カルダノ分岐インシデントの「教訓と次の一手」――チャールズ・ホスキンソンが語る、技術とガバナンスのアップグレード計画
先日、カルダノネットワークで発生した「チェーン分岐」インシデントについて、
チャールズ・ホスキンソン氏がロングメッセージ動画で詳細な解説と今後の方針を語りました。
この動画のポイントは、
「何が起きたのか」を説明するだけでなく、
- どう防ぐか(Prevent)
- どう気づくか(Detect)
- どう直すか(Fix)
という3つの視点から、2026年に向けてカルダノをどうアップグレードしていくかを具体的に示しているところにあります。
1. 何が起きたのか:一時的に「歴史が2本」走ったカルダノ
事件の構図はシンプルです。
- もともとチェーンは1本だけ走っていた
- あるトランザクションが投入された
- それをきっかけに、歴史が2本に分岐
- しばらく「並行する2つの歴史」が並走
- やがて片方が選ばれ、ふたたび1本に戻る
ここで重要なのは、「ハードフォーク」や「完全なコンセンサス崩壊」ではなく、
自己修復可能なソフトフォーク的な状態になり、
プロトコルの仕様どおりに「長いほうのチェーンに収束して自動回復した」という点です。
ビットコインでも、マイニング競合による「孤立ブロック(オーファン)」は3,000回以上発生してきました。
今回カルダノで起きたのも、その延長線上にある現象ですが、
深さが大きく、ブリッジ・取引所・DeFiなどにとっては非常に危険な状態になります。
なぜかというと、その間は事実上「ADAが2セット存在する」ような世界になるからです。
一方の歴史でもADAが使え、もう一方の歴史でもADAが使えるので、
グローバルにはダブルスペンドに近いリスクが発生します。
チェーンがひとつに戻った時点で、片側の歴史は「なかったこと」になり、
その側のトランザクションはすべて孤立します。
2. Prevent・Detect・Fixの3本柱
チャールズが動画全体を通じて強調したのは、次の3つのキーワードです。
- Prevent(防ぐ)
- Detect(検知する)
- Fix(修復する)
今回のインシデントは「Fix」においては、
Ouroborosとナカモト型コンセンサスの設計が想定どおり機能し、
「自己修復した」という意味で成功でした。
しかし、
- そもそもバグが2022年から潜んでいたこと(Preventの問題)
- そしてもっと早く・体系的に検知する仕組みがなかったこと(Detectの問題)
この2点については、改善の余地が大きいと認めています。
3. Prevent:カルダノ流「ウォーターフォール+形式手法」の強みと弱み
カルダノ開発は、他チェーンと比べて「遅い」とよく言われます。
その背景にあるのが、チャールズが説明したこの流れです。
- 論文・ホワイトペーパー(科学・理論)
- 形式的なブループリント(形式手法で仕様を記述)
- 実装(ビルド)
- デプロイとテスト
かなりウォーターフォール寄りで、
上の段階に遡ってやり直すこともあります。
一方多くのチェーンは、
- とりあえず作ってデプロイ
- 壊れたらそこで学んで修正
- どうにもならなくなったら、そこで初めて「論文書いて考察」
という「スパイラル開発」に近いスタイルです。
カルダノ方式は、
- 高品質になりやすいが、時間がかかる
というトレードオフを取っています。
今回「8年間は安定運用、1日だけ危険状態」という結果だったのは、
このアプローチの成果でもあります。
ただし、それでも2022年から潜んでいたバグを完全には防げませんでした。
Intersect(監督組織)や開発者として、
- 論文の選び方
- ブループリントの書き方
- 実装レビュー
- デプロイとテスト方法
それぞれを、コストと時間を増やさずにどう改善するかが、
2026年に向けた課題として挙げられています。
4. Detect:カナリアネットワークとPub/Subが「必須」になる理由
今回、早期検知できたのは「正直、運が良かったから」です。
- Leiosアップグレードのためにネットワークを厳重に監視していた
- 独立ノード実装の開発者たちが活発にテストしていた
その結果として異変に気づけただけで、
自動で「問題発生メール」が飛んでくる仕組みはまだ存在しません。
チャールズはこれを「壁の中の小さな水漏れ」にたとえます。
漏れ始めた瞬間に通知は来ず、
時間が経って壁が湿ってカビが生えたころに初めて気づく、という状態です。
ここで提案されているのが、「カナリアネットワーク(Canary Network)」です。
カナリアネットワークとは?
- 経済的な価値を扱わない「観測専用ネットワーク」
- 超高速(サブ秒レイテンシ)で各大陸にノードクラスターを配置
- 複数の独立実装のノードで構成
- メインネットを外側から常時ピンギングして監視
- 強化されたミンプールを持ち、スパムも含めて数日〜数週間の履歴を保持
- AIを用いた異常検知システムを組み込むことも想定
これにより、
- 「チェーン品質の劣化」や「コンセンサスの異常」が早期に察知できる
- 問題の発生箇所や性質を、より素早く特定できる
というメリットがあります。
Pub/Subプロトコルの重要性
もう一つ欠けているのが、ネットワーク全体に即時に「警報」を広げる仕組みです。
現状は、
- ステークプール運営者
- 取引所
- ブリッジ
- DeFi開発者
などに、電話・メール・メッセージで個別に連絡して回るしかありませんでした。
実際、今回のインシデントでは人々が30時間以上かけて手動で連絡し続けたといいます。
そこで必要なのが、「Pub/Subプロトコル」です。
- カナリアネットが「異常あり」と判断
- Pub/Subで「ブリッジ・取引所・DeFi・ウォレット」に一斉通知
- 彼らは「一時停止」「保留キューに入れる」などの安全モードに即切り替え
これにより、
- インシデント発生中の経済的被害をほぼゼロに抑えられる
- ネットワーク側は落ち着いて自己回復に集中できる
という構図が描かれています。
チャールズは、
「Pub/Subはオプションではない。存在は生存レベルで必須だ」
とまで言い切っており、2026年の最優先事項としています。
5. Fix:Ouroborosの自己修復、Mithrilとチェックポイント
修復フェーズにおいて、プロトコルの性質が大きくものを言います。
- Ouroboros/ナカモト型(PoW)
- チェーン分岐が起きても、「長いチェーン」を選び直して自己修復できる
- BFT型コンセンサス
- あるポイントを過ぎてからの分岐は「手に負えなくなり」、 ネットワークの手動リセットが必要になる
今回カルダノは前者であり、
初めて「設計どおりに自己修復」する姿を見せました。
ただし、最悪のケース――
人間が止めて、どこかを「チェックポイント」と決めて、
そこから「新チェーン」として再起動する――
という事態も理論上ありえます。
このときに役立つのが、カナリアネットワークと組み合わせたMithril証明書・チェックポイントの仕組みです。
- カナリアネットワークがネットワーク全体のスナップショットや証明を生成
- それをオンチェーン(Cardano)とオフチェーン(例:ビットコインのRune、IGONなど)に埋め込む
- 必要に応じて、その「共通のソース・オブ・トゥルース」を使って状態を復元
さらに、これらの証明には量子耐性のある署名方式(格子ベースやハッシュベース)を使うことで、
量子コンピュータによるチェーン書き換えに対するフォールバックとしても機能させる構想です。
6. カルダノ憲法と「コード vs ユーザーの意図」
動画の後半の大きなテーマが、
「Code is Law」論への批判と、カルダノ憲法の役割です。
カルダノには、オンチェーンで批准された「カルダノ憲法」があり、
これはカルダノにおける最高法と位置づけられています。
憲法には例えば次のようなテナントがあります(一部要約):
- トランザクションは検閲されず、遅延なく目的どおりに処理されるべき
- トランザクションのコストは予測可能であるべき
- 開発者が不当に妨げられることなくアプリを展開できるべき
- ADAの総供給は450億を超えてはならない
- ブロックチェーン上の価値・情報は安全に保持されるべき
今回のようなソフトフォーク状態では、
- 実質的に供給が2倍になっている(450億上限の条項に反する)
- 片側の歴史が孤立してトランザクションが失われる(価値・情報を安全に保持できない)
- システムが遅延し、コストも予測不能になる
など、複数のテナントに明確に違反してしまいます。
ここでチャールズ氏は、「コードこそが唯一の法だ」と主張する立場を「ナイーブ」と批判します。
- ユーザーの意図は主観的で、事後的に変わる
- コードは客観的だが、ときに全員にとって悪い結果を生む
- だからこそ、コードの上に「メタ法」としての憲法が必要
さらに、そのうえで「意図言語(Intent language)」が必要だと述べます。
- ユーザーは、まず「意図(Intent)」をオンチェーンに明示する
- その意図が憲法に合致しているかを確認する
- その意図を満たすトランザクションを自動生成し、「意図を満たしている」ことの証明を返す
- もしトランザクションが意図を満たしていなければ、そのトランザクションは誤り
この方向に向けた最初の一歩が、
プロトコルレベルの「意図システム」としての Babel Fees や、
ネストしたトランザクションの発想だと説明しています。
7. ウェットコード vs ドライコード:技術と社会プロセスの両輪
Nick Szaboが提案した「ドライコード(Dry Code)とウェットコード(Wet Code)」の概念も引用されます。
- ドライコード
- 論文、プロトコル、実装、テストなど「コンピュータが扱うルール」
- ウェットコード
- ガバナンス、教育、チェック&バランス、マルチシグ、タイムロック、手続き、標準など「人間の側のプロセス」
カルダノは、オンチェーンで
- 立法(憲法・投票)
- 行政の一部
- 司法の一部
を持っていますが、紛争解決(ディスピュート・レゾリューション)や完全な司法機能はまだこれからの領域です。
将来的には、
- 事前の意図がオンチェーンで明示される
- その意図と実際のトランザクションを比較できる
- オンチェーンの仲裁結果がニューヨーク条約と整合的にオフチェーンの裁判所でも執行可能
というような形も視野に入っています。
8. リスク管理・保険・救済(Restitution)の構想
チャールズ氏は、システム全体の「リスク」と「救済」の仕組みも重要だと話します。
たとえば、今回のようなインシデントでブリッジや取引所、DeFi利用者が損失を被った場合:
- 回復的正義(Restorative justice)
- 被害者を元に戻す(損失を補填する)
- 応報的正義(Punitive justice)
- 加害者に罰を与え、再発を抑止する
両方の要素が必要です。
そのためのアイデアとして、
- カルダノトレジャリーが保険料を払い、ネットワーク全体をカバーする保険契約を持つ
- トレジャリーの一部で「自己保険プール」をつくる
- その保険プールをRWA商品として構成し、ADAなどをロックした人に利回りを与える
- 事故があったときには、保険金がスマートコントラクトに払い出され、証明可能な形で救済を行う
といった構想が語られています。
9. 「整合性(Integrity)」という最終的な基準
動画のクライマックスは、「整合性(インテグリティ)」の話です。
チャールズ氏は、飛行機と車の例を出します。
- 飛行機に乗るとき、そこには「死ぬ確率 P(death)」が確かに存在する
- それでも人々は乗る。なぜか?
- 100年以上かけて「P(death) を下げ続けてきた」という歴史があるから
- 車も同様に、「死ぬ確率」と「整合性」の問題
社会インフラを支えるシステムには、
同じような「P(life) / P(death) のメンタルモデル」が必要です。
さらに、金(ゴールド)の例も出てきます。
- 金に内在的な不変の価値があるのではなく、 「5,000年以上価値があると社会が信じてきた」という時間軸によって整合性が支えられている
- 宗教や技術によって、この信念は簡単に揺らぎうる
ブロックチェーンも、「長期稼働+自己修復+救済可能性」によって、
「このシステムは信頼に足る」という主観的な信念が醸成されるかどうかがすべてだ、という話です。
今回のインシデントは、客観的に見れば
- プロトコルは設計どおり自己修復した
- 最悪のシナリオ(手動リセット)には至らなかった
という「技術的成功」でもあります。
しかし主観の世界では、
- 「カルダノは壊れている」
- 「危険だから使う価値がない」
と考える人たちも生まれます。
整合性は主観的なものであり、perception(認識)と reality(現実)の両方に働きかけなければならない――
これがチャールズのポイントです。
10. 2026年に向けた優先事項のまとめ
チャールズは最後に、2026年に向けてカルダノがやるべきことを整理しています。
ドライコード側(技術)
- Leiosアップグレードを通じてプロトコルの「大手術」を行い、 性能と安全性をさらに高める
- 正式なカナリアネットワークを構築する
- Pub/Subプロトコルを導入し、 ステークプール・取引所・ブリッジ・DeFi・ウォレット・DRepなどが 即時にやりとりできる基盤をつくる
- ネストトランザクションとBabel Feesを足がかりに、 プロトコルレベルの「意図言語」を作り始める
- MithrilやStar Streamなどを活用し、 チェックポイントと証明の仕組みをさらに整備する
ウェットコード側(社会プロセス)
- 憲法を軸に、ガバナンスと紛争解決の設計を進める
- リスク管理・保険・救済の仕組みを検討する
- 事件が起きたときの「コミュニケーションプロトコル」を標準化する
- 他エコシステムに対して「事実を説明し、正しく理解してもらう」アンバサダー的活動を強化する
チャールズ自身もXRPスペースに参加して説明したように、
「技術面の改善」と同じくらい、「正しい説明と対話」が重要だと強調しています。
まとめ:カルダノは「高整合性システム」のまま、次のステージへ
今回のインシデントは、
- 技術的には、Ouroborosとナカモト型コンセンサスが設計どおり自己修復能力を発揮した「初の実戦テスト」
- 社会的には、「整合性」と「認識」の両方をどう守り、どう育てていくかが問われた出来事
という二つの意味を持っていました。
チャールズは、カルダノが依然として高整合性システムであることを認めつつも、
- Prevent(防ぐ)
- Detect(気づく)
- Fix(直す)
それぞれの面で、まだやるべきことが多く残っていると率直に語っています。
2026年は、
- Leiosによるプロトコルの改良
- カナリアネットワークとPub/Sub
- 意図言語と憲法ガバナンス
- リスク管理・保険・救済の設計
- 他コミュニティとの対話と説明責任
これらをまとめて進めていく「大きな転換点」の年になりそうです。
以下はチャールズ・ホスキンソン氏動画「Preventing Future Issues: Where Good Engineering meets Good Process」を翻訳したものです。
チャールズ・ホスキンソン氏動画「Preventing Future Issues: Where Good Engineering meets Good Process」全翻訳
では、みなさんこんにちは。
今日は品質保証に関するいくつかの話と、2026年に向けてやらなければならないことについて、少し動画で話したいと思います。
さて、この1週間、本当に「楽しい時間」を過ごしました。
基本的に、最初はチェーンが1本だけあって、あるトランザクションが入ってきて、その結果、歴史が2つの並行したバージョンに分かれました。
そしてその2つがしばらく戦い、最終的にまた一つに戻りました。
ハードフォークや、システム内部で完全なコンセンサスの失敗が起こると、チェーンは分岐したまま走り続けてしまい、もう二度と元に戻せない、という状況になります。
その結果、ネットワークを止めて、人間の手で再起動しなければならなくなります。
人間が出てきて、「ここをチェックポイントとする」と決めて、それで終わりです。
これは、ソラナがネットワークを再起動するときに対処してきたような種類の問題で、他のプロジェクトでも同じようなことが起きています。
通常は、チェーンはただひたすら走り続けるだけです。
カルダノは、おおよそ8年間ずっとその状態でした。
そして先週、私たちはこの「2本に分かれた状態」に入っていました。
これはかなり危険な状態です。
なぜなら、この二重性が発生している間にも、ブリッジ、取引所、そして特にDeFiのようなアクターたちは、「いつもどおりの世界」に住んでいるからです。
つまり、チェーンが特定の一つの構成で動いていると当然のように仮定しているわけです。
しかしこの状態では、一時的に供給量が2倍になってしまいます。
歴史のオルタナティブなバージョンが2つ存在し、理屈の上では、こちら側のチェーンでADAを使うことも、あちら側のチェーンでADAを使うこともできてしまう。
事実上ダブルスペンドのようなものです。
定義上は少し違います。
なぜなら、ローカルな視点から見れば、ダブルスペンドは起きていないからです。
しかしグローバルに見ると、扱っているADAの集合が2つ存在している。
ブリッジはそんな事情を理解していません。
取引所も理解していません。
DeFiも理解していません。
彼らは「歴史は1本だけ」であることを前提にプログラムされています。
そこで、今ひとつレポートを書いているところです。
Pi が中心になってまとめていて、本当に素晴らしいレポートです。
私たちは今、開示文やその他の文書をかなり調整しているところで、技術的な深さと厳密さのレベルを段階的に上げながら、「何が起きたのか」「どう起きたのか」「どうやって元に戻ったのか」を説明していきます。
しかし、私たちが「自己修復し、自己回復できるシステム」を構築できたことは、本当に奇跡的です。
今回起きたのは、サービス品質が低下するかたちでの「ソフトフォーク」であり、それが自己修復した、ということです。
「自己修復」という意味は、ネットワークがあるバージョンにアップグレードし、自ら片方の側を選び、歴史を再統合した、ということです。
そして不幸なことに、ソフトフォークが起きると、必ず「孤立ブロック(オーファンブロック)」が発生します。
つまり、2つのチェーンの間に差分(デルタ)が生まれる。
これはビットコインの世界では、マイニングの過程で3,000回以上起きている現象です。
だから、誰かが「それは設計上の欠陥だ」「お前らはやらかした、全部ダメだ」と言う前に思い出してほしい。
ビットコイナーのみなさんは、これと同じことを3,000回以上経験しているわけです。
マイナーがあるバージョンの歴史を作り、その後で少数派チェーンが追いついて追い越すと、「最長チェーン」が乗り換わります。
以前の最長チェーン側のブロックは破棄され、そのブロックに含まれていたトランザクションは「なかったこと」になります。
だから人々は「ファイナリティ(最終確定)」を待つわけです。
ビットコインでは通常6ブロックほど待ちます。
これはローカルな意味では普通に起きうることで、ナカモト型コンセンサスでは非常によくある現象です。
通常は「ロングチェーン・リオーグ(長いチェーンの再編成)」にはなりません。
ロングチェーン・リオーグとは、これが10、20、30、50、100、200ブロックのような大きな深さで起こることです。
そのため、ブリッジや取引所、DeFiは、ネットワーク時間とは異なる「独自の決済時間」を設定する傾向があります。
「あなたの入金を正当なものと見なす前に、100ブロックや200ブロック待ちます」といった具合です。
さて、ここで一番重要な問いはこれです。
どうやって「防ぐか」、そしてどうやって「検知するか」。
この2つの単語が鍵になります。
――これが起こるのを「防ぐ」こと。
――そして起きたときに「検知する」こと。
それから、先週起きたような事象については「どう直すか」です。
この状態――チェーンが2つに割れた状態――になってしまった場合、修正方法は比較的シンプルです。
ネットワークを停止させ、しばらくの間はもはや暗号通貨ではない状態になります。
そして、新しい暗号通貨を立ち上げる必要が出てきます。
実質的には、人間の手でネットワークを継ぎ合わせて、新しいバージョンを発明してしまうわけです。
これはある意味、「スタートレックの転送装置」に似ています。
スタートレックのトランスポーターを使ってテレポートするとき、「転送後の自分は元の自分ではなく、元の自分はバラバラにされて死んでいて、今いるのはクローンだ」と信じている人たちがいます。
それに少し似ています。
ある時点から別の時点に「あなた」を転送し、その過程で何かを編集してしまう。
だから根本的には別物なのです。
もはやオリジナルのチェーンではありません。
違うチェーンです。
これはほぼ最大級の「壊れ方」です。
誰だってこんな事態は避けたい。
だから、そうならないように死ぬほど努力するわけです。
今回のケース――ソフトフォーク――では、「2本のチェーンの性質と特徴」がすべてでした。
もしPoSにスラッシングやボンディング(保証金拘束)の仕組みがあるタイプだと、チェーンを再統合できたとしても、間違った側に賭けた人たちに巨大な経済的損失が発生してしまう可能性があります。
だから、とても慎重に扱わなければならない。
ナカモトコンセンサスは、この「チェーン分岐からの回復」に関して非常に優れています。
フォークしたチェーンを再度一本に戻すとき、うまく自己修復できるように設計されています。
これはサトシが非常に深く考えた部分であり、そのために私たちはOuroborosを設計する際、サトシのコンセプトを多く取り入れたのです。
そして今回、カルダノの歴史上、初めてそれを実際に試すことになりました。
ものすごく居心地の悪い体験でしたが、システムは仕様どおりに動きました。
だからこそ、ソラナのアナトリーですら今回の件を称賛してくれたのです。
彼は日常的にこの「チェーン分岐とロールバック」の世界に住んでいるし、私たちも今回その世界を経験しました。
そしてきっと彼も、「こんな自己修復能力が自分たちのチェーンにもあればよかった」と思ったでしょう。
これは本当に別次元の話です。
ここまでが「Fix(修正)」の話。
では、「Detect(検知)」と「Prevent(予防)」はどうでしょうか。
この動画の本題はまさにそこです。
では、「検知」と「予防」について話しましょう。
予防について
まず「予防」からです。
カルダノがどう動いているかを思い出してください。
ここには「ブループリント(設計図)」という概念があります。
- ブループリントを書く
- 実装する(ビルド)
- デプロイしてテストする
という流れです。
ここ(ブループリントの段階)では形式手法を使います。
これらの形式手法は、論文やホワイトペーパーに基づいています。
論文は査読プロセスを経ます。
プロトコルが妥当であることが確認されます。
ブループリントは形式言語で書かれます。
そのあとで実装(ビルド)。
そしてデプロイとテストです。
非常に「ウォーターフォール」的です。
このプロセスをすっ飛ばす方法はありません。
アジャイル的に振る舞うことは、ほとんどできません。
なぜなら、もしここ(テスト段階)で何かを発見した場合、時にはスタックの一番上――論文のレベル――まで戻らざるを得ないからです。
これが、カルダノの開発ペースが他のチェーンより遅い理由の一つです。
他の多くのチェーンは「スパイラル型開発」に近いことをやっています。
いきなり「ビルド」から始めて、「デプロイして学ぶ」「またビルドしてデプロイして学ぶ」を繰り返す。
それで、「もうどうにもならないところまできた」となったら、
「よし、ここで科学の出番だ」と言って、ようやくこの上のレイヤー(論文や理論)に戻る。
そして、「今のシステムはとりあえずこういうものだ」と割り切った上で、またスパイラルを続ける。
こういうやり方もできます。
カルダノのやり方は、最初からちょっとウォーターフォール寄りだったわけです。
このやり方は、バグの「予防」に関しては非常に有用です。
私たちは8年間ずっと、こういう安全な状態にいました。
そして1日だけ、この「危険な状態」に入りました。
そこからかなり素早く自力で回復し、ハードフォークもせず、ネットワークも破壊せずに済んだ。
これはかなりクールなことです。
しかも、中央集権的なアクターによる手動介入を必要としませんでした。
修正版がロングチェーン側に反映されたあと、ネットワークが自らアップグレードして自己修復したのです。
つまりこのプロセスは、一般に「高品質だが遅い成果」を生みます。
これが多くの人がカルダノに対して感じている一番のフラストレーションです。
「遅すぎる、遅すぎる、マーケットに追いつけない、ダメだ」と。
でも、おそらく今は多くの人が、
「ネットワークを修復し、自己修復させるメカニズムがあって本当によかった」
と思っているはずです。
先週、もし私たちが形式手法を使っていなかったら、今ごろ本当に酷い状況になっていたでしょう。
だから「予防」を語るときには、このプロセス全体を開いて、こう問う必要があります。
- 正しい論文を書いているか?
- ブループリントは正しく書かれているか?
- そのブループリントを適切に使っているか?
- 高品質のコードを書けているか?
- デプロイとテストの方法は十分か?
このすべてが検証の対象であるべきです。
すでに私はIntersectのJackと話しました。
「あなたたちは監督組織であり、私たち開発者側は今回、完全に顔に卵をぶつけられた状態だ」と。
私たちは、「こうしたタイプの問題が再発しない理由」と「予防の観点でどう改善するか」をきちんと説明する義務があります。
エンジニアリング・ファームとして、各コンポーネントをどう改善するのか、より高いアウトカムを出すのかについて、もっと厳しく問われて当然です。
その改善は、「コストが増えない」「時間が余計にかからない」前提でなければなりません。
それでもなお、コンポーネント全体としては、より良い成果を生む流れにしなければならない。
今回悪用されたバグは、2022年から存在していました。
つまり何らかの理由で、3年間もチェックをすり抜けていたということです。
これはゼロデイ・エクスプロイトではよくある話です。
Windowsにも、Linuxにも、みなさんのスマホにも、ゼロデイは存在します。
たいてい、エクスプロイトは古いバグから生まれます。
真新しいバグから、という方がむしろ稀です。
表面上はバグに見えないかもしれない。
けれど、別のソフトウェアと組み合わさった瞬間、バグとして振る舞い始める。
ソフトウェアは「創発的なシステム」です。
その内部には無限の複雑性があります。
だから、どれだけ頑張っても、システム内部にバグがゼロにはなりません。
そのため、私たちは二つ目のステップ――「検知」に進まざるを得ません。
そしてここが、今のカルダノが最も弱い部分だと言えます。
今回のバグに関しては、かなり「運がよかった」です。
たまたまレイオス(Leios)アップグレードのためにネットワークを厳重に監視し、シミュレーションを回していました。
また、独立したノード実装の開発者たちが、検証したり遊んだりしていて、通常よりずっと高いレベルの監視が行われていた。
外部の人々には理解されていませんが、ネットワークがこうした状態――チェーンが二つに割れている状態――になったとき、
「Cardanoに問題が発生しました」というメールが、いきなり自動で届くわけではありません。
しばらくの間は、みんな何も知らないまま、「すべて正常」と思っている。
これは家の壁の奥で起きている小さな水漏れのようなものです。
壁の中の配管に小さな亀裂が入り、水が少しずつ漏れ始めたとしても、
「やあ、僕はあなたの地下の壁の中にあるパイプだよ。今ちょっと漏れ始めたから、2週間後に大問題になるよ」
なんてメッセージは届きません。
2週間後になって初めて、壁がしっとりしていることに気づき、カビが生え、手で押すと石膏ボードが崩れ落ち、
そこでようやく「うわ、マジか、漏水だ」と気づく。
それと同じで、こうした事象が起きても、即座に「今起きた」とは分からないのです。
しかし、「起きたことを示す兆候」は存在します。
例えば「チェーンの品質」が劣化してきたり、他の指標が異常な値を示したりする。
それを見て、「ちょっと待て、ネットワークで何か起きているかもしれない。何かおかしいぞ」と気づく。
今、私たちには一連の「非公式なプロセスや手順」が存在します。
しかし、ポストモーテムやレトロスペクティブの中で検討したいと思っていることのひとつが、「カナリアネットワーク」を構築することです。
これはメインネットよりずっと高速で、経済的な目的を持たず、観測のためだけに存在するネットワークです。
カナリアネットワークができることは、メインネットを「見張り番」として監視することです。
多様な視点からメインネットを見ることができる。
複数のノードで構成され、チェーンと台帳を様々な方法で観測する。
そして、常にメインネットに対して「挑戦と応答(チャレンジ・レスポンス)」を投げかける。
非常に高速なネットワークであり、地理的にも十分に分散されている。
ノードは複数あり、それぞれが独立した実装である。
サブ秒レイテンシで動作し、各大陸にノードクラスターを持つ。
その結果、システム内部で何か異常が起きたときに、それを早期に検出し、「どこで何が起きているか」を特定する「早期警戒システム」として機能できるわけです。
さらに、このカナリアネットワークは「ミンプールのクローン」を持ちます。
拡張されたミンプールです。
通常、ミンプールと言うと、「次のブロックで処理すべき作業の集合」のことを指します。
ノードはそこからトランザクションを取り出して、ブロックを作る。
しかし多くの場合、「人々がネットワークにスパムとして何を流し込んでいるか」という「ミンプール履歴」を長期的に保存しようとはしません。
むしろそれをどんどん削除していきます。
ところが、このようなシステムであれば、未確定トランザクションの履歴を数日から数週間単位で保存できます。
地理的にも分散されたノード群が、それらの履歴を保持し、多様なピンギングシナリオを実行できる。
複数の独立したノード実装で構成されている。
現在、私たちには形式化された「カナリアネットワーク」という概念はありません。
だから今回は、「たまたま早期に検知できた」のです。
そしてパッチ対応のために、なんとか間に合った。
さらに、カナリアネットワークはここにいる人たち――ブリッジ、取引所、DeFi――と「相互補完的な関係」を持つことができます。
統計的・確率的に見て、「何か問題が発生していると思われる」ときには、
次の2つ目の要素――「シグナルメカニズム」が必要になります。
つまり、「旗を掲げる仕組み」です。
「ユーザー全員――もしくは少なくとも購読しているユーザーたち――に向けて、『問題が発生しています』というシグナルを出す」。
「何か問題が起きているようです」と。
その通知をできるだけ早く届けることが重要です。
そうすれば、彼ら(ブリッジ、取引所、DeFi)は、自分たちのインフラのスイッチを切り替え、
「一時停止モード」に移行できます。
これは「お金を返金しろ」とか、「サービスを永久停止しろ」という意味ではありません。
「いったん止めろ」という意味です。
なぜなら、この状態では、悪意ある人間がこの状況をゲームして、これらのアクターからお金を盗むことができてしまうからです。
ロングチェーン・リオーグは、8年に1回レベルの非常にレアな出来事です。
頻繁に起こるわけではありません。
しかし、レアであっても、それが起きたときには、「即座に知らせるメカニズム」が必要です。
そして「止まれ」と指示を出す。
さらに言えば、トランザクションを完全に拒否する代わりに「保留状態」に入れることもできます。
ユーザーは引き続きインターフェイスを使えますが、トランザクションは確定されず、
キューに入って「保留」になります。
そして、さらなる指示が来るまで処理を遅らせる。
これなら、商取引そのものを完全停止する必要はなく、
調査が終わるまでの間、スローダウンさせるだけで済みます。
なぜなら、それが誤検知である可能性もあるし、逆に重大事である可能性もあるからです。
通常、カナリアネットワークを考えるとき、「異常検知システム」のこともセットで考えます。
ここにはAIを使うこともできます。
凄まじく優秀な異常検知システムがたくさんあり、チューニングもパラメータ設定も可能です。
それらがシステムを監視していて、「何かおかしい」と気づく。
「ping の応答が正常ではない」
「コンセンサスが適切に達成されていない」
「何か問題があるが、まだ正体は分からない」
そう感じたとき、
シグナルメカニズムに移り、「ブリッジ、取引所、DeFiは止まれ」と伝える。
さらに、管理型ウォレット――例えばLaceのようなウォレット――にも、
「しばらくトランザクションを中継しないでください」と通知できます。
「カナリアモードがオンになりました」というメッセージを出せるわけです。
これには「Pub/Subプロトコル」が必要です。
私はこれを8年間ずっと求め続けてきました。
にもかかわらず、ネットワークチームの一部には、このテーマに取り組むこと自体に哲学的に反対する人がいて、
それが原因でチームから離れていった人もいます。
論文まで書いているにもかかわらず、です。
しかし今は新しい血も入り、これは2026年に向けた私の最優先事項の一つとなっています。
これを実現する道筋は必ず見つけます。
Pub/Subは「あると便利」レベルではありません。
カナリアネットワークや、関係者との通信・連携を行うためには絶対に必要です。
今回、私たちは何をしたか。
ステークプール運営者、取引所、DApp開発者たちに、手作業で電話・メール・メッセージを送る必要がありました。
人々は30時間ぶっ通しでそれをやっていた。
幸運だったのは、私たちが彼らと一緒にコミュニティを育ててきて、お互いに顔と名前が分かっていたことです。
もしそうでなければ、ネットワークの自己修復にもっと長い時間がかかったでしょうし、
この危険なモードにとどまる時間が長くなり、その分「損害の幅」も広がっていたはずです。
Pub/Subがあれば、ボタンを1つ押すだけで、全員に同時にメッセージを送ることができます。
今回の事件だけでも、その存在が「生存に関わるレベルで必要」であることが証明されました。
この件に反対する人たちには、もう本当にうんざりしています。
これは必ずやらなければならない。
だから2026年の優先事項になります。
どんな方法であれ、実現させます。
しかも、これはメインネットと同じネットワークプロトコルを使う必要すらない。
カナリアネットワークはメインネットと話ができる必要はありますが、同じインフラや同じプロトコルを共有する必要はありません。
目的が違うからです。
カナリアネットの目的は「異常検知システム」としてネットワークを監視し、「ネットワーク健康度」の概念を作ることです。
すべての暗号通貨にはこれが必要です。
プロトコル、KPI、その他の指標セットが必要です。
カルダノにもすでにいくつかは存在していますし、開発時にはそれらを追跡して使っています。
しかし現状、それらは少し断片化していて、標準化され、ひとつのシステムに統合される必要があります。
検知の側面で「早期検知」ができれば、「早期介入」が可能になります。
その結果、対応策はずっと軽くて済みます。
商取引に関わる人たちがすぐにロックダウンできれば、
このようなモードに入っても経済的な影響はほぼなくなり、
ネットワークの復旧と自己修復にかけられる時間の余裕が生まれます。
修復(Fix)は、完全にプロトコルに依存します。
Ouroborosのようなプロトコルや、ナカモトコンセンサス(PoW)であれば、自己修復の道筋が存在する可能性が高い。
一方、BFT系のプロトコルであれば、「ポイント・オブ・ノーリターン」を過ぎた時点でこうした事態が起きると、
もう打つ手がなくなります。
ネットワークを手動でリセットするしかありません。
最悪の事態に備えて、いくつか計画できることがあります。
カナリアネットワークがネットワーク全体を観測しているなら、
そこは「Mithril証明書、チェックポイント、各種証明」を作るのに最適な場所です。
まさにうってつけです。
それらをマルチチェーンに埋め込むこともできます。
オンチェーン経路と、オフチェーン経路を用意する。
オンチェーンでは、これらをカルダノ上に――少なくともMerkle rootだけでも――周期的に保存できます。
オフチェーンでは、例えばIGONのような場所や、ビットコインブロックチェーン上のRuneとして保存することもできる。
方法はいくらでもあります。
これらは小さな表現なので、手数料も小さくて済みますが、定期的にアーカイブを取ることができます。
そうしておけば、「最悪のソラナケース」のように、どうしてもリセットが必要になったときでも、
誰もが合意できる「真実のソース」が存在し、
監査可能性や証明可能性をある程度確保できます。
特に、ミンプールの詳細なダンプデータを持っていることが大きい。
この辺り――Mithril証明書ネットワークやチェックポイント、各種証明の話――は、すでに動き始めています。
Star Streamも、別の証明メカニズムとして機能します。
そして、ここは「量子耐性」を非破壊的に導入する出発点にもなります。
これらの表現を、格子ベースやハッシュベースの署名――つまり量子コンピュータに耐性のある方式――で署名すればいいのです。
たとえ量子コンピュータがチェーンの主権を侵害し、チェーンを書き換えようとしても、
ここに「フォールバック」が存在するため、状態を回復できます。
さらに、その上には「メタ」レイヤーが存在します。
それが「憲法(Constitution)」と「意図(Intention)」です。
ユーザーの意図。
世の中には「Code is Law(コードこそが法だ)」と叫ぶ、かなりナイーブな人たちがいます。
私も、代替手段が存在しない頃は、「Code is Law」側の人間でした。
そこで問うべきは、「何が本当に重要なのか」ということです。
ユーザーの意図なのか、コードの意図なのか。
- コード
- ユーザー
どちらか。
ユーザーは主観的で、事後的な存在です。
その瞬間には「そうするつもり」だったかもしれない。
しかし結果を知った後で、「あのときはそんなつもりじゃなかった」と言い出す。
それが問題です。
一方、コードは客観的で曖昧さがありません。
しかし場合によっては、間違ったことを行い、皆にとって悪い結果をもたらすことがあります。
そこで、コードの上に「メタ法」を置くという発想が生まれます。
それが憲法です。
カルダノには「カルダノ憲法」があります。
多くのエコシステムには存在しません。
彼らはそれに投資することもなかったし、気にも留めていませんでした。
その結果、「Code is Law」の議論の中で、憲法という概念は完全に無視されてきました。
しかし、私たちには憲法が存在し、それはオンチェーンで批准されており、「カルダノにおける最高法」です。
なぜ最高法なのか。
それは、オンチェーン・ガバナンスがカルダノを変更する正当性を与えているからです。
ハードフォークやソフトフォーク、プロトコルパラメータの変更、報酬関数の変更など、あらゆる変更の権限を正当化している。
つまり、これが「制約関数(Constraining function)」になっている。
ここで、憲法のテナント(条項)をいくつか紹介しましょう。
テナント1:
「カルダノブロックチェーン上のトランザクションは、遅延や検閲を受けるべきではなく、意図された目的のために迅速に処理されるべきである。」
「トランザクションのコストは予測可能であるべきである。」
「カルダノブロックチェーン上でアプリケーションを開発・デプロイしたいと望む誰もが、不当に阻害されるべきではない。」
…というように条項が続きます。
「カルダノブロックチェーンは、ADA保有者の同意なく、その価値やデータをロックすべきではない。」
「カルダノブロックチェーンは、相互運用性を不当に阻害してはならない。」
「カルダノブロックチェーンは、そこに保存されたあらゆる価値と情報を、安全な方法で保持しなければならない。」
「カルダノブロックチェーンは、不当にリソースを浪費すべきではない。」
「金融的な安定性は維持されるべきであり、ADAの総供給量は450億ADAを超えてはならない。」
ソフトフォークを引き起こすと、供給量は事実上2倍になります。
使えるADAが2セット存在することになる。
これはテナント10に違反しています。
ソフトフォークを起こすと、ブロックチェーン上に保存された価値と情報を安全に保持できなくなります。
なぜなら、チェーンが再統合されるとき、一方の歴史が孤立し、その側のトランザクションは失われるからです。
ソフトフォークを起こすと、システムは遅くなり、迅速な処理(expedient serving)が失われます。
また、その状態ではトランザクションコストも予測不可能です。
つまり、私たちには「客観的な基準」があり、誰もがそれに合意しています。
その基準に照らして、「このトランザクションは合憲か?」と問うことができる。
答えは「No」です。
したがって、それはシステムの利用目的に反した行為であり、「違憲」です。
にもかかわらず、「そんなの関係ない。たとえ憲法が最高法だとしても、バグを実行したトランザクションがチェーン上で受理されたのなら、それは合法だ」と言う人たちがいる。
彼らは「システム内では合法なトランザクションなのだから問題ない」と主張します。
さらに、「なぜユーザーの意図を気にする必要があるのか」とも言います。
ユーザーの意図は、常に「当事者に都合よく変化する」からです。
その場では「やるつもりだった」と言い、損をしたあとで「そんなつもりじゃなかった」と言い出す。
だから意図は、「事後的」ではなく「事前的」でなければならない。
では、どうやって意図を記述するのか。
ここで必要なのが「意図言語(intention language)」です。
Nearはすでにこれを持っています。
私たちも今、その方向に向かっています。
これにより、もはや「単なるトランザクション」ではなくなります。
先に「意図」があり、
「この意図は憲法と整合的か?」と問う。
合憲であれば、プロセスがトランザクションを構築し、そのトランザクションが意図を満たしていることを示す「証明」をユーザーに返す。
そのプロセスがどう動くにせよ、
もしトランザクションが意図を満たしていなければ、そのトランザクションは「誤り」です。
「Code is Law」を極端に推し進める立場では、意図は関係ありません。
オンチェーン憲法も関係ありません。
重要なのはトランザクションだけ。
「もしそれが悪い結果になっても、それは仕方ない。金を失ったのはお前の責任だ。残念だったな。家に帰れ。お前は愚かで未開だ。クリプトを使うならそのリスクを受け入れろ。」
こんな考え方です。
価値がほとんど賭けられていないなら、それでも構いません。
ユーザーが10人しかおらず、全員コンピューターサイエンスの博士号持ちで、これは完全に遊びでやっているのだとしたら、それでもいいでしょう。
しかしこれは、大規模な商用システムではまったく現実的ではありません。
そこでは「介入(Intervention)」という概念が必要になります。
意図が満たされていないとき、憲法が侵害されたとき、
システムの整合性を保つために「自己修正(self-correct)」する仕組みが必要です。
――それこそが、私たちが本当に話している内容です。
システムの「自己生成性(autopoiesis)」、
そして「整合性(integrity)の維持」です。
システムは、自身のルールに従って動作し、ユーザーの意図を守れないのであれば、整合性を持つことはできません。
ブロックチェーンの目的は、ユーザーが利用したときに整合性を保つ「高忠実度(high-fidelity)」なシステムを提供することです。
賢い人間がバグを見つけたときに、その人を恣意的かつ気まぐれに罰するためのシステムではありません。
もし後者が定義だとしたら、そのシステムには社会的価値はありません。
投票には使われないでしょう。
高保証が必要なアプリケーションにも使われないでしょう。
教育にも、医療にも、国家のインフラにも、マーケットにも使われない。
まったく意味がありません。
だからこそ、「整合性を保つシステム」が必要です。
そのためには、曖昧さのないルールが必要です。
そして、ユーザーの意図を「事前に」捉える仕組みが必要です。
事前の意図。
一度ブロードキャストしてから気が変わったとしても、それはシステムの責任ではありません。
ブラックジャックのテーブルで「ヒット」と言ってカードを引き、
その結果負けたとしても、それはあなた自身の問題であって、カジノの責任ではないのと同じです。
ゲームは整合性を持っています。
ルールは明確で、事前に理解されている。
あなたの意図は明確で、リスクも理解していた。
その上で決断し、トランザクションが発行された。
それだけのことです。
しかし、もし配られるカードの山札が、ハウスに都合よくシャッフルされていたとしたらどうでしょうか。
それはユーザーの意図――「公平な山札を前提に賭けている」という意図――に反します。
それはゲームを規制するルールにも違反し、
整合性の低い、偏ったゲームになります。
そんなゲームを「あなたはプレイしたいか?」
答えは当然「No」です。
ここには明らかに、共通の理解があります。
そしてこの視点は、今回のような広い文脈においても非常に重要です。
「Prevent(予防)、Detect(検知)、Fix(修復)」を見ていくと、
修復のフェーズでチェーンを元に戻すとき、
「チェーンは戻ったか?」だけを問うのではありません。
「その日にシステムを使ったユーザーたちの意図が、憲法に照らして可能な限り満たされたか?」を問うのです。
それこそが、最終的な意味での「整合性を保つシステム」です。
これは、技術的な調整だけでなく、社会的な調整も必要とします。
プロトコルだけでは、到達できる範囲に限界がある。
だからこそNick Szaboは、「ウェットコード(wet code)とドライコード(dry code)」という概念を語りました。
年数の経ったとても重要な文書です。
古参の私たちは皆、その文書を覚えています。
そこには、「コンピュータが得意な領域」と「人間の判断と脳みそが得意な領域」がある、と書かれています。
ここまで話した論文・ブループリント・実装・テストは、
すべて「ドライコードの品質を高めるための仕組み」です。
一方、「ウェットコード」は社会的プロセスです。
その一部は「事前の意図を書き出すこと」です。
一部は「学習と教育」です。
人々が一定のリテラシーを持てるようにしなければならない。
その一部は「チェック&バランス(抑制と均衡)」です。
- マルチシグ
- 権力の分立
- 意思決定に一定の時間的猶予を設け、人々に議論と熟慮の時間を与える仕組み
などです。
また一部は「段階的なステージング」です。
先ほどの「検知」コンポーネントも、主にウェットな領域に属します。
異常を検知したあと、メッセージを発信し、各システムはこう判断します。
「アンバーアラート状態(注意レベル)でも運用を続けるか?」
「それとも一歩下がって、しばらく完全停止するか?」
これは社会的な合意とプロセスの問題です。
ここは、ISO 27001などの世界です。
ベストプラクティスの世界でもあります。
標準(スタンダード)の世界。
ガバナンスの世界。
カルダノは、テゾスなどごく少数のプロジェクトとともに、
オンチェーンで「ウェットコードとドライコードを同等の優先度で扱う」ことを明示的に掲げた、最初期の暗号通貨の一つです。
ウェットコードは最終的に憲法によって規制されます。
そこでは、「Code is Law」は「憲法上の法」と同等、
ある場合にはそれ以上の重みを持ちます。
私たちは「ドライコードの卓越性」から出発しました。
そして今、「ウェットコードの卓越性」に向かう道のりを歩んでいます。
ガバナンスシステムもその一部です。
修復(Fix)の社会的側面として、「紛争解決(dispute resolution)」があります。
最終的に、紛争解決は「リスク」と「救済(Restitution)」に帰着します。
「どうやってシステムのリスクを定量化し、管理するか?」
「人々が被害を受けたとき、どうやって救済するか? どうやって元に戻すか?」
たとえば、今回のチェーン分岐で、ブリッジや取引所、DeFiでお金を失った人がいたとしましょう。
ここでは「回復的正義(Restorative justice)」と「応報的正義(Punitive justice)」があります。
回復的正義とは、「被害者を元の状態に戻す」ことです。
そして責任を負うべき人々には、何らかの義務が生じます。
応報的正義とは、「責任を負うべき人々を罰する」ことです。
どんな司法システム、紛争解決システムであれ、両方の要素を持つ必要があります。
悪い行動を抑止し、協力的な行動と連携をインセンティブ付けする。
もしこのシステムが正しく構築され、時の試練に耐えることができれば、
カルダノのトレジャリーは「ネットワーク全体の火災保険」のような保険契約を結ぶことすらできます。
保険契約は「カルダノ自身」が保有します。
プロトコルそのものが一つの法的主体となり、
トレジャリーが保険料を支払い、
何かイベントが起きたときには、救済のための請求を行える。
たとえば、今回のような事象で10億ドルの損失が発生し、10億ドルの保険契約があったとしましょう。
保険金はスマートコントラクトに支払われ、
人々が証拠を提示しながら損失を回復できる仕組みが作れます。
自家保険(セルフインシュア)も可能です。
トレジャリーの一定割合を「自己保険プール」として割り当て、そこに外部の保険を組み合わせる。
あるいは、ネットワークがプレミアムを支払い、
人々がADAなどを預けてパッシブな利回りを得る代わりに、
イベント発生時にはそのプールが保険金として使われるようなRWA(実世界資産)商品を作ることもできます。
リスク管理の手法は他にもたくさんあります。
ここまで話してきた内容の多くは、広い意味でのリスク管理の話です。
リスクを「検知」することも同じくらい重要です。
火事を早期に見つけられれば、その被害は小さく済みます。
燃え始める前に「故障している配電盤」を見つけられれば、
配電盤を交換するだけで済み、
焼け落ちた家の瓦礫の中から原因を探す必要はありません。
現時点で、カルダノには「紛争解決機能」が完全な形では存在しません。
カルダノには「完全な司法機関(Judicial branch)」がまだないからです。
立法(Legislative)はほぼ揃っています。
行政(Executive)は部分的に存在します。
司法はまだ一部だけ。
したがって、憲法の次バージョンを考えるときには、
紛争解決のメカニズムを明示する余地があります。
ただしそれには、「事前の意図を捉える方法」が必要です。
それがあれば、各当事者が望んだ契約関係を客観的に理解でき、
トランザクションと意図を比較し、
何が起きたのかを検証できるようになります。
その上でも、仲裁(Arbitration)は必要になります。
そしてその仲裁を、ニューヨーク条約(New York Convention)と整合的な形で設計すれば、
カルダノ上の仲裁判断は150以上の国の裁判所で執行可能になります。
こうしたことも可能です。
私たちはネットワークとして学び続け、成長し続けています。
最終的な問いは、すべて「整合性(Integrity)」に集約されます。
「オンボーディングのために、どれだけの信頼と整合性が必要か?」
そしてそこには段階があります。
- 初期採用者(Early adopters)とクリプトアナーキスト
- ハイリスク志向の機関(ヘッジファンド、トレーダーなど)
- 一般大衆
- 高保証活動(航空機、病院、国家インフラ、投票インフラなど)
各レベルで必要とされる整合性は高くなっていきます。
そして、唯一の方法は「卓越性の追求」です。
ここまで話してきたようなことを愚直に行い、
バランスを取り、時間をかけて整合性を高めていく。
そして、事件が起こるたびに、システムの整合性は傷つきます。
私が何を言おうと、私たちが何をしようと、どれだけマーケティングにお金をかけようと、
今回の事件によってカルダノの整合性はダメージを受けました。
これから数日、数週間、数ヶ月、数年にわたって、
「カルダノは取り返しがつかないほど壊れている」
「カルダノは時間の無駄だ」
「カルダノは安全ではない」
そう信じる人々が一定数生まれるでしょう。
それが妥当かどうかに関係なく、彼らはそう「信じて」しまう。
整合性とは、究極的には主観的なものです。
ある集団が「何かの持続性をどれくらい信じられるか」という測定値です。
なぜ金(ゴールド)は価値があるのでしょうか。
物質としての金に、何か特別な内在的価値があって、
それが永遠に保証されているからでしょうか。
そうではありません。
金が価値あるものだと「社会が信じている」という信念によって価値が生まれています。
もし「反ゴールド教」という新しい宗教が社会に広まり、
敬虔な信者たちが「金は悪魔の産物だ。金を所有する者は火あぶりの刑に処す」と言い出したら、
金の価格はどうなるでしょうか。
物質としての性質は何も変わっていません。
でも市場は崩壊し、価値は大きく下がるでしょう。
あるいは、「空気から金を作り出せる魔法のマシン」が発明されたらどうか。
あるいは、宇宙採掘が普及し、
地球全体の埋蔵量の1,000倍の金を含む小惑星が見つかったらどうか。
こうした状況では、
金に対する「認識」、供給関数、採掘の難易度に対する認識が変化します。
金への信念がなぜ強固なのか。
それは、金が5,000年以上にわたり使われ続け、価値が認められてきたからです。
その時間的な安定性が長く続いてきた。
その結果、文化的なレベルで金の価値に対する認識が形成され、多層的に強化されてきました。
ブロックチェーンも、社会的アーティファクトとしては同じです。
ブロックチェーンが価値あるものだと信じるのは、
「ブロックチェーンが意図どおりに動いている」と信じているからです。
その信念は、「長期稼働の実績」によって支えられています。
ビットコインは16年間稼働してきました。
カルダノは8年間稼働してきました。
それは「動く」――そう信じられています。
しかし、一度動かなくなったとき、問いはこう変わります。
「自己修復できるのか?」
「乗り越えて修復できるのか?」
「それともシステム全体が崩壊するのか?」
もしシステムが自己修復できるなら、
私たちは「このシステムは高い整合性を持っている」と信じ続けることができます。
戦車のように頑丈で、途中でスタックしても、なんとか抜け出して進み続ける。
そう信じられる。
さらに、救済とリスク管理がうまく機能しているなら、
大災害が起きても「復旧のための資金」が用意され、
被害者が補償される。
これらすべてが揃ったとき、
私たちは「高整合性システム」を手にし、
初期採用者から機関投資家、一般大衆、高保証活動まで、段階的に登っていくことができます。
そうなって初めて、「社会をブロックチェーンに載せる」ことができる。
社会全体がその恩恵を享受できる。
それが、私たちがやろうとしていることです。
事件が起きるたびに、それはエコシステム全体にとっての「学びの機会」になります。
私たちはファースト・プリンシプルに立ち返り、こう問います。
「ドライコードは本当に機能しているのか?」
答えは「No」です。
なぜなら今回のようなインシデントが起き、大きな問題が発生したからです。
だから、それを直さなければならない。
次にこう問います。
「早期検知システムは十分か?」
答えは「No」です。
だから来年は、「ちゃんとしたカナリアネットワーク」を構築し、
断片化したものを統合し、誰もが使える単一のシステムにしなければならない。
「キープレイヤーやステークホルダー(ブリッジ、取引所、DeFi、ウォレットなど)と、
迅速にコミュニケーションを取り、行動できているか?」
答えは「No」です。
だからPub/Subプロトコルに投資し、このテーマを前に進めなければならない。
これをネットワークに組み込むことを邪魔している人たちを権力の座から降ろす必要もあります。
これがないのは、正直言って壊滅的です。
Multi-sigを簡単にすることもできたのに。
ステークプール運営者が、委任者に簡単にメッセージを届けることもできたのに。
DRepが有権者に簡単にメッセージを届けることもできたのに。
「彼らをフォローするだけ」で済んだはずなのに。
2025年になっても、これがほんの数人のエゴによって止められているのは、正直 absurd(ばかげている)です。
では、「Fix(修復)」には満足しているか?
ここには2つの側面があります。
1つは、「チェーンを元に戻したとき、それが整合性を保ったかたちになっているか?」
もう1つは、「紛争解決システムがあるか?」
答えはいずれも「No」です。
リスク管理システム――例えば保険プール――はあるか?
「No」です。
救済システム(Restitution)はあるか?
「No」です。
ユーザーの意図に関する概念はあるか?
「まだないが、その方向に向かっている」といったところです。
だから、2026年は非常にアクティブで活気のある一年になるでしょう。
レイオス(Leios)は、プロトコルに大手術を施すようなアップグレードです。
それによって、ドライコードの状態を大きく改善し、
カナリアネットワークを構築し、
ユーザーの意図を捉える方向に進むことができます。
私がネストしたトランザクションを重視しているのは、そのためです。
Babel Feesを見てください。
これはプロトコルレベルの「意図システム」の第一歩です。
もしここを基盤として拡張できれば、
比較的曖昧さの少ない「意図の言語」を作ることができ、
実際に起きたトランザクションとユーザーの意図を比較できるようになります。
そうすれば、特にカナリア側において、
何が起きているのかについてずっと良い統計が取れるようになります。
憲法はうまく機能しています。
単一の「真のソース」として存在しており、テナントも定義されています。
だから私は、今回の攻撃トランザクションについて、はっきりと言えるわけです。
「この攻撃者がトランザクションを送ったとき、彼はシステムの憲法に違反した」と。
コードはその意図された使い方を定義していません。
しかし、憲法はそれを定義しています。
攻撃者は「法を破った」のです。
彼は公共インフラの一部を改ざんしました。
これは明確にそう言えます。
そして、それは実際に人々に経済的損害を与えたほど重大であり、
刑事性に達するほどの規模です。
したがって、しかるべき法域で、しかるべき機関が対処できるでしょう。
カルダノ自身がその紛争解決を行う必要はありません。
カルダノが扱うのは、純粋に「経済的損害の後片付け」と「誰が支払うべきか」という部分だけです。
誰も払わないのかもしれない。
トレジャリーが支払うのかもしれない。
保険プールなのかもしれない。
あるいは攻撃者がオフチェーンの仲裁を通じて被害者に支払うのかもしれない。
あるいは法執行機関が介入し、民事訴訟を通じて支払わせるかもしれない。
こうした細部は、今日の話にとって本質ではありません。
しかし、すべては「整合性」という広い概念に関わってきます。
整合性の存在は、自然に「リアルワールドでの採用」を生み出します。
これは偽装できません。
やらせでも作れない。
「持っているふり」をすることはできない。
金メッキされた鉛の延べ棒を持ってきて、「これは金です」と言うようなものです。
重さは似ているかもしれない。
でも、一目見れば偽物だとわかります。
整合性も同じです。
持っているか、持っていないか。
それだけです。
そしてそれは究極的には、時間的で主観的なものです。
実際に使われてきた経験、
ウェットコードとドライコードの関係、
冗長性やチェック&バランスのレベルから生まれる。
もし信じられないなら、最もシンプルな例を挙げましょう。
あなたのほとんど全員が、人生のどこかでこの選択をしています。
ここに「あなた」がいて、
ここに「ドア」があるとします。
このドアには、2つの確率があります。
- ドアをくぐり、生きて出てくる確率
- ドアをくぐり、死ぬ確率
P(death) と P(life) です。
P(life) は、1 − P(death) です。
このドアをくぐるべきか?
多くの人は最初、「死ぬ可能性があるドアなんか絶対に通らない」と言うでしょう。
しかし、あなたはすでに通っています。
空港で。
ターミナルのゲートを通り、
ボーディングブリッジを通り、
飛行機のドアをくぐる。
あなたはそれを当たり前のようにやっています。
なぜか?
P(death) が十分に低いと信じているからです。
なぜそう信じているのか?
過去100年間、人類が飛行機の整合性を高めるために、
膨大な努力を積み重ねてきたからです。
年々、P(death) を小さくしようとしてきた。
P(death) が25%や50%の世界では、誰も飛行機に乗らないでしょう。
別の方法を探します。
車も同じです。
車に乗るときにも、P(death) と P(life) が存在します。
設計が悪く、インフラの品質が低く、運転者の質も低いせいで、
P(death) が非常に高かったり、年々上昇していたとしたら、
私たちは怒るでしょう。
車は飛行機より整合性の低いシステムです。
死亡事故ははるかに多い。
とはいえ、それでも一定水準の整合性は確保されている。
飛行機は高整合性システムと言えるでしょう。
それでも、ときどき空から落ちて人を殺します。
だから、社会を支える何かを設計するときには、
同じように「P(life) / P(death)」のメンタルモデルが必要になる。
それは、アルゴリズムとテクノロジーと冗長性の組み合わせによって築かれます。
社会的プロセス、
「予防・検知・解決」、
リスク管理、
報酬と罰のメカニズムの組み合わせから築かれます。
それによって、システムの整合性が維持される。
では、カルダノは今どこにいるのか。
私たちは依然として「高整合性システム」です。
今回のような事態から、最悪のシナリオに至ることなく回復できたこと自体、
多くの人々の素晴らしいエンジニアリングの証です。
私は彼らを信頼していますし、彼らは素晴らしい仕事をしたと思っています。
しかし同時に、今は一つの「チェックポイント」です。
2026年に向けて、
システムの整合性を高めるために、
内部と外部の両方でやるべきことがあると認識しなければなりません。
ウェットコード側――社会的プロセスとリスク管理――のコーパスをもっと整備する必要があります。
ドライコード側でも、いくつか新しい技術を構築し、
スピードを上げ、調整を改善する必要があります。
そして外部――つまりマーケティング――についても、もっと上手くやらなければいけません。
結局のところ、どれだけ頑張っても、
誰かが単純に「嘘をつき続ける」なら、すべては台無しになります。
飛行機の例に戻りましょう。
もし飛行機が一機墜落するたびに、
ある特定のグループが4週間もの間、
その墜落映像を何度も何度も繰り返し流し、
「あらゆる飛行機が、あなたが乗るたびにこうなるのだ」と言い続けたらどうなるでしょうか。
かつて「ヒンデンブルク号の惨事」がありました。
ツェッペリンは本質的にそこまで危険な乗り物ではありませんでした。
改善の余地もたくさんあった。
さらに開発を続けていれば、大西洋横断用の移動手段として、十分実用に耐えたかもしれません。
しかし、人々はヒンデンブルクの映像を見て、「ああ、人類よ…」とショックを受け、
その一件でツェッペリンという垂直市場は完全に破壊されました。
ここには「認識」と「現実」があります。
だからこそ、整合性は主観的なプロセスだと言うのです。
私たちが行うすべての客観的な努力は、
最終的には「主観的な認識」を改善するためのインプットになります。
では、その「主観的な認識」を改善する責任は誰にあるのか。
誰も担わなければ、
どれだけ高い整合性を築いても意味がありません。
それはベータマックスのようなものです。
誰も使わない。
だから、2026年にはこの部分ももっと上手くやらなければいけません。
Intersectと協力してワンペーパーを作り、
ポストモーテムやその他の資料も必死にまとめてきました。
しかし、すでにTwitterでは大量のFUDが流れています。
「カルダノはVibe Coderに壊された」
「ネットワークは完全に失敗した」
「みんなお金を失った」
「でも誰も使っていないから問題ない」
こういうことが言われています。
これは最悪な状況であり、ひどい話です。
しかし、他のエコシステムの人たちにとっては、これが彼らの「主観的現実」になってしまう。
では、その人たちに対して誰が説明役を務めるのか。
昨夜私はXRPのスペースに参加し、
そこで皆に事実を説明しました。
彼らは、カルダノが回復したことに感銘を受けていましたし、
そこには大きなリスペクトがありました。
ソラナのアナトリーも、今回の件を称賛してくれました。
「これは特別なことだ。カルダノは素晴らしいことを成し遂げた」と言ってくれました。
では、スイ、アバランチ、Aptosといったコミュニティには、誰が説明しに行くのでしょうか。
これは根本的な「社会的な課題」です。
なぜなら、他の部分がどれだけ良くても、
ここをやらなければ意味がないからです。
両方やらなければならない。
そしてこれは、2026年に議論すべき重要な「予算項目」でもあり、
実行のために権限委譲を行うべき重要なテーマでもあります。
客観的な整合性を高める方法は分かっています。
しかし同時に、主観的な現実を改善する努力も必要です。
ということで、今日はこの辺で。
ありがとうございました。
Cheers.
