Отчёт Coinbase о квантовых вычислениях предупреждает, что биржа хранит холодные кошельки среди 7 млн Bitcoin, оказавшихся раскрыты

Совет по квантовому консультированию Coinbase сообщил в четверг, что примерно 7 миллионов bitcoin находятся в адресах, подверженных будущей квантовой атаке; при этом значительная часть этого воздействия связана с активными фондами, а не с утерянными монетами периода Satoshi, включая холодные кошельки, управляемые известными биржами. Воздействие проистекает из двух уязвимостей: адресов legacy pay-to-public-key, где публичные ключи полностью видны onchain, и повторного использования адресов, которое уже раскрыло публичные ключи. В отчёте задача обрамляется как вопрос управления о том, что делать с держателями, которые по-прежнему контролируют свои средства, но могут не успеть мигрировать до любого дедлайна, поскольку развитие квантовых вычислений продолжает ускорять сроки исследований.

Отчёт Coinbase выявляет два «корзинных» случая подверженности bitcoin

Консультативный совет разделил подверженность на две категории в отчёте, опубликованном в четверг компанией Independent Advisory Board on Quantum Computing and Blockchain. Около 1,7 миллиона bitcoin находятся в распределении по примерно 20 000 адресов legacy pay-to-public-key (P2PK), где сам публичный ключ является адресом и полностью виден onchain, что делает эти монеты напрямую уязвимыми для будущей атаки. Предполагается, что многие принадлежат псевдонимному создателю bitcoin или владельцам, которые давно потеряли свои ключи.

Вторая и более крупная «корзина» связана с повторным использованием адресов. Ссылаясь на компанию по квантовой безопасности Project Eleven, отчёт оценивает риск примерно в 5 миллионов bitcoin, поскольку их публичные ключи уже были раскрыты. В отчёте сказано, что большинство этих монет, вероятно, принадлежит активным пользователям, а не утерянным кошелькам: при этом крупные суммы лежат в холодных кошельках известных бирж или демонстрируют недавнюю активность. В отчёте не называются конкретные криптобиржи.

В отчёте приводится аргумент, что владельцам, которые потеряли свои ключи, не нужна защита: они уже утратили практический контроль над своими монетами, поэтому реальный вопрос — что делать с держателями, которые по-прежнему контролируют свои средства, но не переводят их до наступления любого дедлайна миграции. По собственной формулировке отчёта, эта группа может включать биржи и активных держателей, стоящих за 5 миллионами монет с повторно использованными ключами.

Консультативный совет предлагает два взаимоисключающих подхода к миграции

Отчёт описывает два противоположных взгляда на решения. Первый предполагает установить дедлайн, после которого квантоуязвимые подписи, такие как ECDSA и Schnorr, больше не принимаются, и любые монеты, не мигрированные, будут заморожены навсегда. Сторонники утверждают, что «сломанная» криптография обесценивает доказательство владения, которое дают эти подписи; что затопление рынка потерянными монетами после квантового прорыва несправедливо ударит по другим держателям; и что заморозка помешает санкционированному актору, например Северной Корее, захватить крупный запас bitcoin.

Вторая позиция предполагает задействование постквантовых адресов и в остальном оставляет риск на каждом владельце. Приверженцы утверждают, что сжигание монет равносильно конфискации на уровне сети — это разрыв с философией bitcoin про права собственности; также это создаёт прецедент, который может пригласить дальнейшее давление с целью изъятия средств по другим причинам; и что нет надёжного способа отличить небрежного владельца от того, кто заключён в тюрьму, умер или лишь временно потерял ключ.

Промежуточные предложения обеспечивают совместимость подходов

Между этими двумя позициями отчёт описывает промежуточные предложения, которые, по его словам, взаимно совместимы. Дизайн «Песочные часы» (Hourglass) будет ограничивать, сколько монет P2PK может перемещаться за один блок, чтобы предотвратить внезапный шок предложения. Проект BIP-361 будет ограничивать legacy-подписи после заданного времени, но позволит пользователям доказывать владение с помощью квантоустойчивого zero-knowledge proof — опции, доступной кошелькам, сгенерированным из seed phrases. Provable Address-Control Timestamps, или PACTs, первоначально предложенные исследователем из Paradigm Дэном Робинсоном, позволят держателям зафиксировать сегодня обязательство по будущему квантобезопасному переводу без публичного перемещения средств onchain.

Состав совета и рекомендации по миграции

Совет отказался поддержать какой-либо один подход, заявив, что «правильного ответа нет» и что решение должна принять община. В него входят Yehuda Lindell, который возглавляет криптографию в Coinbase и является профессором Бар-Иланского университета, наряду со Stanford professor Dan Boneh, UT Austin professor Scott Aaronson, исследователем Ethereum Foundation Justin Drake, Sreeram Kannan из Eigen Labs и Университета Вашингтона, а также UCSB профессор Dahlia Malkhi.

Отчёт сделал две рекомендации. Он призвал разработчиков начать техническую работу по миграции уже сейчас, утверждая, что создание поддержки постквантовых подписей не зависит от спора об оставленных монетах и не должно ждать его; и он призвал к более ясной коммуникации, чтобы пользователи не оставались гадать о сроках и планах.

Пункт о биржевой подверженности перекликается с более ранними предупреждениями. Когда стратег Jefferies Christopher Wood вывел bitcoin из своей модельной портфельной позиции в январе из-за квантового риска, исследования, на которые он ссылался, отмечали биржи и институциональные кошельки как одни из наиболее подверженных — из-за повторного использования адресов. Разработчики bitcoin отдельно выносили идею поэтапного «заката» legacy-подписей в рамках BIP-361, а Google в марте заявил, что устанавливает таймлайн до 2029 года для собственной миграции постквантовой криптографии, ссылаясь на более быстрый прогресс в исследованиях, связанных с квантовыми технологиями.

Совет подчеркнул, что ни один квантовый компьютер не может взломать блокчейн-криптографию сегодня, и что угроза остаётся неопределённой. Его аргумент: и миграция, и дискуссия по управлению займут годы, так что ожидание появления на самом деле квантового компьютера, который будет криптографически значим, будет слишком поздно.

FAQ

Что отчёт квантового консультативного совета Coinbase сообщил в четверг?

Квантовый консультативный совет Coinbase сообщил в четверг, что примерно 7 миллионов bitcoin находятся в адресах, подверженных будущей квантовой атаке, причём около 1,7 миллиона — в legacy pay-to-public-key адресах и 5 миллионов — из-за повторного использования адресов, включая холодные кошельки, управляемые известными биржами.

Какие две противоположные позиции по решениям миграции при квантовом переходе?

Первая позиция предполагает установить дедлайн, после которого квантоуязвимые подписи больше не принимаются, что навсегда заморозит немигрированные монеты. Вторая позиция предполагает включение постквантовых адресов и оставляет риск на каждом владельце, утверждая, что сжигание монет равносильно конфискации на уровне сети.