9 phút để phá một ví: Bài báo về lượng tử của Google làm chấn động giới mã hóa, thời điểm "Y2K" của Bitcoin đã đến?

Tác giả: Kappi Thất La, TechFlow giai đoạn sâu

Ngày 31 tháng 3, nhóm Google Quantum AI đã công bố một bản whitepaper, tiêu đề thì bình thường nhưng nội dung thì gây chấn động.

Kết luận cốt lõi của bài báo: bẻ khóa mã hóa đường cong elliptic (ECC-256) bảo vệ ví Bitcoin và Ethereum, lượng tài nguyên tính toán lượng tử cần thiết thấp hơn khoảng 20 lần so với các ước tính trước đó. Cụ thể, chỉ cần chưa đến 1200 qubit logic và 90 triệu cổng Toffoli, là có thể bẻ khóa trên máy tính lượng tử siêu dẫn với chưa đến 500.000 qubit vật lý, thời gian chỉ mất vài phút.

Cùng ngày, Viện Công nghệ California và công ty khởi nghiệp phần cứng lượng tử Oratomic công bố một bài báo khác, kết luận còn quyết liệt hơn: đối với máy tính lượng tử dùng kiến trúc nguyên tử trung tính, thấp nhất chỉ cần khoảng 10.000 qubit vật lý để khởi động tấn công, 26.000 qubit có thể bẻ khóa ECC-256 trong vòng khoảng 10 ngày.

Hai bài báo khi chồng lên nhau tạo thành một cảnh báo mối đe dọa lượng tử nghiêm túc nhất trong ngành mã hóa từ trước đến nay.

Từ “mối đe dọa xa mang tính lý thuyết” đến “đếm ngược có thể tính lịch”

Để hiểu lực tác động của hai bài báo này, cần nhìn vào một dòng thời gian: năm 2012, giới học thuật ước tính bẻ khóa ECC-256 cần khoảng 1 tỷ qubit vật lý. Năm 2023, bài báo của Daniel Litinski đã nén con số đó xuống còn khoảng 9 triệu. Bài báo mới của Google đưa nó xuống dưới 500.000. Oratomic còn đi xa hơn, nén xuống 10.000.

Trong hai mươi năm, năm bậc độ lớn giảm đi.

Điều này có nghĩa là khung thảo luận về mối đe dọa lượng tử đã thay đổi triệt để. Trước đây, câu chuyện chủ đạo là “máy tính lượng tử còn vài chục năm nữa mới bẻ khóa được mã hóa”, giờ chuyển thành “nếu tiến bộ phần cứng tăng tốc theo kiểu phi tuyến, thì cửa sổ có thể chỉ còn năm đến mười năm”. Nghiên cứu viên của Ethereum Foundation là Justin Drake (ông cũng là đồng tác giả của bài báo Google) ước tính rằng đến năm 2032, xác suất máy tính lượng tử bẻ khóa khóa riêng secp256k1 ECDSA ít nhất là 10%.

Bài báo của Google mô tả hai kịch bản tấn công.

Loại thứ nhất là “tấn công tức thời” (on-spend attack). Khi người dùng Bitcoin khởi tạo một giao dịch, khóa công khai sẽ tạm thời lộ ra trong mempool. Một máy tính lượng tử đủ nhanh có thể suy ra khóa riêng từ khóa công khai trong khoảng 9 phút, để phát động giao dịch cạnh tranh và đánh cắp tiền trước khi giao dịch được xác nhận. Xét thời gian trung bình tạo khối của Bitcoin khoảng 10 phút, bài báo ước tính xác suất thành công của kiểu tấn công này vào khoảng 41%.

Trong lĩnh vực mật mã, xác suất bẻ khóa 41% không phải là sai số thống kê, mà là một sơ đồ chữ ký đã bị bẻ khóa.

Loại thứ hai là “tấn công tĩnh” (at-rest attack), nhắm vào các ví ngủ yên có khóa công khai đã lộ trên chuỗi. Kiểu tấn công này không bị giới hạn thời gian, máy tính lượng tử có thể từ từ tính theo nhịp của riêng mình. Bài báo ước tính rằng khoảng 6,9 triệu BTC (chiếm một phần ba tổng cung) đang trong trạng thái phơi lộ như vậy, bao gồm khoảng 1,7 triệu BTC từ thời kỳ đồng xu đầu tiên của kỷ nguyên Satoshi, cùng với một lượng lớn tiền có khóa công khai bị lộ do tái sử dụng địa chỉ.

Theo giá hiện tại, 6,9 triệu BTC này trị giá hơn 450 tỷ USD.

Taproot: định nâng cấp quyền riêng tư, nhưng lại mở rộng bề mặt tấn công

Một phát hiện gây bất ngờ trong bài báo là việc nâng cấp Taproot của Bitcoin năm 2021 đã tạo ra lỗ hổng mới theo chiều cạnh “an toàn trước lượng tử”. Taproot nhằm nâng hiệu quả giao dịch và quyền riêng tư, sử dụng sơ đồ chữ ký Schnorr. Nhưng đặc tính của chữ ký Schnorr là khóa công khai mặc định được phơi bày trên chuỗi, đồng thời loại bỏ lớp bảo vệ kiểu “băm trước rồi mới lộ” trong định dạng địa chỉ cũ (P2PKH).

Nói cách khác, cải tiến của Taproot trong an toàn truyền thống lại mở ra một cánh cửa ở khía cạnh an toàn trước lượng tử. Từ đó, “hồ bơi” Bitcoin dễ bị tấn công bởi lượng tử mở rộng từ các đồng xu thời kỳ đầu và địa chỉ tái sử dụng sang tất cả các ví dùng Taproot.

Ethereum: vấn đề còn lớn hơn, nhưng đã chuẩn bị sớm hơn

Nếu Bitcoin đối mặt rủi ro ở cấp “ví”, thì Ethereum là rủi ro ở cấp “hạ tầng”.

Bài báo của Google chỉ ra rằng Ethereum bị phơi lộ trước các cuộc tấn công lượng tử ở năm lớp: ví cá nhân, khóa quản lý hợp đồng thông minh, xác thực PoS đặt cược, mạng Layer 2 và cơ chế lấy mẫu tính sẵn có của dữ liệu. Bài báo ước tính rằng 1000 ví lớn nhất của Ethereum nắm giữ khoảng 20,5 triệu ETH; một máy tính lượng tử cứ 9 phút bẻ khóa một khóa có thể dọn sạch toàn bộ trong dưới 9 ngày. Theo giá ETH hiện tại, các tài sản này có giá trị khoảng 41,5 tỷ USD.

Vấn đề sâu hơn nằm ở rủi ro mang tính hệ thống. Trên Ethereum, khoảng 200 tỷ USD stablecoin và tài sản được token hóa phụ thuộc vào chữ ký của khóa quản trị; khoảng 37 triệu ETH đang được đặt cược được xác thực thông qua cùng loại chữ ký số dễ bị tấn công này. Nếu một pool đặt cược lớn bị bẻ khóa, kẻ tấn công thậm chí có thể can thiệp vào chính cơ chế đồng thuận.

Tuy nhiên, Ethereum có một lợi thế cấu trúc: thời gian tạo khối chỉ 12 giây, phần lớn giao dịch được xác nhận trong vòng một phút, và có nhiều sử dụng mempool riêng tư, khiến tính khả thi của “tấn công tức thời” trên Ethereum thấp hơn nhiều so với Bitcoin.

Tin tốt là cộng đồng Ethereum phản ứng tích cực hơn.

Tuần trước, Ethereum Foundation vừa ra mắt pq.ethereum.org, tập hợp các kết quả nghiên cứu hậu lượng tử trong 8 năm, với hơn 10 nhóm client cùng thúc đẩy phát triển và chạy testnet hàng tuần. Vitalik Buterin trước đó cũng đã công bố lộ trình chống chịu lượng tử. So với đó, văn hóa quản trị của cộng đồng Bitcoin thận trọng hơn; đề xuất BIP-360 (giới thiệu định dạng ví chống chịu lượng tử) dù đã được hợp nhất vào kho BIP từ tháng 2, nhưng nó chỉ giải quyết một loại vấn đề phơi lộ khóa công khai; quá trình di chuyển mật mã đầy đủ cần thay đổi giao thức ở quy mô lớn hơn.

Phản ứng của cộng đồng: hoảng loạn, lý trí và “cái này cũng không chỉ là vấn đề của chúng ta”

Phản ứng của ngành mã hóa phân hóa thành nhiều phe như dự đoán.

Phe hoảng loạn được đại diện bởi CEO Project Eleven Alex Pruden: “Bài viết này trực tiếp phản bác từng lập luận mà ngành mã hóa dùng để phớt lờ mối đe dọa lượng tử.” Cách nói của đối tác Dragonfly là Haseeb Qureshi trên X còn trực diện hơn: “Hậu lượng tử không còn là diễn tập nữa.”

Phe lạc quan lý trí được đại diện bởi CZ. Ông cho rằng chỉ cần nâng cấp lên thuật toán chống chịu lượng tử là đủ, “không cần hoảng loạn”. Lập luận này đúng về mặt kỹ thuật, nhưng lại bỏ qua một vấn đề then chốt: một blockchain phi tập trung không thể ép buộc người dùng cập nhật phần mềm như ngân hàng hoặc mạng quân sự. Chu kỳ di chuyển của hạ tầng Bitcoin—từ ví người dùng đến việc sàn giao dịch hỗ trợ đến định dạng địa chỉ mới—có thể cần năm đến mười năm, ngay cả khi các bên hôm nay đã đạt được sự đồng thuận.

Phe “cái gì cũng bẻ khóa được” thì chỉ ra rằng tính toán lượng tử không chỉ đe dọa blockchain; hệ thống ngân hàng toàn cầu, chuyển tiền SWIFT, sàn giao dịch chứng khoán, liên lạc quân sự và các trang web HTTPS đều dựa trên cùng một hệ mật mã. Bài báo của Google phản hồi tích cực điều này: hệ thống tập trung có thể đẩy cập nhật cho người dùng, còn blockchain phi tập trung thì không. Đây là khác biệt căn bản.

Hài hước lạnh nhất đến từ câu nói của Musk: “Ít nhất là nếu bạn quên mật khẩu ví, sau này bạn vẫn có thể lấy lại.”

Xung đột lợi ích và mức chiết khấu hợp lý

Cả hai bài báo đều không phải “thuần túy học thuật”.

Bài báo của Caltech/Oratomic có đủ 9 tác giả đều là cổ đông của Oratomic, trong đó 6 người là nhân viên công ty. Bài báo này vừa là thành tựu khoa học, vừa là quảng cáo thương mại cho lộ trình phần cứng nguyên tử trung tính của công ty. Bài báo của Google cũng không hoàn toàn trung lập: Google đặt mốc năm 2029 làm hạn chót nội bộ cho việc chuyển hệ thống của mình sang mật mã hậu lượng tử; kết luận của bài báo khớp rất chặt với quyết định kinh doanh này. Ngoài ra, vì lý do an toàn, Google không công bố thiết kế mạch lượng tử thực tế, mà thay vào đó xác thực tính đúng đắn bằng chứng minh không tri thức cho chính phủ Mỹ.

Xung đột lợi ích trong bài báo cần được chiết khấu, nhưng xu hướng tự thân thì không cần chiết khấu. Mỗi khi có người khẳng định “mối đe dọa lượng tử bị phóng đại”, thì bài báo tiếp theo lại cắt giảm số lượng qubit cần thiết đi thêm một bậc độ lớn.

Hiện còn cách “Q-Day” bao xa?

Hiện tại, các máy tính lượng tử tiên tiến nhất có khoảng 6000 qubit, và thời gian tương quan (coherent time) chỉ khoảng 13 giây. Từ 6000 qubit đến 500.000 qubit theo yêu cầu trong bài báo của Google (hoặc 10.000 qubit mà Oratomic tuyên bố) vẫn còn ngăn cách bởi một khoảng cách kỹ thuật rất lớn.

Nhưng phép so sánh của nhà đầu tư crypto McKenna đáng nhớ hơn: “Bạn có thể hình dung Q-Day như Y2K, nhưng lần này là thật.”

Đồng sáng lập StarkWare là Eli Ben-Sasson kêu gọi cộng đồng Bitcoin đẩy nhanh việc triển khai BIP-360. Bản thân Google thì cho biết đang hợp tác với Coinbase, Viện nghiên cứu blockchain Stanford và Ethereum Foundation để thúc đẩy việc chuyển đổi có trách nhiệm.

Tranh luận giờ đây không còn là “liệu máy tính lượng tử có bẻ khóa được mã hóa hay không”, mà là “liệu ngành mã hóa có thể hoàn tất việc di chuyển trước khi phần cứng kịp theo”. Lịch trình 2029 của Google, cộng với việc bài báo Oratomic cho thấy nhu cầu qubit bị nén mạnh, khiến thời gian đệm dành cho ngành còn ngắn hơn bất kỳ ai dự đoán.

1,1 triệu BTC của Satoshi hiện vẫn ngủ yên không thể tự di chuyển sang địa chỉ an toàn trước lượng tử. Nếu máy tính lượng tử đến sớm hơn, di sản kỹ thuật số trị giá hơn 7,0 tỷ USD này sẽ trở thành mục tiêu “cứu vớt đắm tàu kỹ thuật số” lớn nhất trong lịch sử. Thậm chí bài báo của Google còn đưa vào khung pháp lý kiểu “quyền cứu vớt kỹ thuật số” (digital salvage) để so sánh, ngầm gợi ý rằng các chính phủ có thể cần ban hành luật để xử lý các tài sản ngủ yên không thể di chuyển này.

Đây là một vấn đề mà một whitepaper Bitcoin chưa từng dự đoán: nếu rào cản toán học bảo vệ tài sản tư hữu bản thân bị bẻ khóa, thì “Code is Law” liệu còn có thể đứng vững không?