「偽の」分散型クロスチェーンプロトコルを構築するにはどうすればよいですか？

著者：康水跃、Fox TechとWay Networkの創設者、丹陽投資の会長

Adam Back（ビットコインコア開発チームのリーダー、BlockStreamのCEO）の言葉が印象に残っています。「偉大なデザインは非常にシンプルに見えるが、そのデザインプロセスは非常に複雑である。」しかし、シンプルに見えるすべての製品デザインが偉大であるとは限りません。例えばLayerZeroのように。

クロスチェーンプロトコルは問題が起こるまでは安全だと思われていましたが、問題が発生すると驚くべき事態になります。過去2年間に各チェーンで発生したセキュリティ事件による損失額を見ると、クロスチェーンプロトコルに関連するセキュリティ事件による損失が最も多いです。クロスチェーンプロトコルのセキュリティ問題を解決する重要性と緊急性は、イーサリアムのスケーリングソリューションを上回ります。クロスチェーンプロトコル間の相互運用性は、Web3がネットワークとしてつながるための内在的な要求です。この種のプロトコルはしばしば巨額の資金調達を行い、TVLや取引数も需要の推進により増加しています。しかし、大衆の識別度が低いため、これらのクロスチェーンプロトコルのセキュリティレベルを識別することができません。

まず、製品設計のアーキテクチャを見てみましょう。Chain AとChain Bの間の通信プロセスはRelayerによって実行され、OracleがRelayerを監視します。まず、このアーキテクチャの利点は、従来のChain AとChain Bの間の通信が第三のチェーン（一般的にはこのチェーンにdAppが展開されていない）によって合意アルゴリズムと数十のノードの検証を行う必要がなくなるため、エンドユーザーに「迅速なクロスチェーン」のユーザー体験を提供できることです。アーキテクチャが軽量で、コード量が少なく、Oracleには既存のChainlinkがあるため、この種のプロジェクトは簡単に立ち上げられますが、模倣されやすく、技術的なハードルはゼロと言えます。

図1: 偽の分散型クロスチェーンプロトコルの基本版

上記のアーキテクチャには少なくとも2つの問題があります：

1. LayerZeroは数十のノードの検証を単一のOracleの検証に縮小しているため、安全性は大幅に低下します。
2. 単一の検証に簡略化されると、RelayerとOracleが独立していると仮定しなければならず、この信頼の仮定は永遠に成立することは不可能であり、Crypto Nativeではなく、根本的に二者が共謀して悪事を働かないことを保証することはできません。

これがLayerZeroが採用している基本的なモデルです。独立したセキュリティタイプの「超軽量」クロスチェーンソリューションとして、メッセージの転送のみを担当し、アプリケーションのセキュリティには責任を負わず、責任を持つ能力もありません。

では、Relayerを解放して誰でもリレイアーを運営できるようにすれば、上記の問題は解決できるのでしょうか？図2は図1の数を増やしたものです。まず、Decentralizedは運営者の数が増えることを指すのではなく、誰でも接続できることを指します。それはPermissionlessと呼ばれます。需要側は常にPermissionlessであり、供給側もPermissionlessにすることは画期的な変革ではなく、市場側の変化であり、製品自体の安全性とはあまり強い関係がありません。LayerZeroのRelayerは情報を転送する仲介者に過ぎず、本質的にはOracleと同じで、Trusted Third Partyです。信頼主体を1から30に増やすことでクロスチェーンの安全性を高めようとする試みは無駄であり、製品特性を変えることなく、新たな問題を伴うことになります。

図2: 偽の分散型クロスチェーンプロトコルの上級版

もしクロスチェーントークンプロジェクトが設定を変更できるLayerZeroノードを許可するなら、攻撃者が自分の「Layerzero」ノードに置き換える可能性があり、任意のメッセージを偽造することができます。結果として、Layerzeroを使用しているプロジェクトは依然として巨大なセキュリティ問題に直面し、この問題はより複雑なシナリオではさらに深刻になります。巨大なシステムの中で、1つの要素が置き換えられるだけで連鎖反応を引き起こす可能性があります。LayerZero自体はこの問題を解決する能力を持っておらず、実際にセキュリティ事故が発生した場合、LayerZeroは自然に外部アプリケーションに責任を転嫁します。エンドユーザーはLayerZeroを使用する各プロジェクトの安全性を慎重に判断する必要があるため、「ユーザー指向」のプロジェクトは、同じエコシステムに属する悪意のあるアプリケーションに汚染されないようにLayerZeroへの接続を慎重に行います。これにより、エコシステムの構築が難しくなります。

Layer0がLayer1やLayer2のように安全性を共有できない場合、そのLayer0はインフラストラクチャとは呼べません。なぜなら、インフラストラクチャが「基盤」と呼ばれるのは、安全性を共有できるからです。あるプロジェクトが自らをインフラストラクチャと称するなら、他のインフラストラクチャと同様に、自らのすべてのエコシステムプロジェクトに一貫した安全性を提供すべきです。つまり、すべてのエコシステムプロジェクトがそのインフラストラクチャの安全性を共有する必要があります。したがって、正確に言えば、LayerZeroはインフラストラクチャInfrastructureではなく、ミドルウェアMiddlewareです。このミドルウェアSDK/APIに接続するアプリケーション開発者は、確かに自分たちの安全戦略を自由に定義できます。

L2BEATチームは2023年1月5日にLayer Zeroを回避する: 孤立したセキュリティはセキュリティではないという記事を発表し、アプリケーション所有者（または秘密鍵を持つ人）が悪事を働かないという仮定は正しくないと指摘しました。悪人BobはLayerZeroの設定へのアクセス権を得ました。悪人Bobはオラクルとリレイアーをデフォルトのコンポーネントから彼が制御するコンポーネントに変更し、イーサリアム上でLayerZeroメカニズムを使用するスマートコントラクトを説得して、善人Aliceのイーサリアム上のトークンをすべて引き出させることができます。原文リンク：Nomadチームは2023年1月31日に記事を発表し、LayerZeroリレイアーには2つの重要な脆弱性が存在し、現在は2者のマルチシグ状態にあるため、これらの脆弱性は内部の人間または既知の身元のチームメンバーによってのみ利用されることができると指摘しました。最初の脆弱性は、LayerZeroのマルチシグから詐欺的なメッセージを送信することを許可し、2番目の脆弱性は、オラクルとマルチシグがメッセージやトランザクションに署名した後にメッセージを変更することを許可し、すべてのユーザーの資金が盗まれる可能性があります。

華やかな表面に惑わされているときは、原点に立ち返ってみてください。

2008年10月31日、ビットコインのホワイトペーパーが発表されました。2009年1月3日、BTCの創世ブロックが誕生しました。《ビットコイン：ピアツーピア電子通貨システム》ホワイトペーパーの要約は以下の通りです：

Abstract. A purely peer-to-peer version of electronic cash would allow online payments to be sent directly from one party to another without going through a financial institution. Digital signatures provide part of the solution, but the main benefits are lost if a trusted third party is still required to prevent double-spending. We propose a solution to the double-spending problem using a peer-to-peer network. The network timestamps transactions by hashing them into an ongoing chain of hash-based proof-of-work, forming a record that cannot be changed without redoing the proof-of-work. The longest chain not only serves as proof of the sequence of events witnessed, but proof that it came from the largest pool of CPU power. As long as a majority of CPU power is controlled by nodes that are not cooperating to attack the network, they'll generate the longest chain and outpace attackers. The network itself requires minimal structure. Messages are broadcast on a best effort basis, and nodes can leave and rejoin the network at will, accepting the longest proof-of-work chain as proof of what happened while they were gone.

要約の日本語訳は以下の通りです：

完全なピアツーピア電子通貨は、オンラインでの支払いを金融機関を介さずに一方から他方に直接送信できるようにすべきです。デジタル署名は部分的な解決策を提供しますが、依然として信頼できる第三者が二重支払いを防ぐ必要がある場合、電子通貨の主要な利点は失われます。私たちは、ピアツーピアネットワークを使用して二重支払い問題を解決する提案をします。このネットワークは、取引を「ハッシュ」して、継続的に増加するハッシュベースのプルーフ・オブ・ワークチェーンにタイムスタンプを付け、作業証明を再実行しない限り変更できない記録を形成します。最も長いチェーンは、目撃されたイベントのシーケンスの証拠であるだけでなく、それが最大のCPUパワープールから生成された証拠でもあります。CPUパワーの過半数がネットワークを攻撃するために協力しないノードによって制御されている限り、これらのノードは最も長いチェーンを生成し、攻撃者を上回ります。このネットワーク自体は最小限の構造を必要とします。メッセージは最善の努力に基づいてブロードキャストされ、ノードは自由にネットワークを離れたり再参加したりでき、最も長いプルーフ・オブ・ワークチェーンを彼らが離れている間に起こったことの証拠として受け入れます。

人々はこの後世に重要な論文、特にこの要約から後に広く認識される「中本聡コンセンサス」を抽出しました。その核心的な特徴は、A Trusted Third Partyの存在を排除し、信頼のないTrustless、分散型Decentralizedを実現することです。ここでの「中心」とはA Trusted Third Partyを指します。クロスチェーン通信プロトコルは本質的にビットコインと同じで、Peer to Peerのシステムであり、一方がChain Aから直接Chain Bの他方に送信され、いかなるtrusted partyを介することもありません。

DecentralizedとTrustlessの特性を持つ「中本聡コンセンサス」は、後のすべてのインフラストラクチャを構築する開発者が共通して追求する目標となりました。言い換えれば、「中本聡コンセンサス」を満たさないクロスチェーンプロトコルは、偽の分散型クロスチェーンプロトコルであり、自らの製品特性をDecentralizedやTrustlessという高級な言葉で表現することはできません。LayerZeroは自らをOmnichain communication, interoperability, decentralized infrastructureと紹介しています。LayerZeroは、チェーン間での軽量メッセージパッシングのために設計されたオムニチェーン相互運用プロトコルです。LayerZeroは、構成可能な信頼性のないメッセージ配信を提供します。

実際、LayerZeroはRelayerとOracleの2つの役割が共謀して悪事を働かないことを要求し、さらにユーザーがLayerZeroを使用してアプリケーションを構築する開発者を信頼できる第三者として信頼することを要求しています。また、「マルチシグ」に参加する信頼主体は事前に設定された特権的な役割です。同時に、クロスチェーンプロセス全体で詐欺の証明や有効性の証明が生成されず、これらの証明をブロックチェーンに記録して検証することもありません。したがって、LayerZeroは「中本聡コンセンサス」を満たさず、全くDecentralizedでもTrustlessでもありません。

L2BEATチームやNomadチームが問題発見者の視点から善意の文章を発表した後、LayerZeroの反応は「否定」から「否定」へと続きました。ビットコイン以前にも多くの電子通貨が存在しましたが、すべて失敗しました。なぜなら、彼らは分散化、攻撃耐性、内在的価値を持つ目標を達成できなかったからです。クロスチェーンプロトコルも同様で、たとえ資金調達が多く、トラフィックが大きく、「血統が純粋」であっても、製品がReal Decentralized Securityを実現できなければ、高い確率で攻撃耐性が不足して終了することになります。

かつてLayerZeroと高度に一致すべき立場の友人が私に質問しました。「もしLayerZeroがWay Networkのようにゼロ知識証明を使用してクロスチェーンプロトコルをアップグレードしたい場合、難易度は高いですか？どんな障害がありますか？」これは興味深い質問であり、問題の核心は彼らが自分たちに問題がないと考えていることです。

真の分散型クロスチェーンプロトコルを構築する方法については、私の過去の記事《なぜゼロ知識証明を使用してクロスチェーンプロトコルを開発する必要があるのか？》を参考にしてください。