Квантовий комп’ютер достатньо потужний, щоб зламати блокчейн Bitcoin, поки що не існує. Проте розробники вже почали обговорювати хвилю оновлень, спрямованих на створення захисного шару перед цією потенційною загрозою — і це має цілком обґрунтовані підстави, адже сьогодні цей ризик уже не є суто гіпотезою.
Цього тижня дослідники з Google опублікували дослідження, яке показує: квантовий комп’ютер достатньої потужності може зламати ключову криптографію Bitcoin менш ніж за 9 хвилин — на 1 хвилину швидше, ніж середній час підтвердження одного блока Bitcoin. Деякі аналітики вважають, що така загроза може стати реальністю у 2029 році.
Ризик дуже великий: приблизно 6,5 мільйона bitcoin, вартістю в сотні мільярдів доларів, перебувають у адресах, на які квантовий комп’ютер може націлитися напряму. Частина з них належить Сатоші Накамото, анонімному засновнику Bitcoin. Крім того, якщо це буде скомпрометовано, це завдасть шкоди ключовим принципам Bitcoin — «вірі в код» і «здорові гроші».
Нижче — як саме працює ця загроза, а також пропозиції, які зараз розглядаються для її зменшення.
Два способи, як квантова машина може атакувати Bitcoin
Спершу розберімо вразливість, перш ніж переходити до пропозицій.
Захист Bitcoin побудований на односпрямованому математичному зв’язку. Коли ви створюєте гаманець, генерується приватний ключ і певні секрети, з яких потім виводиться публічний ключ.
Щоб витратити bitcoin, ви маєте довести право власності на приватний ключ — не розкриваючи його, а використовуючи, щоб згенерувати криптографний підпис, який мережа зможе верифікувати.
Ця система безпечна, бо сучасним комп’ютерам знадобляться мільярди років, щоб зламати еліптичнокриву криптографію — зокрема алгоритм еліптичнокривого цифрового підпису (ECDSA) — щоб отримати приватний ключ із публічного ключа. Тому блокчейн вважається майже неможливим для зламу з точки зору обчислень.
Але майбутній квантовий комп’ютер може перетворити цей односторонній шлях на двосторонній, вивівши приватний ключ із публічного, а потім просто вилучивши ваші гроші.
Публічний ключ розкривається двома способами: із монет, що «лежать» на ланцюгу (атака тривалого розкриття), або з монет, що рухаються, чи транзакцій, очікуючих у пулі пам’яті транзакцій (атака короткочасного розкриття).
Адреси Pay-to-Public-Key (P2PK) — які Сатоші та перші майнери використовували — а також Taproot (P2TR), формат адрес, активований у 2021 році, однаково вразливі до такого типу атаки тривалого розкриття. Монетам у цих адресах не потрібно рухатися, щоб розкрити публічний ключ; розкриття вже сталося, і будь-хто у світі може це прочитати, включно з квантовим атакувальником у майбутньому. Близько 1,7 мільйона BTC лежить в старих адресах P2PK — включно з монетами Сатоші.
Атака короткочасного розкриття пов’язана з mempool — «кімнатою очікування» транзакцій, які ще не підтверджені. Поки транзакція перебуває там у очікуванні включення в блок, ваш публічний ключ і ваш підпис відображаються для всієї мережі.
Квантовий комп’ютер може отримати ці дані, але в нього є дуже короткий проміжок часу — до того, як транзакцію підтвердять і вона «закопається» під наступними блоками — щоб вивести відповідний приватний ключ і діяти.
Ініціативи
BIP 360: Прибирання публічного ключа
Як згадувалося вище, усі нові Bitcoin-адреси, які нині створюються з Taproot, назавжди розкривають публічний ключ у ланцюзі, даючи майбутньому квантовому комп’ютеру ціль, що ніколи не зникне.
Пропозиція покращення Bitcoin (BIP) 360 прибирає публічний ключ, який вбудовано в ланцюг на довіку, і робить його доступним для всіх, вводячи новий тип виходу під назвою Pay-to-Merkle-Root (P2MR).
Пам’ятайте, що квантовий комп’ютер вивчатиме публічний ключ, інвертуватиме точну форму приватного ключа й створить робочу копію. Якщо ми приберемо публічний ключ, атакувальнику більше нічого буде використовувати як «заціпку». Тим часом усе інше, включно з платежами Lightning, налаштуванням мультипідписів і іншими можливостями Bitcoin, залишиться без змін.
Однак, якщо це буде впроваджено, ця пропозиція захищатиме лише майбутні монети. 1,7 мільйона BTC, які вже лежать у адресах із розкритими ключами, — окрема проблема, яку вирішуватимуть інші пропозиції нижче.
SPHINCS+ / SLH-DSA: Постквантові підписи на основі хешів
SPHINCS+ — це механізм постквантового підпису, побудований на хеш-функціях, який допомагає уникнути квантових ризиків, з якими стикається еліптичнокривій криптографії, що використовується в Bitcoin. У той час як алгоритм Шора загрожує ECDSA, хеш-орієнтовані конструкції на кшталт SPHINCS+ не вважаються вразливими аналогічним чином.
Цю схему було стандартизовано Національним інститутом стандартів і технологій США (NIST) у серпні 2024 року під назвою FIPS 205 (SLH-DSA) після багатьох років публічного розгляду.
Натомість за вищий рівень захисту доводиться платити великим розміром. У той час як поточний підпис Bitcoin має довжину лише 64 байти, підпис SLH-DSA має розмір 8 кілобайт (KB) або більше. Отже, якщо застосувати SLH-DSA, потреба в просторі блоків різко зросте, а комісії за транзакції будуть вищими.
Тому такі пропозиції, як SHRIMPS (інша схема постквантового підпису, що також спирається на хеші) і SHRINCS, були представлені, щоб зменшити розмір підпису, не жертвуючи постквантовою безпекою. Обидві побудовані на SPHINCS+, але спрямовані на збереження його гарантій безпечності більш практичним способом — із меншим використанням простору для блокчейну.
Система Commit/Reveal від Tadge Dryja: Екстрене гальмо для mempool
Ця пропозиція, софтфорк, запропонований співзасновником Lightning Network Tadge Dryja, має на меті захистити транзакції в mempool від квантового атакувальника в майбутньому. Вона робить це, розділяючи виконання транзакції на два етапи: Commit і Reveal.
Уявіть, що ви говорите своєму партнеру, що надішлете йому електронного листа, а потім справді надсилаєте лист. Перша частина — це етап commit, а фактичне надсилання листа — це етап reveal.
У блокчейні це означає, що спершу ви публікуєте «запечатаний відбиток» наміру — лише хеш, без будь-яких деталей про транзакцію. Блокчейн назавжди ставить часову мітку на цей відбиток. А потім, коли ви передаєте справжню транзакцію, публічний ключ розкривається — і так, квантовий комп’ютер, який спостерігає за мережею, може вивести приватний ключ звідти й створити конкурентну транзакцію, щоб вкрасти ваші гроші.
Але та фальшива транзакція буде відхилена негайно. Перевірка мережі: ця транзакція на витрату має попереднє зобов’язання, записане в ланцюзі? У вашої транзакції — так. У атакувальника — ні: він щойно створив її кілька хвилин тому. Відбиток, зареєстрований заздалегідь, є доказом алібі.
Проблема в тому, що витрати зростуть, бо транзакція розділяється на два етапи. Тому це розглядають як проміжний міст — достатньо практичний, щоб запровадити його, доки спільнота продовжує створювати заходи захисту від квантових загроз.
Hourglass V2: Сповільнення швидкості продажу старих монет
Запропонований розробником Hunter Beast, Hourglass V2 націлений на квантову вразливість, пов’язану приблизно з 1,7 мільйона BTC, які перебувають у старих адресах і вже були розкриті публічно.
Ця пропозиція визнає, що ці монети можуть бути вкрадені в майбутній квантовій атаці, і намагається уповільнити процес втрат, обмежуючи продаж до одного bitcoin за блок, щоб уникнути хвилі масового продажу за одну ніч, яка може спричинити обвал ринку.
Аналогічним прикладом є масове зняття: ви не можете зупинити всіх, хто знімає гроші, але можете обмежити швидкість зняття, щоб система не зламалася за одну ніч. Ця пропозиція викликає суперечки, адже навіть таке мінімальне обмеження деякі люди в спільноті Bitcoin вважають порушенням принципу, що ніхто не має права втручатися в ваше право витрачати свої монети.
Висновок
Ці пропозиції ще не активовано, а децентралізований механізм управління Bitcoin — включно з розробниками, майнерами та операторами вузлів — означає, що будь-яке оновлення потребує часу, щоб стати реальністю.
Втім, хвиля пропозицій, яка регулярно з’являється перед звітом Google цього тижня, показує, що проблема давно потрапила в поле зору розробників, і це може допомогти зменшити занепокоєння ринку.
