Coinbase последнее предупреждение: Риск квантовых вычислений для PoS-цепочек выше, чем у Биткоина

Последние новости о FUD в области квантовых вычислений снова появились.

На этот раз о предупреждении выступила крупнейшая американская регулируемая биржа Coinbase. 22 апреля независимый совет по квантовым вычислениям и блокчейну Coinbase опубликовал отчет, в котором специально указано, что блокчейны, использующие механизм подтверждения доли (PoS), такие как Ethereum и Solana, могут столкнуться с более серьезными квантовыми рисками, чем биткоин.

Что именно сказал Coinbase

Давайте сначала посмотрим на основное содержание этого отчета.

Совет консультантов Coinbase отметил, что у PoS-цепочек есть две основные угрозы:

• Первая — подписи валидаторов. Ethereum использует подписи BLS, Solana — подписи ed25519. Эти механизмы подписи являются основой достижения консенсуса в PoS-цепочках. Если в будущем квантовые компьютеры станут достаточно мощными, чтобы взломать эти подписи, злоумышленники смогут подделывать идентичность валидаторов, что поставит под угрозу безопасность всей сети.

• Вторая — подписи кошельков. Независимо от PoS или PoW, цифровые подписи, используемые кошельками для подтверждения владения, также подвержены риску взлома квантовыми компьютерами. В отчете особенно отмечается, что примерно 6,9 миллиона биткоинов хранятся на адресах с открытыми публичными ключами, что относится к категории высокого риска.

Однако далее в отчете говорится очень важную фразу: в настоящее время не существует квантовых компьютеров, способных взломать современные криптографические подписи, такие машины требуют значительно большей мощности, чем есть сейчас.

Представитель Coinbase сказал прямо: активы клиентов по-прежнему безопасны, и индустрия не должна считать, что «нет срочности» — «неважно».

Почему PoS-цепочки более уязвимы

В «Практическом руководстве по предотвращению угроз квантовых вычислений» говорится, что биткоин-адреса делятся на два типа: один — P2PKH-адрес (начинается с 1), в котором хранится хэш публичного ключа, сам публичный ключ не раскрыт; другой — P2PK-адрес (начинается с 04), в котором публичный ключ раскрыт напрямую. Только очень ранние старые адреса имеют такой формат.

Сатоши в 2010 году говорил: чтобы сделать биткоин-адрес короче, они используют хэш публичного ключа, а не сам публичный ключ. Таким образом, безопасность транзакций, отправленных на биткоин-адрес, зависит только от безопасности хэша.

Хэш-функции по своей природе устойчивы к квантовым вычислениям. Алгоритм Гровера может снизить сложность атаки на хэш с 2^256 до 2^128, что все равно остается астрономической цифрой.

Но ситуация с PoS-цепочками иная.

Валидации Ethereum требуют частого использования подписи BLS для участия в консенсусе, и эти подписи имеют открытые публичные ключи. Аналогично, в Solana подписи ed25519 также раскрывают публичный ключ. Это означает, что как только алгоритм Шора станет практическим, эти раскрытые публичные ключи можно будет напрямую использовать для восстановления приватных ключей, поскольку защита хэш-оболочки отсутствует.

Более того, механизм консенсуса PoS сам по себе зависит от этих подписей. Как говорится в отчете Coinbase: вызовы PoS-цепочек заключаются не только в обновлении кошельков, но и в необходимости переработки самого механизма консенсуса.

Что касается биткоина и его PoW, то Coinbase также дает оценку: теоретически, квантовые компьютеры, использующие алгоритм Гровера, могут быстрее решать задачи PoW, но при текущих масштабах задач PoW затраты на запуск алгоритма Гровера превышают его теоретические преимущества.

Проще говоря, угроза квантовых вычислений для PoS-цепочек гораздо выше, чем для майнинга биткоина.

Пути обновления: уникальные вызовы PoS

В отчете Coinbase также поднимается важный вопрос: разработчики Ethereum уже предпринимают шаги.

Отмечается, что соучредитель Ethereum Виталик Бутерин еще в феврале этого года предложил план, предусматривающий замену подписи валидаторов BLS, KZG-обещаний и ECDSA-кошельков на квантово-устойчивые альтернативы.

Это звучит хорошо, но проблема в масштабах.

Совет Coinbase указывает, что квантовые подписи значительно больше по размеру, чем существующие, что влияет на скорость транзакций, стоимость хранения и пропускную способность сети. Для Ethereum, уже сталкивающегося с проблемами масштабируемости, это — серьезная проблема.

Также в отчете поднимается сложный вопрос: что делать с кошельками, которые никогда не обновлялись? Утерянные ключи, неактивные аккаунты, заброшенные кошельки — если квантовая атака станет возможной, эти активы навсегда окажутся под угрозой.

Эта проблема особенно актуальна для PoS-цепочек, поскольку в отличие от биткоина, где пользователь может перенести свои монеты на новый адрес, в PoS-цепочках залоговые активы и валидаторские узлы связаны с экономической безопасностью и управлением всей сети.

Преимущества и подготовка биткоина

Совет продолжает подчеркивать, что биткоин — это живая система, способная к обновлению.

Уже в конце 2021 года было внедрение обновления Taproot, которое подготовило почву для будущей замены алгоритмов подписи. Сообщество биткоина также активно следит за последними разработками в области квантово-устойчивых алгоритмов.

Генеральный директор Blockstream Адам Бэк недавно в интервью Bloomberg заявил: разумным подходом является подготовка биткоина, предоставляя пользователям возможность перенести ключи в квантово-устойчивый формат. Чем дольше пользователи откладывают миграцию, тем безопаснее.

Отчет Coinbase также признает, что основная инфраструктура биткоина — включая майнинг, хэш-функции и исторический блокчейн — в текущем понимании не содержит существенных уязвимостей.

Это не магия, а результат более консервативного проектирования. Защита хэш-оболочкой, отсутствие повторного использования адресов, децентрализованное управление — эти особенности позволяют биткоину быть гораздо более устойчивым к угрозам квантовых вычислений, чем высокопроизводительные PoS-цепочки.

Заключение

Истинная ценность этого отчета Coinbase — не в создании паники, а в пробуждении отрасли: угрозы квантовых вычислений — реальны и долгосрочны, необходимо начинать подготовку, но не паниковать.

В последней части отчета говорится очень хорошо: квантовый компьютер, способный взломать криптографию, потребует значительных прорывов в реализации систем, и обновление кошельков, бирж, хранилищ и децентрализованных сетей — это многолетняя работа. Именно поэтому мы публикуем этот отчет сейчас: чтобы дискуссия строилась на научных данных, а не на хайпе, чтобы четко понять, с чем действительно связана опасность, и помочь индустрии начать принимать реальные меры по миграции.

В начале года a16z crypto также выпустила длинную статью, в которой делается похожий вывод: квантово-устойчивый компьютер, способный взломать secp256k1 или RSA-2048, вряд ли появится в течение пяти лет.

Мнение криптоиндустрии однозначно: нужно быть внимательными, но не паниковать.

Проблемы PoS-цепочек действительно больше, чем у биткоина, — это факт. Но это не значит, что завтра случится катастрофа. У индустрии есть достаточно времени для подготовки, тестирования и обновлений.

В конце концов, самая опасная вещь — это не сама угроза, а неправильная реакция на нее: либо чрезмерная паника, либо полное игнорирование.