Ось що насправді означає «злам» біткоїна за 9 хвилин за допомогою квантових комп’ютерів

Команда Google Quantum AI раніше цього тижня заявила, що майбутній квантовий комп’ютер зможе вивести біткоїн-приватний ключ із публічного ключа приблизно за дев’ять хвилин. Ця цифра розлетілася соцмережами та налякала ринки.

Але що це насправді означає на практиці?

Почнімо з того, як працюють біткоїн-транзакції. Коли ви надсилаєте біткоїни, ваш гаманець підписує транзакцію приватним ключем — секретним числом, яке доводить, що ви володієте цими монетами.

Цей підпис також розкриває ваш публічний ключ — адресу, яку можна поширювати, — і вона транслюється в мережу та потрапляє в зону очікування під назвою mempool, доки майнер не включить її в блок. У середньому підтвердження займає близько 10 хвилин.

Ваш приватний ключ і публічний ключ пов’язані математичною задачею, яка називається elliptic curve discrete logarithm problem (задача дискретного логарифмування на еліптичних кривих). Класичні комп’ютери не можуть розв’язати цю математику в будь-якому корисному часовому проміжку, тоді як достатньо потужний майбутній квантовий комп’ютер, що працює за алгоритмом під назвою Shor’s, може.

Саме тут і з’являються «дев’ять хвилин». У своїй роботі Google з’ясувала, що квантовий комп’ютер можна «підготувати» заздалегідь, попередньо обчисливши частини атаки, які не залежать від жодного конкретного публічного ключа.

Щойно ваш публічний ключ з’являється в mempool, машині потрібно лише близько дев’яти хвилин, щоб завершити роботу й вивести ваш приватний ключ. Середній час підтвердження в біткоїні — 10 хвилин. Це дає атакувальнику приблизно 41% шансів вивести ваш ключ і перенаправити ваші кошти до того, як оригінальна транзакція отримає підтвердження.

Уявіть це як злодія, який витрачає години на створення універсальної машини для злому сейфів (попередні обчислення). Машина працює для будь-якого сейфа, але кожного разу, коли з’являється новий сейф, їй потрібні лише кілька фінальних налаштувань — і саме цей останній крок займає близько дев’яти хвилин.

Це атака через mempool. Вона тривожна, але потребує квантового комп’ютера, якого ще не існує. У роботі Google оцінено, що така машина вимагала б менш ніж 500,000 фізичних кубітів. Найбільші квантові процесори сьогодні мають близько 1,000.

Більшою та негайнішою проблемою є 6.9 мільйона біткоїнів — приблизно одна третина від загальної емісії, — які вже лежать у гаманцях, де публічний ключ було назавжди розкрито.

Сюди входять ранні адреси біткоїна з перших років існування мережі, які використовували формат під назвою pay-to-public-key, де публічний ключ за замовчуванням видимий у блокчейні. Також це включає будь-який гаманець, який повторно використовував адресу, адже витрата з адреси розкриває публічний ключ для всіх залишкових коштів.

Цим монетам не потрібні «перегони» на дев’ять хвилин. Атакувальник із достатньо потужним квантовим комп’ютером міг би розкривати їх у спокійному режимі, працюючи з розкритими ключами по одному без будь-якого тиску часу.

Оновлення Bitcoin 2021 Taproot зробило це гіршим, як повідомляв CoinDesk раніше у вівторок. Taproot змінив спосіб роботи адрес: публічні ключі стали видимими в мережі за замовчуванням, що, ненавмисно, розширило пул гаманців, які могли б бути вразливими до майбутньої квантової атаки.

Сам біткоїн-мережа продовжувала б працювати. Майнинг використовує інший алгоритм під назвою SHA-256, який квантові комп’ютери не можуть суттєво пришвидшити за допомогою поточних підходів. Блоки все одно створювалися б.

Реєстр все одно існував би. Але якщо приватні ключі можна виводити з публічних ключів, руйнуються гарантії власності, які роблять біткоїн цінним. Кожен, у кого розкриті ключі, ризикує стати жертвою крадіжки, а інституційна довіра до моделі безпеки мережі руйнується.

Вирішенням є постквантова криптографія, яка замінює вразливу математику алгоритмами, які квантові комп’ютери не можуть зламати. Ethereum витратив вісім років на підготовку до цієї міграції. Біткоїн навіть не починав.