Proof-of-Spaceベースのロングチェーンブロックチェーンの（非）安全性について

1. 序論

本論文は、動的可用性の条件下でProof-of-Space（PoSpace）のみに基づいて安全なロングチェーンブロックチェーンを構築することの根本的な不可能性結果を提示する。脆弱性を形式的に定量化し、敵対者が常に限られた長さの勝利フォークを作成できることを示す。これにより、セキュリティのためには検証可能遅延関数（VDF）のような追加の暗号学的仮定が必要となる。

2. 背景と問題提起

2.1. ナカモト合意とProof-of-Work

ビットコインのセキュリティはProof-of-Work（PoW）とロングチェーンルールに依存している。これは、正直な参加者がハッシュパワーの過半数を支配していれば、総パワーが変動する状況（「リソース変動性」）下でもセキュリティを保証する。

2.2. 持続可能な代替案としてのProof-of-Space

PoSpaceは、PoWに代わるエネルギー効率の良い代替案として提案されており、マイナーは計算ではなくストレージ容量を専有する。しかし、動的で許可不要な環境におけるその安全性は未解決の問題であった。

2.3. セキュリティ上の課題：動的可用性

中核的な課題は「動的可用性」である：正直な参加者のストレージ容量は変動し（ブロックごとに $1 \pm \varepsilon$ 倍）、敵対者は自身のストレージ容量を「再プロット」（複数のチャレンジに再利用）することが可能であり、その時間コストは $\rho$ ブロックに相当する。

3. 形式的セキュリティモデルと不可能性結果

3.1. ゲーム定義と敵対者の能力

セキュリティゲームは、正直な参加者が任意の時点で敵対者よりも $\phi > 1$ 倍多くのストレージ容量を支配していると仮定する。敵対者は以下のことが可能である：

ブロックごとに正直なストレージ容量を $1 \pm \varepsilon$ 倍の範囲で変動させる。
時間コスト $\rho$ ブロックをかけてストレージ容量を再プロットする。

3.2. 下限定理

定理（下限）： このゲームにおいて、任意の チェーン選択ルールに対して、敵対者は受け入れられる長さ $L$ のフォークを作成できる。ここで：

$L \leq \phi^2 \cdot \rho / \varepsilon$

これは不可能性結果である：この限界より短いフォークに対してセキュリティを保証することはできない。

3.3. （奇妙な）上限と整合性ルール

定理（上限）： 敵対者が少なくとも以下の長さのフォークを作成することを要求する（非常に不自然な）チェーン選択ルールが存在する：

$L \geq \phi \cdot \rho / \varepsilon$

これは下限が $\phi$ 倍の範囲でタイトであることを示している。

4. 技術的詳細と数学的定式化

この不可能性は、敵対者が時間と空間の非対称性を利用できる能力に起因する。正直なストレージ容量はチャレンジの期間中拘束されるが、敵対者は一定量のストレージ容量を集中させ、再プロットすることで、時間の経過とともにより多くの「仮想的な」ストレージ容量をシミュレートできる。限界を導く重要な不等式は、敵対者の有効時空間リソース $A_{eff}$、正直な時空間リソース $H_{eff}$、およびフォーク長 $L$ を関連付ける：

$A_{eff} \approx \frac{L}{\rho} \cdot A \quad \text{かつ} \quad H_{eff} \approx \phi \cdot A \cdot \frac{L}{\varepsilon^{-1}}$

ゲームの制約下でこれらを操作すると、最終的な限界 $L \approx \phi^2 \rho / \varepsilon$ が導かれる。

5. 結果と示唆

5.1. 中核的セキュリティ限界

セキュリティパラメータ概要

敵対的フォーク長限界： $L \leq \phi^2 \cdot \rho / \varepsilon$

主要パラメータ：

$\phi$: 正直なストレージ容量の優位性 (>1)。
$\rho$: 再プロット時間（ブロック単位）。
$\varepsilon$: ブロックごとの正直なストレージ容量の最大変動率。

5.2. 追加プリミティブの必要性（例：VDF）

この結果は、PoSpaceだけでは不十分であることを証明している。Chiaのようなプロトコルは、ブロック間に必須の非並列化可能な時間遅延を追加するために検証可能遅延関数（VDF）を正しく組み込んでおり、再プロット攻撃ベクトルを緩和している。これは理論的観点からChiaのアーキテクチャ選択を正当化する。

5.3. 事例研究：Chiaネットワーク

ChiaはPoSpace + VDF（「Proofs of Time」）を使用している。VDFはブロック間の最小実時間を保証し、代替チェーンを作成しようとする敵対者にとって $\rho$ パラメータを事実上非常に大きくし、それによって実用的なフォーク長限界を実行不可能なレベルまで引き上げる。

6. 分析フレームワークと事例ケース

PoXロングチェーンプロトコル評価のためのフレームワーク：

リソースの特定： 希少リソース（空間、時間、計算）を定義する。
動的モデル： 正直なリソースの変動（$\varepsilon$）と敵対的リソース操作（例：再プロットコスト $\rho$）をモデル化する。
攻撃ベクトル分析： 敵対者が一つのリソースを別のリソースに変換する方法（再プロットによる空間から時間への変換）を特定する。
限界の導出： 与えられたフォーク長 $L$ に対する敵対的リソースと正直なリソースの時間積の間の不等式を定式化する。
プリミティブギャップ分析： 限界が実用的に安全かどうかを判断する。安全でない場合、必要な追加プリミティブ（VDF、PoW、ステーク）を特定する。

事例適用： 仮想的な「Proof-of-Storage」チェーンを評価する。ストレージ再割り当て速度（$\rho$）とステークの変動性（$\varepsilon$）をパラメータ化する。このフレームワークは、時間ロック（VDF）またはスラッシングメカニズムが追加されない限り、同様の「再割り当て」攻撃に対する脆弱性を迅速に示すだろう。

7. 将来の応用と研究の方向性

ハイブリッド合意モデル： 過剰なオーバーヘッドなしにセキュリティを達成するためのPoSpace+PoSまたはPoSpace+PoWハイブリッドの厳密な設計。
強化されたVDF設計： 時間保証を追加するオーバーヘッドを削減するための、より効率的または分散化されたVDF構成の研究。
形式的検証： このモデルを他の「proof-of-X」パラダイム（Proof-of-Useful-Work、Proof-of-Physical-Work）に適用し、セキュリティ上の欠陥を事前に防ぐ。
ポスト量子時代の考慮： 逐次二乗法に基づくVDFが脆弱となる可能性があるポスト量子コンピューティング時代においても安全であり続けるPoSpaceベースの設計の探求。

8. 参考文献

Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
Dziembowski, S., Faust, S., Kolmogorov, V., & Pietrzak, K. (2015). Proofs of Space. CRYPTO 2015.
Cohen, B., & Pietrzak, K. (2018). The Chia Network Blockchain. https://www.chia.net/assets/ChiaGreenPaper.pdf
Boneh, D., Bonneau, J., Bünz, B., & Fisch, B. (2018). Verifiable Delay Functions. CRYPTO 2018.
Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. EUROCRYPT 2015.
Pass, R., & Shi, E. (2017). FruitChains: A Fair Blockchain. PODC 2017.

9. 専門家による分析と批判的論評

中核的洞察

本論文は、Proof-of-Spaceのみに基づく「グリーンなビットコイン」という素朴な夢に対して、破壊的で優雅な決定的打撃を与えている。これは特定のプロトコルへの攻撃ではなく、分散合意における空間、時間、セキュリティの関係に関する根本的な熱力学的議論である。中核的洞察は、PoWにおける計算とは異なり、空間は本質的に「消費」されないという点である。敵対者はそれをリサイクルできる。このリサイクル可能性が、動的参加下では致命的な裁定ループを生み出し、いかなるロングチェーンルールも防ぐことができない。これは、Chiaのようなプロジェクトがなぜ検証可能遅延関数（VDF）を追加せざるを得なかったかを形式的に説明している。それは任意の最適化ではなく、理論的な必然性であった。

論理的流れ

著者らの論理は非の打ち所がなく、古典的な不可能性証明の構造に従っている：1）ストレージ（再プロット時間）とネットワーク変動の現実世界の制約を捉えた現実的な敵対モデル（$\phi$、$\varepsilon$、$\rho$）を定義する。2）このモデル内では、チェーンを選択するあらゆる考えられるルールに対して、より少ないストレージ容量を持つ敵対者が、十分に長いが限られたフォークにおいて、常に正直なノードを追い越せることを示す。3）限界 $L \leq \phi^2 \rho / \varepsilon$ が決定的証拠である。これは非安全性を定量化する。続く「奇妙な」ルールによるほぼ一致する上限の提示は最後の一撃であり、この限界がタイトであり、脆弱性がルール設計ではなくリソースそのものに内在することを証明している。

長所と欠点

長所： モデルのパラメータ（再プロットのための $\rho$、変動のための $\varepsilon$）は問題の本質的な物理を捉えており、見事に選択されている。結果は明確で一般的であり、即座に実行可能である。議論を「このプロトコルは安全か？」から「セキュリティのために必要な最小限の追加仮定は何か？」へと高めている。

欠点／限界： モデルは、検出されたフォークに基づいて戦略を適応させない受動的な正直過半数を仮定している。これはロングチェーン分析における標準的だが時として限定的な仮定である。さらに重要なことに、VDFのような付加的プリミティブの必要性を証明しているが、そのVDFの十分なパラメータ（どれだけの遅延で十分か？）を定量化していない。これにより理論と実践の間にギャップが残る。さらに、限界にほぼ一致する「奇妙な」チェーン選択ルールは暗号学的な珍品ではあるが実用的有用性はなく、問題の深さを浮き彫りにしている。

実践的示唆

プロトコル設計者にとって：純粋なPoSpaceロングチェーンプロトコルの構築を試みるのはやめるべきである。 本論文は形式的な差止命令状である。前進可能な道はハイブリッドを通じてのみ存在する。

必須の時間遅延（VDFの道）： Chiaの先例に従う。VDFを統合し、攻撃者にとって $\rho$ を事実上天文学的に大きくし、フォーク長限界を実行不可能な領域に押し上げる。研究焦点はVDFをより効率的かつ分散化することにあるべきである。
非ロングチェーンパラダイムの探求： ファイナリティガジェット付きProof-of-Stake（PoS）（例：Casper FFG）や委員会ベースのBFTプロトコルのような代替合意ファミリーを検討する。これらはPoSpaceを異なる方法で統合し、この攻撃ベクトルを完全に回避できる可能性がある。Ethereum財団によるランダム性のためのVDFとPoSの結合（RANDAO+VDF）に関する研究は、これらのプリミティブのより広範な適用可能性を示している。
パラメータの厳密性： ハイブリッドを構築する場合、本論文のフレームワークを使用する。敵対者の時空間トレードオフを明示的にモデル化し、ネットワークの $\varepsilon$ を定義し、導出された限界を使用して設計にストレステストを実施する。これは単なる学術的なものではなく、セキュリティの設計図である。

結論として、BaigとPietrzakは単に未解決問題を解決しただけでなく、合意理論の砂浜に鮮明な赤線を引いた。彼らはこの分野を希望的観測に基づく工学から厳密な物理学へと移行させ、何が不可能かを定義し、それによって何が可能かもしれない狭い道を明確に照らし出した。これは将来の無数のプロジェクトが行き止まりのアーキテクチャに陥るのを防ぐ基礎的な研究である。

目次