Угрозы квантовых вычислений для Bitcoin стали центральной темой на конференции Ethereum

На конференции разработчиков Ethereum в этом году, ETH Denver, основное обсуждение сосредоточено на создании продуктов в условиях спада рынка и использовании блокчейна для усиления возможностей AI-агентов. Однако один из глубоких дискуссионных сессий поставил ключевой вопрос: сможет ли криптографическая основа Bitcoin устоять в эпоху пост-квантовых вычислений.

На этой неделе эксперты сосредоточились на наиболее реалистичном сценарии: какая часть криптографической системы Bitcoin подвержена первому разрушению. Согласно Хантеру Бисту — соавтору предложения BIP 360, направленного на решение квантовых рисков для блокчейна — заблуждение обычно начинается с неправильного понимания алгоритмов хеширования Bitcoin.

Он отметил, что такие алгоритмы хеширования, как SHA-256, по-прежнему считаются чрезвычайно устойчивыми к взлому, даже при использовании идеальных и масштабных квантовых компьютеров. Теоретически, для взлома 256-битной системы хеширования с помощью алгоритма Гровера потребуется квантовый компьютер размером «больше Луны».

Алгоритм Гровера, разработанный в 1996 году учёным-компьютерщиком Ловом Гровером, также известен как квантовый поисковый алгоритм. Он ускоряет процесс перебора методом brute-force, снижая фактический уровень безопасности таких хеш-функций, как SHA-256. Однако, по словам Биста, эта угроза не является острой в ближайшие пять лет.

Более близкая по времени опасность связана с механизмом цифровой подписи — областью, напрямую затронутой алгоритмом Шора. Этот алгоритм, опубликованный в 1994 году математиком Питером Шором, предназначен для атаки на математическую основу асимметричной криптографии. В настоящее время Bitcoin использует эллиптические кривые для цифровых подписей, и теоретически Шор может вывести приватный ключ из публичного, если квантовый компьютер будет достаточно мощным.

Алекс Прюден, генеральный директор компании по безопасности блокчейна Project Eleven, объяснил последствия этого сценария: владение Bitcoin полностью основано на возможности создавать действительные цифровые подписи. Если алгоритм Шора будет реализован в достаточных масштабах, достаточно будет знать публичный ключ — который предназначен для распространения — чтобы вывести приватный ключ. В результате злоумышленник сможет получить контроль над активами.

На данный момент вычислительные мощности ещё не достигли этого уровня. Однако Прюден отметил, что последние достижения в области квантовых технологий Google и IBM показывают быстрый прогресс. В конце 2024 года Google объявила о создании квантового компьютера Willow с уровнем коррекции ошибок ниже порога — важной технической вехой, подтверждающей возможность масштабирования квантовых систем.

В условиях долгосрочной угрозы индустрия криптовалют активно готовится. Фонд Ethereum создал специальную группу по пост-квантовой безопасности, а Coinbase организовала консультативный совет для изучения квантовых рисков для Bitcoin и других цифровых активов. Генеральный директор Брайан Армстронг считает, что «эту проблему можно решить», хотя исследователи продолжают обсуждать степень её срочности.

Оценки необходимого объема аппаратного обеспечения для взлома механизма цифровой подписи Bitcoin также быстро меняются. В 2021 году многие исследования указывали на необходимость около 20 миллионов кубит. Недавно команда из Iceberg Quantum заявила, что эта цифра может снизиться до примерно 100 000 кубит.

Риск утечки уже существует. Согласно списку «Bitcoin Risq List», отслеживаемому Project Eleven, более 6,9 миллиона монет находятся на адресах с раскрытыми публичными ключами, из которых около 1,7 миллиона были добыты в ранних этапах сети. Оценивается, что примерно треть общего объема может быть уязвима к атаке типа «длинной экспозиции» (long exposure attack).

Изабель Фоксен-Дюк — соавтор BIP 360 — подчеркнула, что проблема не только в технических аспектах. «Укрепление» Bitcoin против квантовых угроз также связано с вопросами управления и консенсуса сообщества. Некоторые старые адреса, включая так называемые кошельки, принадлежащие Сатоши Накамото, могут никогда не перейти на безопасные квантовые стандарты.

Она отметила, что уже есть предложения заморозить все монеты Сатоши и адреса типа pay-to-public-key. Это решение вызывает большие споры, политически сложно и крайне трудно добиться согласия всей сети.

Фоксен-Дюк предупредила, что если практические квантовые компьютеры появятся раньше, чем сообщество достигнет консенсуса по переходу на безопасные квантовые адреса, последствия могут быть катастрофическими. В сценарии, когда миллионы Bitcoin будут добыты и выведены на рынок за считанные часы, ценовой шок может разрушить доверие к всей сети — независимо от того, готовы ли криптографические решения пост-квантового уровня или нет.