Вот что на самом деле означает «взлом» биткоина за 9 минут с помощью квантовых компьютеров

Команда Google Quantum AI ранее на этой неделе заявила, что в будущем квантовый компьютер сможет вывести биткоин-приватный ключ из публичного ключа примерно за девять минут. Число разлетелось по социальным сетям и испугало рынки.

Но что это реально значит на практике?

Давайте начнем с того, как работают транзакции в биткоине. Когда вы отправляете биткоины, ваш кошелек подписывает транзакцию приватным ключом — секретным числом, которое доказывает, что вы владеете монетами.

Эта подпись также раскрывает ваш публичный ключ — адрес, которым можно делиться. Его передают в сеть и он находится в зоне ожидания под названием mempool, пока майнер не включит его в блок. В среднем подтверждение занимает около 10 минут.

Ваш приватный ключ и публичный ключ связаны математической задачей, называемой задачей дискретного логарифмирования на эллиптических кривых. Классические компьютеры не могут обратить эту математику ни за сколько-нибудь полезное время, в то время как достаточно мощный будущий квантовый компьютер, работающий алгоритмом под названием Shor, мог бы.

Вот где появляется часть про «девять минут». В статье Google было обнаружено, что квантовый компьютер можно заранее «подготовить», предварительно вычислив части атаки, которые не зависят ни от какого конкретного публичного ключа.

Как только ваш публичный ключ появляется в mempool, машине нужно лишь около девяти минут, чтобы закончить работу и вывести ваш приватный ключ. Среднее время подтверждения биткоина — 10 минут. Это дает атакующему примерно 41%-ю вероятность вывести ваш ключ и перенаправить ваши средства до подтверждения исходной транзакции.

Представьте это как вора, который часами собирает универсальный машину для взлома сейфов (предварительные вычисления). Машина работает для любого сейфа, но каждый раз, когда появляется новый сейф, ей нужны лишь несколько финальных настроек — и именно этот последний шаг занимает около девяти минут.

Это атака через mempool. Она тревожная, но требует квантового компьютера, которого пока не существует. В статье Google оценивается, что такой машине понадобилось бы меньше 500,000 физических кубитов. Самые крупные квантовые процессоры сегодня имеют около 1,000.

Главная же более масштабная и немедленная проблема — 6.9 million bitcoin, примерно одна треть от общего предложения, которые уже лежат в кошельках, где публичный ключ был навсегда раскрыт.

Сюда входят ранние биткоин-адреса из первых лет существования сети, использовавшие формат под названием pay-to-public-key, где публичный ключ по умолчанию виден в блокчейне. Также сюда относится любой кошелек, который повторно использовал адрес, поскольку при трате с адреса раскрывается публичный ключ для всех оставшихся средств.

Этим монетам не нужна гонка на девять минут. Атакующему с достаточно мощным квантовым компьютером под силу взломать их в спокойном режиме, последовательно перебирая раскрытые ключи один за другим без временного давления.

Апгрейд Bitcoin 2021 Taproot сделал ситуацию хуже, как сообщал CoinDesk ранее во вторник. Taproot изменил принцип работы адресов так, что публичные ключи стали видимыми в цепочке по умолчанию, непреднамеренно расширив круг кошельков, которые могут оказаться уязвимыми для будущей квантовой атаки.

Сама по себе сеть биткоина продолжала бы работать. Майнинг использует другой алгоритм под названием SHA-256, который квантовые компьютеры не могут заметно ускорить с текущими подходами. Блоки по-прежнему будут производиться.

Реестр тоже все еще будет существовать. Но если приватные ключи можно выводить из публичных ключей, ломаются гарантии владения, благодаря которым биткоин и ценен. Любой, у чьих ключей раскрытие произошло, находится под угрозой кражи, а институциональное доверие к модели безопасности сети рушится.

Решение — постквантовая криптография, которая заменяет уязвимую математику алгоритмами, которые квантовые компьютеры не смогут взломать. Ethereum потратил восемь лет на подготовку к этой миграции. Bitcoin даже не начал.