
Boolネットワークを解読する:真の中央集権型ビットコイン・クロスチェーンブリッジか?
TechFlow厳選深潮セレクト

Boolネットワークを解読する:真の中央集権型ビットコイン・クロスチェーンブリッジか?
Bool Networkは、ビットコインのクロスチェーンブリッジに突破口をもたらす可能性がある。
著者:Faust & Abyss、Geek Web3
要約:さまざまなクロスチェーンブリッジが登場して以来、それに続くハッキング事件はほとんど絶えることがなく、2022年にAxie公式クロスチェーンブリッジで6.2億ドルが盗まれた事件は世界を震撼させ、多くの人々がクロスチェーンブリッジのセキュリティと信頼性のない(trustless)実現方法について考えるようになった。しかし今日に至るまで、この分野には依然として数多くの未解決問題が存在している。
しかしパブリックチェーンのレースと同様に、クロスチェーンブリッジの設計思想にも「不可能三角」が存在し、実質的に今日もまだ打破されていない。コストとUXの面で優位性を持つために、大多数のクロスチェーンブリッジはマルチシグに類似した証人(witness)モデルを採用しているが、こうしたソリューションは実装された当初からハッカーにとって魅力的な標的となっていた。
痛ましい歴史的経験は私たちに、防御策を施さない証人型ブリッジはいずれ事故を起こすことを教えている。だがこのようなブリッジはビットコインエコシステム全体において日常茶飯事となっており、恐怖さえ覚える。
本稿で紹介するBool Networkは、クロスチェーンブリッジプロジェクトに対して動的にローテーションする証人を提供するとともに、プライバシーコンピューティングとTEEによる鍵のカプセル化を組み合わせることで、従来の証人型ブリッジのセキュリティモデルをさらに最適化し、クロスチェーンブリッジの非中央集権化問題の解決を目指している。これはビットコイン向けクロスチェーンブリッジに突破口をもたらす可能性を秘めている。
ビットコインエコシステムの現状:いたるところにマルチシグ
クロスチェーンブリッジの本質とは、Bチェーンに対して「Aチェーン上で誰かがクロスチェーン要求を発行し、規定通りの手数料を支払った」という事実を証明することである。この事実を証明するためには、複数の実装方法が存在する。
ライトクライアントブリッジは、チェーン上にスマートコントラクトを展開し、ネイティブにクロスチェーンメッセージを検証する。この方式は最も高いセキュリティを持つが、コストも非常に高く、またビットコインチェーンでは実現できない(現在「ビットコインZKブリッジ」と称するプロジェクトでも、BTCから他チェーンへの移転はZKブリッジで可能だが、BTCへ戻る際にはZKブリッジを利用できない)。
BitVMを代表とするオプティミスティックブリッジは、不正行為の証明(fraud proof)によってクロスチェーンメッセージの正確な処理を保証するが、その実装難度は極めて高い。そのため、ほとんどのビットコインクロスチェーンブリッジは最終的に「証人モデル」を採用しており、チェーン外にいくつかの証人を指定し、それらがすべてのクロスチェーンメッセージを検証・承認する。
DLC.linkを代表とするDLCブリッジは、オラクル/証人のマルチシグにペイメントチャネルの考え方を導入することで、証人が悪意を持つケースを可能な限り制限しているが、それでもマルチシグの根本的なリスクを完全に排除することはできていない。

結局のところ、BitVMが実用化されるまでの間、ライトニングネットワーク/ペイメントチャネルやRGB++といったクライアント側検証または同種結合に基づくプロジェクト以外のビットコインクロスチェーンブリッジは、本質的にすべてマルチシグであることが明らかになる。
歴史はすでに証明している。マルチシグ型クロスチェーンブリッジや大規模資産管理プラットフォームにおける信頼性のない(trustless)問題を解決しなければ、資金の盗難は時間の問題にすぎない。
これに対し、一部のプロジェクトは証人に超過した資産をステーキングさせ、潜在的なスラッシングを罰則として設けたり、大手機関に証人役を務めさせ信用を後押しすることで、クロスチェーンブリッジのセキュリティリスクを弱める。しかし根本的には、証人モデルに基づくブリッジのセキュリティモデルはマルチシグウォレットと基本的に同じであり、最終的にはM/Nのようなしきい値に従って信頼モデルが決まり、許容できる故障率には限界がある。

どのようにマルチシグを設定・運用し、いかにそれをより信頼不要なものにし、証人の悪意ある行動を防止し、外部からの攻撃コストを高めるか——これらはビットコインレイヤー2のクロスチェーンブリッジが長期的に考え続けなければならない課題である。
マルチシグ参加者が共謀して悪意を持つことを困難にし、ハッカーが外部から鍵を盗むことを防ぐ方法はあるだろうか? Bool Networkは、ZKP-RingVRFアルゴリズムとTEEに基づく統合的ソリューションで、証人ブリッジのセキュリティ問題に挑戦しようとしている。
Boolネットワーク:クロスチェーンブリッジなどに特化したプライバシーコンピューティング基盤
実はKYCでもPOSでもPOWでも、本質的には非中央集権化とシビル攻撃防止であり、重要な管理権限が少数者に集中しないようにするためのものである。POAやKYCの上にマルチシグ/MPC方式を採用しても、大手機関の信用力によってセキュリティリスクを緩和できるが、このモデルは中央集権型取引所と本質的に違いはない。つまり、指名された証人がクロスチェーンブリッジの資金プールから資金を持ち出さないと信じなければならない。これはまさにコンソーシアムチェーンであり、ブロックチェーン本来の「信頼不要(trustless)」という本質に反している。
POSベースのマルチシグ/MPC方式はPOAよりも信頼不要性が高い。参入障壁もはるかに低くなるが、それでもさまざまな問題に直面する。例えばノードのプライバシー漏洩などだ。
仮にあるクロスチェーンブリッジ専用に数十のノードからなる証人ネットワークがあるとする。これらのノードは頻繁にデータを交換する必要があるため、公開鍵やIPアドレス、その他の身元情報が容易に外部に露出してしまう。攻撃者はこれをもとに攻撃経路を構築し、結果として特定のノードの鍵が盗まれるケースにつながりやすい。また、証人が内部で共謀する可能性もある。特にノード数が少ない場合、これは非常に起こりやすい。
では、上記の問題をどう解決すればよいだろうか? 自然に思いつくのは、鍵の保護強化により外部からの覗き見を防ぐことだろう。比較的信頼できる方法の一つが、鍵をTEE(Trusted Execution Environment:信頼できる実行環境)内にカプセル化することである。
TEEは、ノードデバイスがローカルの安全領域内でソフトウェアを実行することを可能にする。システム内の他のコンポーネントはそのデータにアクセスできないため、機密データやプログラムを安全な実行環境に隔離し、データの漏洩や悪意ある操作を防ぐことができる。
ここで問題となるのは、証人が本当にTEE内で鍵を保管し、署名を生成しているかどうかをどう保証するかということだ。実際には、証人がTEEのリモートアテステーション情報を提示すれば、それがTEE上で動作しているかを検証できる。任意のチェーン上でTEEの証明を検証するだけでよく、コストはほぼ無視できるレベルだ。

もちろん、TEEの導入だけでは問題は終わらない。仮にTEEを導入したとしても、証人の総数が少ない場合、例えば5つだけの場合、さまざまな問題が生じる。TEE内にカプセル化された鍵は「見えない」かもしれないが、少数の証人委員会では検閲耐性や可用性を保障できない。先述の5つのノードが一斉に撤退してクロスチェーンブリッジが機能停止すれば、ブリッジ資産のlock-mintや償還ができず、実質的に永久凍結と同等になってしまう。
互換性、非中央集権性、コストなどを総合的に考慮した結果、Bool Networkは次のような構想を提案している。
資産のステーキングを通じて、Permissionlessな候補証人ネットワークを構築する。十分な資産をステーキングすれば誰でも参加できる。ネットワーク規模が十分に大きくなり、例えば数百〜数千台のデバイスが接続された時点で、定期的にネットワークからランダムにいくつかのノードを選出し、クロスチェーンブリッジの証人として活用する。これにより、証人の「階級固定化」問題を回避できる(この発想は現在のPOS型イーサリアムにも見られる)。
では、抽選アルゴリズムにランダム性を持たせるにはどうすればよいだろうか? AlgorandやCardanoなどの従来のPOSパブリックチェーンは、VRF関数を導入し、周期的にVRFが出力する疑似乱数を用いてブロック生成者を抽出している。しかし、従来のVRFアルゴリズムはプライバシー保護が不十分で、誰がVRF計算に参加したか、VRF出力の乱数に関連付けられた当選者が誰かといった情報がほとんど露呈してしまう。

しかし、クロスチェーンブリッジの動的証人とPOSパブリックチェーンの動的ブロック生成者の選出では、考慮すべき問題が異なる。パブリックチェーンのブロック生成者が身元を露呈しても、攻撃者の悪用シーンは限定され、多くの制約条件に縛られるため、大きな問題とはならないことが多い。
一方、クロスチェーンブリッジの証人が身元を露呈すれば、ハッカーが鍵を取得したり、証人たちが内部で結託すれば、橋渡し資産の全資金プールが危機に陥ってしまう。つまり、クロスチェーンブリッジとPOSパブリックチェーンのセキュリティモデルは大きく異なり、証人の身元の秘匿性をより重視しなければならない。
私たちは本能的に、証人のリストを隠蔽するのが望ましいと考える。Bool Networkはこの点で独自のリング状VRFアルゴリズムを採用し、選ばれた証人の身元を候補者全体の中に隠蔽している。詳細は非常に複雑だが、以下のように簡略化して説明できる。
1. すべての候補者はBoolネットワークに入る前に、イーサリアムまたはBool自身のチェーン上で資産をステーキングし、登録情報として公開鍵を残す。この公開鍵は「永続公開鍵」と呼ばれる。すべての候補者の「永続公開鍵」の集合はチェーン上で公開されている。この永続公開鍵は、要するに各人の身元情報である。
2. 数分~30分ごとに、BoolネットワークはVRF関数を通じてランダムに数人の証人を選出する。ただし、その前段階として、各候補者はローカルで一度限りの「一時公開鍵」を生成し、同時にZKPを生成して、「一時公開鍵」がチェーン上に記録された「永続公開鍵」と関連していることを証明する。つまり、ZK証明によって自分が候補者リストに存在することを証明するが、自分が誰かは明かさない。
3. 「一時公開鍵」の目的は何だろうか? それはまさにプライバシー保護である。もし直接「永続公開鍵」の集合から抽選し、抽選結果を公表すれば、誰が当選したかがすぐにわかってしまい、安全性が大幅に低下する。
各候補者が一度限りの「一時公開鍵」を提出し、「一時公開鍵」の集合から当選者を選ぶことで、自分自身が当選したことはわかるが、他の当選者の「一時公開鍵」が誰に対応するかはわからない。
4. しかし、まだ終わりではない。Boolネットワークはさらに進んで、「一時公開鍵」が何であるかを本人でさえ知らせないようにする。どうやって? 「一時公開鍵」の平文をTEE内に置いて、暗号化して「乱码」として送信すればよい。

「一時公開鍵」の生成自体もTEE内で実行できる。TEEはデータと計算を秘密に保てるため、内部で何が起きているかはまったく分からない。「一時公開鍵」が生成された後、暗号化されて「乱码」としてTEE外部に送信される。この時点で、本人ですら自分の「一時公開鍵」の平文が何かはわからず、暗号化された暗号文しか見えない(なお前述の第2段階で言及した、一時公開鍵と永続公開鍵の関連性を証明するZKPも、一時公開鍵とともに暗号化される)。
5. 候補者は「乱码」状態の「一時公開鍵」の暗号文を、指定されたRelayerノードに送信する。Relayerはこれらの「乱码」状態の暗号文を復号し、すべての「一時公開鍵」の平文を再構成する。
ここで問題となるのは、Relayerは各暗号文の送信者が誰かを知っているため、各暗号文を解析して「一時公開鍵」に変換すれば、各「一時公開鍵」が誰に対応するかを自然に知ってしまうことだ。そのため、上記の作業もTEE内で行う必要がある。数百人の公開鍵の暗号文がTEEに入り、出てきたのは公開鍵の平文だけ。まるでミキサーのように、効果的にプライバシーを保護できる。
6. Relayerが元の「一時公開鍵」を取得した後、それらを一括して集約し、チェーン上のVRF関数に送信して当選者を選出する。つまり、これらの「一時公開鍵」の中から数人の当選者を選び、次のクロスチェーンブリッジ証人委員会を構成する。
こうして全体の論理が明確になる。我々は定期的に証人の一時公開鍵の集合からランダムに数人を選び、クロスチェーンブリッジの一時証人とする。この設計はDHC(Dynamic Hidden Committee:動的非表示委員会)と名付けられている。
各ノードがTEEを実行しているため、MPC/TSSの秘密鍵断片や証人運営のコアプログラム、すべての計算プロセスがTEE環境内に隠されている。誰も具体的な計算内容を知らず、当選した本人でさえ自分が当選したことに気づかない。これにより、共謀や外部からの突破を根本的に防止できる。

Bool Networkにおけるクロスチェーンメッセージのライフサイクル
Boolの証人身元と鍵の隠蔽に関する基本的なアイデアを紹介したところで、Bool Networkの動作プロセスを整理しよう。左側をソースチェーン、右側をターゲットチェーンと仮定し、図全体が資産のソースチェーンからターゲットチェーンへの全プロセスライフサイクルを構成している。ここからデータフローの観点で、Bool Networkのクロスチェーンプロセスを4段階に分けて分析する。

まず、出金者がソースチェーンで出金アクションを開始すると、メッセージはRealyerによってMessaging Layer層に送信される。メッセージがMessaging Layer層に到達すると、動的委員会がメッセージを検証し、ソースチェーン上に実際に存在し有効であることを確認した上で署名を行う。
ここで疑問が生じるかもしれない。前述のように、誰も自分が証人委員会に選ばれたかどうかを知らないのに、どうやってメッセージを特定の人物に伝え、署名させるのか? 実はこれは簡単な解決法がある。選ばれた証人が誰かわからないなら、徹底的に全ネットワークにブロードキャストし、処理待ちのクロスチェーンメッセージをすべてのノードに送ればよい。
最初に述べたように、各人の一時公開鍵はローカルのTEE内で生成・カプセル化されており、TEE外部からは一時公開鍵は見えない。自分の一時公開鍵が選ばれたかどうかを検証するロジックは、直接TEE内に配置される。処理待ちのクロスチェーンメッセージをTEEに入力すれば、TEE内のプログラムが署名確認を行うべきかどうかを判断する。

TEE内でクロスチェーンメッセージに署名した後、そのままデジタル署名を外部に送信することはできない。署名をそのまま送信すれば、あなたがクロスチェーンメッセージに署名したことが周囲にバレ、証人の一人だと推測されてしまうからだ。そのため、外界に自分がメッセージに署名したかどうかを知られないようにする必要がある。最良の方法は、署名情報そのものを暗号化することであり、前述の一時公開鍵の暗号化と同様の発想である。
まとめると、Bool NetworkはP2P通信により、署名待ちのクロスチェーンメッセージをすべてのノードに配布する。選ばれた証人はTEE内でメッセージを検証・署名した後、暗号化された暗号文をブロードキャストする。他のノードが暗号文を受け取ったら、TEE内に投入して復号し、上記のプロセスを繰り返す。選ばれたすべての証人が署名を完了するまでこれを続ける。最後にRelayerがTSS署名の元の形式に復号し、クロスチェーンメッセージの確認・署名プロセスを完了する。
核心は、ほぼすべての活動がTEE内で行われ、外部からは何が起きているか全くわからない点にある。各ノードは証人が誰かを知らず、自分自身が選ばれた証人かどうかも知らない。これにより、共謀による悪意を根本的に防止し、外部からの攻撃コストを大幅に引き上げることができる。
Bool Networkに基づくクロスチェーンブリッジを攻撃するには、動的委員会内の証人が誰かを特定する必要があるが、そもそもそれが誰かはわからない。そのため、結局のところBoolネットワーク全体を攻撃するしかない。ZetaChainなど単にPOSとMPCに基づくクロスチェーンブリッジ基盤では、証人の身元がすべて露呈している。しきい値が100/200だと仮定すれば、ネットワークの半分のノードを攻撃すれば済む。
しかしBoolの場合、プライバシー保護があるため、理論上はすべてのノードを攻撃しなければならない。さらにBoolのすべてのノードはTEEを実行しているため、攻撃の難易度はさらに上昇する。
また、Bool Networkは本質的に証人ブリッジであるため、ターゲットチェーンに署名一つを提出するだけでクロスチェーン処理が完了し、コストは最小限となる。Polkadotのような余計なリレーチェーン設計がないため、二段階検証の冗長性を回避でき、Boolのクロスチェーン速度は非常に速くなる。このクロスチェーンモードは、資産のクロスチェーンとメッセージのクロスチェーンという両方のニーズに対応でき、高い互換性を持っている。
Boolのプロダクト設計思想をどう評価すべきか?
ここで2つの見解を提示する。第一に、資産のクロスチェーンはToC製品である。第二に、クロスチェーンブリッジは協力よりも競争が支配する分野である。長期的には、クロスチェーンプロトコルの参入障壁が高く、需要が均質化しているため、クロスチェーンブリッジ関連の資金集中度はますます高まっていく。これは、クロスチェーンプロトコルが規模の経済や乗り換えコストといった強力な護城河を持つためである。
Boolはクロスチェーンブリッジよりも下位レイヤーの専用インフラであり、上位レイヤーのクロスチェーンブリッジプロジェクトよりもはるかに広いビジネス展望を持っている。オラクル機能も担うことができ、クロスチェーンメッセージ検証に限定されず、理論的にはオールチェーンオラクル市場にも参入可能であり、真に非中央集権的なオラクルを構築し、プライバシーコンピューティングサービスを提供できる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












