Un whitepaper publicado el 30 de marzo por Google Quantum AI ha comprimido drásticamente el plazo estimado para que las computadoras cuánticas rompan la criptografía de curva elíptica que protege prácticamente cada cadena de bloques importante — y la industria cripto está tratando de evaluar las consecuencias.
El paper fue coescrito por los investigadores de Google Ryan Babbush y Hartmut Neven, junto con el investigador de la Ethereum Foundation Justin Drake y el criptógrafo de Stanford Dan Boneh. Concluye que romper el problema del logaritmo discreto de curva elíptica de 256 bits que sustenta las firmas de transacciones de bitcoin y ethereum requeriría menos de 500.000 qubits físicos, aproximadamente una reducción de 20 veces respecto a estimaciones anteriores que situaban el umbral en millones.
“Queremos generar conciencia sobre este problema y proporcionar a la comunidad de criptomonedas recomendaciones para mejorar la seguridad y la estabilidad antes de que esto sea posible”, escribieron los investigadores de Google wrote en una entrada de blog adjunta.
Tres clases de ataques
El whitepaper distingue entre tres clases de ataques cuánticos sobre cadenas de bloques, cada una dirigida a diferentes puntos de vulnerabilidad en el ciclo de vida de la transacción.
Primero, los ataques "on-spend" apuntan a transacciones en tránsito. Cuando un usuario transmite una transacción de bitcoin, la clave pública se vuelve visible en el mempool. En una arquitectura cuántica de reloj rápido que utiliza qubits superconductores o fotónicos, el artículo estima que derivar la clave privada correspondiente podría tomar aproximadamente nueve minutos. El tiempo promedio de confirmación de bloque de bitcoin es de 10 minutos, lo que brinda a un atacante una ventana estrecha pero viable para firmar una transacción de reemplazo fraudulenta y adelantarse a la original.
En segundo lugar, los ataques "en reposo" apuntan a monederos inactivos donde las claves públicas ya están expuestas permanentemente en la cadena. Las salidas tempranas de bitcoin utilizaban scripts Pay-to-Public-Key que incrustaban las claves públicas directamente, y la reutilización de direcciones ha agravado la exposición. El artículo estima que aproximadamente 6,9 millones de BTC actualmente son vulnerables a este tipo de ataque, incluyendo alrededor de 1,7 millones de monedas de la era Satoshi. A diferencia de los ataques durante el gasto, no hay restricción de tiempo: cualquier máquina cuántica podría trabajar a través de la criptografía a su propio ritmo.
"La aceleración de la minería mediante tecnología cuántica es en su mayoría un espectáculo secundario. El robo de claves privadas es el verdadero vector existencial," dijo Cais Manai, CPO y cofundador de TEN Protocol, told The Defiant en febrero.
Finalmente, los ataques de "on-setup" se aplican específicamente a las ceremonias criptográficas que sustentan sistemas como el Muestreo de Disponibilidad de Datos de Ethereum. El esquema de compromiso polinomial KZG utilizado en la verificación de los datos de blob de Ethereum depende de una configuración confiable de un solo uso que genera un escalar secreto, el cual está destinado a ser destruido posteriormente. Una computadora cuántica podría recuperar ese secreto a partir de parámetros disponibles públicamente, creando lo que el artículo denomina una explotación permanente y reutilizable que puede falsificar pruebas de disponibilidad de datos sin necesidad de más cálculos cuánticos.
Exposición de ethereum
El whitepaper identifica al menos cinco clases distintas de ataques solo para Ethereum.
Más allá del riesgo a nivel de monedero: el documento señala aproximadamente 20,5 millones de ETH mantenidos en cuentas con claves públicas expuestas; las claves de administración que rigen la autoridad de emisión de stablecoins dependen de las mismas firmas vulnerables. El documento estima que aproximadamente $200 mil millones en stablecoins y activos tokenizados en ethereum dependen de estas claves de administración.
La capa de consenso de prueba de participación de ethereum enfrenta su propia exposición. Aproximadamente 37 millones de ETH stakes están autenticados mediante firmas digitales que el artículo considera vulnerables a la computación cuántica. El artículo advierte que si se explota la concentración de stake en grandes pools, el umbral para interrumpir el consenso se reduce significativamente.
Las redes de capa 2 presentan riesgos adicionales. El documento estima que al menos 15 millones de ETH en los principales rollups y puentes intercadena están expuestos. Los autores señalan que StarkNet, que utiliza criptografía basada en hashes en lugar de criptografía de curva elíptica, destaca como segura frente a la computación cuántica.
"La comunidad pronto enfrentará decisiones difíciles e inéditas sobre el destino de estos activos, obligando a elegir entre la inmutabilidad de los derechos de propiedad criptográfica y la estabilidad económica de la red", advierte el documento.
Divulgación mediante prueba de conocimiento cero
En lo que los autores del artículo presentan como un primer caso en criptoanálisis cuántico, Google no publicó los circuitos cuánticos reales utilizados para lograr sus estimaciones optimizadas de recursos. En su lugar, el equipo ejecutó su simulador de circuitos a través de la Máquina Virtual Zero-Knowledge SP1 y publicó una prueba Groth16 zkSNARK, permitiendo a terceros verificar las reducciones de recursos reclamadas sin acceder a las técnicas específicas necesarias para ejecutar un ataque.
“Para compartir esta investigación de manera responsable, nos coordinamos con el gobierno de los Estados Unidos y desarrollamos un nuevo método para describir estas vulnerabilidades mediante una prueba de conocimiento cero, para que puedan verificarse sin proporcionar un mapa de ruta para actores malintencionados”, escribieron los investigadores.
El documento llega una semana después de que el Ethereum Foundation lanzara un centro de recursos público que concentra ocho años de investigación post-cuántica en una hoja de ruta de migración por fases. El plan de la EF busca actualizaciones clave del protocolo de Capa 1 para 2029 mediante cuatro bifurcaciones duras secuenciales, comenzando con la dotación de validadores con claves de respaldo resistentes a la computación cuántica y reemplazando progresivamente el esquema actual de firmas BLS con alternativas basadas en funciones hash.
El BIP-360 de bitcoin, que propone un tipo de salida Pay-to-Merkle-Root resistente a la computación cuántica para reemplazar el gasto por ruta de clave vulnerable de Taproot, fue integrado en el repositorio oficial de BIP en febrero. Pero la propuesta no introduce firmas post-cuánticas; solo elimina una categoría de exposición de clave pública. Una migración criptográfica completa requeriría un cambio de protocolo mucho más amplio.
Google mismo ha establecido una fecha límite para 2029 para migrar sus propios servicios de autenticación y firma digital a la criptografía post-cuántica.
Dilema de la moneda inactiva
Quizás la implicación más cargada políticamente del artículo involucra activos que no pueden migrarse: monedas bloqueadas en monederos cuyas claves privadas se perdieron, incluyendo los aproximadamente 1.1 millones de BTC de Satoshi Nakamoto en salidas P2PK tempranas. Estas monedas no pueden moverse voluntariamente a direcciones seguras frente a la computación cuántica.
El artículo presenta un marco de "rescate digital", tomando una analogía con la ley de rescate marítimo, como un modelo de gobernanza potencial para abordar la recuperación cuántica de estos activos. Las decisiones políticas que enfrenta la industria son claras: ya sea realizar una bifurcación dura y quemar las monedas no migradas, imponer plazos de migración con períodos de retiro limitados por tasa, o permitir que actores equipados con tecnología cuántica reclamen activos inactivos.
¿Qué sigue?
El artículo no afirma que el hardware cuántico actual pueda ejecutar estos ataques hoy en día: el procesador más avanzado de Google, Willow, opera con solo 105 qubits físicos, como The Defiant noted cuando se anunció el chip en diciembre de 2024.
Pero la trayectoria de optimización es el argumento central: las estimaciones de recursos para romper la criptografía de curva elíptica han disminuido aproximadamente en una orden de magnitud únicamente mediante mejoras algorítmicas, independientemente del escalado de hardware.
Para Bitcoin y Ethereum — las dos redes que detentan la gran mayoría de la capitalización del mercado de criptomonedas — la pregunta ya no es si migrar, sino si los procesos de gobernanza que definen estos protocolos pueden avanzar lo suficientemente rápido.
“Este documento refuta directamente cada argumento que la industria cripto ha utilizado para descartar la amenaza cuántica”, dijo Alex Pruden, CEO y cofundador de Project Eleven, una empresa de migración post-cuántica, a The Defiant por correo electrónico.
“La solución para proteger estas redes existe; la pregunta es si el resto de la industria y los desarrolladores principales de los protocolos comienzan a construir ahora o esperan y sufren las consecuencias”, concluyó.
Este artículo fue escrito con la ayuda de flujos de trabajo de IA. Todos nuestros artículos son curados, editados y verificados por un humano.