Квантові комп’ютери, здатні зламати блокчейн біткоїна, сьогодні не існують. Однак розробники вже розглядають хвилю оновлень, щоб створити захист від потенційної загрози — і, як слушно, адже ця загроза більше не є гіпотетичною.
Цього тижня Google опублікував дослідження, яке припускає, що достатньо потужний квантовий комп’ютер може розкрити ключову криптографію біткоїна менш ніж за дев’ять хвилин — на одну хвилину швидше за середній час завершення (settlement) блоків у біткоїні. Деякі аналітики вважають, що така загроза може стати реальністю до 2029 року.
Ціна питання висока: приблизно 6,5 мільйона токенів bitcoin, вартістю сотні мільярдів доларів, знаходяться в адресах, які квантовий комп’ютер міг би безпосередньо атакувати. Деякі з цих монет належать псевдонімному творцю біткоїна, Сатоші Накамото. Крім того, потенційне компрометування зашкодить базовим принципам біткоїна — «довіряй коду» і «стабільні гроші».
Ось як виглядає ця загроза, а також пропозиції, які зараз розглядають, щоб пом’якшити її.
Два способи, як квантова машина могла б атакувати Bitcoin
Спершу давайте зрозуміємо вразливість, перш ніж обговорювати пропозиції.
Безпека Bitcoin побудована на односторонній математичній залежності. Коли ви створюєте гаманець, генерується приватний ключ і секретне число, з яких виводиться публічний ключ.
Щоб витратити bitcoin токени, потрібно довести володіння приватним ключем — не розкриваючи його, а використовуючи його для створення криптографічного підпису, який мережа може перевірити.
Ця система бездоганна, адже сучасні комп’ютери витратили б мільярди років, щоб зламати криптографію еліптичних кривих — зокрема Elliptic Curve Digital Signature Algorithm (ECDSA) — щоб здійснити зворотне проєктування приватного ключа з публічного ключа. Тому блокчейн вважається обчислювально неможливим для компрометації.
Але майбутній квантовий комп’ютер може перетворити цю односторонню вулицю на двосторонню — виводячи ваш приватний ключ з публічного ключа й зливаючи ваші монети.
Публічний ключ відкритий у двох аспектах: із монет, що бездіяльно лежать наchain (атака довгого впливу) або монет у русі чи транзакцій, що очікують у пулі пам’яті (атака короткого впливу).
Адреси Pay-to-public key (P2PK) (якими користувалися Сатоші та ранні майнери) і Taproot (P2TR), поточний формат адрес, активований у 2021 році, вразливі до атаки довгого впливу. Монетам у цих адресах не потрібно переміщатися, щоб розкрити свої публічні ключі; експозиція вже відбулася і її може прочитати будь-хто на Землі, включно з майбутнім квантовим атакером. Приблизно 1,7 мільйона BTC зберігається в старих адресах P2PK — включно з монетами Сатоші.
Короткий вплив пов’язаний із mempool — кімнатою очікування для непідтверджених транзакцій. Поки транзакції там чекають на включення в блок, ваш публічний ключ і підпис видимі всій мережі.
Квантовий комп’ютер міг би отримати доступ до цих даних, але в нього буде лише коротке вікно — до того, як транзакцію підтвердять і поховають під додатковими блоками — щоб вивести відповідний приватний ключ і діяти ним.
Ініціативи
BIP 360: Видалення публічного ключа
Як зазначалося раніше, кожна нова біткоїн-адреса, створена сьогодні за допомогою Taproot, назавжди розкриває публічний ключ onchain, даючи майбутньому квантовому комп’ютеру ціль, яка ніколи не зникає.
Пропозиція Bitcoin Improvement Proposal (BIP) 360 видаляє публічний ключ, який назавжди вбудований на-chain і видимий усім, запроваджуючи новий тип виходу під назвою Pay-to-Merkle-Root (P2MR).
Нагадаємо, що квантовий комп’ютер вивчає публічний ключ, зворотно-інжинірить точну форму приватного ключа й підробляє робочу копію. Якщо ми прибираємо публічний ключ, атаці нема з чого працювати. Тим часом усе інше, зокрема платежі Lightning, схеми з кількома підписами та інші можливості Bitcoin, залишається тим самим.
Однак, якщо це буде впроваджено, ця пропозиція захистить лише нові монети, що надалі з’являтимуться. 1,7 мільйона BTC, які вже лежать у старих відкритих адресах, — окрема проблема, яку вирішують інші пропозиції нижче.
SPHINCS+ / SLH-DSA: Підписи постквантової безпеки на основі хешів
SPHINCS+ — це схема підписів постквантової безпеки, побудована на хеш-функціях, яка уникає квантових ризиків, що стоять перед криптографією еліптичних кривих, що використовується в Bitcoin. У той час як алгоритм Шора загрожує ECDSA, конструкції на основі хешів на кшталт SPHINCS+ не вважаються такими ж уразливими.
Схему стандартизував Національний інститут стандартів і технологій (NIST) у серпні 2024 року як FIPS 205 (SLH-DSA) після років публічного перегляду.
Компроміс для безпеки — розмір. Поки що підписи в bitcoin мають 64 байти, SLH-DSA — 8 кілобайтів (KB) або більше за розміром. Тож прийняття SLH-DSA різко збільшить попит на місце в блоках і підвищить комісії за транзакції.
Як наслідок, пропозиції на кшталт SHRIMPS (ще одна схема підписів постквантової безпеки на основі хешів) та SHRINCS уже вводилися, щоб зменшити розміри підписів без втрати постквантової безпеки. Обидві будуються на SHPINCS+ і водночас мають на меті зберегти гарантії безпеки в більш практичній, економнішій за простором формі, придатній для використання в блокчейні.
Схема Commit/reveal від Таджа Дріджи: аварійне гальмо для mempool
Ця пропозиція, софт-форк, який запропонував спіностворювач Lightning Network Тадж Дріджа, має на меті захистити транзакції в mempool від майбутнього квантового атакера. Вона робить це, розділяючи виконання транзакції на дві фази: Commit і Reveal.
Уявіть, що ви повідомляєте контрагенту, що надішлете йому email, а потім реально надсилаєте email. Перше — це фаза commit, а друге — фаза reveal.
У блокчейні це означає, що спершу ви публікуєте запечатаний «відбиток» своєї наміреності — лише хеш, який не розкриває нічого про транзакцію. Блокчейн назавжди проставляє цьому відбитку час (timestamp). Пізніше, коли ви транслюєте фактичну транзакцію, ваш публічний ключ стає видимим — і так, квантовий комп’ютер, який спостерігає за мережею, може вивести ваш приватний ключ із нього й сфальсифікувати конкуруючу транзакцію, щоб вкрасти ваші кошти.
Але сфальсифікована транзакція одразу відхиляється. Мережа перевіряє: чи є в неї попереднє зобов’язання (commitment), зареєстроване на-chain? Ваше — є. У атакера — немає: він створив це щойно кількома моментами раніше. Ваш попередньо зареєстрований відбиток — це ваше алібі.
Проблема, однак, полягає в підвищеній вартості через те, що транзакцію розбивають на дві фази. Тому її описують як проміжний міст — практичний для впровадження, поки спільнота працює над побудовою квантового захисту.
Hourglass V2: уповільнення витрачання старих монет
Запропоновано розробником Хантером Бістом; Hourglass V2 націлений на квантову вразливість, пов’язану приблизно з 1,7 мільйона BTC, що зберігаються в старіших, уже відкритих адресах.
Пропозиція приймає, що ці монети можуть бути вкрадені в майбутній квантовій атаці, і прагне сповільнити «витік», обмеживши продаж однією bitcoin за блок, щоб уникнути катастрофічної ліквідації масою за ніч, яка могла б обвалити ринок.
Аналогія — банківський набіг (bank run): ви не можете зупинити людей від зняття коштів, але можете обмежити темп зняття, щоб система не рухнула за одну ніч. Пропозиція є суперечливою, тому що навіть це обмежене обмеження дехто в біткоїн-спільноті вважає порушенням принципу, що жодна зовнішня сторона ніколи не може втручатися у ваше право витрачати ваші монети.
Висновок
Ці пропозиції ще не активовані, і децентралізоване управління Bitcoin, що охоплює розробників, майнерів і операторів нод, означає, що будь-яке оновлення, імовірно, потребуватиме часу, щоб матеріалізуватися.
Втім, стабільний потік пропозицій, які передували звіту Google цього тижня, свідчить, що ця проблема давно була в полі зору розробників, що може допомогти стримати занепокоєння ринку.
