a16z:なぜ暗号化メモリプールはMEVの万能薬になり得ないのか?
TechFlow厳選深潮セレクト
a16z:なぜ暗号化メモリプールはMEVの万能薬になり得ないのか?
技術、経済性、効率:避けられない三つの大きな壁。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Pranav Garimidi、Joseph Bonneau、Lioba Heimbach,a16z
翻訳:Saoirse,Foresight News
ブロックチェーンにおいて、どのトランザクションをブロックに含めるか、除外するか、あるいはトランザクションの順序を調整することで得られる利益の最大値を「最大抽出可能価値(MEV)」と呼ぶ。MEVはほとんどのブロックチェーンで広く存在しており、業界内で長年にわたり注目され議論されてきた話題である。
注:本稿では読者がMEVについて基本的な理解を持っていることを前提としている。一部の読者は、まず当社のMEV解説記事を参照することをお勧めする。
多くの研究者がMEV現象を観察する中で明確な疑問を呈している:暗号技術はこの問題を解決できるのか?その一つのアプローチが暗号化メモリプールであり、ユーザーが暗号化されたトランザクションをブロードキャストし、それらが順序付けられた後にのみ復号・開示されるというものである。これによりコンセンサスプロトコルはトランザクションの順序を「ブラインド選択」せざるを得ず、一見するとMEV機会を利用した並び替えによる利益獲得を防げるようだ。
しかし残念ながら、実用面でも理論面でも、暗号化メモリプールはMEV問題に対して汎用的な解決策とはなり得ない。以下ではその困難点を説明し、暗号化メモリプールの実現可能な設計方向性について考察する。
暗号化メモリプールの動作原理
暗号化メモリプールに関する提案は多数存在するが、一般的な枠組みは以下の通りである:
-
ユーザーが暗号化されたトランザクションをブロードキャストする。
-
暗号化されたトランザクションがチェーン上に提出される(一部の提案では、取引が検証可能なランダムシャッフルを経る)。
-
これらのトランザクションを含むブロックが最終的に確定した後、トランザクションが復号される。
-
最後に、これらのトランザクションが実行される。
ただし、ステップ3(トランザクションの復号)には重要な課題がある:誰が復号を行うのか?復号が完了しなかった場合はどうなるのか?単純なアイデアとしては、ユーザー自身が自分のトランザクションを復号する方法がある(この場合、暗号化せず隠蔽コミットメントだけで済む)。だがこの方式には脆弱性があり、攻撃者が投機的MEVを仕掛ける可能性がある。
投機的MEVとは、攻撃者が暗号化されたトランザクションの中にMEV機会があると推測し、それに合わせて自らのトランザクションを暗号化して有利な位置(たとえば標的トランザクションの前または後)に挿入しようとするものである。もしトランザクションが期待通りに並べられれば、攻撃者はそれを復号し、自らのトランザクションでMEVを抽出する。一方、意図通りに並ばなければ、攻撃者は復号を拒否し、そのトランザクションは最終的なブロックチェーンに含まれなくなる。
復号失敗のユーザーにペナルティを課すことも考えられるが、その実施は極めて困難である。理由は、すべての暗号化されたトランザクションに対するペナルティは均等でなければならない(暗号化されているため個別の区別がつかない)上、高価値の標的に対しても投機的MEVを抑止できるほど厳しくなければならないからである。これにより大量の資金がロックされ、さらに匿名性を保つ必要がある(取引とユーザーの関連性を漏らさないため)。さらに厄介なのは、プログラムのバグやネットワーク障害により正当なユーザーが正常に復号できなかった場合でも、彼らは損失を被ることになる点である。
そのため、多くの提案では、取引発信者がオフラインになったり協力を拒否したとしても、将来ある時点で必ず復号可能となるように暗号化を行うべきだと提唱している。この目標は以下のいくつかの方法で達成可能である:
信頼できる実行環境(TEEs):ユーザーはトランザクションを信頼できる実行環境(TEE)セキュアゾーンが保持する鍵で暗号化できる。基本的なバージョンでは、TEEは特定の時刻以降にのみトランザクションを復号するために使用される(内部に時間認識機能が必要)。より複雑なスキームでは、TEEがトランザクションの復号とブロック構築を担当し、到着時刻や手数料などの基準に基づいてトランザクションを順序付ける。他の暗号化メモリプール案と比較して、TEEの利点は平文トランザクションを直接処理でき、ロールバックするトランザクションをフィルタリングすることでチェーン上の冗長情報を減らせる点にある。しかし、この方法の欠点はハードウェアへの信頼に依存することである。
秘密分散と閾値暗号(Secret-sharing and threshold encryption):この方式では、ユーザーは特定の委員会(通常はバリデータのサブセット)が共同で保持する鍵にトランザクションを暗号化する。復号には一定の閾値条件(例えば委員会メンバーの3分の2以上の合意)が必要となる。
閾値復号を採用する場合、信頼の対象はハードウェアから委員会へと移る。支持者によれば、大多数のプロトコルはすでにコンセンサスメカニズムにおいてバリデータが「過半数誠実」という特性を持つことを前提としているため、同様に「多数のバリデータが誠実であり、事前にトランザクションを復号しない」と仮定してもよいという。
しかし、ここには重要な違いがある。ブロックチェーンのフォークなどコンセンサスの失敗は公開可視であり(「弱い信頼仮定」)、一方で悪意のある委員会が密かに早期にトランザクションを復号しても、何の公開証拠も残らず、こうした攻撃は検出も罰則もできない(「強い信頼仮定」)。したがって、表面的にはコンセンサスメカニズムと暗号化委員会の安全性仮定が一致しているように見えても、実際には「委員会が共謀しない」という仮定の信頼性ははるかに低い。
タイムロックと遅延暗号(Time-lock and delay encryption):閾値暗号の代替として、遅延暗号の仕組みは、ユーザーが公開鍵にトランザクションを暗号化し、その対応する秘密鍵がタイムロックパズル内に隠されているというものである。タイムロックパズルとは、秘密情報を暗号学的パズルで包み込み、所定の時間が経過するまでその内容を明らかにできないようにするものであり、具体的には並列化不可能な一連の計算を繰り返す必要がある。このメカニズムでは、誰でもそのパズルを解いて鍵を取得し、トランザクションを復号できるが、あらかじめ設計された十分長い(本質的に逐次的な)計算時間を要するため、ブロックが最終確定する前には復号できないようになっている。このような暗号原始の最も強力な形態は、遅延暗号技術によってそのようなパズルを公開生成することである。また、信頼できる委員会がタイムロック暗号を使ってこれを近似的に実現することも可能だが、この場合、閾値暗号に対する優位性は疑問視される。
遅延暗号を採用するにせよ、信頼できる委員会が計算を実行するにせよ、これらには多くの実用的課題がある。第一に、遅延が本質的に計算プロセスに依存しているため、復号時刻の正確性を保証することが難しい。第二に、これらのスキームでは特定の主体が高性能ハードウェアを運用して効率的にパズルを解く必要があるが、誰でもその役割を担えるにもかかわらず、その主体をインセンティブづける方法は不明瞭である。第三に、このような設計では、最終的にブロックに書き込まれなかったトランザクションを含め、ブロードキャストされたすべてのトランザクションが復号されることになる。一方で、閾値方式(または証人暗号)に基づくスキームでは、実際にブロックに含まれたトランザクションのみを復号できる可能性がある。
証人暗号(Witness encryption):最後に、最も進んだ暗号技術として「証人暗号」がある。理論的には、証人暗号は情報が暗号化され、特定のNP関係に対応する「証人情報」を知っている者だけが復号できる仕組みである。例えば、ある数独パズルを解ける者、またはあるハッシュ値の原像を提供できる者のみが復号できるように情報を暗号化できる。
(注:NP関係とは、「問題」と「迅速に検証可能な答え」の間の対応関係のこと)
任意のNP関係に対して、SNARKsを用いて同様のロジックを実現できる。つまり、証人暗号は本質的に、SNARKで特定の条件を満たすことを証明できる主体にのみ復号可能な形でデータを暗号化するものである。暗号化メモリプールの文脈では、典型的な条件の一例として「トランザクションはブロックが最終確定した後でのみ復号可能」というものがある。
これは非常に有望な理論的原始である。実際、これは汎用的なスキームであり、委員会ベースや遅延ベースのアプローチはその具体例にすぎない。残念ながら、現時点では実用可能な証人ベースの暗号化スキームは存在しない。また、仮に存在したとしても、ステークプルーフチェーンにおいてそれが委員会ベースの手法よりも優れているとは言い難い。たとえ証人暗号を「トランザクションが最終確定ブロック内で順序付けられた後でのみ復号可能」と設定したとしても、悪意のある委員会はプライベートチェーン上でコンセンサスプロトコルを模倣して最終確定状態を偽造し、「証人」としてそれを用いてトランザクションを復号できる。この場合、同じ委員会が閾値復号を使用すれば同等の安全性が得られ、しかも操作ははるかに簡単である。
ただし、作業量証明コンセンサスプロトコルでは、証人暗号の利点はより顕著である。なぜなら、委員会が完全に悪意を持っていても、現在のブロックチェーンヘッドに対して複数の新しいブロックを密かにマイニングして最終確定状態を偽造することはできないからである。
暗号化メモリプールが直面する技術的課題
暗号化メモリプールがMEVを防ぐ能力には、いくつかの実用的課題が制約として存在する。全体として、情報の秘匿自体が困難である。注目に値するのは、暗号技術がWeb3領域で広く使われていないことだが、ネットワーク(TLS/HTTPSなど)やプライベート通信(PGPからSignal、WhatsAppなどの現代的暗号メッセージプラットフォームまで)における数十年にわたる暗号技術の展開経験は、その困難を十分に露呈している。つまり、暗号は機密性を保護するツールではあるが、絶対的な保証にはならない。
まず、特定の主体がユーザーのトランザクションの平文を直接入手できる可能性がある。典型的なシナリオでは、ユーザーは自分でトランザクションを暗号化せず、ウォレットサービスプロバイダーにその作業を委託する。この場合、ウォレットサービスプロバイダーはトランザクションの平文にアクセスでき、MEVを抽出するためにそれらの情報を悪用または販売する可能性がある。暗号の安全性は常に鍵にアクセスできるすべての主体に依存する。鍵の管理範囲こそが、セキュリティの境界なのである。
加えて、最大の問題はメタデータ、つまり暗号化ペイロード(トランザクション)周辺の未暗号化データである。検索者はこれらのメタデータを利用してトランザクションの意図を推測し、投機的MEVを実行できる。検索者はトランザクションの内容を完全に理解したり、毎回正しく予測したりする必要はない。例えば、あるトランザクションが特定のDEXからの買い注文である可能性をある程度の確率で判断できれば、攻撃を開始するのに十分である。
メタデータは、暗号技術に固有の古典的難題と、暗号化メモリプール特有の問題に大別できる。
-
トランザクションサイズ:暗号化は平文のサイズを隠せない(語義的安全性の正式な定義では、平文サイズの隠蔽は明示的に除外されていることに注意)。これは暗号通信でよく知られた攻撃ベクトルであり、典型例として、Netflixで再生中のコンテンツを、各データパケットのサイズからリアルタイムに推測できることが挙げられる。暗号化メモリプールでは、特定タイプのトランザクションが独特なサイズを持つことで情報を漏らす可能性がある。
-
ブロードキャスト時間:暗号化は時間情報を隠せない(これもまた古典的な攻撃ベクトル)。Web3の文脈では、特定の送信者(例えば構造化された売却シナリオなど)が固定間隔でトランザクションを発信する可能性がある。トランザクションの時間は、外部取引所の活動やニュースイベントといった他の情報とも関連付けられる可能性がある。より巧妙な時間情報の利用法として、中心化取引所(CEX)と非中央集権型取引所(DEX)間の裁定取引がある。ソーターは、できるだけ遅く作成された取引を挿入することで最新のCEX価格情報を活用できる。同時に、ソーターは特定時刻以降にブロードキャストされた他のすべての取引(暗号化されていても)を排除し、自らの取引が最新価格のメリットを独占できるようにする。
-
送信元IPアドレス:検索者はP2Pネットワークを監視し、送信元IPアドレスを追跡することで送信者の身元を推測できる。この問題はビットコイン初期から指摘されており(10年以上前)、特定の送信者が固定された行動パターンを持つ場合、検索者にとって極めて価値が高い。例えば、送信者を特定できれば、暗号化された取引を過去に復号された取引と関連付けることができる。
-
取引送信者および手数料/gas情報:取引手数料は、暗号化メモリプール特有のメタデータの一種である。イーサリアムでは、従来の取引にはチェーン上に送信者アドレス(手数料支払い用)、最大gas予算、および送信者が支払う意思のある単位gasあたりの手数料が含まれる。送信元ネットワークアドレスと同様に、送信者アドレスは複数の取引と現実世界のエンティティを関連付けるために使用できる。gas予算は取引の意図を示唆する可能性がある。例えば、特定のDEXとやり取りするには識別可能な固定gas量が必要かもしれない。
高度な検索者は、上記の複数のメタデータタイプを組み合わせて取引内容を予測する可能性がある。
理論的には、これらの情報すべてを隠すことは可能だが、パフォーマンスと複雑さの代償を伴う。例えば、標準長にまでトランザクションをパディングすればサイズは隠せるが、帯域幅とチェーン上のスペースが無駄になる。送信前に遅延を加えれば時間を隠せるが、レイテンシが増える。Torなどの匿名ネットワークを通じて取引を提出すればIPアドレスは隠せるが、新たな課題が生じる。
最も隠しづらいメタデータは取引手数料情報である。手数料データを暗号化すると、ブロック構築者に一連の問題が生じる。まず、スパム問題がある。手数料データが暗号化されていれば、誰でも形式不正な暗号化取引をブロードキャストでき、それらは順序付けされるが手数料を支払えないため、復号後には実行不能となり、責任追及もできない。これはSNARKsで解決できるかもしれない、つまり取引形式が正しく資金も十分であることを証明するが、これにより大幅なオーバーヘッドが生じる。
次に、ブロック構築と手数料オークションの効率性の問題がある。構築者は手数料情報を頼りにして利益最大化されたブロックを作成し、チェーン上リソースの現在市場価格を決定する。手数料データの暗号化はこのプロセスを破壊する。一つの解決策は各ブロックに対して固定手数料を設定することだが、これは経済的に非効率であり、取引パッケージングの二次市場を生み出す可能性があり、暗号化メモリプールの設計目的に反する。別の方法として安全なマルチパーティ計算や信頼できるハードウェアによる手数料オークションがあるが、いずれもコストが極めて高い。
最後に、安全な暗号化メモリプールはシステム全体のオーバーヘッドを多方面から増加させる:暗号化はチェーンのレイテンシ、計算量、帯域消費を増加させる。シャーディングや並列実行といった重要な将来の目標との統合方法はまだ不明である。活性(liveness)に対して新たな障害点(閾値方式における復号委員会、遅延関数ソルバーなど)を導入する可能性もある。また、設計および実装の複雑さも著しく増加する。
暗号化メモリプールの多くの問題は、取引のプライバシーを保護することを目指すブロックチェーン(Zcash、Moneroなど)が直面する課題と共通している。ポジティブな見方をすれば、MEV緩和における暗号技術のすべての課題を解決することは、取引プライバシーの障壁を取り除くことにもつながる。
暗号化メモリプールが直面する経済的課題
最後に、暗号化メモリプールは経済的な課題にも直面している。技術的課題とは異なり、後者は十分な工学的投資によって段階的に緩和可能である。これらの経済的課題は根本的な制限であり、解決は極めて困難である。
MEVの根本的な問題は、取引作成者(ユーザー)とMEV機会発掘者(検索者およびブロック構築者)の間の情報非対称性に由来する。ユーザーは通常、自分の取引にどれだけの抽出可能価値が含まれているかを知らないため、完璧な暗号化メモリプールが存在しても、実際のMEV価値よりも低い報酬と引き換えに復号鍵を漏らされる可能性があり、これを「インセンティブ付き復号」と呼ぶ。
このようなシナリオは想像しにくくない。なぜなら、MEV Shareのような類似の仕組みがすでに現実に存在しているからである。MEV Shareはオーダーフロー入札メカニズムであり、ユーザーが特定のプールに取引情報を選択的に提出できるようにするもので、検索者はその取引のMEV機会を利用する権利を競争する。落札者はMEVを抽出した後、その収益の一部(入札額またはその一定割合)をユーザーに還元する。
このモデルは暗号化メモリプールに直接適用可能である:ユーザーは復号鍵(または部分的情報)を開示することで参加する必要がある。しかし、多くのユーザーはこうしたメカニズムに参加する機会費用に気づかない。彼らは即時のリターンを見て、喜んで情報を漏らしてしまう。伝統的金融にも同様のケースがある:例えばゼロ手数料の取引プラットフォームRobinhoodは、「オーダーフローペイメント(payment-for-order-flow)」を通じて第三者にユーザーの注文流を販売することで利益を得ている。
もう一つの可能性として、大規模な構築者が検閲を理由に、ユーザーに取引内容(または関連情報)の開示を強制するシナリオがある。抗検閲性はWeb3分野において重要かつ論争的なトピックであるが、大規模なバリデータや構築者が法的規制(米国外国資産管理局OFACの規定など)により検閲リストを実行する必要がある場合、彼らは暗号化された取引の処理を拒否する可能性がある。技術的には、ユーザーはゼロ知識証明を用いて自らの暗号化取引が検閲要件を満たしていることを証明できるかもしれないが、これにより追加コストと複雑さが生じる。仮にブロックチェーンが強力な抗検閲性を備え、暗号化取引が必然的に含まれるように設計されていても、構築者は既知の平文取引をブロック先頭に配置し、暗号化取引を末尾に押しやる可能性がある。したがって、実行優先度を確保する必要がある取引は、結局のところ構築者に内容を開示せざるを得なくなる。
その他の効率性に関する課題
暗号化メモリプールは、システムオーバーヘッドを複数の明白な方法で増加させる。ユーザーは取引を暗号化する必要があり、システムは何かしらの方法でそれを復号する必要があるため、計算コストが増加し、取引サイズが大きくなる可能性もある。前述のように、メタデータの処理はこれらのオーバーヘッドをさらに悪化させる。しかし、他にもあまり明らかではない効率性のコストがある。金融分野では、価格が利用可能なすべての情報を反映しているとき、市場は効率的であると見なされる。一方、遅延と情報非対称性は市場の非効率を招く。これがまさに暗号化メモリプールがもたらす必然的な結果である。
こうした非効率性は直接的な結果をもたらす:価格の不確実性の増加であり、これは暗号化メモリプールが導入する追加の遅延の直接的な産物である。したがって、価格スリッページ許容値を超えたために失敗する取引が増え、チェーン上のスペースを無駄にする可能性がある。
同様に、この価格の不確実性は、チェーン上裁定取引から利益を得ようとする投機的MEV取引を促進する可能性もある。注目すべきは、暗号化メモリプールがこうした機会をさらに普遍化する可能性がある点である。実行の遅延により、DEXの現在の状態がさらに曖昧になり、市場効率が低下し、異なる取引プラットフォーム間に価格差が生じやすくなるだろう。こうした投機的MEV取引もブロックスペースを無駄にする。なぜなら、裁定機会が見つからなかった場合、それらはしばしば実行を中止するからである。
まとめ
本稿の目的は、暗号化メモリプールが直面する課題を整理し、他の解決策の開発に注力できるようにすることにある。とはいえ、暗号化メモリプールは依然としてMEVガバナンス戦略の一部となる可能性がある。
一つの実現可能なアイデアはハイブリッド設計であり、一部の取引は暗号化メモリプールを通じて「ブラインドソート」され、他の取引は別のソート方式を採用するというものである。特定タイプの取引(例えば大規模な市場参加者の売買注文で、慎重に暗号化またはパディングを行える能力を持ち、MEV回避のために高いコストを支払う意思がある)にとっては、ハイブリッド設計が適している可能性がある。特に敏感な取引(例えば脆弱なスマートコントラクトの修正取引など)に対しても実用的意義がある。
しかし、技術的制約、高い工学的複雑さ、およびパフォーマンスオーバーヘッドのため、暗号化メモリプールは人々が期待する「MEV万能解決策」とはなり得ない可能性が高い。コミュニティはMEVオークション、アプリケーション層防御メカニズム、最終確認時間の短縮など、他の解決策の開発が必要である。MEVは今後しばらくの間、依然として課題であり続け、その否定的影響に対処するためには、さまざまな解決策のバランスを見出す深い研究が求められる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
a16z
