Зрозуміло BIP-361: що насправді обговорює спільнота Біткоїна?

Цього тижня в спільноті BTC було багато обговорень і суперечок щодо BIP-361, я зроблю короткий огляд за своїм розумінням.
BIP-361 — це проект, запропонований Ендрю Пулстром, глибоко проаналізований і популяризований експертом з безпеки Джеймсоном Лоппом. Основна ідея цього проекту: до того, як квантові комп’ютери зможуть зламати Біткоїн, запобігти цьому, заморожуючи BTC на адресах з відкритими ключами ( і з можливістю відновлення ).
1/ Фонові дані
За останні 17 років Біткоїн залишався дуже безпечним. Його безпека забезпечується за допомогою асиметричних алгоритмів цифрового підпису на основі еліптичних кривих (ECDSA). Ця система алгоритмів робить практично неможливим для сучасних комп’ютерів (включаючи суперкомп’ютери) за розумний час вивести приватний ключ з публічного. Це гарантує односторонню невідворотність від приватного до публічного ключа.
Поточна криза, або точка перелому, полягає в тому, що: фізика загалом вважає, що достатньо потужний квантовий комп’ютер (з мільйонами квантових бітів) може за допомогою алгоритму Шора за дуже короткий час зламати ECDSA.
На початку року команда Google Quantum AI опублікувала деякі дослідження: вони не зламали Біткоїн, але дані показують, що загроза квантових обчислень для криптовалют може з’явитися раніше, ніж очікувалося.
Зараз спільнота Біткоїна реагує так: не панікувати, але активно реагувати, обговорювати і діяти.
Саме тому з’являються пропозиції типу BIP-360, BIP-361 і інші, оскільки Біткоїн — це відкритий проект без керівника, і кожне велике оновлення відбувається дуже повільно, вимагаючи тривалого формування спільної згоди. Якщо чекати появи квантових комп’ютерів і тоді починати, можливо, вже буде запізно.
2/ Ідеї щодо оновлення та протидії
З логічної точки зору, оскільки Біткоїн — це відкритий софт, то достатньо оновити алгоритми, щоб протистояти квантовим обчисленням. Реалізація цього можлива за допомогою певних схем, наприклад, алгоритмів, обраних NIST, таких як Dilithium, хоча вони мають деякі недоліки порівняно з ECDSA, теоретично це можливо.
Більша проблема — не технічна, а соціальна: після оновлення люди зможуть переказувати BTC з старих адрес на нові, але що робити з адресами, де вже відкриті ключі, або з померлими власниками, або з втраченими приватними ключами? Такі BTC — без власника — залишаться безконтрольними. Вони будуть постійно під загрозою квантової атаки, стануть «приймачами» для злодіїв і можуть спричинити крах ринку.
Яка кількість таких адрес?
За оцінками галузі, приблизно 2-4 мільйони BTC (, з них 1,1 мільйона — це Сатоші ); ще 2-3 мільйони — це «сплячі» монети, які не рухалися понад 5 років, і вони захищені хеш-шифруванням, поки що квантові комп’ютери не можуть їх зламати. Це дуже велика кількість. Мікрастратегії витратили багато зусиль, і зараз мають близько 780 тисяч BTC. Як тільки ці мільйони будуть зламані, це матиме величезний вплив на Біткоїн, і говорити про це зайве.
3/ Що саме прагне зробити BIP-361?
Ця складна проблема — те, що BIP-361 намагається вирішити.
Основна ідея — не оновлювати адреси до квантово-стійких, і тоді їхні монети будуть заморожені. Це змусить всіх перейти на адреси з квантовою стійкістю.
Проект передбачає три етапи, які розгортаються за допомогою BIP9:
◦ Етап А (активується приблизно через 160 000 блоків (близько 3 років): заборонити надсилати BTC на адреси, де відкриті ключі, що становлять небезпеку (. Дозволити перекази лише на нові адреси з квантовою стійкістю )PQ(. Це перший крок — запобігти подальшому переходу на небезпечні адреси.
◦ Етап B )після Етапу А приблизно через 2 роки, всього близько 5 років: вузли відмовляться від усіх підписів на основі еліптичних кривих, включаючи ECDSA та нові Schnorr. Залишаться лише адреси, які не піддавалися переказам, і їхні UTXO стануть «замороженими» і не зможуть бути використаними. Тобто, якщо ви не зробите переказів протягом 5 років, ваші монети будуть вважається «заблокованими» і не будуть враховуватися у мережі.
◦ Етап C ( — за домовленістю: для вирішення етичних питань «загублених» або «забутих» монет, що залишилися, передбачено патч. Якщо у користувача є мнемонічний код, він зможе за допомогою zero-knowledge proof (нульових знань) довести, що він володіє цими монетами, не розкриваючи приватний ключ. Це дозволить розблокувати заморожені активи.
Логіка проста: користувачі з мнемоніками зможуть довести свою власність через zk-підтвердження, і мережа дозволить їм «розморожувати» активи, що були заморожені через ризик квантової атаки. Це складна технічна задача, ще в стадії теоретичних досліджень.
Що стосується Етапу C:
- користувачі мають мнемонічні фрази
- використовують BIP-361 і zero-knowledge proof
- подають доказ у мережу: «Я не розкриваю приватний ключ, але можу довести, що маю цю мнемонику і можу отримати приватний ключ для старої адреси»
- мережа перевіряє доказ, і якщо він проходить, дозволяє «зеркалити» заморожені активи на нову квантово-стійку адресу.
Загалом, ідея BIP-361 — не чекати, поки крадуть, а заздалегідь закривати можливі вразливості.
4/ Суперечності в спільноті
Після публікації BIP-361 у спільноті BTC голоси проти переважають.
Адам Бек сказав: «Це конфіскація, а не захист». Він підтримує м’який форк і добровільне оновлення, категорично проти примусової заморожування. Марті Бент також опублікував довгу дискусію, в якій критикує порушення принципу «your keys, your coins» і виступає за добровільну міграцію та освіту, а не за встановлення жорстких дедлайнів.
Чарльз Хоскінсон ще більш радикально: це по суті хард-форк, і він може перетворити Біткоїн у «шиткоїн».
З технічної точки зору, це — м’який форк, але з точки зору суспільної згоди його примусова природа викликає суперечки щодо того, чи є це хард-форком.
Філ Гейгер жартує: «Ми повинні спершу вкрасти гроші людей, щоб запобігти їхній крадіжці».
Співавтор пропозиції Джеймсон Лопп каже: «Мені це не подобається, але я зробив це, бо менше злом — це квантова крадіжка». Вибір між двома зломами — це питання компромісу.
Противники бояться не лише «крадіжки», а й того, що додавання zero-knowledge proof у код може ускладнити систему і створити нові вразливості.
Деякі підтримують ідею.
Юйлінь Ху @epr510 підтримує: його аргумент — Сатоші, ймовірно, вже знищив приватні ключі, і це — прояв його волі. Квантові комп’ютери порушать цю волю і знову активують монети. Заморожування «забутих» або «відкинутих» монет — це прояв поваги до «свободи розпоряджатися майном».
Він також спростовує аргумент про «каскадний ризик»: заморожування адрес, які можна зламати, — це не цензура, а виправлення помилок. Люди, які втратили монети, хочуть їх повернути, а не щоб квантовий зломщик їх забрав, тому заморожування не порушує їхню свободу.
Метью Корралло пропонує компроміс: розділити оновлення для квантової стійкості і заморожування старих адрес у два окремі етапи. Технічне оновлення можна зробити без згоди, а остаточне рішення — через великий форк і конкуренцію.
5/ Наслідки
З фінансової точки зору, це — кілька мільйонів BTC, що коштують сотні мільярдів доларів. Якщо реалізувати BIP-361, це призведе до різкого зменшення обігових активів, що може виглядати як технічне скорочення. Але якщо через це з’явиться розкол у згоді, і ринок втратить довіру до «незмінності і незмінності кількості», вартість може не зростати, а падати.
Сатоші колись сказав: «Загублені монети роблять решту більш цінними. Це — пожертва для всіх».
У BIP-361 — інше формулювання: «Квантово відновлені монети зменшують цінність решти. Це — крадіжка у всіх».
Загублені монети — це пожертва, а крадіжка — це злочин.
Якщо не заморожувати, можливі три сценарії:
(1) — будь-хто може красти, перший прийшов — перший отримав;
(2) — обмежена крадіжка, наприклад, майнері використовують RBF для відновлення з квантової крадіжки;
(3) — ніхто не має права красти.
Пропозиція BIP-361, ймовірно, не буде прийнята у поточній версії і потребує доопрацювання. Але її головна цінність — це підняти на обговорення проблему, яка раніше ігнорувалася, і сприяти формуванню спільної згоди для протистояння квантовим загрозам.