Предложение StarkWare: Биткойну не нужен апгрейд протокола, чтобы обеспечить постквантовую безопасность

Согласно исследовательскому предложению, опубликованному в четверг, главный продуктовый директор StarkWare Авиху Леви представил торговое решение «квантово-устойчивый биткоин», утверждая, что оно позволяет довести биткоин-транзакции до квантово-устойчивого стандарта без каких-либо изменений в протоколе биткоина, и что этого достаточно, чтобы противостоять атакам со стороны крупных квантовых компьютеров, оснащённых алгоритмом Шора. Основные издержки также очевидны: на каждую транзакцию отправитель должен нести стоимость GPU-вычислений в размере от 75 до 150 долларов.

Техническое ядро QSB: замена подписи на эллиптических кривых хешевыми задачами

（Источник: Github）

В текущих транзакциях биткоина используются цифровые подписи на основе эллиптических кривых (ECDSA) для авторизации, а математическая основа ECDSA может быть эффективно взломана квантовым компьютером, выполняющим алгоритм Шора. Логика проектирования QSB заключается в том, чтобы принципиально обойти эту уязвимость: больше не полагаться на математику эллиптических кривых, а потребовать от плательщика найти конкретный вход, при котором выход хеш-функции на случайном уровне будет похож на действительную ECDSA-подпись. Этот процесс требует огромных объёмов вычислений методом грубой силы, и даже квантовые компьютеры не могут эффективно ускорить такие вычисления, тем самым сохраняя безопасность транзакций без изменения протокола.

Генеральный директор StarkWare Эли Бен-Сассон заявил, что этот план «имеет важное значение» и фактически позволяет сделать биткоин квантово-устойчивым уже сегодня.

Узкое место по стоимости и область применения: почему это не подходит для ежедневных транзакций

Однако при практическом развёртывании QSB сталкивается с очевидными препятствиями по масштабируемости. Поскольку вычисления методом грубой силы для хешей требуют большого объёма GPU-мощностей, оценочная стоимость каждой транзакции составляет от 75 до 150 долларов, что делает решение экономически неприемлемым для повседневных переводов биткоина. Исследователи прямо указывают, что QSB относится к «мере крайней необходимости», а не к основному решению, поскольку транзакционный формат является не стандартизированным, стоимость не может масштабироваться в горизонтальном направлении, а также потому, что такие решения второго уровня, как Lightning Network, не входят в охват. Изменения на уровне протокола остаются приоритетным долгосрочным направлением, одобренным исследователями.

Расхождения в сообществе: крупный прорыв или «преувеличение»?

Предложение QSB вызвало заметные разногласия в биткоин-сообществе. Эксперт по биткоин ESG Дэниел Баттен, давший оптимистичную оценку с оговорками, выразил сомнение, считая, что это «преувеличение», поскольку утечка открытых ключей и спящие кошельки не были учтены. Баттен имеет в виду оценочно 1.7M BTC, которые заблокированы в ранних адресах P2PK; эти адреса потенциально могут быть взломаны квантовыми компьютерами напрямую. Вокруг этих «спящих» монет у сообщества сейчас существуют три основных позиции:

Сохранение текущего положения: сохранить исходный дизайн биткоина, чтобы поддержать его ключевую философию

Заморозка или уничтожение: активно очистить токены на уязвимых старых адресах

Обновление протокола: посредством форка поддержать стандарты квантово-устойчивых подписей, чтобы полностью решить проблему

Кроме того, в марте Google опубликовала статью, указывающую, что ресурсы, необходимые для взлома квантовыми компьютерами криптографических технологий биткоина, могут быть намного меньше, чем оценивалось ранее, что ещё сильнее усиливает чувство срочности в сообществе. Технический директор Lightning Labs Олаолуова Осунтокун также в среду опубликовал прототип квантового «эвакуационного капсулы», позволяющий пользователям доказывать владение кошельком без раскрытия seed-фразы, предоставляя ещё один путь для альтернативной авторизации.

Часто задаваемые вопросы

Как квантово-устойчивый биткоин (QSB) реализует квантовую защиту, не меняя протокол?

QSB заменяет текущие подписи ECDSA, основанные на математике эллиптических кривых, задачей, в которой требуется большое количество вычислений методом грубой силы хешей. Поскольку квантовый компьютер не может эффективно ускорить выполнение грубосиловых хеш-вычислений, безопасность транзакций сохраняется. Весь план работает в рамках текущих ограничений сценариев биткоина, не требует никаких изменений на уровне протокола, но каждая транзакция должна нести стоимость GPU-вычислений в размере от 75 до 150 долларов.

Почему реакция биткоин-сообщества на квантовую угрозу столь сильно расходится?

Ключевое противоречие — фундаментальное напряжение между защитой безопасности биткоина и сохранением его философии дизайна (включая неинтерфируемость аккаунтов). В частности, для 1.7M BTC, заблокированных на старых адресах P2PK: их первоначальные владельцы, возможно, уже давно потеряли доступ, и вопрос, как распорядиться этими монетами, вызвал широкие этические и технические споры; сообщество до сих пор не смогло прийти к единому мнению.

Почему Lightning Network не может воспользоваться квантовой защитой по схеме QSB?

Lightning Network опирается на стандартный формат транзакций биткоина и механизм дешёвого расчёта вне цепочки. Транзакции QSB имеют нестандартный формат, а стоимость GPU-вычислений в размере от 75 до 150 долларов за транзакцию принципиально несовместима с ориентацией Lightning Network на низкую стоимость, высокую частоту микроплатежей, поэтому пользователи Lightning Network не могут получить квантово-устойчивую защиту по схеме QSB.