П’ять основних аспектів квантової загрози

Автор: David Christopher Джерело: Bankless Переклад:善欧巴,金色财经

Нік Картер є одним із небагатьох публічних представників біткоїн-спільноти, які з високим рівнем уваги попереджають про загрозу, яку квантові обчислення становлять для криптовалюти. Протягом останніх кількох тижнів було опубліковано дві масштабні наукові праці, які змістили часову шкалу квантової загрози з «далекого майбутнього» до «найближчих часів»; Картер також завітав на програму Bankless і детально розібрав її потенційний руйнівний вплив. У підсумку обидва дослідження показують таке: поріг щодо апаратного забезпечення, потрібного для злому криптографічних алгоритмів підпису, знижується у 20–50 разів, а прогнозоване «вікно атаки» скорочується з кількох місяців до кількох хвилин.

Нижче — п’ять ключових тез.

Google-праця повністю переписує модель загрози для біткоїна

Ще зовсім недавно в науковому середовищі панувала така основна згода: перша квантова атака проти криптографічних алгоритмів блокчейну потребує часу від кількох тижнів до кількох місяців і вимагає використання кількох мільйонів квантових бітів (ключового обчислювального елемента квантового комп’ютера).

Ці параметри створили для індустрії буферний «запас міцності», який виглядав доволі надійним.

А от ця Google-праця, спільно написана криптографами Деном Бонне, командою Google Quantum AI на чолі з Крейгом Джинні та дослідником Фонду Ethereum Джастіном Дрейком, безпосередньо розірвала цю «захисну сітку». Раніше оцінювали, що для реалізації атаки потрібні десятки тисяч фізичних квантових бітів; у Google-праці цей поріг суттєво знижено приблизно у 20 разів, а часовий проміжок для злому алгоритму ECDSA стиснуто до лише 9 хвилин. ECDSA — це саме механізм криптографічних підписів, на який покладаються всі транзакції, що дозволяються як у біткоїні, так і в Ethereum. Інша праця від Atom Quantum та Каліфорнійського технологічного інституту робить ще радикальніший висновок: використання іншої апаратної схеми потребує лише 10k фізичних квантових бітів для злому того самого криптоалгоритму.

Нині ж доступне в світі обладнання цього типу має максимальну обчислювальну потужність на рівні 6000 квантових бітів.

2029 рік може бути справжнім «краєм прірви»

Біткоїн-утримувачі і навіть частина розробників загалом вважають, що «квантовий день» (тобто день, коли квантовий комп’ютер зможе практично злочинити криптографічні алгоритми біткоїна) настане поступово — іншими словами, ми матимемо змогу спостерігати за поетапною еволюцією технологій, матимемо достатньо часу на підготовку, а цільові вузли також будуть через кілька років.

Але Картер каже, що Google-праця прямо вказує на протилежний висновок: квантовий день прийде у формі події з «пороговим» ефектом. Щойно відбудеться прорив у великомасштабному квантовому виправленні помилок, темп руху від атак із слабкою потужністю до повного злому 256-бітного секретного ключа різко прискориться.

Є й ще одна деталь, на яку варто звернути увагу: команда Google не оприлюднила конкретний квантовий алгоритм, опублікувавши натомість докази з нульовим розголошенням (zero-knowledge proof), які дозволяють підтвердити коректність без розкриття принципів алгоритму — по суті, навмисно зберігаючи карти в рукаві. Обидві праці були опубліковані після консультацій із Національним інститутом стандартів і технологій (NIST) та Агентством національної безпеки (NSA) США. Картер прогнозує, що згодом з’являться офіційні механізми перевірки та контролю, і тоді зовнішній світ не матиме жодного уявлення про прогрес квантових технологій — залишиться лише поділ на «до» і «після».

Google перенесла дедлайн внутрішнього переходу на квантові технології на 2029 рік; уряд США вимагає, щоб ключові системи були завершені з модернізацією до 2030 року. У праці Chaincode Labs оцінюється, що міграція у постквантову епоху для біткоїна за нормального темпу займе 7 років, а в режимі екстреного просування — 2 роки. Картер вважає, що роботу з міграції біткоїна неможливо завершити до 2030 року, навіть з урахуванням того, що дедлайн Google встановила на рік пізніше.

Атаки тривалістю 9 хвилин достатні, щоб зруйнувати все

Google-праця розкриває шлях атаки, який Картер раніше вважав імовірнісно вкрай малим.

Коли ви надсилаєте біткоїни, ваш відкритий ключ на короткий час з’являється в мережі ще до підтвердження транзакції. За розрахунками Google-праці квантовий комп’ютер може в межах цього «вікна підтвердження» злочинити приватний ключ і розіслати конкуруючу транзакцію, викравши кошти до того, як оригінальна транзакція буде завершена. Незалежно від того, наскільки ретельно ви користуєтеся гаманцем, а також незалежно від застосування нових адрес та інших методів, атаки, ініційовані в межах цього вікна, виявляться марними.

Потрібно, щоб усе мережеве середовище на 100% завершило постквантове оновлення до появи апаратного забезпечення, яке дозволяє реалізовувати такі атаки, інакше будь-яка транзакція не матиме гарантій безпеки.

Суперечка щодо монет Сатоші Накомото

Усього 6,9 млн біткоїнів (що становить третину від загальної пропозиції), зберігаються на адресах, де вже розкрито відкриті ключі. Із них 2,3 млн належать до ранніх блоків Сатоші Накомото або визначені як втрачені токени, без відповідного власника з приватним ключем — це означає, що їх неможливо буде активно мігрувати назавжди.

Щодо цієї частини активів у Google-праці пропонуються чотири варіанти вирішення:

1. Пустити все на самоплив

2. Знищити назавжди

3. Встановити обмеження на швидкість витрачання

4. Перенести на sidechain, а власники зможуть викупити активи через криптографічне підтвердження

Картер очікує, що інституційні сили просуватимуть другий варіант.

Він прогнозує, що 10–20 найбільших біткоїн-кастодіанів у світі (зокрема BlackRock, Coinbase тощо) підпишуть спільну заяву, стверджуючи, що підтримують лише форк-ланцюг, який знищує «сплячі» токени. Цей форк-ланцюг стане легітимним біткоїном, а оригінальний ланцюг буде відкинутий; загальна пропозиція біткоїна скоротиться з 21 млн до приблизно 19 млн. Картер прямо зазначає, що це дорівнюватиме «повному порушенню наших початкових обіцянок» і, можливо, стане найбільшим у масштабі «викраденням» в історії людства.

Але глибша проблема полягає в тому, що в біткоїна немає механізму, який дозволяв би ухвалювати рішення такого типу. За останні десять років мережа біткоїна провела лише два оновлення протоколу — 2017 року SegWit і 2021 року Taproot — причому процеси досягнення консенсусу в обох випадках були цілком іншими. Крім того, Картер стверджує, що ключові розробники були змушені відступити через юридичні загрози та мережеві переслідування, відмовившись від активного лідерства у визначенні протоколу. Він описує поточний стан як вакуум влади: впливові групи відмовляються брати відповідальність, а канал рішень, на який вони посилаються, — «воля спільноти» — по суті не має реального механізму виконання.

Кожен крок постквантової міграції — від досягнення узгоджених дій (action consensus), вибору алгоритмів підпису, міграції 50 млн адрес, до поводження з монетами Сатоші Накомото — буде «застрягати» у цій недієздатній системі врядування.

Ethereum або ще більш вигідний варіант

У подкасті Картер, будучи переконаним прихильником біткоїна, визнає, що навіть якби він не хотів цього бачити, Ethereum все одно може обійти біткоїн і очолити крипторинок.

Поза сумнівом, обсяг інженерних переробок в Ethereum більший: окрім оновлення підписів у гаманцях, потрібно також модернізувати рівень консенсусу та мережі другого рівня Rollup. Але Фонд Ethereum вже давно опублікував чітку дорожню карту; Джастін Дрейк особисто брав участь у написанні Google-праці, а властивість абстракції акаунтів дозволяє замінювати алгоритми підпису без потреби змінювати адреси користувачів, що робить операції значно зручнішими.

У підсумку Картер доходить однакового висновку: квантова поверхня атаки Ethereum ширша, ніж у біткоїна, але більш сильне й згуртоване лідерство спільноти компенсує цей недолік. Він висловлює подяку Фонду Ethereum і порівнює це з поточним станом справ у біткоїні — мовляв, на сьогодні лише він і кілька людей турбуються про квантову загрозу.

Поки що біткоїн, спираючись на відмову від радикальних змін, пережив кілька криз. Але квантова загроза, схоже, жорстко покарає таку консервативну інерцію: той публічний ланцюг, який першим завершить перехід, домінуватиме у формуванні криптоіндустрії після настання квантової ери.