Komputer kuantum yang mampu memecahkan blockchain Bitcoin tidak ada saat ini. Namun, para pengembang sudah mempertimbangkan gelombang peningkatan untuk membangun pertahanan terhadap ancaman yang berpotensi tersebut, dan memang sudah seharusnya, karena ancaman itu kini bukan lagi sekadar hipotesis.
Minggu ini, Google menerbitkan riset yang menyarankan bahwa komputer kuantum yang cukup kuat dapat membobol kriptografi inti Bitcoin dalam waktu kurang dari sembilan menit — satu menit lebih cepat daripada waktu rata-rata penyelesaian blok Bitcoin. Sebagian analis percaya bahwa ancaman seperti itu bisa menjadi kenyataan pada 2029.
Taruhannya tinggi: Sekitar 6,5 juta token bitcoin, senilai ratusan miliar dolar, berada di alamat yang dapat secara langsung disasar oleh komputer kuantum. Sebagian dari koin ini milik pencipta Bitcoin yang bersifat pseudonim, Satoshi Nakamoto. Selain itu, potensi kompromi akan merusak prinsip-prinsip inti Bitcoin — “percaya pada kode” dan “uang yang sehat (sound money)”.
Berikut ini gambaran ancamannya, beserta proposal yang sedang dipertimbangkan untuk mengurangi dampaknya.
Dua cara mesin kuantum dapat menyerang Bitcoin
Mari pahami dulu kerentanannya sebelum membahas proposal-proposalnya.
Keamanan Bitcoin dibangun di atas hubungan matematis satu arah. Saat Anda membuat dompet, sebuah kunci privat dan sebuah bilangan rahasia dihasilkan, dari mana kunci publik diturunkan.
Membelanjakan token bitcoin memerlukan pembuktian kepemilikan atas kunci privat, bukan dengan mengungkapkannya, melainkan dengan menggunakannya untuk menghasilkan tanda tangan kriptografis yang dapat diverifikasi oleh jaringan.
Sistem ini benar-benar tanpa celah karena komputer modern akan membutuhkan miliaran tahun untuk memecahkan kriptografi kurva eliptik — khususnya Elliptic Curve Digital Signature Algorithm (ECDSA) — untuk merekayasa balik kunci privat dari kunci publik. Jadi, blockchain dikatakan secara komputasional mustahil untuk dikompromikan.
Namun, komputer kuantum masa depan dapat mengubah jalan satu arah ini menjadi jalan dua arah dengan menurunkan kunci privat Anda dari kunci publik dan menguras koin Anda.
Kunci publik terekspos dalam dua cara: dari koin yang diam di onchain (serangan long-exposure) atau dari koin yang bergerak atau transaksi yang menunggu di memory pool (serangan short-exposure).
Alamat Pay-to-public key (P2PK) (yang digunakan oleh Satoshi dan penambang awal) serta Taproot (P2TR), format alamat terkini yang diaktifkan pada 2021, rentan terhadap serangan long exposure. Koin di alamat-alamat ini tidak perlu bergerak untuk mengungkap kunci publiknya; paparannya sudah terjadi dan dapat dibaca oleh siapa pun di bumi, termasuk penyerang kuantum di masa depan. Kira-kira 1,7 juta BTC berada di alamat lama P2PK — termasuk koin milik Satoshi.
Short exposure terkait dengan mempool — ruang tunggu transaksi yang belum dikonfirmasi. Saat transaksi berada di sana menunggu dimasukkan ke sebuah blok, kunci publik dan tanda tangan Anda terlihat oleh seluruh jaringan.
Komputer kuantum dapat mengakses data itu, tetapi ia hanya memiliki jendela waktu yang singkat — sebelum transaksi dikonfirmasi dan ditimbun di bawah blok-blok tambahan — untuk menurunkan kunci privat yang bersesuaian dan bertindak atasnya.
Inisiatif
BIP 360: Menghapus kunci publik
Seperti dicatat sebelumnya, setiap alamat Bitcoin baru yang dibuat menggunakan Taproot hari ini secara permanen mengekspos sebuah kunci publik di onchain, memberi target kepada komputer kuantum masa depan yang tidak akan pernah hilang.
Bitcoin Improvement Proposal (BIP) 360 menghapus kunci publik yang tertanam permanen di onchain dan terlihat oleh semua orang dengan memperkenalkan tipe output baru yang disebut Pay-to-Merkle-Root (P2MR).
Ingat bahwa komputer kuantum mempelajari kunci publik, merekayasa balik bentuk persis kunci privat dan memalsukan salinan yang berfungsi. Jika kita menghapus kunci publik, serangannya tidak punya apa pun untuk dikerjakan. Sementara itu, semuanya yang lain, termasuk pembayaran Lightning, pengaturan multi-tanda tangan, dan fitur Bitcoin lainnya, tetap sama.
Namun, jika diterapkan, proposal ini hanya melindungi koin-koin baru ke depan. 1,7 juta BTC yang sudah berada di alamat lama yang terekspos adalah masalah terpisah, yang ditangani oleh proposal-proposal lain di bawah ini.
SPHINCS+ / SLH-DSA: Tanda tangan post-kuantum berbasis hash
SPHINCS+ adalah skema tanda tangan post-kuantum yang dibangun di atas fungsi hash, menghindari risiko kuantum yang menghadapi kriptografi kurva eliptik yang digunakan oleh Bitcoin. Sementara algoritma Shor mengancam ECDSA, desain berbasis hash seperti SPHINCS+ tidak dipandang rentan dengan cara yang sama.
Skema ini distandardisasi oleh National Institute of Standards and Technology (NIST) pada Agustus 2024 sebagai FIPS 205 (SLH-DSA) setelah bertahun-tahun peninjauan publik.
Tradeoff untuk keamanan adalah ukuran. Sementara tanda tangan bitcoin saat ini berukuran 64 byte, SLH-DSA berukuran 8 kilobyte (KB) atau lebih. Karena itu, mengadopsi SLH-DSA akan secara tajam meningkatkan kebutuhan ruang blok dan menaikkan biaya transaksi.
Akibatnya, proposal seperti SHRIMPS (skema tanda tangan post-kuantum berbasis hash lainnya) dan SHRINCS telah diperkenalkan untuk mengurangi ukuran tanda tangan tanpa mengorbankan keamanan post-kuantum. Keduanya dibangun di atas SHPINCS+ sambil berupaya mempertahankan jaminan keamanannya dalam bentuk yang lebih praktis, efisien ruang, yang cocok untuk penggunaan blockchain.
Skema Commit/reveal Tadge Dryja: Rem darurat untuk mempool
Proposal ini, soft fork yang disarankan oleh co-creator Lightning Network Tadge Dryja, bertujuan melindungi transaksi di mempool dari penyerang kuantum di masa depan. Caranya dengan memisahkan eksekusi transaksi menjadi dua fase: Commit dan Reveal.
Bayangkan memberi tahu pihak lawan bahwa Anda akan mengirim email kepada mereka, lalu benar-benar mengirim email. Yang pertama adalah fase commit, dan yang terakhir adalah fase reveal.
Di blockchain, ini berarti Anda pertama kali mempublikasikan sidik jari terselubung dari niat Anda — hanya sebuah hash, yang tidak mengungkap apa pun tentang transaksi. Blockchain memberi timestamp pada sidik jari itu secara permanen. Nanti, saat Anda menyiarkan transaksi yang sebenarnya, kunci publik Anda menjadi terlihat — dan ya, komputer kuantum yang memantau jaringan bisa menurunkan kunci privat Anda darinya dan memalsukan transaksi tandingan untuk mencuri dana Anda.
Namun, transaksi tandingan yang dipalsukan itu langsung ditolak. Jaringan memeriksa: apakah pengeluaran ini memiliki komitmen sebelumnya yang terdaftar di onchain? Punya Anda. Pun terdaftar milik penyerang tidak — mereka membuatnya beberapa saat yang lalu. Sidik jari yang sudah dipra-daftarkan Anda adalah alibi Anda.
Masalahnya, bagaimanapun, adalah biaya tambahan karena transaksi dipecah menjadi dua fase. Jadi, ini digambarkan sebagai jembatan sementara, praktis untuk dideploy sementara komunitas bekerja membangun pertahanan kuantum.
Hourglass V2: Memperlambat pembelanjaan koin-koin lama
Diusulkan oleh pengembang Hunter Beast, Hourglass V2 menargetkan kerentanan kuantum yang terkait dengan kira-kira 1,7 juta BTC yang dipegang dalam alamat lama yang sudah terekspos.
Proposal ini menerima bahwa koin-koin tersebut bisa dicuri dalam serangan kuantum di masa depan dan berupaya memperlambat pendarahan dengan membatasi penjualan hingga satu bitcoin per blok, untuk menghindari likuidasi massal mendadak pada malam hari yang bersifat katastrofik yang dapat menghancurkan pasar.
Analognya adalah bank run: Anda tidak bisa menghentikan orang-orang untuk menarik dana, tetapi Anda bisa membatasi kecepatan penarikan agar sistem tidak runtuh dalam semalam. Proposal ini kontroversial karena bahkan pembatasan terbatas ini oleh sebagian orang di komunitas Bitcoin dianggap melanggar prinsip bahwa tidak ada pihak eksternal yang pernah dapat mengganggu hak Anda untuk membelanjakan koin Anda.
Kesimpulan
Proposal-proposal ini belum diaktifkan, dan tata kelola Bitcoin yang terdesentralisasi, yang mencakup pengembang, penambang, dan operator node, berarti setiap peningkatan kemungkinan akan memerlukan waktu untuk menjadi nyata.
Namun, arus stabil proposal yang mendahului laporan Google minggu ini menunjukkan bahwa masalah tersebut sudah lama menjadi perhatian para pengembang, yang mungkin dapat membantu meredakan kekhawatiran pasar.
