Tính dễ tổn thương lượng tử trong Bitcoin: Một rủi ro có thể kiểm soát

作者 | Christopher Bendiksen, CoinShares

编译 | GaryMa 吴说区块链

原文链接：

Tương lai của máy tính lượng tử thực sự có thể sử dụng không phải là một khả năng không có xác suất, liên tục dấy lên những cuộc thảo luận rộng rãi về tác động tiềm tàng của nó đối với an ninh mã hóa Bitcoin. Điều này chắc chắn là lành mạnh và cũng là một biện pháp phòng ngừa cần thiết đối với một hệ thống lưu trữ giá trị hàng nghìn tỷ đô la. Tuy nhiên, mặc dù công nghệ này mang lại những thách thức về lý thuyết, rủi ro thực tế vẫn còn xa vời và có thể được đối phó bằng các biện pháp trực tiếp.

Đối với các nhà đầu tư tổ chức, việc hiểu vấn đề này cần phân biệt giữa suy đoán (và không may là rất nhiều sự thổi phồng và hành vi kiếm lợi mang tính vị kỷ) với phân tích dựa trên chứng cứ. Sự dễ bị tổn thương của Bitcoin trước lượng tử không phải là một cuộc khủng hoảng cận kề, mà là một cân nhắc kỹ thuật có thể dự đoán được và có đủ thời gian để thích ứng.

Tóm tắt các điểm chính

Tổng quan về sự dễ bị tổn thương trước lượng tử: Thuật toán Shor có thể lý thuyết làm lộ khóa trong ECDSA/Schnorr, thuật toán Grover làm yếu đi SHA-256; mối đe dọa vẫn còn xa, chỉ giới hạn ở khoảng 1,7 triệu BTC của địa chỉ P2PK (chiếm 8% tổng nguồn cung), khả năng gây ra cú sốc cho thị trường là cực kỳ nhỏ (xem điểm cuối cùng dưới đây)

Khung an ninh: Dựa vào đường cong elliptic để ủy quyền, dựa vào hàm băm để bảo vệ; máy tính lượng tử không thể thay đổi giới hạn cung cấp 21 triệu; cũng không thể vượt qua bằng chứng công việc. P2PKH/P2SH hiện đại ẩn khóa công khai trước khi chi tiêu; tuyên bố về 25% sự dễ bị tổn thương đã phóng đại rủi ro tạm thời có thể giảm thiểu

Thời gian và khả thi: Trong khoảng thời gian khả thi (<1 năm), để bẻ khóa secp256k1 cần số lượng qubit lượng tử hiện tại gấp 10 đến 100.000 lần; công nghệ lượng tử liên quan còn ít nhất 10 năm nữa. Cuộc tấn công lâu dài có thể diễn ra trong vài năm — có thể khả thi trong vòng mười năm tới; cuộc tấn công ngắn hạn (tấn công bộ nhớ) cần thời gian tính toán <10 phút — không khả thi trên bất kỳ thang thời gian nào ngoài cực kỳ lâu dài (hàng chục năm)

Lợi ích của can thiệp quyết liệt (ví dụ như hard/soft fork hoặc tiêu hủy đồng tiền chống lại định dạng lượng tử): Tăng cường mạng lưới trước, phòng ngừa đột phá công nghệ bất ngờ, cung cấp lộ trình di chuyển, truyền đạt khả năng thích ứng, nâng cao niềm tin của nhà đầu tư

Nhược điểm của can thiệp quyết liệt: Công nghệ mã hóa chưa được xác minh đầy đủ có thể tạo ra lỗ hổng; có thể lãng phí nguồn lực phát triển khan hiếm vào các giải pháp chưa được chứng minh hoặc kém hiệu quả, và gây ra nhiều thay đổi hơn; giả định rằng đồng tiền ngủ đã bị mất dẫn đến bắt buộc hoặc trộm cắp; đe dọa tính trung lập; xói mòn quyền sở hữu, phi tập trung, tính không thay đổi và lòng tin

Tác động thị trường: Thực tế chỉ có thể giới hạn ở khoảng 10.000 BTC, số tiền này có thể đột ngột, bất ngờ vào thị trường do khóa riêng bị xâm phạm; cuối cùng có vẻ giống như giao dịch thông thường; người nắm giữ có thể tự nguyện di chuyển; số đồng tiền còn lại phân bố trên 34.000 địa chỉ, mỗi địa chỉ khoảng 50 BTC, ngay cả trong kịch bản đột phá công nghệ lạc quan nhất, cũng cần hàng chục năm để bị đánh cắp

Phân tích đúng đắn vấn đề này cần sự hiểu biết sâu sắc và chi tiết

Khung an ninh của Bitcoin phụ thuộc vào hai yếu tố mã hóa cốt lõi: thuật toán chữ ký số Elliptic Curve (ECDSA hoặc Schnorr dựa trên secp256k1) dùng để ủy quyền giao dịch và các hàm băm như SHA-256 dùng để khai thác và bảo vệ địa chỉ. ECDSA tạo ra cặp khóa bất đối xứng, việc suy ra khóa riêng từ khóa công khai là không khả thi trên hệ thống tính toán cổ điển. SHA-256 cung cấp hàm băm một chiều, việc đảo ngược cũng không khả thi về mặt tính toán. Các thuật toán lượng tử mang đến những lo ngại cụ thể. Một hiểu lầm phổ biến là máy tính lượng tử sẽ phá vỡ hoàn toàn hệ thống mã hóa, nhưng thực tế không phải vậy. Dưới đây, chúng tôi tóm tắt tác động của máy tính lượng tử đến các hàm mã hóa phổ biến.

Các loại mã hóa hiện tại — trước và sau lượng tử:

Vấn đề chính mà chúng ta đang đối mặt là thuật toán chữ ký ECDSA 256 bit (hiện là Schnorr, nhưng gặp phải vấn đề tương tự) được sử dụng để ủy quyền cho giao dịch Bitcoin. Thuật toán Shor có thể lý thuyết giải quyết vấn đề logarit rời rạc hỗ trợ đường cong elliptic, một khi khóa công khai bị lộ, khóa riêng có thể bị suy ra.

Thuật toán Grover giảm hiệu quả bảo mật của hàm băm đối xứng như SHA-256 từ 256 bit xuống còn 128 bit, nhưng do yêu cầu tính toán cực kỳ lớn, việc bẻ khóa vẫn không thực tế, do đó địa chỉ được bảo vệ bởi hàm băm vẫn an toàn. Về khai thác, máy tính lượng tử có thể lý thuyết trở thành thiết bị khai thác khá nhanh, nhưng tính kinh tế của nó so với ASIC thì hoàn toàn không rõ (và với cơ chế điều chỉnh độ khó tự động được tích hợp trong Bitcoin, điều này không quan trọng). Điều quan trọng là máy tính lượng tử không thể thay đổi giới hạn cung cố định 21 triệu của Bitcoin, cũng không thể vượt qua bằng chứng công việc cần thiết để xác thực khối.

Rủi ro chỉ giới hạn ở địa chỉ có khóa công khai hiển thị, chủ yếu là đầu ra Pay-to-Public-Key (P2PK) truyền thống, những địa chỉ này nắm giữ khoảng 1,6 triệu BTC, chiếm khoảng 8% tổng nguồn cung. Tuy nhiên, chỉ có 10.200 BTC nằm trong UTXO, chỉ khi bị đánh cắp bởi máy tính lượng tử thì mới có thể gây ra bất kỳ sự xáo trộn đáng kể nào cho thị trường. Khoảng 1,6 triệu BTC còn lại phân bố trên 32.607 UTXO độc lập, mỗi UTXO khoảng 50 BTC, ngay cả trong giả định cực kỳ lạc quan về những tiến bộ trong công nghệ lượng tử, cũng cần hàng nghìn năm để mở khóa.

Phân bố và số lượng đồng tiền dễ bị tổn thương trước lượng tử

Định dạng địa chỉ hiện đại hơn, như Pay-to-Public-Key-Hash (P2PKH) hoặc Pay-to-Script-Hash (P2SH), ẩn khóa công khai qua hàm băm, giữ an toàn trước khi tiền được chi tiêu. Tuyên bố về 25% sự dễ bị tổn thương thường chứa rủi ro tạm thời, chẳng hạn như việc các sàn giao dịch tái sử dụng địa chỉ, những vấn đề này có thể dễ dàng giảm thiểu bằng cách thực hiện các thực hành tốt nhất; hơn nữa, sẽ có một khoảng thời gian cảnh báo kéo dài hàng năm trước khi sự phát triển công nghệ thực sự trở nên nguy hiểm, để lại đủ thời gian cho các điều chỉnh hành vi đơn giản.

Chúng ta còn cách khu vực nguy hiểm khá xa

Đến đầu năm 2026, mối đe dọa lượng tử chưa gần kề. Để bẻ khóa secp256k1, cần một hệ thống lượng tử có hàng triệu qubit logic — điều này vượt xa khả năng hiện tại. Theo các nhà nghiên cứu, để đảo ngược một khóa công khai trong một ngày, kẻ tấn công cần một máy tính lượng tử có khả năng chịu lỗi và kiểm soát sai số, và hiệu suất này hiện chưa được đạt được, cần 13 triệu qubit vật lý — khoảng 100.000 lần quy mô của máy tính lượng tử lớn nhất hiện tại. Để hoàn thành việc bẻ khóa trong một giờ, hiệu suất cần phải cao hơn 3 triệu lần so với máy tính lượng tử hiện tại. Giám đốc công nghệ của công ty an ninh mạng Ledger, Charles Guillemet, đã nói với CoinShares: “Để bẻ khóa mã hóa bất đối xứng hiện tại, cần số lượng qubit lên đến hàng triệu. Máy tính Willow của Google hiện chỉ có 105 qubit. Hơn nữa, mỗi khi tăng thêm một qubit, độ khó duy trì hệ thống đồng bộ sẽ tăng theo cấp số nhân.” Chúng tôi đã thực hiện phân tích sâu hơn về nội dung trên đây.

Bao gồm cả Google, các buổi trình diễn gần đây đã cho thấy tiến bộ, nhưng vẫn còn cách xa quy mô cần thiết để tiến hành tấn công trên Bitcoin trong thế giới thực.

Một số ước tính cho rằng máy tính lượng tử liên quan đến mật mã (nhưng không nhất thiết tạo thành mối nguy trong thực tế) có thể không xuất hiện cho đến thập niên 2030 hoặc muộn hơn, một số phân tích dự đoán cần 10–20 năm.

Rủi ro lâu dài (như địa chỉ P2PK) có thể phải đối mặt với các cuộc tấn công cần nhiều năm thời gian tính toán; trong khi rủi ro ngắn hạn (như khóa công khai có thể thấy trong bộ nhớ trong quá trình giao dịch) yêu cầu hoàn thành tính toán trong chưa đầy 10 phút.

Can thiệp quyết liệt vừa có lợi vừa có hại

Các đề xuất can thiệp quyết liệt để đối phó với vấn đề này, chẳng hạn như thực hiện soft fork cho định dạng địa chỉ chống lượng tử trong khi chưa được xác minh đầy đủ hoặc chưa trưởng thành về mặt kỹ thuật, hoặc tồi tệ hơn là thông qua hard fork để tiêu hủy đồng tiền dễ bị tổn thương, cần phải hết sức thận trọng. Những hành động này không chỉ có thể gây ra thảm họa công nghệ do vô tình tạo ra lỗ hổng quan trọng mà còn có thể làm yếu đi các nguyên tắc cốt lõi của Bitcoin về quyền sở hữu và tính phi tập trung, xói mòn lòng tin mà không cần thiết.

Việc giới thiệu các định dạng địa chỉ mới trước khi mật mã hỗ trợ cho tính an toàn của nó được hiểu và xác minh đầy đủ là cực kỳ nguy hiểm và không đáng khuyến khích. Chúng ta phải nhận thức rằng trước khi có máy tính lượng tử thực sự có thể sử dụng, chúng ta không thể xác định liệu mật mã chống lượng tử có thực sự hiệu quả theo nghĩa có thể chứng minh hay không. Hơn nữa, nếu chọn lựa các giải pháp địa chỉ chống lượng tử quá sớm, chúng ta có thể lãng phí nguồn lực phát triển khan hiếm vào những giải pháp cuối cùng được chứng minh là kém hiệu quả, nhanh chóng trở nên lỗi thời, thậm chí hoàn toàn có khuyết điểm.

Chúng ta không thể xác định liệu những đồng tiền dễ bị tổn thương này đang ở trong trạng thái ngủ hay đã bị mất, như cho thấy sự chuyển động của các địa chỉ không hoạt động lâu dài thỉnh thoảng xảy ra. Người nắm giữ có đủ cơ hội di chuyển tiền của họ một cách tự nguyện, và nếu khả năng lượng tử tiếp tục phát triển, tài sản không được nhận diện cũng có thể tự nhiên hoàn tất quá trình chuyển tiếp.

Trong tương lai gần, tác động ở cấp độ thị trường có vẻ hạn chế. Chỉ một phần nhỏ đồng BTC dễ bị tổn thương, khoảng 10.200, nằm trong một số loại P2PK, chỉ có thể ảnh hưởng đến tính thanh khoản nếu bị xâm phạm nhanh chóng và đột ngột. Những sự kiện như vậy có khả năng giống như giao dịch lớn thông thường, chứ không phải gây ra sự bất ổn hệ thống. Điều đáng quan tâm hơn là duy trì tính không thay đổi và tính trung lập của Bitcoin, những đặc tính này có thể bị đe dọa bởi sự thay đổi giao thức quá sớm.

Việc bảo vệ Bitcoin khỏi rủi ro lượng tử về mặt kỹ thuật là khả thi và không gây ra sự phá hoại. “Bitcoin có thể áp dụng chữ ký hậu lượng tử. Chữ ký Schnorr (một trong những triển khai công nghệ trong một bản nâng cấp trước đó) đã mở đường cho nhiều nâng cấp hơn, Bitcoin có thể tiếp tục tiến hóa phòng thủ,” Tiến sĩ Adam Back, một nhà mật mã học, đã nói với CoinShares. Thông qua soft fork, có thể giới thiệu chữ ký chống lượng tử, thực hiện tích hợp tiêu chuẩn mã hóa mới một cách liền mạch. Một số đề xuất hiện có, chẳng hạn như đề xuất cải tiến Bitcoin (BIP), đã phác thảo con đường tiến hóa này. Người dùng có thể di chuyển tiền của mình đến địa chỉ an toàn theo sự phán đoán của họ, trong khi vẫn liên tục theo dõi sự phát triển của công nghệ lượng tử — thậm chí có thể coi địa chỉ truyền thống bị lộ như một “chỉ báo” về sự tiến triển công nghệ.

Đối với các nhà đầu tư tổ chức, hiểu biết then chốt là: rủi ro lượng tử là có thể kiểm soát và có đủ thời gian để giải quyết. Kiến trúc của Bitcoin tự nó có tính linh hoạt nội tại, có khả năng hỗ trợ sự thích ứng có tầm nhìn. Là một loại tiền tệ lành mạnh trong kỷ nguyên số, Bitcoin xứng đáng được đánh giá dựa trên các nền tảng cơ bản của nó, chứ không phải dựa trên những mối đe dọa công nghệ bị phóng đại.