Lightning Network のチャネル参加者は 常時オンラインでなければ古い state(残高が攻撃者に有利な過去 commitment)の不正放送を阻止できない。 Watchtower はこの「常時監視義務」を第三者にアウトソースする仕組み。 2019 年の PISA による accountability の概念化から、Cerberus の Bitcoin-native 化、 FPPW のプライバシー保護、Sleepy Channels の「watchtower 不要設計」、そして 2025 年の TEE Watchtower による残高検証まで、 4 世代の進化を一望する。
Lightning の penalty 機構は、相手 (counterparty) が古い state を放送した場合、被害者が dispute window(数百〜数千ブロック)以内に justice transaction を提出することで全資金を取り戻せる、という設計に依存する。 しかし被害者が オフライン中であれば、この dispute window を見逃し、攻撃者が古い残高分布で資金を奪取する。
LN の penalty 機構は 各更新ごとに新しい revocation secret を生成する。N 回更新したチャネルでは、watchtower は N 個の (txid → encrypted_blob) ペアを保持する必要がある。 これが commitment number ベースの監視の根本的非効率性であり、後述の eltoo(BIP-118)が deploy されれば O(1) に圧縮される。
各世代は前世代の限界を解消することを目指してきた。クリックすると詳細が表示される。
McCorry · Möser · Shahandashti · Hao AFT 2019 Ethereum native
PISA の検証ロジックは「ユーザーが提出した signed receipt が valid であれば custodian の collateral を削減する」というステートフルな更新を要求する。 これは Ethereum の任意状態遷移型コントラクトでは自然に実装できるが、Bitcoin の Script は covenant が制限的であり、過去の receipt 履歴を参照しながら collateral 残高を削減するロジックを実装できない。
Cerberus は collateral を各チャネルにオンチェーンで紐付ける方式に変更することで、Script のみで実装可能になった。
Avarikioti · Thyfronitis Litos · Wattenhofer FC 2020 Bitcoin Script only
→ GitHub: OrfeasLitos/cerberus-script で参考実装が公開されている
PISA は smart contract の状態更新が必要だったが、Cerberus は 各チャネルに対して個別の collateral TX を用意することで、 各 watchtower の義務を「その特定の TX の挙動」だけでチェックできるようにした。これにより複雑な状態遷移ロジックは不要になり、 timelock + multisig という Bitcoin Script の標準機能のみで実装できる。
Cerberus は watchtower がチャネルの資金分布を知る必要がある。これは PISA の state hash のみ受信するモデルからの後退であり、 Watchtower 運営者は通信から各チャネルの残高を学習できる。FPPW(次の世代)はこれを adaptor signature で解決する。
Mirzaei · Sakzad · Yu · Steinfeld FC 2021 Monash University
従来の watchtower は split TX(残高分布を記載した TX)を受け取る必要があり、それが残高漏洩の原因だった。 FPPW は adaptor signature を使い、watchtower は commit TX に紐づく adaptor signature だけを保持する。 breach が発生した際は、commit TX の publication が witness を露呈することで watchtower が justice TX を完成・提出できるが、 split TX の内容(残高)には一切アクセスしない。
FPPW は両当事者と watchtower の 3-of-3 multisig で collateral をロックする。これにより 2 者結託(例: Alice + WT)でも 残りの 1 者(Bob)を欺けない。これが α=1 公平性の源泉である。
Aumayr · Thyagarajan · Malavolta · Moreno-Sanchez · Maffei CCS 2022
チャネルクローズ TX が confirm されてから t ブロック以内に revocation TX を提出する必要がある。 「いつ閉じられるかわからない」ので常時監視必須。
絶対時刻 T (channel lifetime) を事前合意。T 以前であれば 任意のタイミングで revocation TX を提出できる。 T より前に 一度だけオンラインになれば十分。
T が長いほど capital がロックされる期間も長くなり、機会費用が増大。短い T はオフライン時の安全マージンを縮める。
Aumayr らは "delayed finality with punish" という UC モデルを定義し、Sleepy Channels の安全性を形式的に証明した。 これにより「Bitcoin 互換のあらゆる UTXO ベース暗号通貨で動作する」という主張の根拠となっている。
Bitcoin の CLTV が使えない Monero には VTS (Verifiable Timed Signature) を使った変形版を提案。 ただし VTS はより重い暗号プリミティブで、性能オーバーヘッドが大きい。
Singh · Little · Hayes · Fang et al. NDSS 2025 / arXiv Intel SGX
従来の watchtower は 古い state の検出・防止を担う。Singh らはこれを拡張し、 監査者・LSP・貸し手などの第三者が 「ノードが本当にこの残高を持っている」を改竄不可能に検証できる 仕組みを提案した。
TEE + zkTLS による継続的な残高証明。監査者は ネットワーク経由でリアルタイムにチャネル残高を検証できる。
残高に関する争議が発生したとき、最終的な決着は on-chain で行う。TEE の出力を直接 chain commit する必要はなく、off-chain では Hot で十分な設計分離。
TEE 内部で Bitcoin chain を直接検証する仕組み。operator が古い chain head を TEE に渡してリプレイ攻撃するのを防ぐ。 Enclave が直接 P2P でブロックヘッダを検証し、PoW チェーンの最長性を保証する。
「残高が X BTC 以上」という事実だけを正確な額を非公開で証明できる。LSP が借主の担保力を確認するシナリオで重要。 ZK Range Proof により額そのものは秘匿される。
Aumayr et al. CCS 2024 + Avarikioti et al. AFT 2024
Bribe & Fork (AFT 2024) は ~$125 という極めて低コストで feather fork を脅迫することで、マイナーに justice TX を censoring させる攻撃を示した。 CRAB (CCS 2024) はこれを Byzantine party + rational miner + offline victim の三者モデルに一般化した。
justice TX に動的に CPFP を適用してマイナーが含めるインセンティブを高める。anchor outputs と組み合わせる必要あり。
複数の独立 mining pool に直接 justice TX を私的中継する。pool concentration 問題と表裏一体。
penalty 機構を排除し、最新 state を最良と扱う。bribery 動機そのものを根絶する。BIP-118 待ち。
watchtower がリアルタイムで mempool 状況を監視し、censoring を検知したら他 pool に転送。
列ヘッダをクリックでソート可能。
| Protocol | Year | Venue | Bitcoin-compat | Storage | Balance Privacy | α-Fairness | β-Coverage | Incentive | Deployment |
|---|---|---|---|---|---|---|---|---|---|
| Monitor | 2016 | Whitepaper | ✓ | O(N) | ✗ | — | — | なし | concept |
| PISA | 2019 | AFT | Eth only | O(1) | state hash | ≥1/3 | 1/3 | collateral forfeit | research |
| lnd Altruist | 2019 | impl | ✓ | O(N) | encrypted blob | — | — | altruist (none) | production |
| Cerberus | 2020 | FC | ✓ | O(N) | ✗ | 1/3 | 1/3 | continuous fee | prototype |
| FPPW | 2021 | FC | ✓ | O(N) | weak (mid-state) | 1.0 | 1/2 | on breach | research |
| Sleepy Channels | 2022 | CCS | ✓ | N/A | N/A | N/A | N/A | peer-collateral | research |
| TEE Watchtower | 2025 | NDSS | ✓ | O(1) | range proof | 1.0 | 1.0 | SGX trust | prototype |
「Watchtower を信頼しない」原則を保ちつつ、Bitcoin 互換性とプライバシーを段階的に追加する系譜。
Watchtower 自体を排除する根本的設計変更。CSV → CLTV の置換と当事者間 collateral。
SGX による trustlessness の緩和。代わりに残高 verifiable 証明という新しい value を提供。
Watchtower 単独で防げない rational miner との相互作用。Watchtower 設計の根本前提を揺さぶる。
SIGHASH_ANYPREVOUT が deploy されれば watchtower のストレージが O(N) → O(1) に圧縮される。 Bitcoin community の合意形成が停滞しており、これがブロッキング要因。
lnd / eclair / ldk が独自プロトコルを実装しており、実装間の互換性なし。BOLT への組み込み議論は続いているが合意形成は未達。
報酬付き watchtower が breach の発生を故意に遅延・誘発するリスク。PISA の accountability でも完全には防げない。 評判 + staking + 監査メカニズムの統合設計が必要。
複数プロバイダーが品質・料金・評判で競争するマーケット。SLA の on-chain encoding と staking 要件設計が課題。
watchtower がチャネル残高を知らずに breach の validity を ZK 証明する設計。 プライバシー × 機能性両立。回路設計コストと proof generation の実用性が課題。
Spectre / Meltdown / cache-timing 系の対策が SGX 側の microcode 更新に依存している。 TEE 固有のリスクをソフトウェア層で緩和する設計の研究が必要。
中央集権的サービスではなく、Tor のような anonymity set を持つ P2P 監視ネットワーク。 参加者インセンティブと Byzantine 耐性の両立が鍵。
Watchtower は jamming / routing privacy / HTLC 管理と相互作用する。 統合的なセキュリティモデルとネットワーク全体の resilience 分析が必要。