9 хвилин для злома гаманця: стаття про квантові дослідження Google шокувала криптосвіт, чи настав «Y2K момент» для Біткоїна?

Автор: Капи Сьєлара, глибоководний TechFlow

31 березня команда Google Quantum AI опублікувала білий папір, назва була буденною, а зміст — вибуховим.

Ключовий висновок роботи: розкриття еліптичної кривої криптографії (ECC-256), яка захищає гаманці біткоїна та Ethereum, потребує наявних квантових обчислювальних ресурсів приблизно на 20 разів менше, ніж оцінювали раніше. Конкретно: щоб виконати злам на надпровідниковому квантовому комп’ютері менш ніж 50 тисяч фізичних квантових біти, достатньо менш ніж 1200 логічних квантових біти та 90 млн Toffoli-воріт, а час — лише кілька хвилин.

Того ж дня Каліфорнійський технологічний інститут і квантовий стартап Oratomic опублікували ще одну статтю, висновки в ній були ще агресивнішими: квантовий комп’ютер на нейтрально-атомній архітектурі може запустити атаку щонайменше приблизно з 10 000 фізичних квантових біти, а 26 000 квантових біти можуть зламати ECC-256 приблизно за 10 днів.

Обидві роботи разом складаються в найсерйозніше за всю історію попередження про квантову загрозу для індустрії криптографії.

Від «теоретично далекої загрози» до «відліку, який можна порахувати днями»

Щоб зрозуміти силу удару цих двох праць, треба подивитися на часову шкалу: у 2012 році науковці оцінювали, що для зламу ECC-256 потрібно близько 1 мільярда фізичних квантових біти. У 2023 році у статті Daniel Litinski цей показник зменшили приблизно до 9 мільйонів. Нова робота Google зводить його до менш ніж 500 тисяч. Oratomic іде далі — до 10 000.

За двадцять років — стискання на п’ять порядків.

Це означає, що рамка обговорення квантової загрози повністю змінилася. Раніше домінувало: «квантовим комп’ютерам ще десятки років до зламу шифрування», а тепер стало: «якщо прогрес у апаратному забезпеченні прискорюватиметься нелінійно, вікно може бути лише п’ять-десять років». Дослідник Ethereum Foundation Justin Drake (він також є співавтором статті Google) оцінює, що до 2032 року ймовірність зламу квантовими комп’ютерами приватного ключа secp256k1 ECDSA становитиме щонайменше 10%.

Стаття Google описує два сценарії атак.

Перший — це «миттєва атака» (on-spend attack). Коли користувач біткоїна ініціює транзакцію, публічний ключ тимчасово стає видимим у memory pool (мемпулі). Достатньо швидкий квантовий комп’ютер здатен за близько 9 хвилин відновити приватний ключ із публічного ключа та перехопити підтвердження транзакції, ініціювавши конкуруючу транзакцію й викравши кошти. З огляду на те, що середній час формування блоку в біткоїні — приблизно 10 хвилин, у статті оцінено успішність таких атак близько 41%.

У сфері криптографії 41% імовірності розкриття — це не статистична похибка, а схема підпису, яку вже атакували.

Другий — «статична атака» (at-rest attack), спрямована на гаманці, публічні ключі яких уже розкриті в ланцюжку й «сплять». Для цієї атаки немає часових обмежень: квантовий комп’ютер може рахувати в своєму темпі. У статті оцінено, що приблизно 6,9 млн BTC (третина від загальної пропозиції) перебувають у такому стані розкриття, серед них близько 1,7 млн монет із часів Сатоші Накамото (ранні «ранні монети») та значні обсяги коштів, де публічні ключі були розкриті через повторне використання адрес.

За поточними цінами ці 6,9 млн BTC коштують понад 450 млрд доларів США.

Taproot: хотіли оновити приватність, а натомість розширили поверхню атаки

В роботі є несподіване відкриття: оновлення Taproot 2021 року в біткоїні створило нову вразливість у вимірі квантової безпеки. Taproot має на меті підвищити ефективність транзакцій і приватність, використовуючи схему підписів Schnorr. Але особливістю підписів Schnorr є те, що публічний ключ за замовчуванням розкривається в ланцюжку, а захисний шар із формату старих адрес (P2PKH) — «спочатку хеш, потім розкриття» — прибрали.

Іншими словами, покращення Taproot у традиційній безпеці насправді відкриває двері в вимірі квантової безпеки. Це розширює пул біткоїна, який є вразливим до квантових атак: від ранніх монет і адрес із повторним використанням — до всіх гаманців, що використовують Taproot.

Ethereum: проблема більша, але підготуватися можна раніше

Якщо біткоїн стикається з ризиком «на рівні гаманців», то проблема Ethereum — «на рівні інфраструктури».

Стаття Google вказує, що Ethereum перебуває під квантовими атаками на п’яти рівнях: персональні гаманці, ключі керування смарт-контрактами, валідація PoS-стейкінгу, мережі Layer 2 та механізм вибірки доступності даних. У роботі оцінено, що топ-1000 гаманців Ethereum тримають приблизно 20,5 млн ETH, а квантовий комп’ютер, який зламує один ключ кожні 9 хвилин, може повністю очистити всі з них менш ніж за 9 днів. За поточними цінами ETH вартість цих активів становить приблизно 41,5 млрд доларів США.

Глибша проблема — системний ризик. На Ethereum приблизно 200 млрд доларів стабільних монет і токенізованих активів покладаються на підписи ключів керування, а близько 37 млн стейкнутих ETH проходять автентифікацію через такі самі цифрові підписи, що є вразливими. Якщо великий стейкінг-пул буде зламано, атакувальник навіть може втручатися безпосередньо в механізм консенсусу.

Втім, у Ethereum є структурна перевага: час формування блоку — лише 12 секунд, більшість транзакцій підтверджуються протягом хвилини, і значна частина використовує приватні memory pool’и. Через це «миттєві атаки» на Ethereum набагато менш здійсненні, ніж на біткоїн.

Хороша новина: спільнота Ethereum реагує активніше.

Минулого тижня Ethereum Foundation запустив pq.ethereum.org, де зібрано результати восьми років досліджень пост-квантової криптографії; понад 10 команд клієнтів щотижня просувають розробку й тестування testnet. Vitalik Buterin також раніше опублікував roadmap протидії квантовим атакам. Натомість культура управління (governance) в біткоїн-спільноті є консервативнішою: хоча пропозиція BIP-360 (введення формату гаманця з квантово-стійкістю) у лютому вже об’єднали в репозиторій BIP, вона вирішує лише один тип проблем із розкриттям публічних ключів, тоді як повна криптографічна міграція потребує масштабніших змін протоколу.

Реакція спільноти: паніка, раціональність і «це не лише наша проблема»

Реакція індустрії криптовалют, як і очікувалося, розділилася на кілька таборів.

Табір панікерів представлений CEO Project Eleven Alex Pruden: «Ця стаття безпосередньо спростовує кожен аргумент, яким криптоіндустрія користувалася, щоб ігнорувати квантову загрозу». Партнер Dragonfly Haseeb Qureshi в X висловився ще пряміше: «Пост-квантове вже не репетиція».

Раціонально-оптимістичний табір представляє CZ. Він вважає, що криптовалютам потрібно лише перейти на пост-квантові алгоритми, і «немає потреби панікувати». У технічному сенсі це твердження правильне, але воно ігнорує ключову проблему: децентралізовані блокчейни не можуть, як банки чи військові мережі, примусово проштовхувати оновлення програмного забезпечення. Міграційний цикл інфраструктури біткоїна — від гаманців користувачів до підтримки на біржах і до нового формату адрес — може зайняти п’ять-десять років, навіть якщо сьогодні всі сторони досягнуть консенсусу.

Табір «можна зламати взагалі все» вказує, що квантові обчислення загрожують не тільки блокчейну: глобальна банківська система, SWIFT-перекази, біржі акцій, військовий зв’язок, HTTPS-сайти — усе покладається на ту саму криптографічну систему. Стаття Google відповідає на це позитивно: централізовані системи можуть проштовхувати оновлення користувачам, а децентралізовані блокчейни — ні. Це принципова різниця.

Найхолодніший гумор — від Маска: «Принаймні якщо ти забудеш пароль від гаманця, у майбутньому його можна буде відновити».

Конфлікт інтересів і раціональний дисконт

Обидві статті — не «чиста академія».

У роботі Caltech/Oratomic усі 9 авторів є акціонерами Oratomic, і 6 із них — співробітники компанії. Ця стаття — і науковий результат, і комерційна презентація нейтрально-атомного апаратного напрямку цієї компанії. Стаття Google теж не зовсім нейтральна: Google встановив дедлайн 2029 року як внутрішню дату міграції власних систем на пост-квантову криптографію, і висновки роботи дуже узгоджуються з цим комерційним рішенням. Крім того, з міркувань безпеки Google не опублікувала реальні проєктні рішення квантових схем, а натомість за допомогою zero-knowledge proof підтвердила урядові США, що результат є коректним.

Конфлікт інтересів у статтях потребує знижки в оцінці, але сам тренд не потребує знижки. Кожного разу, коли хтось заявляє, що «квантова загроза перебільшена», наступна стаття зменшує число потрібних квантових біти ще на один порядок.

Наскільки далеко «Q-Day»?

Наразі найпотужніші квантові комп’ютери мають приблизно 6000 квантових біти, а час когерентності — лише близько 13 секунд. Від 6000 квантових біти до 500 000, які вимагає стаття Google (або 10 000, як стверджує Oratomic), між ними все ще лежить величезний інженерний розрив.

Але для криптовалютних інвесторів образ McKenna запам’ятовується краще за цифри: «Уявіть Q-Day як Y2K, але цього разу — справді».

Співзасновник StarkWare Eli Ben-Sasson закликає спільноту біткоїна прискорити просування BIP-360. Сама Google тим часом заявляє, що співпрацює з Coinbase, Stanford Blockchain Research Institute та Ethereum Foundation для просування відповідальної міграції.

Дискусія вже не про те, «чи зможе квантове обчислення зламати криптографію», а про те, «чи зможе індустрія криптовалют завершити міграцію до того, як апаратура наздожене». Таймлайн Google на 2029 рік плюс різке скорочення вимог до квантових біти в статті Oratomic залишають індустрії буферний запас, який коротший, ніж очікував хтось будь-де.

1100000 BTC, закладені в сплячку Сатоші, не можуть самостійно мігрувати на квантово-безпечні адреси. Якщо квантовий комп’ютер прийде на крок раніше, цифрова спадщина вартістю понад 70 млрд доларів США стане найбільшою ціллю в історії для «цифрового рятування затонулих кораблів». Стаття Google навіть вводить для цього правову рамку-порівняння «право на цифрове рятування» (digital salvage), натякаючи, що урядам країн, можливо, доведеться ухвалювати закони, щоб обробляти ці недосяжні для міграції «сплячі» активи.

Це проблема, якої не передбачав жоден біткоїн-білий папір: якщо математичний бар’єр, що захищає приватну власність, сам буде зламано, чи ще зможе існувати принцип «Code is Law»?