Research Topics Deep-Dive

PCN 研究トピック Deep-Dive

Privacy / Jamming / Virtual Channels / Cross-Chain Swaps / Watchtowers / Taproot Assets / Async Payments — 7領域の研究史・SOTA・設計空間・未解決問題を、wiki の research/ + cross/ + plans/ 層から統合。

7
Topics
80+
Papers Cited
2016–2026
Coverage
27
Research Plans

🗺 7トピックの相互関係マップ

7つの研究トピックは独立ではない。PTLC / adaptor signature が Privacy・Cross-Chain・Async・Virtual Channels を貫く技術軸であり、probing は Privacy 攻撃と Jamming 攻撃の共通プリミティブ、LSP は Async・Taproot Assets の信頼仮定として横たわる。

payment correlation を消す scriptless swap 化 trustless 非同期受信 adaptor sig で構成 probing = 共通プリミティブ (統合防御が計画候補) LSP 信頼仮定を共有 factory / VC も監視対象に bribery/griefing 知見を共有 Privacy probing · deanon · ML残高推定 匿名チャネル · DP 防御 Jamming / DoS slot/capacity 占有 · Flood&Loot upfront fee vs reputation PTLC / Adaptor Sig 4トピックを貫く技術軸 Cross-Chain Swaps free option · griefing · bribery MAD-HTLC · Rapidash Async Payments 受信者オフライン決済 BLIP · LSP hold · static invoice Virtual Channels Aumayr 三部作 · Perun · Elmo factory · 再帰構成 Watchtower PISA→TEE/zk Taproot Assets asset channel · RFQ Taproot 基盤を共有
7トピック相互関係マップ — 実線: 直接的な技術依存、破線: 知見・信頼仮定の共有
このページの読み方
各トピックは 研究史タイムライン → 系譜・設計空間 → 攻防/比較マトリクス → 主要論文 → 未解決問題 → この wiki の研究計画(plans/)との接続 の順で構成。分量は研究蓄積に比例させている(Jamming・Privacy 最厚 → Cross-Chain・Virtual Channels 中厚 → Watchtowers・Taproot Assets・Async 標準)。

🔒 Privacy / 脱匿名化

最厚トピック

攻撃と防御が交互に跳ね上がる典型的な軍拡競争。balance probing(HTLC 失敗エラーからの二分探索)が起点で、クロスレイヤー脱匿名化(L1 UTXO × L2 ノード ID)、ML 残高推定(GNN で probe 30% から残り 70% を 95% 精度で補間)と攻撃が高度化。防御は構成論(AMHL/PTLC・Astrape)・情報理論(Twilight の DP)・実装(Route Blinding)の3軸で進むが、2024 年以降の ML 攻撃とネットワーク層攻撃には有効策が未確立。

研究史タイムライン(2017–2026)

2017
SilentWhispers / BOLT / FulgorNDSS · CCS 2017
MPC+秘密分散でクレジットネットワークを秘匿(SilentWhispers)/ Blind e-cash+ZK の匿名チャネル(BOLT, Green & Miers)/ Relationship Anonymity を UC で初形式化し「非ブロッキング進行と強関係匿名性は同時不可能」を証明(Fulgor/Concurrency-Privacy)。理論的起点。
2019
Balance Probing 発見(Herrera-Joancomartí)FC 2019
HTLC 失敗エラーから残高を二分探索で特定。ネットワークの 60% 以上を暴露、攻撃者の資金損失なし。probing 系譜の最初の一手。
2019
AMHL / Wormhole 形式化(Malavolta)IEEE S&P 2019
HTLC 全ホップ同一 hash の欠陥を adaptor signature で解決。payment correlation と Wormhole を同時に消す。PTLC 移行の理論基盤。
2019/20
Tikhomirov probing 体系化FC Workshop
並列 probing で全体 83% の残高を数時間・低コスト(数万 sat)で推定。probing を「誰でも実行可能な脅威」に。
2020
Counting Down Thunder / Tang Privacy-UtilitySIGMETRICS 2020
HTLC 往復タイミング Δt から経路長・端点を推定(上位4ノードで72%可視化)/ 最短経路下で Π(D)≤1−U(D) の対角線境界を証明(プライバシーとユーティリティの両立不可能性)。
2021
Romiti クロスレイヤー脱匿名化 / A²LFC · S&P 2021
on-chain UTXO クラスタリング × LN node ID でノードの 45.97% をエンティティにリンク、5アクターが容量 33% 支配(Romiti)/ Hub モデル特化の匿名 atomic lock、TumbleBit 比 33倍帯域削減(A²L)。
2022
Astrape / TwilightACNS · USENIX Sec 2022
署名+ハッシュのみ(boring crypto)で Relationship Anonymity(Astrape, PQ 移行容易)/ TEE(SGX)+差分プライバシーで probing 耐性を初めて理論保証、4ホップ 820 payments/sec(Twilight)。
2023
CryptoMaze / Revelio / Route Blinding 普及TDSC · EuroS&P 2023
AMP に wormhole 耐性 unlinkability を付与(CryptoMaze)/ 単一 AS の受動観測だけで脱匿名化、anonymity set を 1 に縮小できるケース 32% 超(Revelio)/ 受信者 identity 秘匿の Route Blinding が Eclair/CLN/LDK で実装完了。
2024
Davis ML 残高推定 ★転換点IEEE S&P / arXiv 2024
XGBoost+GNN で probe 30% のみから残り 70% を 95% 精度で推定。グラフ位置特徴量(Laplacian eigenvector)が寄与最大。既存 DP 防御が passive ML に無効という盲点を露呈し、防御研究への転換点に。
2024
Dotan DP 軽量版 / Singh BBS / Mariem 網層検閲FC 2024 ほか
TEE 排除し Laplace ノイズのみで ε-DP(Dotan)/ ML 事前分布で probe 回数 3–20% 削減(BBS, active+passive ハイブリッド)/ TLS 下でも TCP パケット形状から支払い内容推定(Mariem, precision/recall=1.0)。
2025–26
CAPE / Ndolo 網層サイドチャネル / GNN 防御計画TDSC 2025 · ACM TOIT 2026
commitment+zk-SNARK+VTD で単一チャネルの双方向匿名性(CAPE)/ 選択的パケット drop で検閲・輻輳、役割推定 100% 精度(Ndolo)/ この wiki の plan_gnn_privacy_defense が GNN 攻撃への Adversarial Perturbation 防御を FC/PETS 2026 目標で設計中。

系譜グラフ — 攻撃と防御の相互駆動

攻撃 ATTACK 理論 THEORY 防御 DEFENSE 防御対象 特徴量供給 表裏一体 Probing発見2019 Herrera Tikhomirov2019/20 並列 Romiti X-layer2021 FC Davis GNN2024 ★ Ndolo 網層2026 TOIT Revelio2023 受動 Fulgor/AMHL2017/19 UC Tang P-U境界2020 対角線 Davis特徴量グラフ位置最重要 AMHL/PTLC構成・相関除去 Astrape2022 boring Twilight DP2022 TEE+DP Route Blinding2023 実装済 plan_gnn_privacy_defenseAdversarial Perturbation(計画中) DP は無効と露呈
3レーン系譜図 — 攻撃(赤)が防御(緑)を無効化し、理論(青)が両者の限界を規定する。Davis GNN が現状の防御空白を作っている。

攻撃 × 防御マトリクス

攻撃クラス対抗防御成熟度限界
Balance Probingエラーメッセージ標準化 / Non-Refundable Fee (Kumble 2023)理論〜提案デバッグ困難化とのトレードオフ/ ~1500 sat/probe のコスト、要プロトコル変更
Balance ProbingTwilight (DP+TEE) / Dotan 2024 (DP軽量版)実装+評価済SGX 依存・side-channel 未検証/ ε 小で誤拒否率増
Cross-layer DeanonCoinJoin / Silent Payments / カストディLSP部分実装過去 TX は追跡可能、根本解決は L1 連動必須。LSP はプライバシー問題を移転するだけ
Payment CorrelationAMHL/PTLC / Astrape / CryptoMaze理論完成・実装進行Taproot/Schnorr 前提、後方互換性課題。Astrape は BOLT 未統合
ML 残高推定 (GNN)既存防御なし(DP は無効)/ Adversarial Perturbation(計画中)未対応DP は active probing 用で passive ML に無効。グラフ位置特徴量は操作困難、routing 効率とのトレードオフ未定量化
Timing Deanonランダム遅延・パディング / Tor 経由部分提案遅延追加のインセンティブ不整合(race to the bottom)。Δt 自体は依然有効
受信者匿名性Route Blinding (BOLT12) / Sphinx onion標準実装済introduction point 露出、短経路で topology 推定可。HTLC hash 共有・エラー漏洩は防げない
AS-level 受動観測length-hiding 暗号(原理的に困難)未対応Revelio に対し帯域 6170% 増のコスト。LN の低遅延優位と正面衝突
網層検閲/輻輳adaptive padding (WTF-PAD 系)未実装Ndolo 2026 に対し帯域オーバーヘッド甚大
単一チャネル金額漏洩CAPE (commitment+zk-SNARK+VTD)理論のみ(重量)~30秒/更新、trusted setup、PQ 非対応

主要論文カード

AMHL / Concurrency-Privacy
Malavolta · NDSS 2019 / CCS 2017
HTLC の全ホップ同一 hash を adaptor signature で解決。UC で Relationship Anonymity・Value Privacy・Balance Security を形式定義し「非ブロッキング進行と強関係匿名性の同時達成不可能」を証明。
PTLC 移行の理論基盤。後続匿名チャネル研究の形式的語彙の出所。
Probing 発見 (Herrera)
Herrera-Joancomartí · FC 2019
HTLC 失敗エラーを観察し二分探索でチャネル残高を 1 sat まで特定。全体 60% 以上が特定可能。攻撃者の資金損失なし。
probing 系攻撃の起点。Tikhomirov→Davis→Singh の系譜の一手目。
Romiti X-layer Deanon
Romiti · FC 2021
Bitcoin UTXO クラスタリングと LN funding/closing TX を突合し、ノードの 45.97% を Bitcoin エンティティにリンク。5アクターが容量 33% 支配。
アプリ層に閉じた研究を L1×L2 へ拡張。ML 攻撃の特徴量供給源。
Davis GNN 残高推定 ★
Davis · IEEE S&P / arXiv 2024
XGBoost+GNN のアンサンブルでグラフ位置特徴量から残高を推定。probe 30% のみで残り 70% を 95% 精度。
攻撃進化の転換点。既存 DP 防御の盲点を突く。plan の主要ターゲット。
Twilight
Dotan & Zohar · USENIX Sec 2022
Intel SGX 上でノイジーな支払い処理を行い probing 耐性を ε-DP で理論保証。4ホップ 820 payments/sec。
情報理論的プライバシー軸の起点。ML 攻撃に無効という限界が後に判明。
Astrape
Dong / Avarikioti · ACNS 2022
ハッシュ+標準署名のみ(ZK・adaptor 不要)で AMHL 相当の Relationship Anonymity。PQ 署名移行が容易。
AMHL の Schnorr/Taproot 前提を外した代替。BOLT 標準化は未達。
Revelio
von Arx · EuroS&P 2023
単一 AS の受動観測のみで送受信者・金額を脱匿名化。Noise がパディング非対応で TCP サイズからメッセージ種別を特定。anonymity set を 1 に縮小できるケース 32% 超。
攻撃研究を網層(AS-level)へ拡張。Sphinx/PTLC で防げない新フロンティア。
Tang Privacy-Utility
Tang · SIGMETRICS 2020
最短経路下で Π(D)≤1−U(D) の対角線境界を証明。ノイズ付き残高公開が端点漏洩を招くことを示す。
Twilight DP の「裏」の理論。probing と public-balance deanon の表裏一体性。
CAPE
Gai · TDSC 2025
commitment + zk-SNARK(Merkle) + VTD で単一双方向チャネルの金額秘匿と unlinkability。scriptless chain でも動作。
Astrape の対極。重い ZK で on-chain 水準のプライバシーをチャネルへ。
SilentWhispers / BOLT
Malavolta / Green · NDSS · CCS 2017
MPC+秘密分散でクレジットネットワークを秘匿(SilentWhispers)/ Blind e-cash+ZK でハブが悪意でも送受信者を秘匿(BOLT, Zcash 前提)。
PCN プライバシー研究の理論的起点・比較基点。

未解決問題

OP-1
ML 補間攻撃への有効な防御なし — Davis GNN に対し DP は active probing 専用で無効。守備側が操作できる特徴量が特定できていない(グラフ位置特徴量は最重要だが操作困難)。
OP-2
網層攻撃の防御が原理的に困難 — Revelio/Ndolo に対する唯一の対策 adaptive padding が帯域 6170% 増で LN の低遅延優位と衝突。
OP-3
PTLC 移行の public good 問題 — HTLC→PTLC は下位互換性なし。移行を誰が推進するかのインセンティブが不在。
OP-4
タイミング対策のインセンティブ不整合 — forwarding node に遅延追加の経済的動機がなく、速度競争が race to the bottom でプライバシーを損なう。
OP-5
匿名性定義の乱立 — Relationship anonymity / ε-DP / (α,β)-Balance Privacy 等が並立し比較不能。統一理論が不在。
OP-6
Blinded Path 時代の sender-as-adversary — 受信者 identity を隠しても attributable failure の hold time 報告で送信者が受信者を再識別できる標準化未解決の抜け穴。
OP-7
LSP の構造的情報優位 — LSP が顧客の全 in/out 支払いを観察でき、市場集中で少数 LSP がフロー全体を把握するリスク。形式化が初期段階。
OP-8
三者不可能性 — プライバシー・ユーティリティ・脱中央集権。Tang の対角線境界を突破する手段(user-server 構造/長経路)がそれぞれ集中化・手数料増を招く。
研究計画との接続 — plan_gnn_privacy_defense

主題: Davis GNN 攻撃(95% 精度)への Adversarial Perturbation 防御の設計・形式評価。4 RQ: ①攻撃精度を支える操作可能特徴量の特定 ②攻撃者が DP ノイズを学習補正できるか ③摂動戦略の精度低下 vs routing コスト ④ML 攻撃向け形式的 privacy notion "(α,β)-Balance Privacy" の定義。

4 フェーズ(計 8ヶ月): 攻撃再現+SHAP/GNNExplainer で特徴量分類 → DP 適応攻撃・タイミング融合・クロスレイヤー統合で攻撃強化 → 形式定義+3摂動戦略+Nash 均衡分析 → 評価。投稿先 FC 2026 / PETS 2026。
実装状況: impl/privacy/ の 3 件(ベンチマーク・feature importance・GNN 再現)は全て 📋 planned(未着手)。理論設計は緻密、実証はこれから。

🚧 Channel Jamming / DoS

最厚トピック

この wiki で最も研究計画が厚い領域(plans/jamming に候補 21 件 + 旗艦 4 件)。攻撃者が流動性・HTLC スロットをタダで占有できる構造的非対称性(forward 手数料が成功時のみ発生)が根源。slow slot jamming は月 $10 で主要チャネルを1週間停止でき費用対効果最高・防御最難。防御は upfront fee 系 / reputation・endorsement 系 / circuit breaker の3系統だが、SoK(AFT 2024) が「単独で deployable な防御は存在しない」と結論。近年は miner bribery(Suborn→CRAB→Bribe&Fork)が最空白フロンティア。

研究史タイムライン(2019–2026)

2019
Discharged Payment Channels(Rohrer)IEEE ICBC 2019
Small-World/scale-free トポロジーを実証分析、残高枯渇・分断攻撃を提示(~200 BTC で分断指標 Δs≈0.4)。トポロジー中央集権性分析の起点。
2020
LockDown(Pérez-Solà)/ Flood & Loot / Route HijackingCCS · AFT 2020
ループ経路の Slow-Amount Jamming を初形式化、AER 定義・96.79% ロック(LockDown)/ SIGHASH_ALL 非対称性で jamming を資金窃取に転換、7,402 HTLC 窃取シミュレーション(Flood&Loot)/ 5チャネル<$16 で 65% 経路乗っ取り(Route Hijacking)。
2021
Congestion Attacks(Mizrahi & Zohar)★IEEE S&P / FC 2021
ネットワーク全体の攻撃コストを初めて定量化。$1,000 未満で主要経路停止、$2,000–5,000 でほぼ完全停止。MPP が根本対策にならないことも指摘。jamming が実用的脅威であることを確立。
2021
General Congestion Attack / Timelocked Bribing / Anchor OutputsTokenomics · FC 2021 · BOLT#3
congestion を4ステップに一般化、42ノードで 47%(280BTC) ロック(Lu)/ HTLC への TX レベル賄賂(Nadahalli)/ Flood&Loot 対策で CPFP 用 anchor output 導入。
2022
Suborn Channels(Avarikioti & Litos)/ Stake CertificatesFC 2022 · proposal
rational miner を初めて厳密ゲーム理論化、bribe 閾値が timelock 長に非依存という反直感結論(Suborn)/ UTXO 所有権の ZK 証明を HTLC に添付、無料 HTLC 試行の根本原因に対処(Stake Cert, covenant soft fork 依存)。
2023
Mass Exit / Strategic Griefing / FAKEY / Replacement CyclingICBC · TNSM · CNS 2023 · CVE
k=30 連合で期待利益 750BTC 超の mass force-close(Mass Exit)/ HTLC-GP が合理的攻撃者に破綻することを証明し HTLC-GPζ 提案(Mazumdar)/ 偽ハッシュ鍵で最小1ノード改竄(FAKEY)/ RBF cycling で preimage TX を mempool から追い出す(Replacement Cycling, CVE-2023-40231, Riard)。
2024
SoK: Jamming(Kotzer & Zohar)★総括AFT 2024
4系統防御(upfront fee/reputation/endorsement/circuit breaker)を統一評価し「単独 deployable 防御の不在」を確認。Quick/Slow × Slot/Amount の4象限分類を確立。分野の共通言語に。
2024
CRAB / Bribe & Fork / Payout RacesCCS · AFT 2024
rational miner が賄賂で HTLC timeout を遅延させる新攻撃(CRAB)/ feather fork 脅威で bribe 閾値を最大 10¹⁰ 倍削減、実証コスト ~$125(Bribe&Fork)/ Spin モデルチェッカーで HTLC コミット競合を発見(Payout Races)。
2025–26
SCOOP / Zeus / Onion Msg Jamming 論争 / Unjamming LightningarXiv 2025 · Delving Bitcoin · Chaincode 2026
congestion を線形最適化で SoTA 比 +40–90% 効率化(SCOOP)/ strong griefing resistance 不可能性を FSE 帰着で証明、griefing factor ≤0.1(Zeus)/ Market vs Central Planning 論争(BOLT PR #1280)/ 片方向 reputation の Sink Attack と Fan-In 限界を実証(Chaincode)。

攻撃分類マップ — Quick/Slow × Slot/Amount

Quick jamming(即失敗) Slow jamming(timelock満了まで保持) Slot 枯渇 Amount 枯渇 Quick-Slot Jamming 高コスト・高スループット要 Circuit breaker が有効になりやすい Slow-Slot Jamming ★最危険 483 スロットを少額で枯渇、資本最小 月 ~$10 で主要チャネル1週間停止 on-chain 費用ほぼゼロ・防御最難 Quick-Amount Jamming 高コスト(大額HTLC×高速) Slow-Amount Jamming チャネル残高 100% 相当の資本要 スロット残余に関係なく送金不可に LockDown がこの象限
最も費用対効果が高いのは右上(Slow-Slot)。標的範囲別コスト: 特定チャネル=月数ドル / ノード包囲=月数十ドル / 全域=$1,000–5,000。

主要攻撃の定量比較

攻撃分類資金窃取攻撃コスト主要指標
Discharged2019枯渇/分断~200 BTC100–150ノード除去で成功率 67.5%→10%
LockDown2020Slow-Amount~15 EUR (63ch)AER=0.1, 96.79% ロック
Flood & Loot2020jam+RBF非対称85+ 同時ch7,402 HTLC 窃取シミュレーション
Congestion2021Slow-Slot<0.5 BTC流動性 90% 凍結、上位50ch slot jam ~$30
General Congestion20214ステップ一般化0.0096 BTC42ノードで 47%(280BTC) ロック
Route Hijacking2020経路乗っ取り<$16 (5ch)65% 経路ハイジャック(30chで80%)
Mass Exit2023systemic force-close✓潜在k=30 連合期待利益 750BTC 超(k=80で1000BTC超)
Bribe & Fork2024revocation 無効化✓潜在~$125Suborn 比 10¹⁰ 倍削減

防御設計空間

防御出典メカニズムDeploy限界
Upfront Fee(無条件)BOLT RFC転送試行毎に成功/失敗問わず小額課金×正当な失敗にも課金→UX悪化、最適額設定困難
HTLC EndorsementKirk-Cohen & Shikhelman (BLIP)信頼できる隣接からの HTLC に優先フラグbootstrap の鶏卵問題、BOLT 標準化未完。lnd/CLN 実験実装、Eclair 議論中
Local Reputation各種 / LN BOG隣接の過去 HTLC 成功率でスコアリング×新規ノード bootstrap 困難、Sybil 耐性なし
Stake CertificatesRiard & Naumenko 2022Bitcoin UTXO 所有権の ZK 証明を担保要求×covenant soft fork 依存、政治的不確実性
Circuit BreakerTeinturierピア単位レート制限、閾値超で転送停止✅実装済Fast jam に有効も Slow jam(長時間保持1件で十分)には根本無効
Anchor OutputsBOLT#3 (2021)commitment TX に CPFP 用アウトプット追加✅実装済CPFP 効果はマイナーの ancestor feerate ポリシー依存
HTLC-GP / GPζMazumdar 2023griefing 者に罰金、ζ版は最低補償で塩漬け抑制提案合理的攻撃者は満了直前 off-chain キャンセルで罰金回避(GP 破綻証明済)
ZeusLiu 2025probing-with-deposit + premium + on-chain stake提案strong griefing resistance は原理的に不可能、レイテンシ約 2.3倍
2026 実装コミュニティの論争 — BOLT PR #1280

Market Pricing 派(roasbeef, morehouse): jamming は経済問題、upfront fee で転送リソースを市場価格付けすべき。backpressure は受動的で正当ユーザーが保護発動前に被害を受けると批判。

Central Planning 派(t-bast, Rusty Russell): upfront fee は onion message の「ディスク書き込み不要」目標を破壊し、転送レイテンシが 2倍(0.5→1.5 RTT)に悪化。まず軽量 backpressure を、と主張。2026 年時点で未決着。

Chaincode "Unjamming Lightning" の発見: 片方向 reputation は Sink Attack に無力(標的の収益が 15% まで低下)→ 双方向 reputation が必須(正当支払い失敗 ~0.5% を許容)。さらに Fan-In 限界: 12以上の均等貢献 inbound peer を持つ LSP 型ノードでは単一ピアが reputation 閾値到達が数学的に不可能 → 汎用 local reputation が LSP 環境で存在し得ない可能性。

主要論文カード

Congestion Attacks ★
Mizrahi & Zohar · FC/S&P 2021
ネットワーク全体の攻撃コストを初定量化。$1,000 未満で主要ハブ経路を輻輳、$2,000–5,000 でほぼ完全停止。MPP が根本対策にならないことも指摘。
jamming が実用的脅威であることを確立した画期的実証。
SoK: Jamming ★
Kotzer & Zohar · AFT 2024
4系統防御を統一評価し「単独 deployable 防御の不在」を結論。Slow-slot jamming を最も費用対効果の高い攻撃と特定。4象限分類を確立。
分野の共通言語。旗艦 F1–F4 含む研究計画の出発点。
LockDown
Pérez-Solà · CCS 2020
ループ経路の Slow-Amount Jamming を初体系化。AER を定義し、ループ経路が AER を大幅低減することを示す。
Channel Jamming 研究の起点。483 スロット制限の悪用パターンを確立。
Flood & Loot
Harris & Zohar · AFT 2020
SIGHASH_ALL 非対称性(success は両者署名で RBF 不可、timeout は単独署名で自由)を悪用し、輻輳時に被害者の解決 TX を締め出す。85ch 同時で窃取を理論保証。
実資金窃取の実証。Anchor Outputs 導入の直接契機。
Suborn Channels
Avarikioti & Litos · FC 2022
rational miner を初めて厳密ゲーム理論化。timelock bribe 成立条件を導出し、bribe 閾値が timelock 長に独立という反直感結論。
miner bribery 系列の起点。CRAB・Bribe&Fork が継承・拡張する基準点。
Bribe & Fork
Avarikioti et al. · AFT 2024
feather fork 脅威で bribe 閾値を最大 10¹⁰ 倍削減。最大シェアマイナーが自己ペナルティ TX を公開しフォーク脅威を作る。2022 年データで攻撃コスト ~$125。
「マイナーは正直」という前提への根本的挑戦。bribery 系列の到達点。
SCOOP
Ababneh et al. · arXiv 2025
General Congestion を線形最適化として定式化。CCR/PCR/SPCR 新メトリクスで congestion 性能 +40–50%、効率 +60–90% 改善。
congestion 攻撃の最新到達点。防御設計への直接インプット。
Zeus
Liu et al. · ePrint 2025
fee-stealing/griefing 双方を防ぐ初の Bitcoin 互換 MHP。「strong griefing resistance は不可能」を FSE 帰着で証明。griefing factor ≤0.1 を保証。
griefing/jamming 防御の理論的到達点。不可能性境界を確立。

研究計画 — 21 候補の6系統 + 旗艦4件

旗艦ティア(2026-06-10 新設、既存候補を部品として包摂)
  • F1 — Fan-In Reputation 不可能性定理 🥇最有力: local reputation が LSP 環境で原理的に詰むことを S&P/CCS 級で証明
  • F2 — Sink 耐性双方向 Reputation 🥈: Sink 攻撃(収益 15% 低下)の形式化 + 最適機構 + 下界
  • F3 — Bribery × Jamming アームズレース決着 🥈: Suborn→CRAB→Bribe&Fork を一般理論で決着
  • F4 — Market vs Central Planning 統一 ★: 実装コミュニティの中心論争にメカニズム比較+実証で決着

推奨着手順: F1(不可能性1本)→ F2(可能領域の最適設計)→ F3(swap 研究と並行)→ F4(統合、実装インパクト最大)。

I 系 — 防御設計・プロトコル
I-1 Endorsement+Upfront Fee 最適結合(最優先) / I-2 Slow Jamming 専用防御 / I-3 Adaptive Slot Allocation / I-4 Probing-Jamming 統合(GNN 研究と連動)
II 系 — ゲーム理論・経済
II-1 防御選択の Nash 均衡 / II-2 Upfront Fee 最適額の理論導出(I-1 の基盤)/ II-3 LSP 視点の Jamming 経済学 / II-4 Jamming × Bitcoin Fee Market
III 系 — Miner Bribery
III-1 Bribe&Fork 対抗設計(新規性最高)/ III-2 Bribery モニタリング指標(着手容易)/ III-3 CRAB 一般化 / III-4 Bribery × Jamming 複合
IV 系 — 評判・Bootstrap
IV-1 Sybil 耐性 Bootstrap / IV-2 Endorsement 形式的安全性定義 / IV-3 評判スコア最適計算式
V 系 — 形式検証
V-1 Jamming 防御のゲーム理論的形式化 / V-2 統一的安全性定義(I-1 の前提)/ V-3 PTLC 移行後の攻撃面変化
VI 系 — 実装・実測
VI-1 現実ネットワークでの攻撃コスト実測 / VI-2 防御シミュレーション比較 / VI-3 テストネットで Endorsement+Fee 実装(I-1 の出口)

未解決問題

OP-1
根本的非対称性の未解消 — forward 手数料が成功時のみ発生する設計は変更困難。Upfront/Hold fee/PTLC いずれも部分緩和にとどまる。
OP-2
Slow Jamming への根本防御の欠如 — Circuit breaker は1件を長時間保持するだけで回避可能。Upfront fee のみ有効だが最適額が未解決。
OP-3
Honest fail と Jamming の原理的区別不能 — 中継ノードは HTLC 最終目的地を知らず、意図的遅延を特定できない。
OP-4
Fan-In(LSP 環境)での局所評判の理論限界 — 12以上の均等貢献 inbound peer を持つノードでは単一ピアが閾値到達不可能(2026 発見)。
OP-5
Market vs Central Planning 論争の未決着 — upfront fee のレイテンシ悪化(0.5→1.5 RTT)と jamming 抑止のトレードオフに実証データ不足。
OP-6
Bribery 系の実用障壁の未解明 — 最大マイナーが公開的に Bribe&Fork へ加担するインセンティブがどれほど現実的か未検証。
OP-7
Probing-Jamming 統合防御の未設計 — 同じ HTLC 構造を利用する両攻撃への統一的対処法が未確立。
OP-8
PTLC 移行後の攻撃コスト変化の未定量化 — 構造変化が jamming/bribery 双方の経済性にどう影響するか未分析。

🔗 Virtual / Generalized Channels

中厚トピック

オンチェーン TX なしで「チャネルの上にチャネルを作る」系譜。Aumayr 三部作(Generalized Channels ASIACRYPT'21 が adaptor signature 基盤 → Bitcoin-Compatible VC S&P'21 → Blitz USENIX'21)が Bitcoin 側の中核、Perun(S&P'19, UC-secure)が Ethereum 側の理論的祖。設計空間は Bitcoin互換 vs スクリプト要求 / 再帰可否 / 2者 vs multi-party(factory) / UC 証明有無 の4軸で二分される。再帰性(Elmo)と watchtower 不要(Sleepy Channels)の両立、BIP-118 (ANYPREVOUT) 未マージが実用化の壁。

研究史タイムライン(2018–2026)

2018
Channel Factory / Perun 初出CCS 2018
n 人が 1 on-chain TX から n(n-1)/2 チャネルを開設する2層構造(Burchert-Decker-Wattenhofer)/ virtual payment hub の初期構想(Perun, 間接 dispute 悲観的 O(ℓΔ))。系譜の起点。
2019
Perun(S&P / EUROCRYPT)/ Multi-Party VSCIEEE S&P · EUROCRYPT 2019
UC-secure な仮想チャネルを Ethereum 上で初めて厳密定式化(S&P)/ Hub をスキップする直接 dispute で悲観的コストを O(Δ) に改善(EUROCRYPT)/ N≥2 者の仮想チャネル UC 構築(MPVSC)。
2020
DLSAG / Lightweight VCFC · CANS 2020
Monero(非スクリプト言語)に初の PCN を実現する2署名鍵方式(DLSAG)/ timelock+multisig のみで Bitcoin 互換仮想チャネルを構成(Jourenko, 早期案・有限寿命が制約)。
2021
Aumayr 三部作 + Brick / Hydra ★ASIACRYPT · S&P · USENIX · FC 2021
adaptor signature の独立形式定義、争議コストを LN の 553.66→17.47 USD(97%減)に削減(Generalized Channels, 基盤)/ UTXO+署名+タイムロックのみで仮想チャネル、楽観時 on-chain フットプリントゼロ(Bitcoin-Compatible VC)/ two-phase commit 排除の1ラウンド multi-hop(Blitz)/ ウォーデン委員会の非同期チャネル(Brick)/ EUTxO 上の isomorphic state channel, Cardano mainnet 稼働(Hydra)。
2022
Elmo / Sleepy Channels / Thora / Speedster / AuxChannelS&P'23 · CCS · AsiaCCS 2022
ANYPREVOUT で再帰的・可変数・対称・無期限を同時達成、指数爆発を回避(Elmo)/ 絶対タイムロック化で watchtower 不要、オフライン失敗を 97% 削減(Sleepy Channels)/ 任意トポロジー複数チャネルの原子更新で Sprites 予想を反証(Thora)/ TEE ベース dispute-free(Speedster)/ CVES で scriptless チェーン上の無期限チャネル、timelock-free の萌芽(AuxChannel)。
2023–24
ORIGAMI / SAMCU / APCN / Flexichain / Bitcoin CliqueTIFS · ToN · TOPS · ACNS
非ターン制 Header モデル(ORIGAMI)/ Thora に internal anonymity 付与(SAMCU)/ per-user 資金集約 + TEE のステートレス PCN(APCN)/ CoinShift+BPTLC で exhaustion 耐性(Flexichain)/ Two-Shot Adaptor Sig + OP_CTV の trustless commit-chain(Bitcoin Clique)。
2025–26
IvyAPC / Thunderdome / H-MPC Hypergraph / ArkFC 2025 · arXiv · 2026
AAFPK+hash-chain で generalized channel に監査可能性を付与(IvyAPC)/ Brick 2本連結で timelock-free、初の game-theoretic SPNE 証明(Thunderdome)/ ハイパーエッジ+DAG の多者間チャネル(H-MPC)/ VTXO+MuSig2 で covenant 不要、Bitcoin mainnet 稼働 commit-chain(Ark)。

設計空間マップ — 4軸で二分される系譜

← Bitcoin 互換(スクリプト制限内) 非 Bitcoin(SC/EUTxO/TEE)→ Aumayr 系(Bitcoin 互換・基盤) Generalized Ch(adaptor sig 基盤) Bitcoin-Compat VC · Blitz · Thora Sleepy Ch(watchtower 不要, 非再帰) → Elmo(再帰・要 ANYPREVOUT) UC/GUC 証明あり Perun 系(Ethereum・SC 依存) Perun(UC-secure 仮想 hub の祖) Multi-Party VSC · Hydra(EUTxO/Cardano) Speedster · APCN(TEE 系) Turing 完全前提で設計が容易 timelock-free 軸(2022〜新軸) AuxChannel(CVES)→ Thunderdome Brick(warden 委員会 n=3f+1) 代償: 別の信頼前提・状態露出 commit-chain / multi-party 集約 Bitcoin Clique(OP_CTV)→ Ark(covenant 不要) Channel Factory → H-MPC Hypergraph Ark は稀有な Bitcoin mainnet 稼働例
4系統 — Bitcoin 互換 × Turing 不完全という制約が空間を二分。再帰性と watchtower 不要は独立した両立問題で、両方を満たす設計は未存在。

設計空間比較表

提案Bitcoin互換スクリプト要求再帰参加者形式証明
Channel Factory (2018)✓(要 eltoo)multi (n)なし
Perun (2019)✗(Ethereum)高(Turing完全)△理論上2者(Hub)+拡張UC
Generalized Channels (2021)低(adaptor sig)✗(基盤)2者GUC
Bitcoin-Compat VC (2021)低(署名+timelock)✗(open problem)2者+HubUC
Blitz (2021)Gen. Ch 前提multi-hopゲーム理論
Elmo (2023)✓(要 ANYPREVOUT)✓達成variadicUC(帰納法)
Sleepy Channels (2022)低(CLTV)✗(2者限定)2者ゲーム理論
Thora (2022)multi(任意トポロジー)形式証明
Thunderdome (2025)✗(Ethereum PoC)Brick 依存2者+IngridSPNE(初)
Hydra (2021)✗(EUTxO=Cardano)N/Amulti形式的
Ark (2026)✓(covenant不要)低(MuSig2)N/Amulti(VTXO)実装検証

主要論文カード

Generalized Channels ★基盤
Aumayr · ASIACRYPT 2021
adaptor signature の初の独立形式定義。任意オフチェーン TX logic を HTLC 不使用で Bitcoin 上に構築。50並行支払いで争議コストを LN の 553.66→17.47 USD(97%減)。
三部作の基盤。以降の Bitcoin 互換設計全ての土台。
Bitcoin-Compatible VC
Aumayr · IEEE S&P 2021
UTXO+署名+タイムロックのみで仮想チャネルを実現した最初の Bitcoin 互換設計。楽観ケースで on-chain フットプリントゼロ。UC 安全性証明。
Perun の理論を Bitcoin へ移植。「再帰化は open problem」と明示し Elmo へ。
Elmo
Kiayias, Avarikioti et al. · S&P 2023
ANYPREVOUT で再帰的仮想チャネルの指数爆発を回避。recursive/variadic/symmetric/無期限を同時達成した唯一の設計。タイムロック成長を線形に。帰納法ベースの新 UC 証明技法も貢献。
Bitcoin 互換仮想チャネルの到達点。BIP-118 未マージが最大障壁。
Perun
Dziembowski et al. · IEEE S&P 2019
仮想チャネル概念を初めて UC 安全性で定式化。Hub 仲介の2者間仮想チャネルを Ethereum 上で実装。中間者オフライン時も維持可能。
仮想チャネル系譜の理論的祖。Ethereum 依存が Bitcoin 移植を誘発。
Thora
Aumayr · CCS 2022
任意トポロジーの複数チャネルを原子的に更新できる初の Bitcoin 互換プロトコル。revoke-unless-pay と定数担保で「限定スクリプトでは不可能」という Sprites 予想を反証。
パス制約からの解放。マス決済・リバランス等の新アプリを可能に。
Sleepy Channels
Aumayr · CCS 2022
相対タイムロック(CSV)を絶対タイムロック(CLTV)に置換し watchtower 不要を実現。オフライン失敗リスクを 5,000→170 チャネル(97%削減)に低減。
「オンライン要件最小化」軸。再帰的 VC との両立は未解決。
Brick / Thunderdome
Avarikioti · FC 2021 / 2025
ウォーデン委員会(n=3f+1)の非同期安全チャネル(Brick)。2本連結で timelock 依存を完全排除し、オフチェーン初の game-theoretic SPNE 証明(Thunderdome)。
timelock 依存脱却の新軸。warden 委員会という別の信頼前提を導入。
Hydra / Ark
Chakravarty FC'21 / Keer 2026
EUTxO 上で L1 validator をそのままオフチェーン実行する isomorphic state channel, Cardano mainnet 稼働(Hydra)/ VTXO+MuSig2 で covenant 不要の Bitcoin mainnet commit-chain, 定数 197vB(Ark)。
支払い専用を超える state channel/ 稼働する数少ない実運用例。

未解決問題

OP-1
Bitcoin mainnet 実用化(BIP-118 未マージ) — Elmo の再帰的仮想チャネルは ANYPREVOUT 必須だが未実装。「ANYPREVOUT なしでは効率的な再帰的 VC は不可能」は conjecture で証明なし。
OP-2
Watchtower 不要 + 再帰的の両立 — Sleepy Channels は非再帰、Elmo/Perun は再帰だが watchtower 必要。両立設計は未存在。
OP-3
全員参加の同期要件緩和 — Channel Factory の n-of-n 署名要件を緩和する閾値スキームが未確立。Grace exit プロトコルが候補
OP-4
Hub/中間者の資本効率 — 仮想チャネル開設のたびに中間者が collateral をロックする構造がスケールのボトルネック。
OP-5
既存 Lightning との移行パス — adaptor signature ベース設計への段階的移行経路が不明瞭。Taproot Channels 普及速度が前提。
OP-6
timelock-free の代償 — Thunderdome(warden)・AuxChannel(補助 L2+KES) は別の信頼前提を導入。「追加信頼なしの timelock-free」は未達。
OP-7
operator/committee 集中化 — commit-chain(Clique/Ark)・TEE 系は単一 operator に調整役を集中させ SPOF に。multi-operator handover の持続性が未検証。
OP-8
Factory + 再帰 VC の統合担保理論 — Factory 内チャネルに Elmo 的再帰 VC を適用する場合の担保理論が未整備。
研究計画・実装との接続 — Virtual Channel Grace Exit

impl/virtual_channels/virtual_channel_grace_exit_plan.md(想定 repo: ~/repos/IMPL/virtual-channel-lab, 📋 planned)。RQ: factory 参加者の一部離脱を許す grace exit は全員同期をどこまで緩和できるか/ Perun・Bitcoin-compatible VC・Elmo のどの前提差が exit 設計を困難にするか。最小実装: 3–4者の状態機械で voluntary exit / unresponsive participant / partial close の3シナリオ。評価指標: exit 完了 round 数・on-chain fallback コスト・honest participant の worst-case lock time。未解決問題 OP-3/OP-4 と直結。
再現実装候補(Perun / Elmo / Bitcoin 互換 VC)はいずれも未着手 — 計画は言語化済みだが実コードはこれから。

⇄ Cross-Chain Atomic Swaps

中厚トピック📚 論文35本 Deep-Dive →

Herlihy の atomic swap 理論(PODC 2018, 強連結性が atomicity の必要十分条件)を起点に、二大攻撃面 — free option 問題(秘密保持者が相場を見て実行/棄権を選べる無料オプション)と griefing / miner bribery — への対策が主軸。griefing 系は Hedged→GF-Swap→4-Swap の TX 数削減、bribery 系は MAD-HTLC→He-HTLC→DEMBA→Rapidash の脅威モデル拡大というアームズレース。wiki 独自の整理として free-option 3脱出(resolver 市場 / pool 化 / cross-PCN)の設計哲学マップを持つ。

研究史タイムライン(2013–2026)

2013
Tier Nolan Swap(TN-Swap)フォーラム提案
HTLC 2連鎖による最初の atomic swap 原案。4 TX、grief/bribery 耐性なし。全系譜の出発点。
2018
Herlihy — Atomic Cross-Chain Swaps ★PODC 2018
スワップを有向グラフでモデル化し、atomicity の必要十分条件が「D 強連結」かつ「リーダー集合 ⊇ フィードバック頂点集合」であることを証明。griefing を初めて形式化。全後続研究の基礎モデル。
2020–21
DLSAG / MAD-HTLC / Hedged Swap / PayMoFC · S&P · PODC · CCS
Monero に adaptor signature を組込む scriptless swap 先駆(DLSAG)/ 標準 HTLC が数ドルの賄賂で数万ドル奪取可能と実証、mutual destruction で抑止(MAD-HTLC, bribery 研究の起点)/ grief premium を cross-lock、TX 4→6、premium 自体への grief 再帰問題(Hedged Swap)/ VTLRS で Monero scriptless swap、93,500 決済/2分(PayMo)。
2022
MPHTLC / Transferable Options / GF-Swap / MoNetAFT · ICBC · ePrint 2022
共有資産の atomic 交換を MPC 結託耐性ハッシュで(MPHTLC)/ atomic swap を金融オプションとして定式化、行使権を転売可能に(Transferable Options)/ premium を principal に片側統合し TX 5 へ、bribery 非対応(GF-Swap)/ VCOF+CAS で Monero 双方向・無制限・マルチホップ PCN、~1.1M TPS(MoNet)。
2023–24
He-HTLC / reuniclus / Universal Adaptor MultipartyNDSS 2023 · arXiv · CCS 2024
MAD-HTLC の受動仮定を突き reverse bribery(能動マイナー)を定式化、vdep 焼却+ℓブロック遅延で対策(He-HTLC)/ HTLC のみで実現可能な多者間グラフを reuniclus クラスとして完全特徴付け、HTLC の表現力限界を確定(Clark)/ Universal Adaptor Secret による多者 scriptless swap。
2025
4-Swap / Rapidash / X-Transfer / ATG / Probabilistic SwapsAFT · FC · arXiv 2025
grief-free と bribery-safe を TN-Swap と同じ 4TX で同時達成、SPNE 証明、reverse bribery 非対応が残る(4-Swap)/ CSP fairness で任意 coalition 耐性を形式証明、grief-free ではない代償(Rapidash)/ 完全オフチェーンのクロス PCN 支払い、Thora 上で hub 間 atomic 更新(X-Transfer)/ secure-by-design 自動生成 ATG→xtree→CTLC(ATG)/ 決定論を破る確率的 swap、adaptor sig+OPRF(Probabilistic Swaps)。
2025–26
DEMBA / CCN / GumSwap・HedgeSwap / P2C2T・LockMeldarXiv · 2026
マイナー間共謀(M2MBA)耐性、没収権を当事者へ移す単一チェーン設計(DEMBA)/ R-HTLC 砂時計機構でマルチホップ+オフライン耐性+匿名性(CCN)/ Universal swap の griefing-free 化、timeout race 解消(GumSwap/HedgeSwap)/ クロスチェーン転送の unlinkability/confidentiality(P2C2T, LockMeld)。

安全性問題の分類 — 2つのアームズレース

攻撃類型定義代表対策
Free Option 問題秘密保持者が相場を見て実行/棄権を選べる無料アメリカンオプションを握る構造的欠陥Transferable Options(premium/転売)、4-Swap(cross-lock)、3脱出①②③
Griefingタイムロック満了まで放置し相手の資本を一時拘束する弱い DoS。金銭損失なしで機会コストを奪うHedged Swap(TX6)→ GF-Swap(TX5)→ 4-Swap(TX4) の TX 削減系譜
Miner Bribery(受動)マイナーに賄賂を払い相手の claim TX を検閲・無視させるMAD-HTLC(mutual destruction: 第二 preimage+担保契約で両者資金没収)
Reverse Bribery(能動)マイナー自身が当事者に接触し conflicting TX を誘導、能動的に不正を仕掛けるHe-HTLC(SDRBA/HyDRA、vdep 焼却+ℓブロック遅延で分散的 burn 誘発)
Miner-to-Miner (M2MBA)マイナー同士が共謀し没収権自体を悪用DEMBA(没収権を当事者へ移す2フェーズ設計、単一チェーンのみ)
User-Miner Collusion物理世界の拘束力ある契約を含む任意 coalition が結託Rapidash(爆弾メカニズム+2段階準備、CSP fairness 証明)
2系統の関係: MAD-HTLC → He-HTLC → DEMBA → Rapidash が bribery/collusion のアームズレース(脅威モデル拡大の順)。Hedged Swap → GF-Swap → 4-Swap が griefing の TX 数削減トレンド。両系統を単一プロトコルで統合する試みが plan_griefing_resistant_swap(GRB-Swap)。

Free-Option 3脱出の設計哲学マップ

脱出① resolver / solver 市場 HTLC/adaptor を温存、片方を 競争的 solver 群に置換 option risk → solver が spread に内部化 失うもの: solver bond 信頼・OB 中央化 代表: 1inch Fusion+ / Garden / Boltz(本番稼働・billions volume) Track B(構造置換で運用上消去) 脱出② プール / vault 化 二者ロックを廃止、プール/TSS vault が常時カウンターパーティに option risk → LP/JIT MM が引受 失うもの: TSS 委員会信頼・IL 代表: THORChain / Chainflip / Across(本番稼働) Track B(構造置換で運用上消去) 脱出③ cross-PCN 原子性 swap を multi-hop に分解、単一の オプション保持者が経路上に不在 option risk → 経路全体に分散 失うもの: 理想的には無し 代表: X-Transfer / Thora / PTLC・adaptor sig 系 Track A(学術フロンティア・未踏)
①②は信頼前提を足して脱出(本番稼働)、③は信頼前提ゼロで脱出を狙う理想形(未踏)。最重要の問い: 「③の UX を①②水準まで上げられるか」(plan_griefing_resistant_swap の G1 と接続)。

主要論文カード

Herlihy '18 ★理論起点
Herlihy · PODC 2018
スワップを有向グラフでモデル化し、HTLC 連鎖の atomicity 必要十分条件(強連結+リーダー集合⊇FVS)を証明。griefing を初めて形式化。
クロスチェーン swap 理論の出発点。全後続研究の基礎モデル。
MAD-HTLC
Tsabary · S&P 2021
標準 HTLC が数ドルの賄賂で数万ドル奪取可能と実 mainnet で実証。第二 preimage+担保契約の mutual assured destruction で受動マイナーの検閲を抑止。
bribery 研究の起点。He-HTLC/DEMBA/Rapidash アームズレースの第一走者。
He-HTLC
Wadhwa · NDSS 2023
MAD-HTLC の「受動的合理マイナー」仮定を突き、能動的 reverse bribery(SDRBA/HyDRA)を定式化。vdep 焼却+ℓブロック遅延の鳩の巣原理で Bob が全マイナーを買収しきれない設計。
bribery 系譜の第二世代。DEMBA/Rapidash へ接続。
4-Swap
Singh et al. · AFT 2025
双方向 cross-lock+cross-publishing で grief-free と bribery-safe を TN-Swap と同じ 4TX で同時達成。SPNE を証明。reverse bribery 非対応が明示的未解決として残る。
griefing 対策系譜の到達点。TX 数最小化の SOTA。
Rapidash
Chung et al. · FC 2025
物理世界の binding side contract を含む任意 coalition への耐性を CSP fairness として形式証明。爆弾(burn)+二段階準備で mining power γ<1 の coalition に honest 行動が Nash 均衡となる。
bribery/collusion 系譜の到達点。grief-free ではない(4-Swap が指摘)。
X-Transfer
Aumayr et al. · FC 2025
集約+実行の2フェーズで異なる PCN 間の決済を完全オフチェーンで実現。Thora で hub 間状態を原子更新。aggregation なし比 2倍超のスループット。
脱出③(cross-PCN 原子性)の代表実装。swap を経路化する方向の到達点。
PayMo / MoNet
Thyagarajan CCS'21 / Sui ePrint'22
VTLRS で Monero の Ring Signature にタイムロックを組込みハードフォーク不要の scriptless swap(PayMo)/ VCOF+CAS で双方向・無制限・マルチホップ Monero PCN、~1.1M TPS だが争議解決に Ethereum(KES)依存(MoNet)。
Monero 相互運用系譜の起点と到達点。
reuniclus / Probabilistic Swaps
Clark arXiv'24 / Gerhart arXiv'25
HTLC で実現可能な多者間グラフを reuniclus クラスとして完全特徴付け、表現力限界を確定(Clark)/ 決定論的 all-or-nothing を確率 p の移転に一般化、adaptor sig+OPRF、two-sided は impossibility(Probabilistic Swaps)。
griefing/bribery とは別軸の理論的貢献。

未解決問題

OP-1
Reverse Bribery × Griefing の単一プロトコル統合 — 4-Swap の grief-free と He-HTLC/Rapidash の collusion 耐性を矛盾なく合成する設計が未確立。タイムロック窓(早期 refund t₁ vs burn 検出窓 T₂)の競合=「不可能三角」の存在自体が未検証。
OP-2
M2MBA のクロスチェーン対応 — DEMBA は単一チェーン内に対処するが、担保が別チェーンに分かれるクロスチェーン swap への適用は未解決。
OP-3
Multi-party + Grief-free/Bribery-safe の統合 — MPHTLC・reuniclus・ATG の多者理論と 4-Swap/Rapidash の保証が統合されていない。
OP-4
Two-sided Probabilistic Swap — 片側のみ確率的な設計しか最小信頼前提下では不可能。両者確率的出力版は randomness beacon 等の追加信頼を要し未解決。
OP-5
Scriptless チェーン汎用フレームワーク — PayMo/MoNet は Monero 特化。Zcash/Grin/Beam 等への一般化フレームワークが未確立。
OP-6
脱出③の UX/経路最適化 — X-Transfer/Thora はトラストレスだが経路最適性・実用化が未踏。脱出①②(本番稼働)との UX ギャップが埋まっていない。
OP-7
クロスチェーン HFT の trustless 化 — pre-signing adaptor signature 設計はオラクル依存が新たな信頼点に。低レイテンシと trustless の両立が未確立。
研究計画との接続 — plan_griefing_resistant_swap(GRB-Swap)

主題: griefing / bribery-collusion を単一プロトコル GRB-Swap(Grief- and (Reverse-)Bribery-resistant Swap)で解く。現状は 4-Swap(grief-free 但し passive bribery 限定)と Rapidash(collusion 耐性だが grief-free でない)に分断。

4 RQ: ①grief-free と γ-CSP-fairness の同時達成可能性(不可能性境界)②4-Swap の cross-publishing+早期 refund と Rapidash の two-phase preparation+burn path を矛盾なく統合できるか ③premium と collateral/burn 報酬 ε の合計担保量の最小化 ④BTC↔ETH・BTC↔XMR で Bitcoin Script のみ実装可能か、UC 安全性と coalition-resistant Nash を同一枠組みで証明できるか。4 フェーズ(計 ~10ヶ月): 統合脅威モデル+不可能性境界 → GRB-Swap 設計 → SPNE + γ-CSP-fairness + UC の三層証明 → シミュレーション+on-chain コスト実測。投稿先 AFT 2026 / FC 2027 / S&P 2027。

🗼 Watchtowers

標準トピック

オフライン中のチャネル不正 close(breach)を監視する第三者。設計は3系統に分岐 — 経済的 accountability(PISA→Cerberus→FPPW、bond 没収で罰する)/ TEE/ハードウェア信頼(TEE Guard→Singh 2025)/ 軽量ストレージ(Outpost・Fail-Safe・OTS-PC)。2022 年の Sleepy Channels は「watchtower 自体を不要化する」路線転換。近年は役割が「breach 監視」から「残高の verifiable 証明」へ拡張し、この wiki の plan_zkp_watchtower が TEE を ZK に置換する将来収束点を狙う。

研究史タイムライン(2016–2026)

2016
Monitor(Dryja)LN whitepaper 系
最初の watchtower 概念。O(N) ストレージ・インセンティブなし・プライバシーなし。以降の全改良の起点。
2019
PISA / Outpost / TEE GuardAFT · ESORICS-W 2019
accountable watchtower を初形式定義、signed receipt による事後 punish・O(1) ストレージ・Ethereum 専用(PISA)/ commitment TX に justice TX を埋め込み保存不要化(Outpost)/ SGX enclave で revocation 鍵を保護、1チャネル月1セント未満(TEE Guard)。3系統の起点が同年に出揃う。
2020
Cerberus / Fail-Safe / lnd Altruist 本番稼働FC 2020 · lnd v0.7+
Bitcoin Script のみで動作、collateral をチャネルに on-chain 紐付けし PISA の二重使用脆弱性を修正(Cerberus)/ 周期的単一 confirmation で正常系の payout 遅延を排除(Fail-Safe)/ 暗号化 blob 保存・報酬なしの実運用基準実装(lnd Altruist)。
2021
FPPWFC 2021
fairness(α=1)・channel balance privacy・coverage(β=1/2) を初めて同時達成。generalized channel + adaptor signature、3-of-3 multisig。
2022
Sleepy Channels ★路線転換CCS 2022
watchtower を根本的に不要化。CSV→CLTV 置換 + 対称 collateral。危険チャネル約 97% 削減、UC 安全性証明あり。890 BTC のコラテラル問題を解消。
2024–26
CRAB / Singh TEE 残高検証 / OTS-PC / ZK Watchtower 計画CCS 2024 · NDSS 2025 · planning
penalty TX を miner bribing で無効化する攻撃を形式化、watchtower 安全性と miner インセンティブの結合を提示(CRAB)/ 役割を breach 監視から残高の verifiable 証明へ拡張、TEE+zkTLS の Hot/Cold Proof + Selective Disclosure(Singh)/ OP_HASH ベース OTS でプライバシーを3レベルに形式化(OTS-PC)/ TEE を SNARK/STARK で置換する ZK Trustless Watchtower 計画(AFT 2026 想定)。

設計空間比較表

提案インセンティブ担保要求プライバシー信頼仮定Storage
Monitor (2016)なしなしなしwatchtower の善意O(N)
PISA (2019)予約手数料+大口 collateral、違反時 signed receipt 没収大(プール共有)なしEthereum SC + collateral solvencyO(1)
Outpost (2019)paid-per-updateなし(TX 内蔵)commitment TX 構造の正しさO(1) 未満
TEE Guard (2019)月額課金想定なし(TEE が代替)Intel SGX + remote attestationO(1)
Cerberus (2020)継続手数料 + collateral 没収チャネル毎 on-chain (c>a+b)なしBitcoin Script + collateral linkO(1)
FPPW (2021)α=1 完全公平な損失分配3-of-3 multisig (c=a+b)弱(中間 state 秘匿)adaptor signature の暗号仮定O(1)
Sleepy Channels (2022)watchtower 排除、対称 collateral が協調 close 誘因両者対称(分散)通常チャネル同等UC 安全性(暗号仮定のみ)監視不要
Singh TEE (2025)監査/LSP 向けサービス料なし(attestation)Selective DisclosureSGX/SEV + zkTLS(side-channel リスク)O(1)
lnd Altruist(実装)報酬なし(利他運営)なし弱(暗号化 blob)watchtower のオンライン性・善意O(N)
ZK Watchtower(計画)ZK accountability で bond/TEE 補完・置換軽量 bond 併用検討強(目標)暗号仮定のみ(SNARK/STARK 健全性)eltoo で O(1) 目標

主要論文カード

PISA
McCorry et al. · AFT 2019
watchtower の accountability を初形式化。義務違反時に signed receipt で collateral 没収。Custodian 1.6M gas / 予約あたり 65k–103k gas。
accountable watchtower の起点。Ethereum 専用・collateral 二重使用脆弱性が後続の課題に。
Cerberus
Avarikioti et al. · FC 2020
Bitcoin Script のみで動作する初のインセンティブ付き watchtower。collateral をチャネルへ on-chain 紐付け。最悪ケースでチャネルあたり 7 TX。
PISA の二重使用を修正し Bitcoin 互換化。lnd Altruist 実装の系譜。
FPPW
Mirzaei et al. · FC 2021
α-fairness(α=1)・channel balance privacy・β-coverage(1/2) を初めて同時達成。generalized channel + adaptor signature。
経済的 accountability 系のプライバシー到達点。c=a+b の担保は未解決。
Sleepy Channels ★
Aumayr et al. · CCS 2022
CSV→CLTV 置換 + 対称 collateral で常時監視を不要化。開設 TX 338 bytes、危険チャネル約 97% 削減、UC 安全性証明。
watchtower 不要化の路線転換。固定ライフタイム T・資本効率が代償。
TEE Guard / Singh TEE
Leinweber 2019 / Singh 2025
SGX enclave で revocation 鍵保護、定数ストレージ、月1セント未満(TEE Guard)/ 役割を残高の verifiable 証明へ拡張、Hot/Cold Proof + Range Proof で Selective Disclosure(Singh)。
TEE 系譜。side-channel と Esplora API 依存が限界。
Outpost / Fail-Safe
Khabbazian 2019 / Liu 2020
commitment TX に justice TX を符号化し signed justice TX の保存を不要化(Outpost)/ 周期的単一 confirmation で正常系遅延を排除、障害時のみ fail-safe timeout(Fail-Safe)。
軽量ストレージ系。micropayment 向けの short-lived assertions も提案。
CRAB(脅威分析)
Aumayr et al. · CCS 2024
watchtower の penalty TX を miner bribing で無効化する攻撃を形式化。watchtower 安全性が miner インセンティブ・mempool ポリシーと孤立して評価できないことを示す。
Cerberus/lnd 系全体に向く「脅威」ノード。ZK 計画の RQ4 入力。

未解決問題

OP-1
インセンティブとモラルハザード — Altruist は長期運営の動機が弱く、Reward は watchtower が breach を誘発・遅延して報酬最大化するリスクを排除しきれない。
OP-2
eltoo/ANYPREVOUT 依存 — BIP-118 未 deploy のためストレージの O(N)→O(1) 化が進まない。
OP-3
TEE の信頼性限界 — SGX/TrustZone の side-channel(Spectre/timing)は依然リスク。「TEE=完全安全」ではない。
OP-4
強いプライバシーの未達成 — FPPW の弱いプライバシー(初期/最終残高は公開)を強いプライバシーへ拡張する設計が未確立。
OP-5
accountability ギャップ — 「適切にサボった(証明不可能な形で)」ケースは検出不能。PISA 以来の根本問題。
OP-6
マルチホップ HTLC への適用 — 2者チャネル保護が主眼で、HTLC 経由の多ホップ支払い中の保護が未完全。
OP-7
rational miner bribing との結合 — CRAB が示すように watchtower の安全性は miner インセンティブ・mempool ポリシーと孤立して評価できない。
研究計画との接続 — plan_zkp_watchtower

中心アイデア: TEE という信頼仮定を ZK 証明(SNARK/STARK)で置換し、watchtower が「正しく state を監視し、breach 検知時に有効な justice TX を構築できる」ことを trustless かつ残高プライバシーを保ったまま証明する。4 RQ: ①watchtower 中核機能の ZK 回路化可否と証明コスト(Poon-Dryja vs eltoo)②encrypted blob + well-formedness proof で残高プライバシーと監視可能性を両立 ③TEE/bond なしで accountability を ZK 証明可能に ④安全性(liveness/breach 防止/privacy)の形式モデル定義と CRAB との合成保証。4 フェーズ(計 ~12ヶ月): 回路設計+proof system 選定 → eltoo/LN-Symmetry 統合 → accountability の ZK 化 → lnd wtclient/wtserver フック PoC + ベンチ。投稿先 AFT 2026 / FC 2027 / S&P 2027。
実装状況: impl/watchtowers/_index.md実装ノート未作成(空) — 研究 history/plan は厚いが実装ハブは空というギャップ。

🪙 Taproot Assets on Lightning

標準トピック

Bitcoin の consensus rule を変えず、Bitcoin にコミットするだけの並行ステートマシンで LN 上にアセット(=ステーブルコイン on Lightning)を載せる。設計の核は Virtual Layer / Anchor Layer の二層構造と、中継ノードを一切変更しないエッジノード型流動性モデル(RFQ プロトコル)。2024 年に Speed Wallet が USDT-L/USDC-L を実用化、2026 年に Amboss RailsX(LN ネイティブ DEX)が稼働。研究課題はプライバシー漏洩・流動性分断・Universe 中央集権性。

タイムライン(2012–2026)

2012–19
Colored Coins / Omni / RGB Protocol旧世代
OP_RETURN 依存の Bitcoin 上トークン発行(Colored Coins/Omni, スケーラビリティ限界)/ Client-Side Validation でオンチェーンはハッシュのみ、状態遷移検証は完全オフチェーン(RGB, Peter Todd)。
2021.11
Bitcoin Taproot ソフトフォーク有効化BIP340/341/342
Schnorr / Taproot / Tapscript。Script Tree(MAST) への任意リーフ追加が可能に。Taproot Assets の技術的前提が整う。
2022
Taro Whitepaper(Lightning Labs)Lightning Labs
「Taproot Asset Representation Overlay」公開。MS-SMT・Universe・Taproot commitment の初期設計。後に商標問題で「Taproot Assets Protocol」に改称。
2023
LN チャネル統合設計確定 / v0.3 mainnet alpha2023.10
エッジノード型流動性モデル確定。Simple Taproot Channels(MuSig2 2-of-2 commitment)への依存が明確化。10月に mainnet アルファリリース。
2024
tapd mainnet beta / Speed Wallet ステーブルコインproduction
tapd(Taproot Assets デーモン)mainnet beta 稼働。Speed Wallet が USDT-L/USDC-L をプロダクション展開 — LN 上ステーブルコイン実用化第一号。
2025–26
Amboss Rails / RailsX(LN ネイティブ DEX)★Amboss
流動性インフラ Rails 整備、RFQ プロトコル(last-mile routing)・AuxTrafficShaper/AuxHTLCModifier 統合確立(2025)/ RailsX 稼働、Circular payment による BTC↔ステーブルコイン atomic swap、機関向け FX トレーディング応用(2026)。

アーキテクチャ — 二層構造とエッジノード決済

二層構造(consensus 変更なし) Virtual Layer(tappsbt / asset) VPacket (vPSBT): ├ Virtual Inputs(アセット proof + witness) ├ Virtual Outputs(新状態 + script key) └ Virtual Signatures オンチェーンには一切乗らない Anchor Layer(tapfreighter / Bitcoin) Bitcoin Tx: BTC UTXO inputs → Taproot output に Asset Commitment 埋込 (MS-SMT root のみ反映) Bitcoin ノードには「ただの Taproot 出力」 PoW セキュリティをそのまま継承 commitment のみ エッジノード決済(中継は BTC のみ・アップグレード不要) AliceUSDT-L チャネル エッジノード ARFQ でレート取得USDT-L → BTC 変換 中継ノード群通常 BTC HTLCアセット非関知 エッジノード BBTC → USDT-L 変換 BobUSDT-L atomicity は HTLC の preimage 公開で保証(部分決済なし)。エッジノードの bid-ask スプレッドが収益源。submarine swap を LN 内部に内包した構造。
tapd が LND に gRPC フックでアセット層を提供。LND 本体(BTC 層)はコード変更不要。3種 Blob(OpenChannel/Commitment/Htlc)を不透明データとして保持。

エコシステム

研究課題・未解決問題

OP-1
プライバシー漏洩 — balance probing 類似手法でエッジノードのアセット残高・チャネル構成が推定可能。アセット種別がルーティング情報から漏洩しうる。Route Blinding 統合が未完(難易度★★★)。
OP-2
ステーブルコインのコンプライアンスリスク — onion routing は経路を隠すが、発行者(Tether/Circle)のフリーズ権でアセット自体は検閲可能。Rails LP が決済に関与するため E2E 経路秘匿は保証されない。
OP-3
流動性の分断 — BTC チャネルとアセットチャネル(USDT-L/USDC-L それぞれ独立プール)が別管理。エッジ流動性枯渇がボトルネックに。マルチアセット経路探索の複雑性増大(難易度★★)。
OP-4
エッジノードの為替リスク — USD↔BTC 変換を担う LSP は価格変動リスクを常時負う。ヘッジ戦略が必要で参入障壁が高い(難易度★★)。
OP-5
規制リスク — エッジノードが MSB/EMI として登録義務を負う可能性。各国規制の違いが普及障壁。
OP-6
Universe の中央集権性 — 現状 Lightning Labs 運営の集中型サービスへの依存が強い。分散 Universe 設計・複数プロバイダー間同期プロトコルが中期研究課題。
OP-7
RGB とのエコシステム分裂 — Bitcoin 上マルチアセット発行で RGB と競合、相互運用性なし。開発者・流動性・ウォレット対応が分散。
OP-8
スケーラビリティ — アセットチャネルの commitment Tx は追加 Tapscript リーフ+Blob でサイズ増大。大規模 HTLC バッチ処理のオーバーヘッドが未検証。

⏳ Async Payments

標準トピック

受信者がオフラインでも決済を届ける仕組み。HTLC は送受信者の同時オンラインを暗黙の前提とするため、これを外すのが課題。方式は4段階 — HTLC 版の限界LSP Hold Pattern(実用中、custodial に近い)→ BOLT12 Invoice 発行待ち(jamming 耐性が高い)→ PTLC trustless 設計(根本解・研究段階、secret splitting で LSP が数学的に横取り不可能)。真の non-custodial 化は PTLC のネットワーク展開に依存し、移行期はハイブリッド運用が続く。

タイムライン(2016–2026)

2016
Poon-Dryja オリジナル設計whitepaper
HTLC は送受信者の同時オンラインを暗黙の前提とし、非同期受信は非対応。問題の出発点。
2018–19
Hold Invoice / keysend 応用検討dev
受信者が preimage 公開を遅延できる HODL Invoice(jamming 類似リスク内包)/ keysend が「受信者不在でも送り届ける」概念の先駆けとして検討されるが受信者の検証手段がなく不完全。
2020–22
LSP Hold Pattern 実用化 / t-bast PTLC 提案lightning-dev · Eclair
Phoenix ウォレットが ACINQ の LSP 兼任モデルで商用展開、custodial に近い緊張関係が顕在化(LSP Hold)/ Teinturier が PTLC ベース trustless async payments を提案(secret splitting: R が scalar t を選び T=t·G を LSP に登録)/ Eclair #2435 で trampoline relay の基本実装。
2023
LSPS5 Webhook / adaptor sig proof / BOLT12 草案standards
LSPS5(Webhook 通知)標準化で HTLC hold 時間を最短化/ adaptor signature による非対話的 proof of payment 提案/ 「HTLC hold」でなく「Invoice 発行待ち」段階で待機する BOLT12 Async Payments 設計が核心に。
2024
LDK 段階マージ / Eclair Mobile Peer Wake-Up / Inter-LSP 議論LDK · Eclair
LDK #2973/#3125/#3140 で onion message intercept・static BOLT12 送信対応/ Eclair #2865 で切断中モバイルピアの wake-up 機能、zero-conf channels と組合せ/ BLIP レベルの Inter-LSP 標準化議論進行(単一 LSP 集中へのカウンターバランス)。
2025–26
LDK 両側フルロジック完成 / BLIP 正式化LDK #3618/#3628
LDK でクライアント/サーバー両側ロジック完成。CLN experimental フラグで一部稼働、LND は BOLT12 実装中で未対応。BLIP-0036/0037(Async Payments / Inter-LSP 転送、番号は raw/15_BLIPs で要確認)を含む正式化フェーズへ。

4方式の決済フロー

方式① HTLC 版(限界の出発点)

R が invoice 発行時に payment hash H を生成(オンライン必須)→ S→中継→R へ HTLC 転送 → R が preimage r を即座に返す必要R がオフラインだと HTLC が timeout し資金は送信者に返却。これが非同期受信ができない根本理由。

方式② LSP Hold Pattern(実用中・trampoline 版)

S → HTLC(BOLT11) → LSP/Trampoline T → [R オフライン: T が Hold] → LSPS5 Webhook で R に Push 通知 → R 起動 → T が転送 → R が preimage 返却

弱点: hold 期間中 LSP が技術的に支払いをブロック可能(custodial に近い)、jamming 類似リスク、iOS バックグラウンド制限で R の即時起動が困難。

方式③ BOLT12 Invoice 発行待ち(ドラフト・jamming 耐性高)

R が事前に offline invoice(BOLT12 offer) を LSP に登録 → S が Invoice Request を LSP 経由送信 → [R オフライン: LSP が Request を Hold] → R 起動 → R が Invoice 発行 → S が通常送金開始

HTLC 版との違い: 資金がロックされるのは最後の送金段階のみで、待機自体は情報(request)レベルに留まる → 資金ロックが発生せず jamming 耐性が高い

方式④ PTLC trustless 設計(根本解・研究段階)

R が scalar t を選び T=t·G を LSP に事前登録(オンライン時)→ S → PTLC(point T) → LSP がバッファリング(t 非保持)→ R 起動 → R が t を reveal → LSP が PTLC 解決

決定的違い: PTLC+adaptor signature 構成では LSP は t を知らないため「受信者の代わりに受け取る」ことが数学的に不可能 → 真の non-custodial前提: PTLC 対応チャネル(Taproot / ANYPREVOUT 相当)のネットワーク全体展開が未達(2025 年時点で実験段階)。

設計上のトレードオフ・依存関係

依存関係マップ
  • Async Payments ⊃ LSP(hold/webhook)⊃ LSPS5(Webhook 標準)
  • Async Payments ⊃ BOLT12(offer / invoice request / static invoice 基盤)⊃ Onion Messages(LSP-受信者間の非同期通知路)
  • Async Payments → PTLC(trustless 化の前提)→ Taproot Channels / ANYPREVOUT(PTLC 自体の前提)
  • Async Payments ⇔ Trampoline Routing(モバイル向け経路計算 offload との統合点)/ ⇔ Jamming 対策(hold 期間管理の経済設計が未統合)

研究課題・未解決問題

OP-1
Hold 期間中の Jamming 問題 — LSP/中間ノードが長期 HTLC を意図的保持し帯域を圧迫できる。upfront fee/reputation との統合設計が未完(短中期で研究進行中)。
OP-2
PTLC 依存(根本解の前提) — 真の non-custodial 化には PTLC のネットワーク全体展開が必須。Taproot Channels 段階展開に紐づき数年単位(長期)。
OP-3
ゼロ信頼 LSP モデル — 現行は LSP が支払いをブロック可能。「LSP を全く信頼しなくても安全に受け取れる」モデルは ZKP/MPC の組合せが必要で open problem。
OP-4
Hold 中の time-value pricing — 中間ノード資本ロックへの時間的コスト補償が未設計。LSP 経済設計への統合が中期課題。
OP-5
マルチホップ非同期(Inter-LSP 協調) — 送受信者が異なる LSP 配下の場合の HTLC hold 引き継ぎプロトコルが未確立。BLIP レベルの標準化は仕様未確定。
OP-6
形式検証の困難性 — PTLC ベース設計は受信者への支払い保証・LSP 横取り不可性・タイムロック整合性の形式証明が HTLC ベースより難しく、長期課題。

🎯 研究計画(plans/)との接続

この wiki の特徴は research(領域 synthesis)→ plans(研究計画)→ impl(再現実装) のゲート付きパイプライン。overview が ✅ に達したトピックだけが plans/ で action-oriented 計画(RQ・フェーズ・評価指標・投稿先)に進める。7トピック中フル計画が作成済みなのは Privacy・Cross-chain・Watchtowers、そして計画候補が最も厚いのが Jamming(21候補+旗艦4件)。

トピック研究計画状態投稿先実装状況
Jamming旗艦 F1(Fan-In 不可能性)+ 21候補(I〜VI 系)候補整理済S&P/CCS/AFT/FC 2027jam-ln シミュレータ拡張が候補
Privacyplan_gnn_privacy_defenseフル計画済FC / PETS 2026impl/privacy 3件は全て 📋 planned
Cross-chainplan_griefing_resistant_swap(GRB-Swap)フル計画済AFT 2026 / FC・S&P 2027未着手
Watchtowersplan_zkp_watchtowerフル計画済AFT 2026 / FC・S&P 2027impl/watchtowers は空
Virtual ChannelsVirtual Channel Grace Exit計画候補状態機械の試作が次段階
Taproot Assets(overview ✅、計画は未作成)overview のみ
Async Payments(overview ✅、計画は未作成)overview のみ
共通する構造的観察

7トピックを横断すると、繰り返し現れるボトルネックが見える:

  • ANYPREVOUT (BIP-118) 未マージ が Virtual Channels(Elmo 再帰化)・Watchtowers(O(1) 化)・Async(PTLC 展開)の3トピックで同時に律速している。
  • LSP の集中と信頼 が Jamming(Fan-In 限界)・Privacy(情報優位)・Async(custodial)・Taproot Assets(Universe 中央集権)で共通の懸念。
  • 「理論設計は緻密だが実装はこれから」 — フル計画済みの3トピックすべてで impl は planned/空。研究の次の一手は実証(コード・実験結果)にある。
  • PTLC / adaptor signature が Privacy(相関除去)・Cross-chain(scriptless swap)・Async(trustless)・Virtual Channels(Generalized Ch 基盤)を貫く技術的てこ。