9 минут для взлома кошелька: статья о квантовых вычислениях Google потрясла криптосообщество, наступает ли «Y2K» для биткоина?

Автор: Капи Тсилила, Deepflow TechFlow

31 марта команда Google Quantum AI опубликовала белую книгу; заголовок звучит обыденно, но содержание взрывается.

Ключевой вывод статьи: взломать эллиптическое криптование (ECC-256), защищающее биткоин- и эфириум-кошельки, можно, используя квантовые вычислительные ресурсы примерно в 20 раз меньше, чем считалось ранее. В частности, менее чем 1200 логических кубитов и 90 миллионов вентилей Toffoli достаточно, чтобы на сверхпроводниковом квантовом компьютере взломать менее чем 500 000 физических кубитов — и это займет всего несколько минут.

В тот же день Caltech и квантовый аппаратный стартап Oratomic опубликовали еще одну статью, выводы в которой еще более агрессивные: на квантовом компьютере с нейтрально-атомной архитектурой для запуска атаки хватит уже примерно 10 000 физических кубитов, а 26 000 кубитов позволят взломать ECC-256 в течение около 10 дней.

Обе статьи вместе складываются в самое серьезное за всю историю криптоиндустрии предупреждение о квантовой угрозе.

От «теоретической далекой угрозы» к «отсчету, который можно просчитать по календарю»

Чтобы понять силу удара этих двух работ, нужно посмотреть на временную шкалу: в 2012 году академическое сообщество оценивало, что для взлома ECC-256 требуется около 1 миллиарда физических кубитов. В 2023 году работа Дэниела Литински сжала эту цифру примерно до 9 миллионов. Новая статья Google опускает ее до менее 500 000. Oratomic идет еще дальше — до 10 000.

За двадцать лет — сжатие на пять порядков.

Это означает, что рамка обсуждения квантовой угрозы полностью изменилась. Раньше основной нарратив был таким: «квантовым компьютерам до взлома криптографии еще десятки лет», теперь же стало: «если прогресс в оборудовании ускоряется нелинейно, окно может быть всего пять—десять лет». Исследователь Ethereum Foundation Джастин Дрейк (он же соавтор статьи Google) оценивает, что к 2032 году вероятность того, что квантовые компьютеры взломают закрытые ключи secp256k1 ECDSA, будет как минимум 10%.

В статье Google описаны два сценария атак.

Первая — «немедленная атака» (on-spend attack). Когда пользователь биткоина инициирует транзакцию, публичный ключ на короткое время оказывается в памяти пулов (memory pool). Достаточно быстрый квантовый компьютер сможет менее чем за 9 минут вывести закрытый ключ из публичного и перехватить средства, начав конкурентную транзакцию до подтверждения. С учетом того, что среднее время между блоками в биткоине составляет около 10 минут, в статье оценивается, что вероятность успеха такой атаки — примерно 41%.

В области криптографии вероятность взлома 41% — это не статистическая погрешность, а сигнальная схема, которая уже была пробита.

Вторая — «атака в покое» (at-rest attack), направленная на спящие кошельки, где публичные ключи уже раскрыты в блокчейне. У этой атаки нет временного ограничения: квантовый компьютер может считать в своем темпе. В статье оценивается, что около 6,9 миллиона BTC (треть от общего предложения) находятся в состоянии такой экспозиции; среди них около 1,7 миллиона монет из эпохи Сатоши Накамото и большой объем средств с раскрытыми публичными ключами из‑за повторного использования адресов.

По текущим ценам эти 6,9 миллиона BTC стоят более 4500 миллиардов долларов.

Taproot: хотели улучшить приватность, а в итоге расширили поверхность атаки

Одно из неожиданных открытий в статье заключается в том, что обновление Taproot в 2021 году в биткоине создало новые уязвимости в измерении квантовой устойчивости. Taproot предназначен для повышения эффективности транзакций и приватности и использует схему подписи Schnorr. Но особенность подписей Schnorr в том, что публичный ключ по умолчанию раскрывается в блокчейне, а защита «сначала хэш, потом раскрытие», существовавшая в старом формате адресов (P2PKH), исчезла.

Иными словами, улучшение Taproot с точки зрения традиционной безопасности одновременно открывает дверь в измерении квантовой безопасности. Этот квантово-уязвимый пул биткоина расширяется: от монет ранних выпусков и адресов с повторным использованием — до всех кошельков, использующих Taproot.

Ethereum: проблема еще больше, но подготовка раньше

Если биткоин сталкивается с риском «на уровне кошелька», то проблема Ethereum — «на уровне инфраструктуры».

Статья Google указывает, что Ethereum подвергается квантовым атакам на пяти уровнях: персональные кошельки, ключи управления смарт-контрактами, проверки PoS-стейкинга, сети Layer 2 и механизмы выборки доступности данных. В статье оценивается, что топ‑1000 кошельков Ethereum держит около 20,5 миллионов ETH, и квантовый компьютер, который раскрывает ключ за каждые 9 минут, сможет полностью их очистить менее чем за 9 дней. По текущей цене ETH стоимость этих активов составляет порядка 41,5 миллиарда долларов.

Более глубокая проблема — системный риск. На Ethereum около 200 миллиардов долларов в стейблкоинах и токенизированных активах полагаются на подписи ключами администраторов, а около 37 миллионов стейкнутых ETH подтверждаются теми же цифровыми подписями, которые также легко подвергаются атаке. Если крупный стейкинг-пул будет взломан, атакующий может даже нарушить работу самого механизма консенсуса.

Но у Ethereum есть структурное преимущество: время генерации блока — всего 12 секунд; большинство транзакций подтверждаются в течение минуты, и при этом широко используются приватные мемпулы. Из-за этого «немедленная атака» на Ethereum гораздо менее осуществима, чем на биткоине.

Хорошая новость в том, что сообщество Ethereum реагирует более активно.

На прошлой неделе Ethereum Foundation запустил pq.ethereum.org, собрав результаты восьми лет исследований постквантовой криптографии; более 10 команд клиентов продвигают разработку и тестирование тестнетов каждую неделю. Виталик Бутерин ранее тоже публиковал roadmap по квантовой устойчивости. По сравнению с этим биткоин-сообщество с его консервативной культурой управления: предложение BIP-360 (введение формата квантово-устойчивых кошельков) уже в феврале было объединено в репозиторий BIP, но оно решает только один тип проблемы с раскрытием публичных ключей; для полноценной криптографической миграции потребуется изменение протокола масштаба больше.

Реакция сообщества: паника, рациональность и «это ведь не только наша проблема»

Реакция криптоиндустрии, как и ожидалось, разделилась на несколько лагерей.

Лагерь паники представлен CEO Project Eleven Алексеем Пруденом: «Эта статья напрямую опровергает каждый довод, которым криптоиндустрия пользовалась, чтобы игнорировать квантовую угрозу». Партнер Dragonfly Хасиб Кереши в X выразился более прямо: «Постквантум больше не репетиция».

Рациональные оптимисты во главе с CZ считают, что криптовалютам нужно лишь обновиться до алгоритмов квантовой устойчивости — «нет необходимости паниковать». Технически это утверждение верно, но оно игнорирует ключевой вопрос: децентрализованные блокчейны не могут, как банки или военные сети, принудительно внедрять обновления программного обеспечения. Миграционный цикл инфраструктуры биткоина — от кошельков пользователей до поддержки на биржах и новых форматов адресов — может занять пять—десять лет, даже если стороны уже сегодня достигнут консенсуса.

Лагерь «все взламывается» указывает, что квантовые вычисления угрожают не только блокчейнам: глобальная банковская система, SWIFT-переводы, фондовые биржи, военная связь и HTTPS-сайты — все используют ту же криптографию. Статья Google подтверждает: централизованные системы могут обновляться через push-обновления, а децентрализованные блокчейны — нет. Это принципиальное различие.

Самый черный юмор — у Маска: «По крайней мере, если вы забудете пароль от кошелька, его можно будет восстановить в будущем».

Конфликт интересов и рациональные скидки

Общие статьи — не «чистая академия».

Все девять авторов работы Caltech/Oratomic — акционеры Oratomic, шесть из них — сотрудники компании. Эта статья — одновременно научный результат и коммерческая реклама нейтрально-атомного аппаратного маршрута компании. Статья Google тоже не полностью нейтральна: Google установил внутренний дедлайн — 2029 год — для миграции своих систем на постквантовую криптографию; выводы статьи тесно связаны с этим бизнес-решением. Кроме того, из соображений безопасности Google не публиковал реальные схемы квантовых цепей, а подтвердил их корректность с помощью доказательств с нулевым разглашением (zero knowledge proofs) властям США.

Конфликт интересов в статье нужно учитывать, но сам тренд снижать — нет. Каждый раз, когда кто-то говорит, что «квантовая угроза преувеличена», следующая статья сокращает число требуемых кубитов еще на один порядок.

Насколько далеко до «Q-Day»?

На сегодняшний день самые продвинутые квантовые компьютеры имеют около 6000 кубитов, а время когерентности — примерно 13 секунд. От 6000 кубитов до 50 0000, требуемых по статье Google (или 10 000, как утверждает Oratomic), — огромный инженерный разрыв.

Но запоминается аналогия криптоинвестора Маккенны: «Вы можете представить Q-Day как Y2K, только на этот раз — всерьез».

Соучредитель StarkWare Эли Бен-Сассон призывает сообщество биткоина ускорить работу над BIP-360. Сам Google заявил, что сотрудничает с Coinbase, Stanford Blockchain Research Institute и Ethereum Foundation для ответственной миграции.

Спор уже не о том, сможет ли квантовый компьютер взломать криптографию, а о том, успеет ли криптоиндустрия завершить миграцию до того, как аппаратное обеспечение догонит. Таймлайн Google — 2029 год, а требования Oratomic по количеству кубитов сокращают буфер времени еще сильнее, чем ожидали.

1100000 BTC, погруженные в сон, не смогут самостоятельно мигрировать на квантово-безопасные адреса. Если квантовые вычисления придут раньше, это наследие стоимостью более 70 миллиардов долларов станет крупнейшей в истории целью для «цифрового спасательного вылова затонувших данных». Статья Google даже вводит юридическую концепцию «право на цифровое спасение» (digital salvage), подразумевая, что правительствам разных стран может понадобиться принять законы для работы с этими недоступными для миграции активами.

Это проблема, которую не предвидели в белой книге Биткоина: если математический барьер, защищающий частную собственность, будет взломан, сможет ли «Code is Law» по‑прежнему оставаться действительным?