Những con bò Bitcoin đối mặt với rủi ro đánh cắp chữ ký lượng tử trên 6,7 triệu BTC bị lộ

Máy tính lượng tử không thể giải mã Bitcoin nhưng có thể giả mạo chữ ký từ các khóa công khai bị lộ, đặt khoảng @E5@6.7 triệu BTC vào rủi ro trừ khi ví chuyển sang các đường dẫn hậu lượng tử trước khi các máy lỗi-tolerant lớn xuất hiện.
Tóm tắt

• Bitcoin không lưu trữ bí mật mã hóa trên chuỗi; mối đe dọa lượng tử quan trọng là khả năng phục hồi khóa dựa trên Shor từ các khóa công khai bị lộ, cho phép giả mạo ủy quyền trên các UTXO dễ bị tổn thương.
• Danh sách Rủi ro Bitcoin của Dự án Eleven ước tính khoảng 6.7 triệu BTC trong các địa chỉ đáp ứng tiêu chí lộ khóa công khai của nó, với Taproot thay đổi nhưng không loại bỏ rủi ro nếu các máy lượng tử quy mô lớn được triển khai.
• Các ước tính hiện tại cho thấy cần khoảng (2.330 qubit logic và hàng triệu qubit vật lý để phá vỡ ECC 256-bit, tạo thời gian để tích hợp các đầu ra hậu lượng tử cấp BIP như ví dụ P2QRH) và các scheme tiêu chuẩn NIST dù các chữ ký lớn hơn, nặng phí hơn.

Máy tính lượng tử đặt ra mối đe dọa cho Bitcoin (BTC) thông qua khả năng khai thác chữ ký số thay vì giải mã dữ liệu mã hóa, theo các nhà nghiên cứu và nhà phát triển an ninh tiền điện tử.

Liệu pháp lượng tử và Bitcoin, công nghệ có chứng minh?

Bitcoin không lưu trữ bí mật mã hóa nào trên chuỗi của nó, khiến cho câu chuyện phổ biến về “máy tính lượng tử phá vỡ mã hóa Bitcoin” về mặt kỹ thuật là không chính xác, theo Adam Back, một nhà phát triển Bitcoin lâu năm và người sáng chế Hashcash. An ninh của tiền điện tử này dựa vào chữ ký số và cam kết dựa trên hàm băm chứ không phải ciphertext.

“Bitcoin không sử dụng mã hóa,” Back nói trên nền tảng mạng xã hội X, thêm rằng lỗi thuật ngữ này là dấu hiệu của sự hiểu lầm về các nguyên tắc cơ bản của công nghệ.

Rủi ro lượng tử thực sự liên quan đến giả mạo ủy quyền, nơi một máy tính lượng tử đủ mạnh chạy thuật toán Shor có thể suy ra khóa riêng từ khóa công khai trên chuỗi và tạo ra chữ ký hợp lệ cho một giao dịch chi tiêu cạnh tranh, theo tài liệu kỹ thuật.

Hệ thống chữ ký của Bitcoin, ECDSA và Schnorr, chứng minh quyền kiểm soát trên một cặp khóa. Lộ khóa công khai là mối quan tâm an ninh chính, với mức độ dễ tổn thương phụ thuộc vào thông tin xuất hiện trên chuỗi. Nhiều định dạng địa chỉ cam kết với một hàm băm của khóa công khai, giữ khóa công khai thô ẩn cho đến khi giao dịch được chi tiêu.

Dự án Eleven, một tổ chức nghiên cứu an ninh tiền điện tử, duy trì một “Danh sách Rủi ro Bitcoin” mã nguồn mở theo dõi lộ khóa công khai ở cấp độ script và tái sử dụng địa chỉ. Trình theo dõi công khai của tổ chức cho thấy khoảng 6.7 triệu BTC đáp ứng tiêu chí lộ của nó, theo phương pháp đã công bố.

Các đầu ra Taproot, còn gọi là P2TR, bao gồm một khóa công khai đã chỉnh sửa 32-byte trong chương trình đầu ra thay vì một hàm băm khóa công khai, như đã đề cập trong Đề xuất Cải tiến Bitcoin 341. Điều này thay đổi mô hình lộ theo cách chỉ trở nên quan trọng nếu các máy lượng tử lỗi-tolerant lớn trở nên hoạt động, theo tài liệu của Dự án Eleven.

Nghiên cứu công bố trong “Ước lượng tài nguyên lượng tử cho việc tính toán logarit rời rạc trên đường cong elliptic” của Roetteler và các đồng tác giả xác lập giới hạn trên tối đa 9n + 2⌈log2(n)⌉ + 10 qubit logic cần thiết để tính toán logarit rời rạc trên đường cong elliptic trong một trường số nguyên tố n-bit. Với n = 256, điều này tương đương khoảng 2.330 qubit logic.

Ước tính năm 2023 của Litinski đặt việc tính toán khóa riêng elliptic-curve 256-bit vào khoảng 50 triệu cổng Toffoli. Dựa trên giả định đó, một phương pháp mô-đun có thể tính một khóa trong khoảng 10 phút sử dụng khoảng 6.9 triệu qubit vật lý. Một tóm tắt trên Schneier on Security trích dẫn ước tính tập trung quanh 13 triệu qubit vật lý để phá mã hóa trong vòng một ngày, với khoảng 317 triệu qubit vật lý cần thiết để nhắm mục tiêu trong khung thời gian một giờ.

Thuật toán Grover, cung cấp tốc độ gấp căn bậc hai cho tìm kiếm brute-force, đại diện cho mối đe dọa lượng tử đối với hàm băm. Nghiên cứu của NIST cho thấy rằng đối với các preimage SHA-256, mục tiêu vẫn nằm trong khoảng 2^128 công việc sau khi áp dụng thuật toán Grover, điều này không so sánh được với việc phá vỡ logarit rời rạc của đường cong elliptic.

Chữ ký hậu lượng tử thường đo bằng kilobytes thay vì hàng chục bytes, ảnh hưởng đến kinh tế trọng lượng giao dịch và trải nghiệm người dùng ví, theo các đặc tả kỹ thuật.

NIST đã tiêu chuẩn hóa các primitive hậu lượng tử bao gồm ML-KEM (FIPS 203) như một phần của kế hoạch chuyển đổi rộng hơn. Trong hệ sinh thái Bitcoin, BIP 360 đề xuất một loại đầu ra “Pay to Quantum Resistant Hash”, trong khi qbip.org ủng hộ việc chấm dứt chữ ký legacy để thúc đẩy các ưu đãi chuyển đổi.

IBM đã thảo luận tiến trình về các thành phần sửa lỗi trong một tuyên bố gần đây với Reuters, nhắc lại lộ trình phát triển hướng tới một hệ thống lượng tử lỗi-tolerant vào khoảng năm 2029. Công ty cũng báo cáo rằng một thuật toán sửa lỗi lượng tử chính có thể chạy trên các chip AMD thông thường, theo một báo cáo riêng của Reuters.

Các yếu tố đo lường bao gồm tỷ lệ của bộ UTXO có khóa công khai bị lộ, các thay đổi trong hành vi ví phản ứng với lộ đó, và tốc độ chấp nhận của mạng đối với các đường dẫn chi tiêu chống lượng tử trong khi duy trì các giới hạn xác thực và phí thị trường, theo phân tích của Dự án Eleven.