Квантова загроза біткойнам стала ще більш актуальною

Команда Google Quantum AI у вівторок опублікувала технічну документацію, в якій різко переглянула обчислювальні ресурси, необхідні для зламу криптографії біткойна. Папір, “Захист криптовалют еліптичної кривої від квантових вразливостей: оцінка ресурсів і пом’якшення,» оцінює, що квантовий комп’ютер з менш ніж 500 000 фізичних кубітів може зламати 256-бітну еліптичну криптографію біткойна, що приблизно в 20 разів менше порівняно з попередніми оцінками, які коливались у мільйонах.

Точніше кажучи, дослідники Google зібрали дві оптимізовані квантові схеми, що реалізують алгоритм Шора для проблеми дискретного логарифмування еліптичної кривої (ECDLP-256): одна використовує менше ніж 1200 логічних кубітів із 90 мільйонами вентилів Тоффолі, а інша використовує менше ніж 1450 логічних кубітів із 70 мільйонами вентилів Тоффолі. Обидва можна виконати на надпровідній системі кубітів зі стандартними припущеннями про апаратні можливості найближчого майбутнього.

Вікно загроз реальне. Аналіз Google свідчить про те, що після трансляції транзакції біткойн і розкриття приватного ключа в ланцюжку квантовий зловмисник може отримати приватний ключ і викрасти транзакцію приблизно за дев’ять хвилин – трохи менше типового 10-хвилинного вікна підтвердження блокування біткойна, що дає зловмисникові приблизно 41% шансів на успіх.

Google оприлюднив своє дослідження з використанням нового методу розкриття: доказ нульового знання, який підтверджує існування квантових схем, не розкриваючи деталей реалізації – незвичайний підхід, який свідчить про оцінку фірмою серйозності загрози.

Уразливість Taproot

Оновлення Bitcoin Taproot у 2021 році мимоволі розширило зону атаки. На відміну від попередніх типів транзакцій, які приховували відкриті ключі, Taproot розкриває їх за замовчуванням у блокчейні – це вибір дизайну, призначений для покращення конфіденційності та ефективності, але який можуть використовувати квантові алгоритми. Дослідження Google виявило приблизно 6,9 мільйона BTC, які вже зберігаються на адресах, де були розкриті відкриті ключі, у тому числі приблизно 1,7 мільйона з перших років існування Bitcoin.

А одночасний папір від Каліфорнійського технологічного інституту та квантового стартапу Oratomic пропонує додаткову модель загроз. Опублікований на сервері препринтів arXiv, він демонструє, що квантові комп’ютери з нейтральними атомами можуть виконувати подібні атаки лише з 10 000 фізичних кубітів, або приблизно в 50 разів ефективніше, ніж оцінка надпровідних кубітів Google. Згідно з припущеннями Caltech/Oratomic, 26 000-кубітна система може зламати ECC-256 приблизно за десять днів, дозволяючи зловмиснику систематично отримувати приватні ключі та викачувати кошти.

Безпосередньої небезпеки немає, але терміновість зростає

Google підкреслив, що атаки залишаються теоретичними. Сучасні квантові комп’ютери не наближаються до цих порогів. Останній процесор IBM містить 1121 кубіт; Чіп Willow від Google працює в іншому масштабі. Розрив між сучасним апаратним забезпеченням і системами, здатними до атак, імовірно, охоплює роки чи десятиліття.

Але траєкторія безпомилкова. Приблизні потреби в кубітах для зламу ECDLP-256 за допомогою алгоритму Шора впали на п’ять порядків за два десятиліття, приблизно з 1 мільярда кубітів у 2012 році до 10 000 сьогодні. Кожна оптимізація створює горизонт ризику.

На відміну від традиційних криптосистем, які можна виправляти дистанційно, незмінність біткойна означає, що будь-який перехід до постквантової криптографії потребує хардфорків, керованих консенсусом, і координації всієї мережі. Постквантові схеми вже існують – NIST має стандартизовані альтернативи, засновані на решітці, – але їх розгортання вимагає змін на рівні протоколу, на впровадження та тестування яких потрібні роки.

Ethereum рухався швидше. Минулого тижня фонд Ethereum Foundation опублікував дорожню карту квантової стійкості з восьмирічними дослідженнями, десятьма клієнтськими командами, які щотижня запускають розробники, і планом міграції з кількома розгалуженнями. Біткойну, навпаки, не вистачає порівнянної інфраструктури підготовки.