9 хвилин для злома гаманця: стаття про квантові дослідження Google шокувала криптосвіт, чи настав «Y2K момент» для Біткоїна?

Дві наукові праці, накладені одна на одну, формують найсерйозніше за всю історію попередження про квантову загрозу для криптовалютної індустрії.

Автор: Капі七Ла, Deepwave TechFlow

31 березня команда Google Quantum AI опублікувала білий папір: назва буденна, а зміст — вибуховий.

Ключовий висновок роботи: для злому еліптичної кривої криптографії (ECC-256), що захищає біткоїнні й ефірні гаманці, потрібні квантові обчислювальні ресурси приблизно в 20 разів менші, ніж оцінювали раніше. Зокрема, достатньо менш ніж 1200 логічних кубітів і 90 мільйонів Toffoli-операторів, щоб на надпровідному квантовому комп’ютері виконати злам менш ніж 500 тис. фізичних кубітів — і витратити на це лише кілька хвилин.

Того самого дня Каліфорнійський технологічний інститут і стартап із квантового апаратного забезпечення Oratomic опублікували іншу працю, висновок у якій ще радикальніший: для квантового комп’ютера на базі архітектури нейтральних атомів мінімально потрібно лише близько 10 000 фізичних кубітів, щоб запустити атаку, а 26 000 кубітів здатні за приблизно 10 днів зламати ECC-256.

Дві наукові праці, накладені одна на одну, формують найсерйозніше за всю історію попередження про квантову загрозу для криптовалютної індустрії.

Від «теоретичної далекої загрози» до «відліку часу, який можна порахувати днями»

Щоб зрозуміти силу удару цих двох праць, потрібно подивитися на часову шкалу: у 2012 році наукова спільнота оцінювала, що для злому ECC-256 потрібні приблизно 1 млрд фізичних кубітів. У 2023 році в роботі Daniel Litinski цей показник зменшився приблизно до 9 млн. Нова праця Google опустила його нижче 500 тис. Oratomic пішов ще далі — до 10 000.

Протягом двадцяти років — стиснення на п’ять порядків.

Це означає, що рамки обговорення квантової загрози були повністю змінені. Раніше домінувала історія «квантовим комп’ютерам ще десятки років до злому криптографії», а тепер це стало «якщо прогрес апаратного забезпечення прискорюватиметься нелінійно, вікно може тривати лише п’ять–десять років». Дослідник Ethereum Foundation Justin Drake (він також є співавтором статті Google) оцінює, що до 2032 року ймовірність того, що квантовий комп’ютер зламає приватний ключ secp256k1 ECDSA, становитиме щонайменше 10%.

У статті Google описано два сценарії атак.

Перший — це «миттєва атака» (on-spend attack). Коли користувач біткоїна ініціює транзакцію, публічний ключ короткочасно стає видимим у memory pool. Достатньо швидкий квантовий комп’ютер здатний приблизно за 9 хвилин відновити приватний ключ із публічного ключа, перехопивши підтвердження транзакції та ініціювавши конкурентну транзакцію для крадіжки коштів. З огляду на те, що середній час блоку в біткоїні становить близько 10 хвилин, у статті оцінюють успішність таких атак приблизно в 41%.

У криптографії 41% імовірності злому — це не статистична похибка, а вже скомпрометована підписна схема.

Другий — «статична атака» (at-rest attack), спрямована на гаманці, публічні ключі яких уже розкриті на ланцюжку та які фактично «заснули». У цій атаці немає обмеження в часі: квантовий комп’ютер може рахувати повільно, у власному темпі. У статті оцінюють, що близько 6,9 млн BTC (це третина від загальної емісії) перебувають у такому стані експозиції; серед них близько 1,7 млн монет із епохи Сатоші та значні суми коштів, чиї публічні ключі «виплили» через повторне використання адрес.

За поточними цінами ці 6,9 млн BTC коштують понад 450 млрд доларів США.

Taproot: хотіли підвищити приватність, але натомість розширили площу атаки

Одне несподіване відкриття в роботі полягає в тому, що апгрейд Taproot для біткоїна у 2021 році створив нову вразливість у вимірі квантової безпеки. Taproot призначений для підвищення ефективності транзакцій та приватності й використовує підписну схему Schnorr. Але особливість підписів Schnorr полягає в тому, що публічний ключ за замовчуванням розкривається на ланцюжку, а це прибирає захисний шар «спочатку хеш, потім розкриття», який існував у старому форматі адрес (P2PKH).

Інакше кажучи, покращення традиційної безпеки Taproot — це водночас двері, відчинені в вимірі квантової безпеки. Це розширило «квантово вразливий» пул біткоїна від монет ранніх періодів і адрес повторного використання на всі гаманці, що використовують Taproot.

Ethereum: проблема більша, але підготовка — раніше

Якщо біткоїн стикається з ризиком «на рівні гаманця», то проблема в Ethereum — «на рівні інфраструктури».

У статті Google зазначено, що Ethereum піддається квантовим атакам на п’ятьох рівнях: персональні гаманці, керівні ключі для управління смарт-контрактами, PoS-валидація стейкінгу, мережі Layer 2 та механізми вибірки доступності даних. У роботі оцінюють, що перші 1000 гаманців Ethereum мають близько 20,5 млн ETH; квантовий комп’ютер, який зламує ключ за кожні 9 хвилин, здатний повністю спорожнити їх менш ніж за 9 днів. За поточними цінами ETH, вартість цих активів становить приблизно 41,5 млрд доларів США.

Глибша проблема — системний ризик. Стабільні монети й токенізовані активи на Ethereum приблизно на 200 млрд доларів США покладаються на підпис керуючих ключів; при цьому близько 37 млн стейкнутих ETH проходять автентифікацію через такі ж уразливі цифрові підписи. Якщо великий стейкінг-пул буде зламано, атакувальник може навіть втрутитися в механізм консенсусу.

Втім, в Ethereum є структурна перевага: час створення блоку — лише 12 секунд, більшість транзакцій підтверджуються протягом однієї хвилини, а також широко використовуються приватні memory pool. Це робить «миттєві атаки» на Ethereum значно менш здійсненними, ніж на біткоїні.

Хороша новина в тому, що спільнота Ethereum реагує активніше.

Минулого тижня Ethereum Foundation щойно запустив pq.ethereum.org — він збирає результати досліджень постквантової ери за вісім років; понад 10 команд клієнтів просувають розробку та тестову мережу щотижня. Vitalik Buterin також раніше опублікував roadmap щодо квантової стійкості. На відміну від цього, біткоїнська спільнота має більш консервативну культуру управління: пропозиція BIP-360 (уведення формату постквантового гаманця) вже об’єднана в репозиторій BIP у лютому, але вона вирішує лише один тип проблеми розкриття публічних ключів; повна криптографічна міграція потребує масштабніших змін протоколу.

Реакція спільноти: паніка, раціональність і «це — не лише наша проблема»

Реакція криптовалютної індустрії, як і очікувалося, розділилася на кілька таборів.

Табір панікерів представлений CEO Project Eleven Алексом Пруденом: «Ця стаття напряму спростовує кожен аргумент, який криптоспільнота використовує, щоб ігнорувати квантову загрозу». Співрозмовник Dragonfly Haseeb Qureshi сформулював ще пряміше в X: «Постквантове — вже не навчальна репетиція».

Раціонально-оптимістичний табір представляє CZ. Він вважає, що криптовалюти потрібно лише перейти на постквантові алгоритми стійкості: «Немає необхідності панікувати». Технічно це твердження правильне, але воно ігнорує ключову проблему: децентралізовані блокчейни не можуть, як банки чи військові мережі, примусово протягнути оновлення програмного забезпечення. Период міграції інфраструктури біткоїна — від гаманців користувачів до підтримки на біржах і до нових форматів адрес — може тривати п’ять–десять років, навіть якщо сьогодні всі сторони дійдуть згоди.

Табір «зламати можна все» вказує, що квантові обчислення загрожують не лише блокчейну: глобальна банківська система, перекази SWIFT, фондові біржі, військові комунікації, HTTPS-сайти — усі вони покладаються на ту саму криптографічну інфраструктуру. Стаття Google відповідає на це позитивно: централізовані системи можуть надсилати користувачам оновлення, а децентралізовані блокчейни — ні. Це принципова різниця.

Найхолодніший гумор — від Маска: «Принаймні якщо ти забудеш пароль від гаманця, у майбутньому його можна буде відновити».

Конфлікт інтересів і раціональний дисконт

Обидві статті — не «чисто академічні».

У праці Caltech/Oratomic усі 9 авторів є акціонерами Oratomic, і 6 з них — співробітники компанії. Ця праця — як науковий результат, так і комерційна презентація маршрутної лінії компанії щодо нейтрально-атомного апаратного забезпечення. Стаття Google також не є цілком нейтральною: Google встановив для себе внутрішню кінцеву дату 2029 року як дедлайн міграції власних систем на постквантову криптографію; висновки статті надзвичайно узгоджуються з цим комерційним рішенням. Крім того, з міркувань безпеки Google не оприлюднив фактичні проєктні рішення квантових схем, а натомість довів їхню коректність урядові США за допомогою нульових доказів (zero-knowledge proofs).

Конфлікти інтересів у статтях треба зважати зі знижкою, але сама тенденція не потребує знижки. Кожного разу, коли хтось заявляє, що «квантова загроза перебільшена», наступна стаття скорочує потрібну кількість кубітів ще на один порядок.

Як далеко зараз до «Q-Day»?

Найсучасніші квантові комп’ютери сьогодні мають приблизно 6000 кубітів, а час когерентності — лише близько 13 секунд. Від 6000 кубітів до 500 000 кубітів, яких вимагає стаття Google (або 10 000, як стверджує Oratomic), усе ще відділяє гігантський інженерний розрив.

Але аналогія криптовалютного інвестора McKenna запам’ятовується краще: «Уявіть Q-Day як Y2K, але цього разу — по-справжньому».

Співзасновник StarkWare Eli Ben-Sasson закликає біткоїнську спільноту прискорити впровадження BIP-360. Сам Google заявив, що працює разом із Coinbase, Stanford Blockchain Research Institute та Ethereum Foundation над відповідальною міграцією.

Дискусія вже не про те, «чи здатні квантові обчислення зламати криптографію», а про те, «чи зможе криптовалютна індустрія завершити міграцію, перш ніж апаратне забезпечення наздожене». Таймлайн Google 2029 року плюс різке скорочення потреб у кубітах у статті Oratomic залишають індустрії буферний запас менший, ніж очікував будь-хто.

1,1 млн BTC, які спить Сатоші, не може самостійно мігрувати на квантово-безпечні адреси. Якщо квантові обчислення прийдуть раніше, це цифрове спадкове майно вартістю понад 70 млрд доларів США стане найбільшим у історії об’єктом «цифрового підйому затонулого». Стаття Google навіть вводить для цього юридичну аналогію «права на цифрове підняття» (digital salvage), натякаючи, що урядам різних країн, можливо, доведеться ухвалювати закони для обробки цих непереказних «заснутих» активів.

Це питання, якого не передбачав жоден біткоїн-білий папір: якщо математичний бар’єр, що захищає приватну власність, сам буде зламано, чи може «Code is Law» залишатися дійсним?