Квантовые компьютеры, способные взломать блокчейн Биктоина, сегодня не существуют. Разработчики, однако, уже рассматривают волну обновлений для создания защиты от потенциальной угрозы, и это правильно, поскольку угроза больше не является гипотетической.
На этой неделе Google опубликовал исследование, предполагающее, что достаточно мощный квантовый компьютер может взломать основную криптовалюту Биктоина менее чем за девять минут — на минуту быстрее, чем среднее время расчёта блока Биктоина. Некоторые аналитики считают, что такая угроза может стать реальностью к 2029 году.
Ставки высоки: Около 6,5 миллиона токенов биткоин стоимостью сотни миллиардов долларов находятся на адресах, которые квантовый компьютер может непосредственно атаковать. Некоторые из этих монет принадлежат псевдонимному создателю Биктоина, Сатоши Накамото. Кроме того, потенциальная компрометация нанесет ущерб основным принципам Биктоина — "доверяй коду" и "надёжные деньги".
Вот как выглядит угроза вместе с предложениями, рассматриваемыми для её смягчения.
Два способа, которыми квантовая машина может атаковать Биткоин
Давайте сначала разберёмся в уязвимости, прежде чем обсуждать предложения.
Безопасность Биктоина построена на одностороннем математическом соотношении. Когда вы создаёте кошелёк, генерируется приватный ключ и секретное число, из которого выводится публичный ключ.
Трата токенов биткоин требует подтверждения владения приватным ключом не путём его раскрытия, а путём использования его для генерации криптографической подписи, которую сеть может проверить.
Эта система надёжна, поскольку современным компьютерам потребуются миллиарды лет, чтобы взломать криптовалюту на эллиптических кривых — в частности, алгоритм цифровой подписи на эллиптических кривых (ECDSA) — для обратного получения приватного ключа из публичного ключа. Таким образом, считается, что блокчейн вычислительно невозможно скомпрометировать.
Но будущий квантовый компьютер может превратить эту одностороннюю улицу в двустороннюю, получая ваш приватный ключ из публичного ключа и опустошая ваши монеты.
Публичный ключ раскрывается двумя способами: От монет, находящихся без движения на цепочке (атака длительной экспозиции) или монет в движении или транзакций, ожидающих в пуле памяти (атака короткой экспозиции).
Адреса Pay-to-public key (P2PK) (используемые Сатоши и ранними майнерами) и Taproot (P2TR), текущий формат адреса, активированный в 2021 году, уязвимы к атаке длительной экспозиции. Монетам на этих адресах не нужно двигаться, чтобы раскрыть свои публичные ключи; экспозиция уже произошла и доступна для чтения любым человеком на земле, включая будущего квантового атакующего. Примерно 1,7 миллиона BTC находится на старых адресах P2PK — включая монеты Сатоши.
Короткая экспозиция связана с mempool — комнатой ожидания неподтверждённых транзакций. Пока транзакции находятся там, ожидая включения в блок, ваш публичный ключ и подпись видны всей сети.
Квантовый компьютер мог бы получить доступ к этим данным, но у него было бы лишь короткое окно — до того, как транзакция будет подтверждена и захоронена под дополнительными блоками — для получения соответствующего приватного ключа и действий с ним.
Инициативы
BIP 360: Удаление публичного ключа
Как отмечалось ранее, каждый новый адрес Биктоина, созданный с использованием Taproot сегодня, навсегда раскрывает публичный ключ на цепочке, давая будущему квантовому компьютеру цель, которая никогда не исчезнет.
Предложение по улучшению Биктоина (BIP) 360 удаляет публичный ключ, навсегда встроенный в цепочку и видимый всем, путём введения нового типа вывода, называемого Pay-to-Merkle-Root (P2MR).
Вспомним, что квантовый компьютер изучает публичный ключ, обратно восстанавливает точную форму приватного ключа и подделывает рабочую копию. Если мы удалим публичный ключ, атаке не с чего будет работать. Между тем, всё остальное, включая платежи Сети Lightning, мультиподписные настройки и другие функции Биктоина, остаётся прежним.
Однако, если это предложение будет реализовано, оно защитит только новые монеты в будущем. 1,7 миллиона BTC, уже находящихся на старых раскрытых адресах, является отдельной проблемой, которой занимаются другие предложения ниже.
SPHINCS+ / SLH-DSA: Хэш-основанные постквантовые подписи
SPHINCS+ — это постквантовая схема подписи, построенная на хэш-функциях, избегающая квантовых рисков, с которыми сталкивается криптография на эллиптических кривых, используемая Биктоином. Хотя алгоритм Шора угрожает ECDSA, хэш-основанные разработки, такие как SPHINCS+, не рассматриваются как столь же уязвимые.
Схема была стандартизирована Национальным институтом стандартов и технологий (NIST) в августе 2024 года как FIPS 205 (SLH-DSA) после многих лет публичного рассмотрения.
Компромиссом за безопасность является размер. В то время как текущие подписи биткоин составляют 64 байта, SLH-DSA имеют размер 8 килобайт (KB) или более. Таким образом, принятие SLH-DSA резко увеличит спрос на пространство блока и повысит комиссии за транзакции.
В результате предложения, такие как SHRIMPS (другая хэш-основанная постквантовая схема подписи) и SHRINCS, уже были представлены для уменьшения размеров подписей без ущерба для постквантовой безопасности. Оба основываются на SHPINCS+, стремясь сохранить его гарантии безопасности в более практичной, экономичной по пространству форме, подходящей для использования блокчейна.
Схема Commit/Reveal Тадже Драйя: Аварийный тормоз для Mempool
Это предложение, софт-форк, предложенный сооснователем Сети Lightning Тадже Драйя, направлено на защиту транзакций в mempool от будущего квантового атакующего. Это достигается путём разделения выполнения транзакции на две фазы: Commit и Reveal.
Представьте, что вы информируете контрагента о том, что отправите ему электронное письмо, а затем действительно отправляете письмо. Первое — это фаза commit, а второе — reveal.
В блокчейне это означает, что вы сначала публикуете запечатанный отпечаток вашего намерения — просто хэш, который ничего не раскрывает о транзакции. Блокчейн ставит метку времени на этот отпечаток навсегда. Позже, когда вы транслируете фактическую транзакцию, ваш публичный ключ становится видимым — и да, квантовый компьютер, наблюдающий за сетью, мог бы получить ваш приватный ключ из него и подделать конкурирующую транзакцию для кражи ваших средств.
Но эта поддельная транзакция немедленно отклоняется. Сеть проверяет: имеет ли эта трата предварительное обязательство, зарегистрированное в цепочке? Ваша имеет. У атакующего нет — они создали её моменты назад. Ваш предварительно зарегистрированный отпечаток является вашим алиби.
Проблема, однако, заключается в увеличении стоимости из-за разбиения транзакции на две фазы. Поэтому она описывается как промежуточный мост, практичный для развёртывания, пока сообщество работает над построением квантовой защиты.
Hourglass V2: Замедление траты старых монет
Предложенный разработчиком Хантером Бистом, Hourglass V2 нацелен на квантовую уязвимость, связанную с примерно 1,7 миллиона BTC, хранящимися на старых, уже раскрытых адресах.
Предложение признаёт, что эти монеты могут быть украдены в будущей квантовой атаке, и стремится замедлить потери, ограничивая продажи одним биткоином за блок, чтобы избежать катастрофической массовой ликвидации за ночь, которая могла бы обрушить рынок.
Аналогия — это банковская паника вывода: вы не можете остановить людей от вывода средств, но вы можете ограничить темп вывода, чтобы предотвратить коллапс системы за ночь. Предложение является спорным, поскольку даже это ограниченное ограничение рассматривается некоторыми в сообществе Биктоина как нарушение принципа, согласно которому никакая внешняя сторона не может вмешиваться в ваше право тратить свои монеты.
Заключение
Эти предложения ещё не активированы, и децентрализованное управление Биктоина, охватывающее разработчиков, майнеров и операторов узлов, означает, что любое обновление, вероятно, займёт время для материализации.
Тем не менее, постоянный поток предложений, предшествующих отчёту Google на этой неделе, предполагает, что проблема давно находится на радаре разработчиков, что может помочь смягчить рыночное оповещение.
Источник: https://www.coindesk.com/tech/2026/04/04/bitcoin-s-usd1-3-trillion-security-race-key-initiatives-aimed-at-quantum-proofing-the-world-s-largest-blockchain
