Ethereum フォーラム 日本語アーカイブ

トピックで絞り込む

すべてのタグ (89) →

SI-RVP: オフチェーン二分探索 + オプティミスティックロールアップ紛争解決のための単一命令Groth16証明

12 min read

原文

SI-RVP: off-chain bisection + a single-instruction Groth16 proof for optimistic-rollup dispute resolution — cd4761 (2026-05-30)

TL;DR

私たちは、CannonのN分の1のパーミッションレスな信頼モデルを維持しつつ、二分探索をオフチェーンに移行し、オンチェーンのMIPSリーフ実行を単一命令Groth16証明に置き換えるハイブリッドなオプティミスティックロールアップ紛争プロトコルを構築し、その測定を行いました。Sepoliaでの概念実証 (PoC) では、争われたパスは4つのコア紛争トランザクション(約0.72Mガス)と、resolveDispute決済(約0.11M)の合計5つのオンチェーントランザクションで、合計約0.83Mガスでした。これは、Cannonの完全なオンチェーンゲームの仕様に基づく推定値(約10~15Mガス;Cannonの再測定はしていません)よりも約1桁低い値です。

これが短縮するものと短縮しないもの: 私たちは、可用性バッファとして7日間のチャレンジ期間を維持するため、これは「47分での引き出し」という主張ではありません。数日から約数十数分に短縮されるのは、チャレンジが開始された後の敵対パスの紛争解決です — そして、その約47分という数値も測定されたものではありません。これはL1の確認に支配されるモデル予測です(詳細は下記)。ガス消費量は実測値ですが、レイテンシはモデル値です。

これは、ZK Fraud Proof with ZK State Channel(2024年3月)で提案されたアイデア — オンデマンドZK証明を用いてオプティミスティックロールアップの紛争をZKステートチャネルで解決する — と、関連するハイブリッド二分探索 + シングルステップZKの議論(例: Almost Instant Interactive Fraud Proof … multi-step ZK verifier)に直接基づいています。率直に言えば、高レベルのアイデアは私たちのものではありません — 基本的には#19004の提案です。私たちの貢献はより限定的で、動作するエンドツーエンドの実装、オンチェーンでの測定、および構造的な(ゲーム理論に基づかない)安全性に関する議論です。Cartesi Dave / OP Kailuaを考慮すると、この差分が意味のあるものなのか、それともほとんどがエンジニアリングなのかについて、コミュニティの見解を伺いたいです。

問題

7日間の不正証明期間は、オプティミスティックロールアップのファイナリティにおいて、オプティミスティックモデルに固有の部分です(ブリッジの特性ではありません)。既存の紛争解決機構は、オンチェーン検証コスト(Cannon, BoLD)またはオフチェーン証明コスト(MorphのフルバッチRVP)をトレードオフすることで、ウォールクロック時間を短縮しますが、両方を同時に削減するものは今のところありません。

アプローチ(4つの要素)

  1. オフチェーン二分探索。 争われたMIPSトレースに対する⌈log₂ T⌉ラウンドの二分探索は、チャレンジャーとシーケンサー間の署名付きP2Pメッセージとして実行されます。共同署名された最終コミットメントのみがL1に触れます。
  2. Poseidonにアラインされた二分探索コミットメント。 オフチェーンハッシュ計算とZK回路の公開入力の両方にPoseidonを使用するため、オンチェーンのkeccak256(abi.encodePacked(preHash, postHash, step))コミットメントがオフチェーンの結果を検証者にバインドします。(ここで実際のバグに遭遇しました — 下記の「外部検証が捕捉したもの」を参照してください。)
  3. 単一命令Groth16証明。 争われたMIPSステップの1つだけが証明されます(BN254上の関係R_mips)。検証者のガス消費量はバッチサイズに対して一定です。
  4. N分の1のパーミッションレスなバリデータープール。 インスタンスレベルの紛争は二者間ですが、安全性にはプール内に正直かつアクティブなバリデーターがいくつかいるだけで十分です。オプティミスティックパスへのフォールバックは閉形式(1−h)^Nを持ちます。

測定したもの(と測定しなかったもの)

  • 測定値(Sepolia、単一実行 — 分布ではなく点推定値として扱う): 4つのコア紛争トランザクション(initiate + bond + bisectionResult + submitProof)は720,483ガス。resolveDisputeが105,267ガスを追加するため、完全なライフサイクルは5つのオンチェーントランザクションで約825,750ガスです。submitProof(実際のGroth16ペアリングチェック)は279,930ガス。回路:16,857 R1CS制約、単一MIPSステップ。比較対象のCannonベースラインは、仕様に基づく推定値(約50Kガス/ムーブ × 深さ73のゲーム)であり、再測定ではないため、「約1桁」という表現は意図的です。
  • 測定しなかったもの — 予測値: エンドツーエンドのレイテンシ約47分。これは、測定された証明/P2Pプリミティブ**と、想定されるメインネットのファイナリティL1確認(約10~12分/トランザクション)**で評価された活性の限界から導き出されます。PoC実行では実際にトランザクションが連続するSepoliaブロック(約12秒間隔)に着地しましたが、これは下限であり、予測入力ではありません。したがって、ガス消費量は実測値ですが、レイテンシはモデル値です。

外部検証が捕捉したもの(特筆すべき点)

再現性を確認するためにPoCを再実行した際、オンチェーンのコミットメントチェックがGroth16の公開シグナルを[0],[1]としてインデックス付けしていることを発見しました。しかし、snarkjsは公開入力の前に回路出力を発行するため、シグナル順序は[valid, preHash, postHash]であり、二分探索されたハッシュは[1],[2]にあります。古いインデックス付けでは有効な証明がコミットメントチェックを通過できませんでした。これを修正し、再デプロイしたところ、実際の証明がオンチェーンで通過するようになりました。この件を言及したのは、これがエンドツーエンドのガス消費量テストだけでは捕捉できない、サイレント障害(プロトコルがオンチェーンシグナルなしでオプティミスティックパスに崩壊する)の一種だからです。

先行研究との関連(反論が予想される点)

  • Cartesi Daveは、最も近いプロダクションレベルの設計です。二分探索の後にリーフで単一の有効性証明を行います。違いは、Daveの二分探索がオンチェーンのトーナメントであるのに対し(私たちはオフチェーンZKステートチャネルを使用)、DaveがRISC-Vマシンの**「太い」ネイティブスピードステップを証明するのに対し(私たちは単一のMIPS命令**を証明します)。
  • OP Kailua / Boundlessハイブリッドモードは、インタラクティブゲームをZK不正証明に置き換えます。これは設計空間の異なる点であり(単一命令リーフはありません)。
  • BoLDは二分探索をオンチェーンに維持します(オール対オール、O(N²)の通信)。
  • Morph RVPは、チャレンジされたバッチ全体を証明します(証明者コストはバッチに比例します)。

コミュニティへの率直な質問です。「オフチェーン二分探索 + 単一命令ZKリーフ + ZKステートチャネル」という組み合わせは、Daveの軌跡を考慮しても意味のある新規性があるのでしょうか、それとも差分はほとんどエンジニアリングなのでしょうか?

隠していない制限事項

  • トラステッドセットアップがデプロイの障壁。 PoCはベンチマークのために単一パーティGroth16セットアップを使用しています。プロダクションにはMPCセレモニー(Powers of Tau + 回路フェーズ2)が必要です。これが、これを研究プロトタイプと呼ぶ主な理由です。
  • MIPS-27サブセット → カバレッジ数だけでなく、完全性のギャップ。 エグゼキュータはCannonの約50オペコードのうち27を実装しています(分岐/ジャンプ/システムコールは延期)。私たちが明示したい結果は、紛争の最終命令が未実装のオペコードである場合、単一命令証明は現在生成できません — プロトコルは健全性を保ち(誤ったルートを確定することはありません)が、サブセットが拡張されるまでそのパスでは不完全です。ステップごとのR1CSコストはオペコード数に対して不変であり、分岐/ジャンプ/システムコールは既存の制約ファミリーを共有するため、このギャップを埋めるのはエンジニアリングであり、新しい回路プリミティブではありません — しかし、まだ完了していません。
  • フォールバックモデルにおける独立性。 (1−h)^Nはペアワイズ独立なバリデーターを前提としており、相関するインフラストラクチャはそれを弱めます。

意見を伺いたい点

  1. 単一命令(対ファットステップ)リーフは実際の利点となるのでしょうか、それとも証明コストを含めるとDaveのネイティブスピードステップが実際に優位に立つのでしょうか?
  2. 構造的な安全性削減(Groth16の健全性 + ハッシュ衝突耐性への還元であり、ボンド対EVのゲーム理論ではない)は正しいフレームワークなのでしょうか、それともインセンティブ攻撃を見落としているのでしょうか?
  3. オフチェーンZKステートチャネルについて:タイムアウトフォールバックを超えた妨害行為下での2-of-2共同署名の障害モードはどのようなものがあるでしょうか?

コントラクト / 回路 / 測定アーティファクトはリクエストに応じて提供可能です(公開リリースはIPクリアランス待ちです)。私たちは、プロダクションレベルの主張を行う前に、L2/ZKコミュニティの意見を得るためにここに投稿しています — 上記の先行研究との差分と完全性のギャップに関する反論こそ、私たちが求めているものです。

1投稿 - 1参加者

トピック全文を読む

グラフビュー