Руководитель Coinbase объясняет квантовые риски Bitcoin и долгосрочную угрозу безопасности сети

Обеспокоенность будущими достижениями в области криптографии меняет подход аналитиков к долгосрочной безопасности Bitcoin, и риск квантовых атак на Bitcoin уже находится в поле зрения крупных бирж.

Квантовые вычисления и основные риски для Bitcoin

Достижения в области квантовых вычислений могут в конечном итоге поставить под угрозу не только безопасность приватных ключей Bitcoin, но и фундаментальные экономические и безопасностные основы сети. Однако текущие аппаратные средства еще далеки от взлома защитных механизмов Bitcoin, поэтому эти риски являются долгосрочными, а не немедленными угрозами.

Основная опасность связана с гипотетическим будущим «Q-днем», когда квантовые машины смогут запускать алгоритмы, такие как Shor’s и Grover’s, в достаточных масштабах. В этот момент основные компоненты криптографии Bitcoin могут быть подорваны. Более того, этот сценарий повлияет как на безопасность транзакций, так и на майнинг.

В настоящее время Bitcoin опирается на два ключевых примитива: ECDSA, обеспечивающий подписи транзакций и подтверждающий владение, и SHA-256, поддерживающий майнинг с доказательством работы и обеспечивающий целостность блокчейна. Это означает, что квантовые системы теоретически могут осуществлять два различных типа атак, нацеленных на подписи и хеширование.

Атаки на подписи и раскрытые Bitcoin-адреса

Со стороны подписей квантовые системы могут ослабить криптографические защиты, защищающие приватные ключи, что откроет дверь для несанкционированных расходов с уязвимых адресов. Этот риск делится на два аспекта: атаки на дальние расстояния против выходов, у которых публичные ключи уже размещены в блокчейне, и короткосрочные атаки, пытающиеся опередить расходы, как только ключи появятся в мемпуле.

Coinbase оценивает, что около 6.51 миллиона Bitcoin, или примерно 32.7% от общего объема на блоке 900 000, могут быть подвержены атакам с использованием квантовых технологий на дальние расстояния. Эта цифра подчеркивает, как прошлое поведение, такое как повторное использование адресов и определенные типы скриптов, может увеличить риск по всей сети.

Угрозы дальнего расстояния связаны с выходами, которые раскрывают публичные ключи прямо в блокчейне. К ним относятся Pay-to-Public-Key (P2PK), простые мультиподписи (P2MS) и форматы Taproot (P2TR). Ранние Bitcoin-активы, часто связанные с эпохой Сатоши, представляют собой значительную долю старых выходов P2PK и, следовательно, являются потенциальными целями.

Каждый выход становится уязвимым к короткосрочной атаке в момент расходования, когда публичный ключ раскрывается до подтверждения. Тем не менее, вероятность успешной атаки с текущим квантовым оборудованием остается очень низкой. Даже при этом, эта динамика подчеркивает, почему индустрия все больше сосредотачивается на миграции к квантоустойчивым подписям.

Экономическое влияние и риск для майнинга

Помимо кражи подписей, вторая крупная проблема связана с экономикой майнинга Bitcoin и безопасностью консенсуса. Устройства с квантовыми возможностями могут в конечном итоге получить преимущества в эффективности при доказательстве работы, нарушая текущий баланс между майнерами. Однако исследователи считают, что это второстепенная проблема по сравнению с компрометацией ключей.

Теоретически, высоко оптимизированный квантовый майнинг может изменить распределение хеш-энергии и создать новые централизационные давления. Однако ограничения масштабируемости и ранняя стадия практического квантового оборудования удерживают этот сценарий в будущем. Пока что миграция подписей остается основной технической и политической задачей.

Некоторые эксперты утверждают, что любой надежный путь к квантовой угрозе для Bitcoin, скорее всего, начнется с атак на раскрытые публичные ключи, а не на SHA-256 для майнинга. Более того, изменение алгоритмов майнинга технически проще согласовать, чем полностью изменить способы защиты монет пользователями, поэтому шифрование и подписи находятся в центре текущих дебатов.

Рассматриваемые варианты постквантовой криптографии

Для подготовки к этим сценариям разработчики и исследователи изучают постквантовую криптографию и другие защитные техники. Основная стратегия долгосрочной защиты — интеграция квантоустойчивых схем подписей непосредственно в протокол Bitcoin. Однако этот переход потребует лет исследований, тестирования и согласования.

Национальный институт стандартов и технологий США (NIST) ведет многолетний процесс выбора алгоритмов постквантовой криптографии для стандартизации. В его кратком списке сейчас находятся CRYSTALS-Dilithium, SPHINCS+ и FALCON, каждый из которых предлагает разные компромиссы по безопасности, размеру и производительности.

Эти кандидаты NIST служат ориентиром для того, как могут выглядеть подписи следующего поколения в Bitcoin. Однако есть практические препятствия. Многие схемы, безопасные для квантовых атак, имеют большие подписи и медленную проверку, что повлияет на использование блоков, рынки комиссий и производительность узлов. Кроме того, программное обеспечение кошельков и инфраструктурные провайдеры должны будут переосмыслить свои системы.

Сроки миграции и возможные пути обновления

Исследования сейчас предусматривают два основных сценария миграции, в зависимости от скорости прогресса квантовых вычислений. Быстрый прорыв потребует чрезвычайного плана, который можно реализовать примерно за два года, с приоритетом на скорость и обратную совместимость. Такой сценарий предполагает сильную координацию между майнерами, операторами узлов и кошельками.

Если прогресс будет идти постепенно, более взвешенный подход может занять до семи лет. В этом случае Bitcoin может внедрить квантоустойчивые подписи через мягкий форк, позволяя пользователям постепенно переходить. Этот путь даст разработчикам больше времени для доработки дизайнов и тестирования новых схем в реальных условиях.

Технические предложения, такие как BIP-360, BIP-347 и Hourglass, уже исследуют, как управлять ротацией ключей, миграцией и обновлением скриптов с учетом квантовых угроз. Кроме того, эти усилия направлены на минимизацию сбоев и обеспечение безопасного переноса уязвимых выходов в более защищенные кодировки до появления реальной квантовой атаки.

Лучшие практики для держателей Bitcoin

До появления изменений на уровне протокола, уже существуют практики, снижающие риск. Избегание повторного использования адресов, регулярное перемещение уязвимых UTXO на новые адреса и ограничение балансов на один адрес помогают снизить концентрацию риска. Однако эти меры должны широко применяться, чтобы существенно уменьшить системную уязвимость.

Институты и поставщики услуг также поощряются разрабатывать материалы для клиентов, стандартизирующие операции с учетом квантовых угроз. Четкие рекомендации по управлению старыми выходами, типами скриптов и графиками миграции могут помочь пользователям подготовиться задолго до любой чрезвычайной ситуации. Кроме того, то, что многие уязвимые скрипты не используются активно в современных производственных средах, считается небольшим преимуществом.

Хотя эти меры не могут полностью устранить угрозы, основанные на фундаментальной математике, они могут купить время. Они также помогают обеспечить, что при необходимости миграции на квантоустойчивые схемы, меньше монет будет заблокировано в устаревших скриптах, которые трудно переместить или согласовать.

Общее настроение отрасли и перспективы на будущее

В целом, в индустрии квантовые вычисления обычно не считаются немедленной угрозой безопасности Bitcoin. Большинство экспертов считают, что современные устройства слишком слабы, чтобы масштабно угрожать ECDSA или SHA-256. Однако мнения расходятся относительно того, как быстро ситуация может измениться.

Некоторые исследователи и проектные команды предупреждают, что практическая угроза может появиться в течение нескольких лет при благоприятных условиях развития аппаратного обеспечения. Различные инициативы даже указывали возможные даты, когда риск приватных ключей Bitcoin может стать значительным. Более того, постоянные инвестиции в квантовые исследования держат эту тему в центре внимания разработчиков, ориентированных на безопасность.

На данный момент защита Bitcoin остается надежной, но подготовка к постквантовому миру уже ведется в рамках стандартов, протокольных исследований и разработки кошельков. Совмещение проактивных стратегий миграции, улучшения пользовательских практик и постоянных инноваций в области квантоустойчивой криптографии, вероятно, определит, насколько устойчива сеть в условиях будущих прорывов.