Komputery kwantowe zdolne do złamania blockchainu Bitcoin nie istnieją dzisiaj. Deweloperzy jednak już rozważają falę ulepszeń mających na celu zbudowanie obrony przed potencjalnym zagrożeniem, i słusznie, ponieważ zagrożenie nie jest już hipotetyczne.
W tym tygodniu Google opublikowało badania sugerujące, że wystarczająco potężny komputer kwantowy mógłby złamać podstawową kryptografię Bitcoina w niecałe dziewięć minut — o minutę szybciej niż średni czas rozliczenia bloku Bitcoin. Niektórzy analitycy uważają, że takie zagrożenie może stać się rzeczywistością do 2029 roku.
Stawka jest wysoka: Około 6,5 miliona tokenów bitcoin, warte setki miliardów dolarów, znajduje się na adresach, które komputer kwantowy mógłby bezpośrednio zaatakować. Niektóre z tych monet należą do pseudonimowego twórcy Bitcoina, Satoshi Nakamoto. Poza tym, potencjalne naruszenie zaszkodziłoby podstawowym zasadom Bitcoina – „zaufaj kodowi" i „solidny pieniądz".
Oto jak wygląda zagrożenie, wraz z propozycjami rozważanymi w celu jego złagodzenia.
Dwa sposoby, w jakie maszyna kwantowa mogłaby zaatakować Bitcoin
Najpierw zrozumiemy podatność, zanim omówimy propozycje.
Bezpieczeństwo Bitcoina opiera się na jednokierunkowej relacji matematycznej. Kiedy tworzysz portfel, generowany jest klucz prywatny i tajny numer, z którego wyprowadzany jest klucz publiczny.
Wydawanie tokenów bitcoin wymaga udowodnienia własności klucza prywatnego, nie poprzez jego ujawnienie, ale poprzez użycie go do wygenerowania podpisu kryptograficznego, który sieć może zweryfikować.
System ten jest niezawodny, ponieważ współczesne komputery potrzebowałyby miliardów lat, aby złamać kryptografię krzywej eliptycznej — konkretnie Elliptic Curve Digital Signature Algorithm (ECDSA) — aby odtworzyć klucz prywatny z klucza publicznego. Dlatego mówi się, że blockchain jest obliczeniowo niemożliwy do naruszenia.
Ale przyszły komputer kwantowy może zmienić tę jednokierunkową ulicę w dwukierunkową, wyprowadzając twój klucz prywatny z klucza publicznego i opróżniając twoje monety.
Klucz publiczny jest ujawniany na dwa sposoby: Z monet stojących bezczynnie w łańcuchu (atak długoterminowy) lub monet w ruchu lub transakcji oczekujących w puli pamięci (atak krótkoterminowy).
Adresy Pay-to-public key (P2PK) (używane przez Satoshi i wczesnych górników) oraz Taproot (P2TR), obecny format adresu aktywowany w 2021 roku, są podatne na atak długoterminowy. Monety na tych adresach nie muszą się poruszać, aby ujawnić swoje klucze publiczne; ujawnienie już nastąpiło i jest czytelne dla każdego na ziemi, w tym przyszłego atakującego kwantowego. Około 1,7 miliona BTC znajduje się na starych adresach P2PK — w tym monety Satoshi.
Krótkoterminowe ujawnienie jest związane z mempool — poczekalnią niepotwierdzonych transakcji. Podczas gdy transakcje czekają tam na włączenie do bloku, twój klucz publiczny i podpis są widoczne dla całej sieci.
Komputer kwantowy mógłby uzyskać dostęp do tych danych, ale miałby tylko krótkie okno — zanim transakcja zostanie potwierdzona i zakopana pod dodatkowymi blokami — aby wyprowadzić odpowiedni klucz prywatny i na nim działać.
Inicjatywy
BIP 360: Usuwanie klucza publicznego
Jak wspomniano wcześniej, każdy nowy adres Bitcoin utworzony przy użyciu Taproot dzisiaj trwale ujawnia klucz publiczny w łańcuchu, dając przyszłemu komputerowi kwantowemu cel, który nigdy nie znika.
Bitcoin Improvement Proposal (BIP) 360 usuwa klucz publiczny trwale osadzony w łańcuchu i widoczny dla wszystkich, wprowadzając nowy typ wyjścia o nazwie Pay-to-Merkle-Root (P2MR).
Przypomnijmy, że komputer kwantowy bada klucz publiczny, odtwarza dokładny kształt klucza prywatnego i fałszuje działającą kopię. Jeśli usuniemy klucz publiczny, atak nie ma z czego pracować. Tymczasem wszystko inne, w tym płatności Lightning, konfiguracje wielopodpisowe i inne funkcje Bitcoina, pozostaje takie samo.
Jednak, jeśli zostanie wdrożona, ta propozycja chroni tylko nowe monety w przyszłości. 1,7 miliona BTC już znajdujących się na starych ujawnionych adresach to odrębny problem, którego dotyczą inne propozycje poniżej.
SPHINCS+ / SLH-DSA: Postkwantowe podpisy oparte na funkcjach skrótu
SPHINCS+ to postkwantowy schemat podpisu zbudowany na funkcjach skrótu, unikający zagrożeń kwantowych stojących przed kryptografią krzywej eliptycznej używaną przez Bitcoin. Podczas gdy algorytm Shora zagraża ECDSA, projekty oparte na funkcjach skrótu, takie jak SPHINCS+, nie są postrzegane jako podobnie podatne.
Schemat został znormalizowany przez National Institute of Standards and Technology (NIST) w sierpniu 2024 roku jako FIPS 205 (SLH-DSA) po latach publicznej oceny.
Kompromisem dla bezpieczeństwa jest rozmiar. Podczas gdy obecne podpisy bitcoin mają 64 bajty, SLH-DSA mają 8 kilobajtów (KB) lub więcej. W związku z tym przyjęcie SLH-DSA znacznie zwiększyłoby zapotrzebowanie na przestrzeń blokową i podniosłoby opłaty transakcyjne.
W rezultacie propozycje takie jak SHRIMPS (inny postkwantowy schemat podpisu oparty na funkcjach skrótu) i SHRINCS zostały już wprowadzone w celu zmniejszenia rozmiarów podpisów bez poświęcania bezpieczeństwa postkwantowego. Oba są zbudowane na SHPINCS+, jednocześnie dążąc do zachowania jego gwarancji bezpieczeństwa w bardziej praktycznej, wydajnej przestrzennie formie odpowiedniej do użytku w blockchainie.
Schemat Commit/Reveal Tadge'a Dryji: Hamulec awaryjny dla Mempool
Ta propozycja, soft fork zasugerowany przez współtwórcę Lightning Network Tadge'a Dryjię, ma na celu ochronę transakcji w mempool przed przyszłym atakującym kwantowym. Robi to poprzez rozdzielenie wykonania transakcji na dwie fazy: Commit i Reveal.
Wyobraź sobie informowanie kontrahenta, że wyślesz mu e-mail, a następnie faktyczne wysłanie e-maila. To pierwsze to faza commit, a to drugie to reveal.
W blockchainie oznacza to, że najpierw publikujesz zapieczętowany odcisk palca swojego zamiaru — tylko skrót, który nic nie ujawnia o transakcji. Blockchain czasowo oznacza ten odcisk palca na stałe. Później, kiedy nadajesz faktyczną transakcję, twój klucz publiczny staje się widoczny — i tak, komputer kwantowy obserwujący sieć mógłby z niego wyprowadzić twój klucz prywatny i sfałszować konkurencyjną transakcję, aby ukraść twoje środki.
Ale ta sfałszowana transakcja jest natychmiast odrzucana. Sieć sprawdza: czy ta transakcja ma wcześniejsze zobowiązanie zarejestrowane w łańcuchu? Twoja ma. Atakującego nie — stworzyli ją przed chwilą. Twój wcześniej zarejestrowany odcisk palca jest twoim alibi.
Problem polega jednak na zwiększonych kosztach z powodu podzielenia transakcji na dwie fazy. Dlatego jest opisywany jako tymczasowymost, praktyczny do wdrożenia, podczas gdy społeczność pracuje nad budowaniem obrony kwantowej.
Hourglass V2: Spowolnienie wydawania starych monet
Zaproponowany przez dewelopera Huntera Beasta, Hourglass V2 jest skierowany na podatność kwantową związaną z około 1,7 miliona BTC przechowywanych na starszych, już ujawnionych adresach.
Propozycja akceptuje, że te monety mogą zostać skradzione w przyszłym ataku kwantowym i dąży do spowolnienia krwawienia poprzez ograniczenie sprzedaży do jednego bitcoina na blok, aby uniknąć katastrofalnej masowej likwidacji w ciągu nocy, która mogłaby załamać rynek.
Analogią jest nalot na bank: nie możesz powstrzymać ludzi od wypłacania, ale możesz ograniczyć tempo wypłat, aby zapobiec zapaści systemu z dnia na dzień. Propozycja jest kontrowersyjna, ponieważ nawet to ograniczone ograniczenie jest postrzegane przez niektórych w społeczności Bitcoin jako naruszenie zasady, że żadna strona zewnętrzna nigdy nie może ingerować w twoje prawo do wydawania swoich monet.
Podsumowanie
Te propozycje nie są jeszcze aktywowane, a zdecentralizowane zarządzanie Bitcoinem, obejmujące deweloperów, górników i operatorów węzłów, oznacza, że każda aktualizacja prawdopodobnie będzie wymagała czasu, aby się zmaterializować.
Mimo to stały napływ propozycji poprzedzających raport Google z tego tygodnia sugeruje, że problem od dawna był na radarze deweloperów, co może pomóc złagodzić obawy rynkowe.
Źródło: https://www.coindesk.com/tech/2026/04/04/bitcoin-s-usd1-3-trillion-security-race-key-initiatives-aimed-at-quantum-proofing-the-world-s-largest-blockchain
