Сегодня не существуют квантовые компьютеры, способные взломать блокчейн Биткоина. Однако разработчики уже рассматривают волну обновлений, чтобы выстроить защиту против потенциальной угрозы — и, что вполне справедливо, потому что эта угроза больше не является гипотетической.
На этой неделе Google опубликовала исследование, предполагающее, что достаточно мощный квантовый компьютер может взломать ключевую криптографию Биткоина менее чем за девять минут — на одну минуту быстрее, чем среднее время завершения расчетов по очередному блоку Биткоина. Некоторые аналитики считают, что такая угроза может стать реальностью к 2029 году.
Ставки высоки: около 6,5 миллиона биткоин-токенов, стоимость которых исчисляется сотнями миллиардов долларов, находятся в адресах, на которые квантовый компьютер мог бы напрямую нацелиться. Часть этих монет принадлежит псевдонимному создателю Биткоина Сатоши Накамото. Кроме того, потенциальная компрометация подорвет ключевые принципы Биткоина — «доверяй коду » и «надежным деньгам».
Вот как выглядит угроза, а также предложения, которые сейчас рассматриваются для смягчения рисков.
Два способа, которыми квантовая машина могла бы атаковать Биткоин
Сначала разберемся в уязвимости, прежде чем обсуждать предложения.
Безопасность Биткоина построена на односторонней математической зависимости. Когда вы создаете кошелек, генерируются приватный ключ и секретное число, из которых выводится открытый ключ.
Чтобы тратить биткоин-токены, нужно доказать владение приватным ключом не путем его раскрытия, а используя его для генерации криптографической подписи, которую сеть может проверить.
Эта система безупречна, потому что современным компьютерам понадобились бы миллиарды лет, чтобы взломать криптографию эллиптических кривых — в частности, алгоритм цифровых подписей на эллиптических кривых (ECDSA) — чтобы выполнить обратное проектирование и вывести приватный ключ из открытого ключа. Поэтому блокчейн считается вычислительно невозможным для компрометации.
Но будущий квантовый компьютер может превратить эту одностороннюю «дорогу» в двустороннюю: вывести ваш приватный ключ из вашего открытого ключа и опустошить ваши монеты.
Открытый ключ раскрывается двумя способами: либо из монет, которые лежат без движения в сети onchain (атака длительного воздействия), либо из монет в движении или из транзакций, которые ожидают в пуле памяти (атака кратковременного воздействия).
Адреса Pay-to-public key (P2PK) (используемые Сатоши и ранними майнерами) и Taproot (P2TR), текущий формат адресов, активированный в 2021 году, уязвимы для атаки длительного воздействия. Монетам в этих адресах не нужно перемещаться, чтобы раскрыть свои открытые ключи; раскрытие уже произошло и может быть прочитано любым человеком на Земле, включая будущего квантового атакующего. Примерно 1,7 миллиона BTC лежит в старых адресах P2PK — включая монеты Сатоши.
Атака кратковременного воздействия связана с mempool — «комнатой ожидания» неподтвержденных транзакций. Пока транзакции там ждут включения в блок, ваш открытый ключ и подпись видны всей сети.
Квантовый компьютер может получить доступ к этим данным, но у него будет лишь короткое окно — до того, как транзакция будет подтверждена и «похоронена» под дополнительными блоками — чтобы вывести соответствующий приватный ключ и действовать.
Инициативы
BIP 360: Удаление открытого ключа
Как отмечалось ранее, каждый новый адрес Биткоина, созданный с использованием Taproot сегодня, навсегда раскрывает открытый ключ onchain, предоставляя будущему квантовому компьютеру цель, которая никогда не исчезает.
Предложение по улучшению Биткоина (BIP) 360 удаляет открытый ключ, навсегда встроенный в onchain и видимый всем, путем введения нового типа выходных данных под названием Pay-to-Merkle-Root (P2MR).
Вспомните: квантовый компьютер изучает открытый ключ, выполняет обратное проектирование точной формы приватного ключа и подделывает рабочую копию. Если мы удалим открытый ключ, атаковать будет неоткуда. При этом все остальное, включая платежи Lightning, настройки мультиподписи и другие функции Биткоина, остается тем же.
Однако, если предложение будет реализовано, оно защитит только новые монеты в дальнейшем. 1,7 миллиона BTC, которые уже находятся в старых раскрытых адресах, — отдельная проблема, решаемая другими предложениями ниже.
SPHINCS+ / SLH-DSA: Подписи на основе хешей, постквантовые
SPHINCS+ — это постквантовая схема подписи, построенная на хеш-функциях, которая избегает квантовых рисков, с которыми сталкивается криптография эллиптических кривых, используемая в Биткоине. Хотя алгоритм Шора угрожает ECDSA, хеш-ориентированные конструкции вроде SPHINCS+ не считаются столь же уязвимыми.
Схема была стандартизирована Национальным институтом стандартов и технологий (NIST) в августе 2024 года как FIPS 205 (SLH-DSA) после многих лет публичного рассмотрения.
Компромисс для безопасности — размер. В то время как текущие подписи в Биткоине занимают 64 байта, SLH-DSA имеют размер 8 килобайт (KB) или больше. Таким образом, внедрение SLH-DSA резко увеличит потребность в пространстве блоков и поднимет комиссии за транзакции.
В результате такие предложения, как SHRIMPS (еще одна постквантовая схема подписи на основе хешей) и SHRINCS, уже были введены, чтобы уменьшать размеры подписей, не жертвуя постквантовой безопасностью. Они строятся на SPHINCS+ и при этом нацелены на сохранение гарантий ее безопасности в более практичной, экономичной по пространству форме, подходящей для использования в блокчейне.
Схема Commit/Reveal Тэджа Драйи: аварийный тормоз для mempool
Это предложение, софт-форк, предложенный сооснователем Lightning Network Тэджем Драйей, направлено на защиту транзакций в mempool от будущего квантового атакующего. Оно делает это, разделяя выполнение транзакции на две фазы: Commit и Reveal.
Представьте, что вы сообщаете контрагенту, что отправите ему письмо по email, а затем действительно отправляете письмо. Первая — это фаза commit, а вторая — фаза reveal.
В блокчейне это означает, что сначала вы публикуете «запечатанный отпечаток» своего намерения — просто хеш, который не раскрывает ничего о транзакции. Блокчейн фиксирует время этого отпечатка навсегда. Позже, когда вы транслируете фактическую транзакцию, ваш открытый ключ становится видимым — и да, квантовый компьютер, наблюдающий за сетью, может вывести ваш приватный ключ из него и сфальсифицировать конкурирующую транзакцию, чтобы украсть ваши средства.
Но сфальсифицированная транзакция будет немедленно отклонена. Сеть проверяет: у этой траты зарегистрировано ли ранее обязательство в цепочке (on-chain)? Ваше — да. У атакующего — нет: он создал его всего лишь мгновения назад. Ваш заранее зарегистрированный отпечаток — это ваше алиби.
Проблема, однако, в увеличенной стоимости из-за того, что транзакцию разбивают на две фазы. Поэтому это описывают как промежуточный мост, практичный для развертывания, пока сообщество работает над созданием квантовых защит.
Hourglass V2: замедление расходования старых монет
Предложенный разработчиком Hunter Beast, Hourglass V2 нацелен на квантовую уязвимость, связанную примерно с 1,7 миллионами BTC, удерживаемых в более старых, уже раскрытых адресах.
Предложение допускает, что эти монеты могут быть украдены при будущей квантовой атаке, и стремится «остановить кровотечение», ограничив продажи одним биткоином за блок, чтобы избежать катастрофической ночной массовой ликвидации, которая может обрушить рынок.
Аналогия — банковский набег: вы не можете остановить людей от снятия средств, но вы можете ограничить темп снятий, чтобы система не рухнула за одну ночь. Предложение спорное, потому что даже такое ограничение, пусть и рамочное, некоторые в сообществе Биткоина рассматривают как нарушение принципа, согласно которому никакая внешняя сторона не может когда-либо вмешиваться в ваше право тратить свои монеты.
Заключение
Эти предложения пока не активированы, а децентрализованное управление Биткоином, включающее разработчиков, майнеров и операторов нод, означает, что любое обновление, скорее всего, займет время, чтобы материализоваться.
Тем не менее постоянный поток предложений, предшествовавших отчету Google на этой неделе, говорит о том, что эта проблема давно находится в поле зрения разработчиков, что может помочь сгладить опасения рынка.
