Hoja de ruta cuántica de Circle: ¿Cómo cambiar la cerradura por adelantado para "romper la puerta cuántica"?

Autor: KarenZ, Foresight News

Si algún día la computación cuántica fuera lo suficientemente potente, lo primero que la cadena de bloques tendría que enfrentar, podrían ser dos tipos de supuestos de seguridad más fundamentales: ¿puede la firma seguir demostrando "yo soy yo"? y ¿los datos cifrados hoy en día serán descifrados en el futuro?

El último artículo publicado por Circle, titulado 《Hoja de ruta de seguridad post-cuántica de Circle》, discute precisamente esta cuestión. Su juicio central es muy directo: la criptografía de curva elíptica ampliamente utilizada en las cadenas de bloques actuales, incluyendo ECDSA, Ed25519, BLS, dejará de ser efectiva en cuanto se disponga de computadoras cuánticas lo suficientemente fuertes. Lo más problemático es que, en cadenas EVM, la clave pública suele exponerse cuando la cuenta emite la primera transacción; en cadenas como Bitcoin, las direcciones que han gastado, reutilizado o expuesto la clave pública en forma de scripts también entran en una zona de riesgo similar.

El equipo de autores del artículo también muestra que esto no es una simple publicación de divulgación. Entre los autores se encuentran Mira Belenkiy, ingeniera principal de software en Circle; Duc V. Le, ingeniero de investigación en Circle; Gordon Liao, economista jefe de Circle; Vipin Singh Sehrawat, ingeniero de seguridad de productos en Circle; Dragos Rotaru, ingeniero de investigación; y Sergey Gorbunov, cofundador de Interop Labs, desarrollador original de la red Axelar y actualmente parte de Circle; además, participa también Dan Boneh, destacado académico en criptografía aplicada de Stanford.

Lo más importante de este artículo no es la narrativa alarmista de "¿la computación cuántica destruirá las criptomonedas?", sino que descompone el problema en un desafío de migración técnica real. Circle considera que la transición post-cuántica no es simplemente pulsar un botón de actualización, sino una "mudanza a largo plazo" que involucra billeteras, contratos inteligentes, custodios, servicios en la nube, validadores y regulaciones.

El artículo enumera varias categorías de riesgos que enfrentan las cadenas de bloques ante ataques cuánticos.

Primero, la falsificación de cuentas. Mientras la clave pública de la dirección esté expuesta, un atacante cuántico en el futuro podría recuperar la clave privada y falsificar transacciones directamente. El artículo cita las métricas de riesgo Bitcoin de Project Eleven, que indican que hay millones de direcciones con saldo expuestas a riesgos cuánticos, incluyendo aproximadamente 14 millones de direcciones de Bitcoin.

Segundo, el riesgo de "recolectar ahora, descifrar después": los atacantes almacenan datos cifrados hoy y los descifran cuando la computación cuántica sea madura.

Tercero, el riesgo a nivel de consenso: si los validadores recuperan sus claves de firma, podrían realizar doble firma, censura o incluso reescribir la historia. Cuarto, el riesgo a nivel de red: las dependencias en intercambio de claves tradicionales, como la comunicación P2P y RPC sobre TLS, también necesitan actualizarse.

Hoja de ruta de migración en tres fases de Circle

La hoja de ruta de Circle no consiste en simplemente reemplazar un algoritmo de firma por otro, sino en dividirse en "preparación actual", "transición híbrida" y "cambio final". Cada etapa tiene diferentes prioridades de riesgo: los datos de privacidad deben protegerse primero, las cuentas y contratos inteligentes deben migrar progresivamente, y el consenso e infraestructura solo cambiarán cuando el ecosistema, hardware y estándares sean más maduros.

Clasificación de tipos de ataque y fases de respuesta en la hoja de ruta de Arc, fuente: hoja de ruta de seguridad post-cuántica de Circle

La primera fase es la "fase de preparación actual". El objetivo en esta etapa no es eliminar inmediatamente ECDSA, sino dejar un canal de migración para desarrolladores y usuarios. Arc soportará en la mainnet la verificación de firmas post-cuánticas SLH-DSA-SHA2-128s, permitiendo que las cuentas inteligentes puedan verificar firmas post-cuánticas en la cadena. En términos simples, Arc instalará en los contratos inteligentes un sistema de control de acceso que reconozca las nuevas firmas, pero las firmas nativas seguirán usando ECDSA a corto plazo, ya que las firmas post-cuánticas son más grandes y verificarlas más lentas, lo que afectaría el rendimiento y la experiencia del usuario.

Al mismo tiempo, Arc soportará cifrado de memo de transacciones usando X-Wing HPKE, y protegerá el contenido de las transacciones, el estado del contrato y las huellas de ejecución mediante entornos de ejecución de privacidad. Colocar esta parte en primer plano se debe a que el riesgo de "ser registrado hoy y descifrado en el futuro" en términos de privacidad es irreversible; las firmas pueden actualizarse en el futuro, pero los datos ya filtrados no pueden volver a ser privados.

A nivel de cuenta, Circle propone varias herramientas de transición. Por ejemplo, mediante la abstracción de cuentas EIP-4337, permitir que las cuentas inteligentes verifiquen firmas post-cuánticas; mediante un esquema hash-and-rotate, solo guardar en la cadena el hash de la clave pública, minimizando la ventana de exposición de la clave pública en texto claro; y mediante un registro de claves públicas post-cuánticas, que permita a los usuarios vincular previamente sus direcciones con claves post-cuánticas. El objetivo común de estos diseños es que los usuarios puedan prepararse para la migración sin esperar a que los protocolos subyacentes se actualicen completamente.

La segunda fase es la "transición híbrida". Es la más realista y también la más compleja. El contrato inteligente USDC soportará durante un tiempo firmas tradicionales y firmas post-cuánticas simultáneamente, y cuando el ecosistema esté listo, se cerrará la firma clásica mediante mecanismos de reserva. Circle también planea migrar fondos de almacenamiento en frío a contratos inteligentes multisig, para compatibilizar diferentes cadenas y diferentes algoritmos de firma post-cuántica. Dado que el contrato de USDC está desplegado en más de 30 cadenas, el problema no es solo una actualización en una sola cadena, sino la fragmentación que genera la elección de algoritmos y cronogramas diferentes en cada ecosistema.

El artículo enfatiza especialmente el problema de ecrecover. Muchos contratos en EVM usan ecrecover para verificar firmas ECDSA, pero muchos de estos contratos ya no pueden actualizarse. Si simplemente se desactiva ecrecover, se dañan muchas aplicaciones existentes; si se continúa permitiendo, se deja riesgo de falsificación cuántica. Circle propone una solución prometedora: mediante un hard fork, modificar el comportamiento de ecrecover en el nivel del protocolo para que soporte firmas post-cuánticas, manteniendo la compatibilidad con ABI antiguo. Esto es importante porque no solo sirve para nuevos contratos, sino que también busca ofrecer una vía de migración para contratos antiguos ya desplegados y difíciles de modificar.

La transición también incluye actualizaciones en infraestructura más profundas. Circle necesita auditar su pila criptográfica interna, evaluar si los proveedores de servicios en la nube, HSM, KMS, TEE, libp2p, TLS, etc., están preparados para post-cuántico, y rotar claves en el orden correcto. El artículo advierte que si la clave A protege a la clave B, y la clave B a la C, primero se debe rotar A, luego B y finalmente C; si se hace en orden incorrecto, incluso con algoritmos post-cuánticos, las comunicaciones cifradas del pasado podrían ser vulnerables en el futuro.

La tercera fase es el "cambio final". Cuando el ecosistema, regulaciones, carteras hardware, proveedores en la nube y la infraestructura blockchain estén listos, Circle realizará la transición definitiva. En ese momento, Arc y los contratos inteligentes de USDC podrían rechazar firmas ECDSA, y los validadores migrarán a firmas post-cuánticas; si algunas cadenas que soportan USDC no alcanzan los requisitos de seguridad post-cuántica en el largo plazo, Circle incluso podría considerar suspender ciertos contratos o retirar soporte para evitar que los activos de los usuarios queden expuestos a riesgos de falsificación cuántica.

¿Qué hacer con las cuentas antiguas será la cuestión más difícil

Pero la transición final también traerá el problema más complejo: ¿qué pasa con los activos en cuentas que no migraron? La postura de Circle es que congelar cuentas inseguras es para prevenir robos, y no debe interpretarse automáticamente como confiscación de activos. En otras palabras, "detener el control mediante firmas antiguas" y "negociar la propiedad económica" deben tratarse por separado. Por ello, el artículo destaca la importancia de la recuperación de cuentas, incluyendo migrar a Arc, recuperación mediante frases semilla y pruebas de conocimiento cero, recuperación mediante TEE, y en casos limitados, recuperación con documentos legales fuera de la cadena, pruebas por custodios, exchanges o testamentos.

Esto lleva a una cuestión política muy importante que plantea el artículo: la recuperación de cuentas. Tras la llegada de la era cuántica, las firmas tradicionales ya no podrán demostrar la propiedad, y el KYC quizás no pueda identificar a quién pertenece una dirección anónima. Circle opina que las autoridades regulatorias deben definir con anticipación: cómo notificar a los usuarios antes del plazo de migración, qué evidencias son suficientes para acreditar la propiedad, cuánto tiempo de inactividad se considera sin reclamación, y cómo aplicar reglas de herencia, sanciones, anti-lavado, órdenes judiciales, etc. El artículo estima que la industria tendrá un período de 5 a 10 años para definir estas reglas.

Otra evaluación fría del artículo es que una migración demasiado rápida puede generar mayores riesgos. Por ejemplo, si una empresa usa HSM para proteger sus claves privadas y, para adaptarse a firmas post-cuánticas, exporta apresuradamente las claves a una CPU normal para firmar, esto puede facilitar que hackers tradicionales las roben. La postura de Circle es que la migración post-cuántica debe prepararse con anticipación, pero no a costa de reducir la seguridad actual solo por parecer "más segura".

En términos simples, Circle no dice que "el día de mañana la computación cuántica derribará la cadena de bloques", sino que la infraestructura financiera no puede esperar a que las cerraduras fallen para empezar a cambiarlas. Especialmente en el caso de USDC, que opera en más de 30 cadenas, el verdadero reto no es solo escoger un nuevo algoritmo, sino coordinar la migración de billeteras, contratos, custodios, validadores, servicios en la nube, regulaciones y usuarios.

Aunque los ataques cuánticos aún no se han materializado, los costos de migración ya están frente a nosotros.