Сьогодні не існує квантових комп’ютерів, здатних зламати блокчейн Bitcoin. Проте розробники вже розглядають хвилю оновлень, щоб вибудувати захист від потенційної загрози — і цілком правильно, адже ця загроза вже більше не є гіпотетичною.
Цього тижня Google опублікував дослідження, яке припускає, що достатньо потужний квантовий комп’ютер міг би розкрити основну криптографію Bitcoin менш ніж за дев’ять хвилин — на одну хвилину швидше, ніж у середньому триває фіналізація блоків Bitcoin. Деякі аналітики вважають, що така загроза може стати реальністю до 2029 року.
Парі високі: приблизно 6,5 мільйона біткоїн-токенів, вартістю сотні мільярдів доларів, знаходяться в адресах, на які квантовий комп’ютер міг би безпосередньо націлитися. Частина з цих монет належить псевдонімному засновнику Bitcoin Сатоші Накамото. Крім того, потенційна компрометація зашкодить ключовим засадам Bitcoin — “довіряй коду” та “надійні гроші”.
Ось як виглядає ця загроза, а також пропозиції, які розглядають, щоб її пом’якшити.
Два способи, якими квантова машина може атакувати Bitcoin
Спершу давайте зрозуміємо вразливість, перш ніж обговорювати пропозиції.
Безпека Bitcoin побудована на односторонньому математичному співвідношенні. Коли ви створюєте гаманець, генерується приватний ключ і секретне число, з яких виводиться публічний ключ.
Щоб витратити біткоїн-токени, потрібно довести володіння приватним ключем — не розкриваючи його, а використовуючи його для генерації криптографічного підпису, який мережа може перевірити.
Ця система є бездоганною, тому що сучасні комп’ютери витратили б мільярди років, щоб зламати еліптичнокриву криптографію — зокрема Алгоритм цифрового підпису на еліптичних кривих (ECDSA) — щоб відновити приватний ключ із публічного ключа. Тож кажуть, що блокчейн є обчислювально неможливою для компрометації річчю.
Але майбутній квантовий комп’ютер може змінити цю односторонню “вулицю” на двосторонню, виводячи ваш приватний ключ із публічного ключа та спустошуючи ваші монети.
Публічний ключ розкритий двома способами: із монет, що лежать без руху onchain (атака тривалої експозиції), або з монет у русі чи транзакцій, що чекають у пулі пам’яті (атака короткої експозиції).
Адреси pay-to-public key (P2PK) (використовувані Сатоші та ранніми майнерами) і Taproot (P2TR), поточний формат адреси, активований у 2021 році, уразливі до атаки тривалої експозиції. Монетам у цих адресах не потрібно рухатися, щоб розкрити їхні публічні ключі; експозиція вже сталася і її може прочитати будь-хто на Землі, включно з майбутнім квантовим атакувальником. Приблизно 1,7 мільйона BTC лежить у старих адресах P2PK — включно з монетами Сатоші.
Коротка експозиція пов’язана з mempool — кімнатою очікування для непідтверджених транзакцій. Поки транзакції там чекають включення в блок, ваш публічний ключ і підпис видно всій мережі.
Квантовий комп’ютер міг би отримати доступ до цих даних, але матиме лише коротке “вікно” — до того, як транзакцію підтвердять і поховають під додатковими блоками — щоб вивести відповідний приватний ключ і діяти на його основі.
Ініціативи
BIP 360: Видалення публічного ключа
Як зазначалося раніше, кожна нова адреса Bitcoin, створена за допомогою Taproot сьогодні, назавжди розкриває публічний ключ onchain, надаючи майбутньому квантовому комп’ютеру ціль, яка ніколи не зникає.
Пропозиція Bitcoin Improvement Proposal (BIP) 360 прибирає публічний ключ назавжди, “вшитий” on-chain і видимий для всіх, шляхом запровадження нового типу виходу під назвою Pay-to-Merkle-Root (P2MR).
Згадаємо: квантовий комп’ютер вивчає публічний ключ, реконструює точну форму приватного ключа та підробляє робочу копію. Якщо ми видалимо публічний ключ, атакувати буде нема з чого. Тим часом усе інше, зокрема платежі Lightning, схеми багатосигнатур і інші можливості Bitcoin, залишається тим самим.
Однак якщо пропозицію буде впроваджено, вона захищатиме лише нові монети надалі. 1,7 мільйона BTC, які вже лежать у старих адресах із розкритими даними, — це окрема проблема, яку розв’язують інші пропозиції нижче.
SPHINCS+ / SLH-DSA: Підписи на основі хешів після квантової ери
SPHINCS+ — це схема постквантового підпису, побудована на хеш-функціях, яка уникає квантових ризиків, що постають перед еліптичнокривою криптографією, що використовується в Bitcoin. Хоча алгоритм Шора загрожує ECDSA, конструкції на основі хешів на кшталт SPHINCS+ не вважаються так само вразливими.
Схему стандартизував Національний інститут стандартів і технологій (NIST) у серпні 2024 року як FIPS 205 (SLH-DSA) після років публічного розгляду.
Компроміс для безпеки — розмір. Якщо поточні підписи bitcoin мають 64 байти, то SLH-DSA — 8 кілобайтів (KB) або більше. Отже, застосування SLH-DSA різко збільшило б попит на простір у блоках і підняло б комісії за транзакції.
У результаті пропозиції на кшталт SHRIMPS (ще одна схема постквантового підпису на основі хешів) та SHRINCS уже були введені, щоб зменшити розміри підписів без втрати постквантової безпеки. Обидві побудовані на SHPINCS+ і водночас прагнуть зберегти його гарантії безпеки у більш практичній, компактній за простором формі, придатній для використання в блокчейні.
Схема Tadge Dryja Commit/Reveal: аварійне гальмо для mempool
Ця пропозиція — soft fork, запропонований співавтором Lightning Network Таджем Драйєю, — спрямована на захист транзакцій у mempool від майбутнього квантового атакувальника. Вона робить це, розділяючи виконання транзакції на дві фази: Commit і Reveal.
Уявіть, що ви повідомляєте контрагенту, що надішлете йому лист електронною поштою, а потім фактично надсилаєте лист. Перше — це фаза commit, а друге — фаза reveal.
У блокчейні це означає, що спершу ви публікуєте “запечатаний відбиток” своєї наміреності — просто хеш, який нічого не розкриває про транзакцію. Блокчейн назавжди ставить цей відбиток у часі. А пізніше, коли ви транслюєте фактичну транзакцію, ваш публічний ключ стає видимим — і так, квантовий комп’ютер, який спостерігає за мережею, може вивести ваш приватний ключ із нього та сфабрикувати конкуруючу транзакцію, щоб викрасти ваші кошти.
Але сфабрикована транзакція одразу відхиляється. Мережа перевіряє: чи є в цій витраті попередньо зареєстрований commitment on-chain? Ваший — є. У атакувальника — немає: він створив її лише кілька моментів тому. Ваш попередньо зареєстрований відбиток — це ваше алібі.
Проблема, однак, у зростанні витрат через те, що транзакцію розбивають на дві фази. Тому її описують як тимчасовий міст — практичний для розгортання, поки спільнота працює над побудовою квантових захистів.
Hourglass V2: уповільнення витрачання старих монет
Запропонована розробником Хантером Бістом, Hourglass V2 націлена на квантову вразливість, пов’язану приблизно з 1,7 мільйона BTC, що зберігаються в старіших, уже-експонованих адресах.
Пропозиція приймає, що ці монети можуть бути викрадені в майбутній квантовій атаці, і прагне уповільнити “кровотечу”, обмеживши продажі одним біткоїном за блок, щоб уникнути катастрофічної масової ліквідації за одну ніч, яка може обвалити ринок.
Аналогія — банківський набіг: ви не можете заборонити людям знімати кошти, але можете обмежити темп зняття, щоб система не зруйнувалася за одну ніч. Пропозиція є суперечливою, бо навіть таке обмежене обмеження дехто в спільноті Bitcoin вважає порушенням принципу, згідно з яким жодна зовнішня сторона ніколи не може втручатися у ваше право витрачати свої монети.
Висновок
Ці пропозиції ще не активовані, і децентралізоване управління Bitcoin, що охоплює розробників, майнерів і операторів вузлів, означає, що будь-яке оновлення, ймовірно, потребуватиме часу, щоб матеріалізуватися.
Втім, стабільний потік пропозицій, які передували звіту Google цього тижня, натякає на те, що проблема давно була на радарі розробників — і це може допомогти стримати занепокоєння ринку.
