Ảnh hưởng của tính toán lượng tử của Google đối với an ninh của Ethereum

Tác giả: Cộng đồng登链

Liên kết bài viết gốc:

Tuyên bố: Bài viết này là nội dung được đăng lại, độc giả có thể truy cập liên kết gốc để biết thêm thông tin. Nếu tác giả có bất kỳ ý kiến phản đối nào về hình thức đăng lại, vui lòng liên hệ với chúng tôi, chúng tôi sẽ chỉnh sửa theo yêu cầu của tác giả. Việc đăng lại chỉ nhằm chia sẻ thông tin, không cấu thành bất kỳ khuyến nghị đầu tư nào, cũng không đại diện cho quan điểm và lập trường của Wu.

Mặc dù tính toán lượng tử hiện vẫn mang tính chất gây sốc, nhưng cùng với việc nâng cao hiệu quả của thuật toán Shor, an toàn tài khoản Ethereum, cơ chế đồng thuận và hệ thống chứng minh Layer 2 thực sự đang đối mặt với rủi ro lâu dài. Khi chuyển đổi sang tiêu chuẩn lượng tử sau NIST, cần phòng tránh các lỗ hổng mật mã tiềm ẩn.

Bối cảnh (Context)

Các nhà nghiên cứu từ Google, Berkeley, Stanford và Quỹ Ethereum đã công bố một bài báo về tối ưu hóa thuật toán lượng tử thực chất và ảnh hưởng của nó đến tiền mã hóa.

Một số nền tảng cần thiết ở đây là, tính toán lượng tử phần lớn là gây sốc. Nó thu hút sự chú ý qua các hoạt động gây sốc và đầu cơ, từ đó liên tục thu hút vốn.

Điều này không có nghĩa là đây không phải là một tối ưu hóa thực chất — thực sự là vậy — nhưng khi chúng ta đọc các nội dung về phân tích mật mã lượng tử, cần nhận thức rõ bối cảnh này. Chúng ta có thời gian để phân loại và lặp lại, và xét đến lịch sử liên quan đến NSA (Cục An ninh Quốc gia Mỹ) và NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ), đặc biệt là các tiêu chuẩn dựa trên lattice (lưới), cần phải đặt nghi vấn trước tiên.

Chúng ta đang bàn về điều gì (What We’re Talking About)

Bài báo tập trung vào Bitcoin (dự đoán dựa trên nghi ngờ về SECP256R1/P256) và nhiều chuỗi khác sử dụng curve SECP256K1 (K256). Trong phân tích này, chúng ta sẽ tập trung vào mạng Ethereum, vì Monero sử dụng các curve khác, còn Bitcoin trong bối cảnh này không cung cấp quyền riêng tư cũng như khả năng lập trình.

Curve của Monero (ed25519) không được xác định rõ là mục tiêu, mặc dù bài báo đề cập rằng khả năng bị tấn công của nó có thể không cao hơn nhiều so với curve K256.

Dưới thuật toán tìm kiếm lượng tử, việc tìm pre-image của hàm băm (như SHA256 hoặc KECCAK256) thực sự sẽ có chút tăng tốc nhỏ, nhưng không phải theo cấp số nhân. Điều này không tạo ra mối đe dọa hợp lý đối với các hàm băm này, và bài báo cũng không đề xuất cải tiến thuật toán tấn công chúng.

Lịch trình (Timelines)

NIST thường phụ trách tiêu chuẩn mật mã và các thông báo an ninh của chính phủ Mỹ. Báo cáo nội bộ 8547 của NIST phát hành tháng 11 năm 2024 cho biết: các giao thức trao đổi khóa và chữ ký dựa trên RSA và logarit rời rạc trên elliptic sẽ bị loại bỏ trước năm 2030 và cấm sử dụng trước năm 2035. Điều này do thuật toán Shor có thể cung cấp tăng tốc theo cấp số nhân đối với các vấn đề logarit rời rạc.

Bài báo chứng minh một phương án tối ưu hóa có thể giảm đáng kể số lượng qubits logic và cổng Toffoli cần thiết để tấn công K256. Nó đề xuất nên loại bỏ sớm chứ không trì hoãn, mặc dù không đưa ra ngày cụ thể.

Mặc dù chưa mô hình hóa các curve khác như BN254 hay BLS12-381, bài báo đề cập rằng độ khó tấn công chúng không nên cao hơn nhiều so với K256. Điều này khiến các phép toán bội tuyến (bilinear pairings) thường dễ bị tấn công hơn, và có thể cho phép phục hồi các hệ thống cam kết đa thức (như KZG trong zk-SNARKs) với “rác độc hại (toxic waste)”.

Rủi ro đối với Ethereum (Risks For Ethereum)

Bài báo xác định năm loại lỗ hổng của Ethereum:

Tài khoản (Account)

Quản trị (Admin)

Mã nguồn (Code)

Cơ chế đồng thuận (Consensus)

Khả năng truy cập dữ liệu (Data Availability)

Tài khoản và quản trị (Account and Admin)

Vì địa chỉ tài khoản là phần cắt của khóa công khai K256, các tài khoản chưa gửi giao dịch hoặc chưa phát hành chữ ký (như chữ ký permit) sẽ không tiết lộ khóa công khai. Điều này có nghĩa là chúng hiện chưa bị đe dọa.

Tuy nhiên, khi tài khoản phát hành chữ ký, khóa công khai có thể được phục hồi, từ đó đối mặt với nguy cơ tấn công.

Lỗ hổng “quản trị” đề cập đến các lỗ hổng liên quan đến tài khoản có đặc quyền. Các tài khoản đa chữ ký M-of-N cần M tài khoản bị tấn công, nhưng các mặt khác thì không có biện pháp phòng vệ. Điều này có nghĩa là các hợp đồng có thể bị thao túng, các hợp đồng proxy có thể được nâng cấp thành hợp đồng rút tiền (drainer) để trộm Token.

Mã nguồn (Code)

Lỗ hổng này liên quan đến các hợp đồng precompile sử dụng nguyên thủy không chống lượng tử. Hiện tại, các hợp đồng này bao gồm:

ECDSA K256

ECDSA P256

Chứng minh cam kết đa thức KZG

Phép toán điểm BN254 và phép đối xứng đôi (pairing)

Phép toán điểm BLS12-381 và phép đối xứng đôi

Các hợp đồng precompile ECDSA P256 mở rộng vấn đề tài khoản sang các tài khoản thông minh sử dụng curve P256, ví dụ như các tài khoản xác thực bằng sinh trắc học (vân tay, Face ID) trong các vùng an toàn của iOS và Android.

Curve BN254 và BLS dùng trong các giao thức quyền riêng tư và Layer 2 Rollups trong zk-SNARKs. Việc phục hồi “rác độc hại (toxic waste)” từ các thiết lập này sẽ cho phép kẻ tấn công giả mạo chứng minh trong bất kỳ hệ thống nào dựa vào cam kết đó.

Cơ chế đồng thuận (Consensus)

Ethereum sử dụng BLS12-381 để tổng hợp chữ ký trong cơ chế đồng thuận. Ảnh hưởng tùy thuộc vào tỷ lệ phần trăm phần mạng bị tổn hại:

Tấn công validator: có thể bắt buộc phạt staking (slash).

Tấn công hơn 1/3: có thể từ chối tính cuối cùng (finality).

Tấn công hơn 1/2: có thể ảnh hưởng đến lựa chọn phân nhánh và bắt buộc tái tổ chức sâu (reorganization).

Tấn công hơn 2/3: thảm họa; cần phục hồi ngoài mạng.

Khả năng truy cập dữ liệu (Data Availability)

Hệ thống Blob của Ethereum sử dụng các mẫu dữ liệu có chứng minh KZG để kiểm tra khả năng truy cập dữ liệu. Nếu rác độc hại trong thiết lập được phục hồi, có thể tạo ra chứng minh khả năng truy cập dữ liệu giả mạo, gây rối loạn các Layer 2 dựa vào Blob để chuyển đổi trạng thái.

Vấn đề lượng tử hậu (The Post Quantum Problem)

Giải pháp trực tiếp là chuyển sang hệ thống dựa trên lattice (Lattice) hoặc dựa trên hàm băm. NIST đã xây dựng các tiêu chuẩn sau:

(FIPS 203): cơ chế đóng gói khóa dựa trên lattice

(FIPS 204): chữ ký số dựa trên lattice

(FIPS 205): chữ ký số không trạng thái dựa trên hàm băm

Tuy nhiên, do sự can thiệp của NSA, các tiêu chuẩn của NIST từ trước đến nay luôn bị hoài nghi. Các ví dụ lịch sử bao gồm máy phá DES của EFF, lỗ hổng hậu của NSA trong Dual EC DRBG, và thiếu minh bạch của NIST trong mật mã hậu lượng tử liên quan đến NSA.

Các chuyên gia danh tiếng như D.J. Bernstein nhấn mạnh về các lỗ hổng lớn của mật mã dựa trên lattice (Lattice), cũng như thực tế các phương pháp này vẫn đang phát triển để đối phó với các vectơ tấn công mới.

Điểm rút ra (Takeaways)

Chúng ta còn vài năm nữa. Chúng ta nên điều chỉnh nhanh chóng nhưng cẩn trọng. Trong lý tưởng, chúng ta nên sử dụng hệ thống xác thực theo mô-đun để dễ dàng cập nhật trong tương lai.

Chúng ta phải nhận thức rằng mật mã học là tạm thời; nó giúp kéo dài thời gian trước khi dữ liệu bị giải mã thành vô tác dụng. Ngoài ra, chúng ta cần cảnh giác về khả năng các tổ chức như NSA có thể cố tình chèn lỗ hổng trong các bộ công cụ hậu lượng tử.