次の例で、問題の所在を正確に特定できる。競札者が2人のオークションを考える。入札者は Alice と Bob で、しかも Bob はそのブロックのリーダーでもある。(競札者が2人だけという設定は問題を説明するためであり、競札者が何人であっても同様の推論が適用される。)
オークションはブロック生成に必要な時間帯の間、入札を受け付ける。t=0 から t=1 までだと仮定する。Alice は時刻 tA に入札 bA を提出し、Bob は時刻 tB > tA に入札 bB を提出する。Bob はこのブロックのリーダーなので、常に最後に行動することを保証できる。Alice と Bob には、常に更新される資産価格の真実の情報源があり、読み取れる(例えば、取引所の中心価格)。時刻 t において、この価格を pt とする。さらに、市場は任意の時刻 t において、オークション終了時(t=1)の資産価格に関する期待が、常に現在のリアルタイム価格 pt に等しいと仮定する。オークションのルールは単純で、Alice と Bob のうち最高額を入札した者がオークションに勝ち、その入札額を支払う。
検閲に対する要求
ここで、Bob がこのオークションのリーダーとしての優位を活用できるとしたら何が起きるかを考えよう。Bob が Alice の入札を検閲できるなら、明らかにオークションは崩壊する。競札者が他にいないので、Bob は任意にごく小さい額を入札するだけで、勝利を保証できる。これにより、オークション清算時点の実質的な利益は 0 になる。
隠蔽に対する要求
より複雑なケースとして、Bob が Alice の入札を直接検閲できないが、それでも自分の入札より前に Alice の入札を見ることはできるとしたらどうなるだろう。この状況では、Bob は単純な戦略を持つ。彼が入札するときに、ptB > bA が成り立つかどうかをチェックするだけでよい。成り立つなら Bob の入札額は bA をわずかに上回る程度にし、成り立たないならそもそも入札しない。
この戦略を実行することで、Bob は Alice に不利な逆選択を強いる。Alice が勝つ唯一の状況は、価格の更新によって彼女の入札が最終的に資産の予想価値を上回った場合だけである。Alice がオークションに勝つたびに、彼女は損をすることを見込むので、いっそオークションに参加しない方がましだ。競争相手がすべて消えたとき、Bob は再び任意にごく小さい額を入札して勝利でき、オークションは実質的に 0 の利益しか生まない。
ここで重要なのは、このオークションがどれくらい続くかは重要ではないということだ。Bob が Alice の入札を検閲できるか、あるいは自分の入札より前に Alice の入札を見ることができる限り、このオークションは必ず失敗する。
この例での同じ原理は、現物取引、無期限先物契約、デリバティブ取引所など、高頻度取引の資産すべての環境に当てはまる。もし、この例で Bob に権限があるのと同様の権限を持つリーダーが存在すれば、そのリーダーは市場を完全に崩壊させ得る。これらのユースケースにサービスするオンチェーン製品を実際に成立させるには、それらがリーダーにそうした権限を決して与えてはならない。
短期的な検閲耐性と隠蔽性の両方を備えるプロトコルは、金融アプリケーションを構築する理想的な基盤を提供する。オンチェーンでオークションを動かす例に戻ると、これら2つの性質は、Bob が市場を崩壊させ得る問題をまさにその方法で直接解決する。Bob は Alice の入札を検閲できず、また Alice の入札を利用して自分の入札に関する情報を得ることもできない。これは、先ほどの例での問題を正確に解決する。
a16z Crypto 最新研究:DeFi 大規模応用の鍵は何か?
著者:PGarimidi、jneu_net、@MaxResnic
翻訳:佳欢、ChainCatcher
ブロックチェーンは、いまや現行の金融インフラと競争するために必要な能力を、実際に備えたと明確に主張できる。今日のプロダクション・システムは、1秒あたり数万件のトランザクションを処理でき、さらに数桁規模の増加が目前に迫っている。しかし、原初的なスループット(最大処理量)以外にも、金融アプリケーションには予測可能性が必要になる。売買1件であれ、オークションの入札価格であれ、オプションの権利行使であれ、金融システムが正常に機能するには、確定した答えが要る。つまり、この取引は一体いつ実行されるのか?取引が予測不能な遅延に直面する(それが悪意によるものであれ偶発的なものであれ)なら、多くのアプリケーションは利用できなくなる。
オンチェーンの金融アプリケーションが競争力を持つためには、ブロックチェーンは短期的なパッキング(短期のバンドリング)保証を提供する必要がある。つまり、有効なトランザクションをネットワークに投入すれば、できるだけ早くパッケージ化されると保証すること。たとえば、オンチェーンのオーダーブックを考えてみよう。有効なオーダーブックには、マーケット・メーカーが帳簿上の資産の売り買い注文を維持することで、流動性を継続的に提供することが求められる。
マーケット・メーカーの主要な難題は、買値と売値のスプレッドを可能な限り小さくすることと、提示価格が市場から乖離することで「逆向きの選択(逆選択)」のリスクに陥るのを避けることの両立にある。そこで、マーケット・メーカーは現実世界の状態を反映するために、絶えず注文を更新しなければならない。たとえば、米連邦準備制度(FRB)の発表によって資産価格が急騰したなら、マーケット・メーカーはすぐに対応し、新しい価格に基づいて注文を更新する必要がある。このときもし、注文を更新するための取引が即座に確定・オンチェーン化されないなら、アービトラージャーが過去の(古い)価格でその注文を約定させることで、マーケット・メーカーは損失を被る。マーケット・メーカーは、その種のイベントにおけるリスクエクスポージャーを減らすために、逆により大きなスプレッドを設定する必要がある。これは、オンチェーン取引会場の競争力を下げることにつながる。
予測可能な取引のパッキングは、マーケット・メーカーに強力な保証を与え、オフチェーンの出来事に対して迅速に反応しつつ、オンチェーン市場の効率性を維持できるようにする。
私たちは何を持ち、何が必要なのか
現在の既存ブロックチェーンは、通常数秒の時間幅で有効になる、堅牢な最終確定(finality)保証だけを提供している。これらの保証は支払いなどのアプリケーションには十分かもしれないが、市場参加者がリアルタイムで情報に反応する必要がある、より大規模な金融アプリケーションを支えるには弱すぎる。
上のオーダーブックの例に戻ると、マーケット・メーカーにとっては、アービトラージャーの取引がより早いブロックで約定できるなら、「将来の数秒の間に」パッキングされる保証はまったく無意味になる。強いパッキング保証がなければ、マーケット・メーカーは、スプレッドを広げ、ユーザーに対してより不利な価格を提示することで、逆選択リスクの増大に対処せざるを得ない。これは、より強い保証を提供する他の取引会場と比べて、オンチェーン取引の魅力を大きく減じる。
ブロックチェーンが資本市場の近代化というビジョンを本当に実現するためには、ビルダーは、オーダーブックのような高価値アプリケーションが繁栄できるように、これらの問題を解決する必要がある。
予測可能性は結局どこが難しいのか?
これらのユースケースをサポートするために、既存ブロックチェーンのパッキング保証を強化するのは難しい課題だ。今日の一部プロトコルは、任意の時点でどの取引をパッキングするかを決められるノード(「リーダー」)に依存している可能性がある。これは高性能ブロックチェーンを構築する工学上の課題を単純化するが、同時に潜在的な経済的ボトルネックも生む。そこでは、リーダーが価値を吸い上げられる。通常、ノードがリーダーに選ばれるウィンドウの間、そのノードは、どの取引をブロックに入れるかについて完全な権限を持つ。規模を問わず金融活動を処理するブロックチェーンにおいて、リーダーは特権的な地位にある。もしこの単独のリーダーがある取引をパッキングしないと決めた場合、唯一の救済策は、その取引をパッキングする意思のある次のリーダーを待つことになる。
無許可ネットワークでは、リーダーには価値を吸い上げる動機がある。いわゆる MEV だ。MEV は、AMM の挟撃(夹击)取引のような範囲をはるかに超える。たとえリーダーが取引を数十ミリ秒だけ遅らせることしかできなくても、それだけで巨額の利益を得られ、下層アプリケーションの効率性も落とせる。特定の取引者だけを優先して処理するオーダーブックは、他の全員を不公平な競争環境に置く。最悪の場合、リーダーは極端に敵対的になり、取引者がそのプラットフォームから完全に離れてしまうことさえあり得る。
金利引き上げが起きたと仮定する。ETH の価格は即座に 5% 下落する。オーダーブック上の各マーケット・メーカーはこぞって指値注文を取り消し、新しい価格で新規注文を出す。同時に、各アービトラージャーは、古い指値注文価格で ETH を売る注文を提出する。もしこのオーダーブックが単一のリーダーを持つプロトコル上で動いているなら、そのリーダーは極めて大きな権力を持つ。リーダーは単に、マーケット・メーカーの取消操作をすべて精査(審査)しないように選ぶことで、アービトラージャーに巨額の利益を得させることができる。あるいは、取消操作を直接精査しないのではなく、アービトラージャーの取引が落地した後に取消操作の遅延を行うこともできる。リーダーはさらに、自分のアービトラージ取引を直接挿入して、価格差を最大限に活用することさえできる。
2つの基本的な要求
これらの利点に直面すると、マーケット・メーカーが積極的に参加することは経済的に見合わない。価格変動が起きるだけで、彼らは食い物にされ得るからだ。この問題は、リーダーが2つの重要な点で過度な特権を持つことに帰着する。1)リーダーは他者の取引を検閲でき、2)リーダーは他者の取引を見て、それに応じて自分の取引を提出できる。これら2つの問題のいずれも、破滅的であることが示され得る。
一つの例
次の例で、問題の所在を正確に特定できる。競札者が2人のオークションを考える。入札者は Alice と Bob で、しかも Bob はそのブロックのリーダーでもある。(競札者が2人だけという設定は問題を説明するためであり、競札者が何人であっても同様の推論が適用される。)
オークションはブロック生成に必要な時間帯の間、入札を受け付ける。t=0 から t=1 までだと仮定する。Alice は時刻 tA に入札 bA を提出し、Bob は時刻 tB > tA に入札 bB を提出する。Bob はこのブロックのリーダーなので、常に最後に行動することを保証できる。Alice と Bob には、常に更新される資産価格の真実の情報源があり、読み取れる(例えば、取引所の中心価格)。時刻 t において、この価格を pt とする。さらに、市場は任意の時刻 t において、オークション終了時(t=1)の資産価格に関する期待が、常に現在のリアルタイム価格 pt に等しいと仮定する。オークションのルールは単純で、Alice と Bob のうち最高額を入札した者がオークションに勝ち、その入札額を支払う。
検閲に対する要求
ここで、Bob がこのオークションのリーダーとしての優位を活用できるとしたら何が起きるかを考えよう。Bob が Alice の入札を検閲できるなら、明らかにオークションは崩壊する。競札者が他にいないので、Bob は任意にごく小さい額を入札するだけで、勝利を保証できる。これにより、オークション清算時点の実質的な利益は 0 になる。
隠蔽に対する要求
より複雑なケースとして、Bob が Alice の入札を直接検閲できないが、それでも自分の入札より前に Alice の入札を見ることはできるとしたらどうなるだろう。この状況では、Bob は単純な戦略を持つ。彼が入札するときに、ptB > bA が成り立つかどうかをチェックするだけでよい。成り立つなら Bob の入札額は bA をわずかに上回る程度にし、成り立たないならそもそも入札しない。
この戦略を実行することで、Bob は Alice に不利な逆選択を強いる。Alice が勝つ唯一の状況は、価格の更新によって彼女の入札が最終的に資産の予想価値を上回った場合だけである。Alice がオークションに勝つたびに、彼女は損をすることを見込むので、いっそオークションに参加しない方がましだ。競争相手がすべて消えたとき、Bob は再び任意にごく小さい額を入札して勝利でき、オークションは実質的に 0 の利益しか生まない。
ここで重要なのは、このオークションがどれくらい続くかは重要ではないということだ。Bob が Alice の入札を検閲できるか、あるいは自分の入札より前に Alice の入札を見ることができる限り、このオークションは必ず失敗する。
この例での同じ原理は、現物取引、無期限先物契約、デリバティブ取引所など、高頻度取引の資産すべての環境に当てはまる。もし、この例で Bob に権限があるのと同様の権限を持つリーダーが存在すれば、そのリーダーは市場を完全に崩壊させ得る。これらのユースケースにサービスするオンチェーン製品を実際に成立させるには、それらがリーダーにそうした権限を決して与えてはならない。
では、これらの問題は現在どのように実際に生じているのか?
上の物語は、無許可の単一リーダー・プロトコル上のオンチェーン取引が、どれほど暗い状況を描くかを示している。しかし、単一リーダー・プロトコル上の分散型取引所(DEX)の取引量が依然として健康的に保たれているのはなぜだろうか?実務では、上述の問題を相殺する2つの力の組み合わせがある:
この2つの要因によって、これまでのところ分散型金融(DeFi)の運用は維持されてきたが、長期的には、それだけではオンチェーン市場がオフチェーン市場と本当に競争できるほどにはならない。
実質的な経済活動を持つブロックチェーンでリーダー資格を得るには、大量のステーキング(担保預託)が必要になる。つまり、リーダー自身が大量のステークを持つか、あるいは十分な評判があり、他のトークン保有者が彼らにステークを委任する必要がある。いずれの場合でも、大規模なノード運営者は、評判リスクに直面する既知の存在である。評判だけでなく、このステークは、これらの運営者にも、ブロックチェーンがうまく動くことを望む財務上の動機を持たせる。だからこそ、上で述べたようにリーダーが市場支配力を十分に使い切っていないのが、まだ多く見えていない理由だ。とはいえ、これらの問題が存在しないという意味ではない。
第一に、ノード運営者の善意に社会的圧力を通じて依存し、それを長期的な動機に訴えるだけでは、金融の未来を支える堅牢な土台にはならない。オンチェーンの金融活動の規模が増えるほど、リーダーの潜在的な利益も同じように増える。この潜在利益が大きくなるほど、社会的なレイヤーでリーダーの行動が目の前の直接利益に反するように仕向けることは、ますます難しくなる。
第二に、リーダーが市場権力をどこまで使えるかは、良性から市場が完全に崩壊するまでの連続したスペクトラムである。ノード運営者は、単独で、その権力を使ってより高い利益を得るように動かすことができる。ある運営者が一般に受け入れられた最低ラインを押し広げたとき、他の運営者もすぐに追随する。単一ノードの行動は些細に見えるかもしれないが、全員が変化したとき、その影響は明白になる。
おそらくこの現象の最良の例は、タイミング・ゲーム(Timing Games)だろう。リーダーは、プロトコルがまだ有効である前提で、可能な限り遅くブロックを公告(出力)して、より高い報酬を得ようとする。リーダーが過度に強気でこの戦略を取ると、ブロック生成時間が長くなり、さらに飛び(スキップ)が増える。これらの戦略の収益性は広く知られているが、リーダーがそれらのゲームに参加しない主な理由は、ブロックチェーンの良い管理者として振る舞うためだ。しかし、これは脆い社会的な均衡である。単一のノード運営者が、結果が伴わずにより高い報酬を得るためにこれらの戦略を始めたら、他の運営者もすぐに参加する。
タイミング・ゲームは、リーダーが市場権力を十分に使い切れないまま利益を増やす方法の一例にすぎない。リーダーは、アプリケーションを犠牲にして報酬を増やすための他にも多くの手段を取れる。単独で見ればこれらの施策はアプリケーションにとって成立するかもしれないが、最終的には天秤がある一点に傾き、オンチェーン化コストが得られる利益を上回ってしまう。
DeFi を維持しているもう一つの要因は、重要なロジックをチェーン外に移し、結果だけをチェーン上に公開することだ。たとえば、迅速なオークションを必要とするプロトコルはすべてオフチェーンで実行される。これらのアプリケーションは通常、悪意あるリーダーの問題に直面しないように、必要な仕組みを許可されたノードの集合で動かす。たとえば UniswapX は、取引を成立させるために、イーサリアム主ネットの外でオランダ式オークションを実行し、同様に CowSwap もオフチェーンでバッチ・オークションを動かす。
これはアプリケーションにとっては機能するが、基盤層とオンチェーン構築の価値提案を、極めて不安定な状況に置くことにもなる。アプリケーションの実行ロジックがオフチェーンの世界にあるなら、基盤層は純粋に決済層になる。DeFi の最も強力なセールスポイントの1つは、組み合わせ可能性(composability)だ。すべての実行がオフチェーンの世界で起きるなら、これらのアプリケーションは本質的に孤立した環境で生きることになる。オフチェーン実行に依存することで、これらのアプリケーションの信頼モデルにも新たな仮定が加わる。アプリケーションの稼働は、もはや基盤チェーンの活発さだけに依存するのではなく、このオフチェーン基盤も正常に動いている必要がある。
予測可能性を得る方法
これらの問題に対処するために、プロトコルには2つの性質が必要だ。すなわち、一貫した取引のパッキングと並べ替え(順序付け)ルール、そして確定前の取引プライバシーだ(これらの厳密な定義と拡張の議論については、本論文を参照)。
基本要求 1:検閲耐性
最初の性質を短期的な検閲耐性で要約する。いかなる取引であれ、誠実なノードに到達したものは次に可能なブロックに必ず含まれるなら、そのプロトコルは短期的な検閲耐性を持つ:
より正確には、プロトコルが固定のクロック上で動作し、各ブロックが設定された時間に生成される(たとえば 100 ミリ秒ごと)と仮定する。必要なのは、ある取引が t=250ms に誠実なノードへ到達したなら、それが t=300ms に生成されるブロックに含まれることを保証することだ。対手(相手)は、自分が聞いた特定の取引だけを選択的にパッキングして、他の取引を落とす裁量権を持つべきではない。
この定義の精神は、ユーザーとアプリケーションが、あらゆる時点で取引を確実に着地させるための非常に信頼できる方法を持つべきだということにある。単一ノードが偶然にパケットをロス(無配)する(悪意であれ単なる稼働障害であれ)ことで、取引が着地できないような事態が起きてはならない。もちろん、この定義は、どの誠実なノードに到達した取引にもパッキング保証を提供することを求めるが、実際にそれを実現するコストはあまりに高くなり得る。重要なのは、プロトコルが堅牢であることだ。すなわち、オンチェーンへの切り込み(投入ポイント)がどのように振る舞うかが、非常に予測可能であり、推論しやすい必要がある。
無許可の単一リーダープロトコルは、明らかにこの性質を満たさない。なぜなら、ある時点で単一のリーダーがバイザンチン(任意の挙動)ノードであれば、取引を着地させる他の方法はないからだ。しかし、各スロットで取引をパッキングできる4つのノード集合でも、ユーザーとアプリケーションが取引を着地させる選択肢の数は大幅に改善される。ある程度の性能(パフォーマンス)を犠牲にしても、アプリケーションが確実に繁栄できるプロトコルを得る価値はある。堅牢性と性能の間の適切なトレードオフ点を探るには、さらに多くの作業が必要だが、既存プロトコルの提供する保証は不十分である。
プロトコルがパッキングを保証できるなら、並べ替え(ソーティング)はある程度自然に起こる。プロトコルは、一貫した並べ替えを保証するために、好きな任意の決定論的並べ替えルールを自由に使える。最も単純な解決策は、優先手数料(priority fee)で並べることだし、あるいはアプリケーションが、自分の状態と相互作用する取引を柔軟に並べ替えられることを許可する可能性もある。取引を並べ替える最善の方法は、依然として活発な研究領域だが、いずれにせよ、並べ替えが必要な取引が着地する基盤があって初めて、並べ替えルールに意味が生まれる。
基本要求 2:隠蔽(プライバシー)
短期的な検閲耐性に続いて、次に重要な性質は、プロトコルが「隠蔽」と呼ぶ一種のプライバシーを提供することである。
「隠蔽」性質を備えるプロトコルは、ノードが提出されたすべての取引を平文で見ることを許すかもしれないが、その場合でもプロトコルの残りの部分は、合意(コンセンサス)を達成し、最終ログの中で取引の順序が確定されるまで、盲状態(中身が見えない状態)であることが要求される。たとえば、プロトコルはタイムロック暗号を使い、ある締切日までブロック全体の内容を隠し続けるかもしれない。あるいは、プロトコルはしきい値(しきい値)暗号を使い、委員会が不可逆に確定した直後に、そのブロックを即座に復号するかもしれない。
これは、ノードが提出から得た任意の取引情報を悪用する可能性を意味するが、プロトコルの残りの部分は、それらが合意した内容を事後にしか知らないということでもある。取引情報がネットワークの残りの部分に開示される時点では、取引はすでに並べ替えられ確定しているため、他の当事者はそれに先回り(フロントラン)して行動することができない。この定義を有用にするには、確かに複数のノードが、いかなる所定の時期(スロット)でも取引を着地させられる必要がある。
「取引が確定する前に、ユーザーがその情報のいかなる部分も知ることはできない」という、より強い概念(例えば、暗号化メモリプール)を使わない理由は、プロトコルにはガベージトランザクション(不正または無意味な取引)をフィルタするために何らかの手順が必要だからだ。もし取引内容がネットワーク全体に対して完全に隠蔽されるなら、ネットワークはガベージ取引と有意味な取引を分離してフィルタできない。この問題を解決する唯一の方法は、取引の一部として、まだ隠蔽されていないメタデータをいくらか漏らすことだ。たとえば、取引が有効かどうかにかかわらず手数料が課される支払い者アドレスのような情報である。
ただし、これらのメタデータは、対手が悪用するのに十分な情報を漏らし得る。したがって、私たちは、単一ノードが取引を完全に可視化でき、ネットワーク内の他のノードには一切可視化されない、という方針をより好む。しかしこれは同時に、この性質を有用にするためには、ユーザーが各スロットで少なくとも1つの誠実なノードをオンチェーンの切り込みポイントとして確保し、そこに取引を着地させる必要があることも意味する。
短期的な検閲耐性と隠蔽性の両方を備えるプロトコルは、金融アプリケーションを構築する理想的な基盤を提供する。オンチェーンでオークションを動かす例に戻ると、これら2つの性質は、Bob が市場を崩壊させ得る問題をまさにその方法で直接解決する。Bob は Alice の入札を検閲できず、また Alice の入札を利用して自分の入札に関する情報を得ることもできない。これは、先ほどの例での問題を正確に解決する。
短期的な検閲耐性により、取引を提出する誰もが(取引でもオークション入札でも)、即座にパッキングされることを保証できる。マーケット・メーカーは注文を変更でき、入札者は素早く入札でき、清算も効率よく着地できる。ユーザーは、自分が行う任意の操作が即座に実行されることを確信できる。これは次世代の低遅延な現実世界の金融アプリケーションが、完全にオンチェーンで構築されることを可能にする。
ブロックチェーンが、現行の金融インフラと競争するだけでなく、それをも上回る存在になるために、解決すべきなのはスループットの問題だけではない。