Aztecの解釈：DeFiにプライバシーをもたらすL2

著者：echo_z、チェーン茶館

最近、チェーン茶館はL2シリーズの記事を発表しました。L2の概要から、StarkWare、ZKSyncなどの具体的なプロジェクトについて詳細に紹介しました。以前紹介した主要プロジェクトに加えて、L2には特にユニークなプロジェクトであるAztecがあり、プライバシー取引を実現しています。プライバシー取引は新しいものではありませんが、Aztecが近日中に発表する新機能はプライバシーDefiを実現し、プライバシー分野のギャップを埋めることができます。本記事ではAztecについて分析します。

市場概況

現実世界では、「プライバシー」はほぼデフォルトの選択肢であり、誰も自分の情報が漏れることを望んでいません。しかし、ブロックチェーンの世界では、オンチェーン情報の透明性により、ユーザーは取引行為のプライバシー保護を享受できないことがほとんどです。現段階では個人投資家にとっては大きな問題ではありませんが、業界の発展とともに、プライバシーは重要な機能となるでしょう。チェーン茶館は、ユーザーのニーズが2つの側面に集中する可能性があると判断しています。

その一つは、大口投資家の取引プライバシー保護のニーズです。大口投資家が自分の大きな残高や取引行為を公開することは、家産を持って街を歩くようなもので、ハッカーを引き寄せたり、身元を暴露する危険があります。現在のプライバシー取引プロジェクトを見ると、資金も大口投資家の取引に集中しています。

下の図はTornado Cashの毎月の引き出しデータで、数字は引き出し回数を示し、区間は引き出し額を示しています（Tornadoのメカニズムは0.1ETH、1ETH、10ETH、100ETHの4つの額面で入出金を行うことです）。計算すると、100ETHの引き出し総額が最大で、6月の例では全体の引き出し額の87.6%を占めています。

出典：https://dune.com/poma/tornado-cash_1

その二つは、Web3が投資以外の範囲、例えばコミュニケーションやソーシャルなどのシーンに発展する際、プライバシーのニーズが必然的に顕在化することです。誰もが自分のアカウントがスパムメッセージで妨害されることを望んでおらず、親しい友人とのチャット内容が公開されることを望んでいません。

要するに、Web3の現在の使用シーンが取引投資に集中しているため、大口投資家のみがプライバシーに対して強いニーズを持っていますが、Web3の機能シーンが拡大するにつれて、プライバシーのニーズも個人投資家にまで広がるでしょう。

現在の供給状況を見ると、プライバシー機能を実現したプロジェクトの大多数は、単純な送金機能しか満たせません。プライバシー分野の主要プロジェクトには、FDV約21億ドルのMoneroと約11億ドルのZcashが含まれ、両者は独立したL1ブロックチェーンであり、スマートコントラクトをサポートしていません。FDV約2.3億ドルのTornado Cashは、イーサリアム上に構築されたスマートコントラクトであり、限られた額面での入出金しかサポートしていません。それ以外にも、Secret Networkのような一部のプロジェクトはスマートコントラクトをサポートできますが、FDV約1.7億ドルであり、そのコアのプライバシー機能はハードウェアデバイスに依存しており、安全性が低すぎます[1]。

したがって、プライバシー分野には機能が完備され、安全性が十分に高いプロジェクトが不足しています。Aztecは新興のプライバシープロジェクトとして、このギャップを埋める潜在能力を持っています。ZK Rollupプロジェクトとして、イーサリアムの安全性を共有でき、プロジェクトの中短期目標はDefiのプライバシーを実現することです。これにより、プライバシー分野に新しい体験をもたらすことができます。

製品メカニズム

Aztecの製品体系は、基盤となるPLONK証明システムに基づき、アカウント間の匿名取引を実現し、ゲートウェイコントラクトの接続を通じてDefiプロジェクトとのプライバシーインタラクションを実現します。ゲートウェイ部分を除けば、Aztecのプライバシー実現方法は実際にはZcashと非常に似ており、イーサリアムの安全性を共有するZcashのようなものです。以下では、そのプライバシーアーキテクチャとDefiインタラクションの方法について詳述します。

プライバシーアーキテクチャ：UTXOモデルとプライバシー証明

Zcashの記帳モデルはビットコインのUTXO（未使用取引出金）モデルに従い、各UTXOはNote（ノート）と呼ばれ、各取引の変化を記録します。例えば、私のアカウントに10ドルのノートがあり、他の人に5ドルを送金する場合、この10ドルのノートは2枚の5ドルのノートに分割され、一枚の所有者は送金先、もう一枚の所有者は私自身です。そして、アカウントアドレスにとって、残高はすべてのUTXOの合計です。

出典：https://medium.com/aztec-protocol/an-introduction-to-aztec-47c70e875dc7

これに対して、イーサリアムはアカウントベースの記帳モデルを採用しています：各アカウントは一つの残高に対応し、送金時には双方のアドレス数に対して加減算を行う必要があります。各アカウントの残高は最近の取引で明確に記録されているため、UTXOのようにすべてのUTXOを合計する必要がなく、複雑なスマートコントラクトにとってはアカウントモデルの方が計算が容易であり、主流の記帳モデルとなっています。一方、UTXOはビットコインなどの単純な送金ネットワークでよく見られます。

出典：https://medium.com/aztec-protocol/fully-confidential-ethereum-transactions-aztec-networks-privacy-architecture-274f968b13d4

UTXOモデルとアカウント残高モデルにはそれぞれの利点と欠点がありますが、プライバシーの観点から見ると、UTXOは同一アカウント内の異なるアドレスに保存するのに適しており、取引間の関連性を混乱させることができます[2]。これがおそらくZcashとAztecがUTXOを選択した理由です。

このような記帳モデルの下で、ユーザーの各取引は本質的に1枚またはN枚のノートを破棄し、合計が等しい別の1枚またはN枚のノートを生成し、一部のノートの所有権を移転することになります。

Aztecのデータ構造では、すべてのノートの状態が2つのMerkleツリーに保存されており、一つはnote tree（ノートツリー）で、すべての生成されたノートを保存し、もう一つはnullifier tree（無効化ツリー）で、すべての破棄されたノートを保存します。「ノートを所有する」とは、note treeに対応するノートが存在し、nullifier treeに対応するノートが存在しないことを意味します[3]。

出典：上記の図

では、ユーザーのプライバシーはどの段階で実現され、どのような情報がRollup（パッケージ化）されるのでしょうか？これには多層証明生成のプロセスが関与します。

ユーザーが取引を行う際には、対応するノートを破棄し生成し、ノートの所有権を移転する必要があります。このプライベート取引に対して、ユーザーはローカルで「プライバシー証明」（privacy proofs）を生成する必要があります。その後、28件のプライベート取引が内部Rollup証明（"inner" rollup proof）に集約され、さらに32個の内部Rollup証明が外部Rollup証明（"outer" rollup proof）に集約されます。外部Rollup証明は最終的にL1に提出され、ノードによって検証されます。

下の図は4つの内部Rollup証明が1つの外部Rollup証明に集約され、合計112件の取引が行われたことを示しています。今年3月に更新されたSDKでは、32個の内部Rollup証明に増加し、言い換えれば、最終的に提出されるRollup証明には28*32=896件の取引が含まれることができます。

出典：https://medium.com/aztec-protocol/privacy-for-pennies-scaling-aztecs-zkrollup-9f2b36615cc6

注意すべきは、ユーザーがローカルで生成したプライバシー証明のみが、実際に情報を漏らさないゼロ知識証明であり、システム全体で唯一プライバシーを担当する部分です[4]。その上にある内部Rollup、外部Rollup証明は、StarkWare、ZKSyncなどの汎用ZK系L2と同様に、必ずしもゼロ知識ではありません。ちなみに、StarkWareチームはZK Rollupsの名称をValidity Proofに変更することを提案しました、概念を混同しないために[5]。

AztecのRollup方式はStarkWare、ZKSyncなどのZK系L2とは大きく異なります：通常、ZK系Rollupは複数の取引をパッケージ化して集約証明を生成しますが、Aztecはプライバシーを実現するために各取引ごとに証明を生成し、証明をパッケージ化して証明を生成する必要があります。これがおそらくAztecのガス料金が他のすべてのRollupよりも高い理由です。

全体のプロセスを通じて、Zcashに由来するいくつかの手法が見られます。UTXO記帳モデル、2種類のMerkleツリーの設計、ユーザーがローカルでプライバシー証明を生成する方法は、すべてZcashと同じです。さらに、Aztecは内部送金機能も提供しており、つまり、匿名アカウントが別の匿名アカウントに送金でき、これにより2つのアドレス間の取引関係を隠すことができ、特定のウォレットアドレスの残高不足やマイナー手数料の入力が必要な場合などのシーンで、別のウォレットと公開の関係を持つことを避けることができます。このように、Tornado Cashのように単に額面プールで入出金を行う方法よりもプライバシーを保護でき、Zcashもこの機能を提供しています。

Zcashが提供するさまざまな送金モード、赤枠は匿名から匿名、つまりAztecの内部送金機能です。出典：https://z.cash/technology/

これにより、私たちはAztecのプライバシーアーキテクチャを基本的に理解できます：UTXOの記帳モデルを採用し、「ノート」の分割と所有権移転を通じて送金を実現し、ユーザーがローカルでプライバシー証明を生成してプライバシー取引を実現し、二重Rollupを通じて複数の取引の集約証明を生成し、L1に提出して検証を受けるというものです。基盤となるプライバシーアーキテクチャにはZcashからの多くの設計があり、Rollupの集約証明方式はイーサリアムの安全性を借用しており、ある意味ではRollup版のZcashに似ています。

Aztec Connect：ゲートウェイを通じてDefiプライバシーインタラクションを実現

上述のプライバシーアーキテクチャはユーザーのプライベート取引を実現しましたが、この段階ではプライバシー取引をL2に移行しただけで、元の解決策に比べて顕著な進歩はなく、依然として単純な送金しか実現できません。Aztecの目標はこれだけではなく、長期的にはすべてのスマートコントラクトのプライバシーインタラクションをサポートすることを望んでおり、その中短期目標はL1上でDefiのプライバシーインタラクションを実現することです。

AztecがプライバシーDefiを実現する方法は巧妙です。UTXOモデルを採用しているため、複雑なスマートコントラクトには適しておらず、AztecはL2上でスマートコントラクトを普及させることを試みず、「ゲートウェイ」の方式で取引をL1に集約します。

具体的な方法は、ユーザーがDefi取引を行う際、Aztecは同じタイプの取引をパッケージ化し、これらの取引をAztec Bridge Contractに渡します------L1にデプロイされたコントラクトであり、このコントラクトを通じて資金を集約し、対応するDefi機能を呼び出し、最終的に取引が完了した資金をL2上のアカウントに比例して返還します[6]。

これは金庫戦略に似ており、同類の取引行為をパッケージ化して完了させ、プライバシーを実現しつつガス料金を分担することができます。

L1のDefiプロジェクトにとって、移行は非常に簡単になり、コントラクトを再デプロイする必要はなく、Aztec Connectとのインターフェースを完了させるだけで済みます。しかし、これによりプロジェクトのデプロイの柔軟性が低下し、同じタイプの取引が十分に多くないと費用を薄めることができず、単一の取引は依然として高価になる可能性があります。このように見て、短期的にはこの方法は単純な操作で資金が集中しているプロジェクトにのみ適していると思われます。

運営状況

Aztecのプライバシー設計はUTXOモデルに基づいており、複雑なスマートコントラクトの開発には適していません。現在の製品はチーム自身が開発したzk.moneyに限られており、他のプロジェクトの統合は主にAztec Connectゲートウェイコントラクトを通じて実現されています。

zk.moneyは昨年3月に最初に発表され、現在は新旧バージョンのフォーク段階にあり、新バージョンはまだオンラインになっていません。

旧版zk.moneyは単純な送金支払いしか実現できず、ETH/DAI/renBTCの3種類の資産をサポートしています。ユーザーは接続するたびにETHウォレットで署名を行い、その後「Shield」で入金し、「Send」を通じて内部送金またはL1アカウントへの引き出しを行います。

出典：https://old.zk.money/asset/ETH

機能が単純で手数料が高いため、旧版zk.moneyの使用率は低く、現在のTVLは約500万ドルで、高峰時でも約1,400万ドルに過ぎません。

出典：https://defillama.com/protocol/aztec

新版zk.moneyはAztec Connectを立ち上げ、プライバシーDefiを実現する重要なマイルストーンです。当初は6月初めに立ち上げる予定でしたが、現在も問題を処理中で、明確な立ち上げ日程はありません。今年4月の公式ブログによれば、初期にはElement.fiとLidoが統合され、最初に立ち上がるプライバシーDefiとして期待されています[7]。

全体的に見ると、Aztecの設計はL1のDefiに簡単に接続できるものの、プロジェクトの自由なデプロイオプションを提供していないため、独立したパブリックチェーンエコシステムを構築するのは難しいです。むしろL1のDefiプロジェクトにプライバシーオプションを統合したようなものです。

チームと資金調達

Aztecのコアチームは強力な技術力を持ち、基盤となる証明システムPLONKの3人の共同開発者のうち2人がAztecに在籍しています。

CEOのZac Williamsonは、オックスフォード大学の粒子物理学博士で、PLONKの発明者の一人であり、CERN（欧州原子核研究機構）やT2K（日本の粒子物理学実験）で物理学者として働いていました。

CPOのJoe Andrewsは、ロンドン帝国大学の材料科学工学士で、シリコンバレーの飲食スタートアップRadishでCTOを務めていました。

首席科学者のAriel Gabizonは、イスラエルのワイツマン研究所（Weizmann Institute）の計算機博士で、Zcashで研究員およびエンジニアを務め、PLONKの発明者の一人でもあります。

現在までに、Aztecが公開した資金調達額は合計1,910万ドルです。2018年11月にはConsensysがリードした210万ドルのシードラウンド資金調達を発表し、2021年12月にはParadigmがリードした1,700万ドルの資金調達を発表しました。他の投資家にはIOSG Ventures、Variant Fund、Nascent、imToken、Scalar Capital、Defi Alliance、ZK Validator、そしてエンジェル投資家のAnthony Sassano、Stani Kulechov、Bankless、Defi Dad、Mariano Conti、Vitalik Buterinが含まれ、前回の投資者であるa_capital、Ethereal Ventures、Libertus Capitalも追加投資を行いました。また、2019年9月にもシードラウンド資金調達を発表しましたが、金額は公開されていません。

利点と課題

チェーン茶館は、Aztecの核心的な利点は、安全性が高く、Defiプロジェクトとインタラクションできるプライバシー機能を実現していることだと考えています。現在のプライバシー分野の大多数の製品は単純な送金機能しかサポートしていないため、Aztecは効果的にこの分野の空白を埋めています。しかし、この機能はまだオンラインになっておらず、オンライン後の機能のパフォーマンスを観察する必要があります。

しかし、一体両面で、特別なプライバシー機能はプロジェクトを大きく制限しています。

一方で、Aztecはゲートウェイコントラクトを統合してDefiプロジェクトの操作を実現しており、デプロイの難易度を下げる一方で柔軟性も低下させています。短期的には、単純な操作で資本が集中しているプロジェクトにより適しています。

他方で、プライバシーを実現するためには、各取引ごとにプライバシー証明を生成する必要があり、プロジェクトは二重Rollup方式でストレージスペースを分担していますが、Aztecの手数料はすべてのL2の中で依然として最も高く、ユーザーにとってのハードルも高く、大口投資家により適しています。

全体的に見ると、Aztecの製品機能はシンプルで直接的であり、機能のパフォーマンスが良ければL2で一定の地位を占めると予想されます。しかし、現在のDefiとの標準化された統合方式を見ると、むしろL1のDefiプロジェクトの機能補完のようで、天井はそれほど高くないかもしれません。

Aztecの長期目標はこれだけではなく、最終的にはすべてのスマートコントラクトのプライバシーインタラクションを実現することを望んでおり、そのためには全く新しいソリューションが必要です。