今週の注目トピック
Satoshi Miyazaki(@satoshi_notnkmt)より
日銀を含む6中銀がデジタル通貨発行に向けた議論を進める中、日銀と欧州中央銀行による、秘匿化技術に関する実証実験「Porject Stella」の結果が公開されました。コンソーシアムチェーンにおける秘匿化の実装方式について、注目です。また、複数のDeFiを駆使して大きな利益を生み出したトランザクションや、DTCCの提言するDLTネットワーク用のセキュリティフレームワークも話題となっています。List編と合わせてご覧ください。
Section1: PickUp
●日本銀行が欧州中央銀行との間で実施する共同調査プロジェクト「Project Stella」フェーズ4の結果を公表
2020年2月12日に日本銀行が欧州中央銀行(ECB)との間で実施する分散台帳技術に関する共同調査プロジェクトである「Project Stella」フェーズ4の結果を公表した(フェーズ3についてはNewsletter#17参照)。分散型台帳上で取引情報を共有することにより生じるプライバシや秘匿性の課題に対して、過去数年にわたり、数々の手法が開発されてきている。これらの手法は、第三者の取引情報へのアクセスを制限するなどの発想に基き、一般的に「プライバシ強化技術(PET)」として知られている。フェーズ4は、概念整理と実機検証を通して、DLTに基づく金融市場インフラ(FMI)での取引を、PETで秘匿化する方法と、その確認を実効的に確保する仕組みについて調査した。
調査においては、パーミッションド型ネットワークであり各参加者はDLTノードを運営し取引の処理・取引情報の保管・閲覧を行うこと、取引確認の権限を与えられた確認者が存在すること、ネットワークの参加者間で行われる取引のみを分析対象とし、エンドユーザーはモデル外であること、取引情報には取引当時者がアドレス等で識別されるが、仮名化されていること、秘匿性の要求水準として中央集権型モデルと同水準のものが求められることなど、いくつか前提を置いた上でDLTに基づくFMIの抽象モデルを導入している。
扱う取引としては単純な送金を想定し、情報は取引情報のみを扱うこととした上で、権限のない第三者から取引情報を秘匿化する手法のアプローチの違いに基づき、PET を 下図のように3 分類している。「共有先制御型 PET」 は、各参加者がネットワーク上の全取引の一部にしかアクセスでき ないようにする手法、「非可読化型 PET」 は、暗号化技術を用いることで第三者が取引情報を解釈できないようにする手法、 「関係性隠匿型 PET」 は台帳に記録された送金者・受領者情報から、第三者が取引当事者を特定することを困難にする手法となっている。
出所:https://www.boj.or.jp/announcements/release_2020/data/rel200212a4.pdf
取引に関連する情報の閲覧及び解釈がどの程度可能かは、各PETによって異なり、特定の構成のPETを例示した上で、次の表のようにまとめられている。なお、複数のPETを組み合わせて使用することにより、より高い水準の秘匿性が確保されることには留意が必要である。
出所:https://www.boj.or.jp/announcements/release_2020/data/rel200212a3.pdf
分散型台帳システムにおいて秘匿性を強化するためにPETが用いられると、取引情報の確認可能性を確保することが困難になる可能性もあるため、本調査では、上述した類型を元に、秘匿化された取引情報を実効的に確認できるかを評価している。ただ、評価においても、取引確認の具体的な方法及びその実効性には各類型ごとにグラデーションがあり、ネットワークにおけるPETの実装次第なので、評価結果については断定的ではないことに留意が必要であろう。
評価にあたっては、必要情報の取得の確実性、取得情報の信頼性、 取引確認プロセスの効率性という3つの観点が提案されている。
出所:https://www.boj.or.jp/announcements/release_2020/data/rel200212a4.pdf
実効的な取引確認をするためには、DLT システムは各観点において、十分な評価を得る必要があるため、特定の構成のPETについて、3観点に基づき評価。ただし、一部の PET 構成に対 象を絞っており、網羅的ではないため、別のモデルのもとで同様の検討を行うと、 異なる評価結果になる可能性があることには留意が必要。
結果としては、実効的な取引確認は、(1)確認者が信用できる情報保有者から必要情報を取得する場合、または、(2)確認者が特定可能な参加者から必要情報を取得し、その取得情報の正確性を台帳に記録された情報を用いることで検証可能で、これらのプロセスを過大なリソースを消費せずに実行可能である場合に可能 となる、というように3つの観点を満たすことが必要、との結果を得た。
この評価に基づき、各分類ごとに考察が得られたが、加えて、当該評価にあたっては、実用化に際しての追加的な論点も提示された。信用できる情報保有者の存在は、 ネットワークに対して単一障害点リスクをもたらしうること、取引情報の秘匿性を強化する ために PET を組み合わせて使用することと実効的な取引確認の間にはトレードオフが 存在しうること、複数のシステムの連携、階層型のシステム、エンドユーザの導入のためにモデルを拡張することで、追加的な課題が生じうること、など。
各国中央銀行がCBDCについて前向きな発言をするなど、分散型台帳技術に基づくプラットフ ォームで使われうる、デジタル決済手段への関心が高まっている。本調査を出発点とし、今回言及された追加的な論点や今回はスコープ外だった論点についての検討がなされていくこと、また、先般、欧州中銀などとのデジタル通貨発行へ共同研究について発表がされたとことであるため、他の中央銀行と連携を通じて、DLT上でのデジタル決済インフラをはじめとする金融インフラに係る議論が加速することを期待したい。
●dYdX・bZx・Compound・UniSwapなど複数DeFiを組み合わせ、3500万ドル相当の利益を出したトランザクション
dYdXのFlash loan(1トランザクションに収まれば無担保で資産を借りて返すことができるというもの)、CompoundでのwBTC借入、bZxのwBTCショートなどDeFiを組み合わせることによって、3500万ドル相当の利益を出したトランザクションが話題となった(追記:2/14に続いて2/18にも再発)。
2/16夜の時点においてユーザー資金が失われたという発表はされておらず(bZxのFulcrumマージントレードプラットフォームは$1m相当のETHを損失)、そのトランザクション全貌の図解(図中のaaveはdYdXへ訂正されている)をもとに、トランザクションの概要を鳥瞰してみたい。
現在想定されているステップ(2/16夜時点)は、以下のとおり(追記:bZxオフィシャルレポートはこちら。bZxのレポート中で引用されているPackShield社の詳細レポートはこちら)。
(1). 10k ETHをdYdXからflash loan
(2). 5k ETHをCompound、残り5k ETHをbZxに(FulcrumがbZxプロトコル利用)デポジット
(3). Compoundにデポジットした5m ETHを使って112 WBTC借入
(4). bZx/Fulcrumのマージントレードプラットフォーム上で5k ETHを担保にWBTCをショート
(5). 112 WBTCをUniswap DEX上で売却し価格引下げ
(6). bZx/Fulcrum上のWBTCショートを売却し利確
(7). dYdXからのflash loanを返済今回のケースで特徴的なのは、複数のDeFiプロダクトが連携する中でそれを組み合わせ1トランザクションで横断する形で実行している点だ。従来から個別DeFiプロダクトのコントラクト監査は行われてきた一方、今後の課題として今回明らかになったのは「DeFiプロトコルが複数ピースの組み合わせを通じて、新機軸のアプリケーションを提供していく中で、複数プロダクトを連携したケースに関する視点をどうカバーするか」であろう。今回発生したようなケースを踏まえて、DeFiプロダクトが更にステップアップしていくことを期待したい。
● DTCCがDLTネットワーク用のセキュリティフレームワークを公開
2020年2月12日、証券の保管振替機構として知られるDTCCが、主に金融サービスの開発を提供を行う組織を対象にDLT(分散型台帳)特有のセキュリティガイダンスをまとめたペーパーを公開した。
本ペーパーでは、既存のIT産業においてはサイバーセキュリティに関する知見が蓄積・共有されている一方で、DLTの活用に関しては、統一されたセキュリティ基準がなく、長期的な目線にたった際のインターオペラビリティ確保の議論がなされないまま各所でペーパーが乱立している現状に対して問題意識を示しており、既存のITセキュリティの知識を踏まえつつ、DLT活用時の特有の課題について対処するためのフレームワークを提示する内容となっている。
本ペーパーの導入部分では、金融サービスにおけるDLT活用の利点として、IAM(Identity and Access Management)やデータの整合性、コンセンサスメカニズムの利用や、取引の効率性向上、コンプライアンスの自動執行等が挙げられている。一方で同時に、過去のAPIキー流出による暗号資産の盗難や、スマートコントラクトの設計ミスによって起きた流出事件(DAO事件のrecursive callの仕様について説明が行われている)についてもユースケースとして紹介しており、認証部分のセキュリティなど、既存IT技術領域における基本的なセキュリティ対策が重要である一方、スマートコントラクトなど、DLT特有のコードについても同様にセキュリティが重要であることについて触れている。
ペーパー後半部では、DLTを活用時にセキュリティ課題として考慮すべきポイントのフレームワークとして、内部統制や脆弱性、リスク、インシデントの管理方法など、注意すべき観点について、複数紹介している。
例えば、通常の情報セキュリティ対策として、セキュリティ戦略が設けられているかどうかや、情報資産の特定が行われているかどうか、リスクマネジメントプログラムが存在するかどうか、従業員のコンプライアンストレーニングが行われているかどうか等の内部統制的な観点に加え、セキュアコーディングがなされているか、不審なアクティビティをモニタリングできるようになっているか、異常時のアラートが実装されているか等の技術的な観点も紹介されている。
さらに上記に加えて、DLT特有の観点として、分散型であるがゆえに統制の及ぶ範囲が限定されている可能性がある点や、自社で監査やモニタリング可能な範囲が限られる点、不正確なデータを記録してしまった際の修正に時間を要する点、人の目を介さなくてもプログラムが自動実行されるスマートコントラクトに関して、事前の異常検知が困難であることが予想される点など、新規に浮上する様々な論点やリスクファクターについて紹介する内容となっている。分散型台帳上での資産管理に関しては、今後も厳格なセキュリティ要件が定められていくものと思われるため、引き続き各国の動向に注目していきたい。
Section2: ListUp
1. Bitcoin
●OP_CHECKTEMPLATEVERIFY (CTV) が可能にするCovenant(BIP-119)。Workshopの動画(前編・後編)・書き起こしトランスクリプトが公開
●Christian Deckerを始めとする研究グループ、Lightning Networkがハブへの依存度たかまっている旨の論文発表
2. Ethereum
3. Bitcoin/Ethereum以外
●Celer NetworkのStatechannelがLyraとしてアップグレード
●Libra: Succinct Zero-Knowledge Proofs with Optimal Prover Computation
4. 統計・リスト
5. 論考
●Alibaba DAMO Academyによる「Top Ten Technology Trends」のブロックチェーンパート抜粋
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.