Google量子AI論文がBitcoinとEthereumの量子脅威タイムラインを短縮

3月30日にGoogle Quantum AIが公開した白書により、ほぼすべての主要なブロックチェーンを保護する楕円曲線暗号を量子コンピュータが破るまでの推定期間が劇的に短縮されました。そして、暗号業界はその影響を評価するために動揺しています。

論文は、Googleの研究者であるライアン・バブッシュとハートムート・ネーベン、イーサリアム財団の研究者であるジャスティン・ドレイク、スタンフォード大学の暗号学者であるダン・ボネーによって共同で執筆された。この論文は、BitcoinおよびEthereumのトランザクション署名を支える256ビット楕円曲線離散対数問題を解くには、50万個未満の物理的キュービットで十分であり、以前の推定値（数百万個のキュービットが必要とされていた）と比較して約20分の1に削減されることを結論づけている。

「この問題に対する認識を高めるとともに、その前にセキュリティと安定性を向上させるための推奨事項を仮想通貨コミュニティに提供しています」と、Googleの研究者は付随するブログ投稿で記した。

白書は、トランザクションライフサイクルの異なる脆弱性を標的とするブロックチェーンに対する量子攻撃の3つのクラスを区別しています。

まず、「on-spend」攻撃は、伝送中のトランザクションを標的とします。ユーザーがBitcoinトランザクションをブロードキャストすると、公開鍵はmempoolで可視化されます。超伝導または光子量子ビットを用いた高速クロック量子アーキテクチャでは、対応する秘密鍵を導出するのに約9分かかると論文は推定しています。Bitcoinの平均ブロック確認時間は10分であるため、攻撃者はオリジナルのトランザクションを前走する形で不正な置換トランザクションに署名するための狭いが実行可能な時間窓を得ることになります。

次に、「at-rest」攻撃は、公開鍵が既にチェーン上に永続的に露出している非活動的なウォレットを標的とします。初期のBitcoin出力は、公開鍵を直接埋め込むPay-to-Public-Keyスクリプトを使用しており、アドレスの再利用により露出が拡大しました。この論文では、現在約690万BTCがこの種の攻撃に脆弱であると推定されており、そのうち約170万BTCがサトシ時代のコインです。「on-spend」攻撃とは異なり、時間制約はなく、任意の量子マシンは暗号を自身のペースで解読できます。

「量子によるマイニング加速は主に副次的な話にすぎない。真正的な存在の脅威は秘密鍵の盗難である」と、TEN ProtocolのCPOで共同設立者であるカイ・マナイは2月、The Defiantに語った。

最後に、「on-setup」攻撃は、EthereumのData Availability Samplingのようなシステムを支える暗号的儀式に特有です。Ethereumのblobデータ検証で使用されるKZG多項式コミットメントスキームは、秘密のスカラーを生成する一回限りの信頼されたセットアップに依存しており、その秘密はその後破棄されることを意図しています。量子コンピュータは、公開されているパラメータからその秘密を回復でき、論文が「永続的で再利用可能な攻撃」と呼ぶものを作り出し、さらなる量子計算なしでデータ可用性証明を偽造することが可能になります。

白書は、Ethereumだけで少なくとも5つの異なる攻撃クラスを特定しています。

ウォレットレベルのリスクを超えて、この論文は、公開鍵が露出した口座に保有されている約2,050万ETHを指摘している。ステーブルコインの発行権を管理する管理者鍵も、同様に脆弱な署名に依存している。この論文は、Ethereum上に存在する約2,000億ドルのステーブルコインおよびトークン化資産がこれらの管理者鍵に依存していると推定している。

Ethereumのステーク証明コンセンサス層は、独自のリスクを抱えています。論文によると、約3700万ETHのステークが、量子攻撃に脆弱であるとされるデジタル署名によって認証されています。論文は、大規模なプールへのステーク集中が悪用された場合、コンセンサスの破壊に必要な閾値が大幅に低下すると警告しています。

レイヤー2ネットワークは追加のリスクを伴います。この論文は、主要なロールアップとクロスチェーンブリッジを通じて少なくとも1500万ETHが露出していると推定しています。著者は、ハッシュベースの暗号方式を採用し、楕円曲線暗号を使用しないStarkNetが量子安全である点で際立っていると指摘しています。

この論文は、「コミュニティは、これらの資産の運命に関する困難で前例のない決定を迫られ、暗号財産権の不変性とネットワークの経済的安定性の間でトレードオフを余儀なくされる」と警告している。

論文の著者たちが量子暗号解析における初の試みと位置づける中、Googleは、最適化されたリソース推定を達成するために使用した実際の量子回路を公開しなかった。代わりに、同チームはその回路シミュレータをSP1ゼロ知識仮想マシンで実行し、Groth16 zkSNARK証明を公開することで、攻撃を実行するために必要な特定の手法にアクセスすることなく、主張されたリソース削減を第三者が検証可能にした。

「この研究を責任を持って共有するため、我々は米国政府と協力し、悪意のある行動者に対する道筋を提供することなくこれらの脆弱性を検証できる新しい方法としてゼロ知識証明を用いて開発しました」と研究者は述べました。

この論文は、Ethereum Foundationが量子耐性研究の8年分をまとめた段階的な移行ロードマップを含む公開リソースハブを立ち上げてから1週間後に発表された。EFの計画は、2029年までにコアなLayer 1プロトコルのアップグレードを目標とし、最初にバリデーターに量子耐性のバックアップキーを導入し、その後段階的に現在のBLS署名方式をハッシュベースの代替方式に置き換えるという4つの連続したハードフォークを経て実現する。

BitcoinのBIP-360は、Taprootの脆弱なキーパス支払いを量子耐性のあるPay-to-Merkle-Root出力タイプで置き換えることを提案しており、2月に公式BIPリポジトリにマージされました。しかし、この提案はポスト量子署名を導入するものではなく、公開鍵の露出カテゴリを1つ削除するだけです。完全な暗号学的移行には、はるかに大きなプロトコル変更が必要です。

Google自体は、認証およびデジタル署名サービスを量子耐性暗号に移行するための締切を2029年と設定しています。

この論文が示す最も政治的に敏感な含意の一つは、移行できない資産、すなわち秘密鍵を失ったウォレットにロックされているコイン、サトシ・ナカモトが保有していると推定される早期P2PK出力内の約110万BTCなどです。これらのコインは、量子耐性アドレスへ自発的に移動することはできません。

この論文は、量子による資産の回復に対処するためのガバナンスモデルとして、海事救助法に類似した「デジタルサルベージ」フレームワークを提案している。業界が直面する政策的選択肢は明確である：移行されていないコインをハードフォークして消去するか、移行期限を設けて引き出し制限期間を設けるか、量子対応の参加者に休眠資産の主張を許可するかである。

この論文は、現在の量子ハードウェアがこれらの攻撃を実行できると主張しているわけではありません。Googleの最も進んだプロセッサであるWillowは、2024年12月にチップが発表された際にThe Defiantが指摘したように、わずか105個の物理的キュービットで動作しています。

しかし、最適化のトレジャクトリーが中心的な主張である：アルゴリズムの改善のみにより、楕円曲線暗号を破るためのリソース推定は、ハードウェアのスケーリングとは無関係に約1桁低下した。

BitcoinとEthereum——暗号資産市場資本総額の大部分を占める2つのネットワーク——にとって、移行するかどうかという問題ではなく、これらのプロトコルを定義するガバナンスプロセスが十分な速さで進めるかどうかが問題である。

「この論文は、暗号通貨業界が量子の脅威を無視するために用いてきたあらゆる主張を直接反論します，」と、ポスト量子移行企業Project ElevenのCEO兼共同設立者であるアレックス・プリューデン氏は、The Defiantにメールで語りました。

「これらのネットワークを保護するための解決策は存在する。問題は、業界の他の参加者やコアプロトコル開発者が今すぐ行動を開始するか、それとも結果を受容するまで待つかということだ」と彼は結論付けた。

この記事はAIワークフローの支援を受けて作成されました。すべての記事は人間がキュレーション、編集、事実確認を行っています。