ブロックチェーン学習ロードマップ

Ethereumの永続データ構造：Merkle Patricia Trieによる状態管理技術

はじめに

ブロックチェーン技術の根幹には、データの整合性と永続性を保証する仕組みがあります。特に、Ethereumのようなアカウントベースのブロックチェーンでは、「状態」と呼ばれるシステム全体の状況を正確に管理することが不可欠です。この「状態」には、すべてのアカウントの残高、スマートコントラクトのコード、ストレージなどが含まれます。

この状態を効率的かつ安全に管理するために、Ethereumでは特殊なデータ構造が採用されています。それが「Merkle Patricia Trie (MPT)」です。MPTは、既存の技術要素であるMerkle TreeとPatricia Trie（またはRadix Treeとも呼ばれます）を組み合わせたもので、ブロックチェーン特有の要件、特に永続性と検証可能性を満たすように設計されています。

Webエンジニアの多くは、データベースにおけるB-treeやB+treeのようなインデックス構造に馴染みがあるかと思います。これらはデータの検索や更新を効率化するための構造ですが、ブロックチェーンの状態管理に求められるのは、単に効率的なアクセスだけでなく、「その状態が過去の特定時点から一切改ざんされていないこと」を誰でも簡単に検証できる仕組みです。MPTは、この検証可能性を強力にサポートします。

本記事では、Ethereumの状態管理を支える基盤技術であるMerkle Patricia Trieの仕組みについて、その構成要素であるMerkle TreeとPatricia Trieから順に解説し、どのようにこれらが組み合わされてブロックチェーンの重要な機能を実現しているのかを技術的に掘り下げていきます。

Merkle Treeの仕組み

Merkle Tree（マークルツリー）は、データの集合の改ざんを効率的に検出するためのツリー構造です。リーフノードに元データのハッシュ値を持ち、それ以外のノードは自身の子ノードのハッシュ値を結合してさらにハッシュ化した値を持ちます。最終的に、ツリーの根元にあるノードをルートノードと呼び、そのハッシュ値をMerkle Rootと呼びます。

      Merkle Root (Hash(H(AB) + H(CD)))
           /                      \
          /                        \
     H(AB) = Hash(H(A) + H(B))    H(CD) = Hash(H(C) + H(D))
       /        \                 /        \
      /          \               /          \
   H(A)=Hash(Data A)  H(B)=Hash(Data B)  H(C)=Hash(Data C)  H(D)=Hash(Data D)

Merkle Treeの重要な利点は、データの改ざんを効率的に検証できる点にあります。例えば、"Data C"が改ざんされていないことを証明したい場合、"Data C"自体のハッシュ値（H(C)）と、その兄弟ノードであるH(D)、そしてその親の兄弟ノードであるH(AB)があれば、ルートハッシュ（Merkle Root）を再計算して検証することができます。これをMerkle Proof（マークルプルーフ）と呼びます。ツリーの高さが対数的にしか増加しないため、検証に必要なデータ量も少なく済みます。

ブロックチェーンでは、トランザクションの集合を一つのブロックに格納する際にMerkle Treeがよく利用されます。ブロックヘッダーにはトランザクションのMerkle Rootが含まれており、これによりブロック内の任意のトランザクションが含まれていること、およびそのトランザクションが改ざんされていないことを効率的に検証できます。

Patricia Trie (Radix Tree) の仕組み

Patricia Trie（パトリシアトライ、またはRadix Tree ラディックスツリー）は、キー文字列のプレフィックスを共有することでノードを圧縮したトライ（Prefix Tree）の一種です。キーとそれに対応する値を格納するデータ構造として利用されます。通常のトライよりもノード数が少なく、特定のキーを検索する効率が良いのが特徴です。

Patricia Trieでは、各ノードはキーの断片を持ち、子ノードへのパスはキーの次の部分文字列に対応します。キーの終端に到達するノードが値を持つこともあります。

例えば、キーとして "cat", "car", "cart", "dog" を格納する場合：

   (root)
     / \
    /   \
  'c'   'd'
   |     |
  'a'   'o'
   |     |
  't'(Value 'cat') 'g'(Value 'dog')
   |
  'r'
   | \
   |  \
 '(end)' 't'(Value 'cart')
 (Value 'car')

この例では、'c'で始まるキーは共通のパスを辿ります。'car'と'cart'は'car'までパスを共有し、その後分岐します。Patricia Trieは、共通するプレフィックスが長い場合にノードを圧縮し、より効率的な構造を実現します。キーの検索、挿入、削除はキーの長さに比例する時間計算量で行うことができます。

Merkle Patricia Trie (MPT) の構造

Merkle Patricia Trieは、Merkle Treeの改ざん耐性と検証可能性、そしてPatricia Trieのキーによる効率的なデータ管理能力を組み合わせたデータ構造です。Ethereumの状態、トランザクション、レシートなど、ブロックチェーンの重要なデータを格納するために使用されます。

EthereumのMPTは、16進数表現されたキー（アドレスやハッシュなど）を使用してデータを格納します。各ノードは最大16個の子ノードを持つことができ、キーの各桁（16進数の1文字）がパスを決定します。

MPTには主に3種類のノードが存在します。

1. Extension Node (拡張ノード):

   • 共通のプレフィックスを持つキーの連続を圧縮するために使用されます。
   • [ 共通プレフィックス, 子ノードへのポインタ ] という形式で構成されます。
   • 子ノードへのポインタは、別のノードのハッシュ値（32バイト）または短い値（インライン化されたノード）です。

2. Branch Node (分岐ノード):

   • キーのパスが分岐する点に使用されます。
   • 最大16個の子ノードへのポインタ（インデックス0から15に対応）と、オプションでこのノード自体に対応する値 (value) を格納するためのスロット（インデックス16）を持つ、合計17要素の配列 [pointer0, ..., pointer15, value] の形式で構成されます。
   • 子ノードへのポインタは、Extension Nodeと同様にハッシュ値またはインライン化されたノードです。

3. Leaf Node (リーフノード):

   • キーの終端に到達し、対応する値を格納するために使用されます。
   • [ キーの残りの部分, 値 ] という形式で構成されます。
   • キーの残りの部分は、共通プレフィックスが取り除かれた後の、キーの終端までの一意な部分です。効率的な格納のために、この部分も特殊なエンコーディング（Hex-prefix encoding）が施されます。

これらのノードは、それぞれがハッシュ化されて親ノードから参照されます。ノードが小さい場合は、そのハッシュ値の代わりにノード自身のデータが直接親ノードに格納される（インライン化される）こともあります。これにより、不要なノードのルックアップを減らし、効率を高めています。

MPTのRoot Nodeのハッシュ値（State Root, Transactions Root, Receipts Rootなど）は、ブロックヘッダーに格納されます。

EthereumにおけるMPTの利用

Ethereumでは、ブロックの実行に伴ってシステムの状態が遷移します。この状態は、アカウント情報（ナンス、残高、ストレージルート、コードハッシュ）やスマートコントラクトのストレージデータなどで構成されます。これらの情報はすべて、State Trieと呼ばれる単一のMPT構造に格納されます。

• キー: Ethereumアカウントのアドレス（20バイト）やスマートコントラクトのストレージスロットを示すハッシュ値などです。これらは16進数文字列として扱われ、MPTのキーとして使用されます。
• 値: アカウントの情報やスマートコントラクトのストレージスロットの値などです。

アカウント情報自体も、内部的にストレージデータを格納するための別のMPT（Storage Trie）のルートハッシュを持っています。これにより、アカウントの状態とストレージデータが階層的に管理されます。

トランザクションやレシート（トランザクション実行結果の記録）も、それぞれ別のMPT構造（Transactions Trie, Receipts Trie）で管理され、それぞれのルートハッシュがブロックヘッダーに格納されます。

あるブロックのState Rootが分かれば、そのブロック実行時点での任意のアカウントの残高やスマートコントラクトの特定のストレージスロットの値がどうなっていたかを、MPT構造を辿って検証することができます。これがブロックチェーンにおける状態の検証可能性を支える重要な仕組みです。

技術的な利点と応用

EthereumがMPTを採用している主な技術的な利点は以下の通りです。

1. 状態の検証効率:

   • MPTのルートハッシュ（State Root）一つで、その時点のシステム全体の正確性を代表できます。
   • 特定のアカウントやストレージスロットの状態を検証する際に、ツリー全体ではなく、ルートから対象ノードまでのパスにあるノードと、パス上の各ノードの兄弟ノードのハッシュ値（Merkle Proof）のみがあれば検証可能です。これにより、検証者は全ノードのデータをダウンロードすることなく、状態の正当性を確認できます。これは特にライトクライアントにとって非常に重要です。

2. 改ざん耐性:

   • わずかなデータ（キーに対応する値など）の変更も、リーフノードからルートノードに至るまで、そのハッシュ値を再計算させるため、最終的にState Rootが変化します。State Rootがブロックヘッダーに記録されているため、過去の状態の改ざんは容易に検出されます。

3. 永続性:

   • MPTは「永続データ構造」の特性を持ちます。これは、データの更新や挿入を行っても、古いバージョンのデータ構造（つまり、古い状態）もそのまま保持されることを意味します。新しい状態は、変更されたパス上のノードを新しく作成し、それらを辿る新しいルートを持つことで表現されます。古いノードはそのまま再利用されます。これにより、過去の任意のブロックの状態を効率的に参照することが可能です。

4. 効率的な更新:

   • Patricia Trieの特性により、キーの挿入、削除、更新はキーの長さに比例する時間で行えます。変更はルートノードから対象のリーフノードへのパス上に影響するノードのみに限定されるため、状態全体を再構築する必要はありません。

これらの特性により、MPTはEthereumのようなブロックチェーンにおいて、分散環境での信頼性の高い状態管理、高速な状態検証、そして過去の状態へのアクセスを可能にしています。State Proofは、オラクルサービスがブロックチェーンの状態を検証したり、クロスチェーンブリッジが状態の正確性を確認したりする際にも利用される基盤技術です。

実装のイメージ（疑似コードとノード構造）

MPTの実装は複雑ですが、基本的なノード構造と検索のロジックのイメージを掴むことはできます。

ノード構造のイメージ

# 疑似コードによるノード構造のイメージ

class Node:
    pass # 基底クラス

class ExtensionNode(Node):
    def __init__(self, prefix, next_node_pointer):
        self.prefix = prefix # キーの共通プレフィックス（エンコード済み）
        self.next_node_pointer = next_node_pointer # 次のノードのハッシュ or インラインノード

class BranchNode(Node):
    def __init__(self, children, value=None):
        # children: 16要素のリスト。各要素は子ノードのハッシュ or インラインノード or None
        self.children = children
        self.value = value # このノード自体に紐づく値 (オプション)

class LeafNode(Node):
    def __init__(self, suffix, value):
        self.suffix = suffix # キーの残りの部分（エンコード済み）
        self.value = value # キーに対応する値

# 注意: 実際のEthereumクライアント実装では、ハッシュ値の解決やDBからのロード、
#       ノードのインライン化判定など、より複雑な処理が必要です。

キー検索のイメージ

キー（16進数文字列）を指定してMPTを辿り、値を取得する基本的な流れです。キーはパスを決定する「nibble」（4ビット、16進数1文字）の列として扱われます。

# 疑似コードによるMPT検索ロジックのイメージ

def get_value(root_node_hash, key_hex_string, db):
    current_node_pointer = root_node_hash
    remaining_key_nibbles = hex_string_to_nibbles(key_hex_string)

    while current_node_pointer is not None:
        node = load_node_from_db_or_cache(current_node_pointer, db)

        if isinstance(node, ExtensionNode):
            # ExtensionNodeの場合、プレフィックスとキーの先頭部分を比較
            encoded_prefix = node.prefix # エンコードされたプレフィックス
            decoded_prefix_nibbles = decode_hex_prefix(encoded_prefix)

            if remaining_key_nibbles.startswith(decoded_prefix_nibbles):
                # プレフィックスが一致する場合、キーの対応部分を消費し、次のノードへ
                remaining_key_nibbles = remaining_key_nibbles[len(decoded_prefix_nibbles):]
                current_node_pointer = node.next_node_pointer
            else:
                # プレフィックスが一致しない場合、キーは存在しない
                return None

        elif isinstance(node, BranchNode):
            # BranchNodeの場合、キーの次のnibbleで分岐
            if not remaining_key_nibbles:
                # キーの終端に到達した場合、このノードの値を確認
                return node.value # BranchNode自体に値がある場合

            next_nibble = remaining_key_nibbles[0] # キーの次の16進数文字
            child_index = nibble_to_index(next_nibble)
            remaining_key_nibbles = remaining_key_nibbles[1:]
            current_node_pointer = node.children[child_index]

            # このノードに値があり、キーの終端に到達した場合はその値を返す
            if not remaining_key_nibbles and child_index == 16: # 17番目のスロットは値用
                 return node.value # これは実際の実装とは少し異なりますが、概念として

        elif isinstance(node, LeafNode):
            # LeafNodeの場合、ノードのサフィックスとキーの残りを比較
            encoded_suffix = node.suffix # エンコードされたサフィックス
            decoded_suffix_nibbles = decode_hex_prefix(encoded_suffix)

            if remaining_key_nibbles == decoded_suffix_nibbles:
                # 残りのキーとサフィックスが一致した場合、値を見つけた
                return node.value
            else:
                # 一致しない場合、キーは存在しない
                return None
        else:
             # 未知のノードタイプ
             return None # エラーまたはキーなし

    return None # キーが見つからなかった場合

# 補助関数 (詳細は省略)
# hex_string_to_nibbles(s): 16進数文字列をnibbleのリストに変換
# decode_hex_prefix(encoded): エンコードされたnibble列をデコード
# nibble_to_index(n): nibble文字をインデックス(0-15)に変換
# load_node_from_db_or_cache(pointer, db): ポインタ（ハッシュ）からノードデータをロード

この疑似コードはMPTの構造と検索ロジックを非常に簡略化したものです。実際のEthereumクライアント実装では、Hex-Prefix Encoding、コンパクトエンコーディング、ノードのハッシュ化とデハッシュ化、データベースとの連携、ノードのインライン化、ガベージコレクションなど、さらに多くの詳細な技術要素が関わってきます。しかし、Extension Node、Branch Node、Leaf Nodeの間をキーのnibbleに基づいて辿っていくという基本的な考え方は変わりません。

まとめと次のステップ

Merkle Patricia Trieは、Ethereumブロックチェーンの「状態」という概念を永続的かつ効率的に管理するための、極めて洗練されたデータ構造です。Merkle Treeによる検証可能性と、Patricia Trieによる効率的なキー管理能力を組み合わせることで、Ethereumの状態の正確性をState Rootハッシュ一つで保証し、特定の状態に対するProofを効率的に生成することを可能にしています。

Webエンジニアとして、データベースのインデックス構造のようにデータを効率的に管理する仕組みは馴染み深いかもしれませんが、ブロックチェーンのMPTはそれに加えて、過去の状態への永続的なアクセスと、分散環境での第三者による容易な検証を可能にしている点が異なります。このMPTの理解は、Ethereumがどのように機能しているか、特にState Sync、Light Client、およびState Proofを活用する様々なプロトコル（オラクル、ブリッジなど）を理解する上で不可欠です。

さらに学習を進めるためには、以下のトピックが関連します。

• State Sync: ノードがどのようにState Trieのデータを同期するのか（Fast Sync, Snap Syncなど）。
• Light Client: MPTとState Proofを利用して、フルノードに依存せずにブロックチェーンの状態を検証する仕組み。
• Hex-Prefix Encoding: MPTで使用されるキーのエンコーディング方式の詳細。
• RLP (Recursive Length Prefix) Encoding: Ethereumでデータをシリアライズする際に使用されるエンコーディング方式。MPTノードの格納にも関連します。

これらの技術を深く理解することで、Ethereumがどのようにして非中央集権的で検証可能な状態管理を実現しているのか、そしてそれがdAppsやプロトコルの開発にどのような影響を与えるのかをより深く理解できるようになります。