Пять ключевых аспектов угрозы квантовых технологий

作者：David Christopher 来源：Bankless 翻译：善欧巴，金色财经

Ник Картер — один из немногих публично выступающих представителей биткоин-сообщества, которые со всей серьезностью предупреждают об угрозе, которую квантовые вычисления несут криптовалюте. За последние несколько недель были опубликованы две знаковые научные работы: они сдвинули временную шкалу квантовой угрозы из «далекого будущего» в «непосредственную близость», а Картер также появился в программе Bankless, где подробно разобрал потенциальную разрушительную силу. В совокупности оба исследования показывают: аппаратный порог для взлома алгоритма подписи криптовалют снижается в 20–50 раз, а оценочное окно атаки сокращается с нескольких месяцев до нескольких минут.

Ниже представлены пять ключевых тезисов.

Гугл-пейпер полностью переписывает модель угроз биткоина

До недавнего времени основным консенсусом в научном сообществе было следующее: первая квантовая атака на криптографические алгоритмы блокчейна требует времени в течение недель или даже месяцев и задействует миллионы квантовых бит (основная единица вычислений квантового компьютера).

Эти параметры создавали для индустрии, казалось бы, надежный буфер.

Но работа, написанная криптографами Даном Бонне, Крейгом Джинни из команды Google Quantum AI и исследователем Фонда Ethereum Джастином Дрейком, напрямую «разрывает» эту «защитную сеть». Ранее оценивалось, что для проведения атаки нужны сотни тысяч физических кубитов; в статье Google этот порог был существенно снижен примерно в 20 раз, а окно атаки на взлом ECDSA сжато до всего 9 минут. ECDSA — это механизм криптографической подписи, на который опираются все разрешения транзакций в биткоине и Ethereum. Другая статья — компании Atom Quantum и Калифорнийского технологического института — делает вывод еще более радикальный: используя другой аппаратный вариант, достаточно всего 10k физических кубитов, чтобы взломать тот же криптографический алгоритм.

А на сегодня доступные в мире аппаратные решения этого типа уже достигли максимальной вычислительной мощности в 6000 квантовых бит.

2029 год может стать настоящим пределом

Биткоин-холдеры, а также часть разработчиков, как правило, полагают, что «квантовый день» — то есть день, когда квантовый компьютер сможет практически взломать криптографические алгоритмы биткоина, — будет приближаться постепенно: иначе говоря, мы сможем увидеть, как технология развивается итерациями, у нас будет достаточно времени на подготовку, а целевые узлы окажутся через несколько лет.

Но Картер утверждает, что статья Google четко указывает на противоположный вывод: квантовый день придет в форме порогового события. Как только произойдет прорыв в масштабируемой квантовой коррекции ошибок, процесс от атак с низкой мощностью до полного взлома 256-битного секретного ключа будет резко ускорен.

Есть и еще одна деталь, заслуживающая внимания: команда Google не публиковала конкретные квантовые алгоритмы, а вместо этого выдала доказательство с нулевым разглашением, то есть верифицировала его эффективность без раскрытия принципов работы алгоритма — по сути, намеренно оставляя козыри «в рукаве». Обе статьи были опубликованы после консультаций с Национальным институтом стандартов и технологий США (NIST) и Агентством национальной безопасности (NSA). Картер ожидает, что в дальнейшем появятся официальные механизмы проверки и контроля; тогда внешнему миру будет непонятно, как продвигается квантовая технология, останется лишь разделение на «до» и «после».

Google перенесла внутренний срок трансформации квантовых технологий на 2029 год; правительство США требует, чтобы ключевые системы были обновлены до 2030 года. В одной из статей лаборатории Chaincode оценивается, что в нормальном темпе работа по миграции в постквантовую эпоху для биткоина займет 7 лет, а в режиме экстренного ускорения — 2 года. Картер считает, что миграция биткоина не может быть завершена до 2030 года, то есть она будет на год позже даже собственного дедлайна Google.

Атака за 9 минут способна перевернуть все

Статья Google раскрывает траекторию атаки, которую Картер ранее считал крайне маловероятной.

При отправке биткоина ваш публичный ключ на короткое время оказывается раскрыт в сети до подтверждения транзакции. Согласно расчетам статьи Google, квантовый компьютер может взломать приватный ключ в пределах этого окна подтверждения и разослать конкурирующую транзакцию, чтобы перехватить средства до завершения исходной транзакции. Независимо от того, насколько строго вы используете кошелек и какие меры принимаете — например, применяете новые адреса — атака, проведенная в этом окне, обесценит все эти попытки.

Нужно, чтобы весь сеть на 100% завершила постквантовое обновление до того, как появится оборудование, на котором вообще возможны такие атаки, иначе любая транзакция окажется лишенной безопасности.

Спор о токенах Сатоши

В общей сложности 6,9 млн биткоинов (треть от общего предложения) хранятся по адресам с уже раскрытыми публичными ключами. Из них 2,3 млн принадлежат ранним блокам Сатоши или считаются потерянными токенами — у них нет держателей соответствующих приватных ключей, что означает невозможность их активной миграции навсегда.

Для этой части активов статья Google предлагает четыре решения:

1. Оставить все как есть

2. Навсегда уничтожить

3. Установить лимиты скорости расходования

4. Перевести на сайдчейн, а держатели смогут выкупить обратно с помощью криптографического доказательства

Картер ожидает, что институциональные силы будут продвигать второй вариант.

Он прогнозирует, что крупнейшие биткоин-кастодианы в мире — от 10 до 20 компаний (включая BlackRock, Coinbase и т. д.) — подпишут совместное заявление, заявив, что они поддерживают только форк-сайдчейн, который уничтожает «спящие» токены. Этот форк станет «правильным» биткоином, а исходная цепь будет отброшена, в результате чего общее предложение биткоина сократится с 21 млн до примерно 19 млн. Картер прямо говорит, что это будет равносильно «полномасштабному нарушению наших первоначальных обещаний», и может стать крупнейшей в истории человечества «кражей» масштабов.

Но глубинная проблема в том, что в биткоине нет механизма, позволяющего принимать подобные решения. За последние десять лет биткоин-сеть провела всего два обновления протокола — SegWit в 2017 году и Taproot в 2021 году, и процедуры достижения консенсуса в обоих случаях были совершенно разными. Кроме того, Картер отмечает, что из-за юридических угроз и сетевых преследований ключевые разработчики были вынуждены отступить, и тем самым отказались от роли, которая могла бы вести протокол. Он описывает нынешнее состояние как вакуум власти: влиятельные группы отказываются брать ответственность, а на которые они указывают как на канал решений — «воля сообщества» — на самом деле не существует реально работающего механизма исполнения.

Каждый шаг постквантовой миграции — достижение операционного консенсуса, выбор схемы подписи, миграция 50 млн адресов, обработка токенов Сатоши — будет застревать в этой системе управления, которая фактически дала сбой.

Ethereum может оказаться более выгодным

В подкасте Картер, сам будучи убежденным сторонником биткоина, также признал: даже если ему не хочется этого видеть, Ethereum все же может обойти биткоин и возглавить крипторынок.

Безусловно, у Ethereum объем инженерных переработок больше: кроме обновления подписи в кошельках, нужно будет менять слой консенсуса и сеть Rollup второго уровня. Но Фонд Ethereum давно уже опубликовал четкую дорожную карту; сам Джастин Дрейк участвовал в написании статьи Google; а свойство абстракции аккаунта позволяет заменять алгоритм подписи без изменения адресов пользователей — это делает процесс более удобным.

В итоге Картер приходит к единому выводу: у Ethereum квантовая поверхность атаки шире, чем у биткоина, но ее компенсирует более сильное и более сплоченное руководство сообщества. Он выражает признательность Фонду Ethereum и сравнивает ситуацию с текущим состоянием биткоина — говоря, что сейчас только он и несколько человек беспокоятся о квантовой угрозе.

До сих пор биткоин несколько раз избежал кризисов благодаря отказу от радикальных изменений. Но квантовая угроза, похоже, сурово накажет эту консервативную инерцию: первая публичная цепь, завершившая переход, будет задавать тон всей криптоиндустрии после наступления квантовой эпохи.