Разработчики Биткойн словно в бреду идут к краху

Автор: Nic Carter Перевод: LlamaC

«Рекомендованное сообщение: Основные моменты: Ник Картер (партнёр Castle Island Ventures, известный лидер мнений в крипто-сообществе, эта статья прямо критикует инертность управления и стратегические ошибки разработчиков Bitcoin Core). В данной статье в основном обсуждаются потенциальные угрозы безопасности биткойна со стороны квантовых вычислений, разработчики биткойна, похоже, придерживаются консервативной позиции относительно потенциального воздействия угрозы квантовых компьютеров, однако на самом деле необходимо начинать подготовку к возможным рискам квантового взлома, которые могут возникнуть в течение следующих десяти лет.»

Текст

В последнее время много говорят о квантовых рисках биткойна. Я уже высказывал свою точку зрения в длинной статье, но большинство людей её не читали, а просто получали фрагменты споров из X. Поэтому я сократил свою точку зрения в этой короткой статье. Я не собираюсь нагромождать в этой статье большое количество ссылок и деталей.

Безопасность Биткойна — то есть сложность обратного вывода закрытого ключа из открытого — зависит от технологии эллиптической криптографии. Как известно, квантовые вычисления (QC) теоретически могут это взломать, благодаря алгоритму, изобретенному Дэвидом Шором в 90-х годах. Сатоши Накамото осознавал это при создании Биткойна и предложил обновление, если квантовые вычисления станут достаточно мощными. Для того чтобы квантовый компьютер фактически развернул этот алгоритм, ему нужно от 1000 до 2000 так называемых «логических квантовых битов» или примерно от нескольких сотен тысяч до миллиона «физических квантовых битов». Для справки, на данный момент самые современные квантовые компьютеры имеют максимум около 1000 физических квантовых битов и десятки логических квантовых битов. Таким образом, мы находимся примерно на три порядка величины от достижения этой способности. Хотя это кажется далеким, известный квантовый теоретик и ученый Скотт Ааронсон называет это всего лишь «крайне сложной» инженерной задачей, а не требующей новых открытий в области физики. Иными словами, этап, на котором в настоящее время находятся квантовые вычисления, аналогичен ядерному делению 1939 года — это известно как осуществимое, и нет теоретических препятствий, но все еще требуется огромный инженерный вклад. Дальше аналогия: поскольку квантовые вычисления имеют огромную стратегическую ценность, ранние владельцы этой технологии могут скрывать свои способности или откладывать их раскрытие. Под воздействием интересов квантовые вычисления могут внезапно появиться без каких-либо предупреждений. Это плохая новость для тех держателей Биткойна, которые считают, что у них будет достаточно времени для предупреждения и подготовки. Как мы видели в области искусственного интеллекта — и когда закон масштабирования (scaling law) был разработан, и когда LLM стали мощными, — степень удивления, проявленная сообществом ИИ, действительно указывает на то, что в технической области происходят нелинейные роста. Я не хочу ставить будущее Биткойна на простую надежду, что «развитие квантовых технологий не принесет неожиданных сюрпризов».

Вероятность квантового взлома в течение следующих десяти лет неизвестна. Тем не менее, 2025 год будет самым активным годом в истории квантовых вычислений. На техническом уровне в этом году IONQ и MIT добились прорыва в области “фиделити” (то есть частоты, с которой квантовые биты выполняют ожидаемые операции). Квантовая коррекция ошибок направлена на выявление и устранение ошибок, возникающих из-за физических квантовых битов, с целью создания чистых логических квантовых битов, и эта технология начала достигать значительного прогресса в 2025 году. Поскольку эти ошибки, как правило, увеличиваются с масштабированием квантовых компьютеров, достижение крупномасштабной коррекции ошибок стало самым значительным прогрессом в области квантовых вычислений. Google и Quantinuum добились значительных результатов в области коррекции ошибок в этом году.

В этом году стартапы в области квантовых технологий собрали не менее 6 миллиардов долларов, что стало историческим рекордом и значительным преимуществом. Один из стартапов, PsiQuantum, собрал 1 миллиард долларов с целью построить машину на миллион квантовых битов — они считают, что это возможно с использованием существующих технологий. Многие компании, занимающиеся разработкой квантовых компьютеров, четко предсказывают, что к концу 2020-х или середине 2030-х годов они смогут создать полнофункциональные и масштабируемые квантовые компьютеры. Эксперты на Metaculus в среднем ожидают, что квантовые компьютеры появятся примерно в 2033 году.

Официальный орган по стандартизации правительства США NIST потребовал от государственных учреждений отказаться от криптографических схем, подверженных квантовым атакам, таких как ECC256, до 2030 года и прекратить всю зависимость от них к 2035 году. Другие крупные государства, такие как Европейский Союз и Великобритания, также работают по аналогичному графику. Как я объясню, эти даты должны побудить владельцев биткойнов действовать уже сегодня.

Если будут созданы достаточно мощные «квантовые компьютеры, связанные с криптографией» (QC), это может угрожать биткойну, позволяя злоумышленникам похитить частный ключ из открытого ключа. Не все токены в настоящее время раскрыты (частичные открытые ключи находятся в хэш-адресах, и SHA-256 не считается уязвимым для квантовых атак), но на момент написания этой статьи 6,7 миллиона BTC находятся под угрозой — стоимостью 604 миллиарда долларов. Кроме того, в течение короткого окна между тратой токенов и их включением в блок, достаточно мощный квантовый компьютер теоретически может произвести обратную инженерную разработку частного ключа и перенаправить расходы. Это применимо к токенам в любом типе адресов, независимо от того, подвергались ли они хэшированию.

Теоретически, Bitcoin может принять “постквантовые” (PQ) схемы подписей через мягкий форк. Действительно, существуют некоторые предложенные устойчивые к квантовым атакам криптографические подписи. Оставив в стороне технические вопросы, такие как значительно увеличенные требования к данным (необходимы более крупные блоки или снижение пропускной способности), основной проблемой будет определить конкретную постквантовую схему, организовать мягкий форк и с трудом перенести десятки миллионов адресов с балансом. Принятие новых криптографических технологий несет в себе риски, это еще один вопрос. Мы не хотим панически переходить на PQ криптографию, а потом обнаружить, что ее можно взломать с помощью классических компьютеров. Извлечение криптографии из ядра системы Bitcoin является огромной задачей, которую необходимо проводить осторожно. Если вы вспомните, как трудно было сообществу Bitcoin достичь консенсуса и реализовать (относительно безспорные) мягкие форки SegWit и Taproot, вы поймете, что действия Bitcoin не являются быстрыми.

Постквантовый форк Биткойна (или, более точно, множественные форки, так как может потребоваться несколько) будет более инвазивным и сложным, чем любое из предыдущих обновлений протокола. Криптография является основой этого протокола, и ее замена заставит изменить практически все аспекты системы и способы взаимодействия пользователей с ней. Очевидно, что дискуссия, разработка и тестирование, необходимые для такого форка, займут больше времени, чем SegWit (два года от предложения до активации) или Taproot (три года).

На самом деле, после форка сделать так, чтобы биткойн стал безопасным, будет гораздо сложнее. Токены, находящиеся на адресах, подверженных квантовым атакам, должны быть заменены и отправлены на новые типы адресов, устойчивые к квантовым атакам. В конечном итоге все типы адресов должны быть выведены из обращения и заменены. Даже если каждый держатель биткойнов осознает это и сможет в любое время получить доступ к своему кошельку и приватным ключам, этот переход в лучшем случае займет несколько месяцев. Более реалистичная ситуация заключается в том, что вам нужно дать держателям биткойнов несколько лет, чтобы уведомить их о необходимости заменить свои токены.

Ситуация становится все хуже. Некоторые биткойны были потеряны или заброшены. Значительная их часть — 1,7 миллиона BTC — принадлежит Сатоши Накамото и другим ранним майнерам, хранящимся на старом типе адресов, называемом «оплата по публичному ключу» (pay to public key). Если эти биткойны действительно потеряны, их нельзя будет перевести на адреса, защищенные от квантовых атак, чтобы обеспечить безопасность. Они подобны древним монетам, разбросанным на дне моря среди обломков затонувшего корабля, которые когда-то считались невозможными для восстановления — до тех пор, пока кто-то не создал лучшие подводные лодки. Поэтому сообщество биткойнов должно решить, что с ними делать. Заморозить их, тем самым участвуя в институционализированном воровстве; или игнорировать их, позволяя неизвестному, возможно враждебному квантовому агенту стать крупнейшим держателем биткойнов. Оба варианта не идеальны, и в настоящее время в сообществе нет единого мнения. Сообщество биткойнов никогда не голосовало за заморозку или фиксацию чьих-либо биткойнов, как бы это ни было отвратительно. На самом деле такое коллективное воровство (даже из благих побуждений) является причиной, по которой многие ранние сторонники биткойна презирали Эфир. Если это произойдет, сторонники биткойна покажут, что они не лучше своих ненавистных противников. Это также подаст сигнал будущим держателям: в экстренных ситуациях коллективное изъятие — это вариант. Изъятие создаст опасный прецедент. Поэтому судьба заброшенных P2PK биткойнов должна быть предметом обсуждения, и необходимо реализовать и внедрить набор решений (например, заморозить или реквизировать их через форк). Это далеко не простая задача и станет совершенно беспрецедентным событием в истории биткойна.

Если вы посчитаете, то обнаружите, что необходимый график смягчения может занять почти десять лет. Нам нужно время, чтобы обсудить стратегии, разрешить разногласия, согласовать соглашения и дорожные карты угрожаемых токенов, написать код, протестировать криптографию и фактически выполнить миграцию. Это означает, что даже если квантовый судный день (так называемый «Q-день») наступит через десять лет, нам нужно начинать подготовку сегодня. Пришедший раньше времени или неожиданный Q-день будет катастрофическим. Нам придется спешно решать, замораживать ли угрожаемые токены, панически внедрять постквантовые схемы подписи и надеяться, что схема безопасна, а доверие к системе сможет восстановиться. Основная компания-разработчик биткойна Chaincode оценивает, что даже «краткосрочные» экстренные меры потребуют два года. Изменить биткойн — все равно что управлять авианосцем.

Паническая реакция на внезапные разрушения, а не само разрушение, может уничтожить Bitcoin. Противоположные мнения о том, следует ли уничтожать или признавать эти уязвимые токены, могут привести к форкам, как мы видели в войне за размер блока. Конкурирующие форки за имя Bitcoin, возможно, могли бы с трудом существовать в 2017 году, когда Bitcoin еще не был зрелым и ставки были низкими, но сегодня такая ситуация приведет к утрате доверия к протоколу со стороны крупных институциональных капиталовложений, на которых полагается Bitcoin. Квантовые вычисления разрушают неприкосновенность обещания Bitcoin. Неудивительно, что большинство держателей Bitcoin даже не осмеливаются признать это. Они знают, что признание существования рисков ставит под сомнение основное повествование о “неизгладимости” Bitcoin. С точки зрения распределителей капитала, вы не хотите, чтобы ваш актив, представляющий собой конечное хранилище ценности, имел хвостовые риски. Поэтому держатели Bitcoin выбирают играть в огромную игру дилеммы заключенного, где каждый молчит и не выдает других. Но они не ожидали, что найдутся немногие интеллектуально честные держатели Bitcoin, готовые раскрыть миру неприятную правду — даже если это повредит нашим собственным интересам.

Некоторые сторонники биткойна считают, что американское законодательство помешает любому, кто владеет CRQC, использовать его для атаки на биткойн. Однако полагаться на то, что противник будет соблюдать юридические правила, чтобы защитить биткойн, - это слабое утешение. Мы не можем ожидать, что ранние владельцы квантовых технологий будут действовать с милосердием. Хотя они не признают этого публично, у крупных компаний по квантовым вычислениям есть причины осторожно исследовать вокруг конференций по биткойну: если они смогут создать оборудование, достаточное для получения этого богатства, то на них будет ждать огромная награда в сотни миллиардов долларов. Китай вкладывает огромные государственные ресурсы в квантовые вычисления, и у них нет никакой лояльности к биткойну или американскому законодательству. Кроме того, если американское правительство посчитает, что Китай собирается действовать, не исключено, что они первыми конфискуют биткойны, которые представляют собой риск.

Если вы понимаете мою логику, вы поймете, что нам следует начать подготовку уже сегодня. Консенсус экспертов и правительства показывает, что квантовые проблемы могут возникнуть в период с 2030 по 2035 год, учитывая график реагирования, это означает, что мы должны начинать готовиться с сегодня. Если мы не будем готовы, ущерб от квантового коллапса может быть катастрофическим — доверие к всей системе будет полностью утрачено. Таким образом, квантовый риск имеет значительное негативное значение для ожидаемой стоимости биткойна. Для тех инвесторов или разработчиков, которые игнорируют эту угрозу, я хочу спросить вас: какова вероятность полного коллапса, которую вы готовы принять? 10%? 5%? 1%? Люди покупают страхование на случай маловероятных событий, которые могут вызвать катастрофические убытки. Даже если риск опасного наводнения составляет всего 1% в год, вы, возможно, купите страхование от наводнений и будете рады, что сделали это. На самом деле, стоимость страхования от квантового риска очень низка, потому что большинство разработчиков занимаются бессмысленной самоанализом. В последние десять лет основное внимание разработчиков сосредоточено на модели масштабирования на базе сети Lightning, но эта модель оказалась неудачной. Внутренние споры о фильтрах и о том, должен ли биткойн нести произвольные данные, отвлекли внимание разработчиков. За последние десять лет протокол биткойна обновлялся всего дважды. Хотя они в конечном итоге обновятся, разработчики не могут уверенно утверждать, что заняты другими важными делами и не могут уделить внимание этой все более серьезной угрозе для выживания.

Каковы действия сообщества Биткойна в этом отношении? К сожалению, они незначительны. Хотя есть некоторые разрозненные усилия по изучению постквантовых схем подписи и ранних идей по смягчению, на практике конкретных предложений крайне мало. Единственное перечисленное предложение по улучшению Биткойна (BIP) — BIP360, было инициировано относительно посторонним человеком, а не одним из тех “великих жрецов”, которые обычно имеют решающее слово в вопросах значительных обновлений Биткойна. На данном этапе BIP360 фактически исправляет серьезную ошибку, допущенную разработчиками Биткойна, которая заключалась в введении типов адресов Taproot, подверженных квантовым атакам, в 2021 году. Несмотря на то что главный разработчик Pieter Wuille тогда публично признал, что адреса Taproot подвергаются квантовому риску, они все равно это сделали. Даже к 2025 году Wuille по-прежнему утверждает, что “нет неотложной необходимости” в квантовой защите Биткойна.

Больше всего меня беспокоит то, что разработчики биткойна проявляют необычайное безразличие к рискам, связанным с приближением квантовых вычислений. Обычно культура разработки биткойна чрезвычайно осторожна, почти до абсурда. Разработчики готовы платить высокую цену, чтобы избежать внедрения уязвимостей и минимизировать зависимость от сторонних библиотек. Как известно, биткойн отклонил стандартный стек эллиптических кривых в отрасли и избежал реализации ECC OpenSSL, выбрав secp256k1 в качестве стандарта и поддерживая собственный кастомизированный код. И это лишь один из примеров. Многие должны помнить, что даже незначительное увеличение размера блока обсуждалось годами и рассматривалось как потенциальная угроза существованию. Разработчики предупреждали, что добавление нескольких мегабайт может привести к краху сети или разрушению децентрализации. Языку сценариев системы также преднамеренно наложены ограничения — не из-за недостатка воображения, а из-за страха перед атаками типа «отказ в обслуживании» и непредсказуемым поведением. Эти выборы имеют идеологическую окраску, коренящуюся в крайнем самодостаточности, сопротивлении текущим и будущим угрозам и общей параноидальной культуре. Однако невероятно, что сегодня биткойн сталкивается с полной ликвидацией современных технологий публичного ключа, а реакция разработчиков — это самодовольство.

Когда речь идет о рисках, связанных с квантовыми вычислениями, держатели биткойнов (Bitcoiners) обычно отвечают, что эта угроза также касается всех финансовых технологий (и любых других систем, зависящих от криптографии). Это подразумевает, что, поскольку конец света все равно наступит, беспокоиться не стоит. Но это не только абсурдно (очевидно, что даже в смятении мы все равно надеемся, что биткойн будет работать должным образом), но и не соответствует действительности. «Квантовый день» (Q-day), если он произойдет, будет похож на проблему «года 2000» (Y2K), когда благодаря подготовке все прошло гладко. Постквантовые подписи уже существуют и могут быть легко внедрены любыми централизованными учреждениями. Основная проблема заключается в блокчейне, поскольку у них есть инерция управления и трудности с обновлениями. Cloudflare уже предоставляет защиту от постквантового шифрования для большей части своего трафика. AWS уже внедрила постквантовую криптографию в критически важных услугах. NordVPN теперь предлагает функции постквантового браузинга. Хотя обновление инфраструктуры может быть болезненным, все финансовые учреждения, программные компании и правительства являются высоко централизованными, и им просто нужно отдать прямой приказ о модернизации. (Существует небольшое количество систем, которые нельзя обновить, например, оборудование, которое зафиксировано на уровне железа и не может быть обновлено. Но это касается тех устройств, которые имеют слишком длинный срок службы, и их в любом случае следует постепенно выводить из эксплуатации. Искусственные спутники являются исключением, так как они также находятся в невыгодном положении в отношении «квантового дня».)

Децентрализованные блокчейны, такие как Биткойн, не могут обновляться так же быстро, как централизованные операторы баз данных. С 2017 года Биткойн проделал лишь два обновления, и даже эти обновления были осуществлены только после огромной ненависти и внутренних конфликтов. Кроме того, поскольку значительная часть уязвимых токенов хранится на заброшенных адресах, владельцы которых не могут быть принудительно заставлены перевести свои токены, даже если Биткойн действительно обновится до постквантовых подписей, он все равно будет подвержен риску того, что 1,7 миллиона токенов могут быть внезапно захвачены квантовыми злоумышленниками. Биткойну необходимо провести обновления организованно и своевременно, и владельцы Биткойна должны коллективно согласиться на конфискацию этих 1,7 миллиона токенов, чтобы устранить этот риск — что абсолютно беспрецедентно в истории Биткойна.

Биткойн также более уязвим по сравнению с другими блокчейнами. В доле поставок ему приписывается более высокая пропорция потерянных или заброшенных токенов. Эфириум действительно сталкивается с некоторыми из тех же рисков, но его абстракция учетных записей и функциональность смарт-контрактов означают, что с помощью некоторых приемов Эфириум даже может реализовать постквантовую (PQ) подпись без необходимости форка. В конечном итоге все равно потребуется постквантовый форк, но это более вероятно в рамках более активного процесса управления Эфириумом. Эфириум также выигрывает от того, что у него есть лидер, который признает угрозу квантов и уже предложил рекомендации по ее преодолению. Другой конкурент Solana уже начал тестировать постквантовые подписи. Такие сети второго уровня, как Starkware, ставят противоквантовую устойчивость в качестве основного ценностного предложения. Верующие в Биткойн могут быть раздражены такими сравнениями, но когда наступит “квантовый день” (Q-day), Биткойн с высокой вероятностью станет единственным блокчейном, подвергнутым рискам.

Итак, это жестокая правда. Очень немногие приверженцы биткойна готовы это признать. По сравнению с другими системами, которые зависят от криптографии с открытым ключом, блокчейн оказывается особенно уязвимым перед квантовыми вычислениями, а биткойн в блокчейне является самым уязвимым. Квантовые вычисления перешли от далекой теоретической возможности к чисто инженерной задаче, и они могут появиться в течение десяти лет или даже быстрее. Если это так, приверженцам биткойна сейчас нужно начать подготовку.