
BitVMブリッジとOP-DLC:新世代のビットコインLayer2クロスチェーンブリッジの設計思想
TechFlow厳選深潮セレクト

BitVMブリッジとOP-DLC:新世代のビットコインLayer2クロスチェーンブリッジの設計思想
BitlayerおよびCitreaから見る新世代のビットコインクロスチェーンブリッジの設計思想。
著者:Faust & Nickqiao、Geek web3
概要:
-
ZK ブリッジはAチェーン上にスマートコントラクトを展開し、直接Bチェーンのブロックヘッダーおよび対応するゼロ知識証明を検証してクロスチェーンメッセージの有効性を確認する。これはセキュリティレベルが最も高いブリッジ接続方式である。一方、オプティミスティック/OP ブリッジは不正なクロスチェーンメッセージに対してフロードプロット(欺瞞証明)によるオンチェーンチャレンジを行い、たった1人の信頼できるチャレンジャーが存在すれば、クロスチェーンブリッジの資金プールの安全性を確保できる。
-
ビットコインメインネットは技術的制約により、ZK ブリッジを直接展開できないが、BitVM と欺瞞証明によってオプティミスティックブリッジを実現できる。Bitlayer や Citrea などのチームは BitVM ブリッジ方式を採用しており、事前署名を導入し、チャネルの考え方と組み合わせることで、ユーザーが正式な預入前に、預入後の処理プロセスを限定し、クロスチェーンブリッジ運営者がユーザーの預入金を流用する機会を与えないようにしている。
-
BitVM ブリッジの本質は「前払い-償還」モデルに基づいている。専用の Operator ノードが引き出しユーザーに支払いを行い、Operator は定期的に公共預入アドレスに償還申請を行うことができる。もし Operator が虚偽の償還申請を行えば、誰でもこれをチャレンジし Slash(罰則)を科すことができる。
-
理論的には BitVM ブリッジにセキュリティ上の問題はないが、ライブネス(活性)/可用性の問題が存在する。また、特定のユーザーが求める資産の独立性やマネーロンダリング防止ニーズにも応えられない(本質的に依然として資金プール方式である)。この点について Bitlayer は OP-DLC という別のブリッジ方式を追加しており、これは DLC.link と類似し、チャネルと DLC の仕組みに欺瞞証明を導入することで、DLC ブリッジにおけるオラクルの悪意行動を防いでいる。
-
BitVM および欺瞞証明の実装難易度が高いため、DLC ブリッジが先行して導入され一時的な代替手段となる。オラクルの信頼リスクを解決し、より信頼性が高く成熟した第三者オラクルを統合できれば、DLC ブリッジは現時点においてマルチシグブリッジよりも安全な引き出し検証方式となり得る。

はじめに
昨年のインスクリプション(銘文)ブーム以降、ビットコインエコシステムは爆発的な勢いで急速な成長期に入った。わずか半年の間に、「BTC Layer2」と称するプロジェクトは近100件に達し、まさに混沌と機会、そして詐欺が共存する新たな大陸と化している。誇張ではなく、現在のビットコインエコシステムは、イーサリアム、Cosmos と Celestia、CKB、そしてビットコインネイティブエコの「多民族大熔炉」となりつつあり、権威ある声が欠如していることも相まって、まるで19世紀のアメリカのように、あらゆる勢力が集う新天地となっている。これはWeb3全体の物語に繁栄と活力をもたらす一方で、巨大なリスクも引き寄せている。
多くのプロジェクトは技術的設計すら公表していないのに、既に過剰な宣伝を始め、「ネイティブLayer2」を謳い、ビットコインメインネットのセキュリティを完全に継承できると主張している。中には概念造語の宣伝手法を用いて、奇妙な専門用語を次々と生み出し、自らの優位性を主張するものさえいる。自己宣伝はもはやビットコインエコの現状だが、それでも一部のトップKOLからは客観的な声が上がっている。
先日、ブロックチェーンエクスプローラーMempoolの創設者Monanautが、現在のビットコインエコの問題点を公開批判した。彼は鋭く指摘した――もしビットコインLayer2が単純にマルチシグ形式の引き出しブリッジを採用し、信頼不要の形でユーザーがいつでも資産を撤退させることができないのであれば、そのようなプロジェクトは真のLayer2ではない、と。興味深いことに、以前Vitalikも言及しており、Layer2のセキュリティ保障は、少なくともマルチシグシステムに依存するよりも安全であるべきだと述べていた。

つまり、Monanaut と Vitalik はビットコインLayer2の技術的課題を率直に指摘している:多くのL2の引き出しブリッジの本質はマルチシグブリッジであり、複数の有名機関がそれぞれ鍵を保持する形式か、POSベースの非中央集権的署名方式を採用しているが、いずれにせよそのセキュリティモデルは「多数誠実仮定」に依存しており、大多数のマルチシグ参加者が共謀しないことを前提としている。
このような信用保証に大きく依存する引き出しブリッジ方式は決して持続可能な解決策ではなく、歴史はすでにマルチシグブリッジがいずれ何らかの問題を引き起こすことを示している。時間とハッカーの試練に耐えうるのは、信頼最小化または完全に信頼不要に近い資産管理方式だけである。しかし現時点のビットコインエコの現実は、多くのプロジェクトが引き出しブリッジの技術ロードマップさえ公表しておらず、どうやって信頼不要あるいは信頼最小化を実現するのか、成熟した設計思想がまったく存在しない。
しかし、これがビットコインエコのすべてではない。現在でもいくつかのプロジェクトが引き出しブリッジの最適化に関する見解を表明している。本稿では、Bitlayer および Citrea の BitVM ブリッジについて簡単に解析し、さらに Bitlayer が BitVM ブリッジの欠点を補うために提唱した OP-DLC ブリッジについて紹介する。これにより、より多くの人々がクロスチェーンブリッジのリスクと設計思想を理解できるようになるだろう。これは広範なビットコインエコ参加者にとって極めて重要である。
オプティミスティックブリッジ:欺瞞証明に基づくブリッジ検証方式
実際、クロスチェーンブリッジの本質は非常にシンプルで、Bチェーンに「Aチェーン上で確かに特定の出来事が発生した」ことを証明することである。例えば、ETHからPolygonへ資産を移動させる場合、クロスチェーンブリッジは「確かにETHチェーン上の特定アドレスに資産を送金した」ことを証明し、その後Polygonチェーン上で同等額の資金を受け取れるようにする。
従来のクロスチェーンブリッジは一般に「ウォッチマンマルチシグ」を採用している。彼らはチェーン外に数人の監視者(witness)を指定し、各パブリックチェーンのノードを運営させ、ユーザーがブリッジの受取アドレスに資金を入金したかどうかを監視する。
このようなクロスチェーンブリッジのセキュリティモデルはマルチシグウォレットと基本的に同一であり、M/Nのようなマルチシグ設定方法によって信頼モデルを判断するが、最終的にはほとんどが「誠実多数仮定」に従っている。つまり、多数の公証人が悪意を持っていないことを前提とするため、耐障害性は限られている。過去に発生した大規模なクロスチェーンブリッジ盗難事件の多くは、まさにこのタイプのマルチシグブリッジで発生しており、内部犯行かハッキング攻撃のいずれかである。
これに対して、欺瞞証明プロトコルに基づく「オプティミスティックブリッジ」と、ZKに基づく「ZKブリッジ」ははるかに安全である。ZKブリッジの場合、ターゲットチェーン上に専用の検証者コントラクトを設置し、引き出し証明を直接オンチェーンで検証することで、チェーン外の監視者への依存を排除する。
例えば、ETHとPolygonを結ぶZKブリッジは、Polygon上に検証者コントラクト(ここでは Verifier と仮称)をデプロイする。ZKブリッジのRelayerノードは最新のイーサリアムブロックヘッダーおよびその有効性を証明するZK Proof を Verifier に転送し、後者がこれを検証する。これは Verifier コントラクトが Polygon チェーン上で最新のイーサリアムブロックヘッダーを同期・検証していることに相当する。ブロックヘッダーに記録された Merkle Root は、そのブロック内のトランザクションセットと関連しており、特定のトランザクションが含まれているかを検証するために使用できる。

ブロック高さ101のイーサリアムブロック内に、ETHからPolygonへの10件のクロスチェーン送金申告が含まれている場合、Relayerはこれら10件のトランザクションに関連するMerkle Proofを生成し、Polygonチェーン上のVerifierコントラクトに証明を提出する:
101番のイーサリアムブロック内には10件のETHからPolygonへのクロスチェーン取引が含まれている。もちろん、ZKブリッジはMerkle ProofをZK化し、直接VerifierコントラクトにZK Proofを提出することもできる。この一連のプロセスにおいて、ユーザーはクロスチェーンブリッジのスマートコントラクトにバグがないこと、およびゼロ知識証明技術自体が安全かつ信頼できることだけを信じればよく、従来のマルチシグブリッジのように多数の信頼仮定を導入する必要はない。
一方、「オプティミスティックブリッジ / Optimistic Bridge」は少し異なる。一部のオプティミスティックブリッジは監視者の設定を維持しているが、欺瞞証明とチャレンジウィンドウ期間を導入している。監視者がクロスチェーンメッセージに対してマルチシグを生成した後、それをターゲットチェーンに提出しても、その有効性は即座に認められず、一定のウィンドウ期間を経て誰も異議を唱えなければ、有効と判定される。これはオプティミスティックRollup(楽観的Rollup)の考え方に類似している。もちろん、オプティミスティックブリッジには他の製品形態もあるが、根本的にはセキュリティが欺瞞証明プロトコルによって保証されている。
M/Nマルチシグブリッジの信頼仮定は N-(M-1)/N であり、ネットワーク内の悪意を持つ者の数は最大で M-1 人までと仮定し、誠実な者の数は少なくとも N-(M-1) 人以上いると想定する。ZKブリッジの信頼仮定は無視できるほど小さく、欺瞞証明に基づくオプティミスティックブリッジの信頼仮定は 1/N である。N人の監視者のうちたった1人が誠実であり、ターゲットチェーンに提出された無効なクロスチェーンメッセージにチャレンジする意思があれば、ブリッジの安全性が保証される。

現在、技術的制約により、ビットコインからLayer2への方向のZKブリッジのみが実現可能であり、逆方向、つまりLayer2からビットコインチェーンへの引き出しについては、マルチシグブリッジまたはオプティミスティックブリッジ、あるいはチャネルに類似した方式(以下で説明するOP-DLCブリッジはむしろチャネルに近い)しかサポートされていない。ビットコインチェーン上でオプティミスティックブリッジを実現するには、欺瞞証明を導入する必要があり、BitVMはこの技術の実現に良好な条件を提供している。
以前の記事『極簡解説 BitVM:BTC チェーン上で如何に欺瞞証明を検証するか』でも触れたが、BitVMの欺瞞証明とは、チェーン外で行われる複雑な計算タスクを大量の単純なステップに分解し、その中の1ステップをビットコインチェーン上で直接検証するというものである。この考え方はArbitrum、OptimismなどのイーサリアムオプティミスティックRollupと類似している。

(BitVM2ドキュメントでは、Lamport署名を用いて計算タスクを多数の中間ステップに分割し、誰でも特定の中間ステップにチャレンジできると述べている)
もちろん、上記の説明はやや難解かもしれないが、おそらく多くの人がすでに欺瞞証明の意味を理解しているだろう。本稿では、全体の長さの制約から、BitVMおよび欺瞞証明プロトコルの技術的実装の詳細までは解説しない。なぜなら、これは一連の複雑な相互作用プロセスに深く関わるからである。
我々は製品およびメカニズム設計の観点から、BitLayer および Citrea、BOB、さらにはBitVM公式が設計したネイティブBitVMブリッジ、およびBitlayerがOP-DLCブリッジを通じてBitVMブリッジのボトルネックを緩和する方法について簡単に紹介する。これにより、ビットコインチェーン上でより優れた引き出しブリッジ方式を設計する方法を皆に示したい。

(Bitlayerのブリッジ方式図)
Bitlayer および Citrea の BitVM ブリッジ原理の簡単な分析
以下では、Bitlayer、Citrea、Bobが公開したBitVMブリッジ方式を素材として、BitVMブリッジの大まかな動作プロセスを説明する。

公式ドキュメントおよび技術ブログにおいて、上記のプロジェクトはBitVM引き出しブリッジの製品設計思想を比較的明確に説明している(現時点では理論段階)。まず、ユーザーがBitVMブリッジを使って引き出す場合、Layer2上のBridgeコントラクトを利用して引き出し声明を生成する。この引き出し声明には以下の重要なパラメータが指定される:
-
ユーザーがL2で破棄するマップ型BTCの数量(例:1BTC);
-
ユーザーが支払う予定のクロスチェーン手数料(仮に0.01BTC);
-
ユーザーのL1受取アドレス:L1_receipt;
-
ユーザーの受取金額(すなわち 1 - 0.01 = 0.99BTC)
その後、これらの引き出し声明はLayer2のブロックに含まれる。BitVMブリッジのRelayerノードはLayer2ブロックを同期し、そこに含まれる引き出し声明を監視してOperatorノードに転送し、後者が引き出しユーザーに支払いを行う。

ここで注意すべき点は、Operatorはまず自腹でビットコインチェーン上でユーザーに支払いを行い、つまりBitVMブリッジの「前払い」を行い、その後BitVMブリッジの資金プールに償還を申請するということである。
Operatorが償還を申請する際には、自分がL1上で行った前払いの証拠(つまりL1上でユーザーが指定したアドレスに支払いを行ったことを証明するもの。ビットコインブロックに含まれる特定の送金記録を抽出する必要がある)を提出しなければならない。同時に、OperatorはL2で生成された引き出し声明(Merkle Proofを通じて、提出された引き出し声明がL2ブロック由来であり、自分で捏造したものではないことを証明)も提示する必要がある。その後、Operatorは以下の事項を証明しなければならない:
-
Operatorが引き出しユーザーに前払いした資金は、声明で要求された受取金額と等しい;
-
Operatorが償還を申請する際、償還額がL2で破棄されたマップ型BTC額を超えていない;
-
Operatorが一時期内のL2-L1引き出し声明をすべて処理しており、各引き出し声明がビットコインチェーン上の引き出し送金記録と一致している;
これは本質的に、Operatorが虚偽の前払い額を報告したり、引き出し声明の処理を拒否したりすることに対するペナルティである(これにより引き出しブリッジの検閲耐性問題を解決できる)。Operatorはチェーン外で前払い証拠と引き出し声明の主要フィールドを比較検証し、両者が関係するBTC額が等しいことを証明する必要がある。

もし引き出しブリッジOperatorが虚偽の前払い額を報告した場合、それはOperatorがL1上のpayment proofとL2引き出しユーザーが発行したWithdrawal Statementが一致すると主張しているが、実際には一致していないということである。
この場合、Payment Proof = Withdrawal Statement であることを証明するZKPは必ず誤りを含んでいる。このZKPが公開されれば、Challengerはそのどのステップが誤っているかを指摘し、BitVM2の欺瞞証明プロトコルを通じてチャレンジを行うことができる。
強調すべきは、Bitlayer、Citrea、BOB、ZKBaseなどはすべて最新のBitVM2方式を採用している、つまり新版のBitVM方式であり、この方式ではチェーン外の計算タスクをZK化し、チェーン外での計算プロセスに対してZK Proofを生成し、Proofの検証を行い、その後ZKP検証プロセスをBitVMに適した形に変換して、後続のチャレンジを容易にする。
同時に、Lamport署名と事前署名を活用することで、元のBitVMの多段階インタラクティブチャレンジを単段階非インタラクティブチャレンジに最適化でき、チャレンジの難易度を大幅に低下させることができる。
BitVMのチャレンジプロセスには「コミットメント(commitment)」と呼ばれるものが必要になる。ここでは「コミットメント」とは何なのかを説明しよう。一般的に、ビットコインチェーン上で「コミットメント」を発行する人物は、チェーン外に保管されているデータ/チェーン外で行われた計算タスクが正確であると主張しており、チェーン上に公開された関連声明が「コミットメント」である。
コミットメントを、大量のチェーン外データのハッシュと近似的に捉えることができる。コミットメント自体のサイズは通常非常に圧縮されているが、Merkle Treeなどの方式を通じて多数のチェーン外データと紐付けられており、それらの関連データはチェーン上に載せる必要がない。

BitVM2およびCitrea、BitLayerのBitVMブリッジ方式において、誰かが引き出しブリッジOperatorがチェーン上に公開したコミットメントに問題があると考え、そのコミットメントが無効なZKP検証プロセスに関連している場合、誰でもチャレンジを開始できる(Permissionless)。(内部の相互作用プロセスは複雑なため、ここでは詳述しない)
OperatorはBitVM資金プールに代わってユーザーに支払いを行い、その後資金プールに償還を申請するため、申請時に自身がL1上でユーザーに支払った金額がL2上でユーザーが受け取ると宣言した金額と等しいことを証明するコミットメントを発行する必要がある。このコミットメントが欺瞞証明のチャレンジ期間を経てもチャレンジされなければ、Operatorは必要な償還額を取り出すことができる。
ここで、BitVMブリッジの公共資金プールがどのように維持されているかを説明する必要がある。これはまさにクロスチェーンブリッジの最も重要な部分である。ご存知の通り、クロスチェーンブリッジが引き出しユーザーに支払える資金は、預入者や他のLPが貢献した資産に由来しており、Operatorが前払いしたお金は最終的に公共資金プールから引き出される。したがって、資金移動の結果だけを見れば、BitVMブリッジが受け取る預入額(Deposit)は引き出し額(Withdraw)と等しくなるはずだ。では、このDeposit資金をどう保管するかが非常に重要な問題となる。
多くのビットコインLayer2のブリッジ方式では、マルチシグによって公共資産を管理しており、ユーザーの預入金はマルチシグアカウントに集約され、引き出しユーザーへの支払いが必要なときにそのマルチシグアカウントが支払いを行う。このような方式は明らかに大きな信頼リスクを伴う。
一方、Bitlayer および Citrea の BitVM ブリッジは、ライトニングネットワークやチャネルの考え方を採用している。ユーザーは預入前にBitVMコンソーシアムと通信し、後者が事前署名を行うことで、以下の効果を得られる:
ユーザーが預入アドレスに資金を送金すると、そのお金はTaprootアドレスに直接ロックされ、ブリッジのOperatorのみが引き出せる。しかも、Operatorはユーザーに引き出し資金を前払いした後、償還申請を通じて上記預入のTaprootアドレスから資金を請求できる。チャレンジ期間終了後、Operatorは一定額のユーザー預入金を引き出すことができる。
BitVMブリッジ方式では、N人のメンバーから構成されるBitVMコンソーシアム(BitVM Federation)が存在し、ユーザーの預入金を調整する。しかし、このN人のメンバーはユーザーの預入金を勝手に流用することはできない。なぜなら、ユーザーが指定アドレスに送金する前に、BitVMコンソーシアムに事前署名を要求し、これらの預入金がOperatorによってのみ正当に請求可能であることを保証するためである。

(BitVM2によるオプティミスティックブリッジ方式の図)
要するに、BitVMブリッジはチャネルおよびライトニングネットワークの考え方を採用し、「verify by yourself」を実現している。事前署名によってBitVMコンソーシアムが預入プールを勝手に操作できないようにし、預入プールの資金はOperatorの償還にのみ使用可能となる。Operatorが虚偽の前払い額を報告した場合、誰でも欺瞞証明を発行しチャレンジできる。
もし上記方式が実現できれば、BitVMブリッジは最も安全なビットコイン引き出しブリッジの一つとなる:このブリッジにはセキュリティ上の問題はなく、ライブネス/可用性の問題のみ存在する。ユーザーがBitVMに資金を預けようとした際に、BitVMコンソーシアムからの検閲や協力拒否に遭い、資金を正常に預けられない可能性があるが、これはセキュリティとは無関係であり、ライブネス/可用性の問題である。
ただし、BitVMブリッジの実装難易度は非常に高い。また、資金の透明性を特に重視する大口ユーザーのニーズにも応えられない。こうしたユーザーはマネーロンダリングに関わる可能性があり、自分の資金を他人の資金と混ぜたくないが、BitVMブリッジは預入者の資金を一括して収集するため、ある意味で多くの資金が混在するプールとなる。
上記のBitVMブリッジのライブネス問題を解決し、特定のニーズを持つユーザーに独立した清潔な資金出入り口を提供するため、BitLayerチームはOP-DLCという別個のクロスチェーンブリッジ方式を追加しており、BitVM2のオプティミスティックブリッジに加えて、DLC.linkに類似したDLCブリッジを採用している。これにより、ユーザーにBitVMブリッジとOP-DLCブリッジという二つの出入り口を提供し、BitVMブリッジおよびBitVMコンソーシアムへの依存を低減している。

(DLC 原理図)
DLC:慎重ログ契約
DLC(Discreet Log Contracts)は「慎重ログ契約」と呼ばれ、MITのDigital Currency Initiativeが提案したもので、もともとビットコイン上で軽量なスマートコントラクトを実現するために考案された。コントラクト内容をチェーン上に載せることなく、チェーン外でのインタラクティブ通信や事前署名などの手法を通じて、ビットコインチェーン上でプライバシー保護機能を持つスマートコントラクトを実現できる。以下では、賭け事の例を通じてDLCの動作原理を説明する。
Alice と Bob が3日後に開催されるレアルマドリードとバルセロナの試合結果について賭けるとする。二人とも1BTCを出す。レアルが勝てばAliceは1.5BTCを得てBobは0.5BTCしか回収できない。つまりAliceが0.5BTC儲け、Bobが0.5BTC損をする。バルセロナが勝てば、Aliceは0.5BTCしか回収できず、Bobは1.5BTCを得る。引き分けの場合は、二人とも1BTCずつ取り戻す。
このような賭けを信頼不要にしたい場合、どちらかが約束を破らないようにする必要がある。単に2/2マルチシグや2/3マルチシグを使うだけではまだ信頼不要とは言えない。DLCはこの点に対して独自の解決策を提示している(ただし第三者オラクルに依存する)。その全体の動作プロセスは大まかに4つの部分に分けられる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














