Web3時代のZKP、どのように主流に向かうのか？

原文タイトル：《ZKPs in Web3: Now and the Future》

執筆：Mohamed Fouda、Qiao Wang

編訳：Frank，Foresight News

ゼロ知識技術（ZK）は、Web3を変えるだけでなく、他の業界にも影響を与える技術の推進力です。

十分に汎用的な技術として、ZKは多くのユースケースを持つ可能性があり、私たちはこの技術が実現できるすべてのユースケースを明らかにする初期段階にいます。いくつかの明白なZKユースケースは、取引のプライバシーやデータ圧縮（つまり、Rollup）の実現など、実際のアプリケーションを見つけていますが、ZKが主流に採用されるためには、さらなる潜在的なユースケースや技術の進歩を発掘する必要があります。

この記事では、まずZKPのさまざまなアプリケーションを振り返り、その後、この技術の次の段階を実現するために何ができるか、そしてこの技術から利益を得ることができるいくつかのスタートアップアイデアについて議論します。

ZKPのアプリケーションマップ

ゼロ知識証明（ZKP）は、発明以来、暗号業界で確固たる地位を築いています。

ZKPには、この技術を非常に魅力的にするいくつかの魔法のような特性があります------それは実体が世界の他の場所に対して、ある情報を知っていることやタスクを正しく完了したことを証明することを許可しますが、その情報を開示したり、タスクの詳細な実行情報を示したりする必要はありません。

ZKの数学的な魔法は、生成されたZKPをチェックすることで、その知識やタスクが実行されたことを信頼することを可能にします。この理由から、ZKPの最初で最も一貫したユースケースは、プライバシー中心の暗号ネットワークです。ZKPは、Ethereum L1上でL2取引の有効性証明を提供するためにも使用され、ZK Rollupの概念を導入しています。さらに、ZKPはさまざまなプロジェクトで他のニッチなアプリケーションにも広く利用されています。

プライバシー重視の支払いとプロトコル

ZKPは自然にプライバシー機能を実現します。特に分散型ネットワークでは、真実の源として機能する中央集権的な権威が欠如しているため------ZKPはWeb3ユーザー（証明者）がネットワークの検証者に対して、取引が有効であること、つまり支出可能な十分な残高があることを証明することを許可しますが、取引の詳細（取引額、送信者または受信者のアドレスなど）を開示する必要はありません。

ZKPは、最初にZcashネットワークの隠れた支払い（つまり、プライベート支払い）をサポートするために開発され、その後、以下のような他のネットワークに拡張されました：

• プライバシー重視のL1：Zcash、Horizon、Aleo、Iron Fish；
• 一般的なチェーン上のプライバシー向けスマートコントラクト：Tornado Cash；
• プライバシー重視のL2：Aztec；

ZK Rollupsの検証

ZKPのもう一つの主要なユースケースは、基盤となるL1上でRollupの有効性証明を生成することです。汎用Rollupは、ZKPのプライバシー機能を利用せずにスループットを最適化します。つまり、より多くの取引（TX）を証明します。このトレードオフでは、ZKPはL2取引の実行の正確性を証明するためだけに使用されます。

いくつかの汎用関数は効果的に証明できないため、任意のスマートコントラクトの正しい実行を証明するためにZKPを生成することは非常に困難です。この問題を解決するには、基盤となるZK回路を使用して効果的に検証できる専用の仮想マシン（VM）を実装する必要があります。この複雑さのために、ZK Rollupは最初は支払いまたは単一のアプリケーションのみをサポートしていました。たとえば、ZKPを簡単に生成できるDEXなどです。

ここでの例には、zkSync 1.0やLoopringが含まれ、その後、汎用のzkEVM実装が市場に登場しました。これにはStarknet、zkSync 2.0、Polygon zkEVM、Scrollが含まれます。現在、すべてのZK RollupはEthereum上にありますが、実際にはビットコインを含む他のチェーンでもZK Rollupを実装できます。

ただし、ビットコインRollupの実装には、ビットコインのオペコードを変更し、チェーンのハードフォークを行う必要があり、これは通常ビットコインコミュニティに歓迎されません。

その他のZKPアプリケーション

プライバシー重視のアプリケーションやRollupの他に、ZKPは他のブロックチェーンプロトコルにおいてもより広範な応用が行われています。

Mina

MinaはZKPを使用してブロックチェーンの状態を非常に小さなサイズ（約22KB）に圧縮します。このために、Minaは再帰的ZKP、つまり他のZKPのZKPを使用します。

Minaネットワークでブロックが生成されるとき、zk-SNARKsが使用されてそのブロックの証明を生成し、その有効性を確保します。新しいブロックが以前のブロックを参照するとき、新しいブロックのZKPはすべての以前のブロックを検証しながら、サイズを一定に保ちます。

Filecoin

FilecoinはZKPを使用して、ストレージプロバイダーが主張するデータを正しく保存していることを確保します。このプロセスは、複製証明（PoReb）と呼ばれます。

このプロセスでは、ストレージプロバイダーがZKPを生成して、他のストレージプロバイダーによって維持されていない唯一のデータのコピーを保存していることを証明します。ZKPは、一定の冗長性と可用性レベルを実現したいFilecoinユーザーに保証を提供します。さらに、証明のサイズが保存されているデータよりもはるかに小さいため、ZKPを使用することでストレージプロバイダーの帯域幅要件を削減できます。

Celo Plumo

Celo PlumoはZKPを使用して、携帯電話や他のリソースが限られたデバイスで使用できる超軽量ネットワーククライアントを作成します。クライアントは軽量性を持ちながら、状態へのアクセスの正確性を保証できます。

Dark Forest

Dark Forestは、ゲーム分野におけるZKPの最も人気のあるアプリケーションです。ZKPの使用はプライバシーユースケースに合致していますが、Dark Forestは支払いネットワークの金融アプリケーションの枠を超えて、完全な情報がないゲームのアプリケーションを作成するためにそれを使用しています。したがって、これは異なるユースケースです。

ZKPの発展の軌跡とその応用

2016年以前、ZKPは研究課題として、少数の学術的なサークルでのみ議論されていました。Zcashの創設チームが、Zcashネットワークのシールド/プライベート取引をサポートするために最初のZKPバリアント（zk-SNARK）を作成したとき、すべてが変わり始めました。

実際のユースケースが生まれると、ZKPへの関心が高まり、これがさらに優れたZKPバリアントの開発につながり、第一章で議論された多くのプロジェクトの基盤となりました。しかし、この技術は主流に採用されるためにさらなるZKPの開発が必要です。

技術をさらに改善する方法を理解するために、人工知能（AI）などの類似技術から学ぶことができます。なぜなら、ZKP技術は多くの点でAI技術に似ているため、同様の軌跡をたどると予想されるからです。

ZKPと同様に、AIは当初、多くの問題を解決する有望な技術でした。しかし、初期のAIアルゴリズムは機能的に制限されており、計算の複雑さは利用可能なハードウェアの能力をはるかに超えていたため、AIアプリケーションの進展は遅く、非現実的でした。そのため、主に研究室に制限されていました。

その後、深層神経ネットワーク（DNN）などの新しいアーキテクチャの発明や、GPUを利用して実行速度を向上させることで、AIは徐々に改善を実現し、最終的には2012年のAlexNetが最も有名なコンピュータビジョンコンペティションImageNetで圧倒的な優位性を持って勝利しました。AlexNetはAI時代の始まりであり、GPT-3、Dall.E 2、Stable Diffusionなどの現在のエキサイティングなAIアプリケーションを生み出しました。

今日のZKPの状態は、初期のAIの状態に似ています。これは有望な技術であり、現在も積極的に開発中であり、計算集約的な特性のために証明時間が長くなっています。AIの進歩の軌跡から学ぶことで、ZKP技術が飛躍するために解決すべきボトルネックを特定できます。

1. アルゴリズム/回路の改善

AIがLeNet-5からAlexNet、Resnet-50からTransformerへと進化したように、ZKPアルゴリズムも開発段階を経て性能を大幅に向上させるでしょう。この分野での進展はすでに見られます。2011年にzk-SNARKsが導入されて以来、業界はより高度なアルゴリズムを開発してきました。

たとえば、2018年にStarkwareの創設者が開発したSTARKは、信頼できる設定を必要とせず、証明生成時間が短いZKP手法です。この技術は、StarkwareのStarkNetを含むいくつかの製品の基盤となっています。

2019年にPLONKが導入されると、ZKPはさらに進展しました------PLONKはSNARKの実装であり、多くのアプリケーションが単一の信頼できる設定を使用できるようにします。PLONKはさまざまなZKP実装の開発を刺激し、Aztec、Mina、Celoなどの複数のWeb3プロトコルで使用されています。

2. 実行エンジンの最適化

ZKPの主要な制限の一つは、計算の複雑さが長い証明時間を引き起こすことです。たとえば、最近発表されたPolygon zkEVMでは、約50万Gas計算の証明を生成するために64コアのサーバーで約5分間実行する必要があります。

ZKPの検証時間を短縮することは、ZKP技術を主流に取り入れるための重要な部分です。AIと同様に、ソフトウェア実行エンジンの最適化と専用ハードウェアの使用は、この目標を達成するために必要です。

最適化されたソフトウェア

多くのZKP生成操作は大規模に並列化されており、並列処理（たとえばGPU）がZKP計算を加速できます。専用のGPUライブラリ（CUDAなど）は、Nvidia GPU上でのZKP計算を加速するために使用できます。各プロジェクトは異なるZKPアルゴリズムを使用しているため、いくつかのプロジェクトが内部での開発を試みています。

注目すべき例は、FilecoinがGroth16アルゴリズムを実装し、GPUを使用して証明プロセスを加速したことです。もう一つの例は、EdgeswapがGPUを使用してPLONKの検証時間を75%短縮したことです。

専用ハードウェア

GPUによるZKP検証時間の改善は通常限られているため、もう一つの選択肢はFPGAやASICなどの専用ハードウェアを使用することです。

専用チップ（ASIC）の製造における高コストな努力の前に、FPGAは通常ハードウェアプロトタイピングプラットフォームと見なされます。FPGAやGPUとFPGAの組み合わせたハイブリッドソリューションは、中短期的にZKPをRollupやプライバシー重視のネットワークに適用するための加速を提供できます。

しかし、ZKP技術が私たちが期待するレベルに発展すれば、ASICが最終的にこの市場を獲得するでしょう。現在、ZKPのハードウェア加速は十分に解決されていない可能性があります。これはZKPアルゴリズムの多様性と断片化によるものですが、私たちは適切なビジネスモデルを通じて、一部のスタートアップがこの技術スタックの開発と収益化に集中できると信じています。

3. ソフトウェア抽象層

ZKPの潜在能力を引き出すためには、複数の抽象層とツールを構築する必要があります。これらの抽象は、ZKPアプリケーションの開発プロセスを簡素化するために必要です------各開発者グループが最も得意とすることに集中できるようにします。たとえば、アプリケーション開発者はZK回路の基盤となる詳細やそれらの動作方法を心配する必要はありません。

再びAIの類比を使用すると、複数の抽象層を作成することで、AIは大きな進歩を遂げることができます。これらの抽象を使用することで、AIアプリケーション開発者はNNアーキテクチャやハードウェアリソースの割り当てを心配する必要がなく、TensorFlowやPyTorchなどのフレームワークがすべての基盤となる詳細を抽象化しています。

ZK開発スタックはAIスタックほど洗練されていませんが、これらの抽象層を構築するための努力がいくつかあります：スタックの底部にはPLONKやSTARKなどの低レベルのZKPライブラリが存在し、その上の層にはNoirのような高級言語があり、基盤となるZK暗号を抽象化し、アプリケーション開発者がアプリケーションロジックに集中できるようにします。Circomは、複雑なZKバックエンドを作成するためにも、ZKPベースのアプリケーションを開発するためにも使用できる人気のあるZKP言語です。

Web3におけるZKP抽象のもう一つの例は、StarkWareのCairo言語で、開発者が基盤でSTARK証明を使用した汎用スマートコントラクトを実現できるようにします。さらなる抽象を提供するために、NethermindのWarpツールは、Solidity開発者がSolidityコードを直接Cairoに変換できるようにします。

たとえば、Warpを使用すると、Uniswap V3のコードをCairoに翻訳でき、元のSolidityコードに最小限の変更を加えるだけで済みます。

ZKPのスタートアップ機会

ZKPの可能な発展経路に基づいて、私たちはZKPに関連するいくつかのスタートアップアイデアを特定しました。主なアイデアは、ツールとアプリケーションの2つのカテゴリに分かれています。

ZKPツール

1. 高度な開発フレームワーク

AIのTensorflowやPyTorchに似て、高度なZKP開発フレームワークはアプリケーションレベルでの革新を実現するために重要です。これらのフレームワークは以下を必要とします：

• 基盤となるZKPバックエンドの複雑さを抽象化する；
• 様々なZKPバックエンドやハードウェア環境（CPUやGPUなど）をサポートする；
• 効率的なデバッグとテストを可能にする；
• サンプルやチュートリアルを含む豊富な開発環境を提供する；

Ethereumエコシステムで最も近い例はHardhatやFoundryですが、これらはすぐにzkEVMやZKPをサポートする可能性は低く、むしろCairoのような既存の抽象作業が最終的にこの空間を埋める可能性があります。

2. ZK Rollup SDK

ZK Rollupはますます人気が高まっており、ゲームや高スループットDeFiプロトコルの特定のアプリケーション向けL2を有効にすることができます。この場合、ZK Rollupは主に実行と決済を担当し、コンセンサスとデータの可用性はL1によって処理されます。

しかし、特定のアプリケーション向けのZK Rollupを立ち上げることは非常に複雑であり、私たちは開発者に優しいSDKを提供してカスタムZK Rollupを立ち上げるスタートアップが、実際のビジネスニーズを解決し、開発ツールキット、開発者サービス、ソーティングサービス、サポートインフラを提供することで価値のあるビジネスになると信じています。

3. ZKPハードウェアアクセラレーター

特定のユースケースをターゲットにし、初期市場でのリーダーシップを確立する専門ハードウェア企業は、最終的に大きな価値を持つ企業になります。人工知能がその一例です------NvidiaはAIハードウェアに焦点を当てることで、北米で最も価値のある半導体企業となりました。

ビットコインマイニングの分野でも同様です。当時、Bitmain、Canaan、WhatsminerはASICマイニング機器に焦点を当ててユニコーンとなり、効率的なZKPハードウェアアクセラレーターの設計と製造を行う企業も同様の軌跡をたどるでしょう。

ZKP Web3アプリケーション

1. ZKクロスチェーンブリッジと相互運用性

ZKPは、クロスチェーンメッセージングプロトコルの有効性証明を作成するために使用できます。クロスチェーンメッセージは、ターゲットチェーン上で迅速に検証できるようになります。これは、基盤となるL1でZK Rollupを検証する方法に似ています。しかし、クロスチェーンメッセージングの場合、検証する署名スキームや暗号関数がソースチェーンとターゲットチェーンで異なる可能性があるため、複雑さが増します。

2. ZKオンチェーンゲームエンジン

Dark Forestは、ZKPが情報が不完全なオンチェーンゲームを可能にすることを証明しました。これは、プレイヤーの行動が公開される前に秘密にされるインタラクティブなゲームを設計するために重要です。オンチェーンゲームが成熟するにつれて、ZKPはゲーム実行エンジンの一部になると予想されるため、高スループットのオンチェーンゲームエンジンにプライバシー機能を統合するスタートアップには大きな機会があります。

3. アイデンティティソリューション

ZKPはアイデンティティ分野で新しい機会を創出できます。たとえば、評判を作成するためやWeb2とWeb3のアイデンティティを接続するために使用されます。現在、私たちのWeb2とWeb3のアイデンティティは分かれており、Cliqueのようなプロジェクトはこれらのアイデンティティをオラクルを使用して接続します。

ZKPは、Web2とWeb3のアイデンティティの匿名リンクを有効にすることで、このアプローチをさらに採用できます。たとえば、Web2またはWeb3の特定の分野の専門知識を持つ人々に、匿名DAOメンバーシップなどのシナリオを提供できます。別のユースケースは、借り手のWeb2の社会的地位（たとえば、Twitterのフォロワー数）に基づいて、無担保のWeb3ローンを提供することです。

4. 規制要件を満たすZKP

Web3は、匿名のオンラインアカウントが金融システムに積極的に参加できるようにします。この意味で、Web3は大きな財務的自由と包摂性を実現しました。Web3の規制が増える中、ZKPは匿名性を損なうことなくコンプライアンスを実現できます。たとえば、ZKPはユーザーが制裁対象国の市民または居住者でないことを証明するために使用され、ZKPは適格投資家の身分やその他のKYC/AML要件を証明するためにも使用できます。

5. ネイティブWeb3プライベートデットファイナンス

TradeFiのデットファイナンスは、成長中のスタートアップが成長を加速させたり、新しいビジネスラインを立ち上げたりするために、追加のリスク資本を調達することなく使用されます。

Web3 DAOや匿名企業の台頭は、Web3ネイティブのデットファイナンスの機会を創出しました。たとえば、ZKPを使用して、DAOや匿名企業は成長指標の証明に基づいて競争力のある金利で無担保ローンを取得できます。貸し手に借り手の情報を開示する必要はありません。

6. プライベートDeFi

金融機関は通常、取引履歴やリスクエクスポージャーを秘密にしますが、ブロックチェーン分析の進展により、オンチェーン製品（つまりDeFiプロトコル）を使用する際にこれを満たすことは非常に困難です。考えられる解決策の一つは、プロトコル参加者のプライバシーを保護するプライバシー重視のDeFi製品を開発することです。

たとえば、PenumbraのzkSwapや、Aztecのzk.moneyは、ユーザーが参加するDeFiプロトコルの操作を曖昧にすることで、いくつかのプライベートDeFiの収益機会を提供します。

一般的に、効率的でプライバシー重視のDeFi製品を成功裏に実装したプロトコルは、機関投資家からかなりのユーザー数と収益を得ることができます。

7. ZKPベースのWeb3広告

Web3は、ユーザーが自分のデータ（たとえば、ブラウジング履歴やプライベートウォレットの活動など）を所有することを促進します。Web3は、これらのデータをユーザーの利益のために貨幣化することも可能にします。データの貨幣化はプライバシーと矛盾する可能性があるため、ZKPは個人データのどの側面が広告主やデータ集約者に開示されるかを制御する上で重要な役割を果たすことができます。

8. プライベートデータの共有と貨幣化

正しい実体と共有することで、私たちのプライベートデータの大部分は大きな影響を与える可能性があります。たとえば、個人の健康データはクラウドソーシングされ、新薬の開発を支援することができます。プライベートな財務記録は、腐敗を特定し罰するために規制当局と共有されることがあります。ZKPは、このようなデータのプライベートな共有と貨幣化を実現できます。

9. 分散型情報組織

ZKPは分散型の情報組織を生み出す可能性があります。これらのシステムでは、情報提供者、データ探偵、スパイがネットワークの一部となり、相互に交流したり理解したりすることなく参加できます。参加者は、プライベートな支払いを受け取る前に、ZKPを使用して特定の情報データに関する理解を証明できます。このようなシステムは、収集されたデータを豊かにしたり解釈したりするための協力的で組み合わせ可能な方法を促進しつつ、参加者のプライバシーを保持できます。

10. プライベートガバナンス

DAOやオンチェーンガバナンスの急増に伴い、Web3は直接参加型の民主主義に向かっています。現在のガバナンスモデルの主要な欠陥の一つは、参加の非プライバシー性です。ZKPはこの問題を解決するための基盤となる可能性があります。ガバナンス参加者は、どのように投票したかを開示することなく投票できます。さらに、ZKPはガバナンス提案の可視性をDAOメンバーに制限することができ、DAOが競争優位を築くことを可能にします。

結論

ZKP技術はWeb3分野で最も革新的な技術の一つであり、画期的なプロトコルや企業に多くの機会を提供します。