Загроза квантових обчислень спалахує! Керівник досліджень Coinbase: 33% Біткоїнів можуть бути зламані

Coinbase глобальний керівник досліджень інвестицій Давид Дуонг попереджає, що швидкість розвитку квантових обчислень перевищує очікування, і близько третини біткойнів через витік публічного ключа легко піддаються квантовій атаці. BlackRock у травні вже включив квантові обчислення до переліку ризиків, а дослідники прогнозують, що за 4–5 років квантові комп’ютери зможуть зламати криптографію біткойна.

Квантові обчислення перетворилися з теоретичної загрози у структурний ризик

Загроза для біткойна з боку квантових обчислень більше не є далекою науковою фантастикою. Головний дослідник інвестиційних досліджень Coinbase Давид Дуонг у LinkedIn попереджає, що швидкість прогресу у квантових обчисленнях перевищує темпи, відображені у криптоіндустрії вартістю 3.3 трильйони доларів. Він зазначає, що хоча пряма атака на біткойн ще не є нагальною, квантова загроза вже перетворилася з далекого теоретичного побоювання у реальний структурний ризик.

Дуонг писав: «З прогресом у квантових обчисленнях довгострокова безпека біткойна може перейти у нову фазу. Інвестори все більше турбуються, що ризики квантових обчислень можуть з’явитися швидше, ніж очікувалося.» Ці побоювання не є безпідставними. Квантові комп’ютери — це новий тип машин, що використовують закони квантової механіки для обробки інформації у спосіб, кардинально відмінний від сучасних комп’ютерів. Вони наразі перебувають у експериментальній стадії, але при достатньому масштабі можуть зламати криптографію біткойна.

Дослідник квантових обчислень П’єр-Люк Даллере-Демерс у жовтні повідомив ЗМІ, що прогнозує злом криптографії біткойна за 4–5 років. Ці часові рамки значно ближчі, ніж у більшості інвесторів. У травні BlackRock у оновленій проспекті свого флагманського фонду iShares Bitcoin Trust чітко вказав квантові обчислення як один із ризиків, що свідчить про серйозне ставлення інституційних інвесторів до цієї загрози.

Чому третина біткойнів є вразливою до атак

Криптовалютні активи, що належать приблизно третині пропозиції біткойна, зберігаються у гаманцях із відкритим вихідним кодом, що робить їх особливо вразливими до грубих атак. Ця критична уразливість виникла через ранню технічну архітектуру біткойна. На початкових етапах розвитку багато транзакцій використовували формат P2PK (Pay-to-Public-Key), у якому публічний ключ був відкрито записаний у блокчейні. Як тільки ці старі адреси з’являлися з відкритим публічним ключем, квантовий комп’ютер міг з нього вивести приватний ключ.

Сучасні адреси біткойна (наприклад, P2PKH і SegWit) приховують публічний ключ, доки не буде здійснена транзакція. Однак, якщо ці адреси вже здійснювали хоча б одну транзакцію, публічний ключ залишається назавжди записаним у блокчейні. Це означає, що будь-яка адреса, яка колись використовувалася для транзакцій і досі зберігає біткойни, може стати ціллю квантової атаки.

За даними аналізу блокчейна, близько 3.7 мільйонів біткойнів (приблизно 17.6% від загальної пропозиції) зберігаються на адресах із відкритими публічними ключами. До того ж, враховуючи ранні P2PK-адреси, загалом близько третини пропозиції біткойна перебуває у потенційній зоні ризику. Ще гірше, що значна частина цих адрес належить раннім майнерам і довгостроковим власникам, у тому числі, можливо, і Сатоші Накамото.

Двоєдині шляхи квантової загрози для біткойна

Безпека біткойна базується на двох криптографічних компонентах. Перша — алгоритм цифрового підпису на основі еліптичних кривих (ECDSA), що гарантує, що транзакцію може підписати лише власник приватного ключа. Друга — SHA-256, що є основою алгоритму доказу роботи для майнінгу. Дуонг зазначає, що квантові комп’ютери створюють дві абсолютно різні загрози для біткойна.

Дві основні вектори атак квантових обчислень на біткойн

Економічна загроза (квантовий майнінг): якщо квантовий комп’ютер матиме достатню обчислювальну потужність, він зможе майнити блоки значно швидше за традиційний майнінг, що порушить мотиваційний механізм мережі.

Загроза безпеки (злом приватних ключів): квантовий комп’ютер зможе з відкритих публічних ключів вивести приватні, що дозволить зловмиснику красти кошти з уразливих адрес.

Пріоритетність загроз: Дуонг вважає, що через обмеження масштабованості наразі найактуальнішою є проблема зломів приватних ключів, тоді як квантовий майнінг — менш пріоритетний.

Друга загроза є більш безпосередньою та нагальною. Як тільки квантовий комп’ютер досягне достатньої кількості логічних кубітів (оцінюється, що потрібно мільйони), він зможе за допомогою алгоритму Шора за короткий час зчитати приватний ключ із відкритого. Це означає, що будь-яка адреса з відкритим ключем, яка вже була використана у транзакції, може бути зламаною за кілька годин, і кошти будуть вкрадені.

У порівнянні, загроза квантового майнінгу є меншою. Хоча квантовий комп’ютер теоретично може прискорити хешування SHA-256, за допомогою алгоритму Гровера перевага квантових обчислень становить лише квадратний корінь, що значно менше, ніж експоненційна перевага для ECDSA. Крім того, механізм регулювання складності біткойна здатен реагувати на раптове зростання обчислювальної потужності, тому квантовий майнінг не зможе одразу зруйнувати мережу.

Заходи захисту та гонка з часом

Громада біткойна не є безпорадною перед квантовою загрозою. Вчені досліджують «хеш-орієнтовані підписи» та інші квантово-стійкі криптографічні схеми для оновлення протоколу. Ці нові підписи не базуються на еліптичних кривих або факторизації, що легко зламати за допомогою квантових обчислень, а ґрунтуються на властивості односторонніх хеш-функцій, які навіть для квантових комп’ютерів залишаються безпечними.

Однак оновлення протоколу біткойна для інтеграції квантово-стійких алгоритмів — це складний процес. Це вимагає консенсусу всього мережевого коду (жорсткий форк), оновлення всіх вузлів і гаманців. Ще складніше — що робити з адресами з відкритими ключами, які вже з’явилися? Примусова міграція може порушити права користувачів, але без неї ці кошти залишаться вразливими назавжди.

Час — найважливіший фактор. Якщо квантовий комп’ютер до того, як буде завершено оновлення протоколу, досягне здатності зламати, це може спричинити катастрофічні наслідки. Інвесторам і власникам потрібно уважно слідкувати за розвитком квантових обчислень і розглянути можливість переказу коштів на нові адреси, що ніколи не були відкриті для публіки. Для довгострокових власників корисно регулярно оновлювати адреси (наприклад, до Taproot) і уникати повторного використання адрес, щоб зменшити ризик квантової атаки.