O impacto da computação quântica do Google na segurança do Ethereum

Autor: Comunidade DengLian

Link do artigo original:

Declaração: Este artigo é uma reprodução, os leitores podem obter mais informações através do link original. Se o autor tiver alguma objeção à forma de reprodução, por favor, entre em contato conosco, faremos as alterações conforme solicitado pelo autor. A reprodução é apenas para compartilhamento de informações, não constitui aconselhamento de investimento, nem representa a opinião ou posição do Wu.

Embora a computação quântica ainda carregue um forte apelo especulativo, com a melhoria na eficiência do algoritmo de Shor, a segurança das contas na Ethereum, os mecanismos de consenso e os sistemas de prova de Layer 2 enfrentam riscos de longo prazo. Ao migrar para o padrão pós-quântico do NIST, deve-se prevenir possíveis backdoors criptográficos.

Contexto (Context)

Pesquisadores do Google, Berkeley, Stanford e Fundação Ethereum publicaram um artigo sobre otimizações substanciais de algoritmos quânticos e seu impacto nas criptomoedas.

Algumas informações de fundo necessárias aqui são que a computação quântica é em grande parte uma especulação. Ela atrai atenção por meio de hype e especulação, e assim consegue financiamento contínuo.

Isso não quer dizer que não seja uma otimização real — ela é — mas devemos estar cientes desse contexto ao ler sobre análise criptográfica quântica. Temos tempo para classificar e iterar, considerando o histórico envolvendo a NSA (Agência de Segurança Nacional dos EUA) e o NIST (Instituto Nacional de Padrões e Tecnologia dos EUA), devendo inicialmente desconfiar das recomendações de redes de lattice (grade).

Sobre o que estamos falando (What We’re Talking About)

O artigo foca na curva de Bitcoin (suspeita-se que por desconfiança em relação ao SECP256R1/P256) e na curva SECP256K1 (K256), amplamente usada por muitas outras blockchains. Nesta análise, o foco principal será na rede Ethereum, pois Monero usa curvas diferentes, e Bitcoin, neste contexto, não oferece privacidade nem recursos de programação.

Curva Monero (ed25519) não foi explicitamente alvo, embora o artigo mencione que sua vulnerabilidade pode não ser um nível de dificuldade maior do que o K256.

Com algoritmos de busca quântica, encontrar pré-imagens (como SHA256 ou KECCAK256) de hashes realmente terá uma leve aceleração, mas essa melhoria não é exponencial. Não representa uma ameaça significativa a esses algoritmos de hash, e o artigo também não apresenta melhorias nos algoritmos que os atacam.

Cronograma (Timelines)

O NIST geralmente é responsável por padrões criptográficos e anúncios de segurança do governo dos EUA. O relatório interno 8547, publicado em novembro de 2024, indica que: protocolos de troca de chaves e assinaturas baseados em RSA e logaritmos discretos de curvas elípticas serão descontinuados antes de 2030 e proibidos até 2035. Isso porque o algoritmo de Shor pode acelerar exponencialmente a resolução de problemas de logaritmos discretos.

O artigo demonstra uma otimização que reduz significativamente o número de qubits lógicos e portas Toffoli necessárias para atacar K256. Recomenda-se abandonar a curva cedo, não tarde, embora não forneça uma data específica.

Embora não modele curvas como BN254 ou BLS12-381, o artigo menciona que a dificuldade de atacá-las não deve ser muito maior do que K256. Isso torna as operações de pares bilineares mais vulneráveis, podendo permitir a recuperação de sistemas de compromisso polinomiais (como os usados em zk-SNARKs, por exemplo, KZG) com “resíduos tóxicos (toxic waste)”.

Riscos para Ethereum (Risks For Ethereum)

O artigo identifica cinco vulnerabilidades na Ethereum:

Conta (Account)

Gerenciamento (Admin)

Código (Code)

Consenso (Consensus)

Disponibilidade de dados (Data Availability)

Contas e gerenciamento (Account and Admin)

Como os endereços de contas são hashes truncados da chave pública K256, contas que não enviaram transações ou não publicaram assinaturas (como assinaturas permitidas) não expõem sua chave pública. Isso significa que, atualmente, elas não estão vulneráveis.

No entanto, uma vez que uma conta publica uma assinatura, sua chave pública pode ser recuperada, expondo-a a ataques.

A vulnerabilidade de “gerenciamento” refere-se a falhas em contas de endereços privilegiados. Contas multiassinatura M-de-N precisam que M contas sejam comprometidas, mas fora isso, não há defesa. Isso significa que contratos configuráveis podem ser manipulados, e contratos inteligentes de proxy atualizáveis podem ser substituídos por contratos de drenagem (drainer) para roubar tokens.

Código (Code)

Essa vulnerabilidade refere-se a contratos que dependem de precompilas que usam primitivas criptográficas não resistentes a ataques quânticos. Atualmente, incluem:

ECDSA K256

ECDSA P256

Prova de compromisso polinomial KZG

Operações de ponto BN254 e pares bilineares

Operações de ponto BLS12-381 e pares bilineares

Precompilas de ECDSA P256 estendem o problema da conta para contas inteligentes que usam P256, como aquelas autenticadas por iOS e Android em zonas de isolamento de segurança (secure enclave) (Face ID, autenticação por impressão digital).

Curvas BN254 e BLS são usadas em protocolos de privacidade e zk-SNARKs em Layer 2. Recuperar “resíduos tóxicos (toxic waste)” dessas configurações permitiria que atacantes falsificassem provas em qualquer sistema que dependa dessas compromissos.

Consenso (Consensus)

Na sua implementação de consenso, Ethereum usa BLS12-381 para agregação de assinaturas. Seus efeitos variam de acordo com a proporção de partes afetadas na rede:

Vulnerabilidade aos validadores: pode forçar penalizações de stake (slash).

Vulnerabilidade acima de 1/3: pode impedir a finalização (finality).

Vulnerabilidade acima de 1/2: pode afetar a escolha de fork e forçar reorganizações profundas (reorganization).

Vulnerabilidade acima de 2/3: catastrófico; requer recuperação fora da rede.

Disponibilidade de dados (Data Availability)

O sistema de blobs da Ethereum usa amostragem de disponibilidade de dados com provas de compromisso KZG. Se resíduos tóxicos forem recuperados, podem ser criadas provas falsas de disponibilidade, causando problemas para Layer 2 que dependem de armazenamento de blobs para mudanças de estado.

Problema pós-quântico (The Post Quantum Problem)

A solução direta é migrar para sistemas baseados em lattice (Lattice) ou hash. O NIST estabeleceu os seguintes padrões:

(FIPS 203) Mecanismo de encapsulamento de chaves baseado em lattice

(FIPS 204) Assinaturas digitais baseadas em lattice

(FIPS 205) Assinaturas digitais sem estado baseadas em hash

Porém, devido à intervenção da NSA, os padrões do NIST sempre foram questionados na história. Casos históricos incluem o cracker DES da EFF, backdoors na Dual EC DRBG da NSA, e a falta de transparência do NIST em relação à criptografia pós-quântica envolvendo a NSA.

Especialistas renomados como D.J. Bernstein destacam a enorme superfície de ataque da criptografia baseada em lattice (Lattice), além de que essas implementações continuam evoluindo na tentativa de resistir a novos vetores de ataque.

Principais pontos (Takeaways)

Temos ainda alguns anos. Devemos fazer ajustes rápidos, porém cautelosos. Idealmente, usaríamos sistemas de autenticação modulares para facilitar futuras atualizações mais rápidas.

Precisamos reconhecer que a criptografia é transitória; ela dá tempo para que os dados se tornem inúteis antes de serem decifrados. Também devemos estar atentos a como instituições como a NSA podem tentar inserir backdoors em suítes pós-quânticas.