Квантовая угроза: может ли Биткойн быть сломан?

SHA-256 хеш Биткойна остается относительно безопасным под квантовыми атаками, но подписи ECDSA полностью уязвимы, как только появятся машины квантового масштаба.

Эксперты расходятся во мнениях по поводу сроков: некоторые утверждают, что квантовые угрозы могут не появиться до 2035 года, другие предупреждают, что это может произойти уже в 2027–2030 годах.

Разработчики готовят поэтапные планы миграции на постквантовые подписи, но задержка в действиях представляет собой больший риск, чем квантовые вычисления сами по себе.

SHA-256, ECDSA И ПОГРАНИЧНЫЕ ВОЗМОЖНОСТИ СОВРЕМЕННЫХ КВАНТОВЫХ МАШИН

Безопасность Биткойна основана на двух алгоритмах: хеширование SHA-256 и подписи эллиптической кривой ECDSA. SHA-256 защищает неизменность блокчейна, в то время как ECDSA является ключом к аутентификации транзакций и переводу средств. В мире классических компьютеров оба алгоритма считаются практически неразрушимыми. Но квантовые вычисления представляют собой первый реальный вызов этому предположению.

В теории, алгоритм Шора может решить задачу дискретного логарифма на эллиптической кривой экспоненциально быстрее, что позволяет извлекать закрытые ключи из открытых ключей. Как только у злоумышленника появится достаточно мощный квантовый компьютер, он сможет подделывать подписи и красть средства. Алгоритм Гровера, в свою очередь, может сократить грубую силу поиска SHA-256 с 2^256 до 2^128, что все еще огромно, но больше не недостижимо в долгосрочной перспективе.

Однако реальность значительно отстает от теории. Сегодняшние лучшие процессоры имеют чуть больше тысячи кубитов. Для взлома 256-битного ECDSA потребуется миллионы. Исследования показывают, что для взлома одного закрытого ключа за день требуется около 13 миллионов кубитов, а за час - более 300 миллионов. По сравнению с 1000-кубитным чипом Condor от IBM, разрыв составляет четыре порядка.

На данный момент Биткойн остается безопасным. Квантовая угроза все еще является облаком далеко на горизонте. Никто не может сказать, когда она наступит, но все знают, что когда это произойдет, история безопасности Биткойна изменится навсегда.

ДИСКУССИЯ О СРОКАХ: 2030 ГОД ИЛИ ПОЗЖЕ?

Нет согласия по поводу того, когда квантовые вычисления станут реальной угрозой. Консервативные голоса утверждают, что это как минимум займет десятилетие. В 2021 году NSA четко заявила: неизвестно, когда, и даже если, квантовая машина, способная сломать текущую криптографию, будет существовать. Если это правда, Биткойн имеет время для подготовки.

Но агрессивные прогнозы указывают на более близкий срок. Некоторые исследователи считают, что к 2027–2030 годам могут появиться машины, способные угрожать Биткойн. Прогресс в коррекции ошибок и топологических кубитах может сократить ожидаемый срок на годы или даже десятилетия. «Квантовая сингулярность» может наступить раньше, чем многие думают.

Это создает дилемму. Слишком ранний переход на постквантовые алгоритмы увеличивает затраты и снижает эффективность. Слишком долгое ожидание создает риск резкого краха, когда появится квантовая мощность. В результате 2030 год стал компромиссным. К этому времени Биткойн должен завершить миграционный путь к квантово-устойчивым подписям.

Для инвесторов этот график имеет значение. Если вы считаете, что квантовые технологии далеки, Биткойн остается «цифровым золотом». Если вы верите, что они близки, тогда хранение, безопасное хранение и стратегия должны адаптироваться сейчас.

СТРОИТЕЛЬСТВО КВАНТОВО-УСТОЙЧИВОГО БИТКОЙНА

Разработчики начали планировать. Прямое решение заключается в замене ECDSA на подписи пост-квантовой криптографии. NIST уже выбрал CRYSTALS-Dilithium, Falcon и SPHINCS+ в качестве первых стандартов. Эти схемы решеток, хешей и одноразовых подписей устойчивы к известным квантовым атакам.

В 2025 году проект BIP предложил поэтапную миграцию: сначала ограничить использование старых адресов, затем заморозить ECDSA-выходы и, наконец, создать путь восстановления для потерянных токенов. Полный процесс запланирован на 2030 год.

Существуют и другие пути. Некоторые предлагают новые инструкции скрипта для обеспечения добровольных квантово-устойчивых одноразовых подписей. Другие предлагают обновление обмена ключами в сети Lightning.

Практические лучшие практики также помогают. Избегайте повторного использования адресов, распределяйте средства по неиспользуемым адресам и сокращайте время открытого доступа к открытому ключу. Казначейство Сальвадора разделило свой Биткойн на более чем десять адресов, каждый из которых содержит менее 500 BTC, в качестве защитной меры против будущих квантовых угроз.

Сила Биткойна заключается в его сообществе. Разработчики, майнеры, компании и держатели вместе могут создать консенсус, необходимый для безопасного обновления.

ЕСЛИ КВАНТОВЫЕ ТЕХНОЛОГИИ РАСПАДУТ БИТКОЙН

Если Биткойн столкнется с сильной квантовой атакой до обновления, последствия могут быть катастрофическими. В блокчейне любой адрес с открытым публичным ключом будет опустошен. Примерно четверть всех UTXO находится в этом состоянии, включая многие старые "спящие токены". Они будут украдены за ночь.

Консенсус также пострадает. Квантовый майнер, использующий алгоритм Гровера, может получить квадратичное ускорение в Proof-of-Work. С этим они могут доминировать в хешмощности и проводить атаки 51%: двойные траты, цензурирование транзакций или переписывание истории.

Рынки будут реагировать мгновенно. Ценность Биткойна основана на доверии к его неизменности. Если это исчезнет, за ним последует обрушение цен. Биржи и платёжные сервисы могут приостановить работу, паника распространится по всему крипторынку и перекинется на более широкую финансовую систему.

Сообщество могло бы попробовать жесткий форк на квантово-защищённую цепь и заморозить украденные токены. Но быстрое глобальное согласие сложно добиться, а форки рискуют разделить сеть. На самом деле угроза заключается не в квантовых вычислениях, а в задержке с действиями до их появления.

Квантовые технологии не являются судным днем для Биткойна. Задержка и самодовольство являются.

〈Квантовая угроза: может ли Биткойн быть сломан?〉 Эта статья была впервые опубликована в «CoinRank».