Генеральный директор Quantus Кристофер Смит о квантовой угрозе, с которой никто в криптоиндустрии не хочет сталкиваться

Квантовые вычисления часто обсуждаются в криптоиндустрии как отдалённая угроза, что-то, о чём отрасль должна беспокоиться «когда-нибудь». Но для Кристофера Смита, генерального директора Quantus, такой образ мышления уже опасно устарел. Он считает, что самая большая ошибка криптомира — рассматривать квантовые угрозы как узкую проблему безопасности кошельков, тогда как на самом деле ставки гораздо выше, чем украденные ключи.

В этом интервью Смит объясняет, почему он считает, что настоящая опасность системная, затрагивая всё — от долгосрочной уязвимости Биткоина к стейблкоинам, мостам, инструментам конфиденциальности и даже доверию инвесторов. Он также объясняет, почему блокчейн может оказаться гораздо сложнее обновлять для квантовой эпохи, чем традиционные финансовые или централизованные веб-системы. Его послание прямо: индустрия сталкивается не только с технической проблемой, но и с проблемой координации, и времени может остаться меньше, чем думают многие.

Q1. Большинство обсуждений квантовых угроз сосредоточены на безопасности кошельков и украденных приватных ключах. Что, по вашему мнению, более широкая криптоиндустрия всё ещё неправильно понимает о системных рисках, создаваемых квантовыми вычислениями?

Это действительно ситуация, когда нужно бежать быстрее медведя, а не только своих друзей. Даже если вы сделаете свой кошелек квантово-устойчивым, это не означает, что цена станет квантово-устойчивой. Если вы не повторно используете адреса Биткоина, вы относительно квантово-устойчивы, но если китайское правительство получит доступ к сатошиным монетам, рынок выбросит всё из себя.

Q2. В вашем отчёте утверждается, что «сроки риска» сейчас движутся быстрее, чем реагируют отраслевые механизмы. Какие недавние события в области квантовых вычислений убедили вас в том, что это уже не просто отдалённая теоретическая проблема?

Стартовым сигналом стал чип Willow от Google в конце 2024 года. До этого было вполне разумно думать, что квантовые вычисления могут быть буквально невозможны из-за ещё не открытой принципы. Willow доказал, что квантовая коррекция ошибок возможна.

После этого квантовые вычисления перешли от «может быть возможно, если случится чудо» к «однозначно возможно при достаточных инженерных ресурсах».

Затем в этом году вышли два крупных отчёта — один от Google, другой от Oratomic, — которые значительно сократили оценки ресурсов для взлома ключей Биткоина на порядки. Доклад Google касался программных улучшений, а Oratomic — аппаратных решений, так что проблему решают с обеих сторон.

Людям, пытающимся предсказать это, нужно понять, что технологическое развитие по своей природе нелинейно и случайно. Если ждать, пока кто-то сможет взломать 128-битный ключ, скорее всего, уже поздно мигрировать миллионы адресов.

Q3. Отчёты таких крупных институтов, как Google, BlackRock и Citigroup, все касались квантовых рисков по-разному. Какие важные аспекты, по вашему мнению, эти отчёты упускают, когда речь идёт о инфраструктуре блокчейна?

Я считаю, что хорошо, что сейчас институты обсуждают это. Моя единственная жалоба — что они утверждают, что риск появится через годы, что они не могут точно знать. Особенно важна роль квантовых вычислений в кибербезопасности и, следовательно, национальной безопасности, что означает, что общественность, скорее всего, не будет полностью информирована о текущем состоянии дел. Насколько нам известно, правительство США уже может иметь такой квантовый компьютер, и они предупреждают всех обновляться, потому что считают, что Китай скоро его получит.

Q4. Вы описываете крипту как особенно уязвимую по сравнению с традиционными интернет-системами, потому что публичные ключи остаются открытыми в блокчейне навсегда. Почему блокчейн по сути сложнее «патчить» против квантовых угроз, чем традиционные финансы или веб-инфраструктура?

Signal Messenger, iMessage и CloudFlare уже пост-квантовые. Их пользователям не пришлось ничего делать, чтобы это произошло, потому что это более или менее централизованные системы. То же самое обычно касается банковских систем. У них много наследия, что создает свои сложности, но по сути есть генеральный директор, который может сказать «мы делаем это», инженеры реализуют, затем переключают переключатель, и все клиенты обновляются за один день. Пользователи не управляют своими ключами.

В блокчейнах всё иначе. «Не твои ключи — не твои монеты». Поэтому даже если разработчики решат обновить криптографию, пользователи должны предпринять действие, которое они могут не понять. Они даже не смогут это сделать, если ключи потеряны или пользователь умер.

Так что техническая часть — не самая большая проблема для блокчейнов. Это социальный слой координации и миграции.

Q5. В отчёте вводится идея «Великого квантового фильтра», когда капитал может мигрировать с уязвимых цепочек в квантово-устойчивые. Какие признаки укажут, что этот сдвиг уже начался?

Когда Google объявила о своём квантовом чипе «Willow», рынок криптовалют отреагировал чрезмерно, как обычно, но правильно понял, что Биткоин уязвим, а такие цепочки, как QRL, — нет. Это видно по тому, что цена QRL в тот день взлетела, а Биткоин упал.

Некоторые инвесторы, например Чарльз Эдвардс, утверждали, что недавнее недоисполнение Биткоина частично связано с тем, что институции и крупные игроки закладывают квантовую угрозу в цены.

Так что следить нужно за этим: когда выходят новые отчёты о прогрессе в квантовых технологиях, какие монеты растут, а какие падают?

Q6. Одним из удивительных выводов в отчёте является резкое увеличение размера транзакций при переходе от ECDSA к ML-DSA-87. Думаете ли вы, что масштабируемость, а не сама криптография, может стать крупнейшей преградой для пост-квантового внедрения?

В компьютерных науках есть старая пословица: «преждевременная оптимизация — корень всех зол». Инженеры иногда застревают на мелочах и упускают общую картину. Нет большей опасности для блокчейна, чем незащищённые цифровые подписи. Можно вернуться к использованию банка или золотых монет.

Поэтому безопасность — самое важное. Производительность — второстепенное. «Правильно, быстро, красиво. В таком порядке». И блокчейны потеряют в производительности при переходе в пост-квантовую эпоху, если сделают это наивно. Поэтому мы ввели термин «QTPS» — «Квантовые транзакции в секунду». Люди обычно оценивают блокчейны по максимальному TPS, но Solana провела пост-квантовый пилот, и их TPS упало на 90%, так что снижение производительности реально. С другой стороны, высокий QTPS не важен, если у вас нет пользователей.

Q7. Quantus утверждает, что пост-квантовая криптография создаёт новую версию трилеммы блокчейна. Можете объяснить, как безопасность, конфиденциальность и масштабируемость становятся сложнее балансировать в квантовую эпоху?

Да, есть три взаимосвязи. Пост-квантовые подписи и ключи занимают гораздо больше места, как мы уже говорили, но и методы конфиденциальности используют криптографию, которая может быть как до-, так и пост-квантовой. Пост-квантовые методы конфиденциальности также обычно требуют гораздо больших доказательств.

И конфиденциальность по своей природе влияет на масштабируемость. Шифрование усложняет индексирование, что вызывает проблемы масштабируемости, например, кошельки должны скачивать все транзакции и пытаться их расшифровать, чтобы понять, какие важны. Эти вещи находятся в естественной напряжённости, но хорошая инженерия — это всегда компромиссы. Всё можно сделать, но за это придётся заплатить.

Q8. Многие проекты блокчейна сегодня всё ещё используют системы нулевых знаний на базе эллиптических кривых, такие как Groth16 или PLONK. Насколько индустрия подготовлена к тому, что некоторые из самых популярных технологий конфиденциальности могут стать уязвимыми для квантовых атак?

Я считаю, что сейчас достаточно хорошо распространено понимание, что zk не автоматически пост-квантовые. Но одна вещь, которую часто упускают, — это особый режим отказа, который отличается от стандартных цифровых подписей. Квантовый злоумышленник в системе zk до квантовой эпохи может создавать фальшивые доказательства, выглядящие как настоящие. Он не сможет извлечь реальные доказательства и увидеть скрытые входные данные.

Например, поэтому говорят, что Zcash в некоторой степени квантово-устойчив. Квантовый злоумышленник не сможет получить ваши приватные ключи из ваших защищённых транзакций, но он сможет создать фальшивую транзакцию, которая будет выдавать неограниченное количество монет.

Q9. Ваша архитектура использует Wormhole Addresses, Plonky2 и агрегирование доказательств в стиле STARK, чтобы снизить нагрузку на пост-квантовые транзакции. Почему, по вашему мнению, квантовая безопасность в конечном итоге становится архитектурной проблемой, а не просто обновлением криптографии?

Десятилетие назад мантрой было «Биткоин не может масштабироваться», и это отчасти правда. В блокчейнах есть реальные проблемы масштабируемости, и интеграция пост-квантовой криптографии наивным образом только усугубит ситуацию. Биткоин уже самая медленная цепочка с примерно 7 TPS, и его QTPS будет значительно ниже 1, если не увеличить размер блока.

Но мы не обязаны делать это наивно. У нас есть современные методы, которых не было при создании Биткоина. Нулевое знание не только обеспечивает конфиденциальность; оно также сжимает вычисления, что помогает масштабированию. Но это довольно специфическая технология, и её трудно добавить постфактум. Её нужно внедрять с самого начала, чтобы всё работало правильно.

Q10. В отчёте выделены риски для админ-ключей стейблкоинов, валидаторов мостов, систем мультиподписей и контрактов управления. Какие из этих областей, по вашему мнению, могут стать первой крупной точкой сбоя в квантовой ситуации?

Если я надену чёрную шляпу и представлю худший сценарий для крипты, то это, вероятно, следующее. Предположим, Северная Корея каким-то образом получит квантовый компьютер, способный взломать ключи. Они, вероятно, захотят заработать, но, возможно, даже больше, чем это, — они захотят уменьшить влияние США и доллара, который сейчас распространяется по всему миру без банков через стейблкоины. Так что, если КНДР захочет, чтобы никто больше не доверял стейблкоинам, они могут взломать админ-ключ, скажем, USDC. После этого они смогут за одну транзакцию изменить ключи так, чтобы никто больше их не имел, заморозить все крупные счета, напечатать триллион монет, купить любые крупные монеты на DEX и исчезнуть. Самое интересное — стейблкоины отличаются от других токенов. Для них блокчейн не является окончательным источником владения. Circle сможет позвонить всем биржам, выпустить новый контракт и восстановить баланс до уровня до взлома. Остальная экосистема будет разрушена. Практически невозможно откатить балансы ETH или WBTC. DeFi будет уничтожен, и на восстановление может уйти десятилетие.

Это только один сценарий. Есть и другой — квантовые технологии могут вызвать кризис в Биткоине, что позволит разным актёрам захватить контроль. Например, BlackRock может попытаться враждебное поглощение, создав пост-квантовую санкционно-дружественную форк-версию Биткоина и признавать только её в своём ETF (они оставляют за собой право выбирать форк в своих рисковых раскрытиях). Поэтому криптография важна, и это игра на высоких ставках, так что ждите махинаций.

Q11. NIST завершил стандарты пост-квантовой криптографии в 2024 году, и такие компании, как Signal, Google Chrome и Apple, уже начали внедрение. Почему, по вашему мнению, криптоиндустрия движется так медленно, несмотря на то, что у неё, возможно, больше всего на кону?

На мой взгляд, индустрия потеряла свой путь из-за азартных игр. Между кредитным плечом и мемкоинами последние годы в блокчейне в основном сводились к нулевой сумме между инсайдерами и аутсайдерами.

И все смотрят на Биткоин, который самый медленный. У Биткоина сильная иммунная система, сопротивляющаяся изменениям, что отлично, когда он уже совершенен, но криптография всегда была гонкой вооружений, поэтому «затвердение» вокруг эллиптических кривых никогда не работало, квантовые или нет.

Q12. Если индустрия слишком долго будет ждать и «Q-день» наступит до того, как произойдет значимая миграция, как, по вашему мнению, будет выглядеть худший сценарий для крипты?

Худший сценарий — это когда значительная часть капитала в крипте просто уйдёт и не вернётся. Общая рыночная капитализация может упасть до сотен или даже десятков миллиардов, и DeFi фактически исчезнет.

Конечно, я не хочу, чтобы так произошло. Вся моя карьера связана с блокчейном. Поэтому мы создали Quantus. Это как Ноев ковчег для квантового потопа.

Интервью — главный вывод

Послание Кристофера Смита в том, что квантовая угроза в крипте — это не отдалённая техническая теория, а реальная структурная опасность, которую отрасль всё ещё недооценивает. По его мнению, опасность выходит за рамки уязвимых приватных ключей и может изменить всё — от рыночной стоимости Биткоина до стейблкоинов, инструментов конфиденциальности и инфраструктуры межцепочечной передачи. Он утверждает, что большая проблема в том, что крипту нельзя исправить простым программным патчем. Необходима масштабная скоординированная миграция, прежде чем квантовая эпоха превратится из спекуляции в кризис, движимый рынком.