終盤戦：ZKテクノロジーでメガETHを確保した方法

Author: MegaETH Source: @megaeth_labs Translated by Good Oba, Golden Finance

すべてのオプティミスティック・ロールアップの核心には、間違っていると証明されるまで、提出されたステータス・オファーはデフォルトで有効であるという重要な前提がある。strong>submitted status offer are valid by default until proven wrongという重要な仮定がある。しかし、この仮定が成り立つのは、Rollupが堅牢な不正証明メカニズムを持っている場合だけである。このメカニズムが欠けているチェーンは、無効なステータスがチャレンジされなかったり、悪意のあるチャレンジによって決済プロセスがブロックされたりすると、すぐに安全でなくなります。

不正証明の負担

上記の仮定をサポートするために、OptimisticのL2は不正証明メカニズム（紛争解決プロトコルとも呼ばれる）をサポートしなければなりません。strong>紛争解決プロトコルとも呼ばれる）をサポートしなければならない。このプロトコルによって、検証者（チャレンジャー）は、発注者（プロポーザー）から提出された不正な可能性のあるステートプロポーザルに異議を唱えることができる。このメカニズムは、次の2つの重要な特性を保証しなければなりません:

1. すべての不正なステートプロポーザルを特定することができる、

2. 間違った挑戦は決して成功しない。

技術的な観点から見ると、このメカニズムには2つの核となる要素があります。strong>挑戦サブプロトコル：個々の国家提案に関する論争を処理する。

各状態オファーは、一連のトランザクションの実行結果のステートメントであり、通常3つの部分を含んでいます:

• Tournament mechanism: 同じブロックに対して複数の競合する状態オファーがある場合に、唯一の正しいオファーをフィルタリングするために使用されます。

• Initial state（初期状態）: イーサリアム上で最終的に確定した最新のL2状態

• Transaction load（トランザクションロード）: 一連のL2

• 最終状態: 提案者がこれらのトランザクションを実行して得たと主張する結果。

つまり、完全な提案とは、本質的に次のようなものです:

「現在の初期状態がAで、以下のトランザクションのリスト（ペイロード）が実行されたと仮定します。

この構造を次の図の形で視覚化することができます：

この時点で、チャレンジサブプロトコルの役割は、主張が正しいことを検証することである。もしそれが間違っていれば、チャレンジは成功し、命題は却下されなければならない。現在主流のほとんどの楽観的ロールアップシステムでは、対話型プロトコルが使用されています。

一旦論争が申し立てられると、両当事者は計算プロセスの中間結果（提案者が主張する実行の各ステップの結果）を二分し、エラーが発生する可能性のある範囲を段階的に狭めていきます。このプロセスは、両者が間違った（例えば、トランザクションが誤って実行された）単一の計算ステップを見つけるまで、再帰的に続けられます。

特定のエラーを特定した後、そのステップはメインイーサネットワーク上で再実行され、不正が本当に存在するかどうかを判断します。

しかし、このメカニズムには複数の問題があります:

• 待ち時間が長い: 対話の各ステップでは、イーサネットチェーン上でトランザクションを開始する必要があります。

• 提案者に対する要求が高い：提案者が正直であり、挑戦に根拠がないとしても、提案者はイーサネットチェーン全体への参加が必要となります。

• 悪用されやすい: 悪意のある挑戦者は根拠のない挑戦をし続けることができるため、正直な提案者は正しい状態を守るために繰り返し時間とガス代を浪費することになります。

現実的に、対話型不正証明は高価で、高負荷に弱く、悪用されやすいものです。

非対話型不正プルーフィング（ZKチャレンジモデル）

非対話型不正プルーフィング（ZKチャレンジモデル）

これは不正プルーフィングへの新しいアプローチです。align: left;">MegaETHは完全に異なる道を取ります。それは挑戦者に、提案者の声明の最終状態が無効であるという簡潔なゼロ知識証明（ZKP）を生成することだけを要求します。

具体的には、このZK証明は、初期状態から一連のトランザクションを実行しても、提案者の主張する最終状態にはならないことを示す。このメカニズムは、RISC ZeroのzkVM構築に基づいて実装され、OP Kailuaの非対話的不正証明のためのハイブリッド・アーキテクチャを利用している。

証明は単一のトランザクションでイーサに提出され、オンチェーンバリデータコントラクトがその有効性を確認します。証明の提案者は何もする必要がなく、プロセスに介入することも、紛争に巻き込まれることもありません。

もちろん、このようなZKプルーフを生成するのは簡単ではありません。-これは約1000億計算サイクルを消費し、最悪の場合$100 のコストがかかると予想されます。しかし、このコストは不正が証明された場合にのみ発生し、設計上、不正を行った当事者が負担することになる。このモデルは、正直な挑戦者への資本圧力を大幅に減らし、二分法に基づくメカニズムにおける悪意ある妨害行為のリスクを根本的に排除します。

ZK for Fraud Proofing, Not State Validity

暗号の領域では、「ゼロ知識（ZK）」はしばしば、ZKロールアップの同義語として単純に理解されます。つまり、ZKロールアップと同義であり、ZKプルーフを使用してオフチェーンで状態遷移を検証し、オンチェーンでそれを公開するシステムである。しかし、この理解はZKの可能性の半分しかカバーしていません。

MegaETHは、状態の正しさを検証するためではなく、不正を証明するためにゼロ知識証明を使用します。これによって、楽観的ロールアップの効率性とスケーラビリティを維持しながら、不正な状態遷移を検出して挑戦するための、信頼できる、非対話的なメカニズムを追加することができます。

私たちはこのハイブリッドなアプローチをZK Fraud Proofingと呼び、本質的に異なる信頼のモデルをもたらします。

検知ウィンドウは変更せず、終盤は劇的に短くする

安全性と慎重さの理由から、MegaETHはOptimisticチェーンの典型的な7日間のウィンドウを維持します。Optimisticチェーンの7日間のチャレンジ・ウィンドウ、つまり、どの参加者も特定のステート・ルートに異議を唱えるために丸1週間がある。しかし、本当の違いは、紛争が提起された後に発生する。対話型モデルでは、7日目にチャレンジが提起された場合、紛争解決が完了するまでにさらに数日かかる可能性がある。この間、メインEtherNet上のチェーンのファイナリティは凍結され、プロトコルの進行は中断され、チェーンのアクティビティは影響を受けます。

一方、ZK Proof of Fraudでは、紛争処理全体が約1時間で完了します。挑戦者はZKプルーフを生成し、それをメインのEtherNetに提出し、検証する。これは、悪意のある挑戦者が偽の論争を繰り返し、チェーンの最終的な状態を停滞させるという重要な攻撃ベクトルから効果的に防御します。

EigenDAによるデータ可用性の保証

不正証明プロセスの完全性を保証するために、挑戦者は、挑戦された計算を再現するために、元のブロックデータに簡単かつ確実にアクセスできなければなりません。ブロックデータに簡単かつ確実にアクセスできなければなりません。

これがまさに、私たちがZK不正モデルをEigenDAという分散型の高スループットデータ利用可能レイヤーと組み合わせた理由です。

この構造により、プロセス全体が最も安全で効率的な形に合理化されます:

• シーケンサーはブロックデータを公開します。ブロックデータをEigenDAに公開する一方で、データのごく一部だけをイーサに提出する。EigenDAは暗号的な保証を提供し、不正の証明がいつでも生成できること、そしてシーケンサーが精査からデータを「隠す」ことができないことを保証する。

• • どのオブザーバーも、EigenDAからブロックデータを取得し、完全なブロックを再構築し、zkVMで実行することができます。

  • 不正が検出されると、そのオブザーバーはZK不正の簡易証明を生成し、Etherに提出することができます。strong>はイーサ上の検証コントラクトに提出され、シーケンサーはペナルティを受け、その無効な提案は拒否されます。

  暗号的に安全でスケーラブルな信頼モデル

  MegaETHは、単純な非対話的ZK詐欺証明を使用しています。対話型ZK詐欺証明を使用します。このアプローチは嫌がらせ攻撃のリスクを排除し、最終確認時間を劇的に短縮し、効率的でスケーラブルな方法で紛争を解決できるようにします。

  RiscZeroが検証可能な計算能力を提供し、@eigen_daが未加工データへのアクセスを保証することで、どの州の提案も、

  再構築可能性、検証可能性、誰でも挑戦できる可能性があります。

  再構築可能性、検証可能性、誰にでも挑戦できる可能性がある。