Coin Metrics: Всеосяжна оцінка квантових ризиків у криптовалютах

Автор: Танай Вед, старший дослідник Coin Metrics; переклад: @金色财经xz

Короткий огляд статті

• Хоча квантові комп’ютери наразі не становлять реальної загрози криптографічним системам блокчейну, останні технологічні прориви суттєво скоротили час реагування, що сприяє переходу галузі до активної підготовки.

• За оцінками, близько 6,9 мільйонів BTC під загрозою квантової атаки через використання застарілих типів адрес і повторне використання ключів, з яких приблизно 1,7 мільйона BTC (9% пропозиції) знаходяться у “сплячих” токенах епохи Сатоші, що важко перенести.

• Ризики, пов’язані з квантовими загрозами, залежать від структури адрес, схем підпису та моделей консенсусу у блокчейнах. Екосистеми активно просувають пропозиції та дорожні карти післяквантових рішень для впровадження нових схем підпису.

1. Вступ

Різке зростання квантових обчислень перетворює колись далекі теоретичні можливості у конкретні виклики для криптографічних технологій базових рівнів блокчейну. Недавні дослідження команди Google Quantum AI показують, що ресурси та час, необхідні для створення квантового комп’ютера, здатного зламати еліптичні криві, на яких базуються Bitcoin та інші блокчейни, скорочуються. Консультаційна рада Coinbase з квантових технологій також зазначає, що, хоча такі машини ще не створені, час для переходу на анти-квантову криптографію вже почався.

З наближенням цієї загрози розробники, учасники мережі, інвестори та великі володарі токенів відіграватимуть ключову роль у веденні децентралізованих екосистем у майбутнє, стійке до квантових атак.

У цій статті ми детально проаналізуємо ризики квантових обчислень для криптографії блокчейну, зосереджуючись на ризиках для Bitcoin, суперечках навколо “сплячих” токенів, а також на сучасних шляхах підготовки Ethereum і Solana до післяквантових викликів.

2. Розуміння наближаючої квантової загрози

Безпека блокчейну базується на криптографічних підписах, які важко зламати класичними обчислювальними засобами, але потенційно вразливі для квантових комп’ютерів. Зараз Bitcoin, Ethereum та більшість інших мереж використовують еліптичні криві підписи (наприклад, ECDSA і BLS), щоб довести право власності на приватний ключ для авторизації транзакцій. Теоретично, алгоритм Шора та інші квантові алгоритми можуть зчитати приватний ключ з публічного, що означає, що будь-яка адреса з відкритим публічним ключем стає потенційною ціллю атаки.

Ця загроза проявляється у двох формах, залежно від того, чи був публічний ключ вже розкритий у транзакції:

• Статична (довгострокова) атака: на адреси, публічні ключі яких вже опубліковані у ланцюгу, включаючи кошельки, валідатори та смарт-контракти. Майбутні квантові комп’ютери зможуть зчитати приватний ключ і викрасти кошти, навіть якщо власник не виконує нових дій.

• Динамічна (короткострокова) атака: у короткий проміжок часу між витратами (коли публічний ключ стає видимим) і підтвердженням транзакції. Швидкі квантові комп’ютери зможуть швидко підписати конфліктні транзакції, випереджаючи мережу. Оскільки Bitcoin має приблизно 10-хвилинний час блоку, це створює довший вікно ризику порівняно з Ethereum (~12 секунд) або Solana (субсекундна кінцівка).

3. Ризик для Bitcoin

Ризик для Bitcoin головним чином зосереджений у рівні гаманця, і залежить від того, як обробляються адреси та типи адрес у моделі UTXO. Кожен непогашений вихід транзакції (UTXO) закодований у скрипті, прив’язаному до пари ключів. Якщо публічний ключ залишається прихованим, квантовий зломщик не зможе зчитати приватний ключ. Але якщо ключ стане публічним у ланцюгу, майбутній квантовий комп’ютер зможе зчитати його і підробити валідний витратний запис.

Отже, ризик Bitcoin залежить від того, чи був публічний ключ розкритий, і варіюється залежно від типу адрес і повторного використання ключів:

• P2PK (оплата до публічного ключа): включає найстаріші токени епохи Сатоші, ранніх майнерів і самого Сатоші. Ці адреси найбільш ризиковані, оскільки їх публічний ключ явно видно у ланцюгу, що робить їх ціллю статичної атаки.

• Повторне використання P2PKH (оплата до хешу публічного ключа): ці адреси спочатку приховані, але при витраті відкривають публічний ключ, що підвищує ризик для залишків на таких адресах.

• Повторне використання P2SH (оплата до хешу скрипта): скрипт прихований до моменту витрати, але при багаторазовому використанні ключів ризик зростає.

• P2WPKH/P2WSH (ізоляція свідчень): у разі використання SegWit публічний ключ прихований за хешем до витрати, а нові адреси з унікальними ключами зменшують короткостроковий ризик.

• P2TR (Taproot): підвищує гнучкість і приватність, але включає змінений публічний ключ безпосередньо у адресу, що робить його ціллю для квантової атаки з самого початку.

На малюнку показано еволюцію використання цих адрес у Bitcoin, що ілюструє перехід від P2PK/P2PKH до SegWit і Taproot. Цей перехід поступово переносить нові токени у адреси з меншим квантовим ризиком.

4. Скільки Bitcoin під загрозою?

За оцінками Project Eleven і Google у березні, близько 6,9 мільйонів BTC зберігається на адресах із відкритими публічними ключами. Це включає:

• адреси, що використовують традиційний P2PK (публічний ключ згенеровано і він уже у ланцюгу);
• адреси з повторним використанням, де публічний ключ розкривається при витраті.

Ми проаналізували перші 500 000 блоків Bitcoin за допомогою системи Coin Metrics ATLAS і підтвердили, що близько 2,3 мільйонів BTC зберігається на високоризикових адресах, з яких приблизно 1,7 мільйона — це токени епохи Сатоші та ранніх майнерів. Решта 4,6 мільйона — переважно з блоків після 2017 року. Тенденція показує, що адреси P2PKH і далі використовуються, а з появою SegWit і Taproot кількість повторних адрес зростає.

5. Проблема “сплячих” монет

Головний спір щодо квантових ризиків стосується “сплячих” монет Bitcoin і долі коштів Сатоші. Близько 1,7 мільйона BTC (9% пропозиції) з моменту створення не рухалися і зберігаються на адресах із відкритими публічними ключами або у традиційних адресах, що стануть відкритими при витраті. Це включає близько 1,1 мільйона BTC, пов’язаних із Сатоші, розподілених між ~22 000 рахунками (по ~50 BTC на рахунок), а не у одному гаманці.

Ці “епохальні” токени становлять особливу проблему. Оскільки їх не можна активним чином перенести, питання щодо їх захисту — один із найспірніших у спільноті. Пропонуються різні рішення: залишити все як є, заморозити активи, знищити токени або обмежити швидкість їх витрат.

Ризик для цих “сплячих” активів не рівномірний. Більша частина з них — у P2PK-адресах (~1,7 мільйона BTC у ~34 000 адресах), що є найбільш уразливими. Інші розподілені більш рівномірно: близько 410 000 BTC у 550 великих адресах (>100 BTC) і ще 110 000 BTC у ~20 000 малих рахунках.

Ризик квантової атаки поділяється на дві категорії: перша — P2PK-адреси епохи Сатоші, найбільш уразливі, але розподілені між багатьма малими адресами; друга — кілька великих гаманців із повторним використанням ключів, таких як холодні сховища бірж, що мають більшу привабливість для цілеспрямованих атак і активної міграції.

6. Ризики для інших блокчейнів

Ризики для інших мереж залежать від структури адрес, схем підпису та систем управління. Як видно, основна загроза для Bitcoin — у рівні гаманця і UTXO: традиційні адреси викривають публічні ключі, але механізм PoW і хеш-функції наразі залишаються безпечними.

Ethereum і Solana використовують модель акаунтів, де публічний ключ зовнішнього облікового запису (EOA) стає відкритим одразу після транзакції, що підвищує ризик для більшої частини активів. У Bitcoin багато токенів все ще захищені хешами і рідше використовують повторне використання адрес. Крім того, у PoS-мережах, таких як Ethereum і Solana, валідатори використовують еліптичні криві для підписів, що додає додатковий рівень ризику.

Це підкреслює важливість управлінських рішень і здатності мережі швидко реагувати на виклики, залежно від її децентралізації та характеристик.

7. Пропозиції та шляхи міграції післяквантових рішень

Bitcoin

Захист Bitcoin від квантових загроз полягає у впровадженні анти-квантових схем підпису та перенесенні активів на безпечні адреси. Це особливо важливо для “сплячих” активів, що важко перенести, що ставить у центрі дискусій баланс між безпекою і керованістю. Поточні пропозиції включають:

• BIP-360: пропонує новий тип виходу — оплату до мережевого кореня Меркле, що дозволяє зберігати публічний ключ поза ланцюгом до моменту витрати, зменшуючи довгостроковий ризик.

• BIP-361 (від Jameson Lopp і інших): пропонує поетапне виключення уразливих схем підпису протягом кількох років. Спершу заборонити внесення нових активів на високоризикові адреси, а згодом — заморожувати нерозмінену частину, включаючи “засновані” на Сатоші токени.

• Щодо суперечок навколо заморожених “сплячих” токенів (“проблема Сатоші”), Paradigm пропонує схему підтвердження контролю адреси з часовими штампами, що дозволяє власникам підтверджувати контроль без переміщення активів і потенційно розблокувати їх у майбутньому.

Ethereum і Solana

Ethereum і Solana обрали різні, але активні підходи. Ethereum створила команду досліджень післяквантових технологій і розробила дорожню карту з впровадженням нових схем підпису, зокрема, на основі хешів і решіток (lattice). Це дозволить поступово перейти на більш безпечні підписи.

Solana зосереджена на схемі Falcon — криптографічній підписній системі, сертифікованій NIST, і має план у три етапи: спершу активувати анти-квантові ключі, потім поступово замінювати їх, і, нарешті, у разі необхідності, повністю перейти на нові схеми.

8. Висновки

Хоча час появи квантових комп’ютерів, здатних зламати еліптичні криві, ще не настав, їх потенційний вплив стає все більш очевидним. Останні технологічні прориви стимулюють галузь переходити від теоретичних обговорень до активного планування. Спільноти працюють над розробкою шляхів міграції, тестуванням нових схем підпису і обговоренням захисту активів. Для інвесторів і учасників мережі квантові ризики — це довгостроковий сценарій, але їх серйозність вимагає попереджувальних дій і координації.