたがあまり成功しませんでした。なぜなら、それらは非中央集権性、耐攻撃性、内因的価値の確立という目標を達成できなかったからです。クロスチェーンプロトコルも同様であり、どれほど資金調達が大きく、トラフィックが多く、いわゆる「血統が純粋」であっても、製品が真の非中央集権的セキュリティを実現できなければ、耐攻撃性が不足し、最終的に破綻する可能性が高いのです。
かつて、本来LayerZeroと立場を同じくすべきだった友人が私にこんな質問をしました。「もしLayerZeroがWay Networkのようにゼロ知識証明を用いてクロスチェーンプロトコルをアップグレードしたいと考えたら、その難易度はどれほど高く、どのような障壁があるでしょうか?」これは興味深い問いですが、肝心なのは彼ら自身に問題意識がないことです。
真の非中央集権クロスチェーンプロトコルの構築方法については、私の過去の記事『なぜゼロ知識証明を使ってクロスチェーンプロトコルを開発すべきなのか』を参照してください。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
