メインコンテンツまでスキップ

Optimism の 10 年量子時計:Superchain が ECDSA の廃止日を設定した初の L2 になった理由

· 約 18 分
Dora Noda
Dora Noda
Software Engineer

2026 年 1 月、Optimism は他のどのレイヤー 2 も成し遂げられなかったことを行いました。それは、ECDSA の終焉の日を定めたことです。今から 10 年後の 2036 年 1 月頃、OP Mainnet、Base、World Chain、Mode、Zora、Ink、Unichain といったスーパーチェーン上のすべての外部所有アカウント(EOA)は、耐量子署名スキームを導入しなければ、トランザクションの実行ができなくなります。他の主要な L2 で、これに匹敵する移行計画を公開しているところはありません。Arbitrum、ZKsync、Polygon zkEVM、Starknet、Linea は、量子問題について依然として沈黙を保っています。

その沈黙は、戦略的に大きな代償を伴い始めています。

2025 年 5 月、Google の研究者 Craig Gidney 氏は、RSA-2048 が 100 万量子ビット未満で解読可能であることを示す論文を発表しました。これは、彼自身が 2019 年に予測した 2,000 万量子ビットから 20 倍の削減となります。IBM は 2029 年までにフォールトトレラント(耐故障性)量子システムの実現を目指しています。Google は、Q-Day(量子コンピュータが既存の暗号を破る日)が早ければ 2030 年に到来するというモデルを公表しています。NIST(米国国立標準技術研究所)の廃止スケジュールも、この悲観的な見通しと一致しています。量子耐性のないアルゴリズムは 2030 年以降に非推奨となり、2035 年以降は禁止される予定です。財務プランナーが無視して構わないと考えていた「10 年後」という予測は、今や企業の債券ラダーと同じ時間軸にまで短縮されています。

Optimism のロードマップは、このタイムラインを現実のものとして扱う、L2 コホートにおける最初の対応です。

Optimism が実際に約束したこと

OP Labs によって公開され、Ethereum 研究コミュニティ全体に拡散されたこのロードマップは、移行をスーパーチェーン・スタックの各レイヤーに明確に対応する 3 つのワークストリームに分割しています。

ユーザーレベルの移行。 ECDSA によって保護されている外部所有アカウント(EOA)は、耐量子スマートコントラクト・アカウントに置き換えられる予定です。この計画では、アカウント抽象化と EIP-7702 を活用し、ユーザーに既存の残高を放棄させることなく、ハードフォークを通じて署名スキームを交換します。古いウォレットは、ECDSA と耐量子(PQ)署名付きトランザクションの両方が受け入れられる長いデュアルサポート期間中も機能し続けます。2036 年 1 月以降、ネットワークは PQ 経路を標準(カノニカル)として扱い、新しい ECDSA 署名のブロックへの受け入れを停止します。

インフラレベルの移行。 L2 シーケンサーと、Ethereum L1 にデータを投稿するバッチ・サブミッターは、いずれも ECDSA から移行します。これは、短期的にはユーザーアカウントの移行よりも重要です。なぜなら、量子攻撃者が稼働している状況でシーケンサーのキーが侵害されると、順序付けが書き換えられたり、転送中の価値が盗まれたりする可能性があるからです。これらの特権キーを最初に強化することは、セキュリティ対策の定石です。

Ethereum との連携。 Optimism は、スーパーチェーン単独ではこの作業を完結できないことを明示しています。ロードマップでは、Ethereum がバリデーターを BLS 署名や KZG コミットメントから耐量子代替案へと移行させるタイムラインを確約することを求めており、OP Labs はこれについて Ethereum Foundation と積極的に連絡を取り合っています。この姿勢は、Vitalik Buterin 氏が 2026 年 2 月に示した耐量子ロードマップと一致しています。そのロードマップでは「耐量子セキュリティ・チーム」が結成され、4 つの脆弱なレイヤー(コンセンサスレベルの BLS 署名、KZG ベースのデータ可用性、ECDSA アカウント署名、ゼロ知識証明)が特定されています。

Buterin 氏の計画では、BLS を Winternitz バリアントなどのハッシュベースのスキームに置き換え、データ可用性を KZG から STARK に移行することを提案しています。さらに、EIP-8141 では再帰的 STARK 集約を導入し、数千の署名を単一のオンチェーン証明に圧縮します。この計画は 2026 年 2 月 27 日に Kurtosis デブネットで正常に実行され、ブロックの生成と新しいプリコンパイルの検証が行われました。Optimism のロードマップは、この Ethereum 側の作業と足並みを揃えるように調整されています。

なぜ「10 年」が攻めの姿勢であり、かつ控えめなのか

10 年というのは長い時間に聞こえるかもしれません。しかし、その間に起こらなければならないことを考慮すると、決して長くはありません。

パブリック・ブロックチェーンにおける署名スキームの移行は、単なるソフトウェアのアップグレードではありません。それは、ウォレット、ハードウェア・サイナー、カストディアン、取引所、署名の前提条件をハードコードしているスマートコントラクト、オラクル・ネットワーク、ブリッジ・セキュリティ委員会、MEV ビルダー、そしてそれらを取り巻く規制境界を越えた調整の問題です。Coinbase、Ledger、Trezor、Fireblocks、Anchorage、MetaMask、Safe、および Base 上でトークン化された資金を保有するすべての機関は、耐量子(PQ)対応のキー管理機能をリリースし、監査し、クライアントに展開する必要があります。NIST 自体の廃止期限である 2035 年を考えると、Optimism には「PQ が標準になる」から「規制当局が旧来のアルゴリズムを禁止する」までの間に 1 年間の猶予しかありません。このバッファは決して十分なものではありません。

逆に、他の主要な L2 の現状と比較すると、10 年という期間は非常に野心的です。Arbitrum、ZKsync、Polygon zkEVM、Starknet、Scroll、Linea、Mantle は、これに匹敵する計画を発表していません。この沈黙は、研究の準備状況の問題(再帰的 STARK 集約や格子ベースの検証器がすぐに使える状態ではないこと)と、マーケティング上の判断の両方に起因しています。なぜなら、2036 年という期限を発表すれば、他のコホートがまだ準備できていない対話を強いられることになるからです。Optimism がその政治的コストを最初に引き受けたことで、このロードマップは、競合他社が模倣せずにはいられないリーダーシップとしての資産へと変わりました。

比較スタック:Bitcoin のフリーズ、Solana の Falcon、Ethereum の STARK

現在提案されている代替案と比較すると、Optimism の計画は非常に現実的であると言えます。

Bitcoin の BIP-361。 Casa の CTO である Jameson Lopp 氏が共同執筆した「Post Quantum Migration and Legacy Signature Sunset(ポスト量子移行とレガシー署名の廃止)」と題された BIP-361 は、有効化から 5 年以内にレガシーアドレスに保持されている Bitcoin をフリーズすることを提案しています。この提案は、量子耐性のある Pay-to-Merkle-Root (P2MR) アドレスタイプを導入する BIP-360 とペアになっています。フェーズ A では、BIP-360 の有効化から 3 年後に、ウォレットからレガシーアドレスタイプへの送金をブロックします。その 2 年後のフェーズ B では、コンセンサス層でレガシー署名を無効にします。つまり、移行しなかったコインは単純に使用不可能になります。現在、全 Bitcoin の 34% 以上がオンチェーンで公開鍵を露出させており、Bitcoin 研究者の推定では、今日フェーズ B が有効化された場合、約 740 億ドル相当の BTC がフリーズされるアドレスに存在しています。Adam Back 氏は、強制的なフリーズではなくオプションのアップグレードを主張して反論しており、コミュニティの議論は解決していません。Optimism との対照は鮮明です。Bitcoin の計画は「不作為による没収」で終わりますが、Optimism の計画は「残高を保護するスマートアカウントへの移行」で終わります。

Solana の Falcon トライアル。 Solana で最も使用されているバリデータクライアントである Anza と Firedancer の両方が、NIST 標準のポスト量子署名スキームの中で最小の Falcon-512 のテスト実装をリリースしました。Jump Crypto は、高スループットのチェーンにとって署名サイズが制約条件であることを明言しています。署名が大きくなれば、より多くの帯域幅とストレージが必要になり、検証も遅くなります。Falcon のコンパクトなフットプリントは実用的な適合性を持っていますが、ポスト量子検証は依然として Ed25519 よりも高い計算負荷を要し、Solana 上で本番規模で Falcon を実行した場合のスループットコストはまだ公開されていません。Anatoly Yakovenko 氏は、今後数年以内に量子コンピュータが Bitcoin の暗号を破る確率を 50% と見積もっており、これは L1 創設者の中で最も強気な公言です。Solana のアプローチは「研究と検証」であり、Optimism のアプローチは「公開とコミットメント」です。

Ethereum の STARK アグリゲーション。 Buterin 氏のロードマップは、Ethereum のコンセンサス層が ECDSA ではなく BLS 署名を使用しており、BLS が ECDSA とは異なる量子脆弱性の問題を抱えているため、L1/L2 の計画とは構造的に異なります。置換パス(STARK ベースのアグリゲーションを伴うハッシュベースの署名)は数学的に明快ですが、STARK アグリゲーションには現在本番環境に存在しない再帰的証明システムが必要なため、運用面では重くなります。Strawmap では、4 年間で約 7 回のハードフォークが想定されており、2026 年の Glamsterdam と Hegotá では、後の PQ フォークの基礎となる並列実行とステートツリーの変更が行われます。

Optimism の計画は、Ethereum が提供するものすべてを継承し、その上に独自のスーパーチェーンレベルの署名アグリゲーションのアップグレードと CRYSTALS-Dilithium ベースの検証モジュールを重ねます。この利点は、L2 が BLS の問題を自ら解決する必要がないことです。L1 のソリューションが登場したときに、それを取り込める準備ができていればよいのです。

機関投資家の視点:トークン化ファンドには長期的なセキュリティストーリーが必要

Optimism のロードマップの背後にある語られない商業的推進力は、Base に流入する機関投資家の資本です。BlackRock の BUIDL、Apollo の ACRED、Franklin Templeton の BENJI といったトークン化ファンドは、現在、数年にわたるカストディ期間を見据えた数十億ドル規模の展開となっています。彼らのコンプライアンス責任者や最高リスク責任者(CRO)は、「10 年後」を単なる抽象概念としては捉えません。彼らは拠点の選定において、ロングテールなセキュリティを評価基準の一つにしています。トークン化された財務省証券を 10 年間保持することを義務付けられているファンドは、署名スキームに 2030 年代の陳腐化リスクが現実的に存在するインフラに資産を置くことはできません。

したがって、スーパーチェーン内における Base の Coinbase による戦略的ポジショニングは、OP Labs のロードマップから静かな恩恵を受けています。BUIDL の次回の運営見直しが行われる際、公開され、日付が指定され、技術的に特定された PQ 移行計画を提示できるチェーンは、それができないすべてのチェーンに勝利します。同じ論理が、長期的なセキュリティとともにトランザクションレベルの機密性を必要とする Apollo の ACRED 保持者や、NIST の 2030 年廃止カレンダーがサイバーセキュリティ体制への不可欠な入力項目となっている規制枠組みの中で活動する Franklin の BENJI 投資家にも当てはまります。

言い換えれば、Optimism の PQ ロードマップは単なるエンジニアリング文書ではありません。それは 2036 年のスタンプが押された「機関投資家向けのセールス資料」なのです。

他のプロジェクトが避けて通れない未解決の問い

Optimism の発表は、2026 年から 2027 年にかけての他の L2 エコシステムの議題を設定しました。以下のいくつかの問いは、もはや避けて通ることはできません。

  • Arbitrum、ZKsync、Polygon zkEVM、Starknet は、日付を明記した PQ ロードマップを公開するか? 公開するコストは、次回の機関投資家の運営見直し時に「ロードマップのない L2」であることのコストよりも低くなっています。
  • EVM は NIST 標準の PQ 検証プリコンパイルを獲得するか? Vitalik 氏のロードマップは「Yes」を示唆していますが、EVM 上での CRYSTALS-Dilithium 署名検証のガス代の経済性はまだ公開されていません。検証のガス代が禁止的なほど高い場合、Optimism のスマートアカウント移行には別の暗号学的基盤が必要になります。
  • EIP-7702 は PQ スマートアカウントとどのように相互作用するか? EIP-7702 は EOA が一時的にスマートコントラクトコードに権限を委譲することを可能にするもので、これは Optimism が依拠している移行手段です。この相互作用モデルは、デュアルサポート期間中にユーザーの ECDSA キーが侵害されたケースを処理する必要があります。
  • ブリッジはどうなるか? Ethereum L1 への Optimism のカノニカルブリッジは、Ethereum の決済層が受け入れるものを継承します。サードパーティのブリッジ(LayerZero、Wormhole、Axelar、Across)は独自の署名委員会を運営しており、PQ 計画を公開していません。量子脆弱性のある署名キーを持つブリッジは、両端のポイントが PQ セキュアであっても、格好の標的となります。
  • スーパーチェーンは単一の PQ スキームに集約されるのか、それとも複数化するのか? Falcon、Dilithium、SPHINCS+、Winternitz は、それぞれサイズ、速度、セキュリティのトレードオフが異なります。マルチスキームのスーパーチェーンは運用の複雑さを継承し、単一スキームのスーパーチェーンはスキーム自体のリスクを継承します。

これらの問いに対して、2026 年時点で明確な答えを持つものはありません。しかし、そのすべてが 2036 年までには回答されなければならないのです。

構築者およびオペレーターにとっての意味

Superchain 上で構築を行うチームにとっての実質的な教訓は、耐量子(post-quantum)を単なる研究上の好奇心ではなく、現実的なアーキテクチャ上の制約として扱い始めることです。ウォレットプロバイダーは、ECDSA と PQ の二重鍵管理インターフェースを計画すべきです。スマートコントラクト開発者は、カストディロジック、マルチシグウォレット、またはガバナンスモジュールにおいて、署名スキームの前提をハードコードすることを避けるべきです。OP Mainnet、Base、または World Chain を統合しているカストディアンや取引所は、PQ 移行を 10 年計画ではなく 5 年計画のロードマップに加えるべきです。今から 36 ヶ月後の NIST(米国国立標準技術研究所)の廃止スケジュールは、Optimism のハードフォークに到達するよりも先に、機関投資家の調達プロセスに影響を及ぼすことになるでしょう。

インフラストラクチャオペレーターにとって、問題は移行するかどうかではなく、いつ開始するかです。Superchain の二重サポート期間は、10 年代後半にフェーズ B 相当の強制力が発動するまで、運用上の強制力が働かないことを意味します。しかし、機関投資家のデューデリジェンスの質問票は、それよりもはるかに短いサイクルでの強制力として機能します。

BlockEden.xyz は、Optimism、Base、および広範な Ethereum L2 エコシステム向けにプロダクショングレードの RPC インフラストラクチャを運用しています。Superchain が今後 10 年かけて耐量子署名へと移行する中、私たちのチームはパートナーと共にこの移行を追跡しています。これにより、皆さんが構築するチェーンが Q-Day 以降も検証可能な状態を維持できるようにします。当社の API マーケットプレイスを探索して、長期的な展望に立って設計されたインフラストラクチャ上にデプロイしましょう。

出典

Share on Twitter