Квантовая уязвимость в Биткойне: управляемый риск

Автор | Кристофер Бендиксен, CoinShares

Перевод | ГэриМа У Шо Цюй Куан

Ссылка на оригинал:

Будущие реально работающие квантовые компьютеры не являются нулевой вероятностью, что продолжает вызывать широкие обсуждения о потенциальном влиянии на безопасность криптографии биткойна. Это, безусловно, здорово и является необходимой мерой предосторожности для системы хранения стоимости в триллионы долларов. Однако, несмотря на теоретические вызовы, реальные риски все еще далеки и могут быть решены с помощью прямых мер.

Для институциональных инвесторов понимание этой проблемы требует различения спекуляций (и, к сожалению, значительного количества эгоистичной пропаганды и действий ради прибыли) и основанного на доказательствах анализа. Квантовая уязвимость биткойна не является надвигающимся кризисом, а представляет собой предсказуемый инженерный аспект, и у нас есть достаточно времени для адаптации.

Ключевые моменты:

Обзор квантовой уязвимости: алгоритм Шора теоретически может раскрыть ключи в ECDSA/Schnorr, алгоритм Гровера ослабляет SHA-256; угроза все еще далека, ограничена примерно 1,7 миллионами BTC адресов P2PK (около 8% от общего предложения), потенциальная возможность оказать влияние на рынок крайне мала (см. последний пункт ниже)

Безопасная структура: зависит от эллиптических кривых для авторизации, зависит от хэш-функций для защиты; квантовые вычисления не могут изменить предел предложения в 21 миллион и не могут обойти доказательство работы. Современные P2PKH/P2SH скрывают публичные ключи перед тратой; так называемая уязвимость в 25% преувеличивает временные риски, которые можно смягчить

График и осуществимость: для взлома secp256k1 в разумные сроки (<1 год) требуется количество логических квантовых битов в 10 до 100 тысяч раз больше, чем сейчас; соответствующие квантовые технологии потребуют как минимум 10 лет. Долгосрочные атаки могут быть реализованы за несколько лет — возможно, в течение десяти лет это станет возможным; краткосрочные атаки (атаки на пул памяти) требуют <10 минут вычислительного времени — в любой временной шкале, кроме крайне долгосрочной (десятки лет), это невозможно

Преимущества радикального вмешательства (например, мягкие/жесткие форки или уничтожение монет для квантовых форматов): заранее укрепить сеть, защитить от неожиданных технологических прорывов, предоставить пути миграции, передать сигналы адаптивности, повысить уверенность инвесторов

Недостатки радикального вмешательства: неопытные криптографические технологии могут ввести уязвимости; могут потратить ограниченные ресурсы разработки на еще не доказанные или неэффективные схемы и вызвать больше изменений; предположив, что спящие монеты потеряны, это может привести к принудительному изъятию или краже; угроза нейтральности; подрывает право собственности, децентрализацию, неизменность и доверие

Влияние на рынок: в реальности это может ограничиться около 10 тысячами BTC, которые могут неожиданно войти на рынок из-за взлома закрытых ключей; в конечном итоге это будет выглядеть больше как обычная транзакция; держатели могут добровольно мигрировать; оставшиеся монеты распределены по 34 тысячам адресов, каждый из которых имеет около 50 BTC, даже в самой оптимистичной ситуации с технологическим прорывом потребуется десятилетия, чтобы их украсть

Правильный анализ этой проблемы требует глубины и детализации понимания

Безопасная структура биткойна зависит от двух основных криптографических элементов: алгоритма цифровой подписи на основе эллиптической кривой (ECDSA или основанный на secp256k1 Schnorr) для авторизации транзакций, и хэш-функций, таких как SHA-256, для защиты адресов. ECDSA генерирует асимметричные ключевые пары, и на классических вычислительных системах извлечение закрытого ключа из публичного является вычислительно непрактичным. SHA-256 предоставляет односторонний хэш, его обратное также вычислительно непрактично. Квантовые алгоритмы вызывают определенные опасения. Распространенное заблуждение заключается в том, что квантовые вычисления могут целиком взломать криптосистемы, но это не так. Ниже мы подводим итоги влияния практических квантовых компьютеров на распространенные криптографические функции.

Существующие типы криптографии — до и после квантовых вычислений:

Главная проблема, с которой мы сталкиваемся, касается 256-битного алгоритма подписи ECDSA (в настоящее время это Schnorr, но он сталкивается с той же проблемой), используемого для авторизации транзакций биткойна. Алгоритм Шора теоретически может решить проблему дискретного логарифма, поддерживающего эллиптическую кривую, и как только публичный ключ будет раскрыт, закрытый ключ может быть выведен.

Алгоритм Гровера снижает фактическую безопасность симметричных хэшей, таких как SHA-256, с 256 бит до 128 бит, но из-за огромных вычислительных требований брутфорс-атака все еще неосуществима, поэтому адреса, защищенные хэшами, остаются в безопасности. Что касается майнинга, квантовые компьютеры теоретически могут стать довольно быстрыми устройствами для майнинга, но их экономическая целесообразность по сравнению с ASIC совершенно неясна (и, учитывая встроенный механизм автоматической корректировки сложности биткойна, это не имеет значения). Важно, что квантовые вычисления не могут изменить фиксированный предел предложения биткойна в 21 миллион и не могут обойти требуемое доказательство работы для проверки блоков.

Риски ограничиваются адресами с видимыми публичными ключами, в основном традиционными выходами Pay-to-Public-Key (P2PK), которые совместно хранят около 1,6 миллиона BTC, что составляет около 8% от общего предложения. Однако только 10,200 BTC находятся в UTXO, и только после того, как они будут украдены квантовыми компьютерами, это может вызвать значительные колебания на рынке. Остальные около 1,6 миллиона BTC распределены по 32,607 независимым UTXO, каждый из которых составляет около 50 BTC, и даже при крайне оптимистичных предположениях о прогрессе квантовых технологий потребуется тысячи лет для разблокировки.

Распределение и количество квантово-уязвимых монет

Более современные форматы адресов, такие как Pay-to-Public-Key-Hash (P2PKH) или Pay-to-Script-Hash (P2SH), скрывают публичные ключи через хэш, обеспечивая безопасность до тех пор, пока средства не будут потрачены. Утверждение о 25% уязвимости обычно включает временные риски, такие как повторное использование адресов на биржах, которые могут быть легко уменьшены с помощью лучших практик; и, прежде чем технологии действительно станут опасными, будет длительный период предупреждения, предоставив достаточно времени для простых корректировок поведения.

Мы все еще находимся довольно далеко от опасной зоны

На начало 2026 года квантовая угроза не близка. Чтобы взломать secp256k1, требуется квантовая система с миллионами логических квантовых битов — это значительно превышает текущие возможности. По словам исследователей, для обратного вычисления публичного ключа за один день злоумышленнику потребуется квантовый компьютер с возможностями коррекции ошибок и контроля ошибок, а такая производительность еще не достигнута и требует 13 миллионов физических квантовых битов — примерно в 100,000 раз больше текущего максимального размера квантового компьютера. Чтобы завершить взлом за один час, его производительность должна быть в 3 миллиона раз выше, чем у текущих квантовых компьютеров. Технический директор компании Ledger Чарльз Гийемет сообщил CoinShares: “Для взлома текущей асимметричной криптографии требуется количество квантовых битов на уровне миллионов. У компьютера Willow от Google только 105 квантовых битов. И с каждым добавленным квантовым битом становится все сложнее поддерживать когерентную систему.” Мы здесь провели более глубокий анализ вышеупомянутого.

Недавние демонстрации, включая Google, показали прогресс, но до необходимого для атаки на биткойн в реальном мире масштаба они все еще далеки.

Некоторые оценки предполагают, что квантовые компьютеры, связанные с криптографией (но не обязательно представляющие опасность на практике), могут появиться только в 2030-х годах или позже, некоторые аналитики прогнозируют, что это займет 10–20 лет.

Долгосрочные риски (например, адреса P2PK) могут в конечном итоге столкнуться с атаками, требующими несколько лет вычислительного времени; а краткосрочные риски (например, публичные ключи, видимые в пуле памяти во время транзакций) требуют завершения вычислений за менее чем 10 минут.

Радикальное вмешательство имеет свои плюсы и минусы

Предложения о радикальном вмешательстве для решения этой проблемы, такие как мягкие форки для адресных форматов, устойчивых к квантовым вычислениям, в условиях недостаточного тестирования или технической незрелости, или, что еще хуже, уничтожение уязвимых монет через жесткие форки, требуют крайней осторожности. Такие действия могут не только непреднамеренно ввести критические уязвимости и вызвать технологическую катастрофу, но и подорвать основные принципы биткойна в области собственности и децентрализации, подрывая доверие без необходимости.

Введение новых форматов адресов до того, как криптография, на которой они основываются, будет полностью понята и проверена, крайне рискованно и не рекомендуется. Мы должны осознавать, что до появления реально работающих квантовых компьютеров мы не можем с уверенностью сказать, эффективна ли квантовая криптография в доказательном смысле. Кроме того, если мы слишком рано выберем квантовые адресные решения, мы можем потратить ограниченные ресурсы разработки на решения, которые в конечном итоге окажутся неэффективными, быстро устареют или даже будут полностью дефектными.

Мы в корне не можем определить, находятся ли эти уязвимые монеты в спящем состоянии или уже потеряны, как это показывает случайный перенос долгосрочно неактивных адресов. Держатели имеют достаточно возможностей для самостоятельной и добровольной миграции средств, а если квантовые возможности продолжают расти, нераспознанные активы также могут естественным образом перейти.

В обозримом будущем влияние на рынок кажется ограниченным. Только небольшая часть уязвимых BTC, около 10,200, находится в некоторых категориях P2PK, и только если они будут быстро и неожиданно взломаны, они могут повлиять на ликвидность. Такие события более вероятно будут напоминать обычные крупные транзакции, а не вызывать системные потрясения. Более важно поддерживать неизменность и нейтральность биткойна, которые могут быть под угрозой из-за преждевременных изменений в протоколе.

Технически возможно защитить биткойн от квантовых рисков, и это не приведет к разрушительным последствиям. “Биткойн может применить постквантовые подписи. Подписи Schnorr (технологическая реализация в одном из предыдущих обновлений) открывают путь для дальнейших обновлений, биткойн может продолжать защитную эволюцию,” — заявил доктор Адам Бэк, криптограф, CoinShares. С помощью мягких форков можно ввести квантовые подписи, что обеспечит бесшовную интеграцию новых криптографических стандартов. Некоторые существующие предложения, такие как предложения по улучшению биткойна (BIP), уже наметили этот путь эволюции. Пользователи могут по своему усмотрению перемещать средства на безопасные адреса, продолжая следить за развитием квантовых технологий — даже можно рассматривать открытые традиционные адреса как “индикатор” технологического прогресса.

Для институциональных инвесторов ключевое понимание заключается в том, что квантовые риски управляемы, и у нас есть достаточно времени для решения. Архитектура биткойна сама по себе имеет внутреннюю устойчивость, чтобы поддерживать проактивную адаптацию. Как здоровая валюта цифровой эпохи, биткойн лучше оценивать на основе его фундаментальных показателей, а не на основе преувеличенных технологических угроз.