Polygonの最高技術責任者ムディット・グプタとZcash創設者Zooko Wilcoxの公開討論が、プライバシーに重点を置く暗号通貨システムがその通貨供給を保証できるかについての疑問を再び提起しました。この論争は、Zcashのシールド・トランザクションプールにおける2019年の偽造脆弱性と、ネットワークの監査メカニズムが不正なコインの作成が行われなかったことを明確に証明できるかどうかを巡って展開されています。
知っておくべきこと:
- PolygonのCTOは、2019年3月に発見されて7か月後に修正された無限鋳造バグのためにZcashの2100万コインの上限が検証できるかどうかを疑問視しました
- Zcashの創設者は、「ターンスタイル」会計メカニズムがすべての価値の出入りを追跡することにより、検出されない偽造を不可能にすると主張
- この技術的な意見の相違は、暗号通貨設計におけるトランザクションのプライバシーと供給の監査可能性の間の緊張を際立たせています
公開対立
グプタはX上でZcashの不透明性について直接的に問題を提起しました。「実際に存在するZcashトークンの数を誰も知らない」と彼は書きました。「Zcashのようなシールド資産は監査が難しい。2019年3月に、Zcashのシールド資産で無限鋳造のバグが発見されました。それは2019年10月に修正されましたが、バグが悪用されたかどうかを確認する保証はありません。」
彼は後に自分の立場を和らげ、ヒューリスティック分析に基づけば、脆弱性が悪用された可能性は低いと述べました。
「ヒューリスティックに基づけば、バグが悪用された可能性は低いため、パニックの理由はありません」とグプタは付け加えました。
彼は自分のコメントが実際の悪用を訴えるのではなく、リスクカテゴリを識別するものであると特徴付け、「私はただ、Zcashと同様のプライバシープールにある攻撃ベクトルを指摘しているだけです」と明確にしました。
Wilcoxはその特徴を不正確であると否定しました。彼は、公開されているブロックチェーン監査をグプタに指摘し、通貨基盤の一貫性を示していると述べました。「これらはZcashの通貨基盤の一貫性を示しています」とWilcoxは書き、「さらに直截なゲーム理論的分析がゼロ偽造を示します」と付け加えました。
Zcashの創設者は、廃止されたSproutプールに関する思考実験を提供しました。
「もし誰かが2018年10月28日以前にSproutプールでZECを偽造していたとしたら」と彼は書きました。「すると、偽造者とその被害者の間で『出口への競争』があります。最初にSproutプールから自分のZECを移動した者がすべてのお金を保有します。結論: 偽造はありませんでした。」
Wilcoxはさらに、仮に偽造が起こったとしても、総供給量は制約されたままであると述べました。「たとえ偽造があったとしても…依然として存在するのは16,355,911 ZECであり、これから先も21 Mだけです」と彼は書きました。「ターンスタイルに感謝します!」
技術的背景
脆弱性はSprout、Zcashのオリジナルのシールドプール実装に影響を与えました。エレクトリックコインカンパニーとZcash Foundationは2018年にこの欠陥を秘密に発見し、2019年2月5日に公表しました。10月28日に作動したSaplingアップグレードは、公開前すでにこの脆弱なコードを除去していました。
Zcashは、潜在的悪用に対処するためにターンスタイル会計を実装しました。このメカニズムは、トランスペアレントとシールドプールの境界で価値のすべての移動を記録することによって機能します。エントリやエグジットのトランザクションがこれらの移行ポイントで金額を公開するため、ネットワークは予想プール残高を計算できます。入力を上回る価値を引き出そうとする試みは検出可能となります。
エレクトリックコインカンパニーは公表時に偽造の証拠を発見していないと述べ、この立場を維持しながら、仮想的な悪用シナリオにおいても通貨の整合性を保護する手段としてターンスタイルを説明しています。
Wilcoxの「出口への競争」分析はゲーム理論を示しています。
Sprout内で偽造コインを作成した攻撃者は、正当なホルダーと競争してターンスタイルの制約がそれ以上の出口を防ぐ前に引き出すために競い合います。不明瞭なプールの排出やマイナスの精算がないことは、大規模な偽造が起こっていないことを示唆しています。
グプタの回答は、Zcashの設計意図を攻撃するのではなく認識論的制限に焦点を当てました。「より明確にすべきだったかもしれません」と彼は書きました。「バグの可能性を考えると、シールドプール内で流通しているZcashの量がトランスペアレントなZcashと同じであると保証することはできません。したがって、実際の総供給量を100パーセント確信することはできません。」
彼は実際的なリスクが最小限であることを認めました。「このようなバグが悪用される可能性は実質的に0です」とグプタは述べました。
メカニズムを理解する
Zcashの経済モデルはビットコインの構造に似ています。このプロトコルは、半減期に基づいた発行スケジュールを通じて配布される2100万コインの固定供給上限を設定します。この上限はすべての公式文書に記載されています。
ゼロ知識プロトコルは、Zcashがシールドプール内で個々のトランザクション金額と参加者の身元を隠蔽することを可能にします。しかし、これらのプライバシー機能は、透明なブロックチェーンと異なり、監査の課題を生み出します。このプロトコルは特定のトランザクションを秘匿する一方で、検証可能な総供給を維持する必要があります。
ターンスタイルは、トランスペアレント部分とプライベート部分間のチェックポイントとして機能します。トランスペアレントアドレスからシールドプールにコインが移動する際、ブロックチェーンは入金額を記録します。トランスペアレントアドレスにコインが出る際、引き出し額が表示されます。記録された入金と引き出しの累積差が、シールドバランスの最大値を確立します。
この会計方法は、特定の期間内にシールドプール内で偽造が行われたかどうかを明らかにすることはできません。しかし、記録された入金を超える価値の引き出しの試みを検出することは可能です。この区別が議論の中核となる緊張を際立たせます。
まとめの考え
このやりとりは、プライバシーを重視した暗号通貨システムにおける検証可能性に関する基本的な疑問を示しています。Zcashのターンスタイルメカニズムは、検出されない偽造に対する強力な確率的証拠を提供していますが、この議論は、敵対的な暗号環境における決定的な証拠と見做される基準の違いを露呈しています。ZECは公開時に325ドルで取引されていました。