ビットコインが12月3日に40,000ドルのレジスタンスを突破して以来、暗号通貨のパイオニアは2022年4月の水準を回復しました。この時期は、FRBの利上げサイクルの開始とTerra (LUNA) の暴落に挟まれた時期でした。

ビットコインの直近の暴騰がどこに向かうかはまだ不明ですが、ビットコインの手数料という別のものについては、見通せるかもしれません。今年の大半、BTC取引手数料の平均は5ドル以下でしたが、ETFの承認に伴うビットコインへの関心の高まりにより、現在では取引手数料は30ドル弱にまで上昇しています。

ビットコインが普及すればするほど、送金コストは高くなる。画像：ycharts

これは驚くべきことではありません。2015年から2017年にかけてのブロックサイズ戦争論争の余波で、ビットコインのブロックチェーンは、頻度が低く価値の高い取引の処理に落ち着きました。その結果「デジタル・ゴールド」という物語が現実のものとなりつつあります。

それにもかかわらず、ビットコインのネットワークが1秒間に7トランザクションに制限され、トラフィックが多いときに高い手数料が発生するのであれば、世界的な大量導入はありえないでしょう。頻繁なマイクロチップ、オンラインショッピング、定期購入、ゲーム内購入、あるいは将来の取引戦略についてはどうでしょうか？

このような日常的な取引は摩擦が少なく、失われる金額はごくわずかで、それを捨てることができるほど小さなものです。ビットコインのレイヤー2のスケーリング・ソリューションであるライトニング・ネットワークは、この摩擦問題に対処するために大きく前進しました。しかし、まだ解決すべき課題が残っています。

ライトニング・ネットワークがビットコインの可能性を解き放つ

オフチェーン決済チャネルのネットワークとして、ライトニング・ネットワークはビットコインのメインネットのボトルネックを解決します。コンセプトは非常にシンプルで、2つの取引当事者が両者間にチャネルを開設し、BTC資金がオフチェーン台帳に入金されるとチャネルが確立されます。

オフチェーン台帳はレイヤー2ネットワークとして、ビットコインのネットワーク上のトランザクションを記録しないため、ビットコインのマイナーは手数料を負担せずに、ごくわずかな摩擦で、ほぼ瞬時に多くの取引が可能になります。

LNの手数料は桁違いに安い。画像：1ml.com statistics

支払いチャネルが手動または自動でクローズされた後にのみ、これらのトランザクションは1つのトランザクションにまとめられます。そして、その統合されたLNトランザクションは、マイナーの手数料を条件として、最終確認のためにビットコインのメインネットにブロードキャストされます。しかし、当事者Bが当事者Aからの受領を確認しなかった場合はどうなるでしょうか？

ライトニング・ネットワークは、返金オプションを統合することで、この信頼性の問題を解決しました。支払いチャネルの資金調達後、一定期間経過後に返金を有効化 (ロック解除) することができます。両当事者が返金条件に署名するため、一方的に行使することができます。

残念ながら、スピードと摩擦の少なさにもかかわらず、LN決済は、BTC決済チャネルを通じた移動に起因する欠点に苦しんでいます。

ライトニング・ネットワークの現在のプライバシー課題を理解する

LNのスケーリングをフレームワーク化するもう一つの方法は、コラテラル転送と言われるものです。このアーキテクチャでは、LNノードはルーティング・プロセスでノード・ホスティング手数料を得る仲介役を果たします。その結果、稼働時間の実績があり、効率的なルーティングを行うノードは、より高い手数料を得ることができます。

現在、LNノードは平均8.3決済チャネルを提供しており、平均ノード提供期間は2年である。推測されるように、摩擦はルーティング・プロセスで起きます。ユーザーは、間接的にチャネル間をリンクさせるインセンティブがある。結局のところ、チャネルの開設と閉鎖にはブロックチェーン手数料がかかります。

サードパーティがホストする複数のチャネルを経由して支払いをルーティングすることができます。これらのルーティング手数料も、単にビットコインのメインネットを使うよりも桁違いに安いですが、そのルーティングを探る過程で、ユーザー情報が漏れおそれがあります。

つまり、最もコスト効率よく支払いを転送するためには、情報収集が必要なのです。LNチャネルの正確な状態を把握するための情報収集は、チャネル・プロービングと呼ばれます。これは、支払いの摩擦を改善するだけでなく、不正行為のリスクも軽減します。

チャネル・プロービングの間、送信者データはオニオン暗号化ルーティングによってプライバシーが秘匿されますが、決済を受ける側はそうではありません。
— Tony Giorgio氏、ライトニングネットワーク開発者

こういったことの改善方法の1つとして、複数の仲介業者を通して支払いをルーティングすることで、ルーティングを難読化し、支払い元を追跡することをより困難にする方法があります。また、ユーザーは暗号化によって着信支払いを「ブラインド」にすることもできる。決済が転送される際、経路を見えなくすることで、受信者だけがその経路全体を見ることができるようになるのです。

LNの支払い分割と切り替えメカニズム

Lightning Labsがコアプロトコルレベルでプライバシー強化の実装に取り組む中、ルートブラインディングに関連する技術として、(PSS) があります。ルートブラインディングが支払い経路の一部を見えなくするのに対し、PSSはそれをより小さな部分に分割します。

これらの小さな決済ビットは、プライバシーを強化し、決済が完了する可能性を高めるために、別のルートで転送されます。PSS技術の開発者であるGijs van Dam氏は、次のように説明しています。

• アリスとボブ (仲介者) はPSSをサポートする支払いチャネルを開設する。
• アリスは送金を2つに分ける。
• 一方はボブへの本来のルートをたどり、もう一方は別のルートをたどる。
• アリスはHTLC (hashed-timelock-contract) を通して、ボブが要求するよりも少ないBTCで、オリジナルのルート転送をコミットする。
• この不十分な送金のあとで、ボブはPSSを支持しているため、合意された金額である第2回分割払いを待つ。
• アリスは次に、同じトランザクションハッシュを使用して、総金額を埋めるために新たな支払いを送信する。

もちろん、ボブは転送手数料もカバーする支払いを受け取ると、元の支払いを転送するインセンティブが働く。その場合、HTCLを通じて転送することになる。HTLCがLNの基礎となるビルディング・ブロックであることを念頭に置く必要があります。これらのスマートコントラクトは、以下のことを容易にする：

• 資金のロック
• 資金のアンロック
• オフチェーンルーティング
• タイムロックメカニズム
• プリイメージのコミットメント

プリイメージのコミットメントは、アリスだけが知っているユニークな解を持つ暗号パズルで、ボブは支払いのハッシュを生成するプリイメージが明らかになった場合のみ、支払いを要求することができます。

全体として、PSSは、LNノードが「ローカライズされたパケット交換」によって利用可能なあらゆるルートを使って支払いを転送することを可能にします。問題は、PSSがどのようにライトニング・ネットワークのプライバシーを高めるか、です。

支払い分割と切り替えによるプライバシーの強化

LNアーキテクチャの必要条件であるチャネル・プロービングに話を戻しましょう。もしそのチャンネルがPSSでサポートされるようになったら、潜在的な攻撃者はどのように妨害されるのでしょうか？

PSSパケットスイッチングでは、攻撃者は支払いがアリスとボブのルートを同時にたどる可能性があることを考慮しなければなりません。それを考慮すると、攻撃者はアリスとボブの間の総流動性を探らなければならないのです。

Biryukov (2022) は、このような尤度をテストするためにLNプロービング・シミュレーターを開発しました。これは2つの方法で実施できます。

ダイレクト・プロービング：攻撃者は、ターゲットとなるチャネルの2つのノードのどちらか一方にチャネルをオープンする。Alice/Bobはチャンネルを開くときに参加しなければならないだけでなく、攻撃者はプローブされたチャンネルごとにオンチェーン料金を被ることになります。

この場合、支払いはちょうど2つのノードを経由することになる。2ホップ決済の方が安価で、一般的に少額決済に使用されます。

リモート・プロービング：攻撃者はダイレクト・チャネル・リンクを見送る代わりに、オンチェーン手数料を避けるために、接続するノードを選択します。

リモート・プロービングはマルチホップを介して実行されるため、攻撃者はボブのような仲介者のデータを収集することができます。しかし、仲介者に支払いを中継する資金がない場合、このプロービングは失敗する可能性が高いです。

グラフにすると、ダイレクト・プロービングでもリモート・プロービングでも、PSSを有効にすると情報利得が減少することがわかります。

画像：Gijs van Dam∗

さらに、潜在的な攻撃者はPSSが有効かどうかを知らないため、不確実性がもう1つ生じます。攻撃者は、チャネルの両側のノード・ピアにリンクした場合のみ、このことを知ることができ、前述のオンチェーン料金の問題が発生します。

Gijs van Dam氏が行ったシミュレーションによると、PSSはダイレクト・プロービングで50%、リモート・プロービングで62%も情報利得を低下させることができます。その上、新しいPSS技術は、バランス・ディスクロージャー・アタック (BDA) が適切にスケールアップするために既製のハードウェアを必要とするような複雑さをもたらします。

まとめ

一般的な銀行の利用者にとっては、オープンソースで無認可の保管・決済システムがあることの意味を理解するのは難しいでしょう。このような伝統的なシステムでは、当事者は主権を求めない代わりに、許可された保管契約を結びます。

ビットコインは、真の意味でプライベートな、無認可の富の保管と移転によって、そのパラダイムを打ち破ったのです。しかし、このようなネットワークが非中央集権的であり続けるためには、ブロックサイズを小さくするという妥協が必要でした。トランザクションのブロックサイズが小さければ、ネットワークのスループットは低下し、最終的には送金手数料が高くなります。

ライトニング・ネットワークは、これを解決するスケーリング・ソリューションとして登場し、ビットコインをストア・オブ・バリューから低摩擦通貨へとアップグレードしました。それでも、かならず従わなければならないルールがあります。決済が行われるためには、取引データがLNチャンネルを通じて公にブロードキャストされる必要があるのです。

このブロードキャストにおいて、ユーザー情報が匿名化される可能性があるのです。プライバシーを保護するための多くの技術の中で、PSS (Payment Splitting and Switching) が救世主になるでしょう。攻撃者が突破し、バランス・ディスクロージャー攻撃 (BDA) を成功させるために、より大きなコストと複雑さに対処しなければならないのです。

完璧ではありませんが、PSSはLNに十分な改善の余地があることを示しています。さらに重要なことは、ライトニング・ネットワーク自体が、その保守的な性質を維持しながらビットコインネットワークを拡張し続けられることです。