LayerX Newsletter for Tech (2020/06/15-06/21)

Issue #63

Jun 24, 2020

今週の注目トピック

Tomoaki Kitaokaより

今週はLayer2のスケーリングソリューションであるzkSync、匿名性・秘匿性のある暗号通貨として有名なGrinに関する研究論文、ブロックチェーン上での乱数生成サービスのVeeDoを取り上げています。どのトピックもブロックチェーンを社会実装するにあたって、必要となってくるものであり注目が集まります。

Section1: PickUp

●Layer2スケーリングソリューション『zkSync』のパブリックβ版がローンチ

Matter Labs によって開発が進められている Layer2 スケーリングソリューション『zkSync』のパブリックβ版 v1.0 がローンチされた。zkSync は、zkRollup を用いて Layer1 と同等のセキュリティを保証しつつスループットを向上する技術である。パブリックβ版では、Ethereum メインネット上で zkSync による送金が可能になっている。zkSync は当ニュースレターで過去、zkSync v0.1 の紹介と Matter Labs による Layer2 スケーリング比較にて取り上げている。
zkSync は、$0.01 未満の送金手数料を目標としており (Ethereum メインネットだと $0.1~$0.3 程度)、トークンの送金にトークン自身を利用できるようになる。アカウント作成はコスト無しで行え、取引は即時に承認され数分以内に subjective finality を獲得できる。加えて、zkSync アカウントは長期間オフラインになっても問題なく (例えば1年) 、zkSync オペレータはアカウントの資産を差し押さえできないため、オペレータが攻撃に晒されても安全である。
zkSync の画期的な点として、zkRollup にアプリケーション固有の Trusted setup が必要ないゼロ知識証明 PLONK を用いている点がある。従来用いられてきた SNARK である Groth16 は、アプリケーションごとに Trusted setup が必要であり、アプリケーションのロジックが変わる度に Trusted setup を行わなければならない。一方 PLONK は、一度だけ実行した Trusted setup のアウトプット (Common reference string; CRS) を用いるため、その必要がない。zkSync は、 AZTEC Protocol 主催の Ignition MPC で作成された CRS を用いている (Vitalik Buterin 氏も参加)。
現状の問題点の一つに、SNARK フレンドリな署名技術を用いているためブラウザによって署名を処理しなければならないセキュリティ上の問題がある。今後 Matter Labs は、その署名機能を組み込んだ Metamask を公開し、この問題を解決する予定である。また、ゼロ知識証明ベースのスマートコントラクト Zinc との統合も予定されている。2020年に入り Layer2 スケーリング技術のローンチが続いており、その一つで、かつ、先端的なゼロ知識証明を用いている zkSync は今後も注視していきたい。（文責・岡南）

●暗号通貨Grinの送金額の秘匿性に関する研究

インド工科大学ボンベイ校のチームが、匿名性・秘匿性のある暗号通貨として有名なGrinに関する研究論文「On the Confidentiality of Amounts in Grin」を発表した。Bitcoinなどと異なり、Grinはトランザクションの送金額を秘匿化するよう作られているはずだが、実際には送金額をある程度見積もる (upper boundを見つける) ことのできる攻撃手法に関する研究である。
GrinはMimbleWimbleというプロトコルをベースに作られた暗号通貨で、2019年1月から稼働している。各トランザクションアウトプットの送金額はPedersen commitmentsにより秘匿化されており、blinding factorからアウトプットを消費する秘密鍵が作られる。送金額が正当な範囲である範囲証明が付与され、またインプットの合計とアウトプットの合計が等しいことは、Pedersen commitmentsの加法準同型性により保証する。
今回の論文では、Grinのトランザクショングラフから送金額の範囲を推定する攻撃手法を提案している。結果として、(マイナーへの報酬ではない) 通常の未消費output 110,149個のうち983個 (約0.9%) は、1800 grin (30分間のマイニング報酬相当, 執筆時価格で9万円程度) 以下であることが推定されているとのこと。
Grinのプライバシーに関する攻撃手法としては、Ivan Bogattyが、P2Pネットワークでのトランザクション伝播の情報を元にinputsとoutputsをリンクする攻撃を発表している。今回の研究ではこの手法は用いられていない (過去のトランザクションのP2P情報を得るのは難しいため) が、組み合わせることでより狭く送金額の範囲を見積もることができるだろう、としている。
ブロックチェーンの研究の中でも、プライバシー分野の技術は非常に扱いが難しい。トランザクションから一見送信者・送金額がわからなそうなプロトコルでも、複数のトランザクションを組み合わせたり、P2Pネットワークレベルの情報を使うなどにより、送信者・送金額を推定する様々なヒューリスティクスが存在しうる。したがって、正しく形式化し、証明を与えることが非常に大切ではあるが、アクロバティックな要素技術に依存していて、モデル化が複雑で難易度が高く、今回のGrin (MimbleWimble) をはじめ未だ完全に検証しきれていないものも多い。とはいえ、ブロックチェーンの社会実装にはプライバシー技術は不可欠であり、時間をかけてでも取り組んでいくほかないのである。（文責・中村）

●STARKとVDFを使った乱数生成サービス、VeeDoがメインネットローンチ

ブロックチェーンにおける乱数生成は長期にわたって議論されている。一番単純なものはブロックハッシュやブロックのタイムスタンプを活用したものである。しかし、これらの値はマイナーによって恣意的に操作することが可能であるため、乱数生成の手段としては不適切である。
その他の手法にはChainlinkのVRFやKeep NetworkのRandom Beaconなどがある。これらのソリューションは乱数のバイアスを取り除くためのトラストポイントが存在していたり、提供者による結託を想定していないないなどトラストレスでない部分が存在する。
一方、VeeDoはトラストレスでバイアスのない乱数生成サービスである。VeeDoはVerifiable Delay Function(VDF)とSTARKをか組み合わせた乱数生成サービスである。VeeDoはVDFの検証プロセスをSTARKを活用して効率化させる。
VDFとは文字通り遅延を生じさせるような計算を実行する関数である。VDFはSeed sに対してn回のインターバルで計算を行うような関数 f(s,n)であり、意図的に計算量を多くし遅延を生じさせることができる。
VeeDoはVDFの計算結果の検証をSTARKによって大幅に効率化せる。VDFの計算結果の検証に要する時間は計算する時間より大幅に短いが、STARKを活用することで検証時間をさらに短縮させ、より大きい遅延の検証にも対応しやすくなった。
乱数生成サービスにおける基本的な設計としてはブロックハッシュのような高いエントロピーからVDFのSeed sを作り、f(s,n)のアウトプットをバイアスのない乱数として利用するというものだ。Seed sからf(s,n)の値をt以内に予想するのは理論上不可能であるため、全ての参加者に対してt以内に移動や入札を行なってもらい、t後に計算されたf(s,n)を乱数として利用する。
VDFは様々なアプリケーションへの応用が期待されている。特に、Ethereum2.0のbeacon chainのcommitteeの選出でも使われる予定であり、注目が集まる。(文責・北岡)

Section2: ListUp

6. 注目イベント

●INFOCOM 2020 (7/6-7/9, オンライン開催)

●SECRYPT 2020: 17th International Conference on Security and Cryptography (7/8–7/10, オンライン開催)

●USENIX Security 2020 (8/12-8/14)

●Crypto 2020 (8/16-8/20, オンライン開催)

Accepted Papers

●CRYPTOLOGY2020: 7th International Cryptology and Information Security Conference 2020 (TBA)

●VLDB 2020 (8/31-9/4, オンライン開催)

Disclaimers

This newsletter is not financial advice. So do your own research and due diligence.

LayerX AI・LLM Newsletter

Discussion about this post