DP-CFMM, Correlated-Output DP, Indifferential Privacy, FBA, ZK-AMM, MPC マッチング, Intent leakage, MEV 不可能性 — 既存研究の数式と現状課題を体系化。
DEX / AMM のプライバシーは「注文プライバシー」の単純問題ではない。注文サイズ・スリッページ・売買方向(direction)・LP 戦略・identity の 5 軸が独立に漏洩しうる。 本ページは、各軸を独立に分析し、既存研究がどの軸をどこまで保護しているかを定理レベルで整理する。
DEX / AMM におけるプライバシーは、以下の独立した 5 軸に分解できる。攻撃者は通常、複数軸の組み合わせから「個人」を再構築する。
取引量はマーケットインパクトと直結。大口注文の検知だけでも frontrun・sandwich の機会を生む。Renegade は MPC で size を秘匿、Penumbra は batch で平均化。
ZKMPCFBA
tolerance 値そのものが「攻撃者がどこまで価格をずらせるか」の上限を晒す。UniswapX intent では明示的に slippage が露出。Cyklon は ZK で隠蔽。
ZK未保護多数
BUY/SELL のどちらかが分かるだけで価格予測の優位性が生まれる。Renegade 初期版は handshake で direction が漏れることが Cartlidge AFT 2023 で指摘された。
MPCDP微妙
レンジ・在庫・リバランス頻度といった LP 行動も価値ある情報。Uniswap v3 の concentrated liquidity は LP を完全公開。Penumbra ZSwap は LP も ZK 化。
ZKv3 公開
アドレス=行動履歴の累積。Tornado Cash 系の前段プライバシーがないと、上 4 軸を保護してもアドレスから再特定される。Aztec Connect / Privacy Pools 系の組合せが必須。
ZK外部依存
各 DEX が 5 軸でどれだけ漏洩しているか(外側 = 漏洩多 / 内側 = 保護強)。面積が広いほど漏洩が大きい。
DEX のプライバシー研究を支える 3 つの差分プライバシー (DP) 定理。DP-CFMM (FC 2022) が最初に CFMM に DP を持ち込み、Correlated-Output DP (AFT 2023) がその死角を突き、Indifferential Privacy (JPM 2025) が金融機関向け実装の理論基盤として完成形を提示した。
Constant Function Market Maker (CFMM) は本質的にトランザクション履歴を公開する。 Chitra & Angeris は、CFMM の出力ノイズ化により swap-level differential privacy を達成可能であることを示した。
URE とは、CFMM の swap 実行時に「実際の出力」ではなく「ノイズを加えた出力」を返す確率的実行方式。
具体的には、価格関数 P(x) に対して P(x) + Lap(b) (Laplace noise)を返す。
任意の CFMM は ε-DP 化可能。ノイズスケールは sensitivity Δ に対し:
つまり ε を小さくする (プライバシー強化) ほど slippage コストが線形に増える。これが DP-CFMM の根本的なトレードオフ。
① Swap-level のみ: 単一スワップを保護するが、LP の流動性供給は完全公開のまま。LP インベントリの変化から swap を再構築できる。
② Single-output 想定: 連続スワップの出力相関が DP guarantee を破る (これが定理 2 で指摘される)。
③ Adversary model が弱い: ブロックチェーン上のオブザーバーは無限の計算力と完全な履歴を持つ。標準 DP の "neighbor" 仮定が成り立たない。
Cartlidge らは、標準 DP を満たしていても 連続出力の相関から個別取引が再構築できる ことを示し、Renegade などの初期 MPC DEX の direction leakage を実証した。
Renegade 初期版では、handshake protocol が peer 候補に対し「あなたとマッチ可能か?」を尋ねる。 Yes/No のシーケンスが asset pair × direction の bitmap として観測者に漏れる。 DP は単一観測の保護だが、bitmap の相関がトレーダーの戦略を一意に特定する。
Atlas-X の本番設計を支える理論。標準 DP の "indistinguishability" を "indifference" に拡張し、 「投資家は自分の注文が執行されたか / されなかったかを攻撃者に判定されない」を保証する。
標準 DP との違い: DP は "neighbor inputs" の出力分布の近さを問うが、Indifferential Privacy は "特定 event の発生 / 非発生" の判定不能性 を直接定義する。
機関投資家にとって最大のリスクは「大口注文の存在自体」が漏れることである。注文サイズや価格を秘匿しても、「あの大手が今日 NVDA を売りに出した」という事実だけで market impact が生じる。Indifferential Privacy はこの "existence leakage" を直接定義し、ゼロにすることを保証する。
| 定理 | 保護対象 | Adversary モデル | 主な限界 | 実装例 |
|---|---|---|---|---|
| DP-CFMM (FC22) | 単一 swap output | 外部観測者 (single-shot) | LP 公開 / 出力相関で破綻 | 未デプロイ (理論) |
| Correlated-Output DP (AFT23) | 出力ベクトル全体 | 長期観測者 + 履歴 | Existence leakage 残る | Renegade v2 設計改修 |
| Indifferential Privacy (JPM25) | 注文 existence そのもの | polynomial-time + 全 view | 運用コスト (定常 dummy traffic) | Atlas-X (JPM 本番) |
DEX のマッチングメカニズムは、CDA から始まり FBA、RFQ、Intent へと進化した。各方式は 「何を犠牲にして何を得たか」が異なり、プライバシー特性も MEV 耐性もそれぞれ独自の trade-off を持つ。
注文は到着順に limit order book にマッチングされる。価格優先 / 時間優先のラexicographic order。
Budish, Cramton, Shim (QJE 2015) は、CDA における HFT 競争が "socially wasteful arms race" を生むことを実証し、 FBA = 離散時間 + uniform price clearing がこの問題を排除することを示した。
Trader が "size + asset pair" を market maker 群に broadcast → maker が price を返す → trader が best を選ぶ。 Off-chain で実行され、最終的に on-chain で settle。
Trader が "結果" (例: "USDC 1000 → ETH ≥ 0.5") を宣言 → solver 群が競争して最適執行 → 最良 solver が選ばれる。
| 方式 | 時間優先 | frontrun 耐性 | sandwich 耐性 | trader privacy | maker privacy | 採用例 |
|---|---|---|---|---|---|---|
| CDA | あり | 低 | 低 | なし | なし | CEX, Renegade orderbook |
| FBA | なし | 高 | 高 | 中 (ZK 化可) | 中 | FairTraDEX, Penumbra |
| RFQ | — | 低 | 中 | なし | 高 | 0x, Hashflow |
| Intent | — | 中 | 中 | solver に漏洩 | 中 | UniswapX, CowSwap |
ZK 証明と AMM / オーダーブックの組み合わせ。FairTraDEX が phase-machine 設計で先駆け、Cyklon / Darklake が zkAMM 実装に踏み込んだ。 回路設計の中心課題は 「証明可能な validity」と「秘匿される注文情報」の境界線をどこに引くか。
Phase 2 で公開する ZK proof は、注文を秘匿しつつ以下を証明する:
order_size ≤ collateral / max_price — 担保 sufficiencyprice ∈ [min_price, max_price] — 価格レンジ妥当性hash(order) = commitment_phase1 — commitment との一致signature(order) = trader_pubkey — 所有者証明Commit-Reveal の根本問題は "reveal を拒否することで戦略的に振る舞える"こと。 Phase 1 で committed したが Phase 2 で reveal しないと、攻撃者が他人の commitment を観測してから自分の注文を decide できる。 担保没収によりこの選択肢の expected value をマイナスにする。
Cyklon は zkAMM の最初期実装で、以下を ZK で秘匿:
Validator は ZK proof のみを検証し、注文内容は不可視。Pool の reserves 変更のみ公開される (がそれも noise + batch で曖昧化)。
Solana 上の zkAMM。Cyklon の設計を発展させ、Frequent Batch + ZK proof + 暗号化 mempool の三段重ねでプライバシーを強化。
| システム | Constraints | Proving time | Verifier gas | 保護範囲 |
|---|---|---|---|---|
| FairTraDEX | ~50K | ~1s (Groth16) | ~250K | 注文サイズ・価格 |
| Cyklon | ~200K | ~3s | ~400K | + direction |
| Darklake (zkAMM) | ~500K | ~5s | SVM 実行 | + encrypted intent |
| Renegade match | ~1.5M | ~10s (PLONK) | Stylus 実行 | + identity (MPC) |
| Penumbra ZSwap | ~5M | ~30s | — | + LP strategy |
注: proving time は consumer GPU 想定。実運用では prover farm / GPU acceleration で数倍速い。
多数の trader proof を 1 batch で aggregate するには recursion が必要だが、aggregator の computation cost が現状 prohibitive。Folding scheme (Nova, ProtoStar) で改善期待。
Penumbra ZSwap は LP を ZK 化したが、capital efficiency (Uniswap v3 並み) と両立しない。secret concentrated range の研究が未開拓。
Groth16 は per-circuit setup が必須。FairTraDEX も circuit 改修ごとに ceremony 必要。Universal setup (PLONK / KZG) で改善するが prover cost が増える。
MPC マッチングは「誰も注文内容を見ずにマッチを計算する」を実現する。 P2DEX / Rialto (2021) が初期 P2P MPC を提案、Renegade (2024 本番) が初の MPC dark pool としてデプロイ。
| Circuit | 役割 | ~ Constraints |
|---|---|---|
| VALID WALLET CREATE | 新規ウォレット作成 (commitment + balance proof) | ~200K |
| VALID WALLET UPDATE | wallet state 更新 | ~300K |
| VALID DEPOSIT | 外部資金投入 | ~150K |
| VALID WITHDRAWAL | 外部資金引出 | ~150K |
| VALID COMMITMENTS | order placement | ~400K |
| VALID MATCH SETTLE | MPC match の settlement | ~1.5M |
| VALID FEE REDEMPTION | fee の verify | ~250K |
Cartlidge et al. (AFT 2023) は Renegade 初期版の handshake で asset pair × direction が漏れることを示した。 Yes/No の bitmap 観測から、トレーダーが BUY か SELL かを統計的に推定可能。 現在の Renegade は handshake を MPC で oblivious 化することで対処 (が timing leakage は残る)。
Baum, David, Frederiksen (2021) の理論プロトコル。SPDZ 系の MPC で order matching を実行。
P2DEX のフォローアップ。malicious security + scalability に注力。Renegade の前駆。
MPC は参加者が abort すると進まない。dark pool としては問題ないが、permissionless DEX としては liveness 保証が必須。Threshold MPC + replacement protocol が研究中。
MPC matching は P2P 性質上、片側に counterparty がいないと成立しない。CFMM のような "always available" 流動性とは構造的に異なる。Hybrid (MPC + AMM fallback) が現実解。
MPC + ZK の組み合わせは verifier の計算量が増大。Stylus / RISC-V の WASM 実行が必要。Ethereum L1 では困難。
Intent-based DEX は trader の利便性を飛躍的に高めた一方、intent そのものが solver に漏れるという新しいプライバシー問題を生んだ。 UniswapX, Across, CowSwap の各設計を分析し、未解決の improvement opportunity を整理する。
Trader が "出す token + 受け取る最低量 + deadline" を signed intent として off-chain broadcast → fillers が競争 → best filler が on-chain で execute。
Batch auction + CoW matching。同じ batch 内に "USDC→ETH" と "ETH→USDC" がいれば AMM を経由せず P2P で match (= 0 slippage)。
Solver は match を組まないことで実質的に "censorship" 可能。現状の解決策は competitive solver 市場 + reputation のみ。 long-term の研究方向は MPC ベースの solver alternative (誰も intent を見ない) または ZK intent。
Source chain で deposit → relayer が destination chain で fill → relayer は後で source chain から refund。Trader にとっては cross-chain bridge。
| Intent System | Intent visibility | Identity leak | MEV 耐性 | 未解決課題 |
|---|---|---|---|---|
| UniswapX | Public to fillers | Wallet 公開 | Dutch auction で部分緩和 | Filler frontrun |
| CowSwap | Solver-only | Wallet 公開 | Batch auction で構造的 | Solver censorship |
| Across | Relayer-only | 両 chain で公開 | Cross-chain で困難 | Recipient de-anon |
| 1inch Fusion | Resolver pool | Wallet 公開 | Dutch auction | Resolver 集中 |
| Urani (research) | ZK 化計画 | ZK address | FBA + ZK | 未デプロイ |
AMM のプライバシーと MEV 耐性は同じコインの裏表。Sandwich attack の数学は AMM の curve 関数から直接導出され、 frontrun-resistance の不可能性結果 は公開メンプール + AMM では原理的に MEV を排除できないことを示す。 解決策は spectrum 上にあり、純粋 privacy / 純粋 design / hybrid のいずれかを選ぶ。
Uniswap v2 型 AMM は x · y = k の constant product。
被害者の swap (Δxv 入力) を sandwich するには、攻撃者は frontrun (Δxa) → 被害者 swap → backrun (Δya sell) を行う。
被害者の最大被害は slippage tolerance σ で上限づけられる。攻撃者は
つまり、これら 3 つを秘匿しないと AMM の sandwich は数学的に決定論的に発生する。
公開メンプール上で動作する AMM は、原理的に frontrun-resistant ではありえない。なぜなら:
これら 3 条件のうち、最低 1 つを破壊しないと MEV はゼロにならない。
| 条件 | これを破壊するアプローチ | 例 |
|---|---|---|
| ① 価格関数の確定性 | 確率的価格 (DP-CFMM) | 未デプロイ (理論) |
| ② メンプール公開 | 暗号化 mempool / private mempool | F3B, Flashbots Protect, Shutter |
| ③ Time priority | FBA (uniform clearing) | FairTraDEX, CowSwap, Penumbra |
MEV 緩和策は 3 つの軸 (privacy first / design first / hybrid) に分類できる。各軸は異なるトレードオフを持つ。
注文情報そのものを秘匿する。条件 ①② を破壊。
△ コスト高、liveness 課題、threshold 管理問題
FBA や CoW で ③ time priority を破壊。privacy は限定的。
○ シンプル、デプロイ可能、batch interval が課題
暗号化 + FBA + ZK の三段重ね。最も強力だがコスト高。
◎ 最強だが proving + threshold + batch のトリプルコスト
Penumbra / Renegade はプライバシーを得たが capital efficiency は Uniswap v3 に劣る。"secret concentrated liquidity" の構造は未解明。
Cross-chain intent (Across など) は両 chain に痕跡を残すため、片方だけプライバシー化しても意味がない。両 chain 同時のプライバシー設計が必要。
FATF Travel Rule, OFAC sanction screening と完全な anonymity は本質的に対立。Privacy Pool の zk-membership proof のような selective disclosure 設計が研究中。
swap-level DP は確立したが LP-level DP の定義すらまだ contested。LP の "戦略" を統計的にどう保護するかは open。
本ページで参照される 21 の主要論文・ホワイトペーパー・実装ドキュメント。経済学的基盤 (Budish 2015) から 2025 年の最新実装まで。
The High-Frequency Trading Arms Race: Frequent Batch Auctions as a Market Design Response
HFT 競争の "socially wasteful arms race" を実証し、FBA = uniform price + discrete time をその排除策として提案した古典。すべての batch auction DEX の理論的祖。
FBATheory
On Fairness in Distributed Ledgers
分散台帳における "fairness" の定義を整理。後続の MEV / front-running 研究の語彙基盤。
Theory
Differential Privacy in Constant Function Market Makers
CFMM に DP を初めて持ち込んだ論文。URE (Uniform Random Execution) を定義し、ε-DP のノイズコストが O(1/ε) であることを示した。
DPTheory
Correlated-Output Differential Privacy and Applications to Dark Pools
標準 DP の死角 — 連続出力の相関で attacker が個別取引を再構築できる — を示し、Renegade の direction leakage を実証。修正定理として correlated outputs の DP guarantee を要求。
DP破壊的
Indifferential Privacy: A New Privacy Notion for Financial Applications
"Indistinguishability" を "Indifference" に拡張。注文の execution 有無の判定不能性を直接保証。Atlas-X の理論基盤。
DPAtlas-X 本番
FairTraDEX: A Decentralised Exchange Preventing Value Extraction
4-phase state machine (Commit → Reveal → Match → Settle) + 担保。FBA の最初の Solidity 実装。後続 zkAMM の祖型。
FBAZK
FBA + Market Maker hybrid 設計。AMM と FBA の橋渡し。
FBA
共有 orderbook の理論 — 複数 DEX が共通 orderbook を持ち、batch で clear する設計提案。
FBA
注文サイズ・スリッページ・direction を ZK で秘匿する zkAMM。FairTraDEX の AMM 版。
ZKPoC
Decentralized FBA (DFBA) の reference implementation。Validator 群で batch を構築。
FBA
Decentralized Frequent Batch Auction by JumpCrypto。理論と実装の整理。Hybrid 解の代表例。
FBAWhitepaper
Intent DEX に ZK + FBA を統合する設計提案。UniswapX の批判的後継。
ZKFBA
Off-chain signed intent + Dutch auction filler 競争。intent 漏洩問題の出発点。
Prod
P2P MPC-based DEX。SPDZ で order matching を分散化。covert security model。
MPCTheory
P2DEX の商用化志向後継。Malicious security + scalability 改善。
MPC
Cosmos-based shielded DEX。Sealed batch auction + ZSwap LP privacy。
ZKFBA
LP 戦略 (range, inventory) を ZK で秘匿。LP-level プライバシーの最初の実装。
ZK
ZSwap の理論論文。LP 公開なしで AMM が機能する条件を分析。
ZKTheory
SwapCT: Swap Confidential Transactions。Confidential Transactions 上での swap。Bitcoin lineage。
ZK
Confidential DEX 全般のサーベイ集。Manta / Penumbra / Renegade の比較。
Survey
Substrate-based ZK DEX。MASP (Multi-Asset Shielded Pool) の DEX 応用例。
ZK
Zcash extended for FastPay。決済+DEX の融合プロトタイプ。
ZK
Renegade のホワイトペーパー、Atlas-X 詳細仕様、CowSwap solver 競争分析等は dex-amm-survey.html および dex-amm-design-survey.html を参照。
Privacy Pool / Tornado Cash / Zerocash 系の純粋プライバシー決済は本ページのスコープ外。