著者: MegaETH 出典: @megaeth\_labs 翻訳: Shanoba, Golden FinanceすべてのOptimistic Rollupの核心には、1つの重要な仮定が存在します:**提出された状態提案は、誤りが証明されるまで、デフォルトで有効である**。しかし、この仮定は、Rollupが強力な詐欺証明メカニズムを持っている場合にのみ成り立ちます。このメカニズムが欠如しているチェーンでは、無効な状態が疑問視されない場合、または悪意のある挑戦によって決済プロセスが妨げられると、すぐに安全でなくなります。## **詐欺証明の責任**この仮定を支えるために、OptimisticのL2は、検証者(チャレンジャー)がオーダーラー(提案者)によって提出された**誤った可能性のある状態提案**に対して挑戦を行うことを許可する**不正証明メカニズム**(いわゆる**紛争解決プロトコル**)をサポートする必要があります。このメカニズムは、2つの重要な特性を確保しなければなりません:1. すべての誤った状態の提案**は識別可能です**、2. 誤った挑戦は**決して成功しない**。技術的な観点から見ると、このメカニズムは二つのコアコンポーネントを含んでいます:* **チャレンジサブプロトコル**:単一の状態提案に対する争議を処理します。* **トーナメントメカニズム**:同じブロックに複数の競合状態の提案がある場合、**唯一の正しい提案**を選別するために使用されます。各状態提案は、一連の取引実行結果に関する声明であり、通常は三つの部分で構成されています:**初期状態**: 最終的に確認されたイーサリアム上の最後のL2状態。* **取引負荷**:この状態から発生した一連の L2 取引;* **最終状態**:提案者がこれらの取引を実行した後に得られる結果を主張します。したがって、完全な提案は本質的に次のことを述べています:「現在の初期状態がAであり、以下の取引リスト(ペイロード)を実行すると、最終状態はXであるべきだと思います。」この構造を視覚化するために、以下の図の形式を使用できます:! [8i2x0qwTXcDdLYX1x0fWm3PjE8BoCmLwC2YXpOqK.png](https://img-cdn.gateio.im/social/moments-e5b4e86a2952a735502dc66f41f962a9 "7386202" )この時、チャレンジサブプロトコルの役割は**その主張が正しいかどうかを検証する**ことです。もしそれが間違っている場合、チャレンジは成功しなければならず、その提案は拒否されなければなりません。## **インタラクティブ故障証明(****バイナリーチャレンジゲーム****)**現在の主流のOptimistic Rollup システムのほとんどでは、**インタラクティブプロトコル**が採用されており、挑戦者と提案者の間で行き来する攻防が行われています。一旦争議が提起されると、双方は計算過程の中間結果(提案者が主張する各ステップの実行結果)を**二分割**し、誤りが発生する可能性の範囲を徐々に狭めていきます。このプロセスは繰り返され、双方が**単一の誤った計算ステップ**(例えば、ある取引が誤って実行された場合)を特定するまで続きます。具体的なエラーが確認された後、このステップは**Ethereumメインネットで再実行され**、本当に詐欺行為が存在するかどうかを判断します。! [6WF4yCanaXLDVqAMrwqPHcehkLUpcsFo2PueK0tQ.png](https://img-cdn.gateio.im/social/moments-5babcb48ae293f583e0d7dbad677a885 "7386203" )しかし、このメカニズムにはいくつかの問題があります:* **遅延が高い**:各ステップのインタラクションはイーサリアムチェーン上でトランザクションを開始する必要があります。完全な争議処理プロセスには数時間、あるいは数日かかる場合があります。特にネットワークが混雑しているか、検閲を受けている場合には。* **提案者に対する要求が高い**:たとえ提案者が誠実であり、挑戦が根拠のないものであっても、彼は全ての争議プロセスに参加しなければならず、かなりの計算とチェーン上のインタラクションコストを支払う必要がある;* **悪用されやすい**:悪意のある挑戦者は無理な挑戦を繰り返し提起することができ、誠実な提案者は正しい状態を守るために時間とガスコストを繰り返し浪費させられます。**現実の世界では、インタラクティブな詐欺証明は高コストであり、高負荷時に脆弱であり、悪用されやすい。**### **非対話型詐欺証明(****ZKチャレンジモデル****)**MegaETHはまったく異なるアプローチを採用しています:挑戦者は**提案者が主張する最終状態が**無効である**ことを証明するために、**簡潔なゼロ知識証明(ZKP)**を生成するだけで済みます。具体的には、このZK証明は、初期状態から取引シーケンスを実行しても**提案者が主張する最終状態には到達しない**ことを示しています。このメカニズムはRISC ZeroのzkVMに基づいて構築され、OP Kailuaの非対話型詐欺証明のハイブリッドアーキテクチャを参考にして実現されます。この証明は、単一の取引を通じてETHに提出され、チェーン上の検証者契約がその有効性を確認します。証明の提案者は、いかなる作業にも参加せず、全体のプロセスに干渉することもなく、争いにも参加しません。! [8O20iC5M2rQK5t0Psa3Hsqon0YB5G8zXCFG2gNVH.png](https://img-cdn.gateio.im/social/moments-1d2d8cce7f28db57b73b855b9da2c15f "7386204" )もちろん、そのような ZK 証明を生成することは **容易なことではありません** —— それは、zk 仮想マシン内で論争の計算プロセスを完全に実行することを要求し、**約 1000 億の計算サイクル**を消費することが予想され、最悪の場合のコストは **約 100 ドル** です。しかし、このコストは **詐欺が証明された場合にのみ発生し**、設計により、**不誠実な側が負担する**ことになっています。このモデルは、誠実な挑戦者の資本の圧力を大幅に軽減し、**二分機構における悪意のある破壊リスクを根本的に排除しました**。### **ZKは詐欺証明に使用され、状態の有効性ではありません**暗号分野では、「ゼロ知識(ZK)」はしばしば ZK ロールアップの同義語として簡略化されます。つまり、ZK 証明を使用してオフチェーンで状態変化を検証し、それをチェーン上に公開するシステムです。しかし、この理解は実際には ZK の潜在能力の半分しかカバーしていません。**MegaETHのゼロ知識証明の目的は、状態の正確性を検証することではなく、**詐欺行為を証明することです。これにより、私たちはOptimistic Rollupの効率性とスケーラビリティを維持しつつ、**信頼不要で非対話型**のメカニズムを新たに追加し、**無効な状態遷移**を検出し、挑戦することが可能になります。私たちはこの混合方法を **ZK詐欺証明** と呼び、基本的に **異なる信頼モデル** をもたらします。## **検出ウィンドウは変わらず、最終時間は大幅に短縮されました**セキュリティの観点から、MegaETHは**典型的なOptimisticチェーンの7日間のチャレンジウィンドウ**を保持します。これは、参加者が特定の状態ルートに対して異議を唱えるための整った1週間の時間があることを意味します。しかし、**本当の違いは異議が提出された後に起こります。** インタラクティブモデルでは、7日目にチャレンジが提出された場合、異議解決を完了するのにさらに数日かかる可能性があります。この間、チェーンはイーサリアムメインネットの最終性が凍結され、プロトコルの進行が中断され、チェーンの活性にも影響を与えることになります。ZK詐欺証明を使用する場合、**全体の争議プロセスは約1時間で完了します。** チャレンジャーはZK証明を生成し、Ethereumメインネットに提出し、検証後すぐに有効になります。チェーンの状態は迅速に確定します。これにより、**悪意のあるチャレンジャーが虚偽の争議を繰り返し発起し、チェーンの確定を妨害する**という重要な攻撃ベクトルに効果的に対抗します。## **EigenDAが提供するデータ可用性保証**詐欺証明プロセスの完全性を確保するために、挑戦者は疑問視されている計算プロセスを再現するために、元のブロックデータに簡単かつ信頼性高くアクセスできる必要があります。これが私たちがZK詐欺モデルを**EigenDA(分散型で高スループットのデータ可用性レイヤー)**と組み合わせて使用する理由です。この構造によって、全体のプロセスは最も安全で最も効率的な形に簡素化されます:* ソート者はブロックデータをEigenDAに公開し、同時に小さなデータの要約をEthereumに提出します。EigenDAが提供する暗号保証により、いつでも詐欺証明を生成できることが保証されており、ソート者は検閲を回避するためにデータを「隠す」ことができません;* どの観察者も EigenDA からブロックデータを取得し、完全なブロックを再構築して zkVM で実行できます;* 一旦詐欺が検出されると、そのオブザーバーは**簡潔なZK詐欺証明**を生成し、Ethereum上の検証契約に提出します;オーダーは罰せられ、その無効な提案は却下されます。## **暗号保障を備えた、拡張可能な信頼モデル**MegaETHは**シンプルな非対話型ZK詐欺証明**を使用して、煩雑な対話型詐欺ゲームを置き換えました。この方法は、嫌がらせ攻撃のリスクを排除し、最終確認時間を大幅に短縮し、争いが**効率的かつスケーラブル**な方法で解決できることを保証します。RiscZeroが検証可能な計算能力を提供し、@eigen\_daが原始データへのアクセスを確保することで、各ステート提案は以下を備えています:再構築可能性、検証可能性、あらゆる規模で誰でも挑戦できる可能性。
終局の戦い:私たちはどのように ZK テクノロジーを使って MegaETH の安全を守るか
著者: MegaETH 出典: @megaeth_labs 翻訳: Shanoba, Golden Finance
すべてのOptimistic Rollupの核心には、1つの重要な仮定が存在します:提出された状態提案は、誤りが証明されるまで、デフォルトで有効である。しかし、この仮定は、Rollupが強力な詐欺証明メカニズムを持っている場合にのみ成り立ちます。このメカニズムが欠如しているチェーンでは、無効な状態が疑問視されない場合、または悪意のある挑戦によって決済プロセスが妨げられると、すぐに安全でなくなります。
詐欺証明の責任
この仮定を支えるために、OptimisticのL2は、検証者(チャレンジャー)がオーダーラー(提案者)によって提出された誤った可能性のある状態提案に対して挑戦を行うことを許可する不正証明メカニズム(いわゆる紛争解決プロトコル)をサポートする必要があります。このメカニズムは、2つの重要な特性を確保しなければなりません:
技術的な観点から見ると、このメカニズムは二つのコアコンポーネントを含んでいます:
各状態提案は、一連の取引実行結果に関する声明であり、通常は三つの部分で構成されています:
初期状態: 最終的に確認されたイーサリアム上の最後のL2状態。
したがって、完全な提案は本質的に次のことを述べています:
「現在の初期状態がAであり、以下の取引リスト(ペイロード)を実行すると、最終状態はXであるべきだと思います。」
この構造を視覚化するために、以下の図の形式を使用できます:
! 8i2x0qwTXcDdLYX1x0fWm3PjE8BoCmLwC2YXpOqK.png
この時、チャレンジサブプロトコルの役割はその主張が正しいかどうかを検証することです。もしそれが間違っている場合、チャレンジは成功しなければならず、その提案は拒否されなければなりません。
インタラクティブ故障証明(バイナリーチャレンジゲーム)
現在の主流のOptimistic Rollup システムのほとんどでは、インタラクティブプロトコルが採用されており、挑戦者と提案者の間で行き来する攻防が行われています。
一旦争議が提起されると、双方は計算過程の中間結果(提案者が主張する各ステップの実行結果)を二分割し、誤りが発生する可能性の範囲を徐々に狭めていきます。このプロセスは繰り返され、双方が単一の誤った計算ステップ(例えば、ある取引が誤って実行された場合)を特定するまで続きます。
具体的なエラーが確認された後、このステップはEthereumメインネットで再実行され、本当に詐欺行為が存在するかどうかを判断します。
! 6WF4yCanaXLDVqAMrwqPHcehkLUpcsFo2PueK0tQ.png
しかし、このメカニズムにはいくつかの問題があります:
現実の世界では、インタラクティブな詐欺証明は高コストであり、高負荷時に脆弱であり、悪用されやすい。
非対話型詐欺証明(ZKチャレンジモデル)
MegaETHはまったく異なるアプローチを採用しています:挑戦者は提案者が主張する最終状態が無効である**ことを証明するために、**簡潔なゼロ知識証明(ZKP)**を生成するだけで済みます。
具体的には、このZK証明は、初期状態から取引シーケンスを実行しても提案者が主張する最終状態には到達しないことを示しています。このメカニズムはRISC ZeroのzkVMに基づいて構築され、OP Kailuaの非対話型詐欺証明のハイブリッドアーキテクチャを参考にして実現されます。
この証明は、単一の取引を通じてETHに提出され、チェーン上の検証者契約がその有効性を確認します。証明の提案者は、いかなる作業にも参加せず、全体のプロセスに干渉することもなく、争いにも参加しません。
! 8O20iC5M2rQK5t0Psa3Hsqon0YB5G8zXCFG2gNVH.png
もちろん、そのような ZK 証明を生成することは 容易なことではありません —— それは、zk 仮想マシン内で論争の計算プロセスを完全に実行することを要求し、約 1000 億の計算サイクルを消費することが予想され、最悪の場合のコストは 約 100 ドル です。しかし、このコストは 詐欺が証明された場合にのみ発生し、設計により、不誠実な側が負担することになっています。このモデルは、誠実な挑戦者の資本の圧力を大幅に軽減し、二分機構における悪意のある破壊リスクを根本的に排除しました。
ZKは詐欺証明に使用され、状態の有効性ではありません
暗号分野では、「ゼロ知識(ZK)」はしばしば ZK ロールアップの同義語として簡略化されます。つまり、ZK 証明を使用してオフチェーンで状態変化を検証し、それをチェーン上に公開するシステムです。しかし、この理解は実際には ZK の潜在能力の半分しかカバーしていません。
**MegaETHのゼロ知識証明の目的は、状態の正確性を検証することではなく、**詐欺行為を証明することです。これにより、私たちはOptimistic Rollupの効率性とスケーラビリティを維持しつつ、信頼不要で非対話型のメカニズムを新たに追加し、無効な状態遷移を検出し、挑戦することが可能になります。
私たちはこの混合方法を ZK詐欺証明 と呼び、基本的に 異なる信頼モデル をもたらします。
検出ウィンドウは変わらず、最終時間は大幅に短縮されました
セキュリティの観点から、MegaETHは典型的なOptimisticチェーンの7日間のチャレンジウィンドウを保持します。これは、参加者が特定の状態ルートに対して異議を唱えるための整った1週間の時間があることを意味します。しかし、本当の違いは異議が提出された後に起こります。 インタラクティブモデルでは、7日目にチャレンジが提出された場合、異議解決を完了するのにさらに数日かかる可能性があります。この間、チェーンはイーサリアムメインネットの最終性が凍結され、プロトコルの進行が中断され、チェーンの活性にも影響を与えることになります。
ZK詐欺証明を使用する場合、全体の争議プロセスは約1時間で完了します。 チャレンジャーはZK証明を生成し、Ethereumメインネットに提出し、検証後すぐに有効になります。チェーンの状態は迅速に確定します。これにより、悪意のあるチャレンジャーが虚偽の争議を繰り返し発起し、チェーンの確定を妨害するという重要な攻撃ベクトルに効果的に対抗します。
EigenDAが提供するデータ可用性保証
詐欺証明プロセスの完全性を確保するために、挑戦者は疑問視されている計算プロセスを再現するために、元のブロックデータに簡単かつ信頼性高くアクセスできる必要があります。
これが私たちがZK詐欺モデルを**EigenDA(分散型で高スループットのデータ可用性レイヤー)**と組み合わせて使用する理由です。
この構造によって、全体のプロセスは最も安全で最も効率的な形に簡素化されます:
暗号保障を備えた、拡張可能な信頼モデル
MegaETHはシンプルな非対話型ZK詐欺証明を使用して、煩雑な対話型詐欺ゲームを置き換えました。この方法は、嫌がらせ攻撃のリスクを排除し、最終確認時間を大幅に短縮し、争いが効率的かつスケーラブルな方法で解決できることを保証します。
RiscZeroが検証可能な計算能力を提供し、@eigen_daが原始データへのアクセスを確保することで、各ステート提案は以下を備えています:
再構築可能性、検証可能性、あらゆる規模で誰でも挑戦できる可能性。