BTC とは何か#
私がこのホワイトペーパーを読む前は、ビットコインは一連のコードであり、そのコードが 1 ビットコインを表していると自然に考えていました。しかし、実際にはそうではありません。ビットコインのシステム全体において、ビットコインを指すための特別な概念は存在しません。
ホワイトペーパーには次のように記載されています:
We define an electronic coin as a chain of digital signatures.
我々は電子コインを一連のデジタル署名として定義します。
ここを最初に読んだとき、確かに 1 ビットコインは 1 つのデジタル署名に等しいと考えやすいです。その後に来るのは大きな疑問です:では、0.1 BTC はどう表現するのでしょうか?
その後の「9. Combining and Splitting Value」章では次のように述べられています:
Although it would be possible to handle coins individually, it would be unwieldy to make a separate transaction for every cent in a transfer. To allow value to be split and combined, transactions contain multiple inputs and outputs. Normally there will be either a single input from a larger previous transaction or multiple inputs combining smaller amounts, and at most two outputs: one for the payment, and one returning the change, if any, back to the sender.
個々のコインを個別に処理することは可能ですが、送金のたびに毎セントごとに別々の取引を行うのは不便です。価値を分割および結合できるようにするために、取引には複数の入力と出力が含まれます。通常、より大きな以前の取引からの単一の入力か、複数の小額を結合した入力があり、最大で 2 つの出力があります:1 つは支払い用、もう 1 つはお釣り(あれば)を送信者に返すためのものです。
ブロックチェーンシステム全体では、保存されているのは取引記録のみであり、ビットコインは単なる計量単位として機能し、取引記録を単位としてどれだけの BTC が移転されたかを記録します。ウォレットアドレスは、BTC 自体ではなく、ブロックチェーン内の取引記録に対応しています。
取引の発起におけるプロセスはどうなっているか#
「2. Transaction」では、原文は次のようになります。
We define an electronic coin as a chain of digital signatures. Each owner transfers the coin to the next by digitally signing a hash of the previous transaction and the public key of the next owner and adding these to the end of the coin. A payee can verify the signatures to verify the chain of ownership.
我々は電子コインを一連のデジタル署名として定義します。各所有者は、前の取引のハッシュと次の所有者の公開鍵にデジタル署名を行い、これらを電子コインの末尾に追加することで、コインを次の所有者に移転します。受取人は、署名を検証することで所有権の連鎖を確認できます。
先ほど述べた BTC の定義に従うと:BTC は単なる計量単位であり、実際にブロックチェーン上に保存されているのは取引記録です。
例を挙げて説明します:
私のウォレットアドレスの下には、次の 3 つの取引記録があります:
- 私のアドレスに 0.6 BTC を送金。
- 私のアドレスに 0.8 BTC を送金。
- 私のアドレスに 0.3 BTC を送金。
これら 3 つの取引記録は、私のアドレスに 1.7 BTC があることを示しています。今、私は友人 B に 1.5 BTC を送信する必要があります。
まず、この取引の入力は、私が所有する 3 つの取引記録です(1.5 BTC には 3 つの取引記録が必要です)。
したがって、取引が発生する際に最初に行うことは、私の秘密鍵を使ってこれら 3 つの取引記録の後ろにあるデジタル署名を照合し、これらの取引記録が私のものであることを証明することです。それから取引を開始します。
次に、前回の取引のハッシュは、3 つの取引記録に対応する 3 つのハッシュ値を指します。
そして、今回の取引の出力は 2 つの取引記録になります:
- 友人のアドレスに 1.5 BTC を送金
- 私のアドレスに 0.2 BTC を送金(お釣り)
この 2 つの取引記録の最後は次のようになります:
- 3 つの取引記録のハッシュ値 + 友人 B の公開鍵を計算して得られたデジタル署名を 1.5 BTC の取引記録の最後に添付します。
- 3 つの取引記録のハッシュ値 + 自分の公開鍵を計算して得られたデジタル署名を 0.2 BTC の取引記録の最後に添付します。
これで 1 回の送金が完了し、1 つの取引記録の所有権が友人 B に移転され、もう 1 つのお釣りが自分のところに戻ります。所有権の検証も、秘密鍵を使って解読して確認するだけで済みます。これが BTC 送金が発生する際の出来事です。
二重送金を避けるには?#
二重送金とは何か?例を挙げて説明します:
今、私は 10 BTC を持っていて、友人 B に 8 BTC を送信し、友人 C に 9 BTC を送信するつもりです。そこで、私は上記の取引の流れに従って、2 回の取引を構築し、同時にこの取引を発起しました。私たちは BTC が自分のものであるかどうかを簡単に検証できますが、送信者が同時に別の人にこれらの BTC を送信したいと思っているかどうかを保証することはできません。
問題が発生する理由は、B と C が私の言葉を無条件に信じ、B と C の間で情報が共有されず、取引が発生する順序が誰が先で誰が後かを理解できないからです。
現実の問題解決策は、第三者機関を導入することです。銀行のような役割です。B と C はこの機関が発起した送金だけを信じ、私もこの機関に送金の要求を行うことしかできません。すべての送金行為が中央機関を通じて行われる必要があるため、情報の不通の問題は存在せず、機関は私がいくら持っているか、どれだけ送金できるかを知っており、私が勝手に二重送金を発起することはできません。また、すべての送金の発生順序を整理することもできます。
しかし、問題は、導入された第三者機関を完全に信頼する必要があることです。信頼は監視が難しい行為であり、上記の例では、私と第三者機関が共謀しているかどうかを保証することはできません。現実には、多くの手続きやプロセスが人々にこれらの第三者機関を信頼させようとしますが、結局のところ、プロセスに人が関与している限り、不正行為は避けられず、時間の問題です。
BTC が目指しているのは、この第三者機関を排除し、コードによって第三者の信頼を必要とせず、安全な取引システムを設計することです。
「タイムスタンプサーバー」#
最初の措置は、タイムスタンプサーバーのような設計を実現することです。新聞のように、時間と具体的なイベントを記録し、すべての取引が発生した順序を示します。
ブロック内では、BTC のブロックにタイムスタンプが追加され、すべてのブロックがハッシュ値でリンクされています。
ハッシュ値は次のように計算されます:前のブロックのハッシュ + このブロックのデータ = このブロックのハッシュ。取引を記録するための各ブロックは、ハッシュ値でリンクされていると考えることができます。これがブロックチェーンと呼ばれる理由です。
この計算方法では、ハッシュの値は前のハッシュの具体的な値に依存します。
共通の合意は、ハッシュアルゴリズムの入力値がわずかに変更されると、最終的に計算される値が完全に異なるということです。
では、最初のブロックを変更しようとすると、全体のハッシュ値が大きく変化します。そのため、2 番目のブロックに対応するハッシュ値は完全に一致しなくなります。最初のブロックを成功裏に改ざんするためには、2 番目のブロックを再計算する必要があります。これを繰り返します。削除や履歴の変更を希望する場合、すべてのブロックのデータを更新する必要があります。
新しいブロックが追加されるたびに、前のすべてのブロックの変更不可能性が強化され、時間の順序が保証されます。
「プルーフ・オブ・ワーク」#
BTC の作業証明メカニズムです。各マイナーは、自分が新しいブロックに書き込む権利を得るために相当な計算能力を費やしています。作業証明を提供した後、ノード(マイナー)は新しいブロックに内容を書く権利を得ます。
作業証明を提供するにはどうすればよいのでしょうか?BTC は次のように設計されています:
各ブロックは次の部分で構成されています:
- 前のブロックのハッシュ値(prev hash)
- 現在のブロックのすべての取引データ(実際には Merkle Root を保存する必要があります)
- タイムスタンプ
- 難易度目標(作業証明でハッシュ値に必要な先頭の 0 の数を決定します)
- ランダム数(nonce)
ここで、マイナーが唯一知らない内容は「ランダム数(nonce)」です。この nonce 値がいわゆる「作業証明」です。
「プルーフ・オブ・ワーク」では、マイナーは次のような数学の問題を解決する必要があります:ランダム数以外のすべての内容から計算されたハッシュ値がわかっているとき、nonce がいくつであればハッシュ値の先頭 n 桁が 0 になり、残りの数字が以前のハッシュ値になるかを計算します。n の具体的な桁数は、難易度目標によって決まります。
難易度目標がどのように生成されるかについては、資料を調べましたが、まだ理解できていません。ただ、この難易度目標はネットワークの現在のブロック生成の難易度に基づいて動的に調整されることだけは知っています。
nonce の値がコンピュータによって計算されると、これはノードの「作業証明」として使用でき、ノードは新しいブロックに書き込む権利を証明します。ブロックに書き込んだ後、すべてのノードにブロードキャストします。nonce の値を計算することは非常に困難ですが、この値が正しいかどうかを検証するのは非常に簡単です。他のノードは、代入して計算し、期待される値と一致するかどうかを確認するだけです。
nonce を計算することはコンピュータにとって簡単なことではなく、結果を算出するためには相当な計算能力が必要です。したがって、前述の「タイムスタンプサーバー」と組み合わせると、誰かがブロックを変更したい場合、この nonce の計算は避けられません。
ブロックの履歴を変更したい場合、関与するすべてのブロックの nonce をすべて計算するために相当な計算能力を準備する必要があります。時間が経つにつれて、難易度目標はますます高くなり、後続の計算の難易度も高くなり、ブロックが増えるほど、履歴の改ざんが難しくなります。
「ネットワーク」#
新しい取引はすべてのノードにブロードキャストされます。
各ノードは新しい取引をブロックに集めます。
各ノードは自分のブロックのために難しい作業証明を見つけるために作業します。
ノードが作業証明を見つけると、そのブロックをすべてのノードにブロードキャストします。
ノードは、すべての取引が有効であり、すでに使用されていない場合にのみ、そのブロックを受け入れます。
ノードは、受け入れたブロックのハッシュを前のハッシュとして使用して、チェーンの次のブロックを作成することによって、そのブロックの受け入れを表明します。
新しい取引がすべてのノードにブロードキャストされます。
各ノードは新しい取引をブロックに集めます。
各ノードは自分のブロックのために難しい作業証明を見つけようとします。
あるノードが作業証明を見つけると、そのブロックをすべてのノードにブロードキャストします。
ノードは、ブロック内のすべての取引が有効であり、未使用である場合にのみ、そのブロックを受け入れます。
ノードは、受け入れたブロックのハッシュを前のハッシュとして使用して次のブロックを作成することによって、そのブロックの受け入れを表明します。
ノードは常に最長のチェーンを正しいものと見なし、それを拡張するために作業を続けます。もし 2 つのノードが次のブロックの異なるバージョンを同時にブロードキャストした場合、一部のノードは最初に 1 つまたは他のものを受け取るかもしれません。その場合、彼らは最初に受け取ったものに基づいて作業しますが、他のブランチを保存しておき、長くなる場合に備えます。次の作業証明が見つかり、1 つのブランチが長くなると、タイが破られ、他のブランチで作業していたノードは長い方に切り替えます。
ノードは常に最長のチェーンを正しいものと見なし、それを拡張するために作業を続けます。もし 2 つのノードが次のブロックの異なるバージョンを同時にブロードキャストした場合、一部のノードは最初に 1 つまたは他のものを受け取るかもしれません。その場合、彼らは最初に受け取ったものに基づいて作業しますが、他のブランチを保存しておき、長くなる場合に備えます。次の作業証明が見つかり、1 つのブランチが長くなると、タイが破られ、他のブランチで作業していたノードは長い方に切り替えます。
以上の点を考慮すると、二重送金の問題は解決されます。
- もし私が同時に 2 つの取引を発起して二重送金を試みると、作業証明 + タイムスタンプサービスの設計により、取引が時間順に形成され、すべてのノードにブロードキャストされます。順序が二重送金を完了できないことを保証します。
- もし私が異なる地理的位置から二重送金を試みると、作業証明の難易度により、ノードが同時に 2 つの取引を完了することが非常に難しくなります。
- たとえ本当に 2 つの異なる場所にいるノードが同時にこの 2 つの取引をブロックに書き込んだとしても、BTC はフォークを発生させ、フォークが長くなるまで短い方を置き換えます。これにより、2 つの取引のうち 1 つだけが成功することが保証されます。
まとめ#
二重支払い問題とは、同じビットコインが 2 回支払われることを指します。ビットコインは作業証明と最長チェーンの原則を通じてこの問題を解決します。新しい取引がネットワークにブロードキャストされると、マイナーはそれをブロックにパッケージ化し、作業証明を見つけて難易度要件を満たすハッシュ値を見つけ、ブロックをブロックチェーンに追加します。
もし 2 つの取引が同じ UTXO を消費しようとした場合、最初にブロックに含まれる取引だけが有効であり、もう 1 つの取引は UTXO がすでに消費されているため無効になります。最長チェーンの原則は、ネットワーク全体が合意に達することを保証し、二重支払いを防ぎます。
マークルツリー#
前述のマークルツリーについてです。ディスクスペースを節約する必要がある場合、ノードのブロックストレージは具体的なデータを保存する必要はありません。ブロック内のすべての取引のハッシュをマークルツリーの形式で、2 つずつ計算してルートハッシュを得るだけで、データを保存する必要はなく、ルートハッシュを使用してデータの整合性を検証できます。
たとえ私たちがブロック上の特定の取引を検証したい場合でも、このブロックヘッダーを持ってネットワークノード上の他のデータを保存しているノードを探し、そのデータ上で最長のチェーンノードに対応するデータを見つけることで、自分の取引を検証できます。
最初の BTC はどこから来たのか?#
特別なブロックがあります。それは、どのブロックにもリンクされていないハッシュを持つ創世ブロックです。この創世ブロックの中で最初の BTC が誕生し、50 BTC が存在します。
以前に述べた「プルーフ・オブ・ワーク」では、各マイナーノードがブロックに書き込む権利を得るために全力で計算しています。
まず、PoW を求めるマイナーは、ブロック報酬を得ます。最初は 1 ブロックあたり 50 BTC の報酬があり、その後 4 年ごとに半減します。2100 万 BTC が掘り出されるまで続きます。これがマイニングの由来であり、BTC の主要な供給源でもあります。
ビットコインのブロック報酬は約 210,000 ブロック(約 4 年ごと)ごとに半減します。この設計は、ビットコインの総供給量を制御するためのものです。
- 第一次半減(2012 年):報酬が 50 ビットコインから 25 ビットコインに減少。
- 第二次半減(2016 年):報酬が 25 ビットコインから 12.5 ビットコインに減少。
- 第三次半減(2020 年):報酬が 12.5 ビットコインから 6.25 ビットコインに減少。
- 今後の半減も続き、すべての 2100 万ビットコインが掘り出されるまで続きます。
次に、PoW を求めたマイナーは、各取引のガスを受け取る権利も持ちます。マイナーの主な収入源はマイニングとガスです。
ウォレットについて#
実際には、ウォレットに保存されているのはビットコインではなく、ビットコインの取引記録(UTXO)です。自分のアドレスにいくらお金があるかを知りたい場合、実際にはブロックチェーン全体を遍歴し、自分に関連するすべての UTXO を見つけてデータを合計する必要があります。
この操作はかなり遅いように聞こえますが、実際の操作では、大部分のウォレットソフトウェアがメモリとインデックスを利用していくつかの最適化を行い、クエリ速度を向上させています。具体的な実装方法には、ブルームフィルター、アドレスインデックスなどの技術が含まれます。
1 つのブロックには実際に複数の取引があるのか?#
その通りです。
取引はすぐにブロックに書き込まれるわけではなく、受信されてブロードキャストされた後、最初にメモリプール(mempool)に置かれます。
その後、マイナーはメモリプールから取引を選択してパッケージ化し、ハッシュを計算し、nonce 値を計算して作業証明(Proof-of-Work)を得る作業を開始します。
もしマイナーが望み通りに nonce 値を見つけた場合、これらの取引は確認され、ブロックに書き込まれます。