スタート時から何回か取り上げているSteemですが、かなり大きな変更があり1年前ごろに書いた昔の記事の情報が完全に間違いになってしまっているので改めて最新の情報を書いておきます。

最後の記事からの動き

創設者が脱退

今年初めにSteemの創設者であるDaniel Larimerが開発チームから脱退しました。彼はBitSharesの創設者でもあって、去年の初めにBitSharesチームから抜け、今年はSteemからも抜け・・・ということになります。Steemからの脱退を発表したのは、「今後もうSteemには投稿もしません」と突然の謎の引退宣言をSteem上に投稿したのが最初であり、当時は物議を醸しましたが、その後訂正しチームからは抜けたものの現在も普通にユーザーとして記事をSteemに投稿しています。

脱退の理由はEOSという新しいスマートコントラクトプラットフォームの開発のためのようです。最近スケーラビリティ関連で悩まされている？Ethereumの対抗馬にもなるようなブロックチェーンであり、プラットフォーム系を昔から重点的に調べている身としては取り上げてみても面白いと思うのですが、流行のERC-20トークン(Ethereumトークン)を利用してICOを行う予定らしくICO紹介みたいになるのもなんだか癪なのでICO期間終了後(約1年後)にでも気が向いたら書くかもしれません。

Steemから脱退したからといってBitSharesほどは大きな影響はなさそうな感じで、現在も残った開発チームにより報酬変更などを行うハードフォークが頻繁に行われているようです。

仕様変更

ホワイトペーパーは現在の時点でまだ訂正されておらず、新規の人にとって現在の情報を見つけるのが非常に大変で問題な気がするのですが、去年の11月末に大きな変更が行われました。

インフレ率(通貨発行量)の変更

最初は年率100%(初年度はそれ以上)新規発行のハイパーインフレ通貨としてスタートしましたが、さすがに不評であったためか、インフレ率が9.5%/年と変更され、さらに0.95%/年になるまで毎年約0.5%インフレ率を低下させる根本的な仕様変更がなされました。超高インフレ率であったため、当初Steemには通貨単位を切り上げる株でいう「株式併合」、通貨でいう「デノミ」という暗号通貨の世界では前代未聞のイベントも予定されていたのですが、直接の言及はないもののそれも実質的には廃止となりそうです。

この変更により、SPではなくSTEEMで長期保有しているとほぼ確実に長期的には値下がりするという元々あった状況がなくなり、トレード目的でSTEEMを購入するのもアリということになりそうです。

SteemDataより

供給量を上図のsupplyを見ると分かりやすいです。去年の末ごろから供給量の伸びがほぼなくなっていることが分かると思います。なお、STEEM自体の供給量は、ユーザーによるSPやSMDなどシステム内の他の通貨との交換状況により変化するので、綺麗な曲線にはなっていません。

 SP→STEEMの変換期間の変更

Steemのハイパーインフレ以上にさらに詐欺っぽい要素が「毎週に1/104回しかSPからSTEEMに変換できない」ことでした。しかし、変更後は毎週1/13を変換でき、約3ヶ月ですべての動かせないSPを他のFiatやコインに変えられるSTEEMに変換可能ということになりました。

これによりSTEEMの流動性が大きく増加し、価格形成にも大きな影響が出たと考えられるので、ホワイトペーパーで書かれていた目標はどこに行ったの？など賛否両論あります。

これらの変更が実際にいい影響となるのか、あるいは悪影響となるのかは分かりませんが、少なくとも第一印象での怪しさは大分軽減されそうです。

その他の仕様変更

同時にその他にも報酬に関わる変更がいくつかなされています。11月末の変更以外にも、全体のエコシステムに関わる変更ではないものの新規登録に関する仕様や細かな報酬に関する変更が今月も含めてしばしば行われているようです。どのような仕組み・構造でどれぐらい報酬が、記事投稿者・コメント投稿者・投票者に配分されるかは、複雑で未だに理解できていないのでこちらも省略します。

今後どうなる？

SteemDataより

上図は投稿数の変化です。5月初めからのアルトコインバブルに合わせて投稿数が大きく増え、最近の伸びはかなり著しいものがあります。また数年後にどうなっているかは分かりませんが、最初期の滑り出しとしてはまあまあ上手くいっているのではないかという印象です。

今後のさらなる成長には、仕様上やはり暗号通貨そのものの世界への普及が大前提になってしまう感じはします。

Steemにも賛否両論があって、創設者のDaniel Larimerを含めてscamと呼ぶ人もいます。その指摘が真実かどうかは分かりませんが、現在のICOバブルにより実態があるかどうかもあやしいプロジェクトが多く存在している中にあっては、Steemスタートから1年以上たった今でも、ICO・トークンプラットフォームとか単純な通貨用途のブロックチェーン以外では、コンテンツとして実際に既に動いていてユーザーもついている非常に珍しいブロックチェーンであるため、個人的な評価はかなり上がっています。

なんでも実稼働には時間がかかるものだとは思いますが、ちゃんと動いているだけで評価できるという今の悲しい状況を早く脱してくれることを切に願いたいものですね。

今日は、ブロックチェーンではなくDAGを構造として用いる暗号通貨についての記事を書いていきます。

DAGとは

DAGとは・・・

有向非巡回グラフ、有向非循環グラフ、有向無閉路グラフ（ゆうこうひじゅんかいグラフ、英: Directed acyclic graph, DAG）とは、グラフ理論における閉路のない有向グラフの事。有向グラフは頂点と有向辺（方向を示す矢印付きの辺）からなり、辺は頂点同士をつなぐが、ある頂点 v から出発し、辺をたどり、頂点 v に戻ってこないのが有向非巡回グラフである。

wikipedia記事より

ということで、よく分からないと思うのでさらに要約すると以下のような図の構造のことをDAGと呼ぶようです。

ブロックチェーンでは、あるブロックに着目すると前と後ろに繋がるブロックが必ず一つでなくてはなりません。対してDAGでは、ブロックチェーンと同じように「向き」があるものの、あるブロックの前後には二つでも三つでも同時に繋がっていていいという特徴があります。

上図ではちょっと分かりにくいですが、単純な一本の直線状のブロックチェーンに対して、DAGは複数の細かい繊維が絡み合ってできた「糸」に例えることも可能です。（実際の糸とは違いDAGではそれぞれの繊維が繋がっています。）

ブロックという固定幅の容器を利用しなくてもよく（ブロックを利用するDAGコインの構想も存在します）、また、ブロックチェーンのような一本の直線状の構造でないことから、DAGはスケーリングに優れており、より多くのトランザクションを処理できる能力に長けているという特徴があります。

早速ですが応用例を見ていきましょう。

応用例

（参考）EthereumのGHOSTプロトコル

実は、Ethereumのブロックチェーンの構造はGHOSTというプロトコルに基づき、「DAG的」なものになっています。かなり制限されたかたちのものであるため、GHOSTの論文の中でDAGという言葉は直接使われていませんが、次の応用例で書いていくDagCoinやIOTAのなかでもDAGの一例として引用されています。

GHOSTプロトコルとは、短いブロックの生成時間・間隔でもセキュリティを高く保つために開発されたものです。一般論として、ブロック間隔が短すぎると最新の採掘ブロックの情報伝達のタイムラグの影響で、マイナーAが1秒前に正しいブロックを採掘できたのにも関わらず、その情報が伝わらないうちにマイナーBも正しいブロックを採掘し、結果的にマイナーAとマイナーBが同時に有効なブロックを採掘するというような状況が頻発します。この状況では一方のマイナーのブロックは孤立ブロック(orphan block)として認識され、全く無駄なものとなりチェーンが分岐することでネットワークのセキュリティ低下にもつながります。また、ハッシュレートの低いマイナーはブロックの生成確率が低いので、同時に孤立ブロックの生成確率がより高くなってしまい、マイニングに関する権限のさらなる集中化の要因の一つにもなっています。

Ethereum（GHOSTプロトコル）では、このような問題を解消するために、同時に採掘された孤立ブロック（Ethereumではuncle blockと呼ばれる）にも採掘者に報酬を与え、uncle blockが完全に無効なものとはならず、有効なブロックチェーン（メインチェーン）を決定する要素の一つとしてブロックチェーンに組み込まれます。Ethereumではビットコインのように単なる「最も長いチェーン」ではなく「最も重いチェーン」がメインチェーンになります。重いというのはより多くのuncle blockがぶら下がっているチェーンという意味です。

uncle blockはブロックの前後には複数のブロックが連なっていてもいいというまさにDAG的なものですが、uncle block内の取引自体は考慮されず、メインチェーンの決定論理とマイナーへの報酬以外に使用はされていないので、あくまでも本質的な構造は枝分かれのない一本のブロックチェーンであることに変わりはなく、普通EthereumをDAG構造のチェーンと見なすことはありません。

ちなみにGHOSTプロトコルの開発者であるAviv ZoharとYonathan SompolinskyによりSPECTREというまさにDAGベースのブロックチェーンも提唱されています。

※EthereumではPoWアルゴリズムEthashにも同じDAGが使われていますが、ブロックチェーン構造の話とは異なるので省略します。

（構想のみ）DagCoin

恐らくインターネット上で最初に構想が発表されたDAG構造の暗号通貨は、Rootstockの現技術者で最近はASICBOOSTの発明者の一人としても有名でSegwit2MB関連でもしばしば名前が出てくるSergio Demian Lernerが、2015年9月に発表したDagCoinと呼ばれるコインです。

ホワイトペーパーのなかでは、DAGチェーンがまとまらずに「発散」してしまう危険性を最も重要視しその対策を中心に記述されていますが、その他の詳細についてはあまり書かれておらず、ホワイトペーパーによる構想のみにとどまっています。

そして、どれだけ影響を受けたのか、あるいは全く参考にはされていないのかは不明ですが、DagCoinとかなり似た仕組みで発表され現在既に稼働されているのが次のIOTAです。

IOTA

IOTAはInternet of Things（モノのインターネット）産業における暗号通貨として開発、2016年7月にチェーンがスタートして、マイクロペイメント（少額決済）に特化するということを中心の目標としています。マイクロペイメント特化ということで、送金手数料が無料なことが最大の特徴です。

構造は上図を見ていただければお分かりかと思います。DAGの構造をしており、ブロックではなくトランザクション一つ一つが四角で表現されていて、ビットコインのようなブロックサイズの概念がないため、理論上は無限の量のトランザクションを処理することが可能です。

IOTAにおいてDAG構造のことは「Tangle」と呼ばれています。IOTAでは、「トランザクションは前の二つのトランザクションを参照していなければならない」という原則が定められており、この原則によりTangleが生成されています。

取引手数料が無料であるというのが最大の特徴ですが、その理由はビットコインのように取引の承認者である特定の採掘者グループというものが存在せず、利用者一人一人が採掘者（＝取引の承認者）であることから来ています。まずトランザクションの生成時には先述のように前の二つのトランザクションを参照（承認）することが必要です。この承認時の作業にまさにビットコインの採掘時と同じように暗号学的な計算、つまりプルーフ・オブ・ワークを行います。Tangleのスタート時にすべてのIOTAトークンが生成されているので、採掘報酬などは一切ありません（ICO時にトークンの分配が完了しています。）。

なお、ほとんどの暗号通貨で取引手数料が導入されている最大の理由が、ネットワークへのスパム攻撃の防止であり、スパム攻撃を危惧する人も多いかもしれません。手数料が無ければノーコストで攻撃し放題という訳です。IOTAでは、そもそものトランザクションの生成条件が、前の二つのトランザクションを承認しなければならない、ということになっているため、スパム攻撃にはPoWが必要となりますし、逆にネットワーク上の未承認の取引を迅速に承認させるための有益な行為にもなるという面白い仕組みになっています。関連して、ネットワークへの参加者が増えれば増えるほど、よりネットワーク自体も高速化し強固なものになっていきます。

ちなみに、IOTAでは（おそらく暗号通貨の中で初めて？）既に量子コンピュータ耐性のWinternitz署名という署名方式が導入されています。将来を見据えた実装といえますが、Winternitz署名においては基本的にアドレスが使い捨てであり、同じアドレスを使用し続けていると徐々に秘密鍵が解読されるリスクが上がってしまうという、プライバシーどころではない危険性があるので注意が必要です。

IOTAのような新しいDAG構造では、いかにして二重支払いを防ぐか、DAGチェーンの分岐・分裂を防ぐかという課題が最重要になるわけですが、まだ完全には理解できておらずホワイトペーパーに書かれていない対応もあるようですし、かなり長くなってしまいそうなこともあるのでここでは省略します。気になる方はホワイトペーパーなどを参照してください。

Byteball

IOTAに続いて2016年12月にチェーンがスタートしたのがbyteballです。マイクロペイメント特化のIOTAに対してなんでもできるのがbyteballで、現在はウォレットには実装されていないものの、任意のデータを埋め込んだり、トークンを各自で発行できたり、幅広いスマートコントラクトプラットフォームを目指しています。匿名送金の機能も既に実装されており、blackbytesという基軸通貨のbytesとは異なる匿名トークンが配布されています。

構造的には上図のとおりIOTAと同じDAGですが、PoWとDAGを組み合わせたDagCoin→IOTAの流れとは異なり、byteballではPoWが利用されず12人のwitnessという役割のノードが生成した「メインチェーン」をもとにトランザクションに「重み」を付け、二重支払いを防いでいます。witnessによる安定したメインチェーンをもとにすべてのトランザクションが有効かどうか決定されるため、（恐らく悪意を持ったwitnessからの攻撃が成功する場合以外には？）DAGチェーンが再構成されて過去の確認されたトランザクションが改変されてしまうという可能性がゼロであり、一度確認された後になかったことになる可能性もゼロで、ビットコインのようないわゆる確率論的なファイナリティの問題（何確認待っても100%取引が覆されないとは言えない）が発生しないとされています。

byteballのwitnessはBitSharesのDPOSにおける20人前後のwitnessと同じく、ほとんどが善意のwitnessであることをもとに設置されており、何人かが悪意を持っていたとしてもチェーンへの攻撃を防げるほど十分多く、また利用者一人一人がwitnessを評価できるほど十分少ない数ということで、12人が選ばれています。こちらもDPOSと同じくwitnessは自らのプロフィールを公開し選挙のように選ばれ、利用者が不適切と判断すればwitnessから外すことが可能です（ただしDPOSではないので、投票権が基軸トークンのbytesに応じて割り当てられているわけではなく、RippleのValidatorに似ているイメージのように思います。）。

byteballでは取引手数料が当然かかり、取引データ1バイトあたり1byteトークンを支払わなければなりません。支払った手数料はwitnessが報酬として受け取ることになります。

最後に

ということで、DAGコインについて紹介していきました。確かにスケーリングに優れており、ビットコインのようなブロックサイズ問題に悩まされずに済むというのは大きな利点でしょう。

ただし、まだまだ新しく専門的な検証もそこまでされているのか分からず、チェーンのセキュリティはホワイトペーパーどおりにいくのか数十年単位で見た時には未知数ですし、IOTAではつい最近までまともに送金もできない状況であったりうまく分散化をすすめられるか（現在は黎明期であるためにいくつか中央集権的な仕組みを導入しているようです）等の課題もありますし、byteballにはwitnessのシステムの信頼性の他にも取引手数料の単価が固定されていることで、今後投機により価格が高騰した際に実用性に耐えうるか（ホワイトペーパーの中で価格の安定化も述べられていますが個人的には納得できない）などの不安点もあります。

参考サイト

https://eprint.iacr.org/2013/881.pdf

DagCoin: a cryptocurrency without blocks | Bitslog

https://iota.org/IOTA_Whitepaper.pdf

https://byteball.org/Byteball.pdf

ビットコインのETFが非承認になって、とりあえずしばらくの間はスケーラビリティ問題に話題が移りそうです。ということで、Bitcoin UnlmitedとCoreの対立についての簡単なまとめと私見を書いておきます。

Bitcoin Unlimited

Bitcoin Unlimitedとは、ビットコインのブロックサイズ上限1MBを撤廃して、ダイナミック（可変的）にブロックサイズを決定しようとするソフトウェアのバージョンです。「公式」のソフトウェアはBitcoin Coreと呼ばれており、その開発チームとは別の人々によって立ち上げられました。

現在のビットコインのブロックは、もうだいぶ前から1MB上限に達しており、最近は特に混雑具合が増して必要手数料が増大する状況になっているので、すぐにでもブロックサイズを上げなければならないという観点等から主にBitcoin Unlimitedの支持者が増えています。

現在はSegwitをソフトフォークによって実装するプロセスが実行中ですが、Bitcoin UnlimitedはSegwitに否定的であるというのが特徴です。その理由は、ソフトフォークはハードフォークよりも複雑だとか、Segwitやその後のLightening Networkによりマイナーの手数料が減るとか、SegwitはBlockstream社（サイドチェーンなどを開発するCore開発者の何人かが所属するブロックチェーンの開発企業）の商品でSegwitが実装されればBitcoinはよりBlockstream Coinになってしまうとか様々なことが言われています。

正直なところ個人的にはSegwitの否定的な意見に納得できるところはほとんどなく、政治的な道具になってしまっているという印象です。

また、Bitcoin Unlimitedは技術的にも以下のような危険性が指摘されています。

Bitcoin Unlimitedの設計哲学「突発的コンセンサス」が危険な理由 | ビットコインの最新情報 BTCN｜ビットコインニュース

この件を含め、開発チームの開発力にも疑問があり、公開の定例ミーティングなども一切やっておらず、Coreの開発チームと比べると相当レベルが下がるのではないかという印象です。

そんなわけで、ダイナミックなブロックサイズ変更という根本思想一点には賛同できますし、Coreは現状を見ていますぐブロックサイズを上げるべきと感じます。ただし、Bitcoin Unlimitedにはその他で納得できるところがほとんどないので、Coreのほうが好ましいと思っています（日本には「Unlimited派」の人がほとんどいない気がするので、意見を発信してくれると面白い。）。

Segwitも持ち上げられすぎ？

同時に感じているのがSegwitが持ち上げられすぎではないかということです。「Core派」の中には、Segwitによりブロックサイズ上限が実質的に約2MBまで上昇するので、ハードフォークによってサイズ上限を引き上げるのと同じ効果だから、とりあえず賛成に回れという人もいますが、実質的に約2MBというと（当ブログ記事でも過去に書いてしまいましたが）語弊がある表現になってしまうかもしれません。

というのもSegwitを利用するには新しいアドレス形式（マルチシグネチャと同じ3からはじまるアドレス）を利用しなくてはならないからです。Segwit実装後も、もしすべての取引が現在の1からはじまる普通のアドレスや3からはじまるマルチシグネチャアドレスのみから行われれば、ブロックサイズ上限は1MBのままです。

一般のユーザーがSegwitの新しいアドレス形式を理解して、広く使われるようになるにはかなり長い時間がかかるものと思われます。このため、Segwitが実装されたらすぐに手数料が元に戻って安くなるというのは楽観的すぎる見方かと思います。

また、Segwitはトランザクション展性を根本的に修正するのが主目的ともいえるものですが、同様に新しいSegwitアドレスを利用しなければ全く意味がありません。今までの1からはじまるアドレスには引き続きトランザクション展性が存在し、何回かソフトフォークによって修正対応はされており「Segwit待ち」のソフトフォークによる修正計画（BIP146）も現在あるのですが、今後も新たな脆弱性が見つかった場合には都度修正する必要があります。

UASF

さらに最近もう一つ話題になっている「UASF」というものがあります。これは、User-Activated Soft Forkの略です。そのまま訳すと「ユーザー主導のソフトフォーク」的な意味になり、語感から言うとノードの賛成比率からソフトフォークを実行するの？と勘違いされがちですが、全く違います。

別の言い方として「Flag-day soft fork」と言われることがあり、こちらのほうがより正確です。要するに、特定の日になったらマイナーのハッシュレートにもノードのアップグレード率にも関係なく強制的にソフトフォークをしようとするものです。マイナーのSegwit賛成率がなかなか上がらないので、ユーザーが賛成すればSegwitを実装できるようにしてしまおうという考えが背景にあります。

このUASFは、なぜかCore派の代表的主張として取り上げられることが多いのですが、最初の発端は「shaolinfry」という匿名の人物がビットコイン開発チームのメーリングリスト及びbitcointalkに投稿したことであり、Coreの開発チームから話が出たわけでは全くありません。

実際的にUASFについては、Coreの開発チームはほとんど無反応という感じです。「Core開発者」の範囲をどこまで広げるかにもよるのですが、広い範囲でいうと正直誰がそうなのかほとんど把握していないので、IRCの定例ミーティングに毎回出席しているような「コアな」Core開発者に限って言うと、Luke-jrが低いマイナーのハッシュレート下では実質的にハードフォークとなる危険性を指摘し、75%程度のハッシュレートを必要条件としたほうが良いという提案（＝つまり今のBIP9ソフトフォークの閾値を下げるだけ？）をメーリングリストやredditでしています。その他、gmaxwellが「興味深い提案だけど、何か意見を言うのは時期尚早。いろんな意見が出るのはいいこと。」とredditで発言するにとどまっています。

その他、「Core派」の普通のユーザーの中にもUASFによるフォークの危険性を指摘する人が多くいて、本当に本気でUASFを実行したいと考えている人が多いのかは疑問です。

また、実はUASFの考えは新しいものではなく、Nakamoto Satoshiが開発していた時代のソフトフォークは、まさに特定の日が来たら強制ソフトフォークを実行するというUASFとほぼ同じ考え（UASFはBIP9のソフトフォークプロセスを前提としているので厳密に言えば違います）のものでした。

その後、安全性・安定性の観点からBIP16でハッシュレート55%を閾値とし、BIP34でFlag dayを撤廃したうえでハッシュレート75%を閾値とし、さらにBIP65,BIP66では95%を閾値として、現在のBIP9の複数段階のソフトフォークプロセスに移行してきたという経緯があります。正直なところ、過去の仕様に戻すようなUASFがなぜこんなに話題になっているのか謎ですし、Coreの開発者たちの思想からいって実際に行われる可能性は限りなく低いのではないかと思います。

あったとしても、急進的な別グループがUnlimitedと同じような感じでフォーク版を作るということにしかならない気がします。

最も良い今後のシナリオは？

Bitcoin UnlimitedがCore側と和解してSegwitも採用というのが万々歳な未来ですが、今の状況を見ているとなかなか一筋縄ではいかなさそうです。よくCore側とUnlimited側が決裂してハードフォークというのが最悪なシナリオと言われますし最近まで自分もそう思っていましたが、むしろ膠着状態のまま何もできないのが最悪なのでは？という気がしています。

もしUnlimited側がハードフォークすれば、（中立の立場のマイニングプールがいないという条件のもとでは）Core側のチェーンにSegwit反対派がいなくなるため95%を自動的に達成し、CoreチェーンにSegwitが実装されることになります。同じ理屈で、Unlimited側でハードフォークを意図的に行わなくても、低いSegwit賛成率では危険なので難しいですが、もし90%程度まで達するのであれば、Unlimitedブロックを無効なものとCore側のマイナーが判定することで、強制的に95%へもっていくことも可能です。

実際にハードフォークが行われれば、ハッシュレートの低い方のチェーンは消え去るというある意味楽観論もありますが、やはりETHとETCの例を見ていても二つとも少なくとも短期的には生き残るのではないかと思います。ハードフォークにより価格は恐らく大暴落するでしょうし、ETHとBTCはさすがに規模が違うので取引所の対応やユーザーの対応はとんでもなく大変になるでしょうが、このまま何年も膠着状態を続けるくらいなら、いっそ長期的に見れば早く（Unlimited側が）ハードフォークしてくれたほうが良いのでは？というお話しでした。

参考サイト

[bitcoin-dev] Moving towards user activated soft fork activation

Version bits extension with user defined activation · GitHub