これまでEthereumを研究してきたパイオニアと、現在Ethereumのコア研究を進めているリサーチャーがEthereumの改善のための議論を行うためのイベントです。
- 1部:元Cryptoeconomics Labのメンバーとしてスケーリングソリューションの研究開発を行っていたsg氏とsyuhei氏およびChaintope社のYukishige Nakajo氏によるパネルディスカッションです。
- 2部:Ethereum財団で暗号研究を行うSoraSue氏、Titania Researchから分散システムの研究を行うbanriが登壇します。
- 3部:1部、2部の登壇者でパネルディスカッションを行います。モデレーターは暗号研究を行うadustです。
第一部 Ethereumの10年「僕たちは何を読み、何を読み違えたのか?」
sg 読む、読み違えをキーワードに。10年、どの1年をとっても予想してポジションを取ってきた。あたったことも外れたことも。この2年はある程度予想を外しうる2年だった。
振り返って、何を仮説を立てて何を読み違えたか?
2015-17 黎明期〜The DAO以前
sg Solidityにリバートのreasonがついていないし、ERC-20規格もなかった。僕が始めた頃にあったかなぐらい。
Yukishige Nakajo 僕が始めたのが2017、chaintopeが始めたのが2016年頃にちょっと触った。あまり固まっていないけどICOは全盛期。ERC-20出てきたから準拠したのを作ろうかなというのを案件でやったり触ったりしていた頃。
sg クリプト関連でお金稼げるの意外なことでしたよね、稼げたらすごいみたいな。Maticの4人目で働いていたけど全部売っちゃって持っていたら2億円だった。そういうのがある。
syuhei 株式会社Teliha、もともとはIoTとかやっていた。
Yukishige Nakajo 株式会社Chaintope Fintechバズったころ。安土と勉強会でLightning勉強会に参加していたりした。フェニックスプロトコルとかやっているやつの勉強会をしていたり
sg 2016年ぐらいにインドネシア行ってEthereum知ってsyuheiにプラズマやってもらってた。当時のプラズマグループ、現Optimismがライバル。最近zkEVMがよく使われているけど、Optimistic Rollupが普及していた。2,3年ぐらい前。
shuhei EVM資産やSolidity資産を使えないとDeFiが動かない、まずそこですよね、PrasmaからRollupがそれだし、Optimistic Rollupもその互換性の話、それが大事だったということを、読み違えた人もいるしあたった人もいる。Arbitrumは投稿された時点からみていた、最初はサイドチェーンでVM自前だし絶対うまくいかないと思っていたけどすごい調達して互換性を保ってサイドチェーンになって、スタートアップらしい動きをした。
sg L1に戻ることを事実上しないという前提に経てば一緒でなくていいみたいな話があるからそのへんの微妙な妥協で、完全にzk保証しなくていいとかVM一緒じゃなくて良くなる。ここに時間使いすぎているな、自己紹介もしていない。DeFi,0xとかbancorとかでてきた、bancorが行けていなかったのは専用トークンを仲介していた、だから価格が安定しなかった。Uniswapでコンポーザビリティに気づく。Ethereumコードは返り値をVM上で返すのが特徴、それがあるからコンポーザビリティがある。Solanaはトランザっくション出す前に全部叩く先を明示する必要がある。Ethereumはその必要がない。より複雑なコンポーザビリティをサポートする意思がある。コンポーズできることに気づいてからがEthereumだと思う。そういう感じでやってきてDAOの研究とかもした、DAO作っていたらEMSとDAOってにていてステートを捨てられない。DeFiは流動性が大事、別のコントラクト立てて移動してね、とできるが、ENSってマイグレーション大変、アップグレードがDeFi側と全然モチベーション違う。Solidityどんどん簡単にしようということを今やっている、その過程で教えることをしている。
2017-2019
2019−2021 DeFi Summer
マスに届くユースケースと、クジラとか詳しい人が使うユースケースあると思うが
sg PredyというオプションのつくってSDKつくってOptimism上にたくさんユーザーが居ると思う、マスに届くものをやっている、できちゃうUXのレベルに達している、何が大きかったか
syuhei Predyやっているときに難しかったのが、まず資金効率とか色々なアプリが解決していることをやっていったが、まずGas、もってない、あとWalletアプリとか。DeFiはIntent xxx Architectureがあってそれで解決した。今年7702が出てきてAccount Abstractionで解決したと思っている。PassKeyやGoogle Accountで使える、運営もクレジットカードでトークン配布できる。今までと全く違うUX。なので技術的にみるとAccount Abstractionが大きかったかと思う。マスに届くには経済合理性が必要、今までよりこっちの方が良いとならないと使わない。それが我々は実証できている。Walletずっと提供しているがGas代考えても全部のシステム作るのに何千マンもかかると見積もり出ていたのがGas代何十万、普通にマスアダプションすると思っている。
sg AIが出て思ったのが、宣言的に書けるソフトウェアDefinedなものは勝手に実装されていくと思った。化学式みたいなものはLLMで研究が進んでいる、DNAとかでもそう。L2とかDeFiはソフトウェアDefinedな金融。今までのは手続き的で人間が介在しまくる。DeFiは宣言的で、そういったものは絶対実装されて普及する。普及しないならどこまでも世の中の隅々にまでユースケース生成し続けますよというのを感じる。
syuhe ブロックチェーンは決定論的だから。考えることがすごく経る、手戻りが少なくなる。それがいろいろなところで起きるから開発運営コストが下がる。
2021−2023 NFTブームとThe Merge
sg ビーコンチェーン一本にシャードする
nakajo DeFiの需要で高速化しないといけない、いろいろな要望というか機運が高まり早く統合を進めようというので、一つのシャードとして今動くEthereumのExecution Layerがあって他のシャードも複数動かして並列に64動いてBeaconチェーンで検証する構想だったが、それを研究せずにさっさとくっつけたのがThe Merge。自分はThe Mergeは時代の流れに押されすぎていて早慶にやりすぎたんじゃないかなと思っていて、その理由が今のエグゼキューションレイヤー、L2がだいぶ台頭したから緩和したが、当時からエグゼキューションレイヤーにはデータが溜まって動機も遅いしハイスペックマシンじゃないと動かせない、誰でも参加できるというのから離れているのがあった中でそれを解消するためにBeaconチェーンとか考えていた、原罪を捨てたかったけどそれを取り込んでしまった。L1にzkEVM載せようとか言う話をいまvitalikがしているのは軌道修正に見える。エグゼキューションレイヤーを取り込んでしまったから、捨てられるはずだった下位互換性のためのものを取り込んじゃったので、そこを見つつ進化しないといけなくて進化スピードが落ちているところがあると思う。
sg Ethereum3.0はジャスティンドレイクを研究している中でPreConfirmationとか彼は研究していて流動性を統合したいというメッセージがあると思っている。流動性が散り散りバラバラ別れてしまっていて、クロスリンクでも同じことだと思うが、DeFierの人たちも同じことを言う。早くなるけど流動性小さいじゃん。全部集まって流動性があるから意味がある。マス向けに早くなることと流動性高くすること、両方ある。Ethereum3.0はそこに生きたい力学なのだろうと思っている。だから10年近く付き合ってきて思うのはすべてがプロトコルに取り込まれていく力学で、それは怖いしすごい。作った人が標準化頑張らなくても勝手に標準化されていくような吸収力がある、AI時代にそれがもっと早くなる。開発者泣かせだけど作ったほうが残り続ける。AIの世界もにている。作ったモデルが蒸留されたりアーキテクチャ真似されたりSaaSも振る舞いが分かったら真似される。存在していることを悟られるタイミングが戦略的になってきている。プロトコルに取り込まれていく、それは裏を返せば優れた研究をすればそれで良いのかというとそうではない、その後の身の振り方も包括的に考えないといけない。そこにお金をどう集めるかみたいな。
PoSって、Genesisとつながっていなくて良い仕組み。2/3が合意すればハッシュがつながっていなくても許容されるはず。
nakajo 大阪DEVCONで、PoS研究者にそれ聞いていたけど、つながっていなくて良いように見えるけど、Stake、投票が有効かどうかをみるためにはStakeが足りているか確認しなきゃいけなくてそれを確認するためにはつながっていないと、最新ブロックだけ見ていると投票は見えるけどその有効性の判定にはStakingをトラックする、そこで繋がらざるを得ない、そこが難しいと言っていた。僕もそれ見落としていた。仕組みだけ見ていると投票だけ集まれば良いように見える、分断されていても良いように見えるが投票の有効性を確認しようとするとブロックチェーンでなければならない
sg The DAOの批判ってまだ言われているし一度調べたことがあるのだけどgethでどこかのBlock hightになったら、残高を増やして減らすと書いてある。Social Consensusとしてそれが正式採用されていたら何でもありじゃないかという主張。BitcoinもSocial Consensusでブロックの巻き戻しは10ブロックぐらいしていて、残されたブロックのトランザクションは無視しましょうというアルゴリズムでやろうとする。そこが多分批判ポイントで、状態を書き換えることへのアレルギー。
nakajo もっというとビットコインは一貫して下位互換性を失うアップグレードをできるだけしないようにしている、今の話からすると僕が最初ビットコインからはいって、結局ビットコインのアップグレードもソーシャル投票、マイナーの投票であって参加者の合意形成で変わるし、誰かが破壊的アップグレードをしてみんながそれが良いと言ってそっちに移ればハードフォークする。いわゆる民意で行われる。それがプロトコルに定義されていてそれに則って変更されるのか、Ethereumみたいにみんなで合意の上でパッと乗り換えるのか、やってることは同じなのでは
sg 過去100ブロックとか10000ブロックとか巻き戻すことはビットコインではできない、価値が人質になっている。でもEthereumはそれができちゃう、そのカタストロフィー、恐怖感が指摘されている、言語化されていないけど論点はそこなのではないか
nakajo なぜビットコイナーがそれを恐怖に感じるかは通貨の価値、その言い方もあれだが、わかりやすく言うと値段が高い、それを支えているのはそういう変更がされていないしそういう変更をしないコミュニティに支えられているという信用の上に気づかれている。コミュニティが可能だと言い始めると通貨の価値がよくわからなくなるのではないか。Ethereumは逆に通貨の価値よりもブロックチェーンの可能性のところで、破壊的進化もよくやっている、互換性よりも進化を重要視するコミュニティ、文化の違いがあるのかなと思う
sg イーサリアンだがビットコイナーもわかるのは、準備金になれない。再帰的トレラントというScryptという言語?で書ける。コントラクトの残高としてEthereumの残高がUTXOに入ってきて出ていく。カラードコインもUTXOで過去のトークン無理やりなかったことにするっておきない(といったかな?)。SUIとか見ていると何ができるできないというのが意外と見えてくる気もしている。UTXO由来の良い点悪い点がある。
第二部 私達の読み違え
技術・市場の読み違え
sg クリプトブルな政策がアメリカで始まる中で、SolanaがETF許可される中でChainlinkのLINKが認可されても全然おかしくない。LINKのホワイトペーパーみるとPoSだけじゃ心配だからDID入れないととか書かれているがETFで流動性はいるとそれだけで安全性が上がる、全部オラクルでやりましょうみたいな世界観にならなくもない。Ethereumのセキュリティの影じゃなくて、ChainlinkぐらいのセキュリティでDeFiって良いよねみたいになりかねない。そしたらSolanaでもいいよねみたいに、穴の空いたバケツじゃないけどそっちに揃っていく。10周年だけどナラティブがバラバラ。ちゃんとやらないと怖いと思いつつ、なんだかんだEthereumの良さも残ると思いつつ。人間社会のこれが良いというのはあまり一つに定まらないと思っている派だが、プレッパー(破滅に備える人)からみたらEthereumは一番いい。Bitcoinをなにかに持ち替えようとすると絶対トラストを挟んでしまう。トラステッドサードパーティを挟むことをビットコイナーは厭わない。別にそこはリスクテイクだろという感覚。それに対比するとDeFiは安心して運用できる。どんな世界になっても。という意味でEthereumのほうが使いやすいと思っている。このナラティブってない、主流派ではない。Ethereumコミュニティは旅人で都会的、あまりプレッパーでダチョウ育てているような人はいない。公共性ってすごく旅人の公共性。土着の公共性のほうが本命だと思っている。自己主権性を一歩乗り越えて自己完結性みたいな、この系の中に閉じるというところを僕個人は重視している、誰かに押し付けるナラティブではないがEthereumはそういうものだと思っている。だからザイーサリアンみたいに僕はなれない、ミートアップに進んで出ようみたいな感じにはならない、でも僕みたいな人もいるんじゃないかな。
nakajo Stateless Client やState rentの開発進捗の遅れは何が原因か?日の目も水消えてしまったstate rentというPJがある。Ethereumはデータがどんどん増えていることに危機感がある。スペックが必要になる。コントラクトロードに莫大なDBからアドレスに対応するものを探さないといけない。効率化はできるが物理的制約がある。同データを減らすかで、ステートに家賃をかけて払えなくなったら凍結して一定期間続いたら削除してしまうという提案がされていたのがstate rent.復活したければデータ保存しておいて、ハッシュは残っているから同じハッシュのデータを提供して家賃出したら復活できるという考え方。この考え方自体は僕はありだと思っている。SUIやLibraも取り込んだりしていた。結局、ブロックチェーンはビットコイン然り、データが構造上肥大化していく。何かしらプルーニングを考えないといけない。ミンブルウィンブルもUTXOベースだが複数のUTXOをまとめたら間は捨てて良い、みたいな設計。そういう意味でこのState rentは当時と同じ話にすると大変だが、コントラクトやDeFiも、預けていたのに取り出せなくなる、というので賛同する人が少なかった、そこが、L2やAccount Abstractionあったりするなかで別の形で解決できると思うがどのブロックチェーンでも根源的に必要になるのが肥大化するState情報をどうプルーニングするか。それかストレージのシンギュラリティポイントを超えてないと。このあたりはまたどこかで再燃するだろうなと。
sg zkEVMは外部化だから計算処理自体はどんだけでも回せて速さは変わっても、ステートは変わっていない。
nakajo L2のお世話をL1がしているのはいびつでずっと続くならL2の進化はどこかで止まるのではないか
sg 研究で何かができたというのは簡単だが、見えない外部生が外に出ているというのはあとから検証されないといけない。Solanaも何か便利になったけどなにか忘れている。Ethereumはそれに一番厳しくないといけない。一つはState rent、もう一つはネットワークレイヤーの検閲耐性。Torつかえるの?っていう。BitcoinとBitcoin Cashに分かれるときにその議論があった。Ethereum2.0Prism開発のときにそれ引用してUDP中に入れたからTor使えない、というのがあったが、複雑になればなるほどしわ寄せが見えにくくなっていく。そこに目を光らせる人がいるというのがEthereumコミュニティの両親だと思う。僕らもOBOG扱いされているけどだからこそそう言うところをじっとり見ている。そこにしわ寄せ言っているけどはしるよねって。XRPやミームコインが上がって下がるのとおなじで走るときは走る。下がるのをなんとか支えないといけないという観点もある。そういう気持ちがある。
nakajo 一線から外れているけどみるときはそういうところ気になっていますね
sg 現実世界との阿吽の呼吸。現実がそこまで強い過程を求めないなら
nakajo Prasmaから研究していた人たちは過去の問題がどうなったか気にしているけど現実問題としては起きていない。理論上は大丈夫だけど現実では無理くり感がある中で巨大なネットワークを維持できて課題を洗い出して対処できる。EthereumのL2とかで流すと課題が見えてきて、実際に潰せるのがほかの小さいチェーンとは違う
質疑
クレカできるようになったのはどういうこと
syuhei クレカに関しては技術というよりはサービスが変わったから。DeFiをやっていたけどいまはサッカー上でFCRという暗号資産を配る技術を提供している。技術自体はAlchemyといっしょ。IVSでも配った。そういうのならクレカでいいですよねと。法的な話です。GasはL2の話。L2ができたのも大きかったしガス代が1/100になったのも大きかった。
開発スタイルは?集中する時間やどんな情報を見ているのか、よく使うツールは
syuhei 私は午前中集中している。見ているのはXだけ。ただフォローしているひとが昔研究していたときの人たちなので、きほんそれで最新情報が取れる。日本人も全員ブロックチェーンスタートアップしている人。それでしか情報はとっていない。LLM系は全部使っている。それぐらい。
nakajo 僕はブロックチェーンから離れているが、大体syuheiさんといっしょ、昼間は会社にいると質問がバンバン飛んでくるからそういうことをしていて自分のやりたいことは夜になってから。AIに書かせられるところはCloud codeに書かせて、昔より真面目にAIに頼むために仕様書を書いている。最新情報はXしかみていない。昔は研究ガッツリやっていたから色々負っていたけど今は離れているので。同じようにフォローしているのは研究者だったり。
これからの10年「僕たちは何を読み、何をしているのか?」
SoraSue:「暗号が拓くスマートコントラクトの力」
次の10年で暗号技術がスマートコントラクトをどのように拡張できるのか。2018年高校生の時にブロックチェーンに興味を持った。スマートコントラクトを使うと物理法則のように強力なものが作れる。
しかしオラクルを使わないとプリミティブなコントラクトの能力は限られている。ステートは公開されていて、書き換えることができるのは台帳。
脳みそが水槽に浮いていて、自分の頭の中の世界で何かを考えていて、その内容はモニターに丸見えになっているかのよう。
ステートが公開されているので公開された情報から公開された情報を作るだけで情報として新しいものがない。
ブロックチェーン上に記録されていることに価値がある、1ETHあるとEthereumブロックチェーンに書かれているから意味がある。それが他のところに書かれても意味がない。その限りにおいてその数字をいじることに意味がある。そうでない場合有用なアプリケーションを作ることが難しい。
幅広いアプリケーションに拡張することができるか。暗号学の活用でそれができると考えている。同拡張してどう使うのかをずっと考えてきた。
ZK Emailではスマートコントラクトが既存のメーリの内容を検証する。誰がどういう内容のメールを送ったか検証できるようにした。
送金内容を書いてメールで送るだけで、Ethereum上でメールアドレスからメールアドレスにトークンを送るようなことができる。メールを読むための目をスマートコントラクトに実装した。
今やっているのはiO。人類が知り得ない秘密のステートを持つ。スマートコントラクトが自分だけの日記帳を持つ。それだけでも秘密計算などいろいろなユースケースがあるが、サーバーとスマートコントラクトの間でEnd to Endの通信ができる。
サーバーが送ったデータはスマートコントラクトの特定の決められた処理だけで扱われて、他の人は見られない。コントラクトは特定のサーバーだけが読める形でデータを送れる。
このように暗号技術を組み合わせることで目や秘密の記憶を追加することで、何が嬉しいのか、次の十年何を作ることを目指せばよいのか。
私の回答の一つはグローバルスケールのプライベート計算プラットフォームを作ること。それを作ることで技術的優位性がある。
様々なユーザーが自分のデータを暗号化して秘密のコントラクトに送信して、暗号化されたステートデータにそれが溜まって、溜まった複数のデータを使って特定の計算を行うような処理。
これの面白いところは、これがもし、この入力が単なる公開情報なら誰でも計算できるが、秘密情報で秘密情報を分析しないと得られない結果なら、この結果がブロックチェーンに載っているかどうかにかかわらず、現実的な社会で有用になる。
これからより現実的な世界でAIが使われると思うがより多くのデータを一つの場所に集めて処理しないといけない。集める場所を全員が信用できなければならない。そのボトルネックを解決する方法としてEthereumやiOの技術を使えるのではないか。
残りの時間はアウトラインを紹介。
プライバシーを保護できるスマートコントラクトをどう実現するのか。それによって実現されるプライベートコンピューテーションプラットフォームはどうできるのか。
現在の私達の研究成果を簡単に紹介します。
iOは識別不能は暗号化技術だが、これはコンパイラとみることができる。プログラムを別の形に変換できて、機能は同じなので、ある入力を与えると元のプログラムと同じものを出力する。
実際使うときには、難読化したプログラムを用意して、誰でもそれを利用できる、実行できるという流れになる。
ここで普通のコンパイルしたプログラムと違う特徴は、誰でもこのコンパイラを使うことはできるが、中身の秘密の値や関数を知ることができない。厳密には少し違うが、ブラックボックスのようなプログラムを作ることができる。
しかし処理が本当にブラックボックスだと検証できないので使いづらい。
実際に隠したいのは秘密鍵とか。逆にそれさえ隠れていれば関数みたいなものはパブリックでも良い。
そのプログラムの中を知っているTrustedな人を仮定するのもブロックチェーンのユースケースでは望ましくない。なので難読化を複数の人でやることができる。
どういう処理をするかは検証する事はできるが、中身がどうなっているかはわからない。それを誰でも使える。
セキュリティの強さと必要な家庭の強さにはトレードオフがあるが、現実的に受け入れられる過程の範囲で入出力からはわからない情報を漏らさない難読化したようなプログラムを作れる。
これをつかってプライバシー保護できるスマートコントラクトを作ってみます。
スマートコントラクトはステートを更新するものとして書ける。
データをどう処理して同ステートを更新するかは公開されて検証可能。
ステートデータは暗号化されているので秘密鍵をここに保存しておくことも可能。その秘密鍵を使って署名を公開されたLog, Eventとして出力することもできる。
iOとEthereumは補完し合う関係にある。iOはプログラムを難読化する。EthereumはStateをトラストレスに保管する。暗号化したStateをEthereum上に保管する。
このようなスマートコントラクトを使うと、特定サーバーとのE2E通信が可能。お互い公開鍵を持っていれば、鍵共有プロトコルを実行し共通鍵を生成できて、共通鍵がプライベートスマートコントラクトのStateに保存される。サーバー側はその鍵でメッセージを暗号化してTxとして発行することで、コントラクトは内部で複合して処理できる。コントラクトも暗号化してEvent文でだすことで、サーバーだけが複合できる。
これだとサーバー側がTxを発行したりEventを見に行ったりしないといけないのでそのままでは使えないが、TLS中継サーバーを置くことで、TLSサーバーとして使える。
ただタイムアウトがあるのでTxがすぐ返ってくる必要があるなどの制約があるが、これは10年以内にできるかもしれないということで。
ユーザーが何かしらのインプットを暗号化した状態でPrivate Smart Contractに送って、計算してイベントとして結果を出力する、これを使う例として、プライベートマッチング。デート相手を見つけるマッチングとかなら、それぞれの人が自分の個人情報をプラットフォームに預けて相性が良さそうな人をアルゴリズムで見つける。たくさんの候補者のプライベートな情報にアクセスしたうえで処理が必要。いろいろなマッチングが考えられる。マッチング結果はブロックチェーン上にあろうがなかろうが結果自体は有用。本質的にはこれをブロックチェーン上でやろうがやらなかろうが有用。
なぜではブロックチェーンで、iOでやるのか。
唯一大規模になってもスケールするから。
既存のMPCや中央サーバーに預ける場合だと特定の人たちを継続的に信用する必要がある。秘密が第三者に漏洩するリスクが有る。そのようなパーティーで保護されたデータの経済的な価値がどれくらいあるか、それに対して期待できるプライバシーがどの程度あるか考えたときに、人に継続的に依存していると理論的には、裏切って第三者に売るインセンティブが情報の量が増えるほど高まる。
対してiOを使うと、制限はあるものの、セットアップさえ正しく行えたら誰かを信用する必要はない。プライバシーレベルは一定が保たれる。ネガティブなフィードバックが生じなくなり、無制限にデータを蓄積できるのではないか。とくにEthereum L1セキュリティに依存するという制約がある。
iOが理論的に実現可能と証明されたがまだ実装例はすくない。制約も大きい。
少しのデータでもものすごい時間がかかるが、インプットサイズを十分増やすことができれば本質的に処理しなければいけない計算量を一定量に抑えることができる。ここが具体的なマイルストーンになる。これが達成できると実用的に動かせるiOになる。
質問
Q: これはアイディアとしては秘密計算や暗号化したまま処理するのをEthereumなどのパブリック分散コンピューティングに適用できると分散台帳の枠を超えてアプリケーションができないかということか
A: ひとつはそう。秘密計算側の人からするとわざわざブロックチェーンでやるのか、あるいは既存のものをこちらに持ち込めるのかということになるが、スケーリングプライバシーが鍵だと思っている。隠されていても繰り返し計算したら全貌がわかるのでrate limitが必要、そうするとデータを誰が管理するのかが問題になる。不正リスクのインセンティブがデータが溜まるほど増える。ユーザーからすると不正しているかどうかすらわからない。Ethereumを使うとそのような攻撃コストを、Ethereum L1攻撃コストまで高めることができる。
Q: 100kbの定数データサイズの暗号化、DBに見える感じ、Web2のサーバーみたいな使い方を想定?
A: プラクティカルに可能か実験しないとわからないがDBと同じように使えて、ただ中身は特定のロジックでしか処理できないというもの
Q: マイルストーンもっと手前に置けるのではないか。Solidityとか9kbのもの作れる、時間を含んだ暗号は今ない。ある時刻を過ぎたら複合できる。そういう、DBより前のマイルストーンとして新しい暗号としての、iOの中でフェーズを分けて、純粋な暗号としてのEthereum+iOを目指せるんじゃないか。ただの暗号関数として捉える。ネットワークを介するが、手元で実行できないが、そういうふうに捉えるやり方もあるのではないか。
A: 手前のマイルストーンとしては、特定条件を満たす答えがあるとその暗号文を複合できる、その問題みたいなものをして、オンチェーンで特定のイベントが発行されたときだけ復号できるみたいなことが可能。サイズの問題はプログラム自体の大きさではない、4bitのインプットに300分かかる。
banri:「Ethereumにおける乱数とその未来」
最近投稿したアイディアを共有
Unpredictable RANDAO
現在のRANDAO
proposerとattesters
バリデーターが100万台、1エポック32スロット単位で役割が与えられる。1エポック(6分)に1回役が回ってくる。エポックが変わるたびに入れ替わる。それを決めるのがRANDAO。
安全に疑似乱数を作る仕組み。コンセンサスレイヤーのブロック構築やアテステーション提出に使う話。
アプリケーションの方でも、ゲームのガチャなどにも使えるようになっている。ただアプリケーションでは現状ではそんなに使われていない。
そもそも乱数生成はすごく難しい。
ソフトウェアで完全な乱数を作るのが難しいし、Ethereumは分散システムなので決定論的に決まる、みんなが各自サイコロを振ったら答えが違ってガチャの結果も変わるので、みんな同じサイコロの結果を得られないといけない、という難しさがある。
いまのRANDAOは、ざっくりこういう感じ
すごいシンプル。
epoch e が32スロット。ミックス値を更新していくことで、最終的なミックス値を次の次のepochで使う。
epoch番号にたいして各proposerが署名して、署名値をrevealする。足し算みたいな感じでmix値を作る。スロットごとに繰り返してmix値を次の次のepochで使う。
ここで一つ問題なのが、攻撃者が末尾連続kスロットのproposerに連続で割り当てられた場合、未来を自分たちの都合に良いように書き換えることが技術的にできてしまう。
mix値を更新する前提で話をしたが、proposerはプロポーズしないこともできるので、プロポーズしなければmix値は先の値を引き継ぐ。後ろkスロット選ばれたら、そのスロットでproposeするかしないか、2通り×k、自分たちがプロポーズされる未来を選ぶみたいなことができる。
最近の論文でチェーンをちょっと繋ぎ変えるreolgで連続じゃなくても攻撃できるという報告もある。
そんなプロポーザーが、プロポーザーの署名値を使ってランダム値を算出しているならproposerが操作できない値を使えばいいじゃないかという発送があると思う
atestationをreveal値に使う。どのチェーンが正かみたいな。
大口がステーキングしているならatesterにもノードがある。atestationを出す出さない、みたいな感じで攻撃者側がatesterにいるだけでいろいろな値に操作できる。
proposreがattesterに選ばれたとしても操作できないようにするには、というのが、僕らが考えたUnpredictable RANDAO。
secret shares という部分的な秘密鍵みたいなものを使って、閾値署名を使う。それをスロット番号に対してSecret Shareを使って部分署名みたいなのを作ってそれを集めてreveal値を作る。
新たにattestation委員会とは別にcommitteeを用意する。
FOCILのIL Committeeの活用による予測不可能姓
FOCILはERC-7732?Inclusion List committeeという16人のものがあり、このcommitteeの役割を増やすことで実現できるのではないかと考えた。新たなcommitteeを提案してもいいが複雑化するので。
もう一つのアイディアが閾値署名で操作不可能にする。
今のEthereumのattestationの署名は集約署名で、ざっくりいうと単純に署名地を足し算するような処理。これとこれを足すと来さないときみたいな色々な組み合わせができてしまうが、閾値署名だと一意の値を生成できる。N人のうちのT人が署名すれば出てくる値が一意ということができる。Lagrange補間が使われている。
BLS署名を閾値署名にすることも可能。
これによってプロポーザーの操作可能性みたいな話をしたが2のk乗からk+1に大幅に削減した。
末尾3スロットが攻撃者に乗っ取られた場合を考えると、各スロットで2通りずつあったのが、Unpredictable RANDAOでは署名が出揃ってないので不確定なところが残っていて、k=3なら既存RANDAOなら8通り、僕らの提案なら4通り。k=10なら1000通り対11通り。予測可能未来パターン数を劇的に下げることに成功した。
ただ新しい実装コストも掛かるし、説明省いたが閾値署名を実現するためのセットアップも必要になり現実的にこの提案が通るかはわからないところが多いが、今実際にEthereumが未来の乱数についてどう考えているかを最後に話す。
Beam Chainという構想があり、Justin Drakeが発表した。SNARK化、耐量子化する。
一番右下にストロングランダムネスと書いてあって、計算するには一定時間かかるが検証は高速というVDF - Verifiable Delay Functionで解決しようとしている。
しかしMinRootというVDFは論理的脆弱性があることが報告されている。どう考えるか質問すると、現実的には対処できるということでMinRootが最有力候補。
Beam Chainでは大量死署名としてXMSSというハッシュベース署名を改良したものがさい有力候補。時点で格子ベース署名のFalcon
最後に、僕らのUnpredictable RANDAOは、FOCILのIL CommitteeとBLS閾値署名を導入して予測不可能性を2kからk+1に改善。
今後はXMSSの改良版の実装・形式検証・改善提案を通じて貢献していく。
質問
??
2/3を超ええると攻撃者がcommitteeの80%を掌握したら閾値署名を出したあとの計算結果がわかる。わかるけど結局それが一意ではある。
Q:Committee16人、Ethereumの感覚だと少なくない?
A: FOCIL実装に含められるようにと考えていた。今ではすこし考えが変わって、結局ローテーションする必要がある。ローテーションは基本的にはこういうEthereumの処理は1エポックに1回しか更新できないと考えていた。しかし新committeeは何百epochに1回更新とかしている。それがありならもう少し大きな数でcommitteeを設けて長い頻度でローテーションするのが良いと考えている。
10年後に向けて何ができるか(パネルディスカッション)
- sg
- Yukishige Nakajo
- syuhei
- SoraSue
- banri
- adust
Ethereumが今後何に使われるのか、パブリックブロックチェーンってなにに使われるのかから、技術トピックまで。
Ethereumで今使われているユースケースは、トークン発行ではないか。そういう現状に対して、もうちょっとユースケース広がるのではないかと思っているがどうか
sorasue プライベートコンピューテーションプラットフォームとして使えるのではないかと言う考えで、都市の自動運転車のコーディネートなど公共的な目的で複数の人のプライベートな情報を用いて計算できるのではないか。公共の仕組みだと本当にプライバシーが守られるのか、アルゴリズムは信頼できるんかが問題になる。投票のように決めて、決めたあとも決めたとおり動いていることを検証する必要がある。ブロックチェーンだけではできないが、ステート管理にブロックチェーンを使うことで、プロセスが決められたとおりに動いていることを検証可能になる。もう少し技術的なところでは、暗号技術では、何かしら暗号スキームをつくるときに、どちらが先にデータを書き込んだか、検証できるのでタイムベース暗号を作れる、ビルディングブロックとしての使い方も考えられるかと思う。暗号技術によって支えられるとともに、暗号技術を支える。
そうしてユースケースが広がる中で、福岡勢はそうしていろいろな技術が生まれてくるのを目の当たりにされていたと思うが、ユースケースの幅は広がったか
syuhei 広がりました。DeFiもやっていましたがDeFiは広がった。昔はL1では大口しかトレードできなかったが細かくできるようになって細かい先物も扱えるようになった。それは大きなユースケースなのではないか。現実世界でも先物のほうが4倍ぐらい大きい。トークン発行ぐらいしかないというが、NFTもトークンで暗号資産もトークンで金もチケットもトークン。要はトークン発行しかないといえど、それ自体が大きなユースケースで、何が扱えるかはガス代で変わってくる。1BTCぐらいのものしか扱えなかったのが、800円ぐらいのチケットでも扱えるようになっていく。
sg 予測市場はすごく暑いユースケースだと思っている。7月中に地震が起きるかどうかというのもある。7月最後にひっくり返る市場とかもあるが、今月の頭って日本で地震が起きるという本がすごい売れていた。参議院選挙のときもすごかった。ちょっと前のバイデンとトランプの選挙のときも。SNSが荒れれば荒れるほど身銭を切っている市場の価値が出る。Xに投稿されるとか、法律もそれを賭博とみなさなくなることもあるかもしれない。もう一つは大枠では、Soraくんが言っているような決定論的なDBとして振る舞う、情報を隠すことができる、Web2と同じだが決定的で誰もごまかせないDBがあったら、それとAIの発展は重なる、自動化や大体が進んでいる。ロボットにとっての物理法則のようなものとして機能する。会社の取締役とか重要なポジションにロボットが人間の代わりに入ったら、人間のこと考えずに利益を最大化したりする。物理法則としてSoraくんのようなDBがあったら物理法則としてごまかせない。どんにAIが凄かろうと物理的には無理だよねというラインを決め得る。そういう意味でユースケースとしてはAIにとって物理現象として定数項にしたほうが良いものはプログラムとして生成されるのではないか。
Sorasue sgさんおっしゃるのはすごい共感していて、そういったiOしかり、ブロックチェーンで成約を作るのは最終的には人間がユーザーだと思うが直接的にはAIが対象になるかもしれないのは考えていて、特に公共と言ったところではより、公共で使われてかつ自動運転や金融などシビアな領域に変わっていったときに、AIのプログラムは信用できるのかというのが現実的な問題になる。それを成約して検証可能にする。そうしないとロボットなりAIを信用できなくて、導入に制約がかかってしまう。制約をかけることでAIやロボットの普及を加速させる側面があると思う。
EthereumだけでなくてSolanaやビットコインでも耐えられるのではないか、実際Baseとかいっぱい使われている。そうした中でEthereumはどういう立場になるのか
sg さっきも第一部で話したがビットコインでもスマートコントラクト書けるしSolanaもコンポーザビリティを持っている、アメリカの証券取引所になる、社会的な金融的なトラストがある社会のインフラとして突き詰めていくという割り切り、ポジショニングがはっきりしている。Chainlinkもオラクル全部信じてDeFi作ってもいいじゃないかと。Ethereum3.0ではL1グローバルステートが使える環境が安くなっている。流動性が使える。国がビットコインを準備金にするように大きな機関がお金をとりあえずEthereumに置く。多分クジラの世界と個人の世界の汽水域、L1はそういうカオスな場所になるんじゃないか。マス向けは極限までコストを削ることを思考したものになる。Solanaもchainlinkも、将来の一時点ではセキュリティにアサンプションを置けない瞬間は来る。ベロシティの早い社会を泳がせておいて、最後返ってくるのはここだよねという基盤として有り続けるのがEthereumではないか。答え合わせは10年後ですけど、ベロシティの早い社会でバブルが起きたりまた引いたり。そのあとにEthereumに何が蓄積していて、でも何はEthereumに残らずに別のところに慌ただしく言っているのか。そういう話かなと思う。
L1ってなんであるのか
nakajo L2が生きるためにはL1が必須なのでそのためにある。一方SolanaみたいなL1でも高速なチェーンがある。でも個人的には上手く言語化できないが、歴史の話だけするとEthereumは何度も終わったと言われ続けたチェーン。アカウントベースの高速なチェーンが出るたびに言われていたが未だに生き残って取引量やボリュームもSolanaに抜かされつつまた抜き替えしたりみたいな歴史もあって、結局選ばれ続けているという事実がある。個人的にブロックチェーンってなんのシステムかと端的に表現したとき、ビットコインは取引を記録するDLだが、信用を蓄積・高速化、醸成するためのシステム。誰かを信じるのは時間がかかってコストがかかる。ブロックチェーンは検証可能で、一発で信用できるものになる。そういう信用をより高速に醸成するためのシステムかと思う。信用が成り立つと契約が成立する。そういう点で考えて、信用という言葉のベースで広げていくとEthereumは回答としてずるいがみんなに選択される、ネットワーク効果で生き残っていくのではないか。
開発者を巻き込む、研究者を巻き込む力は、なぜEthereumはそういうことができているのか
banri ネットワーク効果がEthereumの強み、研究者コミュニティも活発。なぜか。ビットコインは変わらないことが価値だがEthereumは変わり続けることが価値ということだと思っている。常に世の中に適用しながら変わっていかなければいけない、逆に言うといいて何なら価値を提供できる、ビットコインだとなかなか変わらないから力を感じにくい。そういう点で一研究者として自分も価値を感じているし、生き残るには変わり続けることは重要ではないかと思う。もちろんビットコインに比べて複雑であるものの、昔の名残も残りつつも複雑になりつつも残っていくというのでいいんじゃないかなと。
Justin Drakeに送ったら返ってくる、オープンだし合流できるのは大きな魅力かもしれないですね。次のトピック、変わり続けることがある種強みとありましたが、nakajoさんはThe Mergeは失敗だったんじゃないかともおっしゃっていた。設計の話をしていきたい。nakajoさん、フラットに、意思決定やアーキテクチャに突っ込みたいところあります?
nakajo 僕も見て入るけどそんなにガッツリ研究低減している身ではないのでだいそれた事は言えないが、どうしても感じるのは、過度に複雑になりすぎている感じがする。zkEVMもそうだが、触っていて思うのは、coreの研究者は分かっているだろうが、zkSNARKにせよベースのEthereumのPoSシステムにせよGasperにせよ、どれか一個だけ知っている人はいるが全体像を知っていて自身を持って動くと言える人は数が多くないと思う。ブロックチェーンはもともとトラストレス、ヴェリファイアブル、信用するのではなくて検証する、ということだったと思うが、それを簡単に言えなくなってしまっているんじゃないかと思う。今まで動いていたし一個一個の技術は大丈夫そうだから大丈夫じゃない?となるとトラストになる。もっとシンプルにする、どうシンプルにしていくか、Verifiableなチェーンに戻すことは重要ではないか。
まさにビットおイナーからお前ら複雑だと言われるがまさにその部分ですよね。実際複雑性はましていますし、スケーラビリティーでいろいろあるが、いまいまだと逆にシンプルになる気もする。soraさんとかその変動お考えですか
Sora zkEVMそんなに追えていないが、インターフェースとしてみたときに中身の仕組みが複雑なのと、仕組みはシンプルだが全体として複雑(?)なのがある。 zkは証明を作って検証とシンプルだが実際の仕組みは複雑。そういう意味で、従来はいろいろな設計の密結合になっていてコンポーネントはシンプルだが結合したときに複雑だったのを、zkで一個一個は複雑だが全体として疎結合にしているんじゃないか。それによってプロトコルがモジュラーになる。先程セキュリティがベリファイできるかという話があったが、コンポーネントAのセキュリティはわからないとしてもセキュリティを高定義すると定めて、その定義が満たされているときこれを使ったシステムAもセキュリティが満たされるとなれば、コンポーネントAとシステムAの検証が並列化できる、形式検証で証明をつなぐこともできる、そういう意味で、複雑さをコンポーネントに閉じ込めるのはいいのではないか
形式検証はなぜ重要視されているのか
banri 最近形式検証に取り組んでいる。今の文脈で言えるかわからないが、結局ブロックチェーンの根本的価値の一つがセキュリティ。大きな資産をもったブロックチェーンが一つのワーストケースで不可逆なことが起きて終わる、そういうことが起きない保証を形式検証がやってくれる。具体データを入れるのではなくて、自然数と自然数を足したら自然数になる、というように、網羅的に証明してくれるのは魅力的。
最後のトピック、俺が考える最強のEthereum、自分の理想のEthereumについて語っていただきたい
sg 前の話題からつなげていくと、Don't trust, verifyできなくなっているよねから、形式検証の話になっているが、lesser アサンプションの状態が望ましいのだと思う。ビットコインはいろいろなアサンプションをトラスとしている。そのアサンプションが破られるということはないだろうと。Ethereumもアサンプションさえ、下手なアサンプションを入れていなければ、そしてそのアサンプションが現実世界で破られなければ、仕様レベルでは良い。仕様レベルでDon't trust, verifyと言うには形式検証を仕様について行う。それとアサンプションについて、このプロトコルはこのアサンプションレベルだと言えるのを一個一個増やしていく。 一方セキュリティは仕様だけじゃなくて実装も重要。証明された仕様から直接実装を吐き出さない限りずれはある。だから言語的多様性をクライアントで増やそうとする。あらゆる要素について言語的多様性を用意していくのかという話にもなるから実装と仕様の安全性を分けていく、システムの??が増えると実装コストが上がる。 Soraくんがここにいて古参も含めてここにいるのは、コンセンサスを作るためだと思う。どれが正統なのかのためにいる。僕はいまSolidityを簡単にしようとしている。CryptoZombieやったら作れるみたいな。しかしそれは過渡的には使えたとしてもSoraくんが描くものが実現したらいらなくなる。全員の夢をすり合わせて同じものを作らないとねという政治をしないといけない。僕はプレッパーなのでAIやロボットが普及していてSoraくんが作ったようなブロックチェーンが物理法則として機能する高度な社会になっている。僕が望むのはダチョウを育てている暮らしの中でIoTがちょこっと、買ってAIに頼んだらカスタムできてダチョウが育って子どもが増えていく。人間社会がなくても絶対に続く基盤のエネルギーがある、そこにEthereumもAIも入ってくる。インドネシアに果物が勝手に育っていて食べれてしまう、拾えるもので生きていける未来を予想している。僕の考える最強のEthereumは拾えるものが拡大していればと思う。逆にAIの進歩や社会の波乱で潰れてしまうものならそれはEthereumではないと思う。
nakajo Core EVM実装とかしか見ていないので大したことは言えないが、Libraの話を出した、Libra出たときすごい興味深かった。Ethereumに大量のプロポーザルがあったが、そのなかで重要なものを全部突っ込んだEther2.0みたいな。EVMがすごくしょぼいのでそこがボトルネックで進化がとまるのでなんとかするのは良いと思う。Account Abstractionはパラダイムシフトだとおもっている。今まで何かしら共同作業を行うにはコントラクトのステートに預けていた。自分の資産をコントラクトに預けているので、コントロールしたいけど別のところにあるみたいになった。それが、自分に関係するステートが自分のアカウントにある。周りのことをあまり気にしなくて良くなる。たとえばビットコインでLightningが成功して無限のスケーラビリティを手にしているかというと、技術的な計算とは別次元でコンセンサスの問題があって、2者間で問題が閉じるとスケールできるが3者になるととたんに難しくなる。他者が自分のステートに干渉するかしないか。2者で完結できるようになると理論上どんどん高速化できるようになる。
どういう落とし所があるか
banri 自分が思う理想のEthereumは、3つ大事かと思って、まずセキュリティ、それをPost Quantumで実現していく。もう一つ、検閲耐性、FOCILで誰かにトランザクションを弾かれたりしなくなる、これもブロックチェーンだからできる価値提供。これら2つは実現しそうで、これらを満たしたうえで、プライバシーを行けるところまで10年でやってほしい。具体的にどれくらいかというのは難しいがWeb2と遜色ないプライバシーの半分ぐらいができたら良いんじゃないか。
Soraさんてきなアンサーはあるか
Sora スマートコントラクトは物理法則に近しいプログラムかと思う。10年というか100年単位でできるかどうかの理想は物理情報にアクセスしたり変更できるスマートコントラクト。Solidityで先頭1ETHとか書いたら1ETH送れるが、Weibo呼べるようになったり、それをTrustedなハードで実現するのではなくて、Trustlessで、オラクル問題を解決して、ハードウェアへのトラストなしに物理情報にスマートコントラクトからアクセスできるようにする。量子暗号や量子ビットを使えるとそこへの未知が開けるのかと思う。Proof of Posisionという、Verifierからこれくらいの相対位置にいるということを証明するものがある、この位置でここの温度は何度だったと、物理法則のセキュリティでそれを検証できないか。それをスマートコントラクトから変えられたらそれはもうSFみたいな世界なのかなと思う。
syuhei 答えはシンプルだと思う、Ethereum使う側なので。EthereumとBitcoinの違いは風呂敷の広げ方だと思う。Ethereumは色々できるから最適解が定まっていない、やりたいこともできているから風呂敷が広がっていく、10年後の理想を使っている側からは、アーキテクチャの議論をしなくて良いように収束してくれるといい。
banri さっきの、Ethereumは変わり続けるのが価値なんじゃないか、みたいなところで、生物のアナロジーを出したが、生物は動的平衡というか、エントロピーを下げることができる、という定義の仕方もあると思う。Ethereumは無機物というよりは有機物っぽい、人間という人体もすべて理解できていないけどなぜか動いている。そういうかんじのEthereumの進化の方向性もある、そう捉えるとある程度複雑さも受け入れられるよねみたいな捉え方もできると思うがどうか
sg 道具って、旧に仕様変更は起きない。人間は道具のアフォーダンスを暗黙にすごく重視している。ソフトウェアって会社がやっている以上変わるけどビットコインはそこを極めてゆっくりにした。これは非機能要件。人間が感じる価値の一部としてちゃんと働いた。変わり続けるということはそこの要件を捨てるということ。変わり方、ユーザーがもっと増えてたようなユーザー層になる中で、すべての人間が納得する変わり方ってあるのか、どこかでマス向けには変化が感じられないようになるのかというはなしもある、クリーンアーキテクチャみたいな、ここを腐敗防止層にするみたいな考え方もある。エコノミーも渋くなっている、EF Grantを受けない、若手に渦ろうという意思が強いが、そういうのなくても回るようにしようというふうにしないと持続性が担保できない。イーサリアンがいなくなってもEthereumが回るのが理想。そういう長期目線を持ったうえで、変化し続けるという命題については考えている。
Sorasue データAvailabilityについて、基本L1が検証しないといけないので、L2増えても結局L1がそれに合わせてスケールしないといけないのでいつか限界が来る可能性があると思うが、例えば今だと同じL2コントラクトだと、コントラクト間のセキュリティの差みたいなのがないが、DAレイヤーがあって差ができると分断が生まれてしまうということについてどう思うか
sg コンポーザビリティを捨てることはないと思う、その定義から可用性と不可分。Cosmosはチェーン別れているが可用性はすごい曖昧にしている。可用性を捨てる提案が通るとは思えない。rentはわかりやすい、コントラクト毎に可用性が変わってしまう。DAはL2的にはわかりやすいけどL1としてはDAはあまり関係ない。L1は可用性マキシになると思う。L2はすごい多彩になると思う。そうなるとstate rent何も解決していないということにはなる
nakajo Ethereumの構造的限界は来ていると思う、DAでL1担保できなくなる、L2が増えれば増えるほどL1がボトルネックになるという未来が来ていて、なぜそうなるかというと、ビットコインもDA持っているが非常にシンプル、追加の情報は持っていない。ブロックbodyにデータが有ってそれがそのまま残っている。Data Availabilityをビットコインも持っているがそれはもともと持っていて追加しているわけではない。L2のためにL1がアップアップになるのは本末転倒なことが起きる。Blob領域を持つのではなく、それこそOptimisticのほうがEthereumのそのままでやっている、L1プロトコルにL2のためのものがなくL1を普通に利用するのと同じコードの中でL2のDAを担保できる仕組みを作るのがまず最初で、その次に扱えるデータを増やすのをL1でやればL2といっしょに進化できるのではないか。そこがまず解決することなのではないかと思います。
告知
Titania reserch、 Uzumaki reserch、ZOMIAResearchなどありますが、この度ぜんぶミックスしてNyx Foundationを立ち上げることになりました。
研究組織としてどのように優位性を作っていくか。研究が非常に個人に依存していて、研究を作るまでディスカッションしたりを組織ではやるが論文を出すのは個人か数人。ベル研究所は意図的に組織的優位性を作ることでUnixやC言語を発明してきた。我々もそうした形で研究成果をどう優位性をつく席していくかを財団としてやっていきたい。独自エージェントを開発していて実装監査を行うエージェント、形式検証エージェントを開発段階。
これによってエージェントを元に研究組織の形を模索していく。エージェントが学習して高度化していく。
直近はこれを活かしてEthereumのリサーチをしていく。
長期的にはこうした形で自動化技術が洗練されていくということで新たな数学的事実の発見にフォーカスしていく。未解決の数学的問題などを解かせる。基礎研究チームを組成して自由に研究できるようにする。
