Вот что на самом деле означает «взлом» биткоина за 9 минут квантовыми компьютерами

Команда Google Quantum AI ранее на этой неделе заявила, что будущий квантовый компьютер сможет вывести биткоинный приватный ключ из публичного ключа примерно за девять минут. Число широко разлетелось по соцсетям и напугало рынки.

Но что это на самом деле означает на практике?

Начнем с того, как работают транзакции в биткоине. Когда вы отправляете биткоины, ваш кошелек подписывает транзакцию приватным ключом — секретным числом, которое доказывает, что вы владеете монетами.

Эта подпись также раскрывает ваш публичный ключ — общий адрес, который передается в сеть и остается в очередной зоне под названием mempool, пока майнер не включит его в блок. В среднем подтверждение занимает около 10 минут.

Ваш приватный ключ и публичный ключ связаны математической задачей, называемой elliptic curve discrete logarithm problem (задача дискретного логарифмирования на эллиптических кривых). Классические компьютеры не могут обратить эту математику в полезные сроки, тогда как достаточно мощный будущий квантовый компьютер, выполняющий алгоритм под названием Shor’s, может.

Вот где появляется часть про «девять минут». В статье Google выяснили, что квантовый компьютер можно заранее «подготовить», выполнив предварительные вычисления тех частей атаки, которые не зависят от какого-либо конкретного публичного ключа.

Как только ваш публичный ключ появляется в mempool, машине нужно всего около девяти минут, чтобы завершить задачу и вывести ваш приватный ключ. Среднее время подтверждения в сети биткоина — 10 минут. Это дает атакующему примерно 41% шанс вывести ваш ключ и перенаправить ваши средства до того, как исходная транзакция будет подтверждена.

Представьте это как вора, который часами собирает универсальную машину для взлома сейфов (предварительные вычисления). Машина работает для любого сейфа, но каждый раз, когда появляется новый сейф, ей нужно сделать только несколько финальных настроек — и именно этот последний шаг занимает около девяти минут.

Это атака через mempool. Она тревожная, но требует квантового компьютера, которого пока не существует. В статье Google оценивается, что такой машине потребуются менее 500,000 физических qubits. Самые крупные квантовые процессоры сегодня имеют около 1,000.

Более масштабная и более немедленная проблема — это 6.9 million биткоинов, примерно одна треть от общего предложения, которые уже лежат в кошельках, где публичный ключ был навсегда раскрыт.

Сюда входят ранние биткоин-адреса с первых лет существования сети, которые использовали формат под названием pay-to-public-key, где публичный ключ по умолчанию виден в блокчейне. Также сюда входят любые кошельки, которые повторно использовали адрес, поскольку трата с адреса раскрывает публичный ключ для всех оставшихся средств.

Этим монетам не нужна гонка за девять минут. Атакующему с достаточно мощным квантовым компьютером достаточно взламывать их в спокойном темпе, последовательно раз за разом работая с раскрытыми ключами без временного давления.

Переход Bitcoin к Taproot в 2021 году сделал ситуацию хуже, как сообщало CoinDesk ранее во вторник. Taproot изменил то, как работают адреса, так что публичные ключи по умолчанию видны в цепочке блоков, непреднамеренно расширив пул кошельков, которые могли бы стать уязвимыми для будущей квантовой атаки.

Сама сеть биткоина продолжила бы работать. Майнинг использует другой алгоритм под названием SHA-256, который квантовые компьютеры не могут заметно ускорить при текущих подходах. Блоки по-прежнему будут производиться.

Реестр все равно будет существовать. Но если приватные ключи можно вывести из публичных ключей, разрушаются гарантии владения, благодаря которым биткоин ценен. Любой, чьи ключи раскрыты, рискует стать жертвой кражи, и институциональное доверие к модели безопасности сети рушится.

Решение — постквантовая криптография, которая заменяет уязвимую математику алгоритмами, которые квантовые компьютеры не смогут взломать. Ethereum потратил восемь лет на подготовку к этой миграции. Биткоин даже не начинал.