以下の例で、問題の所在を正確に特定できる。2人の入札者 Alice と Bob がいるオークションを考える。ここで Bob もまた、オークションが発生するブロックのリーダーである。(説明のため入札者を2人に限定しているだけであり、入札者が何人であっても同じ推論が成り立つ。)
オークションは、ブロック生成に必要な時間の間入札を受け付ける。t=0 から t=1 としよう。Alice は時間 tA に入札 bA を提出し、Bob は時間 tB > tA に入札 bB を提出する。Bob はこのブロックのリーダーであるため、彼は常に最後に行動できる。Alice と Bob には、更新し続ける資産価格の真実の情報源(たとえば、取引所のティッカーの中間価格)もある。時間 t におけるこの価格を pt とする。市場がオークション終了時(t=1)における資産価格について抱く期待は、常に現在のリアルタイム価格 pt に等しいと仮定する。オークションのルールは単純で、Alice と Bob のうち入札がより高い方がオークションに勝ち、その入札額を支払う。
検閲に対する要求
次に、Bob がこのオークションのリーダーとしての優位を活用できる場合に何が起きるかを考えよう。Bob が Alice の入札を検閲できるなら、明らかにオークションは崩壊する。ほかに入札者がいないのだから、Bob は任意に小さな金額を入札するだけで勝てる。これにより、オークションの精算時点の利益は実質 0 になる。
隠蔽に関する要求
より複雑なケースは、Bob が Alice の入札を直接検閲できないが、それでも自分の入札より前に Alice の入札を見ることができる場合である。この状況では、Bob は簡単な戦略を持つ。彼が入札するとき、ptB > bA が成り立つかどうかだけを確認すればよい。成り立つなら、Bob の入札は bA をわずかに上回るだけにする。そうでなければ、Bob はそもそも入札しない。
この戦略を実行することで、Bob は Alice に不利な逆向きの選択を迫る。Alice が勝つ唯一の条件は、価格の更新によって彼女の入札が最終的に資産の期待価値を上回るようになることだ。Alice がオークションで勝つたびに、彼女は損をする見込みになる。ならば、いっそオークションに参加しない方がましである。競争相手が全員消えれば、Bob は再び任意に小さな金額を入札するだけで勝てる。そしてオークションは実質 0 の利益を得る。
ここでの要点は、このオークションがどれだけ長く続くかは重要ではないということだ。Bob が Alice の入札を検閲できる、あるいは自分の入札より前に Alice の入札を見ることができる限り、このオークションは破綻する運命にある。
この例で示した同じ原理は、あらゆる高頻度取引対象の環境に当てはまる。現物取引であっても、パーペチュアル・コントラクトであっても、デリバティブ取引所であっても同様である。もしこの例で Bob に相当する権力を持つリーダーが存在するなら、そのリーダーは市場を完全に崩壊させ得る。これらのユースケースに資するオンチェーン製品を現実に成立させるには、リーダーにこうした権力を与えてはならない。
a16z Crypto 最新研究:DeFi 大規模応用の鍵は何か?
著者:PGarimidi、jneu_net、@MaxResnic
翻訳:佳欢,ChainCatcher
ブロックチェーンは現在、既存の金融インフラと競争するために必要な能力を、実際に備えていると確実に主張できる。今日のプロダクションシステムは、1秒あたり数万件の取引を処理でき、そしてまもなくその規模は桁違いに増える。しかし、元のスループット容量だけでなく、金融アプリケーションには予測可能性が必要である。売買の1件であれ、オークションの入札価格であれ、オプションの権利行使であれ、金融システムの正常な稼働には「確定した答え」が要求される。つまり、その取引は「いつ」実行されるのか。取引が予測不可能な遅延(悪意によるものでも偶然によるものでも)に直面するなら、多くのアプリケーションは利用できなくなる。
オンチェーンの金融アプリケーションを競争力のあるものにするために、ブロックチェーンは短期のパッキング保証を提供しなければならない。つまり、有効な取引をネットワークに投入すれば、できるだけ早くパッキングされることを保証する必要がある。たとえば、オンチェーンのオーダーブックを考えてみよう。効率的なオーダーブックには、市場参加者がブック上の資産の買い/売り注文を維持することで流動性を継続的に提供するマーケットメーカーが必要である。
マーケットメーカーが直面する鍵となる難題は、スプレッドをできる限り小さくしつつ、提示価格が市場から逸れることによって「逆向きの選択(逆向きの選別)」のリスクに陥ることを避ける点にある。このため、マーケットメーカーは現実世界の状態を反映するように、絶えず注文を更新しなければならない。たとえば、米連邦準備制度(FRB)の発表により資産価格が急騰した場合、市場メーカーは即座に反応し、注文を新しい価格に更新する必要がある。このような状況で、注文更新の取引が直ちに確定しないなら、裁定者が古い価格で注文を成立させることで、マーケットメーカーは損失を被る。マーケットメーカーはその後、この種のイベントにおけるリスクエクスポージャーを減らすために、より大きなスプレッドを設定する必要が生じる。これは、結果としてオンチェーン取引の場の競争力を低下させる。
予測可能な取引のパッキングは、マーケットメーカーに強力な保証を与える。これにより、オフチェーンの出来事に迅速に対応でき、オンチェーン市場の効率を維持できる。
私たちは何を持っていて、何が必要か
今日の既存のブロックチェーンは、通常「数秒」という時間スパンの範囲で有効になる堅牢な最終確定の保証しか提供していない。支払いのようなアプリケーションにはこれらの保証で十分な場合があるが、市場参加者が情報に対してリアルタイムに反応する必要がある大規模な金融アプリケーションを支えるには、それらは弱すぎる。
上記のオーダーブックの例で考えてみよう。マーケットメーカーにとって、裁定者の取引がより早いブロックに収まることができるなら、「将来の数秒のうち」にパッキングされるという保証は意味をなさない。強力なパッキング保証がなければ、マーケットメーカーはスプレッドを拡大し、ユーザーにより悪い価格を提示することで、逆向きの選択リスクの増大に対処せざるを得ない。これは、その結果、オンチェーン取引が、より強い保証を提供できる他の取引場と比べて大幅に魅力度を失うことにつながる。
ブロックチェーンを、資本市場のモダンなインフラというビジョンとして本当に実現するためには、構築者はこれらの問題を解決し、高価値アプリケーションであるオーダーブックのようなものが繁栄できるようにする必要がある。
予測可能性を実現するのがなぜそんなに難しいのか?
これらのユースケースをサポートするために、既存のブロックチェーンのパッキング保証を強化するのは難題である。今日の一部のプロトコルは、「任意の時点で取引をパッキングできるノード」(「リーダー」)に依存している可能性がある。これは高性能ブロックチェーンを構築するためのエンジニアリング上の課題を単純化する一方で、価値を搾取できる潜在的な経済的ボトルネックも生み出す。通常、ノードがリーダーとして選ばれるウィンドウ期間中、そのノードはどの取引をブロックに含めるかに完全な権力を持つ。規模を問わず金融活動を扱うブロックチェーンにとって、リーダーは特権的な立場にある。もし単一のリーダーがある取引をパッキングしないことを決めた場合、唯一の救済策は、その取引をパッキングする意思のある次のリーダーを待つことになる。
無許可ネットワークでは、リーダーには価値を搾取する動機がある。これは一般に MEV(Miner/Maximal Extractable Value)と呼ばれる。MEV は、挟撃(サンドイッチ)型 AMM 取引のような範囲をはるかに超える。リーダーが取引を数十ミリ秒だけ遅延させる能力しかなくても、それだけで莫大な利益が得られ、基盤アプリケーションの効率が下がることさえあり得る。取引の一部の参加者の取引だけを優先的に処理するオーダーブックは、他の全員を不公平な競争環境に置く。最悪の場合、リーダーは極端に敵対的になり、取引者がそのプラットフォームから完全に離れてしまう可能性すらある。
利上げが起きたと仮定しよう。ETH の価格は即座に 5% 下落する。オーダーブック上の各マーケットメーカーはこぞって指値注文を取り消し、新価格で新しい注文を出す。同時に、各裁定者は、古い指値注文の価格で ETH を売る注文を提出する。もしこのオーダーブックが単一リーダーを前提とするプロトコル上で動いているなら、そのリーダーには非常に大きな権力がある。リーダーは単に、すべてのマーケットメーカーの取消し操作を精査する(見送る)ことを選び、裁定者が巨額の利益を得られるようにできる。あるいは、取消し操作を直接精査せずに、裁定者の取引が成立した後に取消しを遅延させることもできる。さらにリーダーは、自分自身の裁定取引を直接挿入して、価格差を最大限に活用することさえできる。
2つの基本的な要求
これらの利点を前にすると、マーケットメーカーが積極的に参加することは経済的に合理的でなくなる。価格が変動すれば、彼らは得をする側ではなく搾取される側に回りやすい。この問題は、リーダーが2つの重要な点で過剰な特権を持つことに帰着する。1)リーダーは他者の取引を検閲(審査)でき、2)リーダーは他者の取引を見ることができ、それに応じて自分の取引を提出できる。これら2つの問題のいずれも、壊滅的であると示せる。
一つの例
以下の例で、問題の所在を正確に特定できる。2人の入札者 Alice と Bob がいるオークションを考える。ここで Bob もまた、オークションが発生するブロックのリーダーである。(説明のため入札者を2人に限定しているだけであり、入札者が何人であっても同じ推論が成り立つ。)
オークションは、ブロック生成に必要な時間の間入札を受け付ける。t=0 から t=1 としよう。Alice は時間 tA に入札 bA を提出し、Bob は時間 tB > tA に入札 bB を提出する。Bob はこのブロックのリーダーであるため、彼は常に最後に行動できる。Alice と Bob には、更新し続ける資産価格の真実の情報源(たとえば、取引所のティッカーの中間価格)もある。時間 t におけるこの価格を pt とする。市場がオークション終了時(t=1)における資産価格について抱く期待は、常に現在のリアルタイム価格 pt に等しいと仮定する。オークションのルールは単純で、Alice と Bob のうち入札がより高い方がオークションに勝ち、その入札額を支払う。
検閲に対する要求
次に、Bob がこのオークションのリーダーとしての優位を活用できる場合に何が起きるかを考えよう。Bob が Alice の入札を検閲できるなら、明らかにオークションは崩壊する。ほかに入札者がいないのだから、Bob は任意に小さな金額を入札するだけで勝てる。これにより、オークションの精算時点の利益は実質 0 になる。
隠蔽に関する要求
より複雑なケースは、Bob が Alice の入札を直接検閲できないが、それでも自分の入札より前に Alice の入札を見ることができる場合である。この状況では、Bob は簡単な戦略を持つ。彼が入札するとき、ptB > bA が成り立つかどうかだけを確認すればよい。成り立つなら、Bob の入札は bA をわずかに上回るだけにする。そうでなければ、Bob はそもそも入札しない。
この戦略を実行することで、Bob は Alice に不利な逆向きの選択を迫る。Alice が勝つ唯一の条件は、価格の更新によって彼女の入札が最終的に資産の期待価値を上回るようになることだ。Alice がオークションで勝つたびに、彼女は損をする見込みになる。ならば、いっそオークションに参加しない方がましである。競争相手が全員消えれば、Bob は再び任意に小さな金額を入札するだけで勝てる。そしてオークションは実質 0 の利益を得る。
ここでの要点は、このオークションがどれだけ長く続くかは重要ではないということだ。Bob が Alice の入札を検閲できる、あるいは自分の入札より前に Alice の入札を見ることができる限り、このオークションは破綻する運命にある。
この例で示した同じ原理は、あらゆる高頻度取引対象の環境に当てはまる。現物取引であっても、パーペチュアル・コントラクトであっても、デリバティブ取引所であっても同様である。もしこの例で Bob に相当する権力を持つリーダーが存在するなら、そのリーダーは市場を完全に崩壊させ得る。これらのユースケースに資するオンチェーン製品を現実に成立させるには、リーダーにこうした権力を与えてはならない。
では、これらの問題は今日の実務でどのように発生しているのか?
上の物語は、無許可の単一リーダー型プロトコル上でのオンチェーン取引について、暗い見通しを描いている。しかし、なぜ単一リーダー型プロトコル上の分散型取引所(DEX)の取引量は、なおも健康的に保たれているのだろうか。実務では、上で述べた問題を相殺する2つの力が組み合わさっている:
これらの2要因はこれまで分散型金融(DeFi)の機能を支えてきたが、長期的には、オンチェーン市場がオフチェーン市場と本当に競争できるほど十分ではない。
経済的に実体のある活動があるブロックチェーンでリーダー資格を得るには、大量のステーキング(担保)が必要になる。そのため、リーダー自身が大量のステーキングを保有するか、もしくは十分な評判があって他のトークン保有者がステーキングを彼らに委任することになる。いずれの場合でも、大型のノード運用者は通常、評判にリスクがあることが知られた存在である。評判だけでなく、このステーキングは、運用者がそのブロックチェーンをうまく運用することに対する財務的な動機を持つことも意味する。だからこそ、リーダーが上で述べたように市場力を十分に活用するのを、私たちはまだ大きく見ていない。しかし、それはこれらの問題が存在しないことを意味するわけではない。
第一に、ノード運用者の善意に依存し、社会的圧力と長期的動機に訴えることは、金融の未来を支える盤石な土台ではない。オンチェーンの金融活動の規模が増大するほど、リーダーの潜在的な利益も増える。この潜在力が増えれば増えるほど、リーダーの行動を、その目の前の直接的利益に反するものに社会的に動かすことは難しくなる。
第二に、リーダーが市場権力をどれほど活用できるかは、良性から市場が完全に崩壊するところまでのスペクトラム(連続体)にある。ノード運用者は一方的に、その権力を使ってより高い利益を得るように推進できる。ある運用者が公認の限界を超えてきたとき、他の運用者はすぐに追随する。単一ノードの行動は些細に見えるかもしれないが、すべての人が変化すれば、その影響は明らかになる。
おそらく、この現象の最良の例は時機ゲーム(Timing Games)だ。リーダーは、プロトコルがまだ有効である前提のもとで、ブロック生成をできるだけ遅らせることで、より高い報酬を得ようとする。リーダーがやり過ぎると、ブロック生成時間は延び、スキップ(スキップブロック)が増える。これらの戦略が利益になることは広く知られているのに、リーダーがこれらのゲームをしないのは、主にブロックチェーンの良い管理者として振る舞う役割を果たすためである。しかしこれは脆い社会的バランスである。もし単一のノード運用者が、何の後果もなく、より高い報酬を得るためにこれらの戦略を使い始めたら、他の運用者もすぐに参加してしまう。
時機ゲームは、リーダーが市場力を十分に活用せずに利益を増やす方法のほんの一例にすぎない。リーダーは、報酬を増やすためにアプリケーションを犠牲にして、ほかにも多くの手段を取ることができる。孤立して見ると、それらの手段はアプリケーションにとって成立し得る。しかし最終的には、オンチェーン化のコストが利益を上回る点で、天秤が傾くことになる。
DeFi を動かし続けるもう一つの要因は、アプリケーションが重要なロジックをオフチェーンに移し、結果だけをオンチェーンに公開することだ。たとえば、迅速なオークションを必要とするプロトコルはすべてオフチェーンで実行している。これらのアプリケーションは通常、悪意あるリーダーの問題に直面しないように、必要なメカニズムを許可制のノード群上で動かしている。たとえば UniswapX は、イーサリアムのメインネット外でオランダ式オークションをオフチェーン実行して取引を完了させ、同様に CowSwap はバッチオークションをオフチェーンで実行する。
これはアプリケーションにとっては機能するが、基盤層とオンチェーン構築の価値提案を、危うい状態に置くことになる。アプリケーションの実行ロジックがオフチェーンの世界にあるなら、基盤層は純粋に決済層になってしまう。DeFi の最も強力なセールスポイントの一つは「組み合わせ可能性(composability)」である。すべての実行がオフチェーンの世界で起きるなら、これらのアプリケーションは本質的に隔離された環境で生きていることになる。オフチェーン実行に依存することは、これらのアプリケーションの信頼モデルにも新しい仮定を付け加える。アプリケーションの運用が、基盤チェーンの活況だけに依存するのではなく、オフチェーン側のインフラも正常に動いている必要がある。
予測可能性を獲得する方法
これらの問題を解決するには、プロトコルが2つの性質を満たす必要がある。すなわち、一貫した取引のパッキングと順序付け規則、そして確定前の取引の秘匿(これらの性質の厳密な定義と拡張議論については、この論文を参照)である。
基本的要求 1:検閲耐性
最初の性質を、短期の検閲耐性としてまとめて定義する。もし、正直なノードに到達したいかなる取引も、次に可能なブロックに必ず含まれるなら、そのプロトコルは短期の検閲耐性を持つ:
より厳密に言えば、プロトコルが固定されたクロックで動作し、各ブロックが所定の時間に生成される(たとえば 100 ミリ秒ごと)と仮定する。必要なのは、もし取引が t=250ms に正直なノードへ到達したなら、それが t=300ms に生成されるブロックに含まれることを保証する点である。対手には、聞いた取引の一部だけを選択的にパッキングして、その他を省略する裁量があってはならない。
この定義の趣旨は、ユーザーとアプリケーションが、どの時点でも取引を確実に着地(落地)させるための非常に信頼性の高い手段を持つべきだということである。単一ノードが偶然にでも(悪意であっても単なる運用不具合であっても)パケットを落としてしまい、取引が着地できないといったことが起きてはならない。この定義は「正直なノードに到達した取引」にはパッキング保証を与えることを要求するが、実務上それを完全に達成するためのコストは高すぎるかもしれない。重要なのは、プロトコルが堅牢であることであり、その結果、オンチェーンへの入り口における振る舞いが、極めて予測可能で推論しやすくなることだ。
無許可の単一リーダープロトコルは、この性質を明らかに満たさない。なぜなら、ある時点で単一リーダーがバイザンチンノードであれば、取引を着地させるための別の方法が存在しないからである。しかし、各スロットで取引をパッキングできるノード集合が4つあれば、ユーザーとアプリケーションが取引を着地させるための選択肢の数は大幅に増える。性能をある程度犠牲にしても、アプリを確実に繁栄させられるプロトコルを得るのは価値がある。堅牢性と性能の適切なトレードオフを見つけるには、さらに多くの研究が必要だが、現状のプロトコルが提供する保証は十分ではない。
プロトコルがパッキングを保証できるなら、順序付けはある程度自然なものになる。プロトコルは、一貫した順序を保証するために、好みの任意の決定論的な順序付け規則を自由に使える。最も単純な解決策は、優先手数料(priority fee)でソートすること、あるいはアプリケーションが状態と相互作用する取引の順序付けを柔軟に行えるようにすることかもしれない。取引を順序付ける最良の方法は依然として活発な研究分野だが、いずれにせよ、順序付け規則が意味を持つのは、順序付けが必要な取引がオンチェーンに入る場合に限られる。
基本的要求 2:秘匿
短期の検閲耐性の次に、最も重要な性質は「秘匿」と呼ぶプライバシー形式である。
「秘匿」性質を持つプロトコルは、ノードが自分に提出された取引を平文で見ることを許可してもよいが、プロトコルの残りの部分は、コンセンサスにより取引の順序が最終ログに確定されるまで盲状態でいる必要がある。たとえば、ある期限までブロック全体の内容を隠すために時間ロック暗号を使うプロトコルかもしれないし、あるいは委員会がそれを不可逆に確定した直後に、そのブロックを即座に復号できるようにするためのしきい値暗号を使うプロトコルかもしれない。
これは、提出を受けたノードが、提出された任意の取引から得た情報を濫用する可能性があることを意味する。しかしプロトコルの残りの部分は、事後になってからしか、それらが合意した内容を知ることができない。ネットワークの残り部分に取引情報が開示される頃には、取引はすでに順序付けされ確定されている。そのため、他の当事者はそれに先回りして動くことができない。この定義を有用にするためには、確かに、複数のノードが任意の与えられた時間帯において取引を着地させられる必要がある。
ユーザーが取引の確定前にその情報の一部を初めて知る、より強い概念(たとえば暗号化メモリプール)の使用をあきらめた理由は、プロトコルがゴミ取引のフィルタとして機能するためにいくつかのステップを取る必要があるからである。もし取引内容がネットワーク全体に対して完全に秘匿されているなら、ネットワークはゴミ取引と有意義な取引をフィルタで分けられない。この問題を解く唯一の方法は、取引の一部として、未秘匿のメタデータをある程度開示することだ。たとえば、取引が有効かどうかに関係なく、手数料が徴収される費用の支払者アドレスなどである。
しかし、これらのメタデータは、対手が悪用するのに十分な情報を漏らし得る。したがって私たちは、取引に関しては単一ノードが完全な可視性を持ち、ネットワーク内の他のノードは何も可視性を持たない、という形を好む。しかしこれもまた、この性質を有用にするには、各時段において少なくとも1つの正直なノードがオンチェーンへの入り口として機能し、取引を着地させる必要があることを意味する。
短期の検閲耐性と秘匿の両方を備えたプロトコルは、金融アプリケーション構築のための理想的な基盤となる。先ほどの、オンチェーンでオークションを実行しようとしている例に戻ると、この2つの性質は、Bob が市場を崩壊させ得る問題に対して、直接に解決策を提供している。Bob は Alice の入札を検閲できないし、Alice の入札を利用して自分の入札に関する情報を得ることもできない。これは、先の例で示した問題を正確に解決する。
短期の検閲耐性により、取引を提出する人(取引であってもオークションの入札であっても)は、誰でも即座にパッキングされることを保証できる。マーケットメーカーは注文を変えられる。入札者は素早く入札できる。清算は効率よく成立できる。ユーザーは、どんな操作をしてもそれが即座に実行されると確信できる。これが、次世代の低遅延な現実世界の金融アプリケーションを、完全にオンチェーン上に構築できるようにする。
ブロックチェーンが、既存の金融インフラと競争するだけでなく、それを超えるために必要なのは、スループットの問題を解決することだけではない。