Bool Network:クロスチェーンブリッジの六角形の戦士
クロスチェーンブリッジは、本質的にあるチェーンが別のチェーン上のイベントをどのように認識するかという問題を解決します。著者:MiddleX、LayerBase Labs アドバイザー
マルチチェーンの発展に伴い、クロスチェーンブリッジは Web3 分野の重要なインフラとなりました。パブリックチェーンの状況がどのように変化しても、クロスチェーンは常に変わらない必需品です。Dapp プロジェクトにとって、彼らは自らのビジネス範囲をできるだけ多くのチェーンに拡大し、シングルチェーン Dapp から全チェーン Dapp へと成長する必要があります。パブリックチェーンプロジェクトにとって、皆がビットコインとイーサリアムをブリッジする動機を持ち、自らのエコシステムに資産とトラフィックを導入することが求められています。暗号ユーザーにとっても、自分の暗号資産を分散型の方法で異なるチェーン間で移動させたいと考えており、中央集権的な取引所に依存することなく利用したいと望んでいます。
しかし、クロスチェーンブリッジはチェーン間の「運搬車」として、何度も「強盗」に遭っています。過去2年間、主流のクロスチェーンブリッジプロジェクトはほぼ例外なくハッカーに狙われました。さまざまな暗号セキュリティ事故の中で、クロスチェーンブリッジ事故は約20億ドルの損失額でトップに立っています。クロスチェーンブリッジのセキュリティ問題を解決し、現在「オープンカー」の「運搬車」に装甲を追加することが急務です。
どうやって打破するか?
全体的に見て、クロスチェーンブリッジのセキュリティ事故は2つのカテゴリに分類されます。一つは、契約コードの脆弱性によるもので、例えばトークン契約アドレスの検証が欠如しているため、攻撃者が偽のコインを入金する事件がフィルタリングされないことや、アクセス制御が欠如しているため、検証者リストが改ざんされることです。もう一つは、検証ノードの共謀によるもので、秘密鍵を盗み、クロスチェーンブリッジのロック資金を盗むか、偽のコインを鋳造して LP を襲うことです。
前者の主な原因は、クロスチェーンブリッジのコードベースがまだ成熟していないことです。この種の問題は業界の経験が蓄積されるにつれて徐々に減少するでしょう。後者の主な原因は、クロスチェーンブリッジの設計上の固有の欠陥です。
クロスチェーンブリッジは本質的に、あるチェーンが別のチェーン上のイベントをどのように知るかという問題を解決します。この問題は2つの側面に分かれます。一つは伝達、もう一つは検証です。クロスチェーンブリッジでは、誰でもクロスチェーンイベントを伝達できますが、重要なのはターゲットチェーンがそのイベントがソースチェーンで実際に発生したことをどのように検証するかです。
検証メカニズムの違いに基づいて、クロスチェーンブリッジはネイティブ検証(Natively Verified)、ローカル検証(Locally Verified)、外部検証(Externally Verified)の3種類に分類されます。
ネイティブ検証は、ターゲットチェーンの全体的な検証者がソースチェーンのイベントを合意検証することを指し、一般的にはターゲットチェーン上にソースチェーンの軽量クライアントを展開することで実現されます。この軽量クライアントは、ソースチェーンのブロックヘッダーを継続的に保存・更新し、ソースチェーンのイベントに対して SPV 検証を実行します。
ローカル検証は、取引相手が取引を直接検証することを指し、ピアツーピア検証とも呼ばれます。典型的なパラダイムは、ハッシュタイムロックに基づく原子交換です。取引の両者の経済的利益が対立しているため、共謀の可能性はありません。
外部検証は、クロスチェーンメッセージを検証するために外部の証人のグループを導入することを指し、外部の証人グループがクロスチェーンイベントに対して合意署名を行い、ターゲットチェーンがその署名を検証した後にそのイベントを信頼できると見なします。
ネイティブ検証はコストが高く、主に2点に現れます。一つはチェーン上の検証コストが高く、チェーン上で軽量クライアントを実行し、イベントに対して SPV 検証を実行するには大量のガスを消費します。もう一つは新しいチェーンの互換性の開発コストが高く、新しいチェーンを互換するたびに少なくとも1対の軽量クライアントを開発する必要があります。ZK の台頭に伴い、現在市場には ZK 技術を用いてネイティブ検証を改善するソリューションがあり、上記のコストを効果的に軽減できますが、いかなる最適化を行っても、チェーン上で少なくとも1つの ZK 証明を検証する必要があり、そのコストは約 500 k Gwei であり、外部検証が単一の署名(21 k Gwei)を検証するのとは比較になりません。したがって、ネイティブ検証はクロスチェーンブリッジの価格競争で優位性を持つことができず、真の意味での「全チェーン」を実現することはできません。
ローカル検証はかつて Celer や Connext などの著名なプロジェクトで採用されていましたが、これらのプロジェクトは例外なく方針を変更し、ローカル検証を使用しなくなりました。その理由は、ローカル検証の取引体験が非常に悪いためで、どのように最適化しても、ユーザーは少なくとも2回操作する必要があります(取引を開始し、ハッシュロックを解除する)。取引相手が途中でオフラインになったり、故意に取引を行わなかったりすると、ユーザーの資金がロックされることになります。さらに、ローカル検証は資産のクロスチェーンにのみ適用され、任意のメッセージのクロスチェーンには拡張できません。
外部検証は実現コストが低く、クロスチェーンのコストが低く、多チェーンに簡単に適応でき、任意のメッセージのクロスチェーンをサポートします。現在、ほとんどのクロスチェーンブリッジプロジェクトがこのソリューションを採用しています。しかし、外部クロスチェーンブリッジは新たな信頼仮定を導入するため、潜在的な共謀リスクをもたらします。外部検証型のクロスチェーンブリッジの多くは MPC(安全な多者計算)技術を採用し、秘密鍵を分割し、各外部検証ノードが一つの分割を掌握します。
一般的な MutiSig(マルチシグ)技術と比較して、MPC 技術は普遍性が高く(チェーンが採用する署名スキームに制約がない)、検証コストが低く(チェーン上で単独の署名を検証するだけ)、署名権限の移譲が容易(分割を更新するだけで、アドレスを変更する必要がない)などの利点がありますが、これは外部検証の中央集権的な本質を変えるものではなく、共謀を排除することはできません。
では、どのようなクロスチェーンソリューションを使用すれば、クロスチェーンブリッジの性能、拡張性、汎用性を犠牲にすることなく、共謀リスクを排除し、クロスチェーンブリッジのセキュリティを改善できるのでしょうか?
BOOL Network のソリューション
BOOL Network は LayerBase Labs によって提供されるクロスチェーンブリッジ製品です。LayerBase Labs はクロスチェーン分野で約4年間研究を行い、その間にいくつかの最小限の実用製品を発表しましたが、これらの製品は十分に完成されておらず、広範囲に普及することはありませんでした。最近、LayerBase Labs は動的隠蔽委員会(DHC)に基づくクロスチェーンブリッジ:BOOL Network を発表しました。このソリューションは十分に完璧であると見なされており、一般に公開される準備が整いました。
BOOL Network のクロスチェーンソリューションは、MPC 技術を基盤に ZK 技術と TEE 技術を融合させ、外部検証者グループを不可知で自己認識しない動的隠蔽委員会に変革し、高度な共謀耐性を実現し、高度なセキュリティを実現しました。
例を用いて「動的隠蔽委員会」とは何かを説明します。
あなたが将軍で、1000人の兵士を指揮し、50の倉庫を守る任務を与えられたとします。あなたはどのように兵士を配置しますか?
すべての倉庫が同等に重要であると仮定すると、1000人の兵士を50の20人の小隊に分け、それぞれの小隊が1つの倉庫を守るのが最良の配置です。
しかし、兵士を分けて守ることにはリスクがあります。もしある小隊の半数以上の兵士が共謀した場合、その倉庫は失われる可能性があります。つまり、ある小隊に11人の兵士が共謀すれば、あなたを裏切り、倉庫を奪う可能性があるのです。
これはあなたが容認できないことであり、そのような共謀を防ぎ、倉庫の安全を確保するために、次のような方法を取ることができます:
動的:毎日すべての兵士を再編成し、小隊を再編成します。これにより、各兵士が守る倉庫とその仲間は固定されません。
隠蔽:兵士の目を覆い、彼らがどの倉庫を守っているのか、誰が仲間であるのかを知らないようにします。
こうすることで、裏切る兵士は誰と共謀するかを知らなくなります。事前に合意した裏切り者がいても、彼らは共謀者が同じ小隊にいるかどうかを制御したり知ったりすることはできません。
共謀が成功する可能性を高めるためには、裏切り者はあなたの1000人の隊の大多数を共謀する必要があります。これは間違いなく非常に困難です。「動的」と「隠蔽」の方法を通じて、あなたは各小隊の信頼性を全体の隊のレベルに引き上げました。
これが BOOL Network が採用しているソリューションです。
TEE ------ すべての兵士の目を覆う
BOOL Network は、ネットワーク内のノードがクロスチェーンイベントの検証に TEE デバイスを使用することを要求します。BOOL Network は完全にオープンな参加を許可しており、TEE デバイスを持つ任意の主体が $BOOL をステーキングすることで検証ノードになることができます。
TEE は「信頼実行環境」(Trusted Execute Environment)の略で、特定のデバイス上で実行される主オペレーティングシステムから隔離された計算環境です。これは飛び地(Enclave)のようなもので、この隔離はハードウェアによって強制的に実現されます。TEE 内でプログラムを実行するプロセスは隠蔽されており、外部からは感知できず、干渉もできません。これにより、ハッカーの攻撃は困難になります。
TEE は、高いセキュリティを持つアプリケーションを実行できます。例えば、生体認証や安全な支払い管理などです。私たちの日常生活の中で、TEE は珍しくなく、スマートフォンの指紋認証は TEE 内で実行されています。これにより、他のスマートフォンアプリが指紋認証の結果を使用する際に、指紋情報を取得することができません。
クロスチェーンイベントの検証プロセスでは、外部検証ノードが合意署名を行う必要があり、この時、秘密鍵はネットワーク上に露出せざるを得ず、ハッカーの攻撃の標的になりやすいです。2022年3月に Axie Infinity の公式ブリッジ Ronin Bridge が遭遇した攻撃や、2022年6月に Harmony パブリックチェーンの公式ブリッジ Horizen Bridge が遭遇した攻撃は、ブリッジノードの秘密鍵がハッカーに取得されたことが原因です。TEE を使用して秘密鍵の分割を保管し、合意署名を実行することで、セキュリティが大幅に向上し、秘密鍵がハッカーに取得されるのを防ぎます。この基盤の上で、BOOL Network は TEE ノード間のすべての通信も完全に暗号化することを要求します。これにより、ハッカーはノード間の通信内容から何の情報も取得できなくなります。
Ring VRF ------ 兵士をランダムにローテーション
BOOL Network はクロスチェーンブリッジを作成するためのツールとして設計されており、任意の第三者がその上にクロスチェーンブリッジを作成できます。ある第三者が BOOL Network 上にクロスチェーンブリッジを作成する場合、最初に DHC(動的隠蔽委員会)を作成する必要があります。仮にその第三者が自ら作成するクロスチェーンブリッジが10のチェーンをサポートしたい場合、10の DHC を作成する必要があります。各チェーンは1つの DHC に対応し、そのチェーンに送信されるすべてのクロスチェーンメッセージはその DHC が検証を担当します。
第三者が BOOL Network を通じてクロスチェーンブリッジを作成するたびに、いくつかの DHC が生成され、BOOL Network 上に作成されるクロスチェーンブリッジが増えるにつれて、数千の DHC が存在する可能性があります。第三者は DHC の署名閾値を設定できます。一般的な署名閾値には 5-of-9、13-of-19、15-of-21 があります。
注意すべき点は、各 DHC のメンバーは固定されておらず、常にローテーションされることです。各エポックごとにシャッフルされます。ZK 技術に基づいて、BOOL Network は Ring VRF プロトコルを開発し、各 DHC にメンバーを完全にランダムに割り当てることができます。
Ring VRF は DHC メンバーに ZK 証明を生成します。この ZK 証明はメンバーの一時的なアイデンティティを表し、DHC メンバーは一時的なアイデンティティを使用して相互に認識し、通信し、共同で作業を行います(例えば、MPC の閾値署名を行うなど)。このようにすることで、DHC メンバーは外部に対しても、互いに対しても匿名性が保たれます。
同じエポック内で、異なる DHC の TEE ノードが重複することもあれば、一部の TEE ノードがどの DHC にも参加せずに待機状態になることもあります。これらの状況は許容されますが、Ring VRF は確率的に各 TEE ノードに完全に均等な機会を与えます。
要するに、動的隠蔽委員会メカニズムを通じて、BOOL Network は壊れないブラックボックスを構築しました。もし TEE ノードが稼働している場合、誰も(ノードの運営者自身、他のノード、外部の攻撃者を含む)そのノードの稼働状態を知ることはできません。そのノードはどの DHC に属しているのか?どの他のノードと同じ DHC にいるのか?どのような合意通信を行ったのか?どのメッセージに署名したのか?全く知ることができません。これが前述の「不可知」と「不自知」です。このような前提の下で、BOOL Network ネットワーク自体が安全であれば、すべての動的隠蔽委員会も安全です。攻撃が成功する可能性を高めるためには、攻撃者は BOOL Network 内の大多数のノードを掌握する必要があります。しかし、TEE 内で実行されるプログラムは改ざんできないため、攻撃者はネットワークをダウンさせることしかできず、ネットワーク内の資産を盗むことはできません。
クロスチェーンソリューションを評価する方法
セキュリティはクロスチェーンブリッジが最も緊急に解決すべき問題ですが、セキュリティはクロスチェーンブリッジを評価する唯一の基準ではありません。ある問題を解決するために新たな問題を生み出すのであれば、それは本当に問題を解決しているとは言えません。
LayerBase Labs は早くからさまざまな軽量クライアントに基づくスケーリングソリューションを研究しており、ZK クライアントのソリューションも含まれています。ZK クライアントの基本原理は、ZK 技術を用いて軽量クライアントをスケーリングし、ブロックヘッダーの検証とソースチェーンイベントの SPV 検証をオフチェーンで行い、ZK 証明を生成してオンチェーンに提出することです。チェーン上ではその ZK 証明を検証するだけで、ブロックヘッダーとソースチェーンイベントを検証するのと同等になります。このようなソリューションは十分に安全ですが、チェーン上のガス消費は依然として高額であり、さらにオフチェーンの ZK 回路とチェーン上の軽量クライアントの実装は複雑であるため、コードレベルの脆弱性が発生しやすく、クロスチェーンブリッジのセキュリティに影響を与える可能性があります。
さらに、すべてのチェーンが他のすべてのチェーンの軽量クライアントをデプロイする必要がないようにするために、このようなソリューションはしばしば中継チェーンを導入せざるを得ません(下図参照)。中継チェーンの存在は、本来1ステップで完了できるクロスチェーンメッセージの伝達プロセスを2ステップに分割せざるを得ず、クロスチェーンメッセージの伝達のレイテンシ(遅延)が増加します。
現在、業界では ZK クライアント技術が多くの支持を受けており、ZK クライアントがクロスチェーンブリッジの究極の解決策であると主張する人もいます。私たちが言いたいのは、技術はショーのために存在するのではなく、流行を追うために存在するのでもなく、実際に問題を解決するために存在するということです。ZK クライアントが生み出す問題は、解決する問題よりもはるかに多いのです。
私たちは LayerZero のいわゆるウルトラライトクライアントソリューションも研究しました。LayerZero は軽量クライアントをオフチェーンのオラクルで実行することで、チェーン上のガスコストの問題を解決しますが、検証の責任をターゲットチェーンの検証者からオフチェーンのオラクルに移すことになります。これはもはやネイティブ検証ではなく、外部検証であり、オフチェーンのオラクルにはセキュリティ仮定があります。LayerZero Labs が主張する「リレイヤーとオラクルは相互に独立している」というセキュリティ前提は、現実には存在しません。L2BEAT Labs の攻撃実験がこれを証明しています。
また、Nomad や Celer が採用しているオプティミスティック検証ソリューションにも注目しています。外部検証の基盤の上に挑戦者の役割を追加することで、m-of-n のセキュリティを 1-of-n に引き上げることができます。このようなソリューションは巧妙な構想ですが、約30分の遅延が発生し、この遅延がこのソリューションの適用範囲を制限します。
私たちはまた、Avalanche Bridge の設計が非常にクールであることを発見しました。これは TEE ノードを外部検証者として使用してクロスチェーンイベントを検証し、極めてシンプルな契約設計を通じて効率的かつ低コストのクロスチェーン体験を実現しています。しかし、Avalanche Bridge は秘密鍵を安全に保管し、外部攻撃者から防御することができる一方で、内部 TEE ノード間の共謀攻撃を防ぐことはできません。
最終的に、私たちは現在の BOOL Network の動的隠蔽委員会のソリューションを提案しました。セキュリティの観点から見れば、外部のハッカー攻撃を防ぐだけでなく、内部の共謀も防ぐことができます。性能と体験の面では、BOOL Network のクロスチェーン体験は外部検証の基盤の上で何の犠牲も払っておらず、外部検証ブリッジと同じレベルを維持しています。
クロスチェーンブリッジを評価する際、私たちは不可能な三角形の基盤の上に、6つの側面を拡張して総合評価を行うべきだと考えています。それぞれはコスト(Cost)、速度(Speed)、安全性(Security)、可用性(Liveness)、汎用性(Generality)、拡張性(Scalability)です。
コスト:クロスチェーンのコストは主にチェーン上のガスコストに依存します。BOOL Network の1回のクロスチェーンメッセージ検証の費用は、実際には単一の署名の検証と同じであり、外部検証ブリッジと同じレベルです。
速度:ここではクロスチェーンブリッジ自体のレイテンシを評価します。チェーン自体の最終性の問題は考慮しません。この点において、余分なチェーン上とオフチェーンの計算がなく、中継チェーンの設計もないため(中継チェーンは冗長な二次検証を引き起こします)、BOOL Network のクロスチェーン速度も限界レベルに達することができます。
安全性:私たちはすでに十分に議論しました。BOOL Network は外部攻撃を防ぎ、内部の共謀も防ぐことができます。
可用性:簡単に言えば、ダウンしないことです。BOOL Network は、各 DHC を作成する際に1つ以上のバックアップ DHC を備えることで、特定の DHC 内で半数以上の TEE ノードがオフラインになることによる可用性の問題を防ぎます。
汎用性:資産のクロスチェーンだけでなく、任意のメッセージのクロスチェーンもサポートする必要があります。この点でも BOOL Network は満たしています。
拡張性:新しいチェーンを迅速にサポートできるかどうか。BOOL Network は新しいチェーンをサポートするために、単一の簡単な契約をデプロイするだけで済みます(1人月の開発工数で完了可能)し、現在すべての主流ブロックチェーンのサポートを完了しています。さらに、BOOL Network はチェーンのチューリング完全性の制約を受けず、新たな信頼仮定を追加することなく、BTC などの非チューリング完全なチェーンをサポートできます。
言うまでもなく、BOOL Network はクロスチェーンブリッジの中で六角形の戦士です。
注目すべきは、BOOL Network の技術ソリューション論文が暗号学分野のトップジャーナル IEEE TIFS に収録されたことです(リンク)。これは暗号学界が BOOL Network の技術ソリューションを認めたことを示しています。
今後の発展方向
BOOL Network は現在、安全なクロスチェーンブリッジ構築プラットフォームを提供しており、任意の第三者が BOOL Network に基づいて全チェーンアプリケーションを作成できます。BOOL Network は全チェーンアプリケーションの最も堅固な基盤となるでしょう。
別の視点から見ると、BOOL Network は本質的に分散型の署名機を構築しており、この署名機はチェーン上のメッセージの検証だけでなく、オフチェーンのメッセージの検証にも使用できます。これは BOOL Network が安全で信頼できる全チェーンオラクルになることを意味します。さらに、BOOL Network が構築した分散型 TEE ネットワークは、将来的にプライバシー計算サービスを提供することも可能です。
