BitVMを詳解:ビットコインのプログラマビリティの夜明け
TechFlow厳選深潮セレクト
BitVMを詳解:ビットコインのプログラマビリティの夜明け
BitVMは初期段階にあり、本質的に実装されていない仮想コンピュータの概念にすぎないが、すでにさまざまなプロジェクトから多数の関心や声明が寄せられている。
Web3業界の深掘り報道に専念し潮流を洞察執筆:IOSG Ventures
*謝辞:Momir氏、Xinshu氏に記事の貴重な修正提案をいただき感謝いたします。
TL;DR
-
ビットコインコアへの変更は通常抵抗される。その理由は以下の通り:a) ビットコインを通貨よりも価値保存手段として好む傾向がある。b) 速い革新よりも安定性と予測可能性を重視する。c) 多様なコミュニティ内で合意を得ることは困難である。
-
多くのプロジェクトが、ビットコインチェーン自体を変更せずにスケーラビリティ問題を解決できる方法を主張している。最近、ビットコイン「L2」のスーパーハイパーインフレーションが観察された。
-
多くの主張は誤解を招くマーケティングに過ぎないが、我々はビットコインにプログラマビリティをもたらす新しい計算パラダイム――BitVM――を認識した。
-
BitVMがサポートできる最適なスケーリングソリューションは、OP-Rollupタイプのセキュリティ前提に近い(ただし追加の注意点もある)。
-
BitVMおよび類似イニシアチブの成功は、技術的実現可能性、コミュニティの支持、そして「過剰マーケティング」プロジェクトとの差別化に依存する。
ビットコインはトランザクション用ブロックチェーンとして構築されており、攻撃面を最小限に抑えネットワークの安全性を確保するために、スクリプト言語は意図的にステートレス(Stateless)に制限されている。チューリング完全性(Turing-completeness)が欠如しているため、フォークしてビットコインコアをアップグレードしない限り、ブロックチェーン上で直接スマートコントラクトを導入することは不可能である。
伝統的なビットコインコミュニティは変更に対して抵抗的である。その理由は以下の通り:
価値保存より流通通貨に重点を置くストーリー:ビットコインコミュニティは、ネットワークをピアツーピア決済システムとして維持することに意図的に焦点を当てており、急速な発展よりもセキュリティと非中央集権性を優先している。有名なビットコイン保有者Michael Saylor氏の言葉を借りれば、「誰も第五アベニューのビルの一部を使ってコーヒーを買うことはしない」ということだ。これは、ビットコインを日常通貨ではなく価値保存手段として使うことを好むコミュニティの姿勢を反映している。
-
革新よりもシステムの安定性:優れた価値保存資産にとって、予測可能性は極めて重要である。たとえば、ネットワークが10回の大規模アップグレードを行い、それぞれの成功率が90%であったとしても、少なくとも1回失敗する確率は約65%になる! 正常事故理論によれば、「複雑なシステムでは、通常無視できる小さな要因が偶発的に重大な出来事を引き起こすことが予想される」とされるため、ビットコインコミュニティの目標は潜在的なエラー経路を減らすことにある。
多様なコミュニティ:多くのビットコイン保有者は異なる視点からビットコインを理解し、異なる理由でそれを重んじている。多様で非中央集権的なコミュニティ内で合意を得ることは本質的に困難であり、これが革新のペースをさらに鈍化させている。ビットコインコミュニティの多様性を示すには、インスクリプションやオーディナルズに対する反応を観察すればよい。コミュニティの一派が序数(Ordinals)の成功を「ビットコイン版のクリプトキティーズ(CryptoKitties)の瞬間」と称えて祝う一方で、他派はこれをパッチすべきバグだと見なしている。
1. ビットコインスケーリングソリューションの急激な膨張
上記のような状況下で、なぜ突然多数の新しいビットコイン「L2」ソリューションが登場したのか?
最近、ビットコイン「L2」ソリューションが急増している(https://l2.watch/ によると、すでに50以上存在!)。しかし、コミュニティは長年にわたりさまざまなスケーラビリティ手法を検討してきた:
-
Stacksのようなサイドチェーンは、スマートコントラクト機能と幅広いアプリケーション範囲を提供するが、独立したコンセンサスメカニズムを持つため、広範な受容を得ることが難しい。
-
RGBのようなクライアントバリデーションプロジェクトは、メインネットのUTXOモデルを利用してオフチェーンでの複雑な取引を行うが、ビットコインメインネットとの相互作用に安定性が欠ける。
-
ライトニングネットワーク(Lightning Network)のようなステートチャネルは、コアビットコイン開発者と密接に関係しており、より正統的なスケーリング手法と見なされている。
第一世代BTCスケーリングソリューション
既存ソリューションと比べて、最近のスケーリング手法は何が新しくて画期的なのか? 私たちの見解では、最も刺激的な革新は、ビットコイン上でプログラムを符号化する手法(BitVMを通じて)と、信頼なしでBTCをステーキングする手法(例:Babylon)によるものである。本稿では前者を中心に扱う。
2. BitVM - 概要
BitVMとは何かを説明する前に、まずその基盤となり刺激を与えたプリミティブ――ビットコインTaprootアップグレード――について紹介する必要がある。
Taprootは2021年11月にアクティベートされた、ビットコインプロトコルにおける重要なアップグレードである。Taprootにより、スクリプトのハッシュがデフォルトでオンチェーンにコミットされる。スクリプトの特定のパスを実行する際には、そのパス上のスクリプトのみをオンチェーンに提出すればよい。これにより、効率性が向上する(トランザクションサイズがスクリプトサイズに比例して増大しなくなる)だけでなく、プライバシーも強化される(スクリプト全体ではなく、取引のパスのみが明らかになる)。
Taprootアップグレードが解放する巨大な機会を認識し、Robin Linus氏が先駆けてBitVMを導入した。これはビットコインエコシステムにおける画期的なイノベーションである。
BitVMは、ネットワークのコンセンサスルールを変更せずに、ビットコイン上でチューリング完全契約を実現するための計算パラダイムである。これは計算の実行ではなく検証を可能にするもので、楽観的ロールアップ(Optimistic Rollups)に類似している。
BitVMは、プログラムをTaprootアドレスにコミットすることで、複雑なオフチェーン計算を可能にしつつ、論争が生じた場合にのみオンチェーン実行が必要となるようにして、オンチェーンのフットプリントを最小化する。
このプロセスでは、プログラムのバイナリ回路をTaprootアドレスにコミットし、チャレンジ-レスポンス方式で検証を行う。要するに、BitVMはチューリング完全なビットコインコントラクトを実現する。特に重要なのは:
-
BitVMはフォークやビットコインプロトコルの変更を必要としない。
-
BitVMはビットコインブロックチェーンを混雑させない。計算はビットコイン上で実行されず、論争(Dispute)発生時にのみビットコインネットワークが検証に使われるためである。
ビットコイン上でバイナリ回路を構築する
バイナリ回路の構築とは、AND、OR、NOTなどのバイナリ論理ゲートを使って計算やプログラムを表現する方法であり、任意の計算可能な関数を実行できる。
BitVMは、電流がコンピュータチップの論理ゲート(電流の有無によって信号を通すかどうかを決定する微小構造)を通過する複雑なシミュレーションを、ビットコインの言語に変換するようなものである。
本質的に、ゲームから完全なLinuxオペレーティングシステムに至るまで、あらゆるコンピュータプログラムはこれらの論理ゲートの複雑な配置の結果である。すべてのデジタル物事は基本的にバイナリ数字――0と1――に基づいている。これらのバイナリ数字をANDやNOTゲートなどの論理ゲートと組み合わせることで、算術論理ユニット(ALUs)やメモリシステムなど様々な回路を作成できる。この基本技術により、幅広いタスクを実行するためのプログラムを書いたり実行したりすることが可能になる。
出典: Stepping Through Logic Gates; 基本論理ゲート(Fは0、Tは1を表す)
BitVMの前提は、ビットコインスクリプト(Bitcoin Script)を使ってオフチェーン計算に対するコミットメントを行うこと(計算のハッシュをTaprootアドレスにコミット)であり、任意のプログラムをバイナリ回路の組み合わせに分解し、実行検証を可能にすることにある。このプロセスにはビットコインスクリプトが含まれるが、スクリプト自体は計算ロジック全体を実行しない。
ビットコインスクリプトはビット値コミットメント(bit-value commitments)を実現でき、これは曖昧な主張(Equivocation)を示して罰するのに不可欠である。これは、個人が他の人が変更できない値をコミットできるため、不変性を実現する。
この方法では、各入力ビットを表すために2つのハッシュを使用する:一つは数字0用、もう一つは数字1用である。誰かがプログラムを実行しようとするとき、彼らは入力を示すためにプリイメージ(pre-images)を明らかにする。値が0に変換されるか1に変換されるかは、プリイメージのハッシュ値を0と1を表す2つのハッシュ値と比較することで決定される。
入力と出力が一致しない場合、検証者は提供者の資金を没収することで提供者を罰する権利を持つ。
チャレンジ-レスポンス方式
検証は通常オフチェーンで行われ、証明者が誠実であると楽観的に仮定する。論争が発生した場合、プロセスはオンチェーンに移行し、一連のチャレンジ-レスポンスが開始される。このメカニズムにより、ほとんどの場合、計算と検証を効率的かつ低コストで行えるようになり、意見の相違が生じた場合にのみ、ブロックチェーンの改ざん不可能性と透明性を最終的な裁定に利用できる。
BitVMにおけるチャレンジ-レスポンス方式のダイナミクスは、参加者(VickyとPaulなど)がブロックチェーン上のプログラム実行を通じて検証プロセスを行うシステムを含む。論争が発生すると、VickyはPaulに彼のプログラム実行の正当性を証明するよう要求する。
Vickyはバイナリ回路の中からある論理ゲートを選択し、Paulはそのゲートの入力と出力を明らかにして開く。矛盾(Equivocation)が確認されるか、Vickyがさらなる挑戦の可能性を尽くすまで、このプロセスは繰り返される。矛盾とは、Paulがある入力Xについて、ある論理ゲートを開いたときは0だと主張し、別の論理ゲートを開いたときは1だと主張することを意味する。
Paulは、事前に署名されたトランザクションを使って応答アドレスに資金を預けることで、自身の主張する証拠を保証する必要がある。これらのトランザクションはチェーンを形成し、進行中のやり取りに基づいて、資金がチャレンジアドレスと応答アドレスの間を移動できるようにする。
応答アドレス内の資金は、チャレンジの結果に応じて複数のパスに沿って流れることができる:
-
Vickyがチャレンジを停止し、Paulの証明を受け入れたことを示した場合、一定時間後にPaulが資金を取り戻す。
-
VickyがPaulの実行に一貫性のない点(矛盾)を証明した場合、彼女はその資金を請求できる。
-
Vickyが実行の別の部分にも誤りがあると疑った場合、別のチャレンジを開始し、資金を次の応答アドレスに移動できる。そのためには、特定のtapleafのプリイメージを明らかにする必要があり、その後Paulはそれを使用して資金をアンロックし、限られた時間内に自身の正当性を証明する必要がある。
このシステムは、ブロックチェーン上で論争を解決し、プログラム実行を検証するための堅牢で透明な枠組みを提供する。財務的インセンティブを組み合わせることで、実行およびプログラム結果記録の完全性と正確性を促進する。当初、この設計は双方のチャレンジ-レスポンス方式をサポートしていた。しかし、後ほど示すように、BitVMの貢献者は、多数の参加者がチャレンジャーとして参加できるソリューションを見つけ出した。
二分法(Bisection):論争解決の効率化
オンチェーン検証の効率を高めるため、検証者は二分法(Bisection)を利用できる。これは、事前にコミットされた論理ゲート上で効率的に探索を行う方法であり、ランダムなチャレンジプロセスに比べて大幅に改善される。問題空間を二分することで、分割法は検証者が潜在的なエラー範囲を迅速に狭めることができ、論争解決に必要なステップ数と時間を削減する。この方法は、特にエラー位置を正確に特定する必要がある複雑な検証プロセスにおいて、より効率的で直接的な道筋を提供する。
以下に、簡略化された例で分割法の仕組みを説明する:
PaulとVickyは数学の問題に取り組んでおり、問題は((1+2)+(3+4))+((5+6)+(7+8))の計算である。
正しい計算手順は((1+2)+(3+4))+((5+6)+(7+8)) = (3+7)+(11+15) = 10+26 = 36である。
一方、Paulが出した答えは35であり、彼の計算方法は((1+2)+(3+4))+((5+6)+(7+8)) = (2+7)+(11+15) = 9+26 = 35である。
VickyがPaulにチャレンジするとき、第二部の計算が正確であることに合意しているため((5+6)+(7+8)) = 26)、第一部の計算に関わる部分(つまり論理ゲートを開く)だけにチャレンジすればよい。
3. BitVMを使って最小信頼橋(Trust-Minimized Bridge)を構築する
BitVMの最初の実用的実装は、おそらく最小信頼ビットコインブリッジを表すプログラムになるだろう。ブリッジの実装詳細を分析することで、BitVMプログラム実現に伴う追加の複雑さをよりよく理解できる。以下では、BoB共同創業者Alexei Zamyatin氏の提案を要約する。
まず、ビットコインフルノードがビットコインスクリプトだけでサイドチェーンブリッジプログラム(サイドチェーンのライトクライアントを含む)を操作できる方法を創出する必要がある。
次に、BTCの転送を容易にし、チャレンジ-レスポンスゲームを実行するためにコンソーシアム/マルチシグ(federation/multi-sig)ネットワークを構築する必要がある。コンソーシアムは、BitVM設定の一部としてブリッジプログラムを実行することを約束しなければならない。
メンバー数が増えるにつれて、コンソーシアムの初期設定の複雑さは二次的に増大する。なぜなら、各メンバーが他のすべてのメンバーと相互作用する必要があるため、コンソーシアムの規模にはある上限がある。研究者たちはN=100が実現可能だと推測している。
OPロールアップとは異なり、Nの大きさに制限がないため、このスキームが提供するセキュリティ保証は弱い。しかし、この提案の実用的ソリューションにはおそらくコンソーシアムメンバーのローテーションが含まれるため、長い時間軸で見ればNは100をはるかに超えることになる。いつでも、この100人のメンバーのうち1人でも誠実であれば、預金は安全に保たれる。悪意のある行為者がいれば、いつでもオンチェーンでチャレンジされ、不正が証明されればコンソーシアムから排除される。
コンソーシアムは常に、預金・引き出しの管理およびサイドチェーン状態の検証を行うオペレーター(Operators)を持っている。オペレーターやウォッチタワー(Watchtowers)は、正しい行動を促進し虚偽のチャレンジを防ぐために、担保を提出する必要がある。
このスキームがロールアップの最も厳格な定義に合わないもう一つの理由は、ユーザーが単独でサイドチェーンから退出できないため、1/Nのセキュリティ前提で運営されるコンソーシアムに引き出しを申請しなければならない点である。
4. BitVM v2:BitVMは無許可検証(Permissionless Verification)をサポートできるか?
3月25日、Robin Linus氏はBitVM v2を発表した。BitVM v2提案の鍵となる変更点は、証明者がチャレンジ-検証プロセス中に逐次的に論理ゲートを開いていくv1とは異なり、一度にすべての中間結果とともに出力状態をコミットしなければならない点である。この変更により、BitVMはこれらのコミットメントに対するあらゆるチャレンジが暗号的証拠によって裏付けられることを保証する。このメカニズムにより、根拠のないスパムチャレンジがフィルタリングされる。なぜなら、チャレンジャーは証明者を論難するために特定の暗号的証明を提示しなければならないからである。
検証およびチャレンジプロセスへの無制限の参加を可能にすることで、BitVM 2はそのセキュリティ保証をマルチシグコンソーシアムの制限を超えて拡大し、BitVMを楽観的ロールアップのセキュリティ前提により近づけた。
しかし、ブリッジの構築には依然としてコンソーシアムマルチシグが必要であり、これはコンソーシアムメンバーが活性問題を引き起こす可能性があることを意味する。最悪の場合、彼らはユーザーから身代金を要求して資金を凍結しようと試みるかもしれない。これは、楽観的ロールアップには存在しない追加のセキュリティ前提である。なぜなら、楽観的ロールアップでは、ユーザーはいかなる仲介者の承認も得ずにL1へ退出できるからである。
基礎チェーン上の追加セキュリティ前提
5. BitVMの制限
前述のように、BitVMが提供できる最良のソリューションは楽観的ロールアップのセキュリティ前提に近いものである。保証預金を管理するコンソーシアムとその活性問題に関する複雑さに加え、BitVM特有の追加複雑性には以下のようなものがある:
BitVMは理論的には複雑なオフチェーンプログラムを実行できるが、実際にはこれらのオフチェーンプログラムの複雑さが増すにつれ、ビットコイン上で不正検証を実行する関連費用が急速に増加する。大きすぎるプログラムは複数のブロックを必要とし、プロセスをさらに複雑化させる。
算出力の過半数を持つマイニングプールは、BitVMから盗むことができる(ライトニングネットワークの問題と同様)。彼らは共謀してチャレンジャーの証明を審査拒否するか、悪意ある行為者が彼らを賄賂で買収してチャレンジャーを無視させることができる。
BitVMの証明の対話的性質のため、悪意ある証明者はシステムを操って検証者から盗むことができる。攻撃は以下の仮定で構築される:
-
証明者はトランザクションを開始することで検証シーケンスを始める
-
証明者の行動の有効性を疑う検証者はチャレンジを開始し、その中で証明者への応答料を支払う
-
証明者は料金を受け取りつつ、チャレンジを無視し、検証プロセスにおける自分の責任を果たさない選択をする
最後に、BitVMは現在なお概念的枠組みであり、ほとんど何の操作も実行できない仮想コンピュータの概念にすぎない。BitVMの「ロールアップ」はアプリケーションレベルまでにはまだ遠く、楽観的に見積もっても、実際にBitVMプログラムが使えるようになるのは最早2025年である。BitVMの技術的リスクも軽視できない。
6. 結論
イーサリアムのスケーリングソリューションの評価額は現在、イーサリアム時価総額の約15〜20%を占めていることを考えると、ビットコインのレイヤー2ソリューションの潜在的時価総額は非常に大きい可能性がある。
BitVMはまだ初期段階にある――本質的には未実装の仮想コンピュータの概念にすぎない――が、すでにさまざまなプロジェクトから大きな関心と声明が寄せられており、それらはその潜在力を活用しようと躍起になっている。BitVMチームとは無関係な多くのプロジェクトが壮大な発表を急いでいるのは、彼らがビットコインにおける有望な新領域で一席を占めたいと考えているからだ。しかし、より慎重に調査すると、より現実的な光景が浮かび上がる:BitVMのGitHubアカウントには少数の貢献者しかおらず、BitVM BuildersのTelegramグループに真正面に参加しているのは少数のビットコイン「L2」プロジェクトにすぎない。
ビットコインのいかなるスケーラビリティソリューションも遵守しなければならない重要な原則は、ビットコインのコアアーキテクチャは変わらないままであるべきだということである(予測可能性の原則による)。BitVMはこの原則を守り、コアを変更せずにビットコイン上にプログラマブル層を提供する先駆的ソリューションとなった。
本稿はBitVMの発展の非常に初期の段階で執筆されており、その急速な発展を考慮すれば、ここで述べた情報はすぐに古くなる可能性がある。例えば、つい最近まで、ZKロールアップをビットコイン上で実現するというアイデアは、空中楼閣のように非現実的に思われていた。なぜなら、必要な基盤能力――例えばビットコインがZK証明を検証する能力――が存在していなかったからである。しかし最近、BitVM研究者たちはビットコインスクリプトの進展を共有し、それがビットコイン上でのSTARK検証器の実現につながる可能性がある。
ビットコインスケーリングソリューションの実現は純粋な技術的課題を超えている。それはコミュニティの支持、ユーザーエクスペリエンス、タイミングといった要素を含んでいる。現時点はこうした革新にユニークなチャンスの窓が開いているが、プロジェクト数の急速なインフレーションと、誤解を招く声明やマーケティングに伴う顕著なリスクは、より合法的なプロジェクトの将来を損なう可能性がある。
エコシステムがこの岐路に立つ中、ビットコインスケーリングソリューションがイーサリアムの成功を再現できるかどうかという問いは、技術的なものにとどまらず、ブロックチェーンコミュニティのより広範なダイナミクスに深く根ざしている。結局のところ、コアイーサリアムコミュニティはすでにL2をイーサリアムのスケーリングロードマップの主要部分として選んだが、ビットコインコミュニティはまだそうとは言えない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
IOSG Ventures
