レッスン0 — Bridge とは何か? Trust モデルと bridge トリレンマ
問い
過去 5 年で bridge から $2B+ が盗まれている。マイナーな DeFi 領域の話ではない — 業界最大手チームが運用する TVL 最上位の bridge から: Ronin ($625M)、Wormhole ($325M)、Poly Network ($611M、返却済み)、Nomad ($190M)。chain A の state を chain B に動かすために何を信頼しなければならないか、その信頼を最小化したあとに残る攻撃面は何か?
原理(最小モデル)
- Asset bridge = message bridge + 各側のトークンコントラクト. すべてのクロスチェーンインフラは根本的にメッセージパッシング。
- Trust スペクトラム 5 段階. Multisig(最悪、19 guardian など)→ Optimistic(チャレンジ 7 日)→ PoS bridge(DON)→ Light client(source コンセンサス)→ ZK light client(数学、最良)。
- Bridge トリレンマ. Trustlessness / Generality / Extensibility の 3 つ同時は不可能。
- Multisig は鍵 + 検証ロジックの 2 経路で破られる. Ronin = 鍵盗難(phishing で 9/5)、Wormhole = 署名検証バグ。
- 検証コスト trade. Multisig(prover 安、verifier 安)/ Light client(prover 安、verifier 高)/ ZK(prover 高、verifier 安)→ 高頻度・高価値ほど ZK が勝つ。
- 正しいコスト指標は $/value-secured. $/proof ではない。
具体例
Trust スペクトラム:
外部信頼 (最悪) 内部信頼 (最良)
↓ ↓
[Multisig] → [Optimistic with challenges] → [PoS bridge] → [Light client] → [ZK light client]
| Trust モデル | 信頼するもの | 例 | コスト |
|---|---|---|---|
| Multisig | M-of-N 署名者委員会 | Wormhole (19 guardian) | 検証安、信頼コスト高 |
| Optimistic | チャレンジ期間 (~7 日) | Nomad、Across | 速いクレーム、長い finality |
| PoS bridge | 別 chain のバリデータ | LayerZero (DVN モデル) | 可変 |
| Light client | source コンセンサス + ヘッダー読み取り | Helios、ネイティブ rollup bridge | 信頼安、検証コスト高 |
| ZK light client | 数学 (source コンセンサスの zk 証明) | Sui-bridge (開発中)、Espresso | 信頼安、証明コスト高 |
Bridge トリレンマ:
- Trustless + general → chain 追加コスト高(各ペア light client 必要)= IBC/Cosmos モデル
- Trustless + extensible → 類似 chain しか動かない = OP Stack(L2 群が 1 bridge インタフェース共有)
- General + extensible → trustless にならない = Wormhole/LayerZero(multisig / DVN 信頼)
Bridge 攻撃殿堂:
| 年 | Bridge | 盗難 | 根本原因 |
|---|---|---|---|
| 2022 | Ronin | $625M | Multisig 鍵侵害 (9/5 phishing) |
| 2022 | Wormhole | $325M | Guardian set ロジック署名検証バグ |
| 2022 | Nomad | $190M | 初期化バグ + replay |
| 2021 | Poly Network | $611M(返却) | ストレージレイアウト仮定バグ |
| 2024 | Orbit | $80M | Multisig 鍵侵害 |
検証コスト trade:
| モデル | Prover コスト | Verifier コスト | いつ勝つか |
|---|---|---|---|
| Multisig | 安(hash 署名) | 安(署名検証) | 統合速度 |
| Light client | 安(ヘッダー中継のみ) | 高(コンセンサス検証) | 高価値、低頻度 |
| ZK light client | 高(コンセンサス証明) | 安(証明検証) | 高価値、高頻度 |
失敗例(誤解)
「13-of-19 multisig は 19 という数の多さから分散化されている」— 間違い。鍵は 盗まれうる(Ronin: $625M、phishing で 9/5 取得)+ 署名者が 共謀 可能 + 署名インフラ侵害可能(Wormhole: 鍵盗難ではなく署名検証バグ)。Light client にはこれら故障モードがない。
「ZK light client は定数コスト」— 半分正しい。on-chain 検証は定数だが off-chain proof 生成は高い(2026 時点で 1 proof $1-10)。naive light client より安くなるのは高スループット時(naive O(N)、ZK on-chain O(1) + off-chain O(N)、ガス律速で ZK 勝つ)。
「Asset bridge と Message bridge は別物」— 間違い。Asset bridge = message bridge + 各側トークンコントラクト。すべてのクロスチェーンインフラは本質的にメッセージパッシング、asset は規約。
🛑 予測。 5 攻撃(Ronin / Wormhole / Nomad / Poly Network / Orbit)のうち 3 つは $300M+ ハック。共通する攻撃パターンは?(ヒント: スマートコントラクトのバグではない)(答え: bridge の trust 機構そのものが破られた。Ronin / Orbit = multisig 鍵侵害(phishing で人間の鍵を盗む)、Wormhole = 署名検証バグ(コントラクトが署名者を実際には検証していなかった)、Nomad = 初期化バグ + replay、Poly Network = ストレージレイアウト仮定バグ。コア資産ロジック(トークンコントラクト)ではなく、クロスチェーンの信頼・検証ロジックが攻撃面。Multisig + 検証バグの 2 経路。Light client にはこの攻撃面がない — source chain そのものを騙すしかない。)
ステップで組み立てる
Step 1: Asset vs Message bridge を 1 文で
Asset bridge = message bridge + トークンコントラクト。本質はメッセージパッシング。
Step 2: Trust スペクトラム 5 段階
Multisig → Optimistic → PoS → Light client → ZK light client。右ほど trustless + 複雑。
Step 3: Bridge トリレンマ
Trustlessness / Generality / Extensibility の 2 つしか選べない。IBC = trustless + general、OP = trustless + extensible、Wormhole/LayerZero = general + extensible。
Step 4: Multisig が破られる 2 経路
鍵侵害(人間) + 検証ロジックバグ(コード)。Guardian を増やしても解決しない。
Step 5: 検証コスト trade
Multisig(安・安、速度勝つ)/ Light client(安・高、低頻度勝つ)/ ZK(高・安、高頻度勝つ)。$/value-secured で評価。
Step 6: 自分の chain ペアに当てはめる
| Chain ペア | 現実的選択 |
|---|---|
| Ethereum ↔ OP | OP Standard Bridge(rollup コンセンサス、trustless) |
| Ethereum ↔ Polygon PoS | PoS bridge(heimdall validator 信頼) |
| Solana ↔ Ethereum | Wormhole / CCIP(multisig / PoS DON) |
| Tempo ↔ Ethereum | CCIP 今日、light client 2-3 年、ZK light client 5 年以降 |
| Tempo ↔ Solana | CCIP 今日(cross-VM trustless は現状不可能) |
| Bitcoin ↔ EVM | Wormhole / wrapping(代替少なく multisig 系) |
答え合わせ
- ZK light client コスト評価: 証明 $10、1 証明で $50K × 1000 件 = $50M 解放 → コスト 0.00002% = 超安価。$/proof ではなく $/value-secured が正しい指標。
- Trust モデルが速度・コストより重要な理由: 速度・コストは UX 改善、trust モデルは 攻撃面そのもの。$2B+ の bridge 盗難は速度設計ではなく trust 設計の失敗。bridge トリレンマで何を諦めるか(trustlessness / generality / extensibility)の選択が下流すべてを規定。
- 5 攻撃の根本原因分布: 2/5 = 鍵侵害(Ronin、Orbit)、3/5 = 検証ロジックバグ(Wormhole、Nomad、Poly Network)。Multisig は 2 経路で破られる = 鍵 OR コード。Light client は 1 経路(source chain を騙すしかない)。
合格基準
- Asset vs Message bridge を即答できる(後者の特殊化が前者)。
- Trust スペクトラム 5 段階を順に言える。
- Bridge トリレンマの 3 軸と各 chain の選択を即答できる。
- Multisig 2 経路(鍵 + 検証)の攻撃を例で言える。
- $/value-secured コスト指標の意味を計算できる。
まとめ(3行)
- Bridge = メッセージパッシング、Trust スペクトラム 5 段階(Multisig → Optimistic → PoS → Light client → ZK light client)の選択が下流すべてを規定。
- Bridge トリレンマ(Trustlessness / Generality / Extensibility)の 3 同時不可、$2B+ 攻撃の根本原因は trust 機構そのもの(鍵 OR 検証ロジック)= multisig の宿命。
- 高頻度・高価値ほど ZK light client が漸近的に勝つ、正しいコスト指標は $/value-secured。