信頼されたブリッジの終焉:ゼロ知識証明がクロスチェーン セキュリティをどのように書き換えるか
9人の見知らぬ人たちに6億2500万ドルの現金を渡し、そのうち少なくとも5人が決して自分に対して共謀しないと信じることを想像してみてください。これは本質的に、2022年3月に Ronin Bridge のユーザーが行ったことです。そして Lazarus Group は、それが非常に危険な考えであることをわずか6時間足らずで証明しました。Ronin のハッキング、Wormhole の3億2000万ドルの悪用、そして Nomad の混乱を極めた1億9000万ドルの群衆による流出には、共通の欠陥があります。それは、誠実さを保つために数学ではなく人間に依存しているということです。
ゼロ知識証明(Zero-knowledge proofs)は、クロスチェーン・インフラストラクチャの根本的な信頼モデルを変えようとしています。「誰がこのトランザクションを保証するのか?」と問う代わりに、ZK ブリッジは「このトランザクションがチェーン A の履歴の有効な一部であることを証明できるか?」と問いかけます。これは、正しい暗号技術のみが回答できる問いです。長年の理論的研究を経て、ZK ブリッジは 2024年から 2025年にかけてプロダクション規模に達し、数十億ドルの資産を保護し、証明コストはわずか1年で 45分の1 にまで低下しました。
ブリッジ・セキュリティを再考すべき 43億ドルの理由
クロスチェーン・ブリッジは、Web3 において最も悪用されやすい攻撃対象となっています。DeFi Llama のデータによると、2021年6月から 2024年9月の間に、49件のブリッジ事件で合計約 43億ドルが盗まれました。これは、同期間にハッキングされた Web3 全体の資産の約 40% に相当します。
そのパターンは驚くほど一貫しています。
- Ronin Bridge (2022年3月): 9つのバリデーター・キーのうち5つを攻撃者が乗っ取り、6億2500万ドルが失われました。4つは Sky Mavis が管理しており、1つは一時的に委任されていたため、実効的なセキュリティしきい値がわずか 1/5 に低下していました。
- Wormhole (2022年2月): スマートコントラクトの脆弱性を突かれ、実際に入金することなく Solana 上で ETH を発行するためにマルチシグ署名を偽装され、3億2000万ドルが失われました。
- Nomad Bridge (2022年8月): 「信頼されたルート(trusted root)」の初期化バグにより、誰でも元の攻撃者のメッセージ・ペイロードを再送(リプレイ)できるようになったため、4時間で約 1億9000万ドルが流出しました。何百もの便乗アカウントがこの略奪に加わりました。
- Orbit Bridge (2024年1月): 10個のマルチシグ・キーのうち7個が侵害され、8170万ドルが失われました。これは 2024年第1四半期で最大のハッキング事件となりました。
これらは例外的なケースではありません。社会的な信頼(ソーシャル・トラスト)の上にクロスチェーン・セキュリティを構築した際に予測される結果です。つまり、バリデーター・セットの中で最も不誠実な、あるいは最もセキュリティの低い参加者と同程度の安全性しか確保できないということです。
従来のブリッジの仕組み(そして失敗する理由)
なぜ ZK 証明が重要なのかを理解するには、それが何を置き換えるのかを知る必要があります。
マルチシグ / バリデーター・ブリッジは、公証制度のように機能します。ユーザーが Ethereum 上に 1,000 ETH を預けると、バリデーターの委員会がその預金を監視し、移動先のチェーンで「はい、これは実行されました」と共同で証明します。セキュリティは、バリデーターの誠実さとキーの管理体制に完全に依存します。Wormhole は 19 の「ガーディアン」ノードを使用し、Ronin は 9 つを使用していました。人間が管理するこれらのキーはすべて攻撃の標的となります。ソーシャル・エンジニアリング、フィッシング、内部脅威、インフラの侵害はすべて実行可能な攻撃経路であり、歴史が示す通り、これらは頻繁に悪用されています。
オプティミスティック・ブリッジは、Ethereum 自体のロールアップの手法を借用しています。すべてのトランザクションが有効であると仮定し、監視者(ウォッチャー)に不正を検知した場合の「不正証明(fraud proof)」を提出するための 7日間の猶予を与えます。これにより「バリデーターの侵害」による攻撃は排除されますが、7日間の出金遅延が発生し、クロスチェーンの相互運用性(コンポーザビリティ)が損なわれます。確定に1週間かかるシステムの上で、リアルタイムの DeFi 戦略を構築することは不可能です。また、「少なくとも1人の誠実で注意深く、経済的に動機付けられた監視者が常にオンラインである」というセキュリティの前提自体が、一つの社会的な信頼に基づいています。
ZK ブリッジは、これら両方の信頼モデルを暗号学的証明に置き換えます。証明者(プルーバー)は、特定のイベントがチェーン A のコンセンサス・ルールに従って発生したことを示す簡潔な数学的証明を生成します。チェーン B 上の軽量な検証者(ベリファイア)コントラクトが、その証明をチェックします。侵害されるべきバリデーターも、待機期間も、社会的な信頼も�必要ありません。必要なのは、暗号技術の正確さだけです。
ZK 証明がクロスチェーンのステートを検証する 3つの方法
ZK ブリッジの展望は、それぞれ異なるユースケースに適した 3つの主要な技術的アプローチに集約されています。
1. ライトクライアント証明
ライトクライアントは、バリデーターの署名をチェックすることで、ブロックヘッダーがチェーンのバリデーター・セットの十分な割合によって承認されたことを検証します。ここでの課題は、Cosmos チェーンが Ed25519 署名を使用しているのに対し、EVM はその曲線に対してネイティブなサポートを持っていないことです。Electron Labs は、EVM 互換の回路内で Ed25519 の有効性を証明する ZK-SNARK 回路を構築することでこれを解決し、1ドル未満のトランザクション・コストで Cosmos から Ethereum へのブリッジを可能にしました。
Succinct Labs の SP1 zkVM は、このアプローチをさらに進化させました。署名スキームごとに回路を手書きする代わりに、開発者は Rust でブリッジ・ロジックを記述し、SP1 がそれを ZK 回路にコンパイルします。これにより、SP1 は BLS 署名の集約やバリデーターの交代を含む Ethereum のビーコンチェーンの完全なファイナリティを、単一の検証可能な証明として提示できます。
2. ZK ステート証明
ブロックがコンセンサスによって確定したことを証明するのではなく、ステート証明(状態証明)はオンチェーン・データに関する特定の事実を検証します。「チェーン A のブロック X において、アドレス Y の残高は Z であった」という具合です。Lagrange Labs はこれを最も推し進めており、履歴的なオンチェーン・データに対して SQL スタイルのクエリをサポートし、その結果を ZK 証明で裏付ける ZK コプロセッサを構築しています。これにより、オラクル・システム、クロスチェーン・ガバナンス、マルチチェーンのポジション追跡に依存する利回り戦略など、複雑な履歴ステートを判断する必要があるクロスチェーン・アプリケーションが可能になります。
3. ZK コンセンサス証明
最も包括的なアプローチ:ZK 回路内でチェーン全体のコンセンサス・ファイナリティ・メカニズムを検証します。Union Protocol の Galois プルーバーは、BFT / CometBFT コンセンサスに対してこれを行います。これらの証明は計算負荷が高いものの、最強のセキュリティ保証を提供します。ソースチェーンの状態の中間表現を信頼するのではなく、チェーン独自のファイナリティ・ルールのみを信頼するためです。
実現化を進めるプロジェクト
Succinct Labs:zkVM アプローチ
Succinct の SP1 は、2024 年から 2025 年にかけて最も本番環境で導入されている ZK ブリッジ・インフラストラクチャです。主要な数値は以下の通りです。
- Paradigm が主導した 5,500 万ドルのシリーズ A(2024 年 3 月)
- 導入全体で 40 億ドル以上の TVL を確保
- 500 万以上の ZK 証明を生成
- IBC Eureka を通じて 120 の Cosmos チェーンを Ethereum と統合
証明パフォーマンスの向上は、テクノロジーの進化を雄弁に物語っています。
- 2025 年 5 月:Ethereum ブロックの 93% が、200 台の GPU(約 30 万 〜 40 万ドルのハードウェア)で 12 秒以内に証明。
- 2025 年 11 月:わずか 16 台の NVIDIA RTX 5090 GPU(約 10 万ドル)で、ブロックの 99.7% が 12 秒以内に証明��。
Gnosis OmniBridge の統合は特に重要です。4,000 万ドル以上の TVL と 15 億ドル以上のステーブルコイン・フローが、現在ではマルチシグ委員会ではなく SP1 の ZK コンセンサス証明に依存しています。
Polyhedra Network:学術的基盤
zkBridge は UC バークレー校の RDI ラボから生まれ、Polyhedra Network によって製品化されました。その画期的な進歩は、EVM 検証コストを約 8,000 万ガス(すべてのバリデータ署名を検証する素朴な手法)から 23 万ガス未満へと削減したことです。これは 350 倍のコスト削減であり、オンチェーン検証を経済的に実現可能にしました。
4,000 万以上の ZK 証明が生成され、Ethereum、BNB Chain、およびすべての主要な L2 を含む 25 以上のブロックチェーンへの接続性を備えた Polyhedra は、主要なクロスチェーン・トークン・インフラストラクチャのバックボーンとなっています。累計 7,500 万ドルの資金調達(Polychain Capital が主導した評価額 10 億ドルでの 2,000 万ドルのラウンドを含む)は、ZK ブリッジの理論に対する機関投資家の信頼を反映しています。
Lagrange Labs:ZK 証明のためのリステーク・セキュリティ
Lagrange のアプローチはアーキテクチャ的に独特です。EigenLayer のリステークされた ETH を、自社の ZK プルーバー・ネットワークの経済的セキュリティとして利用します。その結果、証明インフラストラクチャが Ethereum 自身のセキュリティ予算によって裏付けられたブリッジ・インフラストラクチャが実現します。
EigenLayer メインネットの立ち上げによる数値は驚異的です。最初の 2 週間で 40 億ドル以上のリステーク ETH が集まり、85 を超えるトップ・オペレーターが Lagrange の証明ソフトウェアを実行しています。Founders Fund(ピーター・ティール)、1kx、Coinbase から 3,000 万ドル以上の資金を調達した Lagrange は、ZK コプロセッシングが本格的なクロスチェーン・アプリケーションのコア・インフラになると確信しています。
Union Protocol:IBC のユニバーサル化
Union は 2024 年 12 月のシリーズ A で 1,400 万ドルを調達し、野心的な目標を追求しています。それは、Cosmos 用に開発され、実戦で実証済みの相互運用性プロトコルである IBC をすべてのブロックチェーンに導入することです。彼らの修正版 CometBLS コンセンサス・エンジンは Cosmos チェーンの ZK 証明を高速化し、Galois が送信先でのコンセンサス検証を処理します。
現在の統合先には、Scroll、Arbitrum�、Berachain、Movement Labs、Stargaze、Polygon の AggLayer などが含まれます。そのビジョンは、ZK 証明を認証レイヤーとした、IBC が「ブロックチェーンの TCP/IP」になることです。
IBC Eureka:実用性の証明
2025 年 4 月、Interchain Labs は IBC Eureka をローンチし、ZK 証明を基盤となる信頼メカニズムとして使用して、合計時価総額 2,600 億ドルを超える Cosmos、Ethereum、Bitcoin のエコシステムを接続しました。
この技術的成果は詳しく見る価値があります。Cosmos チェーンは Ed25519 バリデータ署名を使用した Tendermint BFT でファイナライズされます。Ethereum の EVM はネイティブでは Ed25519 を検証できません。その解決策として、Succinct の SP1 が完全な Tendermint ライトクライアントを実行し、Ethereum 上で約 20 万ガスで検証可能な Cosmos コンセンサスの ZK 証明を生成します。これは、素朴な手法よりも 25 倍安価です。
その結果、Ethereum からのクロスチェーン転送はガス代とリレー手数料を含めて 1 ドル未満となり、信頼できる仲介者なしで数秒で完了します。初期の採用者には、dYdX、MANTRA、Lombard(BTC リキッドステーキング)、Babylon(Bitcoin ステーキング)が含まれます。2025 年後半の時点で、Succinct のインフラストラクチャだけで 120 の Cosmos チェーンのコンセンサス証明を Ethereum に送信しています。
これは、実稼働環境において大規模に展開された ZK ブリッジの理論の実証です。
トランザクション・モデルの問題:UTXO vs. Account vs. Object
クロスチェーン ZK 証明において過小評価されている課題の一つは、ブロックチェーン間で状態の表現方法が一致していないことです。この断片化により、ZK 回路の開発が大幅に複雑になります。
UTXO モデル(Bitcoin、Cardano、Litecoin):状態は未使用のトランザクション出力です。「口座残高」という概念はなく、消費されるのを待っているコインのみが存在します。ZK 回路で UTXO セットのメンバーシップを証明するには、Bitcoin の UTXO セット(Ethereum の状態トライとは異なる UTXO コミットメント・スキーム)における Merkle インクルージョンを証明する必要があります。ほとんどの ZK ブリッジ・インフラストラクチャはアカウント・モデルのチェーン向けに構築されており、UTXO チェーンにはカスタム・エンジニアリングが必要です。
アカウント・モデル(Ethereum、Solana、Aptos):状態は、アドレスからアカウント状態へのキー・バリュー・マップです。Ethereum の Merkle-Patricia トライ構造は、ZK 状態証明の構築にスムーズに適合します。zkBridge や SP1 のエコシステムはこのモデルに最適化されています。
オブジェクト・モデル(Sui):資産はグローバル ID を持つ第一級のオブジェクトであり、並列実行を可能にします。Sui からのクロスチェーン証明には、オブジェクト中心の状態表現に適応した回路が必要です。つまり、口座残高ではなくオブジェクトの所有権を証明します。Sui の 2026 年のロードマップには、ハイブリッド検証メカニズムを使用したネイティブの Ethereum ブリッジが含まれています。
ZK 証明はこの断片化を解消するための最も現実的な道筋を提供します。すべてのチェーンに共通規格の採用を強制するのではなく、ZK を使用することで各チェーンを独自の条件で証明できます。zkBridge の 25 以上のチェーンへの対応は、この柔軟性を示しています。制約となるのはエンジニアリングに要する時間であり、新しい状態モデルごとにカスタム ZK 回路の開発が必要となります。
現在の制限事項:ZK ブリッジにまだできないこと
技術は急速に進化していますが、依然として実質的な制限が残っています。
証明のレイテンシ:大幅な改善にもかかわらず、最速のプロダクションシステムでも証明の生成には依然として数秒かかります。完全に同期されたクロスチェーンコール(アトミックなマルチチェーン DeFi に必要)には、ミリ秒単位のレイテンシが求められます。このギャップはハードウェアの世代交代ごとに縮まっていますが、まだ解�消されてはいません。
プルーバーの中央集権化:ほとんどのプロダクション ZK ブリッジは、依然として小規模で準信頼(semi-trusted)のプルーバークラスターに依存しています。真に分散化されたプルーバーネットワーク(Succinct Prover Network、Lagrange ZK Prover Network、RISC Zero の Boundless 市場など)は活発に開発されていますが、大規模な実戦投入による検証はまだこれからです。
回路アップグレードの複雑さ:ソースチェーンがコンセンサスメカニズムを変更した場合、ZK 回路もそれに応じて更新する必要があります。管理が不適切なアップグレードは、ブリッジを不整合な状態にする可能性があります。これは適切なバージョニングによって管理可能ですが、継続的なエンジニアリングへのコミットメントを必要とします。
小規模トランザクションのコストの下限:2025 年に証明あたりのコストは 45 倍低下しましたが(2025 年 1 月の平均 1.69 ドルから 2025 年 12 月には 0.0376 ドルへ)、証明のオーバーヘッドは依然として非常に少額のクロスチェーン送金においては無視できない割合のコストを占めています。経済的には、大口の送金やバッチ処理が有利な状況にあります。
プルーバー市場:2003 年頃のクラウドコンピューティング
ZK ブリッジ・インフラストラクチャにおける最も興味深い構造的な進展は、証明市場(Proving Markets)の出現です。ZK 証明の生成には膨大な計算リソースが必要であり、ほとんどのブリッジオペレーターが自前で運用できない、あるいは運用すべきではない特殊な GPU クラスターを必要とします。
その経済性は、かつてのクラウドコンピューティングと同じ軌跡を辿っています。ZK 証明の生成コストは 2 年間で約 100 倍低下し、クラウドコンピューティング初期のコスト低下の軌跡を反映しています。専用の証明インフラプロバイダー(Succinct、RISC Zero、Lagrange、Nil Foundation)は、証明のレイテンシ、コスト、ハードウェア効率で競い合っています。
EigenLayer は、プルーバーネットワークの担保としてリステーク(再ステーキング)された ETH を導入するという、新たな展開をもたらしました。プルーバーが不正な証明を生成した場合(正しい ZK システムでは理論上不可能ですが、インタラクティブな証明を使用する場合やバグが存在する場合に該当)、リステークされた ETH はスラッシュ(没収)されます。これにより、暗号学的なセキュリティの上に経済的なセキュリティが加わり、機関投資家のブリッジ利用における「二重の安全策(ベルトとサスペンダー)」となります。
クロスチェーンスタックにとっての意味
バリデーターベースから ZK ベースのクロスチェーンインフラへの移行は、「ブリッジハックの減少」をはるかに超える二次的な影響を及ぼします。
7 日間の待機期間が終了する。 オプティミスティック・ブリッジは、不正証明の提出を可能にするために 7 日間の出金遅延を課していました。ZK ブリッジにはチャレンジ期間がありません。証明が検証されれば、決済は完了(ファイナライズ)します。これにより、オプティミスティックな遅延を許容できなかった DeFi アプリケーションにおいて、高速なクロスチェーンのコンポーザビリティ(構成可能性)が解放されます。
ブリッジのセキュリティがチームの評判から独立する。 マルチシグブリッジのセキュリティは、根本的に「誰が鍵を管理しているか」に依存します。一方、ZK ブリッジのセキュリティは「基盤となる暗号システムが正しいかどうか」に依存します。これにより、デューデリジェンスの問いは「このチームを信頼できるか?」から「この回路は監査されているか?」へと変化します。
相互運用性がコモディティ化されたインフラになる。 任意のチェーンが数セントのガス代と数秒のレイテンシで他のチェーンに対して証明可能になれば、クロスチェーンはプレミアムサービスではなく、当然備えるべき標準機能となります。SP1 や zkBridge のようなプロジェクトは、すでにマルチチェーンの証明を製品の差別化要因ではなく、インフラとして扱っています。
ビットコインが一級市民になる。 UTXO ベースの ZK 回路開発は、以前はニッチな研究分�野でした。IBC Eureka によるビットコインの統合と、EVM へのブリッジが必要なビットコイン L2 エコシステムの成長が相まって、ビットコインのステート証明(状態証明)の急速な開発を推進しています。2,600 億ドルを超えるビットコインエコシステムと DeFi の接続は、ZK ブリッジを通じて実現されます。
今後の展望
ZK ブリッジのエコシステムは興味深い段階にあります。基盤技術は機能しており、機関投資家は実際に多額の資金(SP1 だけで 40 億ドル以上を保護)を投入し、証明コストは劇的に低下しました。しかし、分散型の規模で ZK ブリッジを運用するためのインフラ(分散型プルーバーネットワーク、正式な回路検証、クロスチェーン標準など)は、まだ構築の途上にあります。
これからの 18 ヶ月で、ZK ブリッジが支配的なクロスチェーンアーキテクチャになるか、あるいは数ある選択肢の一つに留まるかが決まるでしょう。注目すべき指標は、分散型プルーバーネットワークが中央集権型クラスターのパフォーマンスに匹敵できるか、ビットコインの UTXO 回路開発がビットコイン L2 の普及に追いつけるか、そして証明コストの曲線が急激な下降を続けられるかです。
もし 2025 年の 45 倍のコスト削減が 2026 年にも繰り返されれば、ZK 証明の生成コストは証明あたり 0.001 ドル未満になります。その価格帯では、トラストミニマイズ(信頼を最小化した)クロスチェーンインフラが偏在することになるでしょう。数十億ドルのブリッジ資産を人間の委員会に委ねてきた 7 年間にわたる実験は、ついに終焉を迎えるかもしれません。
BlockEden.xyz は、Ethereum、Sui、Aptos、および 20 以上のブロックチェーンネットワーク向けに、高性能な RPC および API インフラストラクチャを提供しています。複数のチェーンにわたって信頼性の高いノードアクセスを必要とするクロスチェーンアプリケーションを構築している開発者の方は、当社の API マーケットプレイスをご覧ください。