Multichainの崩壊は、クロスチェーンブリッジの転換の契機となるかもしれません。

執筆：MiddleX

Multichainの事件の進展は依然として不明瞭で、真実は完全には明らかになっていません。確かなことは、Multichainに流動性を提供しているLPたち、そしてMultichainが発行したマッピング資産anyTokenを保有しているユーザーが、恐らく被害を受けるということです。今回影響を受ける資産の額があまりにも大きいため、誰かが責任を取るのかどうかは不明です。

7月6日、MPCの管理アドレスから1.26億ドル以上の資産が人為的に転出されました。契約監査チームBeosinの分析によれば、資金の転出は完全に人為的な操作であり、契約の脆弱性とは無関係であることが示されています。これは、MultichainのMPC管理アドレスの秘密鍵が外部の力によって掌握されていることを証明しています。

7月14日にMultichainが発表した公式声明では、Multichainの創設者であるzhaojunが5月21日に警察に連行されたことが明確に発表されました。しかし驚くべきことに、声明にはMultichainの24のMPCノードの秘密鍵がすべてZhaojunによって掌握されており、すべてのノードサービスが完全に彼の個人サーバーで運営されていると記載されています！WTF!!!

現在、事件の進展は依然として不明瞭で、真実は完全には明らかになっていません。確かなことは、Multichainに流動性を提供しているLPたち、そしてMultichainが発行したマッピング資産anyTokenを保有しているユーザーが、恐らく被害を受けるということです。マルチシグブリッジの中央集権的リスクは、まるで肥えた灰色のサイのようで、そこに存在しているのが誰にでも見えるのに、みんなが選択的に無視しています。重要なのは、このサイが数百億ドルの巨額資産を背負っていることです！

現在、市場に出回っているTVLが高いクロスチェーンブリッジはほぼすべてマルチシグブリッジです。Multichainの前には、Axie Infinityの公式ブリッジRonin BridgeやHarmony Chainの公式ブリッジHorizen Bridgeが秘密鍵の漏洩により問題を起こし、それぞれ6.2億ドルと近く1億ドルの損失を出した事件がありました。

マルチシグブリッジはなぜ信頼できないのか？

一般的に、クロスチェーンブリッジは3種類に分けられます。軽クライアント型（ネイティブ検証）、ウィットネス型（外部検証）、ハッシュ時間ロックに基づく原子取引型（ローカル検証）です。

その中で、ハッシュ時間ロックに基づく原子取引は、ユーザー体験が悪いため（ユーザーが2回以上の操作を行う必要がある）、また任意のメッセージ伝達をサポートできないため、ほとんど採用されていません。軽クライアント型クロスチェーンブリッジは、実装が相対的に難しく、新しいチェーンとの互換性コストが高いため、現在は少数のチェーンをサポートする専用ブリッジにのみ適用されています。ウィットネス型クロスチェーンブリッジは、開発実装が比較的簡単で、多チェーン適応が容易であり、性能も良好（速度が速く、コストが低い）であるため、大多数のプロジェクトの選択肢となっています。

ウィットネス型ブリッジは、一組の外部ブリッジノードによってクロスチェーンメッセージの合意署名を行い、これによりメッセージの真実性を検証します。したがって、私たちはこれをマルチシグブリッジとも呼びます。クロスチェーンブリッジは一般的にロック・ミントのロジックを使用して資産をチェーン間で伝達し、ユーザーはソースチェーン上のネイティブ資産（例えばUSDC）をロックし、ターゲットチェーン上のマッピング資産（例えばanyUSDC）をミントします。これらのロックされた資産はブリッジのTVLとなり、一度盗まれると、ユーザーまたはLPの手元のマッピング資産はネイティブ資産から切り離され、十分に償還できなくなります。しかし、これらの外部ブリッジノードが共謀したり、彼らが自分の秘密鍵の断片を適切に保管できずに2/3以上がハッカーに取得された場合、こうした事態が発生します！

ほとんどのマルチシグブリッジは、少数のブリッジノードしか持たず、多くても20個程度です。TVLが低い時には、これらの主体が共謀して悪事を働くことはないかもしれませんが、マルチシグブリッジのTVLが数億ドルに達した時、誰もが彼らが心を動かさないとは限りません。利益が十分に大きければ、20のノードを共謀することはそれほど難しくありません。さらに、多くのクロスチェーンブリッジのノードは、しばしば利害関係のある「競合」であり、さらには、ある主体が複数のノードを制御している場合もあります。例えば、Ronin Bridgeの9つのノードのうち4つはStar Mavis社が管理しており、Multichainの状況はさらにひどく、1人がすべての24のノードを掌握しています！

大人の印は、人間性が試練に耐えられるとは信じなくなることです。

クロスチェーンブリッジはどのように改善されるべきか？

Multichainの事件は、クロスチェーンブリッジの分野において、転換の契機となるかもしれません。誰もが中央集権による安全リスクを容認しなくなった時、「マルチシグブリッジ」は自然に成り立たなくなります。「マルチシグブリッジ」が主導する時代がクロスチェーンブリッジの1.0時代であるならば、1.0時代は加速して去りつつあり、クロスチェーンブリッジ2.0時代の主役は、より安全なクロスチェーンブリッジに必然的に属するでしょう。

では、どのようなクロスチェーンブリッジを使用すべきか、クロスチェーンブリッジはどのように改善されるべきか、性能を受け入れられる範囲で中央集権リスクを排除するためにはどうすればよいのでしょうか？私たちは、業界には主に3つの方向性があることを観察しています。それは、ZKブリッジ、Optimisticブリッジ、TEEブリッジです。

ZKブリッジ

ZKの物語が注目を集める中、最近ではZK技術をクロスチェーンに適用する探求も注目されています。この方向性のプロジェクトはすでに多くの資金調達を受けています。

ZKブリッジは、ZK技術を軽クライアントの拡張に使用するクロスチェーンブリッジのソリューションです。軽クライアントクロスチェーンブリッジは非常に高い安全性を持ち、その本質はターゲットチェーンの合意層がソースチェーンからのメッセージを直接検証することにあります。第三者の信頼仮定を一切導入しませんが、軽クライアントはソースチェーンのブロックヘッダーのシーケンスを継続的に維持する必要があり、この間に各新しいブロックヘッダーを検証する必要があるため、2つの大きな難点があります：

• 巨大なオンチェーンコストがかかり、ブリッジが経済的に実行可能でなくなる可能性があります。
• 汎用ブリッジを作成する場合、新しいチェーンをサポートするたびに、少なくとも2つの新しい軽クライアントを開発する必要があり、新しいチェーンとの互換性コストが高く、真の汎用ブリッジを作成するのは非常に難しいです。

ZK技術を導入すると：

• オフチェーンで新しいブロックヘッダーを検証し、新しいブロックヘッダーとその有効性証明（ZK Proof）を一緒にオンチェーンに提出できます。オンチェーンでZK Proofを直接検証することで、新しいブロックヘッダーを検証するのと同等になりますが、コストは大幅に削減できます。さらに、ブロックヘッダーを使用してトランザクションをSPV検証するプロセスもオンチェーンに移すことができます。
• ZK技術は軽クライアントの開発を簡素化し、オンチェーン軽クライアントはZK proofを検証するだけで済み、新しいブロックヘッダーの契約ロジックを検証するよりもはるかに簡単です。

しかし、ZKブリッジの性能限界は依然としてマルチシグブリッジよりも劣ります。EVMを例にとると、ZK proofを検証するコストは最低でも500k gasであり、マルチシグブリッジが1つの署名を検証するのに必要な21k gasと比較して、約25倍高くなります。これは最終的にフロントエンドユーザーに高額なクロスチェーン手数料として転嫁されます。バッチ処理を通じて、複数のトランザクションのコストを一度の処理に分散させることはできますが、これによりユーザーには長い待機時間が発生します。

さらに、ZKブリッジは軽クライアントブリッジとして、スマートコントラクトをサポートするチェーンに接続する必要があり、BTCのような非スマートコントラクトチェーンには接続できません。

Optimisticブリッジ

Optimisticブリッジは、マルチシグブリッジの信頼の根を改善したものです。Optimisticブリッジは、マルチシグブリッジの基礎の上に、チャレンジウィンドウの概念と「チャレンジャー」という役割を導入しました。

私たちは、メッセージがマルチシグブリッジ内で伝達されるプロセスが次のようであることを知っています。

① 発起：ユーザーはソースチェーンでSource dAppと対話し、クロスチェーンメッセージの伝達を開始します。

② オフチェーン署名：メッセージはブリッジノードに渡され、合意署名が完了した後、ターゲットチェーンに渡されます。

③ オンチェーン署名の検証：ターゲットチェーンは、そのメッセージが正しいブリッジノードの署名によるものであるかを検証します。

④ 実行：検証されたメッセージがターゲットdAppに提出され、実行されます。

Optimisticブリッジでは、メッセージが③のステップを完了した後、すぐに④のステップに入るのではなく、タイミングの段階に入ります。タイミングが終了した後、チャレンジャーがそのメッセージに異議を唱えなければ、そのメッセージは実行段階に入ります。

もしチャレンジャーがメッセージに異議を唱えた場合、そのメッセージは「信頼できない」とマークされ、「信頼できない」メッセージは実行段階に入らず、チャレンジャーはそれをソースチェーンに提出し、ソースチェーンの仲裁契約によって仲裁されます。もしメッセージがソースチェーンに実際に存在すれば、チャレンジャーが誤報したことを証明し、もしメッセージがソースチェーンに存在しなければ、ブリッジノードが詐欺を行い、虚偽のメッセージに署名したことを証明します。仲裁が終了した後、誠実な側には報酬が与えられ、不誠実な側には罰が与えられます。

このメカニズムを通じて、Optimisticブリッジはマルチシグブリッジの信頼の根をm-of-nから1-of-nに引き上げ、誠実なチャレンジャーが1人いれば、ブリッジは信頼できます。

Optimisticブリッジの欠点は、ユーザーの待機時間が増加することです。この時間は一般的に30分程度であり、ユーザーはチャレンジウィンドウの終了を待たなければならず、多くのシナリオでは機能しません。ユーザーにはそのような忍耐がありません。実際には、Optimisticブリッジはしばしば二重モデルメカニズムを採用し、小額送金や非敏感な操作はチャレンジウィンドウをスキップし、大額送金や敏感な操作のみがチャレンジウィンドウを持つことになります。具体的な閾値はアプリケーションによってカスタマイズされるか、ユーザーがフロントエンドで選択します。

Optimisticブリッジのメカニズムは、マルチシグブリッジに対する大きな改善であり、安全性を確保しつつ性能も考慮しています。しかし残念ながら、安全性と性能は真に両立するものではなく、安全優先か性能優先の選択権をユーザーに委ねるだけであり、完璧な解決策とは言えません。

さらに、契約を通じてオンチェーン仲裁を実現する必要があるため、このソリューションは依然としてBTCのような非スマートコントラクトチェーンをサポートできません。

TEEブリッジ

TEEブリッジは、マルチシグブリッジの基礎の上に、すべてのノードがTEEデバイスを使用してネットワークに接続することを要求します。TEEは「信頼できる実行環境」（Trusted Execute Environment）の略で、特定のデバイス上で実行される主オペレーティングシステムから隔離された計算環境です。これは、エンクレーブのようなもので、この隔離はハードウェアによって強制的に実現されます。

TEEブリッジでは、ノードはTEEデバイスを使用して秘密鍵の断片を保管し、署名プログラムも完全にTEE内で実行されるため、外部のハッカーが盗むことは非常に困難です。ZKブリッジやOptimisticブリッジとは異なり、TEEブリッジはノードのハードウェアを通じてクロスチェーンブリッジの安全性を向上させるものであり、オンチェーンの検証メカニズムを変更するものではありません。

TEEブリッジの利点は：

• 安全性を向上させる一方で、マルチシグブリッジの基礎の上で性能を犠牲にすることがない
• BTCのような非スマートコントラクトチェーンと互換性がある

しかし、TEEブリッジには内部共謀のリスクが依然として存在します。2/3以上のノードが共謀すれば、ブリッジに対して攻撃を仕掛けることができます。

BOOL：ZK-TEEブリッジ

Bool Networkは、独自のクロスチェーンブリッジプロジェクトです。これは、TEEブリッジの基礎の上にZK技術を組み合わせ、匿名のローテーションメカニズムを採用して、より高い安全性を実現しています。

Bool Network自体は、多くのTEEノードで構成される非許可型ネットワークであり、どの主体でもBool Networkを通じて1つまたは複数のDHC（Dynamic Hidden Committee）を設立することを申請できます。もしある主体が10のチェーンをサポートするクロスチェーンブリッジを設立したい場合、10の対応するDHCを申請すればよいのです。各DHCは一組のMPC秘密鍵の断片を管理し、クロスチェーンメッセージの検証と署名を担当します。

1つのDHCは一般的に10から20のTEEノードメンバーを含み、具体的にはDHCの作成者が設定します。署名の閾値は一般的に2/3ですが、DHCの作成者はより高い閾値を設定することもできます。

Bool NetworkはすべてのDHCにメンバーをランダムに割り当て、定期的にシャッフルして再割り当てを行います。ZK技術を利用することで、Bool Networkはメンバーの割り当てプロセスが完全にランダムであることを実現し、割り当てが完了した後、各TEEノードは自分がどのDHCに割り当てられたかを知らず、どのノードと同じDHCに割り当てられたかも知らず、他のノードがどのDHCに割り当てられたかも知りません。この感覚は、仮面舞踏会に参加するようなもので、誰もが誰であるかを知らないのです！

これは、Bool NetworkのRing VRFアルゴリズムによって実現されています。具体的には、Ring VRFはDHCのノードメンバーを割り当てる際に、各TEEノードに一時的なアイデンティティを付与します。この一時的なアイデンティティはZK proofとして表現され、特定のノードが現在のDHCに属することを証明しますが、ノードの具体的な情報は公開されません。DHCメンバーは一時的なアイデンティティを通じて相互に認識し、暗号通信を通じてMPC署名の作業を完了します。現在のエポックが終了した後、Ring VRFはすべてのDHCのメンバーを再シャッフルし、この時すべての一時的なアイデンティティは無効になります。Ring VRFは各ノードに新しい一時的なアイデンティティを割り当てます。

要するに、Bool NetworkはZK技術とTEE技術の巧妙な組み合わせにより、ノード間の完全な匿名性を実現し、共謀の可能性を排除し、TEEブリッジの基礎の上でさらに安全性を向上させました。

小結

ZKブリッジ、Optimisticブリッジ、TEEブリッジはすべて優れたソリューションであり、よりTrustlessなクロスチェーンブリッジを構築し、中央集権リスクを排除し、クロスチェーンブリッジの安全性を向上させようとしています。しかし、ZKブリッジとOptimisticブリッジは依然として性能の犠牲と拡張性の短所があり、TEEブリッジは共謀攻撃の可能性があります。

BOOL Networkが提案するZK TEEブリッジは、あらゆる面で非の打ち所のないソリューションです。その利点は以下の通りです：

• 性能を犠牲にせず、クロスチェーンメッセージ伝達の速度と費用が「マルチシグブリッジ」と同じレベルを維持
• 非スマートコントラクトチェーンをサポートし、新しいチェーンへの適応の工数が少ない
• TEEブリッジに存在する可能性のある共謀リスクを排除し、軽クライアントブリッジに匹敵する超高安全性を実現
• 本質的には分散型のTrustlessな署名機であり、クロスチェーン領域に限らず、オラクルや分散型秘密鍵管理などの分野にも拡張可能