Квантова загроза: Чи може Біткойн бути зламаний?

SHA-256 хеш Біткойна залишається відносно безпечним під час квантових атак, але підписи ECDSA повністю зламуються, як тільки з'являться машини великого масштабу.

Експерти не погоджуються щодо термінів: одні кажуть, що квантові загрози можуть з'явитися не раніше 2035 року, інші попереджають, що це може статися вже у 2027–2030 роках.

Розробники готують поетапні плани міграції на постквантові підписи, але затримка в діях становить більший ризик, ніж сам квантовий обчислювальний процес.

SHA-256, ECDSA ТА МЕЖІ СЬОГОДНІШНІХ КВАНТОВИХ МАШИН

Безпека Біткойна ґрунтується на двох алгоритмах: хеш SHA-256 та підписах ECDSA на еліптичних кривих. SHA-256 захищає незмінність блокчейну, тоді як ECDSA є ключем до автентифікації транзакцій та переказу коштів. У світі класичних комп'ютерів обидва вважаються практично незламними. Але квантові обчислення є першим справжнім викликом для цього припущення.

В теорії алгоритм Шора може вирішити задачу дискретного логарифму на еліптичних кривих експоненційно швидше, що дозволяє отримувати приватні ключі з публічних ключів. Як тільки зловмисник отримає досить потужний квантовий комп'ютер, він зможе підробити підписи та вкрасти кошти. Алгоритм Гровера, тим часом, може зменшити грубу силу пошуку SHA-256 з 2^256 до 2^128, що все ще є величезним, але більше не недосяжним у довгостроковій перспективі.

Проте реальність значно відстає від теорії. Найкращі процесори сьогодні мають трохи більше тисячі кубітів. Для зламу 256-бітного ECDSA потрібно мільйони. Дослідження показують, що для зламу одного приватного ключа за день потрібно близько 13 мільйонів кубітів, а за годину – більше 300 мільйонів. У порівнянні з 1000-кубітним чіпом Condor від IBM, розрив становить чотири порядки.

На даний момент Біткойн залишається безпечним. Квантова загроза все ще є хмарою далеко на горизонті. Ніхто не може сказати, коли вона настане, але всі знають, що, коли це станеться, історія безпеки Біткойна зміниться назавжди.

ДИСКУСІЯ ПРО ЧАСОВУ ЛІНІЮ: 2030 ЧИ ПІСЛЯ?

Немає згоди щодо того, коли квантові обчислення стануть реальною загрозою. Консервативні голоси стверджують, що це принаймні за десятиліття. У 2021 році НСА чітко заявила: невідомо, коли, або навіть чи, існуватиме квантова машина, достатньо потужна, щоб зламати поточне шифрування. Якщо це правда, Біткойн має час, щоб підготуватися.

Але агресивні прогнози вказують на більш близьке вікно. Деякі дослідники вважають, що до 2027–2030 років можуть з'явитися машини, здатні загрожувати Біткойну. Прогрес у виправленні помилок та топологічних кубітах може скоротити очікуваний термін на роки або навіть десятиліття. "Квантова сингулярність" може настати раніше, ніж багато хто думає.

Це створює дилему. Перехід занадто рано на постквантові алгоритми збільшує витрати і зменшує ефективність. Занадто тривале очікування ризикує раптовим колапсом, коли прийде квантова потужність. В результаті 2030 рік став компромісним роком. До того часу Біткойн повинен завершити шлях міграції до квантово-безпечних підписів.

Для інвесторів цей графік має значення. Якщо ви вважаєте, що квантові технології ще далеко, Біткойн залишається "цифровим золотом". Якщо ви вірите, що це близько, то зберігання, custody і стратегії повинні адаптуватися зараз.

БУДІВНИЦТВО КВАНТОВО-СТІЙКОГО БІТКОЙНА

Розробники почали планувати. Прямим рішенням є заміна ECDSA на підписання, стійкі до пост-квантових атак. NIST вже обрав CRYSTALS-Dilithium, Falcon та SPHINCS+ як перші стандарти. Ці решіткові, хеш- та одноразові схеми підписів стійкі до відомих квантових атак.

У 2025 році проект BIP запропонував поетапну міграцію: спочатку обмежити використання старих адрес, потім заморозити виходи на базі ECDSA, а зрештою створити шлях відновлення для втрачених монет. Повний процес заплановано на 2030 рік.

Існують й інші шляхи. Деякі пропонують нові інструкції скриптів для дозволу добровільних квантово-безпечних одноразових підписів. Інші пропонують оновлення обміну ключами в Lightning Network.

Практичні найкращі практики також допомагають. Уникайте повторного використання адрес, розподіляйте кошти між невикористовуваними адресами та скорочуйте період відкриття публічного ключа. Казначейство Ел-Сальвадора розділило свій Біткойн на більше ніж десять адрес, кожна з яких має менше 500 BTC, як захисний крок проти майбутніх квантових загроз.

Сила Біткойна полягає в його спільноті. Розробники, майнери, компанії та тримачі разом можуть створити консенсус, необхідний для безпечного оновлення.

ЯКЩО КВАНТУМ ЛАМАТЬ БІТКОЙН

Якщо Біткойн зазнає сильного квантового нападу до оновлення, наслідки можуть бути катастрофічними. У мережі будь-яка адреса з відкритим публічним ключем буде виведена. Приблизно чверть усіх UTXO перебуває в такому стані, включаючи багато старих "сплячих монет". Вони будуть вкрадені за ніч.

Консенсус також постраждає. Квантовий майнер, який використовує алгоритм Гровера, міг би отримати квадратичне прискорення в Proof-of-Work. Завдяки цьому вони можуть домінувати в хешпотужності та проводити атаки 51%: подвоєння витрат, цензурування транзакцій або переписування історії.

Ринки реагуватимуть миттєво. Вартість Біткойна базується на довірі до його незмінності. Якщо це зникне, слідує колапс цін. Біржі та платіжні сервіси можуть призупинити роботу, паніка пошириться по криптовалютному ринку і перекинеться на ширшу фінансову систему.

Спільнота могла б спробувати жорсткий форк на квантово-безпечний ланцюг і заморозити вкрадені монети. Але швидкий глобальний консенсус важко досягти, а форки ризикують розділити мережу. Насправді, загроза полягає не в квантових обчисленнях, а в затримці дій до їх приходу.

Квантові технології не є апокаліпсисом для Біткойна. Затримка і самозадоволеність є.

〈Квантова загроза: Чи можна зламати Біткойн?〉 ця стаття вперше була опублікована в «CoinRank».