Квантовый компьютер, достаточно мощный, чтобы взломать и разрушить блокчейн Bitcoin, пока не существует. Однако разработчики уже начали обсуждать волну обновлений, призванных построить уровень защиты перед этой потенциальной угрозой — и в этом действительно есть основания, потому что теперь этот риск больше не является чисто теоретической гипотезой.
На этой неделе исследователи из Google опубликовали исследование, показывающее, что квантовый компьютер достаточной мощности может взломать ключевую криптографию Bitcoin менее чем за 9 минут — быстрее на 1 минуту, чем среднее время подтверждения одного блока Bitcoin. Некоторые аналитики считают, что такая угроза может стать реальностью в 2029 году.
Риск очень велик: около 6,5 миллиона bitcoin, стоимостью в сотни миллиардов долларов, находятся на адресах, которые квантовый компьютер может атаковать напрямую. Часть из них принадлежит Satoshi Nakamoto, анонимному создателю Bitcoin. Кроме того, в случае компрометации это нанесет ущерб ключевым принципам Bitcoin — «доверие к исходному коду» и «здоровые деньги».
Ниже — как работает эта угроза, а также предложения, которые сейчас рассматриваются, чтобы ее минимизировать.
Два способа, которыми квантовая машина может атаковать Bitcoin
Прежде всего, давайте разберемся с уязвимостью, прежде чем обсуждать предложения.
Безопасность Bitcoin построена на однонаправленной математической зависимости. Когда вы создаете кошелек, генерируются приватный ключ и некоторые секреты, из которых затем выводится публичный ключ.
Чтобы тратить bitcoin, вы должны доказать право владения приватным ключом — не раскрывая его, а используя его для создания криптографической подписи, которую сеть может проверить.
Эта система безопасна, потому что современным компьютерам потребуется миллиарды лет, чтобы взломать криптографию эллиптических кривых — конкретно алгоритм цифровых подписей эллиптических кривых (ECDSA) — с целью вывести приватный ключ из публичного. Поэтому блокчейн считается практически неуязвимым с вычислительной точки зрения.
Но будущий квантовый компьютер может превратить этот однонаправленный путь в двухнаправленный: вывести приватный ключ из публичного, а затем вывести ваши средства.
Публичный ключ раскрывается двумя способами: из монет, оставшихся неподвижными в цепочке (атака долгосрочного раскрытия), или из монет, находящихся в движении, либо транзакций, ожидающих в транзакционном mempool (атака краткосрочного раскрытия).
Адреса Pay-to-Public-Key (P2PK) — которые использовали и Satoshi, и первые майнеры — а также Taproot (P2TR), текущий формат адресов, активированный в 2021 году, одинаково уязвимы перед таким типом атаки долгосрочного раскрытия. Монетам в этих адресах не нужно перемещаться, чтобы раскрыть публичный ключ; раскрытие уже произошло, и любой человек в мире может прочитать его, включая будущего квантового атакующего. Около 1,7 миллиона BTC находятся в старых адресах P2PK — включая монеты Satoshi.
Атака краткосрочного раскрытия связана с mempool — «комнатой ожидания» для транзакций, которые еще не подтверждены. Пока транзакция находится там в ожидании включения в блок, ваш публичный ключ и ваша подпись видны всей сети.
Квантовый компьютер может получить доступ к этим данным, но у него есть лишь очень короткое окно — до подтверждения транзакции и до того, как она будет похоронена в последующих блоках — чтобы вывести соответствующий приватный ключ и предпринять действия.
Инициативы
BIP 360: устранение публичного ключа
Как было сказано выше, каждый новый Bitcoin-адрес, создаваемый с Taproot сегодня, навсегда раскрывает публичный ключ в цепочке, давая будущему квантовому компьютеру цель, которая никогда не исчезнет.
Предложение по улучшению Bitcoin (BIP) 360 устраняет публичный ключ, встраиваемый в цепочку навсегда, и делает его видимым для всех, вводя новый тип выходных данных под названием Pay-to-Merkle-Root (P2MR).
Помните, что квантовый компьютер будет изучать публичный ключ, обращать точную форму приватного ключа и создавать копию, которая может работать. Если мы уберем публичный ключ, у атакующего больше не будет за что зацепиться. При этом все остальное, включая Lightning-платежи, настройку мультиподписей и другие функции Bitcoin, останется неизменным.
Однако если это будет внедрено, предложение будет защищать только новые в будущем монеты. 1,7 миллиона BTC, которые сейчас лежат в адресах, где публичный ключ уже раскрыт, — это отдельная проблема, которую будут решать другие предложения ниже.
SPHINCS+ / SLH-DSA: постквантовые подписи на основе хэш-функций
SPHINCS+ — это механизм постквантовой подписи, построенный на хэш-функциях, который помогает избежать квантовых рисков, с которыми приходится сталкиваться криптографии эллиптических кривых, используемой в Bitcoin. В то время как алгоритм Шора угрожает ECDSA, хэш-ориентированные конструкции, такие как SPHINCS+, не считаются подверженными аналогичным уязвимостям.
Эта схема была стандартизирована Национальным институтом стандартов и технологий США (NIST) в августе 2024 года под названием FIPS 205 (SLH-DSA) после многих лет публичного рассмотрения.
Взамен повышенного уровня безопасности приходится платить размером. Если текущая подпись Bitcoin имеет длину всего 64 байта, то подпись SLH-DSA имеет размер 8 килобайт (KB) или больше. Поэтому при применении SLH-DSA потребность в блочном пространстве резко возрастет, а комиссии за транзакции также станут выше.
Поэтому были предложены такие решения, как SHRIMPS (другая схема постквантовой подписи, также основанная на хэш-функциях) и SHRINCS, чтобы уменьшить размер подписи, не жертвуя постквантовой безопасностью. Оба решения строятся на SPHINCS+, но нацелены на то, чтобы сохранить его гарантии безопасности в более практичной форме — с меньшими затратами на пространство для блокчейна.
Система Commit/Reveal от Tadge Dryja: экстренный тормоз для mempool
Это предложение — soft fork, выдвинутый сооснователем Lightning Network Tadge Dryja, — призвано защитить транзакции в mempool от будущего квантового атакующего. Оно делает это, разделяя выполнение транзакции на два этапа: Commit и Reveal.
Представьте, что вы говорите своему партнеру, что отправите ему письмо по электронной почте, а затем на самом деле отправляете это письмо. Первая фраза — это этап commit, а отправка письма — этап reveal.
В блокчейне это означает, что сначала вы публикуете «запечатанный отпечаток» вашего намерения — просто хэш, который не раскрывает ничего о транзакции. Блокчейн навсегда ставит временную метку на этот отпечаток. Затем, когда вы отправляете реальную транзакцию, раскрывается публичный ключ — и да, квантовый компьютер, который наблюдает за сетью, может вывести приватный ключ из этого и создать конкурирующую транзакцию, чтобы украсть ваши средства.
Но такая поддельная транзакция будет отклонена сразу. Сеть проверяет: у этой транзакции на расходование есть ранее сделанный commit, записанный в цепочке? У вашей — есть. У атакующего — нет: он только что создал ее несколько минут назад. Отпечаток, зарегистрированный заранее, и является вашим алиби.
Проблема в том, что издержки вырастут, потому что транзакция разделяется на два этапа. Поэтому это рассматривается как промежуточный мост — достаточно практичный, чтобы внедрить его, пока сообщество продолжает разрабатывать меры защиты от квантовых угроз.
Hourglass V2: замедление скорости продаж старых монет
По предложению разработчика Hunter Beast, Hourglass V2 нацелен на квантовую уязвимость, связанную примерно с 1,7 миллионами BTC, находящимися в старых адресах, которые уже открыто раскрыты.
Предложение признает, что эти монеты могут быть украдены в будущем в ходе квантовой атаки, и пытается замедлить процесс утечки, ограничивая продажи на уровне одного bitcoin за блок, чтобы избежать волны массовой ликвидации за одну ночь, которая может привести к падению рынка.
Похожий пример — массовое снятие средств: вы не можете остановить всех, кто выводит деньги, но можете ограничить скорость снятия, чтобы система не рухнула за одну ночь. Предложение вызывает споры, потому что даже такое минимальное ограничение, по мнению некоторых участников сообщества Bitcoin, нарушает принцип, согласно которому никто не должен вмешиваться в ваше право распоряжаться своими монетами.
Заключение
Эти предложения пока не активированы, а децентрализованный механизм управления Bitcoin — включая разработчиков, майнеров и операторов нод — означает, что любые обновления требуют времени, чтобы стать реальностью.
Тем не менее регулярная волна предложений, появляющаяся перед отчетом Google на этой неделе, показывает, что проблема давно находится в поле зрения разработчиков, и это может помочь снизить опасения рынка.
