PolygonがOffchain Labsに反論:ZK Rollupこそがイーサリアムのスケーリングの未来だ
原文作者:Brendan Farmer,Polygonエンジニア
原文タイトル:《ZKとイーサリアムスケーリングの未来》
編訳:海尔斯曼,チェーンキャッチャー
先月、Offchain Labsは《なぜOptimistic RollupがZK Rollupよりもイーサリアムのスケーリングの未来を代表するのか?》という記事を発表し、ZK RollupsとOptimistic Rollupの2つのスケーリング技術を比較しました。1月19日、 Polygonのゼロ知識証明エンジニアBrendan FarmerはORコミュニティの記事に応じて、「友好的な議論」を行うことを表明しました。この2つの記事を通じて、私たちはより客観的かつ弁証法的に両者の長所と短所を比較することができます。
Arbitrumは最近、Optimistic Rollups(OR)がイーサリアムの未来を代表すると考える素晴らしい記事を発表しました。なぜなら、ZK Rollups(ZKR)と比較して、Optimistic Rollupsは固有のスケーラビリティとコストの利点を提供するからです。この記事は非常によく書かれており、一読の価値があります。
友好的な議論の精神に則り、私たちは異なる視点を提起したいと思います。PolygonはZKに10億ドルを投資しており、これは私たちがそれがイーサリアムのスケーリングソリューションの中で最も有望な道であると確信していることを示しています。
Optimistic Rollupsには「準備完了」の利点がありますが、ZK拡張ソリューションにも2つの構造的な利点があります:
- ZK Rollupsはオンチェーンとオフチェーンデータモデルを使用して拡張をサポートし、後者はどのRollupよりも高いスループットと低い手数料を提供します。2. ユーザーはイーサリアムとのブリッジを往復する際に遅延がなく、流動性提供者に依存しません。
2021年には、異なるユーザーがセキュリティと取引コストの間で異なるトレードオフを好むことが明らかでした。これはPolygonの急成長の一因でもあります。Optimistic Rollupsはセキュリティを提供しますが、取引手数料はサイドチェーンやalt-L1よりもはるかに高いです。
ZKはユーザーにセキュリティとコストの間で特定のトレードオフを強いることはありません。ユーザーがrollupモードを選択する際、Optimistic rollupに対してZKは同等のセキュリティとより高い資本効率を提供します。データがオフチェーンにある場合、ZKはサイドチェーンやalt-L1よりも高いスケーラビリティとセキュリティを提供し、手数料は同じです。
私たちは、ZKのスケーラビリティ、低コスト、資本効率が、イーサリアムを10億ユーザーに拡張するための最良の選択肢であると信じています。
Rollupsの概要
Rollupsは、取引の実行をオフチェーンに移し、イーサリアムが各取引の有効性を保証することでイーサリアムを拡張する方法です。実際、私たちは資金をスマートコントラクトに預け、集約時にこれらの資金と低コストで相互作用することで、私たちの資金がイーサリアム上で取引するのと同じくらい安全であることを保証します。
これは、rollupがイーサリアムをデータの可用性と取引の検証に使用するため可能です。rollupの最新の状態を復元し、新しい取引を追加するために必要なすべてのデータはイーサリアムに公開され、取引は詐欺または有効性証明によって検証されます。
ORで使用される詐欺防止メカニズムは、資金が争議期間中にロックされることを要求します(現在、ArbitrumとOptimismは1週間ロックされています)。rollupに無効な取引が含まれている場合、誰でも争議期間中に詐欺証明を提出してそれを元に戻すことができます。対照的に、ZK rollupは有効性証明を含み、すべての取引が有効であることを暗号的に保証することで、遅延の必要性を排除します。
ZKの状態
まず、ZK rollupが完全に広まっていないことを認める必要があります。私たちは、汎用スマートコントラクトをサポートするZK rollupが生産に投入されるのを待っていますが、現在使用されている証明システムの効率はまだ低いです。
しかし、未来を見据えると、ZK暗号学は信じられない速さで進化しています。再帰証明は、スケーラブルで分散型のZK rollupの重要な原理であり、 10年前には まだ理論の段階に ありました。2年前、再帰証明の生成には2分かかりました。しかし、今日、Polygon Zeroチームが作成した画期的な証明システムplonky2のおかげで、私たちは証明時間をミリ秒単位で測定できるようになりました。ノートパソコンで再帰証明を生成するのにわずか170msしかかからず、私たちは証明時間とコストが今後も減少し続けると予測しています。
Arbitrumの記事は、証明生成が巨額のコストを生むと主張し、その一部はユーザーが負担することになると述べています。なぜなら、それは数千回の高価な楕円曲線計算を含むため、大規模な並列認識または高価なハードウェアが必要だからです。しかし、plonky2は楕円曲線をまったく使用しておらず、私たちのベンチマークはノートパソコンで実行されています。
実際、rollupコストは主にCALLDATAのコストによって決まります。私たちは、Arbitrumの現在の取引手数料からこれを確認できます。その中でトークン交換コストは約4ドルです。比較として、もし32コアと64GB RAMのc6g.8xlargeインスタンスで交換を証明するのに10分(Polygon Zeroにとっては比較的高い推定)かかると仮定しても、追加のコストはわずか0.18ドルです。
CALLDATAと比較して、これは特に大きなコストではありません。私たちが見るように、これはZKの他の利点によって相殺されます。ゼロ知識技術 は急速に 進化しており、 今や ゼロ知識拡張ソリューションを軽視することは 非常に短視的です。
Validium
異なるユーザーはブロックチェーンのコストとセキュリティの間で異なるトレードオフを行います。数百万の人々がPolygon PoSチェーンを使用して低コストと高スループットを得ていますが、取引の有効性はrollupのように保証されていません。
私たちは、数百万のユーザーが拡張ソリューションに直面したとき、データをオフチェーンに置くことを選ぶことが多いと信じています。Validium(Starkwareが発明した用語)はZK-rollupに似ており、有効性証明をイーサリアムに公開して取引の有効性を保証しますが、データはオフチェーンに保持され、CALLDATAコストを節約します。Validiumには多くの利点があります:
- CALLDATAのブロックサイズの制限を受けないため、rollupの100倍以上のスループットに拡張可能
- コストがはるかに低い
- Validiumが消費するガスがはるかに少ないため、費用の変動性が低く、ユーザーはrollupのブロックスペースに関する入札戦争に巻き込まれません
ZK拡張はL2の設計空間にValidiumを含む空間を開き、OptimismやZK rollupよりも高いスループットを提供し、資金が盗まれない暗号的保証を提供します。
Validiumへの( 完全な )仮想攻撃
ZK懐疑論者は、理論的にはValidiumの検証者がユーザーの資金を直接盗むことはできないが、ユーザーに攻撃を仕掛け、チェーンの最新の状態を保持し、新しい取引の処理を拒否することができることに注意するでしょう。したがって、検証者はユーザーの資金をハイジャックすることができます。しかし、私たちはこの問題が誇張されていると感じています。
まず、「データ押収攻撃」には3分の2の検証者の参加が必要であり、これは大量のステーキング資産がリスクにさらされることを意味します。攻撃はトークン価格を崩壊させ、攻撃者自身のステーキングトークンの価値を低下させ、将来の手数料収入を相殺します。検証者はユーザーの資金を直接盗むことができないため、影響を受けたユーザーの身代金支払いを調整する必要があり、そのため支払いは不確実です。さらに、クジラはrollupモードを維持する可能性があるため、攻撃者は多くのユーザーから身代金を成功裏に引き出す必要があります。実際にこの攻撃が利益を上げる方法を見出すのは難しいです。
さらなるスケーラビリティの利点
Validiumが提供する巨大なスケーラビリティの利点に加えて、ZK rollupはORよりもスケーラブルです。なぜなら、開発者に対してコストを削減するオプションを提供し、セキュリティを犠牲にすることなくCALLDATAの使用を減少させるからです。すべてのrollupは最新の状態を再構築するために必要な最小限のデータを公開する必要がありますが、ORは各取引の検証に必要なすべてのデータをイーサリアムに公開しなければなりません。対照的に、ZKRは各バッチの取引の最小状態増分をイーサリアムに公開し、アカウントの最終状態を復元するために必要な情報のみを公開します。これはAMMプールなどのコントラクトの状態更新を圧縮する上で非常に重要です。
OR支持者の一つの反論は、この圧縮が実際には重要なチェーンデータを隠しており、rollupは各取引の履歴に対する信頼性のない可視性を提供すべきだということです。私はこの議論が重要な観点を無視していると思います。ZKR上の開発者は、少数の必要なアプリケーションのために未圧縮のCALLDATAを公開することを選択できますが、ほとんどのアプリケーションとユーザーは、ZKRのみが提供できる低コストを好むでしょう。
したがって、ZKはオンチェーンとオフチェーンのデータ可用性に対して拡張の利点を提供します。もし私たちがイーサリアムを10億人に届けるつもりなら、ユーザーがコストとセキュリティのトレードオフを行えるようにしなければなりません。
資本効率
ORには1週間の争議期間があり、これはrollupから退出したいユーザーに対して引き出しの遅延を引き起こします。引き出しの遅延については多くの悪評があり、イーサリアムのマイナーや検証者が仮定する1週間の審査攻撃については、もちろん非常に信頼できません。
しかし、引き出しの遅延は確かに資本効率の低下を引き起こします。早期引き出しは実現可能ですが、マーケットメーカーは資本効率の低下を完全に排除することはできません、特に規模において。暗号の変動に直面した場合、1週間は非常に長い時間であり、流動性がORの間で不均衡であれば、流動性提供者は引き出し期間中にロックされた資金を保持するリスクを負う必要があります。流動性提供者は迅速な引き出しのために低コストを提供しようと競争しますが、彼らはユーザーに転嫁しなければならないロックされた資金の巨大な機会コストに直面します。
対照的に、ZK拡張ソリューションは、ユーザーがイーサリアムに証明を公開する際に資金を引き出すことを許可し、流動性提供者の必要性を排除し、資金効率を向上させます。Arbitrumの記事は、ZK rollupsがイーサリアムL1にブリッジする際にのみ利点があると主張していますが、実際にはZK rollupsも他のチェーンで有効性証明を検証し、取引の有効性と迅速な引き出しを保証できます。
ZKの欠点
ZK rollupsは確かにいくつかの欠点に直面しています。Polygon Hermezチームは完全なzkEVM rollupにおいて目覚ましい進展を遂げており、EVMバイトコードの実行は有効性証明を通じて直接検証できます。他にSolidityをZKフレンドリーなバイトコードにコンパイルすることに焦点を当てたチーム(例えば、Polygon ZeroやPolygon Miden、StarkWare、zkSyncのチーム)は、既存のイーサリアム開発者ツールを使用する際に課題に直面する可能性があります。
しかし、実際には、ほとんどのSolidityコードの動作は同じであるべきです。なぜなら、私たちがEVMからZKバイトコードに移行する際に行う修正は機能に影響を与えず、主にKeccak-256のような算術回路で計算コストが高い原理を算術回路フレンドリーな原理に置き換えることに関係しているからです。
最終的に、ゼロ知識拡張が提供する構造的な利点は、開発者ツールを改善し調整するための十分なインセンティブを提供するはずです。ZK L2にデプロイすることがより容易になります。
結論
要するに、私たちはゼロ知識拡張がイーサリアムの未来であると信じています。Optimistic rollupsは素晴らしい技術であり、イーサリアムが抱える高いガス料金に対する直接的な解決策を提供します。しかし、Optimistic rollupsはユーザーに特定のトレードオフを強いることになります。すなわち、セキュリティはより高い費用と資本効率の低下を代償にするということです。
対照的に、ZKは より多くの 異なるタイプのユーザーを受け入れることができ、 rollupモードで取引を行うユーザー、 費用に敏感でないクジラ、 または検証モードで低コストの取引を行うユーザーを含みます。ZKはイーサリアムを10億ユーザーに届けるための最良の方法を提供します。
さらに、ZKはスケーラビリティと資本効率以外の利点も持っています。ORはL1上の可能性に制限されており、詐欺証明はイーサリアム上で実行できる必要があります。ZKにはこの制限がなく、異なる署名スキーム(Apple Secure Enclaveで使用されるP-256曲線を思い出せますか?)やL1がサポートしていない原理を使用できます。ユーザーはL2上でプライベートにバルク取引を行い、より低コストでL1の流動性を得ることができます。これはAztecが開創した方法です。