Гонка за безопасностью Bitcoin на $1,3 трлн: ключевые инициативы, направленные на quantum-proofing крупнейшего в мире блокчейна

BTC1,20%

Сегодня не существует квантовых компьютеров, способных взломать блокчейн Bitcoin. Однако разработчики уже рассматривают волну обновлений, чтобы выстроить защиту от потенциальной угрозы — и это справедливо, поскольку сама угроза больше не является гипотетической.

На этой неделе Google опубликовала исследование, предполагающее, что достаточно мощный квантовый компьютер может взломать ключевую криптографию Bitcoin менее чем за девять минут — на одну минуту быстрее, чем среднее время подтверждения блока Bitcoin. Некоторые аналитики полагают, что такая угроза может стать реальностью к 2029 году.

Ставки высоки: около 6,5 млн токенов bitcoin, стоимость которых достигает сотен миллиардов долларов, находятся на адресах, которые квантовый компьютер мог бы напрямую атаковать. Часть этих монет принадлежит псевдонимному создателю Bitcoin — Сатоши Накамото. Кроме того, потенциальная компрометация повредит фундаментальные принципы Bitcoin — «доверяйте коду» и «добротным деньгам».

Ниже показано, как выглядит угроза, а также предложения, находящиеся в разработке для смягчения ее последствий.

Два способа, которыми квантовая машина могла бы атаковать Bitcoin

Сначала разберемся в уязвимости, прежде чем обсуждать предложения.

Безопасность Bitcoin построена на односторонней математической зависимости. Когда вы создаете кошелек, генерируются приватный ключ и секретное число, из которых выводится публичный ключ.

Тратить bitcoin-токены требует доказательства владения приватным ключом — не путем его раскрытия, а путем использования его для генерации криптографической подписи, которую сеть может проверить.

Эта система безупречна, потому что современные компьютеры потратили бы миллиарды лет на взлом криптографии эллиптических кривых — в частности, алгоритма цифровой подписи на эллиптических кривых (ECDSA) — чтобы выполнить обратное проектирование приватного ключа из публичного ключа. Поэтому говорят, что блокчейн вычислительно невозможно скомпрометировать.

Но будущий квантовый компьютер может превратить этот односторонний путь в двусторонний: вывести ваш приватный ключ из публичного ключа и вывести ваши монеты.

Публичный ключ раскрывается двумя способами: из монет, лежащих без движения onchain (атака длительного воздействия), или из монет в движении либо транзакций, ожидающих в пуле памяти (атака краткого воздействия).

Адреса Pay-to-public key (P2PK) (использовались Сатоши и ранними майнерами) и Taproot (P2TR), текущий формат адресов, активированный в 2021 году, уязвимы для атаки длительного воздействия. Монетам в этих адресах не нужно перемещаться, чтобы раскрыть свои публичные ключи; раскрытие уже произошло и его может прочитать любой человек на Земле, включая будущего квантового атакующего. Примерно 1,7 млн BTC лежит в старых адресах P2PK — включая монеты Сатоши.

Краткое воздействие связано с mempool — «комнатой ожидания» неподтвержденных транзакций. Пока транзакции там ждут включения в блок, ваш публичный ключ и подпись видны всей сети.

Квантовый компьютер мог бы получить доступ к этим данным, но у него будет лишь краткое окно — до того, как транзакция будет подтверждена и «похоронена» под дополнительными блоками — чтобы вывести соответствующий приватный ключ и действовать на его основе.

Инициативы

BIP 360: Удаление публичного ключа

Как отмечалось ранее, каждый новый Bitcoin-адрес, созданный с использованием Taproot сегодня, навсегда раскрывает публичный ключ onchain, предоставляя будущему квантовому компьютеру цель, которая никогда не исчезает.

Протокол улучшения Bitcoin (BIP) 360 удаляет публичный ключ, постоянно встроенный в цепочку и видимый всем, вводя новый тип выхода под названием Pay-to-Merkle-Root (P2MR).

Вспомним: квантовый компьютер изучает публичный ключ, выполняет обратное проектирование точной формы приватного ключа и подделывает рабочую копию. Если мы уберем публичный ключ, у атаки не будет исходных данных для работы. При этом все остальное, включая платежи Lightning, схемы мультиподписей и другие функции Bitcoin, остается тем же.

Однако если предложение будет внедрено, оно защитит только новые монеты в дальнейшем. 1,7 млн BTC, уже лежащие в старых раскрытых адресах, — это отдельная проблема, которую решают другие предложения ниже.

SPHINCS+ / SLH-DSA: Подписи на основе хэшей для постквантового периода

SPHINCS+ — это схема постквантовых подписей, построенная на функциях хэширования, которая избегает квантовых рисков, характерных для криптографии эллиптических кривых, используемой в Bitcoin. В то время как алгоритм Шора угрожает ECDSA, хэш-ориентированные конструкции вроде SPHINCS+ не считаются столь же уязвимыми.

Схема была стандартизирована Национальным институтом стандартов и технологий (NIST) в августе 2024 года как FIPS 205 (SLH-DSA) после многих лет публичного рассмотрения.

Компромисс безопасности — размер. В то время как текущие подписи bitcoin имеют 64 байта, SLH-DSA — 8 килобайт (KB) или больше по размеру. Поэтому внедрение SLH-DSA резко увеличит спрос на пространство в блоке и поднимет комиссии за транзакции.

В результате такие предложения, как SHRIMPS (еще одна схема постквантовых подписей на основе хэшей) и SHRINCS, уже были представлены, чтобы уменьшать размеры подписей без потери постквантовой безопасности. Они строятся на SHPINCS+ и при этом стремятся сохранить его гарантии безопасности в более практичной, экономичной по пространству форме, пригодной для использования в блокчейне.

Схема commit/reveal от Tadge Dryja: аварийный тормоз для mempool

Это предложение, soft fork, предложенный соавтором Lightning Network Тэджем Драйджей, направлено на защиту транзакций в mempool от будущего квантового атакующего. Оно делает это, разделяя выполнение транзакции на две фазы: Commit и Reveal.

Представьте, что вы сообщаете контрагенту, что отправите ему email, а затем действительно отправляете email. Первое — это фаза commit, а второе — фаза reveal.

В блокчейне это означает, что сначала вы публикуете запечатанный «отпечаток» вашего намерения — просто хэш, который не раскрывает ничего о транзакции. Блокчейн ставит на этот отпечаток временную метку навсегда. Позже, когда вы транслируете фактическую транзакцию, ваш публичный ключ становится видимым — и да, квантовый компьютер, наблюдающий за сетью, может вывести ваш приватный ключ из него и сфальсифицировать конкурирующую транзакцию, чтобы украсть ваши средства.

Но эта сфальсифицированная транзакция сразу будет отклонена. Сеть проверяет: есть ли у этого списания ранее зарегистрированное намерение в цепочке? Ваше — есть. У атакующего — нет: он создал это за считанные моменты. Ваш предварительно зарегистрированный отпечаток — это ваше алиби.

Проблема, однако, в возросшей стоимости из-за того, что транзакция разбивается на две фазы. Поэтому ее описывают как временный мост — практичный в развертывании, пока сообщество работает над построением квантовых защит.

Hourglass V2: замедление траты старых монет

Предложенный разработчиком Хантером Бистом Hourglass V2 нацелен на квантовую уязвимость, связанную примерно с 1,7 млн BTC, хранящихся в более старых, уже раскрытых адресах.

Предложение признает, что эти монеты могли бы быть украдены в будущем квантовом нападении, и стремится замедлить «кровотечение», ограничив продажи одним bitcoin на блок, чтобы избежать катастрофической ночной массовой ликвидации, которая могла бы обрушить рынок.

Аналогия здесь — банковский набег: вы не можете остановить людей от снятия средств, но можете ограничить скорость снятия, чтобы система не рухнула за одну ночь. Предложение спорное, потому что даже такое ограничение, пусть и минимальное, в Bitcoin-сообществе для некоторых рассматривается как нарушение принципа, согласно которому никакая внешняя сторона никогда не должна вмешиваться в ваше право тратить ваши монеты.

Заключение

Эти предложения пока не активированы, а децентрализованное управление Bitcoin, включающее разработчиков, майнеров и операторов нод, означает, что любое обновление, вероятно, займет время, чтобы материализоваться.

Тем не менее, устойчивый поток предложений, предшествовавших отчету Google на этой неделе, говорит о том, что эта проблема давно находится в поле зрения разработчиков, что может помочь сдержать опасения рынка.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев