Learn
暗号化メンンプールの限界

暗号化メンンプールの限界

中級
ブロックチェーン
7/23/2025, 9:31:51 AM
本記事は、「暗号化メンプリ」がMaximal Extractable Value(MEV)問題の決定的な解決策ではない理由を詳細に分析します。Trusted Execution Environment(TEE)、しきい値暗号、タイムロック、証人暗号化といった最先端の手法を取り上げるとともに、技術的・経済的・ガバナンス上の課題も幅広く検証し、Web3時代におけるプライバシー保護と公正な取引の実現に向けた今後の指針を示しています。

ブロック内でトランザクションを含める・除外する・並び替えることによって抽出できる価値は、「最大抽出可能価値(MEV)」と呼ばれます。MEVは多くのブロックチェーンで広く見られ、コミュニティでも大きな関心と議論を集めています。

※本記事はMEVの基礎知識を前提としています。初めての方は、まずMEV解説記事をご覧ください。

MEVの現状を踏まえ、多くの研究者が「暗号技術でMEV問題は解決できるのか?」という疑問を投げかけています。その一つのアプローチが暗号化メンプリ(mempool)です。ここではユーザーがトランザクションを暗号化してネットワークに投稿し、順序確定後にはじめて内容が開示されます。このため、コンセンサスプロトコルはトランザクション順を内容を知らずに決定し、順序決定のプロセスでMEVを狙うことが原理的に難しくなります。

しかし、実用面・理論面の両方から、暗号化メンプリだけでMEVを包括的に解決するのは困難だと私たちは考えています。ここでその難しさを整理し、暗号化メンプリの実装方法を考察します。

暗号化メンプリの仕組み

暗号化メンプリにはいくつもの設計提案がありますが、基本的な流れは次の4段階です:

  1. ユーザーが暗号化したトランザクションをネットワーク上にブロードキャストする。
  2. 暗号化トランザクションがオンチェーンでコミットされる(提案によっては乱数でシャッフルされたことが証明されてからコミット)。
  3. コミットブロックがファイナライズ後、トランザクションを復号する。
  4. 復号後、トランザクションを実行する。

ここで、ステップ3(トランザクションの復号)は最大の課題の一つです。誰がどのように復号するか、復号が行われなかった場合の対応が難題です。単純な解決策として「ユーザー自身がトランザクションを復号する」(この場合は暗号化せず、コミットメントだけ隠せば良い)もありますが、この場合は攻撃者による投機的MEVに弱いという問題があります。

投機的MEVとは、攻撃者が特定の暗号化トランザクションがMEVにつながると推測して、自分の取引を暗号化して有利な位置(対象取引の直前・直後など)に並ぶことを期待します。望み通りの順序になれば攻撃者は復号し、MEVを獲得します。期待通りでなければ復号せず、最終的なチェーンに含まれません。

復号を行わない場合にペナルティ課す手はありますが、実装は極めて困難です。暗号化取引は区別できないため全てに同一のペナルティを科す必要があり、かつ高価値なターゲットに対する投機的MEVも抑止できる規模でなければなりません。つまり多額の資本を匿名で拘束する必要があり(誰がどの取引を投稿したか悟られないため)ます。さらに、ネットワーク障害やバグによって正当な復号ができなかった場合、善良なユーザーまで損害を被るリスクもあります。

そのため、多くの提案では「ユーザーがオフラインでも協力しなくても、いずれ必ず復号できる」方式での暗号化が推奨されています。具体的な方法はいくつか存在します:

TEEs(Trusted Execution Environment):ユーザーはTEEエンクレーブ内の鍵でトランザクションを暗号化します。単純な方法では、TEEが一定時間経過後のみ復号する(TEE内で時刻管理が必要)パターンがあります。さらに高度な実装では、TEEがトランザクションを復号し、到着順や手数料など一定の基準で並べてブロックを構築します。TEE方式はプレーンテキスト取引を扱えるため、実行不可な取引を弾いてオンチェーンスパムを減らせますが、ハードウェア自体への信頼が必要です。

シークレットシェアリング/しきい値暗号:ユーザーが委員会(典型的にはバリデータの一部)で共有された鍵でトランザクションを暗号化し、委員会の一定数(例:3分の2)の合意で復号できます。

最もシンプルな方法は、ラウンドごと(例:Ethereumの各ブロックやエポック)に新しい共有復号鍵を用い、ファイナライズされた後で委員会が鍵を再構成・公開するものです。この方法はシークレットシェアリングで実装できますが、メンプリ内の全トランザクション(ブロック未採用分も含む)が同時に明らかになってしまい、毎ラウンドごとに新しい分散型鍵生成(DKG)が必要です。

プライバシー性を重視する場合は、実際にブロックに含まれた取引だけをしきい値復号する設計が望ましいです。これは、複数ブロックに同じ鍵を用い、ファイナライズ後に委員会がしきい値復号で採用取引だけ復号する手法で実現できますが、委員会の作業量は暗号化トランザクション数に比例して増えます。もっとも最近の研究ではバッチでのしきい値復号によりこれを大幅に改善できる場合も示されています。

しきい値復号の信頼モデルはハードウェアから委員会に移ります。多くのプロトコルでは、コンセンサスに正直なバリデータ多数がいることを前提としていますが、同様に委員会の多数が早期復号しないと仮定します。ただし、この前提は本質的に同じではありません。コンセンサスの失敗(フォークなど)は公開されますが(弱い信頼モデル)、悪意ある委員会による秘密復号は外部から検出できず、証拠も残らないため罰則も不可能です(強い信頼モデル)。外から見ると同様に見えても、委員会の共謀防止はより脆弱です。

タイムロック/遅延暗号:しきい値暗号の代案として遅延暗号があります。ユーザーは「秘密鍵がタイムロックパズル内に隠された公開鍵」でトランザクションを暗号化します。タイムロックパズルとは、一定時間が経過しなければ(厳密には非並列計算を繰り返さなければ)解けない暗号パズルです。この仕組みにより、誰でも時間をかければ鍵を手に入れて復号できますが、取引がファイナライズされるより前に復号が終わらないよう設計します。最も強力な例として遅延暗号による公開型パズル生成があります。信頼できる委員会によるタイムロック暗号でも構成可能ですが、この場合しきい値暗号に対する優位はありません。

遅延暗号や委員会型の計算には、まず復号タイミングを厳密に制御しづらい点や、高度なハードウェアを持つ誰かにインセンティブを与える仕組みが不明確である点など、実用上の課題が多いです。また、この方式ではファイナライズされなかった全取引も復号されてしまいます。しきい値(または証人暗号)アプローチであれば、採用取引のみ復号できます。

証人暗号(Witness Encryption):最も理論的に進んだ暗号方式が証人暗号です。これは「特定のNP関係の証人(具体例:数独の解答や特定値のハッシュ前像など)を持つ者だけが復号できる」ように暗号化する手法です。

任意のNP関係に対するSNARK証明でも証人暗号と同等の利用ができ、メンプリ暗号化の場合「ファイナライズ済みブロックで取引が順序付けられたときのみ復号」という条件が設定可能です。

証人暗号は、委員会方式や遅延方式を一般化したもので、極めて強力な理論的基盤ですが、実用的な証人暗号の手法は現時点で存在しません。仮に実現しても、PoSチェーンでは委員会型と根本的な差が出るわけではなく、悪意の委員会が非公開で合意プロトコルを模倣し、証人として秘密裏チェーンを構築して取引を復号できてしまいます。実際、同じ委員会によるしきい値復号と安全性は同等で、むしろそちらの方が単純です。

証人暗号はPoWチェーンではより強力な効果を発揮します。完全な悪意委員会でも、現行ヘッド上に非公開で複数ブロックを生成しファイナリティを偽装することはできません。

暗号化メンプリの技術的課題

暗号化メンプリによるMEV防止には、いくつもの厳しい実務的課題があります。情報の秘匿自体が極めて難しく、web3分野では暗号化活用も少ないのが現状です。とはいえ、Web通信(TLS/HTTPS)やプライベート通信(PGP/Signal/Whatsappなど)で培われたノウハウからも分かるように、暗号化は機密保持の有力な道具の一つですが、それだけで万全ではありません。

最初の課題は、ユーザーのトランザクションの平文を直接知る関係者が存在しうることです。多くの場合、ユーザー自身が暗号化せず、ウォレットサービス等に処理を委託するため、ウォレット事業者は平文データを入手でき、これを使ってMEVを得たり販売することも考えられます。暗号化の強度は、秘密鍵を握る主体の範囲で決まります。

次に最大の問題は、暗号化本体(ペイロード)以外の「メタデータ」が攻撃対象となることです。探索者(searcher)はメタデータから取引の意図を推測し、投機的MEVを狙うことができます。探索者は取引内容を完全に把握できなくても、「特定のDEXでの買い注文である確率が高い」といった情報が少し得られるだけで十分です。

検討すべきメタデータには古典的な暗号化通信の課題と、暗号化メンプリ独自の特徴が含まれます。

  • 取引サイズ:暗号化処理だけでは暗号化する前の平文サイズは隠せません(暗号理論の意味的安全性でも、プレーンテキストサイズの隠蔽は除外されています)。典型的な攻撃手段の一つで、たとえばNetflixの動画パケットサイズから暗号化されていても視聴動画を推定できる事例が知られています。暗号化メンプリでも、特定の取引内容が特定のサイズを持ち、情報漏洩の要因になります。

  • 送信タイミング:暗号化は送信時刻や頻度も隠しません(古典的な攻撃対象)。web3では特定のユーザーが一定間隔で送信するパターンや、外部要因(取引所等のニュースや価格変動)と連動したタイミングなどを狙えます。さらにCEX/DEX裁定取引などは、シーケンサーが可能な限り遅く新規取引を入れることで最新情報を独占し、一定時刻以降に届いた他の取引(暗号化済みでも)を排除することで独占的有利を得る場合もあります。

  • 送信元IPアドレス:P2Pネットワークを監視することで、探索者は送信元IPからユーザーの身元を推定できる可能性もあります。この問題はビットコイン初期から指摘されています。特定の送信者がパターンを持つ場合、送信元IPにより過去取引との紐付けも可能です。

  • 送信者アドレス・手数料・ガス情報:Ethereum等では取引にオンチェーン送信者アドレス、最大ガス量、ガス単価が含まれ、送信元アドレスやガス量によって取引内容推定や実世界のアクターを結び付ける材料となります。ガス量も特定のDeFiアプリとリンクして推測可能です。

高度な探索者は、これら複数のメタデータを組み合わせて取引内容を高精度で推測することができます。

メタデータも隠すことは可能ですが、性能や複雑性のコストが伴います。たとえば標準長までパディングすればサイズは隠せますが、その分帯域やオンチェーン容量を浪費します。送信前にランダムな遅延を挟めばタイミング情報は隠れますが、レイテンシが悪化します。Torなどの匿名化ネットワークを使えば送信元IPは隠せますが、別の課題が生じます。

この中でも特に隠しにくいのが取引手数料情報です。これを暗号化すると、ビルダーにとって重大な課題が発生します。まず「スパム問題」です。手数料データが暗号化されていると、誰でも不正な暗号化取引を送り放題になり、順序付けには乗るものの復号後に手数料が払えず実行不能となりますが、ペナルティはありません。これを防ぐにはSNARKで「取引が正しく資金供給されている」証明を添付する必要がありますが、大きなオーバーヘッドが伴います。

また、効率的なブロック構築や手数料オークションも困難です。ビルダーは手数料を基に最適なブロックを組み立て、オンチェーンリソースの時価を反映させます。手数料の暗号化はこれを損ないます。ブロック単位で定額手数料とする案もありますが、非効率であり、取引インクルードの順位を巡るセカンダリーマーケット誘発につながり、暗号化メンプリの本旨を損ねかねません。安全なマルチパーティ計算や信頼ハードウェアによる手数料オークションも技術的には可能ですが、コストが膨らみます。

さらに、安全な暗号化メンプリは、暗号化に伴うレイテンシや計算負荷、ネットワーク帯域消費の増加など、さまざまなシステム負荷の増大を招きます。今後主流となるシャーディングや並列実行との統合も容易ではありません。復号委員会や遅延関数ソルバーなど新たな可用性リスクも発生させ、設計や実装の複雑性も増します。

暗号化メンプリのこうした課題は、取引プライバシー重視型ブロックチェーン(Zcash、Monero等)でも同様に指摘されています。裏を返せば、MEV抑止のためにこれら技術課題が解決されれば、トランザクションプライバシー達成にも大きく近づきます。

暗号化メンプリの経済的課題

さらに、暗号化メンプリは経済的にも難題を抱えます。技術的問題はエンジニアリングで克服できる側面もありますが、経済構造が生む根本的制約は回避できません。

MEVの根本的問題は、トランザクション作成者(ユーザー)と、MEV機会を探索・構成するビルダーやサーチャーの間の情報非対称性です。ユーザーは自身の取引からどの程度MEVを抜かれるか正確に把握できません。そのため、「完全な暗号化メンプリ」が構築されても、ユーザーはビルダーからの対価と引き換えに復号鍵を手放してしまい、本来得られるMEV価値以下で容易に情報を明け渡してしまう事態は避けられません——この構図を「インセンティブ付き復号」と呼べるでしょう。

このモデルは既存サービス(MEV Share)にも現れています。MEV Shareはユーザーが取引情報を選択的に送信し、複数のサーチャーがMEV機会獲得を賭けて競るオーダーフローオークションです。最高値サーチャーがMEVを抜き、その一部(または入札額)をユーザーへ還元します。

この仕組みは、ユーザーが復号鍵や一部情報を公開して参加する形で、暗号化メンプリにも即適用可能です。しかし多くのユーザーは自分の情報開示による本質的な損得や機会損失を理解せず、表面的なリワードに惹かれて情報を手放しがちです。伝統金融でも、Robinhoodのようなゼロ手数料取引サービスが「注文フロー販売」モデルで利益を上げている事例が代表的です。

他にも、強大なビルダーがユーザーに検閲目的で取引内容や属性の開示を強いる場合があります。Web3で検閲耐性は重要なテーマですが、巨大なプロポーザーやビルダーが法令(例:OFAC制裁)で検閲リストの執行義務を負うと、暗号化トランザクションのシーケンス自体を拒否することもあります。技術的にユーザー側がゼロ知識証明で「検閲リスト準拠」を証明できれば解決可能ですが、その分コストと複雑性が跳ね上がります。チェーン自体に強い検閲耐性があっても、ビルダーが平文トランザクションをブロック先頭に優先し、暗号化取引を下位にすることで、重要な実行保証を求める取引は結局情報を明かさざるを得ない事態もあり得ます。

その他の効率性課題

暗号化メンプリは、ユーザーによる暗号化処理・システムでの復号処理など、明確な計算負荷や取引サイズ拡大をもたらします。加えて、メタデータや秘匿対策などによりこれら負担はさらに増します。しかし金融の観点では、市場が「全ての利用可能な情報が速やかに価格反映される」場合に効率的とされ、暗号化メンプリが遅延や情報非対称性を生む以上、市場の非効率化が不可避となります。

明確な弊害の一つが、暗号化メンプリ導入による価格予測の不確実性増大です。結果として、スリッページ許容幅を超えて約定しない取引が増加し、チェーンリソースの無駄につながる公算が大きいです。

同様に、この価格不確実性は「オンチェーン裁定MEV」を狙う投機的取引を誘発します。暗号化メンプリではDEX状態の確認に遅れが生じやすく、市場効率が低下、複数取引所間で価格差(裁定MEV)が広がりやすくなります。こうした投機取引は実際の裁定機会がなければ失敗で終わるため、ブロックスペースの浪費リスクも高まります。

本稿の目的は、暗号化メンプリの課題を示し、他の手段による解決や構築にも注目してもらうことですが、暗号化メンプリにもMEV対策の一部としての役割は見込まれます。

有望な選択肢の一つは「ハイブリッド設計」です。一部の取引を暗号化メンプリでブラインド順序付けし、それ以外は別手段で順序付ける方法です。例えば、MEV回避に高いコストを払える大口プレイヤーの注文や、脆弱性修正など極めて秘匿性が求められるトランザクションには効果的と言えます。

しかし、技術やパフォーマンス上の制約、エンジニアリングの複雑性などから、暗号化メンプリが万能なMEV解決策となる可能性は低いでしょう。今後コミュニティは他の解決策—MEVオークションやアプリケーション層での防御策、最終性短縮の工夫など—を積極的に開発していく必要があります。MEV問題は今後も続く難題であり、バランスのとれた包括的な解決策を丁寧に検討していくことが不可欠です。

Pranav Garimidiはa16z Cryptoリサーチアソシエイト。ブロックチェーンシステムにおけるメカニズムデザインとアルゴリズムゲーム理論を専門とし、とりわけブロックチェーン層を横断したインセンティブの相互作用に注力している。a16z以前はコロンビア大学でコンピュータサイエンスの学士号を取得。

Joseph Bonneauはニューヨーク大学コーラント研究所コンピュータサイエンス学科准教授、a16z crypto技術顧問。応用暗号・ブロックチェーンセキュリティに注力し、メルボルン大学・NYU・スタンフォード・プリンストンで暗号通貨講義を担当。ケンブリッジ大学博士、スタンフォード大学学士・修士。

Lioba HeimbachはETHチューリッヒ分散コンピューティング(Disco)グループ所属・博士課程4年次。Roger Wattenhofer教授の指導下で、分散型金融(DeFi)とブロックチェーンプロトコルの研究に注力。誰もがアクセスできる公正・効率的な分散型エコシステムの実現を目指す。2024年夏にはa16z cryptoでリサーチインターンを経験。

本記事に記載された意見は引用されたAH Capital Management, L.L.C.(a16z)構成員個人の見解であり、a16zまたは関係会社の公式見解ではありません。また、記載情報の一部は第三者(a16z運用ファンドのポートフォリオ企業等)から取得していますが、a16zはその正確性・妥当性・最新性を独自検証しておらず、いかなる保証も致しません。本コンテンツに含まれる第三者広告についても、a16zは内容を精査せず推奨もしません。

本コンテンツは情報提供のみを目的とし、法務・ビジネス・投資・税務助言ではありません。これら判断は必ずご自身の顧問にご相談ください。証券・デジタル資産記載も例示目的に限り、投資推奨やアドバイザリーサービス勧誘ではありません。また投資家・見込み投資家向けのものではなく、a16z運用ファンドへの投資判断根拠としても一切使えません(a16zファンド投資の勧誘は、プライベート・プレースメント・メモランダムやサブスクリプション契約等、関連書類一式のみで行われます)。投資またはポートフォリオ企業事例はa16zが管理する全投資案件を代表するものではなく、今後同様の実績・特徴があることも保証されません。a16z運用ファンドによる投資案件一覧(公開許可がないものや上場デジタル資産投資の未公表分を除く)はhttps://a16z.com/investments/でご確認いただけます。

記載内容は執筆時点に限る情報です。記載の予測・見積・意見等は予告なく変更される場合があり、他者見解と異なる場合もあります。追加の重要情報はhttps://a16z.com/disclosuresをご確認ください。

免責事項:

  1. 本記事は[a16zcrypto]より転載しています。著作権は原著者[Pranav Garimidi、Joseph Bonneau、Lioba Heimbach]に帰属します。転載等にご異議がある場合はGate Learnチームまでご連絡ください。速やかに対応いたします。
  2. 免責事項:本記事内の意見・見解は筆者個人のものであり、いかなる投資助言を意味するものではありません。
  3. 他言語への翻訳はGate Learnチームが担当しています。特記なき限り、翻訳記事の無断転載・配布・盗用を一切禁じます。

株式

内容

暗号化メンプールの仕組み

暗号化メンプールにおける技術的課題

暗号化メンプールにおける経済的課題

その他の効率面での課題

今すぐ始める
登録して、
$100
のボーナスを獲得しよう!