レイヤー2ネットワークはビットコインのスケーリングの最終的な解決策となるのか？

2024.07.12

共有先

TechFlow厳選深潮セレクト

レイヤー2ネットワークはビットコインのスケーリングの最終的な解決策となるのか？

レイヤー2ソリューションであるサイドチェーン、ライトニングネットワーク、RGB、ロールアップなど、およびビットコインコアコミュニティで話題のDrivechainやSpacechainなどの主要な技術を一文で解説。

2024.07.12 - 15:09:39

L2比特币扩容

Web3業界の深掘り報道に専念し潮流を洞察

執筆：Chakra Research

第1回で言及したネイティブスケーリング案とは別に、ビットコインのもう一つのスケーリング手法は、ビットコイン上に追加のプロトコル層を構築するものであり、これをレイヤー2（Layer 2）と呼ぶ。Layer 2ソリューションの鍵となるのは二点である。安全な双方向ブリッジと、ビットコインの合意安全性の継承である。

サイドチェーン（Sidechain）

サイドチェーンという概念の起源は、2014年にBlockstreamが提出した「Enabling Blockchain Innovations with Pegged Sidechains」まで遡る。これは比較的素朴なスケーリング案である。

動作原理

サイドチェーンはメインチェーンとは完全に独立して動作するブロックチェーンであり、独自の合意プロトコルを持つため、メインチェーンにおける革新の実験場として機能できる。サイドチェーン上で悪性イベントが発生しても、その被害はサイドチェーン自体に限定され、メインチェーンには何ら影響を与えない。また、TPSの高い合意プロトコルを採用したり、プログラミング能力を強化することで、BTCの機能拡張を実現できる。

サイドチェーンはtwo-way pegまたはone-way pegによって、異なるブロックチェーン間でのビットコイン移動を実現する。ただし実際にはBTCはビットコインネットワーク上にしか存在しないため、サイドチェーン上のBTCとビットコインネットワーク上のBTCを結びつけるためのアンカー（拘束）メカニズムが必要になる。

one-way pegでは、ユーザーがメインネット上のBTCを使用不能なアドレスへ送信して破棄し、それに応じた量のBTCをサイドチェーン上で取得する。しかし、このプロセスは不可逆である。two-way pegはone-way pegの進化形であり、BTCをメインチェーンとサイドチェーンの間で往復可能にする。破棄ではなく、マルチシグなどの制御スクリプトによってBTCをロックし、サイドチェーン上で新たなBTCを発行する。ユーザーがメインネットに戻りたい場合は、サイドチェーン上のBTCをburn（焼却）し、メインネット上で以前ロックされたBTCを解放する。

one-way pegの実装は、two-way pegと比べてはるかに簡単である。なぜなら、ビットコインネットワーク上の関連状態を管理する必要がないからだ。しかし、one-way pegによって生成されたサイドチェーン資産は、逆方向のアンカー機構が欠如しているため、価値を失う可能性がある。

メインチェーンのロック取引とサイドチェーン上のburn取引の検証には、さまざまな方式とセキュリティレベルが存在する。最もシンプルなのはマルチシグ参加者による外部検証だが、中央集権化リスクが高い。より優れた選択肢はSPV Proof（簡易支払検証）を用いた非中央集権的な検証である。ただし、ビットコインメインネットは必要なプログラミング能力を欠いており、SPV検証を実行できないため、通常はマルチシグによるホスティングが採用される。

問題点とアプローチ

サイドチェーンが批判される主な問題点は二つある。

資産のクロスチェーン移転における検証者への依存：ビットコインメインネットはまだスマートコントラクトを実装できず、信頼不要なコントラクトロジックによって資産のクロスチェーン移転を処理できない。そのため、サイドチェーンからビットコインへ戻す際には、一組の検証者に依存せざるを得ず、信頼仮定が生じ、詐欺リスクが存在する。

サイドチェーンがメインチェーンの安全性を継承できない：サイドチェーンはメインネットと完全に独立して動作するため、メインネットの安全性を継承できず、悪意のあるブロック再編などが発生する可能性がある。

これに対して、サイドチェーンのアプローチとしては、権威（コンソーシアム型）への依存、経済的安全性（PoS）への依存、非中央集権的なビットコインマイナー（マージドマイニング）への依存、ハードウェアセキュリティモジュール（HSM）への依存などがある。ビットコイン上の資金のホスティングとサイドチェーンのブロック生成は異なる役割が担当することで、より複雑なセキュリティメカニズムを導入できる。

事例紹介

Liquid

最初に登場したサイドチェーンの形態は、あらかじめ選ばれた複数の主体が検証者を務めるコンソーシアム型サイドチェーンであり、メインネットの資金のホスティングとサイドチェーンのブロック生成を同時に行う。

Liquidはコンソーシアム型サイドチェーンの代表例で、15の参加者が検証者を務め、秘密鍵の管理方法は公開されていない。検証には11の署名が必要。Liquidサイドチェーンのブロック生成も15の参加者が共同で維持しており、ノード数の少ないコンソーシアムチェーンにより高いTPSを実現し、スケーリング目標を達成している。主な用途はDeFiである。

コンソーシアム型サイドチェーンは顕著な中央集権化セキュリティリスクを有する。

Rootstock (RSK)

RSKも15のノードがメインネットの資金のホスティングを担当し、検証には8つの署名が必要。Liquidとの違いは、マルチシグ鍵がハードウェアセキュリティモジュール（HSM）で管理されており、PoW合意に基づいてpeg-out命令に署名することで、鍵を保持する検証者が直接ホスト資金を操作することを防いでいる点にある。

サイドチェーンの合意プロトコルに関して、RSKはマージドマイニングを採用しており、メインネットの計算力を活用してサイドチェーン上の取引の安全性を確保している。マージドマイニングの算力比率がメインネットで高ければ、サイドチェーン上の二重支払い攻撃を効果的に防止できる。RSKはマージドマイニングを改良し、低ハッシュレート下でもサイドチェーンの安全性を保つために分岐認識型アプローチを採用し、分岐行動に対してオフチェーンの合意介入を行うことで、二重支払いの確率を低下させている。

しかし、マージドマイニングはマイナーのインセンティブを変え、MEVリスクを増大させ、最終的にはシステムの安定性を損なう可能性がある。長期的には、マージドマイニングが採掘の中央集権化を促進する恐れもある。

Stacks

Stacksはサイドチェーンのブロックハッシュをビットコインブロック内に提出することで、Stacksチェーンの履歴をビットコインにアンカーし、ビットコインと同じファイナリティ（確定性）を持つようにしている。つまり、Stacksのフォークはビットコインのフォークに起因する場合にのみ発生し、二重支払いに対する耐性が向上する。

sBTCは新しいトークンSTXとインセンティブモデルを導入し、ステーキングブリッジ方式を採用している。最大150のメインネット検証者を許容する。いわゆるステーキングブリッジとは、検証者がSTXトークンをステーキングすることで、預入および出金の承認権限を得る仕組みである。ステーキングブリッジの安全性は、ステーキング資産の価値に大きく依存しており、ステーキング資産の価格が激しく変動すると、BTCのクロスチェーン安全性が損なわれる可能性がある。もしステーキング資産の価値がクロスチェーン資産の価値を下回れば、検証者は悪意を持つインセンティブを得てしまう。

他にも、いくつかのサイドチェーン提案がコミュニティ内で広く議論されている。

Drivechain

特に注目されているのが、Paul Sztorcが2015年に提唱したDrivechainであり、その中核技術はすでにBIP 300（ペッグ機構）とBIP 301（ブラインドマージドマイニング）として割り当てられている。BIP 300は新しいサイドチェーンを追加するロジックを詳細に定義しており、新規サイドチェーンのアクティベーションは、マイナーの信号によるソフトフォークのアクティベーションと類似している。BIP 301は、ビットコインマイナーが具体的な取引内容を検証することなく、サイドチェーンのブロック生成者になれるようにする。

ビットコインマイナーは出金取引の承認も担当する。まずマイナーは、自分が採掘したブロックのcoinbase取引内にOP_RETURN出力を生成し、出金取引を提案する。その後、各マイナーがその提案に対して投票できる。各ブロックの採掘時に、支持または反対の票を投じることができる。一度の出金取引が閾値（13,150ブロック）を超えると、出金取引が正式に実行され、ビットコインメインチェーン上で確認される。

実際、マイナーはDrivechain上の資金を完全に支配しており、資金が盗難された場合、ユーザーはUASF（ユーザーが活性化するソフトフォーク）によって自己救済するしかないが、これは非常に困難な合意形成である。さらに、Drivechainにおけるマイナーの特権的地位はMEVリスクを増大させる。これはすでにイーサリアムで実証済みである。

Spacechain

Spacechainは独自の道を歩み、Perpetual 1-way peg（P1WP）を使用する。ユーザーはBTCをburnしてSpacechain上のトークンを得るが、これにより資金の安全性の問題を回避している。このトークンはSpacechain上のブロックスペースのオークションにのみ使用でき、価値保存手段としては機能しない。

サイドチェーンの安全性を確保するために、Spacechainはブラインドマージドマイニングを採用する。他のユーザーがANYPREVOUT（APO）を使ってブロック生成権を入札競争し、ビットコインマイナーはサイドチェーンのブロックヘッダーをブロック内にコミットするだけでよく、サイドチェーンブロックを検証する必要はない。ただし、Spacechainの起動にはCovanentのサポートが必要であり、現在ビットコインコミュニティでは、ソフトフォークによるCovanentオペコードの追加の必要性について議論が続いている。

総じて、Spacechainはビットコイン上でブロック生成の入札機能を実現することで、ビットコインと同等の非中央集権性と検閲耐性を持ちつつ、より高いプログラム可能性を備えたサイドチェーンを実現できる。

Softchain

SoftchainはSpacechainの作者Ruben Somsenが提唱した2wp（two-way peg）サイドチェーン提案であり、PoW FP合意メカニズムによってサイドチェーンの安全性を確保する。通常時、ビットコインの全ノードはSoftchainのブロックヘッダーをダウンロードし、作業量証明を検証するだけでよい。分岐が発生した場合、孤立ブロックと対応するUTXOセットのコミットメントをダウンロードし、ブロックの有効性を検証する。

2wpメカニズムにおいて、peg-in時にはメインチェーン上で預入取引を作成し、Softchainはこのメインチェーン取引を参照して資金を得る。peg-out時には、Softchain上で出金取引を作成し、メインチェーンがこの取引を参照してBTCを取り戻す。出金プロセスは長いチャレンジ期間を経て完了する。具体的なpeg-in・peg-outメカニズムにはソフトフォークのサポートが必要であるため、この提案はSoftchainと呼ばれる。

Softchainの提案は、ビットコインメインネットの全ノードに追加の検証コストを課す。また、Softchainの合意分裂がメインネットの合意形成に影響を及ぼす可能性があり、ビットコインメインネットに対する攻撃手段になり得る。

ライトニングネットワーク（Lightning Network）

ライトニングネットワークは2015年にホワイトペーパーが発表され、2018年に正式にリリースされた。ビットコイン上のLayer 2 P2P決済プロトコルとして、多数の小額かつ高頻度の取引をオンチェーン外で処理することを目指しており、長らくビットコインネットワークで最も有望なスケーリングソリューションと見なされてきた。

コアモジュール

ライトニングネットワークの実現には、ビットコイン内のいくつかの重要なモジュールが不可欠であり、これらがライトニングネットワーク取引の安全性を共同で保障している。

まず、プリサイン取引である。プリサイン取引はSegWitアップグレード後になってようやく安全に利用可能になった。SegWitは署名とそれ以外の取引データを分離することで、潜在的な循環依存、第三者による取引改ざん、第二者による取引改ざんなどの問題を解決した。ライトニングネットワークのオンチェーン外計算の安全性は、相手方が提供する取り消し不能なコミットメントによって保障されるが、このコミットメントはプリサイン取引によって実現される。相手からのプリサイン取引を受け取ったユーザーは、いつでもその取引をオンチェーンにブロードキャストして、コミットメントを履行できる。

次に、マルチシグである。双方がオンチェーン外で頻繁に資金を移動するためには、一定のコントロール権を双方が持つ必要があるため、2/2マルチシグが一般的に使用される。これにより、資金の移動は双方の同意のもとでのみ実行可能になる。

しかし、2/2マルチシグはライブネス（活性）の問題を引き起こす。つまり、相手が協力しない場合、ユーザーはマルチシグアドレスから資産を移動できず、元の資金を失ってしまう。タイムロックはこの活性問題を解決し、事前にタイムロック付きの返金契約に署名しておくことで、一方が非アクティブな場合でも、他方が初期資金を取り戻せるようにする。

最後に、ハッシュロックである。これは複数のステートチャネルを接続し、ネットワークを構築する効果を持つ。ハッシュの原像がコミュニケーション媒体となり、複数のエンティティ間の適切な動作を調整する。

動作プロセス

双方向チャネル

ライトニングネットワークで取引を行う両者は、まずビットコイン上で双方向のペイメントチャネルを開設する必要がある。その後、オンチェーン外で任意の回数の取引を行い、すべての取引が終了後に最新の状態をビットコインチェーンに提出して精算し、ペイメントチャネルを閉鎖する。

具体的には、ペイメントチャネルの実現には以下のキーステップが含まれる。

マルチシグアドレスの作成：チャネルの両者はまず、チャネルの資金ロックアドレスとして2-of-2マルチシグアドレスを作成する。双方はそれぞれ署名用の秘密鍵を保持し、自分の公開鍵を提供する。
チャネルの初期化：双方はオンチェーンで取引をブロードキャストし、一定量のビットコインをマルチシグアドレスにロックして、チャネルの初期資金とする。この取引は「アンカー取引」と呼ばれる。
チャネル状態の更新：チャネル内で支払いを行う際、双方はプリサイン取引を交換することでチャネルの状態を更新する。毎回の更新で新しい「コミット取引」が生成され、これが現在の資金分配状態を表す。コミット取引には、双方の資金シェアに対応する二つの出力がある。
最新状態のブロードキャスト：チャネルのいずれかの当事者は、いつでも最新のコミット取引をブロックチェーンにブロードキャストして、自分の資金シェアを引き出すことができる。相手が古い状態をブロードキャストするのを防ぐため、各コミット取引には対応する「ペナルティ取引」がある。もし相手が不正行為を行えば、自分は相手のすべての資金を得ることができる。
チャネルのクローズ：双方がチャネルを閉鎖すると決めた場合、協力して「決済取引」を生成し、最終的な資金分配状態をブロックチェーンにブロードキャストする。これにより、マルチシグアドレスにロックされていた資金が、双方の個人アドレスに解放される。
オンチェーン仲裁：双方がチャネルのクローズ時に合意に達できない場合、いずれかの当事者が単独で最新のコミット取引をブロードキャストし、オンチェーン仲裁プロセスを開始できる。一定期間（例えば1日）内に異議がなければ、資金はコミット取引の分配通りに双方に送金される。

ペイメントネットワーク

ペイメントチャネル同士は相互に接続してネットワークを形成でき、多段ルーティングをサポートする。これはHTLC（Hashed Time-Locked Contract）によって実現される。HTLCはハッシュロックを直接条件とし、タイムロック付きの署名支払いを代替条件とする。タイムロックが切れるまでの間、ユーザー間はハッシュの原像を媒介にやり取りを行う。

二つのユーザー間に直接チャネルがなくても、ルート間のHTLCを利用して支払いを完遂できる。この過程で、ハッシュ原像Rが支払いの原子性を保証するキーバンドとして機能する。同時に、HTLCのタイムロックは途中で段階的に短縮され、各ホップが支払いを処理・転送するのに十分な時間を確保する。

存在する問題

本質的に、ライトニングネットワークはP2Pのステートチャネルによって資産ブリッジの外部信頼仮定を回避し、タイムロックスクリプトによって資産の最終的保証を提供することで、障害保護を実現している。相手が非アクティブで協力しない場合でも、一方的に退出できる。したがって、ライトニングネットワークは決済シーンにおいて高い実用価値を持つが、多くの制約も抱えており、主に以下の通りである。

チャネル容量の制限：ライトニングネットワークのペイメントチャネル容量は、初期にロックされた資金に制限されるため、チャネル容量を超える大口支払いはサポートできない。これは、商品取引などの特定のアプリケーションシーンを制限する可能性がある。
オンラインと同期：支払いを即座に受信・転送するため、ライトニングネットワークのノードは常時オンラインである必要がある。ノードが長時間オフラインになると、チャネル状態の更新を見逃し、状態の非同期を引き起こす可能性がある。これは個人ユーザーとモバイルデバイスにとって挑戦であり、ノード運用コストも高まる。
流動性管理：ライトニングネットワークのルーティング効率は、チャネルの流動性分布に依存している。資金分布が不均衡だと、一部の支払い経路が無効になり、ユーザーエクスペリエンスに影響を与える。チャネルの流動性バランスを管理するには、一定の技術的・資金的コストが必要である。
プライバシー漏洩：利用可能な支払い経路を見つけるため、ライトニングネットワークのルーティングアルゴリズムはある程度チャネルの容量と接続情報を把握する必要がある。これにより、資金分布や取引相手などのユーザーのプライバシーが漏れる可能性がある。ペイメントチャネルの開設・閉鎖も関係者の情報を露出させる可能性がある。

RGB

RGBプロトコルの初期構想は、Peter Toddが提唱したクライアント検証とワンタイムシールの概念に着想を得ており、2016年にGiacomo Zuccoによって提唱された。これは拡張性に優れ、プライバシーを保護するビットコインのレイヤー2プロトコルである。

核心思想

クライアント検証

ブロックチェーンの検証プロセスは、取引からなるブロックを全ネットワークにブロードキャストし、各ノードがブロック内の取引を計算して検証するものである。これは一種の公共財を生み出し、全ネットワークのノードが各取引投稿者の検証を支援している。ユーザーはBTCを手数料として提供することで、この検証支援に対するインセンティブを与えている。クライアント検証はより個人中心的であり、状態検証はグローバルに実行されるのではなく、特定の状態変換に参加する個人が検証を行う。取引を行う当事者がそれぞれ状態変換の有効性を検証するだけであるため、プライバシーが大幅に向上し、ノードの負担が軽減され、拡張性が高まる。

ワンタイムシール

P2Pの状態変換には、ユーザーが完全な状態変換履歴を収集できないというリスクがあり、それが詐欺や二重支払いを招く可能性がある。ワンタイムシールはこの問題を解決するために提案されたもので、一度しか使えない特殊なオブジェクトを通じて二重支払いを防止し、安全性を高める。ビットコインのUTXOはまさに最適なワンタイムシールオブジェクトであり、ビットコインの合意メカニズムと全ネットワークの計算力によって保証されているため、RGB資産はビットコインの安全性を継承できる。

暗号的コミットメント

ワンタイムシールは暗号的コミットメントと組み合わせることで、ユーザーが状態変換の発生を明確に把握し、二重支払い攻撃を回避できる。コミットメントとは、他人に何かが発生したことを伝え、その後変更できないようにするが、具体的な内容は検証が必要になるまで明かさない仕組みである。ハッシュ関数を使ってコミットメントを実現できる。RGBでは、コミットメントの内容が状態変換そのものであり、UTXOの消費を通じて、RGB資産の受領者は状態移転のシグナルを受け取り、その後、資産の送信者がオフチェーンで送信した具体的なデータをコミットメントと照合して検証する。

動作プロセス

RGBはビットコインの合意メカニズムによって二重支払いの安全性と検閲耐性を確保し、すべての状態移転の検証作業はオフチェーンに委ねられ、支払いの受領者側のクライアントによってのみ検証される。

RGB資産の発行者は、取引を発行してRGBコントラクトを作成する必要がある。その詳細情報のコミットメントはTaproot取引のある支出条件のOP_RETURNスクリプトに保存される。

RGB資産の所有者がそれを使用したい場合、資産の受領者から関連情報を取得し、RGB取引を作成する。このRGB取引の詳細をコミットメントとして、受領者が指定したUTXOに配置し、元のUTXOを消費して受領者が指定したUTXOを作成する取引を発行する。資産の受領者が、元々RGB資産を保存していたUTXOが消費されたことを観測した場合、ビットコイン取引内のコミットメントを用いてRGB取引の有効性を検証できる。検証が有効であれば、確かにRGB資産を受領したと見なす。

RGB資産の受領者は、送信者からコントラクトの初期状態と状態変換ルール、各移転に使用されるビットコイン取引、各ビットコイン取引がコミットするRGB取引、および各ビットコイン取引の有効性の証拠を提供される必要がある。受領者のクライアントはこれらのデータを用いて、RGB取引の有効性を検証する。ここで、ビットコインのUTXOがコンテナとしてRGBコントラクトの状態を保持しており、各RGBコントラクトの移転履歴は有向非巡回グラフ（DAG）として表現できる。RGB資産の受領者は、自分自身が保有するRGB資産に関連する履歴のみを取得でき、他の分岐は取得できない。

利点と欠点

軽量検証

ブロックチェーンの完全検証と比較して、RGBプロトコルは検証コストを大幅に削減する。ユーザーはすべての過去のブロックを走査して最新状態を取得する必要はなく、自分に関連する資産の履歴のみを同期すれば、取引の有効性を検証できる。

この軽量検証により、P2P取引がより容易になり、中央集権的なサービスプロバイダーへの依存をさらに解消し、非中央集権化レベルを向上させる。

拡張性

RGBプロトコルは、ハッシュのコミットメントのみでビットコインの安全性を継承でき、Taprootスクリプトの方式により、ビットコインチェーン上の空間消費をほとんど生じない。これにより、資産の複雑なプログラミングが可能になる。UTXOをコンテナとして使用するため、RGBプロトコルは自然な並列性を持ち、異なる移転ブランチ上のRGB資産は互いにブロッキングせず、同時に使用できる。