Google 的 Quantum AI 團隊本週稍早表示,未來的量子電腦可能能在大約九分鐘內,從公鑰推導出比特幣的私鑰。這個數字在社群媒體上四處跳轉,嚇壞了市場。
但,這在實務上到底意味著什麼?
先從比特幣交易的運作方式說起。當你寄出比特幣時,你的錢包會用私鑰對交易進行簽名;私鑰是一個祕密數字,用來證明你擁有那些幣。
那個簽名也會揭露你的公鑰,也就是可分享的地址,接著會被廣播到網路上,並在一個叫做 mempool(交易記憶池)的等待區域中待命,直到礦工把它納入區塊。平均而言,完成確認大約需要 10 分鐘。
你的私鑰與公鑰之間,透過一個名為「橢圓曲線離散對數問題」的數學問題相互連結。傳統電腦在任何實用的時間範圍內都無法反推出這個數學,而一台足夠強大的未來量子電腦,若執行一種名為 Shor(蕭爾)的演算法,就可以。
關鍵的九分鐘就出現在這裡。Google 的研究報告發現,量子電腦可以透過事先「預先計算」某些不依賴任何特定公鑰的攻擊部分,來在攻擊發生前先行做好準備。
一旦你的公鑰出現在 mempool,機器只需要大約九分鐘就能完成工作並推導出你的私鑰。比特幣的平均確認時間是 10 分鐘。這讓攻擊者有大約 41% 的機率在原始交易完成確認之前,推導出你的金鑰並重新導向你的資金。
把它想成一個小偷,花了數小時打造一台通用的保險箱破解機器(預先計算)。這台機器適用於任何保險箱,但每當出現一個新的保險箱時,它只需要做一些最後的調整——而那最後一步,就是大約要花九分鐘的部分。
這就是 mempool 攻擊。它令人不安,但需要一台尚不存在的量子電腦。Google 的研究報告估計,這樣一台機器需要少於 500,000 個實體量子位元(physical qubits)。今天最大的量子處理器大約只有 1,000 個。
更大、也更立刻的疑慮是那 6.9 百萬枚比特幣(約佔總供給量的三分之一),這些幣已經坐在錢包裡,而公鑰早已被永久揭露。
這包括網路早期幾年中的早期比特幣地址;當時使用了名為「pay-to-public-key(付給公鑰)」的格式,在預設情況下公鑰會直接以區塊鏈可見的方式呈現。它也包括任何重複使用地址的錢包,因為從某個地址花出資金時,會揭露該地址上所有剩餘資金對應的公鑰。
這些幣不需要那場九分鐘的競賽。一名擁有足夠強大量子電腦的攻擊者可以悠閒地破解它們,逐一處理已暴露的金鑰,而不受任何時間壓力。
正如 CoinDesk 在週二稍早報導,2021 年的比特幣 Taproot 升級讓情況變得更糟。Taproot 改變了地址的運作方式,使得公鑰預設在鏈上可見;這在不經意間擴大了那些未來量子攻擊中可能會受害的錢包範圍。
比特幣網路本身仍會持續運作。挖礦使用的是另一種名為 SHA-256 的演算法,而量子電腦在目前的做法下無法實質性地加速它。區塊仍然會被產出。
帳本仍然會存在。但如果能從公鑰推導出私鑰,那些讓比特幣具備價值的所有權保證就會土崩瓦解。任何擁有已暴露金鑰的人都將面臨被盜風險,而機構對網路安全模型的信任也會崩塌。
解決方案是「後量子密碼學」(post-quantum cryptography),它用量子電腦破解不了的演算法,取代脆弱的數學基礎。以太坊花了八年時間朝著這次遷移前進。比特幣甚至還沒開始。
