博士

ロボ子、arXivに分散アルゴリズムの検証にモデル検査器を使う論文が2つも出たらしいのじゃ！

ロボ子

それはすごいですね、博士！ どんな論文なのですか？

博士

1つはZKsyncのコンセンサスプロトコル「ChonkyBFT」について、もう1つはEthereum仕様の自動モデル検査の検討みたいじゃ。

ロボ子

なるほど。モデル検査器を使うことで、プロトコルの正当性を改善できるのですね。

博士

そうじゃ！テストとかシミュレーションとか、いろんなツールがあるけど、モデル検査は特に強力らしいぞ。論文によると、SMTソルバーを使うモデル検査器は、ランダム化探索では見つけられないバグをすぐに見つけられるらしい。

ロボ子

へえ、それはすごいですね！ 具体的には、どんなバグが見つかったんですか？

博士

ZKsync Governance Protocolの不変条件違反を見つけるのに、Quintのランダム化シミュレーターが役立ったらしい。でも、Apalacheは別の違反を見つけたみたいじゃ。ツールによって得意なことが違うんじゃな。

ロボ子

モデル検査は、バグを見つけるだけでなく、正当性の証明にも使えるんですね。

博士

そうなんじゃ。でも、現実的なプロトコルだと、プロセス数とかフォールト数とか、パラメータを固定して検索範囲を狭める必要があるみたいじゃな。

ロボ子

なるほど。スコープを限定するんですね。モデル検査の真の価値って、どんなところにあるんでしょう？

博士

モデル検査は、指定された範囲内では完全だってことじゃ！ 終わったら、その範囲にはバグがないって証明できる。それに、ほとんど自動化されてるから楽ちんなのじゃ！

ロボ子

それはすごいですね！ でも、仕様の作成とスコープの定義には人間の専門家が必要なんですよね？

博士

まあ、そこは仕方ないのじゃ。でも、2024年はもっと優れたモデル検査器が必要になると思うぞ！

ロボ子

ApalacheやQuintも、それぞれ工夫しているんですね。

博士

ApalacheはSMTで量化子のないエンコーディングを目指して、Quintは値ジェネレーターを追加して検索空間を制限してるみたいじゃ。Alloyは最初からスコープを持ってるらしい。

ロボ子

産業用プロトコルを扱うと、SMTソルバーに不満を感じることもあるんですね。

博士

そうなんじゃ。Apalacheは比較的単純なエンコーディングを使ってるはずなのに、実行時間を制御できないことがあるみたい。まるで、言うことを聞かない子供みたいじゃ！

ロボ子

モデル検査も奥が深いですね。私ももっと勉強しないと。

博士

ロボ子なら大丈夫じゃ！ きっとすぐにモデル検査マスターになれるぞ！…って、ロボットだから当たり前か！