フィードバック、レビュー、ディスカッションを提供してくれた Karl Floersch 氏、Georgios Konstantopoulos 氏、Martin Koppelmann 氏に感謝します。

Plasma は、入金、出金、マークルルートを除くすべてのデータと計算をオフチェーンに保つことができるブロックチェーンスケーリングソリューションの一種です。 これにより、オンチェーンのデータ可用性によってボトルネックにならない、非常に大きなスケーラビリティの向上への扉が開かれます。 Plasmaは 2017年に初めて発明 され、2018年には Minimal Viable Plasma 、 Plasma Cash、Plasma Cashflow 、 Plasma Prime など、多くのイテ レーションが行われました。残念なことに、Plasmaは その後、主に (i)クライアント側のデータストレージコストの多さ、および(ii)Plasmaの根本的な制限により、<a href="https://medium.com/ @kelvinfichter /why-is-evm-on-plasma-hard-bf2d99c48df7">支払いを超えて一般化することは困難である。

妥当性の証明( 別名ZK-SNARK)の出現は、この決定を再考する理由を与えてくれます。 Plasma を支払いに機能させる上での最大の課題であるクライアント側のデータストレージは、有効性の証明によって効率的に対処できます。 さらに、妥当性の証明は、EVMを動かすプラズマのようなチェーンを作るための幅広いツールを提供します。 Plasma スタイルのエグジットゲームを多くの種類の複雑なアプリケーションに拡張できない根本的な理由が残っているため、Plasma のセキュリティ保証はすべてのユーザーをカバーできるわけではありません。 しかし、それにもかかわらず、非常に大きな割合の資産を実際に安全に保つことができます。

この記事では、Plasmaのアイデアを拡張して、そのようなことを実現する方法について説明します。

概要:Plasmaの仕組み

理解するのが最も簡単なPlasmaのバージョンはPlasmaCashです。 Plasma Cashは、個々のコインを個別のNFTとして扱い、各コインの個別の履歴を追跡することで機能します。 プラズマチェーンにはオペレーターがいて、ブロックの作成と定期的な公開を担当しています。 各ブロックのトランザクションは、疎なマークルツリーとして格納されます:トランザクションがコインkの所有権を譲渡する場合、それはツリーの位置kに表示されます。 Plasma chainオペレーターは、新しいブロックを作成すると、マークルツリーのルートをチェーンに公開し、そのユーザーが所有するコインに対応するマークルブランチを各ユーザーに直接送信します。

これらが Plasma Cash チェーンの最後の 3 つのトランザクションツリーであるとします。 そして、これまでのすべての木が有効であると仮定すると、現在、イブがコイン1、デビッドがコイン4、ジョージがコイン6を所有していることがわかります。

プラズマシステムの主なリスクは、オペレーターの誤動作です。 これは、次の 2 つの方法で発生する可能性があります。

1. 無効なブロックを公開する(例:フレッドがその時点でコインを所有していなくても、フレッドからハーマイオニーにコイン1を送信するトランザクションをオペレーターに含めます)
2. 利用できないブロックを公開する(例:オペレーターがボブにブロックの1つのマークルブランチを送らないため、ボブが自分のコインがまだ有効で未使用であることを他の誰かに証明できないようにします)

オペレーターがユーザーの資産に関連する方法で不正行為を行った場合、ユーザーは直ちに(具体的には7日以内に)終了する責任があります。 ユーザー(「エグジット者」)が退出すると、そのコインを前の所有者から彼らに譲渡したトランザクションが含まれていることを証明するマークルブランチを提供します。 これにより、7日間のチャレンジ期間が始まり、その間に、他の人は次の3つのうちの1つについてマークル証明を提供することで、そのエグジットに異議を唱えることができます。

1. Not last owner:出口者が署名した後の取引で、出口者のコインを他の誰かに譲渡するもの
2. 二重支払い:前の所有者から他の誰かにコインを譲渡するトランザクションで、コインを出口に転送するトランザクションの前に含まれていました
3. 無効な履歴:過去7日以内(過去7日以内)にコインを送金した取引で、対応する支払いがない取引。 イグジット者は、対応する支出を提供することで応答できます。そうでない場合、出口は失敗します。

これらのルールでは、コインkを所有している人は、過去1週間のすべての履歴ツリーでポジションkのすべてのマークルブランチを確認して、実際にコインkを所有し、そこから出ることができることを確認する必要があります。 彼らは、課題に対応し、コインで安全に終了できるように、資産の転送を含むすべてのブランチを保管する必要があります。

代替可能トークンへの一般化

上記のデザインはNFTで機能します。 しかし、NFTよりもはるかに一般的なのは、ETHやUSDCなどの代替可能なトークンです。 Plasma Cashを代替可能なトークンに適用する方法の1つは、コインの小さな額面をそれぞれ作ることです(例: 0.01 ETH)を別個のNFTとして使用します。 残念ながら、これを行うと、出口のガス代が高すぎます。

解決策の1つは、隣接する多くのコインを1つのユニットとして扱い、一度にすべてを転送または終了できるようにすることで最適化することです。 これを行うには、次の 2 つの方法があります。

1. Plasma Cash はほぼそのまま使用しますが、多くの隣接するオブジェクトが同じ場合は、非常に多数のオブジェクトのマークル ツリーを非常に高速に計算するために、高度なアルゴリズムを使用します。 これは意外と難しいことではありません。 Pythonの実装はこちらで見ることができます。
2. プラズマキャッシュフローは、隣接する多くのコインを1つのオブジェクトとして単純に表現します。

しかし、これらのアプローチはどちらも断片化の問題にぶつかります:あなたからコーヒーを買っている何百人もの人々からそれぞれ0.001ETHを受け取った場合、ツリーの多くの場所に0.001ETHが存在することになり、実際にそのETHを終了するには、多くの個別の出口を提出する必要があり、ガス料金が法外になります。 最適化プロトコルは開発されていますが、実装が困難です。

あるいは、より伝統的な 「未使用トランザクションアウトプット」(UTXO)モデルを考慮してシステムを再設計することもできます。 コインをエグジットするときは、それらのコインの履歴の最後の週を提供する必要があり、それらの歴史的なコインがすでにエグジットされていることを証明することで、誰でもあなたのエグジットに異議を唱えることができます。

右下の0.2 ETH UTXOの出金は、その履歴にあるUTXOのいずれかの出金を緑色で表示することでキャンセルすることができます。 特に、左中と左下のUTXOは祖先ですが、左上のUTXOは祖先ではないことに注意してください。 このアプローチは、2013年頃のカラーコインプロトコルの 注文ベースのカラーリング のアイデアに似ています。

そのための手法は多岐にわたります。 いずれの場合も、目標は、「同じコイン」が2回引き出されるのを防ぐために、歴史のさまざまな時点で「同じコイン」とは何かという概念を追跡することです。

EVMへの一般化における課題

残念ながら、EVMへの支払いを超えて一般化することははるかに困難です。 重要な課題の1つは、EVM内の多くの状態オブジェクトに明確な「所有者」がいないことです。 Plasma のセキュリティは、各オブジェクトに所有者がいて、チェーンのデータが利用可能であることを確認し、何か問題が発生した場合にそのオブジェクトを終了する責任があることに依存しています。 しかし、多くのイーサリアムアプリケーションはこのようには動作しません。 例えば、Uniswapの流動性プールには、単一の所有者がいません。

もう1つの課題は、この評価基板(EVM)が依存関係を制限しようとしないことです。 ブロックNのアカウントAに保持されているETHは、ブロックN-1のどこからでも取得できます。 EVMプラズマチェーンが一貫性のある状態から抜け出すためには、極端な場合、ブロックNからの情報を使って出口を望む人が、ブロックNの状態全体をチェーン上で公開するための手数料(数百万ドルのガス代)を支払う必要があるという、エグジットゲームが必要です。 UTXOベースのPlasmaスキームにはこの問題はありません:各ユーザーは、データを持っている最新のブロックであるブロックからアセットを終了することができます。

第3の課題は、EVMの依存関係が無限にあるため、妥当性を証明するためのインセンティブを一致させることがはるかに困難になることです。 状態の妥当性は他のすべてのものに依存するため、1つのことを証明するにはすべてを証明する必要があります。 このような状況での障害の選別は、 通常、データの可用性の問題により、インセンティブ互換にすることはできません。 特に厄介なのは、UTXOベースのシステムに存在する、オブジェクトの状態が所有者の同意なしに変更できないという保証が失われることです。 この保証は、所有者が自分の資産の最新の証明可能な状態を常に認識し、出口ゲームを簡素化することを意味するため、非常に便利です。 これがなければ、エグジットゲームの作成ははるかに難しくなります。

妥当性の証明がこれらの問題の多くをどのように軽減できるか

プラズマチェーンの設計を改善するために妥当性の証明ができる最も基本的なことは、チェーン上の各プラズマブロックの有効性を証明することです。 これにより、設計空間が大幅に簡素化されます: つまり、オペレーターからの攻撃は、無効なブロックではなく、使用できないブロックだけです。 たとえば、Plasma Cashでは、履歴の課題を心配する必要がなくなります。 これにより、ユーザーがダウンロードする必要がある状態が、先週のブロックごとに 1 つのブランチから、アセットごとに 1 つのブランチに減ります。

さらに、最新の状態からの引き出し(オペレーターが正直である一般的なケースでは、すべての引き出しは最新の状態からのものになります)は、最新の所有者ではないチャレンジの対象ではないため、有効性が証明されたプラズマチェーンでは、そのような引き出しはまったくチャレンジの対象にはなりません。 これは、通常の場合、引き出しが即座に行われる可能性があることを意味します。

EVMへの拡張:並列UTXOグラフ

EVMの場合、有効性の証明は、ETHとERC20トークンの並列UTXOグラフを実装したり、UTXOグラフとEVM状態の間の等価性をSNARK証明したりするために使用できます。 それができたら、UTXOグラフ上に「通常の」プラズマシステムを実装することができます。

これにより、EVMの複雑さの多くを回避できます。 例えば、アカウントベースのシステムでは、誰かがあなたの同意なしにあなたのアカウントを編集できるという事実は重要ではありません(コインを送信し、それによって残高を増やすことによって)プラズマ構築はEVM状態自体ではなく、EVMと並行して存在するUTXO状態であり、受け取るコインは別々のオブジェクトになります。

評価基板 (EVM) への拡張:トータル・ステートの終了

「プラズマEVM」を作るために提案されたより単純なスキームがあります。 プラズマフリー とその前は 、2019年のこの投稿。 これらのスキームでは、誰でも L1 でメッセージを送信して、オペレーターにトランザクションを含めるか、状態の特定のブランチを使用可能にするように強制できます。 オペレーターがこれを怠ると、チェーンはブロックのリバートを開始します。 誰かが状態全体の完全なコピー、またはユーザーが欠落している可能性があるとフラグを立てた少なくともすべてのデータを送信すると、チェーンは元に戻らなくなります。 出金には報奨金を投函する必要があり、その報奨金は、大量のデータを投稿する人のガス代をそのユーザーが負担することになります。

このようなスキームには、チェーンが最新の状態に戻す必要がある可能性が常にあるため、通常のケースでは即時の引き出しを許可しないという弱点があります。

EVMプラズマスキームの限界

このようなスキームは強力ですが、すべてのユーザーに完全なセキュリティ保証を提供することはできません。 それらが最も明確に破綻するケースは、特定の国家対象が明確な経済的「所有者」を持たない状況である。

CDP(債務担保証券ポジション)は、ユーザーがコインをロックアップし、ユーザーが借金を支払ったときにのみ解放できるスマートコントラクトです。 ユーザーが1ETH(この記事の執筆時点では~2000ドル)をCDPにロックアップし、1000DAIの負債を抱えているとします。 これで、Plasma チェーンはブロックの公開を停止し、ユーザーは終了を拒否します。 ユーザーは単に終了できません。 現在、ユーザーには無料のオプションがあります:ETHの価格が1000ドルを下回った場合、彼らは立ち去ってCDPを忘れ、ETHの価格が上回ったままであれば、最終的にそれを請求します。 平均して、このような悪意のあるユーザーは、これを行うことでお金を稼ぎます。

別の例は、例えば、プライバシーシステムである。 トルネードキャッシュまたは プライバシープール。 5人の預金者がいるプライバシーシステムを考えてみましょう。

プライバシーシステムのZK-SNARKは、システムに入るコインの所有者と出てくるコインの所有者の間のリンクを隠したままにします。

オレンジのみが撤退し、その時点でプラズマチェーンオペレーターがデータの公開を停止したとします。 また、先入れ先出しルールでUTXOグラフアプローチを使用して、各コインがそのすぐ下のコインとマッチングされるとします。 その後、オレンジはプレミックスとポストミックスのコインを引き出すことができ、システムはそれを2つの別々のコインとして認識します。 青が事前に混合されたコインを引き出そうとすると、オレンジのより新しい状態がそれに取って代わります。一方、青は混合後のコインを引き出すための情報を持っていない。

これは、他の4人の預金者がプライバシー契約自体を撤回することを許可し(これは預金に取って代わる)、L1でコインを取り出すことを許可すると修正できます。 しかし、このような仕組みを実際に実装するには、プライバシーシステムを開発する側のさらなる努力が必要です。

プライバシーを解決する方法は他にもあります。 Intmax アプローチでは、数バイトをチェーンロールアップスタイルで配置し、個々のユーザー間で情報を渡す Plasma のような演算子を使用します。

UniswapのLPポジションにも同様の問題があり、UniswapのポジションでUSDCをETHに交換した場合、取引前のUSDCと取引後のETHを引き出そうとする可能性があります。 プラズマチェーンの運営者と共謀した場合、流動性プロバイダーやその他のユーザーは取引後の状態にアクセスできないため、取引後のUSDCを引き出すことができなくなります。 このような状況を防ぐには、特別なロジックが必要になります。

結論

2023年現在、プラズマは過小評価されているデザイン空間です。 ロールアップは依然としてゴールド スタンダードであり、他の追随を許さないセキュリティ プロパティを備えています。 これは特に開発者エクスペリエンスの観点からも当てはまり、アプリケーション開発者がアプリケーション内の所有権グラフやインセンティブフローについて考える必要さえないというシンプルさに勝るものはありません。

しかし、Plasmaを使用すると、データの可用性の問題を完全に回避できるため、トランザクション手数料を大幅に削減できます。 プラズマは、そうでなければバリディウムとなるチェーンにとって重要なセキュリティアップグレードとなり得ます。 ZK-EVMが今年ようやく実を結ぼうとしているという事実は、この設計空間を再検討し、開発者の体験を簡素化し、ユーザーの資金を保護するためのさらに効果的な構造を考え出す絶好の機会となっています。

免責事項：

1. この記事は[vitalik]から転載されており、すべての著作権は原作者[Vitalik Buterin]に帰属します。 この転載に異議がある場合は、 Gate Learn チームに連絡していただければ、迅速に対応いたします。
2. 免責事項:この記事で表明された見解や意見は、著者のものであり、投資アドバイスを構成するものではありません。
3. 記事の他言語への翻訳は、Gate Learnチームによって行われます。 特に明記されていない限り、翻訳された記事を複製、配布、盗用することは禁止されています。