เอกสารของ Google Quantum AI ลดระยะเวลาภัยคุกคามจากควอนตัมต่อ Bitcoin และ Ethereum

เอกสารขาวที่เผยแพร่เมื่อวันที่ 30 มีนาคม โดย Google Quantum AI ได้ลดระยะเวลาที่คาดการณ์ไว้อย่างมากสำหรับคอมพิวเตอร์ควอนตัมในการทำลายการเข้ารหัสเส้นโค้งรีมานน์ที่ใช้ป้องกันบล็อกเชนหลักเกือบทุกแห่ง — และอุตสาหกรรมคริปโตกำลังเร่งประเมินผลกระทบ

เอกสาร นี้เขียนร่วมโดยนักวิจัยจากกูเกิล ไรอัน แบบบัช และฮาร์ตมุต เนเวน ร่วมกับนักวิจัยจาก Ethereum Foundation จัสติน เดรค และนักเข้ารหัสลับจากสแตนฟอร์ด แดน โบนี ซึ่งสรุปว่าการถอดรหัสปัญหาลอการิธึมแบบไม่ต่อเนื่องของเส้นโค้งรูปวงรี 256 บิต ที่ใช้เป็นพื้นฐานในการลงนามธุรกรรมของ Bitcoin และ Ethereum จะต้องใช้ควอนตัมบิตทางกายภาพน้อยกว่า 500,000 ตัว ซึ่งลดลงประมาณ 20 เท่าจากการประมาณการก่อนหน้าที่ระบุว่าขีดจำกัดอยู่ในระดับล้าน

“เราต้องการเพิ่มความตระหนักรู้เกี่ยวกับปัญหานี้และกำลังให้คำแนะนำแก่ชุมชนคริปโตเคอเรนซีเพื่อปรับปรุงความปลอดภัยและความมั่นคงก่อนที่จะสามารถทำได้” นักวิจัยจากกูเกิล เขียน ในโพสต์บล็อกที่เกี่ยวข้อง

เอกสารขาวแยกแยะระหว่างสามประเภทของการโจมตีด้วยควอนตัมบนบล็อกเชน แต่ละประเภทมุ่งเป้าไปที่จุดอ่อนที่ต่างกันในวัฏจักรของธุรกรรม

ก่อนอื่น การโจมตีแบบ "on-spend" มุ่งเป้าไปที่ธุรกรรมที่อยู่ระหว่างการส่ง เมื่อผู้ใช้ส่งธุรกรรม Bitcoin คีย์สาธารณะจะปรากฏขึ้นใน mempool ในสถาปัตยกรรมควอนตัมที่มีนาฬิกาเร็วโดยใช้คิวบิตแบบซูเปอร์คอนดักติ้งหรือโฟตอนิก บทความประเมินว่าการหาคีย์ส่วนตัวที่สอดคล้องกันอาจใช้เวลาประมาณเก้านาที เวลาโดยเฉลี่ยในการยืนยันบล็อกของ Bitcoin คือ 10 นาที ซึ่งให้ช่องว่างที่แคบแต่สามารถใช้งานได้แก่ผู้โจมตีในการลงนามธุรกรรมแทนที่ที่ผิดกฎหมายและข้ามหน้าธุรกรรมเดิม

ที่สอง การโจมตีแบบ "at-rest" มุ่งเป้าไปที่วอลเล็ตที่ไม่ได้ใช้งาน ซึ่งกุญแจสาธารณะได้ถูกเปิดเผยอย่างถาวรบนบล็อกเชนแล้ว ผลลัพธ์ของ Bitcoin ยุคแรกใช้สคริปต์ Pay-to-Public-Key ที่ฝังกุญแจสาธารณะโดยตรง และการใช้ซ้ำที่อยู่ได้เพิ่มความเสี่ยงนี้ขึ้น งานวิจัยนี้ประเมินว่ามี Bitcoin ประมาณ 6.9 ล้าน BTC ที่ขณะนี้มีความเสี่ยงต่อการโจมตีประเภทนี้ รวมถึงประมาณ 1.7 ล้านเหรียญจากยุคของซาโตชิ ต่างจากการโจมตีแบบ on-spend ไม่มีข้อจำกัดด้านเวลา — เครื่องควอนตัมใดๆ ก็สามารถทำงานผ่านการเข้ารหัสได้ตามจังหวะของตัวเอง

“การเร่งการขุดผ่านควอนตัมส่วนใหญ่เป็นเพียงการแสดงประกอบ ขณะที่การขโมยกุญแจส่วนตัวคือภัยคุกคามที่แท้จริงต่อการมีอยู่” ไคส์ แมนาย หัวหน้าฝ่ายผลิตภัณฑ์และผู้ร่วมก่อตั้ง TEN Protocol กล่าวกับ The Defiant ในเดือนกุมภาพันธ์

สุดท้าย การโจมตีแบบ "on-setup" ใช้กับพิธีกรรมทางคริปโตกราฟีที่เป็นรากฐานของระบบเช่น Data Availability Sampling ของ Ethereum แผนผังการผูกพันพหุนาม KZG ที่ใช้ในการตรวจสอบข้อมูล blob ของ Ethereum อาศัยการตั้งค่าที่เชื่อถือได้เพียงครั้งเดียวซึ่งสร้างค่าสเกลาร์ลับที่มีจุดประสงค์ให้ถูกลบออกหลังจากนั้น คอมพิวเตอร์ควอนตัมสามารถกู้คืนค่าลับนั้นจากพารามิเตอร์ที่มีอยู่สาธารณะ สร้างสิ่งที่เอกสารเรียกว่าช่องโหว่ถาวรที่สามารถใช้ซ้ำได้เพื่อปลอมแปลงหลักฐานการเข้าถึงข้อมูลโดยไม่ต้องใช้การคำนวณควอนตัมเพิ่มเติม

เอกสารขาวระบุอย่างน้อยห้าประเภทการโจมตีที่แตกต่างกันสำหรับ Ethereum เพียงอย่างเดียว

เหนือกว่าความเสี่ยงในระดับวอลเล็ต—เอกสารดังกล่าวระบุว่ามี ETH ประมาณ 20.5 ล้านตัวที่ถูกเก็บไว้ในบัญชีที่มีกุญแจสาธารณะที่เปิดเผย—กุญแจผู้ดูแลระบบซึ่งควบคุมอำนาจการสร้าง Stablecoin นั้นใช้ลายเซ็นที่มีช่องโหว่เดียวกัน เอกสารประเมินว่าสินทรัพย์ที่ถูกแปลงเป็นโทเค็นและ Stablecoin ประมาณ 200 พันล้านดอลลาร์สหรัฐบน Ethereum ขึ้นอยู่กับกุญแจผู้ดูแลระบบเหล่านี้

ชั้นความเห็นพ้องต้องกันแบบ proof-of-stake ของ Ethereum ต้องเผชิญกับความเสี่ยงของตนเองเอง ETH ที่ Stake ประมาณ 37 ล้านหน่วยได้รับการยืนยันผ่านลายเซ็นดิจิทัลที่เอกสารนี้พิจารณาว่ามีความเสี่ยงต่อควอนตัม เอกสารเตือนว่า หากมีการใช้ประโยชน์จากการรวมตัวกันของstaking ในกลุ่มขนาดใหญ่ ขีดจำกัดสำหรับการรบกวนความเห็นพ้องต้องกันจะแคบลงอย่างมาก

เครือข่ายเลเยอร์ 2 นำเสนอความเสี่ยงเพิ่มเติม เอกสารฉบับนี้ประมาณการว่ามี ETH อย่างน้อย 15 ล้าน ETH ที่ถูกเปิดเผยผ่าน rollups หลักและสะพานข้ามเครือข่าย ผู้เขียนระบุว่า StarkNet ซึ่งใช้การเข้ารหัสแบบแฮชแทนการเข้ารหัสแบบ elliptic-curve นั้นโดดเด่นในฐานะที่ปลอดภัยจากควอนตัม

เอกสารเตือนว่า "ชุมชนจะต้องเผชิญกับการตัดสินใจที่ยากลำบากและไม่เคยเกิดขึ้นมาก่อนเกี่ยวกับอนาคตของสินทรัพย์เหล่านี้ ซึ่งบังคับให้ต้องเลือกระหว่างความไม่สามารถเปลี่ยนแปลงได้ของสิทธิ์ในทรัพย์สินทางคริปโตกับความมั่นคงทางเศรษฐกิจของเครือข่าย"

ในสิ่งที่ผู้เขียนเอกสารอ้างว่าเป็นครั้งแรกในการวิเคราะห์เชิงควอนตัม โกเกิลไม่ได้เผยแพร่วงจรควอนตัมจริงที่ใช้เพื่อให้ได้การประมาณทรัพยากรที่ได้รับการปรับปรุง แทนที่จะเป็นเช่นนั้น ทีมงานได้รันตัวจำลองวงจรผ่าน SP1 Zero-Knowledge Virtual Machine และเผยแพร่หลักฐาน Groth16 zkSNARK ซึ่งอนุญาตให้บุคคลภายนอกยืนยันการลดลงของทรัพยากรที่อ้างอิงได้โดยไม่ต้องเข้าถึงเทคนิคเฉพาะที่ใช้ในการโจมตี

“เพื่อแบ่งปันการวิจัยนี้อย่างรับผิดชอบ เราได้ร่วมมือกับรัฐบาลสหรัฐฯ และพัฒนาวิธีการใหม่ในการอธิบายช่องโหว่เหล่านี้ผ่าน zero-knowledge proof เพื่อให้สามารถตรวจสอบได้โดยไม่ต้องเปิดเผยเส้นทางสำหรับผู้กระทำผิด” นักวิจัยเขียน

เอกสารฉบับนี้ออกมาก่อนหน้าหนึ่งสัปดาห์หลังจาก Ethereum Foundation เปิดตัวศูนย์ทรัพยากรสาธารณะที่รวมรวมงานวิจัยหลังควอนตัมตลอดแปดปีที่ผ่านมาเป็นแผนการย้ายแบบเป็นขั้นตอน แผนของ EF มุ่งเน้นการอัปเกรดโปรโตคอล Layer 1 หลักให้เสร็จสิ้นภายในปี 2029 ผ่านการ Fork แบบแข็งสี่ครั้งเรียงกัน โดยเริ่มจากการติดตั้งกุญแจสำรองที่ทนต่อควอนตัมให้กับตัวตรวจสอบ และค่อยๆ เปลี่ยนระบบลายเซ็น BLS ปัจจุบันด้วยทางเลือกที่อิงจากแฮช

Bitcoin's BIP-360 ซึ่งเสนอประเภทเอาต์พุต Pay-to-Merkle-Root ที่ต้านทานควอนตัมเพื่อแทนที่การใช้งานผ่านเส้นทางกุญแจของ Taproot ที่มีความเสี่ยง ได้รับการผสานเข้ากับที่เก็บ BIP อย่างเป็นทางการในเดือนกุมภาพันธ์ แต่ข้อเสนอฉบับนี้ไม่ได้แนะนำลายเซ็นหลังควอนตัม — มันแค่ลบการเปิดเผยกุญแจสาธารณะหนึ่งประเภทเท่านั้น การย้ายระบบเข้ารหัสอย่างสมบูรณ์จะต้องมีการเปลี่ยนแปลงโปรโตคอลที่ใหญ่กว่านี้มาก

Google เองได้ ตั้งกำหนดเวลาปี 2029 เพื่อโอนย้ายบริการการรับรองตัวตนและลายเซ็นดิจิทัลของตนเองไปยังการเข้ารหัสหลังควอนตัม

อาจเป็นผลกระทบทางการเมืองที่มีความรุนแรงที่สุดของเอกสารนี้ ซึ่งเกี่ยวข้องกับสินทรัพย์ที่ไม่สามารถย้ายได้ — สกุลเงินที่ถูกล็อกในวอลเล็ตที่กุญแจส่วนตัวสูญหาย รวมถึง BTC ประมาณ 1.1 ล้านเหรียญของซาโตชิ นาคาโมโตะที่อยู่ในผลลัพธ์ P2PK ยุคแรก เงินเหล่านี้ไม่สามารถเคลื่อนย้ายไปยังที่อยู่ที่ปลอดภัยจากควอนตัมได้ด้วยความสมัครใจ

เอกสารฉบับนี้แนะนำกรอบแนวคิด “การกู้คืนดิจิทัล” โดยเปรียบเทียบกับกฎหมายการกู้คืนเรือจม 作为การจัดการเชิงธรรมาภิบาลที่อาจใช้ได้สำหรับการกู้คืนทรัพย์สินเหล่านี้ภายใต้สภาพแวดล้อมควอนตัม การตัดสินใจเชิงนโยบายที่อุตสาหกรรมต้องเผชิญมีความชัดเจน: ควรดำเนินการ hard fork และทำลายเหรียญที่ยังไม่ได้ย้าย กำหนดเวลาสำหรับการย้ายพร้อมช่วงเวลาการถอนที่จำกัดอัตรา หรืออนุญาตให้ผู้ที่มีความสามารถด้านควอนตัมอ้างสิทธิ์ในทรัพย์สินที่ไม่ได้ใช้งาน

เอกสารฉบับนี้ไม่ได้ระบุว่าฮาร์ดแวร์ควอนตัมในปัจจุบันสามารถดำเนินการโจมตีเหล่านี้ได้ในวันนี้ — โปรเซสเซอร์ที่ทันสมัยที่สุดของ Google ชื่อ Willow ทำงานด้วยควอนตัมบิตทางกายภาพเพียง 105 บิต ตามที่ The Defiant ระบุ เมื่อเปิดตัวชิปนี้ในเดือนธันวาคม 2024

แต่ทิศทางของการปรับปรุงคือข้อโต้แย้งหลัก: การประมาณทรัพยากรสำหรับการถอดรหัสคริปโตกราฟีเส้นโค้งเชิงอนุพันธ์ลดลงประมาณหนึ่งลำดับขนาดจากการปรับปรุงอัลกอริทึมเพียงอย่างเดียว โดยไม่ขึ้นกับการขยายตัวของฮาร์ดแวร์

สำหรับ Bitcoin และ Ethereum — สองเครือข่ายที่ครองสัดส่วนทุนตลาดคริปโตส่วนใหญ่ — คำถามไม่ได้อยู่ที่ว่าควรย้ายหรือไม่ แต่อยู่ที่ว่ากระบวนการกำกับดูแลที่กำหนดโปรโตคอลเหล่านี้จะเคลื่อนไหวเร็วพอหรือไม่

“เอกสารฉบับนี้โต้แย้งข้อโต้แย้งทั้งหมดที่อุตสาหกรรมคริปโตใช้เพื่อปฏิเสธภัยคุกคามจากควอนตัม” อเล็กซ์ พรูเดน ซีอีโอและผู้ร่วมก่อตั้ง Project Eleven บริษัทที่เชี่ยวชาญด้านการย้ายไปใช้ระบบหลังควอนตัม กล่าวกับ The Defiant ผ่านอีเมล

“วิธีการป้องกันเครือข่ายเหล่านี้มีอยู่แล้ว; คำถามคือ ผู้เล่นอื่นๆ ในอุตสาหกรรมและนักพัฒนาโปรโตคอลหลักจะเริ่มสร้างตอนนี้หรือรอและรับผลลัพธ์ที่ตามมา” เขากล่าวสรุป

บทความนี้เขียนขึ้นด้วยความช่วยเหลือของระบบ AI เรื่องทั้งหมดของเราได้รับการคัดสรร แก้ไข และตรวจสอบข้อเท็จจริงโดยมนุษย์