Вот что на самом деле означает «взлом» биткоина квантовыми компьютерами за 9 минут

Команда Google по Quantum AI ранее на этой неделе заявила, что будущий квантовый компьютер сможет за примерно девять минут вывести биткоин-частный ключ из открытого ключа. Число разлетелось по социальным сетям и встревожило рынки.

Но что это на самом деле означает на практике?

Давайте начнем с того, как работают транзакции в биткоине. Когда вы отправляете биткоины, ваш кошелек подписывает транзакцию с помощью частного ключа — секретного числа, которое доказывает, что вы владеете монетами.

Эта подпись также раскрывает ваш открытый ключ — адрес, которым можно делиться. Он передается в сеть и находится в ожидательной зоне, называемой mempool, пока майнер не включит его в блок. В среднем подтверждение занимает около 10 минут.

Ваш частный и открытый ключ связаны математической задачей, называемой проблемой дискретного логарифмирования на эллиптических кривых. Классические компьютеры не могут обратить эту математику в каком-либо полезном временном масштабе, тогда как достаточно мощный будущий квантовый компьютер, работающий по алгоритму под названием Shor, мог бы.

Вот где появляется часть про «девять минут». В работе Google было показано, что квантовый компьютер можно заранее «подготовить», предварительно вычислив части атаки, которые не зависят ни от какого конкретного открытого ключа.

Как только ваш открытый ключ появляется в mempool, машине нужно лишь около девяти минут, чтобы завершить работу и вывести ваш частный ключ. Среднее время подтверждения биткоина — 10 минут. Это дает атакующему примерно 41% шанс вывести ваш ключ и перенаправить ваши средства до того, как исходная транзакция будет подтверждена.

Представьте это как вора, который часами собирает универсальную машину для взлома сейфов (предвычисления). Машина работает для любого сейфа, но каждый раз, когда появляется новый сейф, ей нужно лишь несколько последних корректировок — и именно этот последний шаг занимает около девяти минут.

Это атака через mempool. Она тревожная, но требует квантового компьютера, которого еще не существует. В работе Google оценивается, что такой машине потребовалось бы меньше 500,000 физических кубитов. Самые крупные квантовые процессоры сегодня имеют около 1,000.

Более масштабная и более непосредственная проблема — это 6.9 million биткоинов, примерно одна треть от общего предложения, которые уже находятся в кошельках, где открытый ключ был навсегда раскрыт.

Сюда входят ранние биткоин-адреса с первых лет существования сети, использовавшие формат, называемый pay-to-public-key, где открытый ключ по умолчанию виден в блокчейне. Также это включает любой кошелек, который повторно использовал адрес, поскольку при расходовании средств с адреса раскрывается открытый ключ для всех оставшихся средств.

Этим монетам не нужна гонка на девять минут. Атакующий с достаточно мощным квантовым компьютером мог бы взламывать их не спеша, проходя раскрытые ключи по одному без временного давления.

Апгрейд Bitcoin 2021 Taproot сделал это хуже, как сообщал CoinDesk ранее во вторник. Taproot изменил то, как работают адреса, так что открытые ключи по умолчанию видны в ончейне, непреднамеренно расширив пул кошельков, которые могут оказаться уязвимыми для будущей квантовой атаки.

Сама сеть биткоина продолжала бы работать. Майнинг использует другой алгоритм под названием SHA-256, который квантовые компьютеры не могли бы сколько-нибудь существенно ускорить с помощью текущих подходов. Блоки по-прежнему будут производиться.

Реестр тоже продолжит существовать. Но если частные ключи можно выводить из открытых ключей, ломаются гарантии владения, из-за которых биткоин ценен. Любой, у кого раскрыт ключ, находится под угрозой кражи, а институциональное доверие к модели безопасности сети рушится.

Исправление — постквантовая криптография, которая заменяет уязвимую математику алгоритмами, которые квантовые компьютеры не могут взломать. Ethereum потратил восемь лет, двигаясь в сторону этой миграции. Биткоин даже не начал.