Що насправді означає «зламати» біткойн за 9 хвилин за допомогою квантових комп’ютерів

Команда Quantum AI компанії Google заявила раніше цього тижня, що у майбутньому квантовий комп’ютер зможе отримати приватний ключ біткоїна з публічного ключа приблизно за дев’ять хвилин. Ця інформація розлетілася соціальними мережами та викликала занепокоєння на ринках.

Але що це насправді означає на практиці?

Почнемо з того, як працюють транзакції біткоїна. Коли ви надсилаєте біткоїн, ваш гаманець підписує транзакцію приватним ключем — секретним числом, що підтверджує вашу власність на монети.

Цей підпис також розкриває ваш публічний ключ, який є адресою для обміну, що надсилається в мережу та знаходиться у черзі, званій мемпул, доки майнер не включить її до блоку. В середньому підтвердження займає близько 10 хвилин.

Ваш приватний ключ і публічний ключ пов’язані математичною задачею, яка називається дискретною логарифмічною проблемою еліптичної кривої. Класичні комп’ютери не здатні розв’язати цю задачу у корисний час, тоді як достатньо потужний квантовий комп’ютер майбутнього, що використовує алгоритм Шора, зможе це зробити.

Ось де з’являється частина з дев’ятьма хвилинами. У дослідженні Google зазначено, що квантовий комп’ютер можна «попередньо налаштувати», завчасно обчисливши ті частини атаки, які не залежать від жодного конкретного публічного ключа.

Як тільки ваш публічний ключ з’являється в мемпулу, машині потрібно лише близько дев’яти хвилин, щоб завершити роботу та отримати ваш приватний ключ. Середній час підтвердження біткоїна становить 10 хвилин. Це дає атакувальнику приблизно 41% шансів отримати ваш ключ і перенаправити ваші кошти до підтвердження початкової транзакції.

Уявіть це як злодія, який витрачає години на створення універсального пристрою для злома сейфів (попередні обчислення). Пристрій працює для будь-якого сейфа, але щоразу, коли з'являється новий сейф, потрібно лише кілька останніх налаштувань — і цей фінальний крок займає приблизно дев'ять хвилин.

Це атака на мемпул. Вона тривожна, але вимагає квантового комп’ютера, якого ще не існує. У доповіді Google оцінюється, що така машина потребуватиме менше ніж 500 000 фізичних кубітів. Найбільші сучасні квантові процесори мають близько 1 000.

Більше й більш нагальне занепокоєння становить 6,9 мільйона біткоїнів, приблизно одна третина від загальної пропозиції, які вже знаходяться в гаманцях, де публічний ключ було назавжди розкрито.

Це включає ранні біткоїн-адреси з перших років мережі, які використовували формат під назвою pay-to-public-key, де публічний ключ за замовчуванням видимий у блокчейні. Також це стосується будь-якого гаманця, який повторно використовував адресу, оскільки витрачання з адреси розкриває публічний ключ для всіх залишкових коштів.

Цим монетам не потрібні дев’ятихвилинні перегони. Зловмисник із достатньо потужним квантовим комп’ютером міг би зламати їх у спокійному режимі, послідовно обробляючи відкриті ключі без жодного тиску часу.

Оновлення Taproot у 2021 році для Bitcoin погіршило цю ситуацію, як раніше повідомляв CoinDesk у вівторок. Taproot змінив спосіб роботи адрес так, що публічні ключі за замовчуванням відображаються в блокчейні, ненавмисно розширюючи пул гаманців, які можуть бути вразливими до майбутньої квантової атаки.

Саме біткойн-мережа продовжувала б працювати. Майнінг використовує інший алгоритм під назвою SHA-256, який квантові комп’ютери не можуть суттєво прискорити за допомогою поточних методів. Блоки все одно продовжували б створюватися.

Реєстр все одно існуватиме. Але якщо приватні ключі можна отримати з публічних ключів, гарантії власності, які роблять біткойн цінним, руйнуються. Будь-хто з відкритими ключами ризикує стати жертвою крадіжки, а інституційна довіра до моделі безпеки мережі руйнується.

Вирішенням є постквантова криптографія, яка замінює вразливі математичні методи на алгоритми, які квантові комп’ютери не здатні зламати. Ethereum витратив вісім років на підготовку до цієї міграції. Bitcoin навіть не розпочинав цей процес.