Розробники Біткойн немов у сні наближаються до краху

Автор: Nic Carter Переклад: LlamaC

“Рекомендоване повідомлення: Основні відомості: Нік Картер (партнер Castle Island Ventures, відомий лідер думок у криптосвіті, в цій статті прямо критикує інертність управління та стратегічні прорахунки розробників Bitcoin Core). У цій статті в основному обговорюються потенційні загрози квантових обчислень для безпеки біткойна, розробники біткойна, схоже, зберігають обережну позицію щодо потенційного впливу загрози квантових комп'ютерів, але насправді потрібно почати готуватися до ризиків квантового зламу, які можуть виникнути протягом наступних десяти років.”

Текст

Останнім часом активно обговорюється ризик квантових технологій для біткоїну. Я вже викладав свої думки в довгій статті, але більшість людей її не читали, а просто отримали деякі уривки дискусій з X. Тому я зосередив свої думки в цій короткій статті. Я не маю наміру наводити в цій статті велику кількість посилань і деталей.

Безпека біткоїна — а саме складність зворотного виведення приватного ключа з публічного — залежить від технології криптографії на основі еліптичних кривих. Відомо, що квантові обчислення (QC) теоретично можуть зламати це, завдяки алгоритму, винайденому Девідом Шором у 90-х роках. Сатоші Накамото усвідомлював це при винайденні біткоїна і запропонував оновлення, якщо квантові обчислення стануть достатньо потужними. Щоб квантовий комп'ютер фактично реалізував цей алгоритм, йому потрібно від 1000 до 2000 так званих “логічних квантових бітів”, або приблизно від кількох сотень тисяч до мільйона “фізичних квантових бітів”. Для довідки, наразі найсучасніші квантові комп'ютери мають максимум приблизно 1000 фізичних квантових бітів і кілька десятків логічних квантових бітів. Тому ми відстаємо від реалізації цієї можливості приблизно на три порядки величини. Хоча це виглядає ще дуже далеким, відомий квантовий теоретик і вчений Скотт Ааронсон називає це просто “надзвичайно складною” інженерною проблемою, а не потребою нових відкриттів у фундаментальній фізиці. Іншими словами, етап, на якому зараз перебувають квантові обчислення, відповідає 1939 року в ядерному розщепленні — відомо, що це можливо, і немає теоретичних перешкод, але все ще потрібні величезні інженерні вкладення. Додаткова аналогія: оскільки квантові обчислення мають величезну стратегічну цінність, ранні власники цієї технології можуть приховувати свої можливості або затримувати їхнє розкриття. Під впливом інтересів квантові обчислення можуть несподівано з'явитися без будь-якого попередження. Це погані новини для тих, хто вважає, що матиме достатньо часу на попередження та підготовку. Як ми спостерігали у сфері штучного інтелекту — і коли були розроблені закони масштабування (scaling law), а LLM стали потужними, — ступінь здивування, виявлена спільнотою AI, дійсно свідчить про нелінійне зростання в технологічній сфері. Я не хочу ставити майбутнє біткоїна на просту надію, що “розвиток квантових технологій не призведе до надзвичайних сюрпризів”.

Вірогідність виникнення квантового зламу в наступні десять років є невідомою. Однак 2025 рік стане найактивнішим роком в історії квантових обчислень. На технологічному рівні цього року IONQ та MIT досягли прориву в “вірності” (тобто частоті, з якою квантові біти виконують очікувані операції). Квантове виправлення помилок має на меті виявлення та усунення помилок, викликаних фізичними квантовими бітами, таким чином створюючи чисті логічні квантові біти; ця технологія почала досягати суттєвого прогресу в 2025 році. Оскільки ці помилки, як правило, зростають із розширенням масштабу квантових комп'ютерів, досягнення масового виправлення помилок стало най значущим досягненням у сфері квантових обчислень. Google та Quantinuum цього року досягли значних результатів у виправленні помилок.

Цього року стартапи в сфері квантових технологій залучили щонайменше 6 мільярдів доларів, встановивши історичний рекорд, і з величезною перевагою. Один з цих стартапів, PsiQuantum, залучив 1 мільярд доларів з метою створення машини з мільйоном квантових бітів — вони вважають, що використання існуючих технологій є здійсненним. Багато компаній, які займаються розробкою квантових комп'ютерів, чітко прогнозують, що до кінця 2020-х або середини 2030-х років зможуть виробляти функціональні та масштабовані квантові комп'ютери. Експерти на Metaculus в середньому очікують, що квантові комп'ютери з'являться приблизно в 2033 році.

Офіційний стандартний орган уряду США NIST вимагав, щоб державні установи відмовилися від криптографічних схем, таких як ECC256, які підлягають атакам квантових комп'ютерів, до 2030 року, а до 2035 року завершили всю залежність від них. Інші основні держави, такі як Європейський Союз і Велика Британія, також діють за подібним графіком. Як я поясню, ці дати повинні спонукати власників біткоїнів діяти вже сьогодні.

Якщо буде створено достатньо потужні “криптографічно пов'язані квантові комп'ютери” (QC), вони можуть становити загрозу для біткойнів, дозволяючи зловмисникам красти приватні ключі з відкритих ключів. Не всі токени наразі були відкриті (частина відкритих ключів знаходиться в хеш-адресах, і SHA-256 не вважається вразливим до квантових атак), але на момент написання цієї статті 6,7 мільйонів BTC знаходяться під загрозою — вартістю 604 мільярди доларів. Крім того, у короткий період часу між витратами токенів і їх включенням до блоку достатньо потужний квантовий комп'ютер теоретично може зворотним чином інженерити приватний ключ та перенаправити витрати. Це стосується токенів будь-якого типу адрес, незалежно від того, чи були вони хешовані.

Теоретично, Bitcoin може впроваджувати “постквантові” (PQ) схеми підпису через м'які розгалуження. Дійсно, існують деякі запропоновані квантово-стійкі підписи. Окрім технічних проблем, таких як значне збільшення вимог до даних (потреба у більших блоках або зниження пропускної здатності), основна проблема полягатиме в визначенні конкретної постквантової схеми, організації м'якого розгалуження та напруженій міграції десятків мільйонів адрес з балансами. Впровадження нових криптографічних технологій має ризики, це ще одна проблема. Ми не хочемо переходити на PQ шифрування через паніку, а потім виявити, що його можна зламати навіть класичними комп'ютерами. Вилучення криптографії, що лежить в основі системи Bitcoin, є величезним завданням, яке потрібно виконувати обережно. Якщо ви згадаєте, наскільки важко було спільноті Bitcoin досягти консенсусу та впровадити (відносно без суперечок) м'які розгалуження SegWit і Taproot, ви зрозумієте, що дії Bitcoin не є швидкими.

Біткойн-форк після квантового етапу (або, точніше, багаторазовий форк, оскільки можуть знадобитися кілька) буде більш інвазивним і складним, ніж будь-яке оновлення цієї протоколи в минулому. Криптографія є основою цього протоколу, і її заміна змусить змінитися практично всім аспектам системи та способам взаємодії користувачів з нею. Очевидно, що дебати, розробка та час тестування, необхідні для такого форку, займатимуть більше часу, ніж SegWit (дві роки з моменту пропозиції до активації) або Taproot (три роки).

Насправді, після розгалуження зробити так, щоб біткоїн перейшов у безпечний стан, буде складніше. Токени, що знаходяться на адресах, вразливих до квантових атак, повинні бути перерозподілені та надіслані на нові типи адрес, стійкі до квантових атак. Врешті-решт, всі типи адрес повинні бути відкинуті та перерозподілені. Навіть якщо кожен власник біткоїнів усвідомлює це і має доступ до своїх гаманців і приватних ключів у будь-який час, цей перехід у найкращому випадку займе кілька місяців. Більш реалістичний сценарій полягає в тому, що вам потрібно дати власникам біткоїнів кілька років для того, щоб перерозподілити свої токени.

Ситуація погіршується. Деякі біткойни вже втрачені або покинуті. Велика їх частина — 1,7 мільйона BTC — належить Сатоші Накамото та іншим раннім майнерам, зберігається за старим типом адреси, який називається «оплата за публічним ключем» (pay to public key). Якщо ці біткойни справді втрачені, їх неможливо буде перевести на адреси, стійкі до квантових атак, для забезпечення безпеки. Вони схожі на стародавні монети, розкидані по дну океану у затонулому кораблі, які колись вважалися неповернутими — поки хтось не створив кращий підводний човен. Таким чином, біткойн-спільноті потрібно вирішити, що з ними робити. Заморозити їх, тим самим взявши участь у систематизованій крадіжці; чи ігнорувати їх, дозволяючи невідомому, можливо, ворожому квантовому агенту стати найбільшим власником біткойнів. Обидва варіанти не є ідеальними, і наразі в спільноті не досягнуто консенсусу. Біткойн-спільнота ніколи не голосувала за замороження або фіксацію будь-якого біткойна, незалежно від того, наскільки це ненависно. Насправді, така колективна крадіжка (навіть з благих намірів) є саме тією причиною, чому багато ранніх прихильників біткойну зневажали ефіріум. Якщо це буде зроблено, прихильники біткойну покажуть, що вони не розумніші за своїх ненависних суперників. Це також надішле сигнал майбутнім власникам: у надзвичайних ситуаціях колективне вилучення є варіантом. Вилучення створить небезпечний прецедент. Тому долю покинутих P2PK біткойнів необхідно обговорити, і має бути реалізовано та впроваджено рішення (наприклад, шляхом форку для їх заморожування або реквізиції). Це зовсім не просто, і в історії біткойну це буде абсолютно безпрецедентним.

Якщо ви підрахуєте, ви виявите, що необхідний час для полегшення може тривати майже десять років. Нам потрібно час, щоб обговорити стратегії, вирішити розбіжності, досягти згоди щодо угоди та дорожньої карти загрозливих токенів, написати код, протестувати криптографію та фактично виконати міграцію. Це означає, що навіть якщо квантовий судний день (так званий “Q-day”) настане через десять років, ми повинні почати готуватися з сьогодні. Прийдешній або несподіваний Q-day буде катастрофічним. Нам доведеться терміново вирішувати, чи заморожувати загрозливі токени, панічно впроваджувати післяквантові підписні схеми і сподіватися, що ця схема є безпечною, а також що довіра до системи зможе відновитися. Основна розробницька компанія Bitcoin Chaincode оцінює, що навіть “короткострокові” заходи надзвичайної ситуації потребують два роки. Змінити Bitcoin - це як керувати авіаносцем.

Панічна реакція на випадкове руйнування, а не саме руйнування, може знищити Bitcoin. Протилежні погляди щодо того, чи слід знищити або заявити про ці уразливі токени, можуть викликати форк, як ми бачили під час війни за розмір блоку. Конкурентні форки за назву Bitcoin, можливо, ще могли б витримати в 2017 році, коли Bitcoin був далеко не зрілим і ставки були нижчими, але сьогодні така ситуація призведе до втрати довіри великих інституційних капіталовкладень, на яких базується Bitcoin, до цього протоколу. Квантові обчислення розривають недоторканність обіцянки Bitcoin. Не дивно, що більшість власників Bitcoin навіть не наважуються визнати це. Вони знають, що визнання існування ризику ставить під питання основний наратив про “незнищенність” Bitcoin. З точки зору капітальних розподільників, ви не хочете, щоб ваш актив, який є кінцевим сховищем цінності, мав хвостовий ризик. Тому власники Bitcoin вибирають грати в величезну гру “дилеми в'язнів”, де всі мовчать і ніхто не видає інших. Але вони не врахували, що знайдеться кілька інтелектуально чесних власників Bitcoin, які готові розкрити світові непопулярну правду — навіть якщо це зашкодить нашим власним інтересам.

Деякі підтримувачі біткоїна вважають, що американське законодавство завадить будь-кому, хто має CRQC, використати його для атаки на біткоїн. Але покладатися лише на надію, що супротивник дотримуватиметься правових норм, щоб захистити біткоїн, є мізерним заспокоєнням. Ми не можемо сподіватися, що ранні володарі квантових технологій будуть милосердними. Хоча вони не визнають цього публічно, великі компанії з квантових обчислень мають причини обережно досліджувати навколо біткоїн-конференцій: якщо вони зможуть створити апаратуру, достатню для здобуття цього багатства, на них чекають тисячі мільярдів доларів у вигляді величезної винагороди. Китай інвестує величезні національні ресурси в квантові обчислення, і вони не мають жодної лояльності до біткоїна чи американських законів. Крім того, якщо американський уряд вважає, що Китай збирається діяти, не можна виключати можливість проактивної конфіскації біткоїнів, які пов'язані з ризиком.

Якщо ви зрозуміли мою логіку, ви зрозумієте, що сьогодні ми повинні почати підготовку. Консенсус експертів та урядів вказує на те, що квантові проблеми можуть виникнути в період з 2030 по 2035 рік, враховуючи графік реагування, це означає, що ми повинні почати готуватися сьогодні. Якщо ми не підготуємось, шкода, яку може спричинити квантовий крах, буде катастрофічною — довіра до всієї системи буде повністю втрачена. Тому квантовий ризик має значний негативний вплив на очікувану вартість біткойна. Для тих інвесторів або розробників, які ігнорують цю загрозу, я хочу запитати вас, яку ймовірність повного краху ви готові прийняти? 10%? 5%? 1%? Люди купують страховку на випадок малоймовірних подій, які можуть завдати катастрофічних втрат. Навіть якщо ризик небезпечного повеня становить лише 1% на рік, ви, можливо, купили страховку на випадок повені, і ви будете вдячні, що зробили це. Насправді, вартість страхування від квантового ризику дуже низька, оскільки більшість розробників займаються безглуздою самоаналізом. Протягом останнього десятиліття основна увага розробників була зосереджена на моделях масштабування на основі Lightning Network, але ця модель виявилася невдалою. Внутрішні суперечки щодо фільтрів та того, чи має біткойн нести будь-які дані, привернули увагу розробників. Протягом останнього десятиліття протокол біткойна було оновлено лише двічі. Хоча вони врешті-решт оновлять його, розробники не можуть упевнено стверджувати, що вони зайняті іншими важливими справами і не можуть приділити увагу цій все більш серйозній загрозі для виживання.

Що зробила спільнота біткоїна з цього приводу? На жаль, дуже мало. Хоча є деякі поодинокі зусилля, які досліджують післяквантові підписні рішення та деякі ранні ідеї щодо пом'якшення, проте на практиці конкретних пропозицій майже немає. Єдиною перерахованою пропозицією щодо поліпшення біткоїна (BIP) — BIP360, керує відносно стороння особа, а не один з тих „великого жреця“, які зазвичай мають вирішальний голос у важливих оновленнях біткоїна. А BIP360 на цьому етапі насправді лише виправляє одну серйозну помилку, яку зробили розробники біткоїна, а саме, що у 2021 році було введено адреси типу Taproot, які підлягають атакам квантових комп'ютерів. Незважаючи на те, що головний розробник Пітер Вуйле тоді відкрито визнав, що адреси Taproot піддаються квантовим ризикам, вони все ж таки це зробили. Навіть у 2025 році Вуйле все ще стверджує, що захист біткоїна від квантових загроз “не є терміновим”.

Найбільше мене дратує те, що розробники біткойна проявляють надзвичайну байдужість до ризиків, які зумовлені наближенням квантових обчислень. Як правило, культура розробки біткойна є надзвичайно обережною, практично до абсурду. Розробники, щоб уникнути вразливостей, готові заплатити величезну ціну, намагаючись зменшити залежність від сторонніх бібліотек. Відомо, що біткойн відмовився від стандартного промислового стеку еліптичних кривих і уникнув реалізації ECC від OpenSSL, обравши secp256k1 як стандарт та підтримуючи свій власний кастомізований код. Це лише один з прикладів. Багато людей, напевно, пам'ятають, що навіть незначне збільшення розміру блоку обговорювалося протягом багатьох років і вважалося потенційною загрозою для виживання. Розробники попереджали, що збільшення на кілька мегабайт може призвести до краху мережі або знищення децентралізації. Мовна система скриптів також була навмисно обмежена — не з браку уяви, а з побоювань перед атаками типу «відмова в обслуговуванні» та несподіваними поведінками. Ці вибори мають ідеологічний підтекст, коріняться в крайньому самозабезпеченні, опорі сучасним та майбутнім загрозам, а також у загальній параноїдальній культурі. Проте, неймовірно, що сьогодні біткойн стикається з повним зникненням сучасних технологій відкритих ключів, а реакція розробників — це самозадоволення.

Коли стикаються з ризиками, що виникають через квантові обчислення, власники біткоїнів (Bitcoiners) зазвичай відповідають, що ця загроза стосується всіх фінансових технологій (та будь-яких інших систем, що залежать від криптографії). Суть в тому, що, оскільки кінець світу все одно настане, не варто турбуватися. Але це не тільки абсурдно (очевидно, що навіть в умовах хаосу ми все ще сподіваємося, що біткоїн буде працювати нормально), але й неправдиво. “Квантовий день” (Q-day), якщо він станеться, коли уряди та основні фінансові установи будуть готові, буде дуже схожий на проблему “кінець тисячоліття” (Y2K), тобто через ретельну підготовку все пройде спокійно. Післяквантові підписи вже існують і можуть бути легко реалізовані будь-якою централізованою установою. Основна проблема полягає в блокчейнах, оскільки вони мають інерцію управління та труднощі з оновленням. Cloudflare вже надає захист від післяквантового шифрування для більшості свого трафіку. AWS вже впровадила післяквантову криптографію в критичних послугах. NordVPN тепер пропонує функцію післяквантового перегляду. Хоча оновлення інфраструктури може бути болісним, всі фінансові установи, програмні компанії та уряди є високо централізованими, їм просто потрібно віддати наказ про оновлення. (Є невелика кількість систем, які не можуть бути оновлені, наприклад, апаратура, яка вже не може бути оновлена. Але це стосується тих апаратних засобів, термін служби яких є надзвичайно довгим, і їх все одно слід поступово знімати з експлуатації. Штучні супутники є винятком, оскільки вони також перебувають у невигідному становищі в умовах “квантового дня”).

Децентралізовані блокчейни, такі як біткоїн, не можуть так швидко оновлюватися, як централізовані оператори бази даних. З 2017 року біткоїн отримав лише два оновлення, і навіть ці два оновлення були реалізовані лише після величезної ненависті та внутрішніх конфліктів. Крім того, через те, що значна частина вразливих токенів зберігається на покинутих адресах, власники яких взагалі не можуть бути змушені передати свої токени, навіть якщо біткоїн дійсно оновиться до післяквантових підписів, він все ще стикається з ризиком, що 1,7 мільйона токенів раптово буде захоплено квантовими нападниками. Біткоїн не тільки потребує впорядкованих та своєчасних оновлень, але й власники біткоїнів повинні колективно погодитися на конфіскацію цих 1,7 мільйона токенів, щоб усунути цей ризик — це абсолютно безпрецедентно в історії біткоїну.

Біткоїн також є більш вразливим в порівнянні з іншими блокчейнами. У частці постачання його вважається, що відсоток токенів, які були втрачені або покинуті, є вищим. Ефір дійсно стикається з деякими аналогічними ризиками, але його абстракція облікових записів та функціональність смарт-контрактів означають, що за допомогою деяких трюків ефір може навіть реалізувати підквантове (PQ) підписання без необхідності форку. Врешті-решт, все ще потрібно провести підквантовий форк, але з активнішими процесами управління ефіру це більш ймовірно. Ефір також виграє від того, що має лідера, який визнає загрозу квантових комп'ютерів і вже запропонував рекомендації для її подолання. Інший конкурент Solana вже почав тестування підквантових підписів. Такі другі рівні, як Starkware, розглядають анти-квантовість як основну ціннісну пропозицію. Віряни біткоїна можуть бути роздратовані цими порівняннями, але коли настане “квантовий день” (Q-day), біткоїн, ймовірно, стане єдиним блокчейном, що піддається ризику.

Отже, це жорстока правда. Дуже мало прихильників біткоїна готові визнати це. У порівнянні з іншими системами, які залежать від криптографії з відкритими ключами, блокчейн виявляється особливо вразливим перед квантовими обчисленнями, а біткоїн є найвразливішим у блокчейні. Квантові обчислення перетворилися з віддаленої теоретичної можливості на чисто інженерний виклик, який може з'явитися через десять років або навіть раніше. Якщо це дійсно так, прихильники біткоїна вже зараз повинні почати готуватися.