暗号資産分野におけるプライバシーの歴史

あらゆる主要テクノロジーの進化は、まずは特定用途や単一ユーザー向けとして始まり、やがて汎用・マルチユーザー型へと発展してきました。

初期のコンピューターは、暗号解読や国勢調査、弾道計算など、1回に1つのタスク専用として設計されていました。その後、共有型でプログラム可能なマシンへと進化しました。

インターネットも同様に、最初は小規模なポイント・ツー・ポイントの研究ネットワーク（ARPANET）から始まり、やがて何百万人もの人々が協調し合うグローバルな共有基盤となりました。

AIもまた同じ道をたどっています。初期はチェスエンジンやレコメンデーションシステム、スパムフィルターのような単一分野の専門モデルでしたが、やがて複数分野に対応する汎用モデルへと進化し、新たなタスクへの適応や他者による基盤利用を可能にしました。

技術は一貫して、狭い用途や一人用として始まり、後に拡張性や複数ユーザー対応へと広がっていきます。

そして今、プライバシーも同じ転換点に差し掛かっています。暗号資産におけるプライバシーは、これまで「限定的」かつ「シングルプレイヤーモード」から抜け出せていませんでした。

しかし、状況は変わりつつあります。

TL;DR:

プライバシーは、コンピューティング・インターネット・AIと同様に、特定用途や単一ユーザー向けから始まり、やがて汎用・マルチユーザー型へと進化してきました。
暗号資産におけるプライバシーは、これまで狭いシングルプレイヤーモードから抜け出せず、従来のツールでは共有状態を実現できませんでした。
Privacy 1.0は、表現力が限定されるシングルプレイヤープライバシーです。共有状態はなく、主にZKベースのプライバシー、クライアントサイド証明、カスタム回路作成を要する厳しい開発体験が特徴です。
初期のプライバシーはBitcoinのCoinJoin（2013年）から始まり、Monero（2014年）、Zcash（2016年）、EthereumのTornado Cash（2019年）、Railgun（2021年）へと発展しました。
多くのPrivacy 1.0ツールはクライアントサイドZK証明に依存し、「プライバシーのためのZK」と「検証のためのZK」が混同されがちですが、実際には現在の多くの「ZK」システムは検証性のために設計されています。
Privacy 2.0は、MPCやFHEによる暗号化された共有状態を持つマルチプレイヤーモードのプライバシーです。ユーザーはEthereumやSolana上のように、プライベートに協調できます。
暗号化された共有状態により、暗号資産はついに汎用の暗号化コンピューターを獲得し、ダークプール、シールドプール、プライベートレンディング、ブラインドオークション、コンフィデンシャルトークンなど、新たな市場設計が透明チェーン上でも可能となります。
Bitcoinはパブリックな孤立状態を、Ethereumはパブリックな共有状態を、Zcashは暗号化された孤立状態を提供しました。Privacy 2.0は、暗号化された共有状態という欠けていたピースをもたらします。
Arciumは、Succinctのようなプローバーネットワークに似たアーキテクチャで、ZKの代わりにMPCを用い、ArcisでRustをMPCにコンパイルすることでマルチユーザー暗号化計算を実現しています。
Privacy 2.0で生まれた新しいアプリケーション例には、Arciumを活用したUmbraのシールドプールによるコンフィデンシャルバランスとスワップ、Pythiaのプライベートオポチュニティマーケット、Meleeのプライベートオッズと決済を備えた意見市場などがあります。
今や、あらゆるものが< encrypted >となり得ます。ZKだけでは暗号化された共有状態は実現できません。Privacy 2.0は、暗号資産分野で最大級のブレイクスルーの一つです。

ここまでの経緯と、なぜ暗号化された共有状態がこれほど重要なのかを理解するには、プライバシーの起点から振り返る必要があります。

Privacy 1.0

暗号資産プライバシーの最初の波が始まった場所。

ユーザーは、ミキサーやシールドプール、プライベート暗号通貨を通じて、ついに取引のプライバシーを獲得しました。しかし一部のアプリケーションは法的問題に直面し、プライバシーツールが不正行為にどう対応すべきか議論を呼びました。

Privacy 1.0は、シングルプレイヤーモードのプライバシーを導入しました。人々は協調できますが、プログラム可能なブロックチェーン上のように動的には連携できません。プライバシーの表現力は制限されています。

Privacy 1.0の主な特徴：

• 共有状態がなく、「シングルプレイヤーモード」でのプライバシーのためアプリケーションが制限される
• 主にZKベースのプライバシー
• クライアントサイドZKで高いプライバシーを実現するが、複雑なアプリには遅い
• 開発体験が厳しく、プライバシーアプリ構築にはカスタム回路が必要

暗号資産における最初のプライバシーは、ZKや高度な暗号技術が登場する以前、Bitcoin上に現れました。初期のBitcoinプライバシーは真の「暗号的プライバシー」ではなく、パブリック台帳上のリンク性を断ち切るための協調的な工夫でした。

最初の事例はCoinJoin（2013年）で、ユーザーが1つのトランザクションでインプットとアウトプットをまとめ、誰が誰に支払ったかを曖昧にしました。暗号技術はほとんど使われていませんが、トランザクションレベルのプライバシーを導入しました。

これが発展し、CoinShuffle（2014年）、JoinMarket（2015年）、TumbleBit（2016年）、Wasabi（2018年）、Whirlpool（2018年）などが登場しました。いずれもミキシングフローでBitcoinの追跡を困難にし、一部はインセンティブや多層暗号化、UX改善などを加えています。

しかし、これらはいずれも強固な暗号的プライバシーを提供しませんでした。リンク性を曖昧にするだけで、後のZKシステムが導入した数学的保証のあるトラストレスなプライバシーはありません。連携やヒューリスティック、ミックスエントロピーに依存し、正式な匿名性証明はありませんでした。

プライベート暗号通貨

Moneroは2014年に登場し、プライベート送金のための完全なプライベートブロックチェーンを本格的に目指した最初の試みでした。これは透明チェーン上のプライバシーツールではなく、独自チェーンで動作します。Moneroのモデルはリング署名に基づく確率的プライバシーで、各トランザクションはデフォルトで16個のダミーに本物のインプットを隠します。実際にはMAP Decoderのような統計的攻撃やネットワークレベル攻撃で匿名性が弱まる場合もあります。将来的なFCMPなどのアップグレードで匿名集合を全チェーンへ拡大することが目指されています。

Zcashは2016年にローンチし、Moneroとは異なり、最初からZKコインとして設計されました。zk-SNARKsによるシールドプールを導入し、ユーザーはダミーの中に隠れるのではなく、暗号的プライバシーを得られます。正しく使えば、Zcashのトランザクションは送信者・受信者・金額を一切明かさず、シールドトランザクションが増えるほど匿名性も拡大します。

Ethereumにおけるプログラム可能なプライバシーの登場

Tornado Cash（2019年）

Tornado Cashは2019年にローンチされ、Ethereumに初めてプログラム可能なプライバシーをもたらしました。プライベート送金に限定されていましたが、スマートコントラクトミキサーに資産を預け、後にゼロ知識証明で引き出すことで、透明な台帳上でも本格的なプライバシーを得られるようになりました。Tornadoは広く利用され、正当な用途も多かったものの、大規模なDPRK（北朝鮮）によるマネーロンダリングが流入したことで法的問題に直面しました。不正利用者を排除してプールの健全性を維持する必要性が明らかとなり、現在の多くのプライバシーアプリではこれが実装されています。

Railgun（2021年）

Railgunは2021年に登場し、Ethereumのプライバシーを単なるミキシングから一歩進め、プライベートなDeFiインタラクションを可能にしました。単なる入金・出金のミキシングではなく、ユーザーはスマートコントラクトとプライベートにやり取りでき、ゼロ知識証明で残高・送金・オンチェーンアクションを隠しつつEthereumで決済します。これはTornadoのモデルから大きな進歩で、単純なミックス＆ウィズドローではなく、スマートコントラクト内で継続的なプライベート状態を提供します。Railgunは今も健在で、一部DeFiコミュニティで採用が進みましたが、ユーザー体験は多くの人にとって大きな障壁となっています。

次に進む前に、現在も広く見られる混乱について触れておきます。ZKシステムの人気が高まるにつれ、「ZK」と名が付けば自動的にプライバシーがあると考える人が増えました。しかし、実際には現在の多くの「ZK」システムは検証性のために設計されており、プライバシーではありません。

このマーケティングと現実のギャップにより、「プライバシーのためのZK」と「検証のためのZK」が混同され、まったく異なる問題を解決しているにもかかわらず同一視されてきました。下記のツイートもご参照ください。

Privacy 2.0

Privacy 2.0は、マルチプレイヤーモードのプライバシーです。ユーザーは単独で行動するのではなく、プログラム可能なブロックチェーン上のように、プライベートに協調できるようになります。

Privacy 2.0の主な特徴：

• 暗号化された共有状態、「マルチプレイヤーモード」でのプライバシー
• MPCとFHE
• プライバシーの信頼仮定はMPCに依存し、FHEも同様にMPCでしきい値復号を行います。
• 回路は抽象化されており、開発者はカスタム回路を書く必要がありません（必要な場合を除く）

これを可能にするのが、複数人が暗号化状態で作業できる暗号化コンピューターです。MPCとFHEがコアプライミティブで、いずれも暗号化データ上での計算を可能にします。

これが意味することは？

EthereumやSolanaの共有状態モデルが、今やプライバシーとともに実現できるようになりました。単なるプライベートトランザクションや証明だけでなく、汎用の暗号化コンピューターとして機能します。

これにより暗号資産に新たな設計空間が開かれます。その理由を理解するには、暗号資産における状態の進化を振り返ると分かりやすいでしょう：

• Bitcoinはパブリックな孤立状態をもたらしました。
• Ethereumはパブリックな共有状態をもたらしました。
• Zcashは暗号化された孤立状態をもたらしました。
• 欠けていたのは暗号化された共有状態です。

Privacy 2.0はこのギャップを埋めます。新たな経済、新たなアプリケーション、かつて存在しなかったホワイトスペースをもたらします。これは、スマートコントラクトやオラクル以来、暗号資産分野で最大級のブレイクスルーだと考えます。

Privacy 2.0については以前の記事で多くのプロジェクトと共に紹介しています。より広い全体像を知りたい場合はぜひご覧ください。また、自分で調査することも重要です。思考の外部委託は一番騙されやすい方法です。

Arciumは——プロフィールのバッジが示す通り——このような技術を構築しています。

SuccinctやBoundlessのようなプローバーネットワークに似たアーキテクチャですが、ZKによる正しい実行の証明ではなく、MPCで暗号化データ上の計算を実現します。

SP1やRISC ZeroがRustをZKにコンパイルするのに対し、ArciumはArcisでRustをMPCにコンパイルします。シンプルな暗号化コンピューターです。

もう一つの例えは「PrivacyのためのChainlink」です。

チェーン・アセット非依存のプライバシー

Arciumは設計上チェーン非依存であり、既存のどのブロックチェーンにも接続し、EthereumやSolanaのような透明チェーン間で暗号化された共有状態を実現できます。ユーザーはお気に入りのエコシステムを離れることなくプライバシーを得られます。まずSolanaで提供され、今月Mainnet Alphaがリリースされます。

ZcashやMoneroは独自通貨にプライバシーを組み込んでいます。これは効果的ですが、独立した通貨圏と独自のボラティリティを生み出します。Arciumはアセット非依存のアプローチで、既存の資産にプライバシーを追加します。アプローチやトレードオフは異なりますが、柔軟性はユーザーにとって重要です。

このように、プライバシーが必要なほぼすべてのユースケースが暗号化コンピュート上で動作できます。そして、実際には想像以上に多くのユースケースがあります。すべてを挙げると電話帳のようになるので割愛します。

Arciumの活用範囲は暗号資産だけに留まりません。これはブロックチェーンではなく、暗号化コンピューターです。同じエンジンが従来産業にも適用可能です。下記の記事ではさまざまな業界での応用例を紹介しています。

ゼロからイチのアプリケーションと機能

暗号化された共有状態により、暗号資産はこれまでなかった設計空間を手に入れました。これにより、以下のようなアプリケーションや機能が登場しています：

@ UmbraPrivacy：Solanaのシールドプール。UmbraはArciumを活用し、Railgunを超えるコンフィデンシャルバランスやプライベートスワップを実現し、送金にはZKを使用します。最小限の信頼仮定で、単なるプライベート送金以上の機能を提供し、あらゆるプロジェクトがSolana上でトランザクションプライバシーを実装できる統合型シールドプール（SDK）を提供します。

@ PythiaMarkets：スポンサー向けプライベートウィンドウを備えたオポチュニティマーケット。スカウトが未開拓の機会に賭け、スポンサーがα情報を漏らさずに発見できる新しい情報市場です。

@ MeleeMarkets：ボンディングカーブ型予測市場。Pumpfunの予測市場版のようなものです。早く参加するほど有利な価格となり、ユーザーは実際の確信を表明でき、オッズや決済もプライベートで、群集崩壊やオラクル操作も防げます。Arciumは意見市場とプライベート決済に必要なプライバシーを提供します。

ダークプール：@ EllisiumLabs、@ deepmatch_enc、Arciumのダークプールデモなどが、暗号化された共有状態を活用し、フロントランやクオートフェードのないプライベート取引と最良執行価格を実現しています。

オンチェーンゲーム：Arciumは暗号化された共有状態内で非公開状態やCSPRNGロールを実行し、公正なランダム性と秘密性を実現します。ストラテジーゲーム、カードゲーム、フォグ・オブ・ウォー、RPG、ブラフゲームもオンチェーンで可能となり、多くがArciumで稼働中です。

プライベートパーペチュアル、プライベートレンディング、ブラインドオークション、暗号化ML予測、協調AIトレーニングなども今後の有望なユースケースです。

これら以外にも、プライバシーが必要なほぼすべてのプロダクトが構築可能です。Arciumは汎用の暗号化実行エンジンで開発者に完全なカスタマイズ性を提供し、UmbraはSolana上での送金・スワップ用SDKも提供しています。これにより、複雑なシステムからシンプルな統合まで、Solanaでのプライバシー実装が容易になりました。

Confidential SPL：Solanaの新しいコンフィデンシャルトークン標準

ArciumはSolana向けのコンフィデンシャルトークン標準「C-SPL」も開発しています。従来の「Privacy 1.0」型トークンプライバシースタンダードの、統合の難しさ・機能制限・オンチェーンプログラムでの利用不可といった課題を解決します。C-SPLはその基盤の上に構築され、ユーザー・開発者双方の障壁を取り除きます。

これにより、あらゆるアプリケーションでコンフィデンシャルトークンの統合が容易になり、ユーザーに余計な負担をかけません。

SPL Token、Token-2022、Confidential Transfer Extension、Arciumの暗号化コンピュートを統合し、C-SPLはSolana上でコンフィデンシャルトークンの実用的かつ完全にコンポーザブルな標準を提供します。

結び

この進化はまだ初期段階であり、分野は単一のアプローチよりも広範です。ZcashやMoneroはそれぞれの環境で重要な課題を解決し続けており、初期のプライバシーツールも各自の領域で可能性を示しました。暗号化された共有状態は、それ以前のものを代替するのではなく、既存のエコシステムを離れることなく複数ユーザーが同じ状態上でプライベートに操作できるという、まったく新しい次元を切り開きます。これはギャップを埋めるものであり、過去を置き換えるものではありません。

プライバシーは徐々に、オプション的・特殊なものから、アプリケーション開発の中核へと移行しつつあります。もはや新しい通貨やチェーン、経済システムを必要とせず、既存の開発者の能力を拡張します。前時代はパブリックな共有状態を基盤としました。次の時代は、暗号化された共有状態でその基盤を拡張し、これまで欠けていたレイヤーを追加します。

ご精読ありがとうございました。もし誤りなどお気づきの点があればご指摘ください。プライバシー推進のため、あらゆる方向から貢献したいと考えています。この分野の真摯な取り組みすべてを応援しています。コメント欄でのご議論も歓迎します。

免責事項：

1. 本記事は[milianstx]より転載したものです。著作権は原著者[milianstx]に帰属します。転載に異議がある場合はGate Learnチームまでご連絡ください。速やかに対応いたします。
2. 免責事項：本記事の見解・意見は著者個人のものであり、いかなる投資助言でもありません。
3. 本記事の他言語翻訳はGate Learnチームが行っています。特に記載がない限り、翻訳記事の無断転載・配布・盗用を禁止します。