Белая книга, опубликованная 30 марта Google Quantum AI, значительно сократила прогнозируемый срок, необходимый квантовым компьютерам для взлома эллиптической криптографии с кривыми, обеспечивающей безопасность практически всех основных блокчейнов — и криптоиндустрия спешит оценить последствия.
Статья paper была соавторством исследователей Google Райана Баббуша и Хартмута Невена, а также исследователя Ethereum Foundation Джастин Дрейка и криптографа из Стэнфорда Дэна Боне. В ней делается вывод, что для взлома задачи дискретного логарифма на эллиптической кривой с 256-битной защитой, лежащей в основе подписей транзакций Bitcoin и Ethereum, потребуется менее 500 000 физических кьюбитов — примерно в 20 раз меньше, чем предыдущие оценки, которые помещали порог на уровне миллионов.
«Мы хотим повысить осведомленность об этой проблеме и предоставляем сообществу криптовалют рекомендации по улучшению безопасности и стабильности до того, как это станет возможным», — написали исследователи Google wrote в сопроводительном блоге.
Три класса атак
В белой книге выделяются три класса квантовых атак на блокчейны, каждая из которых нацелена на разные точки уязвимости в жизненном цикле транзакций.
Сначала атаки «on-spend» нацелены на транзакции в процессе передачи. Когда пользователь транслирует транзакцию bitcoin, открытый ключ становится видимым в mempool. На быстродействующей квантовой архитектуре, использующей сверхпроводящие или фотонные кубиты, в статье оценивается, что получение соответствующего закрытого ключа может занять около девяти минут. Среднее время подтверждения блока bitcoin составляет 10 минут, что даёт атакующему узкий, но реальный временной интервал для подписания мошеннической заменяющей транзакции и опережения оригинальной.
Во-вторых, атаки «в состоянии покоя» нацелены на неактивные кошельки, где публичные ключи уже постоянно раскрыты в блокчейне. Ранние выходы Bitcoin использовали скрипты Pay-to-Public-Key, которые напрямую включали публичные ключи, а повторное использование адресов усилило эту уязвимость. Согласно оценкам статьи, примерно 6,9 млн BTC в настоящее время уязвимы к этому типу атак, включая около 1,7 млн монет из эпохи Сатоши. В отличие от атак при трате, здесь нет временных ограничений — любой квантовый компьютер может работать с криптографией в своем собственном темпе.
«Мининг-ускорение с помощью квантовых технологий — в основном побочное явление. Реальной экзистенциальной угрозой является кража частных ключей», — сказал Кайс Манай, главный продуктовый офицер и сооснователь TEN Protocol, told The Defiant в феврале.
Наконец, атаки «на настройке» применяются специально к криптографическим церемониям, лежащим в основе систем, таких как выборка доступности данных Ethereum. Схема полиномиальной обязательства KZG, используемая в проверке данных blob в Ethereum, опирается на одноразовую доверенную настройку, которая генерирует секретный скаляр, предназначенный для уничтожения после этого. Квантовый компьютер может восстановить этот секрет из публично доступных параметров, создав то, что в статье называется постоянной, многократно используемой уязвимостью, позволяющей подделывать доказательства доступности данных без дополнительных квантовых вычислений.
Экспозиция ethereum
Белая книга выделяет как минимум пять различных классов атак только для ethereum.
За пределами рисков на уровне кошелька — в работе упоминается примерно 20,5 миллиона ETH, хранящихся на аккаунтах с открытыми ключами, подверженными экспозиции — административные ключи, управляющие полномочиями на создание стейблкоинов, используют те же уязвимые подписи. В работе оценивается, что примерно $200 миллиардов стейблкоинов и токенизированных активов на ethereum зависят от этих административных ключей.
Консенсусный слой ethereum на основе доказательства участия сталкивается со своей собственной уязвимостью. Примерно 37 миллионов стейкнутых ETH аутентифицируются с помощью цифровых подписей, которые, согласно статье, уязвимы перед квантовыми атаками. Статья предупреждает, что если использовать концентрацию стейкинга в крупных пулах, порог для нарушения консенсуса значительно снижается.
Сети уровня 2 представляют дополнительный риск. В статье оценивается, что по крайней мере 15 миллионов ETH на основных роллапах и мостах между цепочками подвержены риску. Авторы отмечают, что StarkNet, использующий хеширование вместо криптографии на эллиптических кривых, выделяется как квантово-безопасный.
Сообщество вскоре столкнется с трудными, беспрецедентными решениями, касающимися судьбы этих активов, вынуждая делать компромиссы между неизменностью криптографических прав собственности и экономической стабильностью сети, — предупреждает статья.
Раскрытие с использованием доказательства с нулевым разглашением
В том, что авторы статьи представляют как первое в квантовом криптоанализе, Google не опубликовал фактические квантовые схемы, использованные для достижения своих оптимизированных оценок ресурсов. Вместо этого команда запустила свой симулятор схем через SP1 Zero-Knowledge Virtual Machine и опубликовала доказательство Groth16 zkSNARK, позволяющее третьим сторонам проверить заявленное снижение ресурсов без доступа к конкретным методам, необходимым для осуществления атаки.
«Чтобы ответственно поделиться этим исследованием, мы взаимодействовали с правительством США и разработали новый метод описания этих уязвимостей с использованием доказательства с нулевым разглашением, чтобы их можно было проверить, не предоставляя карту действий для злоумышленников», — написали исследователи.
Бумага была опубликована через неделю после того, как Ethereum Foundation запустила общественный ресурсный центр, объединивший восемь лет исследований в области постквантовой криптографии в поэтапную дорожную карту миграции. План EF направлен на обновления основного протокола Layer 1 к 2029 году через четыре последовательных форка, начиная с оснащения валидаторов квантово-устойчивыми резервными ключами и постепенной замены текущей схемы подписи BLS на хеш-ориентированные альтернативы.
Bitcoin's BIP-360, предлагающий квантово-устойчивый тип вывода Pay-to-Merkle-Root для замены уязвимого способа трат по ключевому пути Taproot, был объединён в официальный репозиторий BIP в феврале. Однако это предложение не вводит постквантовые подписи — оно лишь устраняет одну категорию раскрытия открытых ключей. Полная криптографическая миграция потребует гораздо более масштабных изменений протокола.
Сам Google установил дедлайн 2029 года для перехода своих служб аутентификации и цифровых подписей на постквантовую криптографию.
Проблема спящей монеты
Возможно, самым политически заряженным следствием статьи является то, что активы, которые нельзя мигрировать — монеты, заблокированные в кошельках, чьи закрытые ключи утеряны, включая предполагаемые 1,1 миллиона BTC Сатоши Накамото в ранних выходах P2PK. Эти монеты не могут добровольно быть перемещены на квантово-безопасные адреса.
Статья представляет концепцию «цифрового спасения», основанную на аналогии с морским спасательным правом, как потенциальную модель управления для решения вопроса квантового восстановления этих активов. Перед отраслью стоят четкие варианты политики: провести хард-форк и сжечь немигрировавшие монеты, установить сроки миграции с ограниченными по скорости периодами вывода или позволить субъектам, обладающим квантовыми технологиями, претендовать на бездействующие активы.
Что дальше
В статье не утверждается, что современные квантовые аппаратные средства могут реализовать эти атаки сегодня — самый продвинутый процессор Google, Willow, работает всего с 105 физическими кубитами, как The Defiant отметил при анонсе чипа в декабре 2024 года.
Но основным аргументом является траектория оптимизации: оценки ресурсов для взлома криптографии на основе эллиптических кривых снизились примерно на порядок исключительно за счет алгоритмических улучшений, независимо от масштабирования аппаратного обеспечения.
Для биткоина и ethereum — двух сетей, владеющих подавляющей частью рыночной капитализации криптовалют — вопрос уже не в том, стоит ли мигрировать, а в том, успеют ли процессы управления, определяющие эти протоколы, двигаться достаточно быстро.
«Этот документ напрямую опровергает все аргументы, которые криптоиндустрия использовала для игнорирования квантовой угрозы», — сказал Алекс Прюден, генеральный директор и сооснователь Project Eleven, компании по миграции после квантовой эры, в письме The Defiant.
Решение для защиты этих сетей существует; вопрос в том, начнут ли остальные участники отрасли и разработчики основных протоколов строить его сейчас или подождут и понесут последствия», — заключил он.
Эта статья была написана с использованием AI-воркфлоу. Все наши материалы отбираются, редактируются и проверяются на достоверность человеком.