相互運用性のためのコンセンサスモデルのトレードオフ:クロスチェーンブリッジのセキュリティにおける PoW、PoS、DPoS、BFT
2025年上半期だけで、23億ドル以上がクロスチェーンブリッジから流出しました。これはすでに2024年通年の合計を超えています。業界の議論の多くはスマートコントラクトの監査やマルチシグの鍵管理に焦点を当てていますが、それと同じくらい重要でありながら見過ごされがちな脆弱性があります。それは、異なるブロックチェーンがコンセンサスを形成する方法と、ブリッジがそれをどのように想定しているかとの間の不一致です。
すべてのクロスチェーンブリッジは、ファイナリティについて暗黙の仮定を置いています。それらの仮定が、ソースチェーンまたはデスティネーションチェーンの実際のコンセンサスモデルと衝突したとき、攻撃者に悪用の隙を与えてしまいます。PoW、PoS、DPoS、BFTの��各コンセンサスメカニズムがどのように異なり、それらの違いがどのようにブリッジのデザインの選択やメッセージングプロトコルの選定に波及するかを理解することは、今日のWeb3インフラストラクチャにおける最も重要なトピックの1つです。
ブリッジにとってファイナリティが実際に意味すること
コンセンサスタイプを比較する前に、ブリッジがチェーンのコンセンサス層に実際に何を求めているかを明確にする必要があります。それは「ファイナリティ(確定性)」、つまり、コミットされたトランザクションが覆されないという保証です。
ファイナリティには2つの種類があります:
- 確率的ファイナリティ: トランザクションの上にさらに多くのブロックが追加されるにつれて安全性が高まりますが、不可逆性が数学的に絶対的なものになることはありません。ビットコイン(Bitcoin)がその代表例です。
- 確定的(即時)ファイナリティ: バリデータの大多数によってブロックがコミットされると、それを覆すことはできません。ほとんどのBFTベースのチェーンはこの保証を提供します。
ブリッジにとって、この区別は極めて重要です。ビットコインの入金を6ブロック後に確認済みとするブリッジは、確率的な賭けをしています。一方で、Cosmos IBCの転送を単一のブロックコミット後に確認するブリッジは、CometBFTコンセンサスエンジンに組み込まれた確定的保証に依存しています。
接続されたチェーン間でファイナリティモデルが異なる場合、ブリッジは統計的に安全になるまで十分に待つか、あるいは逆転のリスクの上昇を受け入れる必要があります。この判断を誤ったことで、業界は何十億ドルもの損失を被ってきました。
PoW:高いセキュリティ、遅いファイナリティ、ブリッジへの不適合性
プルーフ・オブ・ワーク(PoW)チェーンであるビットコインは、ベースレイヤーにおいて並外れたシビル耐性と実績のあるセキュリティを提供します。ビットコインに対する51%攻撃のコストは膨大であり、現在のハッシュレートでは1時間あたり数十億ドルと推定されるため、深いブロックの再編成(リオーグ)は経済的に不可能です。
しかし、そのセキュリティはブリッジの設計者にとってコストを伴います:
- 確率的ファイナリティのみ: ビットコインのブロックが「ファイナル」であるという明確な基準はありません。6回の承認(約60分)は慣習であり、�プロトコルではありません。
- 遅いブロック時間: ビットコインの平均ブロック時間は10分であるため、ブリッジは1時間待つか、逆転のリスクを受け入れる必要があります。
- リオーグの窓口: 深い確認が行われる前に入金を処理するブリッジは、ブロックチェーンの再編成による二重支払い攻撃に対して脆弱です。
本当の危険は、ハッシュパワーの弱いPoWチェーン(ビットコインではなく、より小規模なPoWチェーン)が高価値のDeFiエコシステムにブリッジされるときに現れます。Ethereum Classicは2020年に51%攻撃を受け、ETCの入金をあまりに早くファイナルとして処理したブリッジは、その瞬間に悪用可能となっていました。
最適なメッセージングプロトコル: PoWチェーンは効率的な証明検証のためのライトクライアントのサポートを欠いているため、それらに接続するブリッジは通常、暗号学的なファイナリティ証明ではなく、外部のバリデータやオラクル委員会に依存します。Axelar(DPoSで保護されたバリデータネットワーク)やLayerZeroのOracle+Relayerモデルのようなプロトコルは、IBCスタイルのライトクライアントブリッジよりもここでの利用に適しています。後者は効率的な運用のためにソースチェーンが即時ファイナリティを備えている必要があるためです。
PoS:改善されたファイナリティ、しかしチェックポイントの複雑さ
イーサリアムのプルーフ・オブ・ステーク(PoS)への移行は、クロスチェーンブリッジの設計に大きな改善をもたらしました。イーサリアムのコンセンサス層(以前のEthereum 2.0)は、LMD-GHOSTフォーク選択とCasper FFGファイナライゼーションの組み合わせを使用しており、2エポック(約12.8分)ごとに 経済的ファイナリティ を提供します。
ブリッジにとって、これはビットコインと比較して有意義なアップグレードです:
- ファイナライズされたチェックポイントは、ステークされたETHの大多数によって暗号学的にコミットされます。
- ファイナライズされたチェックポイントを超えて再編成を行うには、全ステークETHの3分の1以上(現在は数百億ドル相当)をスラッシングする必要があります。
- ライトクライアントはイーサリアムの同期委員会(Sync Committee)の署名を検証できるため、よりトラストレスなブリッジ設計が可能になります。
しかし、PoSは独自の問題も引き起こします:
- バリデータセットの交代: ブリッジのライトクライアントはバリデータセットの変更を追跡する必要があります。古いライトクライアントは、すでに存在しないバリデータセットによって署名された証明を受け入れてしまう可能性があります。
- スラッシングは即時の罰ではない: 経済的ペナルティは攻撃を抑制しますが、ファ��イナライズ前の短い期間に攻撃を完全に阻止するわけではありません。
- ファイナリティチェックポイントによる遅延: Casper FFGのファイナリティを待つブリッジは、クロスチェーントランザクション時間に12〜13分を加えます。これは多額の送金には許容範囲内ですが、DeFiユーザーにとってはストレスになります。
最適なメッセージングプロトコル: イーサリアムのPoSモデルは、ZK証明(ゼロ知識証明)ベースのブリッジ設計との互換性が高まっています。SuccinctのTelepathyのような新興プロトコルは、ZK-SNARKsを使用してオンチェーンでイーサリアムの同期委員会の署名を検証し、妥当な遅延でトラストミニマイズされたブリッジを実現します。LayerZero v2のZK証明DVN(分散型検証ネットワーク)のサポートも、検証可能な暗号学的ステート証明を公開するPoSチェーンとうまく適合します。
DPoS:高速なコンセンサス、バリデータセットのリスク
Delegated Proof-of-Stake(DPoS)システムは、EOS、BNB Chain、そして重要な点として Axelar のバリデータネットワーク 自体でも採用されており、より高速なコンセンサスを実現するために、選出された少数のバリデータセットを導入しています。
ブリッジにおける DPoS の利点:
- 高速なブロックタイムとほぼ即時のファイナリティ:21 から 101 のアクティブなバリデータを持つ BNB Chain は、約 3秒でブロックを確定し、約 15秒で実用的なファイナリティに達します。
- 予測可能なバリデータセット:バリデータセットの変更は緩やかな選挙サイクルで行われるため、ブリッジはより軽量な証明を維持できます。
- 低い計算オーバーヘッド:バリデータが少ないということは、検証すべき署名も少なくて済むことを意味します。
しかし、DPoS は攻撃対象領域を圧縮します:
- 結託のリスク:選出された代議士の絶対多数(一部のチェーンでは 21 人中わずか 11 人)が、理論的にはコンセンサスを偽造するために結託する可能性があります。EOS では、代議士選挙における票の買収攻撃が記録されています。
- カルテル・ダイナミクス:実際には、少数の実体が複数の代議士スロットをコントロールしていることが多く、分散性が低下します。
- キー漏洩の連鎖:ブリッジが DPoS バリデータセットに依存しており、複数のバリデータが同時に侵害された場合、ブリッジのセキュリティは基盤となるチェーンとともに崩壊します。
Axelar Network は興味深いケーススタディです。これはそれ自体が DPoS チェーン(Cosmos SDK で構築され、CometBFT コンセンサスを採用し、75 以上の有効なバリデータを持つ)であり、クロスチェーンメッセージパッシングのハブとして機能します。Axelar がリレーするすべてのメッセージのセキュリティは、最終的に AXL ステーキングの経済的セキュリティによって裏付けられています。これは、ブリッジのセキュリティモデルを明示的かつ定量化可能にする意図的な設計です。
最適なメッセージングプロトコル:DPoS チェーンは、専用の DPoS コンセンサスレイヤーがクロスチェーンメッセージを保護する Axelar のようなハブ・アンド・スポーク型の相互運用性アーキテクチャと自然に適合します。IBC のようなポイント・ツー・ポイントのプロトコルも、DPoS チェーンが互換性のあるライトクライアントインターフェースを公開していれば機能しますが、バリデータセットが小さいため、暗号化セキュリティの閾値は、より分散化された PoS ネットワークよりも低くなります。
BFT:即時ファイナリティ、IBC のネイティブ環境
Byzantine Fault Tolerant(BFT)コンセンサス、特に Cosmos エコシステム全体で使用されている CometBFT(旧 Tendermint)は、現在稼働している中で最もブリッジに適したコンセンサスモデルです。
BFT の保証:
- 確定的で即時のファイナリティ:絶対多数(2/3 以上)のバリデータが署名した瞬間に、ブロックは不可逆的にコミットされます。確率的な待機期間はありません。
- 設計によるフォークの排除:通常のネットワーク条�件下では、BFT チェーンはフォークしません。単一の確定したブロックがカノニカル(正典)なチェーンとなります。
- 不正行為の検出:IBC のライトクライアントプロトコルには不正行為の提出機能が含まれています。バリデータセットが二重署名(2 つの矛盾するブロックに署名)した場合、オンチェーンで証拠を提出し、ライトクライアントを凍結してさらなる被害を防ぐことができます。
これらの特性こそが、Inter-Blockchain Communication(IBC)プロトコルが設計された根幹です。IBC がトラストミニマイズ(信頼を最小化)されている理由は以下の通りです:
- 外部のバリデータではなく、相手方チェーンのヘッダーに対するライトクライアント検証に依存している。
- 確定的な BFT ファイナリティにより、ライトクライアントは再編成(リオーグ)を警戒する必要がない。
- カストディアンもマルチシグも存在せず、状態の包含を示す暗号証明のみが存在する。
2025年 3月にリリースされた IBC v2 は、このモデルを Ethereum に拡張しました。ゼロ知識証明(ZK-proofs)を使用することで、Ethereum の PoS ファイナリティチェックポイントを IBC ライトクライアントのコンテキスト内で検証可能にしました。これは画期的な進歩です。BFT ネイティブの信頼モデルが PoS チェーンを包み込むように適応され、IBC のセキュリティ領域が劇的に拡大しています。
トレードオフ:BFT コンセンサスはスケーラビリティに課題があります。バリデータセットが数百ノードを超えると、署名を収集するための通信オーバーヘッドが指数関数的に増大しま�す。これが、BFT チェーンがより小規模で厳選されたバリデータセットに依存する傾向がある理由であり、DPoS が直面する中央集権化の懸念を再導入することになります。
最適なメッセージングプロトコル:IBC は BFT チェーンにとって決定的な選択肢であり、トラストミニマイズされたクロスチェーン通信のゴールドスタンダードです。Hyperlane もここでの使用に適しています。その Interchain Security Modules(ISMs)は BFT チェーンの状態を直接検証するように構成でき、パーミッションレスなリレーラーモデルにより、誰でも BFT 間のメッセージパッシングのためのインフラを運用できます。
コンセンサスタイプへのメッセージングプロトコルの適合
接続されたチェーンのコンセンサスタイプに基づいてメッセージングプロトコルを選択するための実践的なフレームワークは以下の通りです:
LayerZero v2 は、事実上あらゆるチェーンに対応しますが、慎重な DVN(Decentralized Verifier Network)構成が必要です。アプリケーション開発者がメッセージを検証する分散型検証ネットワークを選択するモジュール式セキュリティスタックにより、チェーンに依存しない特性を実現していますが、その代償としてセキュリティの決定が�開発者に委ねられます。単一のファイナリティモデルが支配的でない異種混合環境に最適です。
Axelar は、外部の経済的セキュリティが許容されるチェーン向けに特化して構築されています。その DPoS バリデータネットワークは、コンセンサスの不一致を明示的に処理します。Axelar のバリデータは、メッセージをリレーする前にソースチェーンのファイナリティ(ソースチェーンがどのように定義していても)を監視します。これにより汎用性が高まりますが、Axelar 自身のバリデータセットという信頼の前提が導入されます。PoW または PoS チェーンをより広範なエコシステムに接続するのに最適です。
IBC は最もトラストミニマイズされたオプションですが、ソースチェーンが高速で確定的なファイナリティを持ち、互換性のあるライトクライアントの実装を備えている必要があります。IBC v2 が Ethereum へのサポートを拡張したことで、そのリーチは拡大しています。BFT 間の接続や、ZK ブリッジを介した BFT と PoS 間の接続に最適です。
Hyperlane は、設定可能な ISM を通じて開発者に最大の柔軟性を提供します。チームは、ソースチェーンのコンセンサスタイプに応じて、マルチシグ ISM(Axelar のモデルに似た委員会ベース)または ZK ライトクライアント ISM(IBC に似たもの)を選択できます。独自のセキュリティパラメータを定義する必要があるソブリンロールアップやアプリチェーンを構築するチームに最適です。
Chainlink CCIP は、クロスチェーンメッセージの検証を Chainlink の分散型オラクルネットワーク(DON)に依存しており、コンセンサスに�比較的依存しない設計となっています。インテグレーションの簡素化とブランドの信頼性が重要となる、すでに Chainlink の価格フィードを使用しているエンタープライズアプリケーションや DeFi プロトコルに最適です。
ファイナリティの不一致がもたらす隠れたコスト
2022 年から 2024 年を象徴するブリッジハック事件 — Ronin(6 億 2500 万ドル)、Wormhole(3 億 2000 万ドル)、Nomad(1 億 9000 万ドル) — には共通点があります。それは、接続されたチェーンにおけるトランザクションのファイナリティ(確定性)について、それぞれが危険な想定をしていたことです。
Ronin のバリデータは、オンチェーンで十分なファイナリティが経過する前に入金を承認しました。Nomad の不正証明(fraud-proof)ウィンドウは、接続されたチェーンの再編成(reorg)リスクを考慮できていませんでした。これらは単なるスマートコントラクトのバグではなく、ファイナリティモデル間のアーキテクチャ上の不一致でした。
2025 年上半期だけで業界が 23 億ドルを超える損失を処理している中、教訓は明白です。ブリッジのセキュリティは、単に何人の監査人がコントラクトをレビューしたかだけではありません。それは、ブリッジのファイナリティに関する想定が、ネットワーク内の最も弱いリン��クを含む、接続されたすべてのチェーンの実際の保証と一致しているかどうかなのです。
今後の展望:ユニバーサルアダプターとしての ZK 証明
ブリッジセキュリティにおける最もエキサイティングな進展は、コンセンサスに依存しないファイナリティ検証レイヤーとしての、ZK 証明(ゼロ知識証明)ベースのライトクライアントの登場です。Succinct Labs、Polyhedra、IBC v2 イニシアチブなどのプロジェクトは、PoS のチェックポイント署名、BFT バリデータセット、さらには PoW のブロックヘッダーまでも検証できる ZK 回路を構築しています。これらはすべてオンチェーンのスマートコントラクト内で実行されます。
ZK ベースの検証が 2025 年から 2026 年にかけて期待通りに成熟すれば、この記事で探究した核心的な緊張関係を解決できる可能性があります。ブリッジは、暗号学的証明のセキュリティ(決定論的ファイナリティが必要)か、外部バリデータの柔軟性(あらゆるファイナリティモデルに対応できるが信頼の前提が追加される)かの選択を迫られる必要がなくなります。
その未来が訪れるまでの間、実践的な指針は明確です。チェーンのコンセンサスモデルを把握し、そのファイナリティ保証に合致するメッセージングプロトコルを選択し、確率的フ��ァイナリティしか存在しない場所に決定論的ファイナリティを想定したブリッジを決して構築しないことです。
BlockEden.xyz は、Sui、Aptos、Ethereum、Cosmos チェーンを含む 27 以上のブロックチェーンネットワーク向けに、エンタープライズグレードのノードインフラストラクチャと API サービスを提供しています。クロスチェーンアプリケーションを構築する場合でも、ブリッジインフラストラクチャのために信頼性の高い RPC アクセスが必要な場合でも、当社の API マーケットプレイスを探索して、本番環境の信頼性のために設計された基盤の上で構築してください。