Starknet 1万字レポート:好機をうかがい、長期主義者の千里の道も一歩から
TechFlow厳選深潮セレクト
Starknet 1万字レポート:好機をうかがい、長期主義者の千里の道も一歩から
Starknetの技術的強みについて分かりやすく説明し、ZK(ゼロ知識証明)のプロセスを簡潔に解説します。 まず、Starknetはイーサリアム上に構築されたLayer 2の拡張ソリューションで、主な目的はトランザクションのスケーラビリティとプライバシーの向上です。その核となる技術が「ゼロ知識証明(ZK-Proof)」、特に「STARK(Scalable Transparent ARgument of Knowledge)」と呼ばれる方式です。 ### Starknetの技術的強み 1. **高いスケーラビリティ** Starknetは多数のトランザクションを一度にまとめて処理(オフチェーンで計算)し、その結果の「証明」だけをイーサリアムメインチェーンに提出します。これにより、ネットワークの混雑を避けながらもセキュリティを維持できます。 2. **透明性と信頼性(Trusted Setup不要)** 一部のZK技術(例:zk-SNARK)では、特殊な初期設定(trusted setup)が必要ですが、STARKはそれを必要としません。つまり、誰もが検証可能で、秘密のパラメータに依存しないため、より安全・透明です。 3. **量子耐性** STARKはハッシュ関数に基づいており、将来的な量子コンピュータによる攻撃に対しても比較的強いと考えられています。これは長期的なセキュリティ面での大きな利点です。 4. **汎用性の高さ** Starknetはスマートコントラクトをサポートしており、開発者が自由にdApps(分散型アプリケーション)を構築できます。他のZKベースのソリューションよりも柔軟性が高いのが特徴です。 --- ### ZK証明の簡単な仕組み(非技術者向け) ゼロ知識証明とは、「ある事実を知っていることを、その内容を明かさずに証明する方法」です。 たとえば、次のような例で考えてみましょう: > Aさんは「ある迷路の正しい抜け道」を知っています。Bさんはそれを見たいと思っていますが、Aさんは答えを教えたくありません。そこでAさんは、Bさんの目の前で何度も迷路を正しく抜けます。これを繰り返すことで、Bさんは「Aさんが答えを知っている」と確信できますが、答えそのものはわかりません。 これがゼロ知識証明の基本的な考え方です。 Starknetでは、この「証明」を数学的に厳密に行い、コンピュータが高速に検証できる形にしています。ユーザーは自分のトランザクションが正しいことを証明しつつ、送金額やアドレスなどの詳細を隠蔽できます。 --- ### まとめ Starknetは、STARKという強力なZK技術を使って、 - スケーラビリティを高め、 - プライバシーを守り、 - イーサリアムのセキュリティをそのまま活かす 革新的なLayer 2ネットワークです。複雑な数学に支えられていますが、本質は「正しいことを、中身を見せずに証明する」シンプルなアイデアにあります。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Biteye コア貢献者 Anci
編集:Biteye コア貢献者 Crush
Web3の世界における他の騒がしいナラティブと比べて、ZK分野は長きにわたり、地味で退屈だが極めて重要なインフラ構築を象徴してきた。
まるで厳しい修行のようで、中では人々が苦難の中で模索し、外からは霧の中の花のように見えている。
しかし幸いなことに、ここ2年間のZKの発展速度は予想をはるかに上回っており、ZK Rollupの二雄であるZkSyncとStarknetは、性能と費用の両面で大きな進歩を遂げた。
イーサリアムのEIP-4844アップグレード後、ZK RollupはOP Rollupとの競争構図においても徐々に優位に立つようになった。
さらに感動的なのは、かつてのライバルであったStarkWareとPolygon Labsが協力し、ZKの最先端技術を代表するSTARKプロトコルをアップグレードし、正式にCircle STARKをリリースしたことで、ZK証明能力に再び飛躍をもたらしたことだ。
もし昨年の記事(L2 Summer 将至?一文掌握 StarkNet 技术原理及生态)を読んでいて、Starknet背後の不思議なZK証明プロセスについてより深く理解したいと思いつつ、複雑な数学式や錯綜する技術流派に敬遠されているなら、ぜひこの記事に沿ってZKに関するいくつかのキーポイントを学んでみてほしい。
私たちは厄介な数学的部分を避けつつ、その上でStarknetの技術的優位性、特に最近発表された画期的な進展について考察しよう。
01 まずZKから
ZKはラベルであり、ゼロ知識証明システム(Zero Knowledge Proof Systems)の略称でもある。
現在の主流技術として、ZK証明は神秘的な伝説のような存在だ――追加情報を一切漏らすことなく、ある事実を証明する。
このような理想的な目標をどうやって実現するのか? ここでは、学生なら誰もが知っている状況に例えてみよう。
通常、生徒が自分の学業成績が優れていることを証明したい場合、最も簡潔な方法は成績表を提示することだ。試験制度が有効で公正であるという前提のもと、総合評価がAの成績表があれば、具体的な学習内容を示さなくても、生徒の学力水準を裏付けることができる。
ZK証明のプロセスも非常に似ており、簡単に言えば、その中心メンバーは二つの部分からなる:証明者(Prover)と検証者(Verifier)。
証明者は学校の試験制度のようなもので、固定された手順があり、生徒の学術能力を証明するための成績表を生成し、それを検証者である保護者/企業に提出する。保護者/企業は成績表を通じて生徒の能力を検証する。
ここでわかるように、証明プロセスの中で最も困難な部分は、証明者が証明を生成する過程である。具体的なZK証明では、これは二つの部分に分けられる――算術化と多項式コミットメント。
1.1 算術化
-
算術化とは、複雑な証明問題を代数問題に変換することであり、具体的には、証明したい「証拠」(Witness)を一連の多項式制約(Polynomial Constraints)に変換することを意味する。これは、生徒の学術能力を試験を通じて一連の点数に変換するのに似ている。
-
Witness(証拠):いわゆるチェーン外計算の元データであり、取引データ、アカウント状態データ、中間計算結果などを含む。これらは取引の有効性を証明するために使うが、公開したくないプライバシー情報である。
-
Polynomial Constraints(多項式制約):ZK証明プロセスでは、複雑な問題を数学的問題に変換することが求められ、数学的証明の鍵となるのは、特定の多項式を見つけ出し、それが実際に存在することを証明することである。多項式制約とは、この多項式が満たすべき条件のことである。
1.2 多項式コミットメント
多項式コミットメントとは、具体的な数学的証明において、前段階の算術化によって生成されたすべての制約条件を満たす多項式(Polynomial)を見つけたことを証明することである。
多項式の証明が有効であれば、数学的証明は成功し、証明したい問題が成立するとされる。これは最終的に加重平均点や成績表を算出し、すべての科目がAであることを保証することで、生徒の学力が優秀であることを証明するプロセスに似ている。
ただし、現実世界では、一枚の成績表だけでは人の学術能力を正確に表せないと疑問を持つかもしれない。なぜなら、人間の試験制度にはまだ多くの穴と制御不能な要素があるからだ。
しかしZKの世界では、白黒はっきりする数学と公開透明なプログラムにより、この理想が実現されつつある(ちょうどスマートコントラクトとブロックチェーンが公正透明を保証しているように)。
02 SNARK vs STARK
SNARKとSTARKは、現在もっとも一般的に使われる二種類のZK証明プロトコルであり、それぞれZkSyncとStarknetが採用している基盤プロトコルでもある。
名称が似ており、同じ分野であることから、よく比較対象になる。しかし比較する前に、二人の人物を導入し、歴史的視点からこれらのプロトコルが構築したZK証明システムをより深く理解してみよう。
2.1 Groth と SNARK
Jens GrothはUCLコンピュータサイエンス科の教授(現在は名誉教授、現在はNexusのチーフサイエンティスト、zkVM分野担当)。
彼は2009年から毎年高産で、多数のゼロ知識関連論文を発表しており、ZK分野でよく耳にするGroth09、Groth10といった名称は、彼の名前と発表年から付けられたものである。
(注:通常、論文の名前は長くて言いにくいので、学術界では著者の名+年号で重要な論文を略称することが多い。例えばSTARKの基礎を築いたBBHR18、Zcashで使われているPGHR13などは、複数著者の頭文字と年号の組み合わせである。Grothのように一人でフルネームを使い、しかも連番で呼べるのは非常に稀である。)
その中で最も有名な二つは:
-
【Groth10】Short Pairing-based Non-interactive Zero-Knowledge Arguments:完全な非インタラクティブ型証明スキームを提案。SNARKの理論的先駆けとされる。
-
【Groth16】On the Size of Pairing-based Non-interactive Arguments:Groth10をベースに、証明サイズを縮小し、検証効率を向上。今なお広く使用されている。
まさにGorthの研究を基盤として、SNARKは発展・完成された。
SNARKはSuccinct Non-interactive Argument of Knowledgeの略称で、簡潔なゼロ知識証明システムであり、その高い実用性により、ZKは暗号通貨分野に急速に応用された。
2.2 Eli Ben-Sasson と STARK
注目に値するのは、最初にSNARKを暗号通貨に応用したプロトコルZerocashの共同創設者が、Eli Ben-Sasson――後にStarkWareの共同創設者となり、STARKの発明者の一人でもある――だったことだ。
それだけでなく、若い頃のEli Ben-SassonはSNARKプロトコルの実用化を積極的に推進し、2013~2014年にかけて次々と論文を発表し、SNARKの構造を提案・最適化し、実用性と効率性を高め、SNARKが広く注目され応用されるようになった。
しかし、おそらくSNARKが抱える課題をあまりにも良く理解していたため、2018年、Eli Ben-Sassonらは【BBHR18】Scalable, transparent, and post-quantum secure computational integrityを発表し、STARK証明システムを正式に提唱し、ZK Rollupにさらに洗練されたソリューションを提供した。
STARK――Scalable Transparent Argument of Knowledge――は、大量の証明を行う際に優位性を持ち、証明プロセス全体が透明で、信頼できる第三者に依存せず、量子攻撃に対しても耐性を持つ安全性を持つ。
(注:英雄物語は常に人気だが、いかなる偉業も一人の力だけで成し遂げられるわけではない。むしろ、SNARKもSTARKも、無数の科学者たちの共同努力の成果である。ここであえて個人を取り上げるのは、ZKの重要な発展史をより生き生きと描くための一側面にすぎない。Grothのような天才ですら、彼の論文はKZGら(Aniket Kate、Gregory Zaverucha、Ian Goldberg)の研究成果に基づいて初めて実現できた。STARKを提唱した著者たちもまた、全員が卓越した才能を持っている。今後も継続的に深掘りできるだろう。)
2.3 SNARK vs STARK
では、なぜEli Ben-Sassoはあえて新しく出発したのか? SNARKはどのような課題に直面しているのか?
2.3.1 透明性
上の問いに答える前に、もう一つの問いに答えなければならないかもしれない:暗号分野で何が最も貴重か?
中本聡が与えた答えは――「信頼」である。
SNARKはまさにこの地雷を踏んでしまう。SNARKは多項式コミットメントを行う際、KZG方式を採用しており、KZGコミットメントには、信頼できるセットアップ(Trusted Setup)が必要で、共通参照文字列(Common Reference String, CRS)を生成し、証明と検証プロセスに必要な鍵を生成する。
成績表の例に戻ると、保護者や企業が平均Aの成績を見て、生徒の学力が優秀だと判断できるのは、学力レベルのA、B、C、Dという順序が共通認識だからである。この基準があってこそ、Aの成績に意味がある。
しかし、もし学校の評価システムがハッキングされ、学力レベルの順序がC、A、B、Dに変わったらどうなるか? 本来Cを取っていた生徒が優秀と見なされ、優先的に扱われてしまう。これでは誤認となってしまう。
このように、皆が共有する基準の安全性が極めて重要であることがわかる。そして暗号世界の「ダークフォレスト法則」に従えば、このTrusted Setupは巨大なリスクとなる。
それを承知しながら、なぜSNARKはKZG方式を使い続けるのか? それは、KZGを使うことで得られる最終的な証明サイズが非常に小さいからである。SNARKの「S」が何を意味するか覚えているだろうか? Succinct(簡潔)である!
小さいサイズの誘惑は非常に大きく、特にイーサリアムのキャンクーンアップグレード以前は、コンパクトな証明サイズがSNARKに優れた実用性と効率性をもたらし、長期間多くのプロジェクトに受け入れられてきた。つまり、どこにでもトレードオフがあるのだ。
一方STARKは、「非信頼」(Non-Trusted)という難関を突破するために、FRI(Fast Reed-Solomon Interactive Oracle Proofs)方式を採用して多項式コミットメントを行った。
具体的には、FRI方式は多項式をReed Solomon符号化し、Merkle木の形で保存し、Oracleを通じて検証者と証明者の間で多ラウンドのインタラクションを行い、これにより検証可能性と透明性(transparent、STARKの「T」)を実現する。
(注:ここで言うOracleは、web3世界でよく見かける中央集権的または半中央集権的なオラクルではなく、検証者と証明者がプロトコルルールに基づき、ローカルでシミュレートする分散型の仮想エンティティであり、一種のインタラクティブ証明メカニズムである。)
成績表の例で比喩すれば、STARKシステムの多項式コミットメントプロセスは、ブロックチェーン上に構築された評価システムに例えられ、ブロックチェーン技術によりシステム全体の公正性と透明性が保証される。
さらに、STARK証明では、検証者と証明者は共通のランダムビーコン(Random Beacon)を使ってインタラクションプロセスをシミュレートし、最終的に一つの完全な証明にまとめることが可能で、非インタラクティブ証明を実現し、より良い可用性と非同期性を得ることができる。
2.3.2 拡張性
STARKの進歩は、大規模で複雑な計算問題に対する汎用性と柔軟性、および証明規模の拡大に伴って平均証明サイズが低下し、ネットワーク効果を生む点にも表れる。つまり、STARKの「S」が意味するScalableである。
SNARKがR1CSを代表とする回路計算方式で算術化を行うのに対し、異なる問題ごとに回路を再設計する必要があるが、STARKはAIR(Algebraic Intermediate Representation)方式を採用しており、汎用的なマシン計算方式であり、状態遷移方程式で異なる状態を結びつけることで、ほぼ任意の計算問題を一連の多項式制約に抽象化できる。
同時に、STARKがFRI方式を使用して多項式証明を生成する際、再帰的な構造により多項式の次数を段階的に下げることで、証明サイズの増加が問題規模の増加よりもはるかに遅くなる(対数レベル)。そのため、大規模計算処理において顕著な優位性を持つ。
成績と試験の例に戻れば、算術化のプロセスを試験に例えると、SNARKとSTARKはそれぞれ従来の紙ベースの試験とコンピュータ試験に似ている。
短期的あるいは小さな学校にとっては、紙ベースの試験は安価で迅速だが、コンピュータ試験はソフトウェアとハードウェアの準備が必要で、高価で面倒に見える。
しかし、世界的な規模の試験機関にとって、一台のコンピュータでさまざまな種類・レベルの試験を実施でき、問題庫の豊富さとランダム性により、教師が毎回試験問題を作成する必要がなくなり、人的コストが大幅に削減される。
長期的には、受験者数の累積とともに、ソフトウェア・ハードウェアへの投資コストも大幅に薄れることになる。
2.3.3 量子攻撃耐性
「S」と「T」の達成に加え、STARKは、抗量子性を持つハッシュ関数(Rescueハッシュなど、一般にポスト量子安全とされ、伝統的なSHA-256ハッシュ関数は量子計算に対して脆弱とされる)、安全性代数問題(証明者が証明しなければならない複雑な代数問題で、現在のところ量子コンピュータでも解決が難しいと考えられている)などを使用することで、量子攻撃耐性を実現している。
03 Circle STARK はそれだけではない
ここまで述べてきたように、SNARKは短期間で迅速に実行可能なソリューションとして不可欠である。
しかし、時間軸を長く取れば、取引量の増加、計算複雑度の爆発、そして人々が次第に気づき始めているように、「信頼」は暗号分野で最も高価な贅沢品であるという認識が高まるにつれ、STARKの優位性はますます際立ってくる。
この点は産業界でも徐々に明らかになりつつある。SNARKsを使用するトップアプリケーションZkSyncがリリースしたBoojumバージョンは、すでにSNARKからSTARKへ徐々に移行する探索を始めている。
また、「クリエイティブ」で知られるPolygonも早くからSTARKに舵を切っており、今年アップグレードされた証明システムPlonky3は、Polygon LabsとStarkWareが最新共同開発したCircle STARKに基づいている。
Circle STARKは、STARKを基盤とした次世代ZK証明プロトコルであり、巧みな円曲線(Circle Curve)の導入により、小素数体M31を証明システムに適用することに成功し、証明効率を大幅に向上させた。
ZK証明システムにおいて、素数体は極めて重要な役割を果たす。素数体上で演算を行うことで、証明が可能になるのだ。
素数体の選択は、効率と安全性のバランスを意味する。素数体が小さいほど、必要な演算量が少なく、効率が高くなる。
一方、大きい素数体は通常、より高度な安全性を意味するため、過去にはSTARKもSNARKも大素数体を採用してきた。
Circle STARKの革新性は、円曲線の特殊性を活かして小素数体M31を使用しつつ、後量子安全性を確保した点にある。
StarkWareは現在、Circle STARKに基づく次世代証明器Stwoをリリース・オープンソース化しており、Stwoの証明効率は初代証明器Stoneの100倍に達すると予想されている。
Stwoは高度なCairoと完全互換であり、現在Stone証明器を基盤とするStarknet Pover(SHARP Prover)も将来Stwoを使用する。これにより、Starknetエコシステムの開発者とユーザーは、Stwoによるパフォーマンス向上の恩恵を直接受けられるようになるが、何も操作する必要はない。
証明速度の向上に加え、Polygonの共同創設者Brendan Farmerは、Circle STARKの適用により、将来的に費用が大幅に削減され、より多くのアプリケーション証明に拡大すると述べている。
Eli Ben-Sassonはさらに楽観的で、Circle STARKのリリースは重要なマイルストーンと見なし、最も効率的な証明システムが近い将来登場し、さらなる突破と改善が続くと述べている。
04 Starknet 持続的なパフォーマンス向上
上記の分析から、STARK証明システムとその最新アップグレード版Circle STARKが、間違いなく最先端の力であり未来のスターであることが明確にわかる。StarkWareの「実の子」であるStarknetは、ZK Rollupの道において前途有望である。
しかし、良いことは波乱が多いもので、Starknetは長い間、経験と費用の面で多くの議論を呼んできた。
幸いなことに、StarkWareの継続的な努力により、これらの問題は一つずつ歴史になってきている。以下では、Starknetの最近の重要なアップグレード成果と、ロードマップに基づく今後の計画について振り返る。
4.1 V0.12
Starknet Alpha v0.12.0は「量子ジャンプ」というコードネームを持ち、2023年7月にメインネットにリリースされた。今回の最適化の重点はネットワークパフォーマンスの向上とユーザーエクスペリエンスの最適化である。
スループットとレイテンシは通常、ネットワークパフォーマンスを測る指標とされる。ソーターのRust化の最適化とCairo言語のアップグレードにより、Starknetのブロック実行時間が大幅に短縮され、v0.11.0の3万CSPS(Cairo steps per second、毎秒Cairoステップ数)から22万CSPSに急上昇し、パフォーマンスが大きく向上した。
長く批判されてきたインタラクション体験の問題も解決され、メインネットの確認待ちで平均20分もpending状態だった時代は過去のものとなった。
ユーザー側ではLayer2での確認完了時点で取引が成功とみなされるため、取引時間は約10秒に短縮され、体験が大幅に向上した。
この画期的なアップグレードにより、StarknetのTVLは1億ドルを突破し、週間上昇率は43%以上となった。
4.2 V0.13
2024年1月にリリースされたv0.13.0バージョンは、ブロックサイズを拡大し、計算コストを50%大幅に削減し、データ可用性コストを25%削減した。
v0.13.1は、イーサリアムEIP-4844のサポートを事前展開したため、Starknetはキャンクーンアップグレード後数時間以内にblob機能を有効化し、最初にユーザー手数料を大幅に削減したL2となった。
今年残りの期間、ロードマップに従い、v0.13.2は取引の並列化をサポートし、より多くの取引を同時に処理できるようになり、ネットワークスループットの向上とレイテンシの低減が期待される。
v0.13.3はCairo NativeをStarknetソーターに統合し、ソーターのパフォーマンスをさらに向上させる。これによりネットワーク速度がさらに加速する。
4.3 V0.14 およびその後のアップグレード計画
ロードマップによると、期待のVolitionはv0.14.0アップグレードでリリース予定である。
現在、イーサリアム上のデータ可用性ストレージ(Data Availability, DA)がStarknetネットワークのガス料金の大部分を占めており、イーサリアム上のDAストレージを削減することが費用削減の鍵となる。
Volitionにより、開発者は一部のデータをStarknet L2に保存でき、そのデータの状態ルート(root)をイーサリアムL1に提出できるようになる。これにより、L1のDAストレージコストが大幅に削減され、費用削減がさらに進む。
v0.14.0バージョンでは、アプリケーショナル再帰(Applicative Recursion)方式を採用し、複数ブロックのL1フットプリント(Layer 1 footprint:Starknetの運営を支えるためにイーサリアム上で保存・処理する必要のあるデータと計算タスク)を一度にバッチ処理することで、費用コストを削減する予定である。
https://community.starknet.io/t/upcoming-feature-starknet-applicative-recursion/113868
現在、starknetの各ブロックには専用の証明があり、各ブロックはイーサリアム上で固定の運用コストがかかるため、ネットワークはしばしばコストを分担するために十分な取引量を蓄えてからブロックをパッケージングする。
これにより、ブロック生成時間の不確実性とブロックコストの利用効率の低さが生じる。アプリケーショナル再帰を導入すれば、検証者が複数のブロックをまとめて証明でき、ブロック時間を短縮しつつコストを分担できる。
さらに、Starknetは技術的により多くのDA圧縮ソリューションを探求し、コスト削減を図る。
05 エコシステム構築
5.1 現状
パフォーマンスの安定した向上と継続的な費用削減により、Starknet上のエコシステムは現在、整備されつつある。
インフラ面では、ウォレットプロジェクトAgent XとBraavosが自己ホスト型スマートウォレットとして、セキュリティを保証しつつ、starknetネイティブのアカウント抽象化に対応し、web3世界の入り口としてユーザーに良好なインタラクション体験を提供している。
クロスチェーンブリッジでは、ネイティブのStarkGateに加え、Orbiter Finance、MiniBridge、rhino.fiなどの専門ブリッジプロジェクトも参加している。
DIDのトッププロジェクトStarknet.idは、イーサリアム上のENSと同じ役割を果たし、ユーザーがNFTを鋳造してStarknetチェーン上の身分証明書とパスポートとして使用できるようにしている。
伝統的な赤海市場DeFi分野でも、現在Starknet上にはNostra、Ekubo、zkLend、ZKX、Carmine Optionsなどのトッププロジェクトが成長し、Dex、ステーキング、レンディング、コントラクトの主要セグメントを急速に席巻しつつ、各DeFiプロジェクトは製品面で次々と革新を進めている。
例えばZKXは、ゲーム化されたインタラクションとDAOガバナンス形態を採用し、独自の自律型永続コントラクト取引所を構築している。
Ekuboは、単一インスタンス設計で一つのコントラクトがすべての資金プールを管理し、ユーザーの取引摩擦コストを削減している。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@BiteyeCN
