出典:ビットコインマガジン; コンピレーション:ファイブバーツ、ゴールデンファイナンス
Rollupsは最近、BTCの拡張の焦点となり、ライトニングネットワークから注目を集める最初のものとなりました。Rollupsは、ライトニングネットワークの主要な流動性の制約に影響を受けない、オフチェーンの第2層として位置づけられています。つまり、最終ユーザーは事前に資金を割り当てる(または「貸出する」)必要があります。または、中間ルーティングノードは支払いの流れを送信者から受信者に促進するためにチャネルの残高が必要です。
これらのシステムは最初、イーサリアムやその他のチューリング完全なシステムで実行されていましたが、最近はUTXOベースのブロックチェーン(例えばBTC)に移植することに重点が置かれています。この記事では、現在BTC上で実装されている状況についてではなく、BTCで直接ゼロ知識証明(ZKP)を検証する能力をサポートしていない機能に依存する理想的なRollupの機能について議論します。
Rollの基本的なアーキテクチャは次のようになります:1つのアカウント(BTCではUTXOと呼ばれる)が、Rollup内のすべてのユーザーの残高を保持します。このUTXOには、MerkleツリーのMerkleルートとして存在する、Rollup内の現在のすべてのアカウントの残高を約束するコミットメントが含まれています。これらのすべてのアカウントは、公開鍵/秘密鍵ペアを使用して認証されています。したがって、オフチェーンの支出を行うには、ユーザーはまだ秘密鍵でいくつかのコンテンツに署名する必要があります。この構造のこの部分により、ユーザーはいつでも許可なしに離れることができます。単にトランザクションを作成し、そのアカウントがMerkleツリーの一部であることを証明すれば、ユーザーはオペレーターの許可なしにRollupから一方的に退出することができます。
Rollupのオペレーターは、トランザクションにZKPを含める必要があります。これにより、オフチェーンのトランザクションの処理中にオンチェーンアカウント残高のMerkleルートが更新されます。このZKPがない場合、トランザクションは無効になり、ブロックチェーンに含めることはできません。この証明により、オフチェーンアカウントのすべての変更がアカウント所有者の適切な承認を得たものであること、およびオペレーターがユーザーの資金を盗んだり、不正に再配分したりしないように、残高を正直に更新したことが検証できます。
問題は、もしもメルクルツリーのルートのみがオンチェーンに公開され、ユーザーがそれを閲覧およびアクセスできる場合、彼らがいつでも許可なしに退出するために、彼らが枝をツリーに配置する方法はどうなるのかということですか?
適切なRollupでは、新しいオフチェーン取引が確認され、Rollupアカウントの状態が変化するたびに、情報が直接ブロックチェーンに入力されます。全体のツリーではなく、ツリーを再構築するために必要な情報です。簡単な実装では、Rollup内のすべての既存アカウントの要約には残高が含まれ、アカウントはRollupの取引が更新されるたびに追加されます。
より高度な実装では、残高の差分を使用します。これは、更新プロセス中にどのアカウントの資金が増加または減少したかの要約です。これにより、各Rollupの更新には発生したアカウント残高の変更のみが含まれます。その後、ユーザーは単純にチェーンをスキャンし、Rollupの先頭から「計算」を行い、アカウント残高の現在の状態を再構築できます。これにより、現在の残高のMerkle Treeを再構築することができます。
こうすることで、多額の費用とブロックスペース(つまり資金)を節約しつつ、ユーザーが片側退出に必要な情報を保証できるようになります。rollup ルールによると、これらのデータは、正式なrollupに含める必要がありますが、アカウントの要約やアカウントの差分が含まれていない取引は無効と見なされます。
ユーザーのデータ取り出し可能性の問題を処理する別の方法は、データをブロックチェーンの外の別の場所に置くことです。これは微妙な問題を導入し、rollup は依然として他の場所でデータが利用可能であることを強制する必要があります。従来、他のブロックチェーンがこの目的で使用され、rollup などのシステムのデータ可用性レイヤーとして専門に設計されています。
これは同等に強力なセキュリティ保護をもたらし、困難を生じさせます。データがBTCブロックチェーンに直接公開される場合、コンセンサスルールはそれが完全に正しいことを保証します。しかし、外部システムに公開された場合、できることはSPV証明を検証することであり、つまり、データが別のシステムに公開されたことを示すだけです。
これは他のオンチェーンの証明に存在するデータを検証する必要があり、最終的にはオラクルマシンの問題になります。BTCのブロックチェーンは、自身のブロックチェーンで起こる事象以外の完全な検証ができません。BTCのブロックチェーンのブロックは、他のオンチェーンのブロックで発生した事象を完全に検証できないのです。しかし、ZKPは検証することができます。しかし、ZKPは、rollupデータを含むブロックが生成された後に実際に公開されたかどうかを検証することができません。それは外部情報が本当にすべての人に公開されているかどうかを検証できません。
これにより、データの保留攻撃が可能になり、公開データへの約束を作成し、それをロールアップの推進に使用できますが、実際にはデータは利用できません。これにより、ユーザーは資金を引き出すことができません。唯一の真の解決策は、BTC以外のシステムに完全に依存し、価値とインセンティブの構造を持つことです。
これにより、Rollupはジレンマに直面しています。データの可用性に関する問題がある場合、データをBTCブロックチェーンに公開するか、他の場所に公開するかの2つの選択肢が基本的に存在します。この選択は、Rollupのセキュリティと主権、およびスケーラビリティに重大な影響を与えます。
一方面、BTCブロックチェーンをデータ可用性層として使用することで、ロールアップのスケーラビリティに硬い上限が設定されます。ブロックスペースは限られており、これにより、ロールアップの数の上限と、すべてのロールアップがオフチェーンで処理できるトランザクション数の上限が設定されます。ロールアップの更新ごとに、前回の更新以来残高が変化したアカウント数に比例したブロックスペースが必要です。情報理論では、データが一定の程度まで圧縮されることが許されていますが、この点で拡張の余地はありません。
一方、データの可用性を実現するために異なるレイヤーを使用することにより、拡張性の利点の硬い上限を排除する一方で、新たなセキュリティと主権の問題も生じます。データの可用性を実現するためにBTCを使用するRollupでは、ユーザーが抽出する必要のあるデータが自動的にブロックチェーンに公開されない場合、Rollupの状態は変化しません。Validiumsを使用する場合、この保証は外部システムの欺瞞とデータの隠蔽を防ぐ能力に完全に依存します。
現在、外部データ可用性システム上の任意のブロック生産者は、実際にそのブロックをブロードキャストするのではなく、ブロックを生産することでBTCRollupユーザーの資金を乗っ取ることができ、データを利用可能にします。
それでは、もし私たちが本当にBTCで理想的なRollup実装を実現し、一方向のユーザー引き出しを実現した場合、どのようなものになるでしょうか?
