Bagaimana desain dompet yang aman secara kuantum dapat melindungi pengguna Ethereum dengan kunci sementara dan abstraksi akun...

Para peneliti mengusulkan arsitektur dompet aman kuantum baru yang menggunakan kembali alat Ethereum saat ini untuk mengurangi serangan kuantum di masa depan tanpa menyentuh konsensus atau primitif tanda tangan.

Risiko kuantum terhadap dompet Ethereum dan ECDSA

Ancaman yang ditimbulkan oleh komputasi kuantum terhadap kriptografi kurva elips semakin nyata, meskipun mesin yang relevan secara kriptografi belum ada. Namun, algoritma Shor sudah menunjukkan seberapa efisien algoritma tersebut dalam memecahkan masalah logaritma diskret dan dengan demikian memecahkan ECDSA.

Yayasan Ethereum telah meluncurkan inisiatif riset pasca-kuantum khusus, dan peta jalan PQ yang lebih luas telah digambarkan. Selain itu, pengembang di seluruh ekosistem sedang menjajaki alternatif yang dapat memperkuat Ethereum sebelum hadirnya perangkat keras kuantum skala besar.

Di Ethereum, akun yang dimiliki secara eksternal (EOA) yang belum pernah mengirim transaksi secara efektif tahan kuantum, karena kunci publiknya tersembunyi di balik hash. Namun, begitu EOA menandatangani transaksi, kunci publik menjadi permanen terbuka di onchain, dan alamat tersebut secara efektif hilang dari perspektif ketahanan kuantum.

Keterbatasan upaya tanda tangan pasca-kuantum saat ini

Beberapa proyek bertujuan membawa skema tanda tangan pasca-kuantum ke EVM, dengan Falcon dan Poqeth sebagai contoh utama. Solusi ini penting untuk keamanan jangka panjang. Namun, verifikasi di onchain tetap mahal, dengan biaya lebih dari 1 juta gas per verifikasi Falcon, sementara tanda tangan berbasis hash saat ini sekitar ~200k gas.

Biaya ini bisa turun jika usulan seperti EIP-8051 dan EIP-8052 ditambahkan ke EVM di masa depan. Selain itu, efisiensi gas bukan satu-satunya hambatan: standardisasi, integrasi dengan dompet perangkat keras, dan ketahanan terhadap serangan kriptografi klasik tetap menjadi tantangan utama untuk standar tanda tangan ETH baru.

Bahkan jika tanda tangan pasca-kuantum yang kokoh secara teknis sudah siap, standardisasi tetap membutuhkan waktu, dan penggantian penuh ECDSA akan memerlukan perubahan pada tingkat protokol. Alih-alih membuang ECDSA secara langsung, desain yang dijelaskan di sini membuat setiap kunci ECDSA dapat dibuang setelah digunakan sekali.

Mendesain keamanan kuantum melalui pasangan kunci ephemeral

Konsep inti memanfaatkan abstraksi akun untuk memisahkan identitas permanen pengguna dari kunci penandatangan. Dompet kontrak pintar mempertahankan identitas onchain statis sementara alamat penandatangan yang berwenang berganti setelah setiap transaksi, secara efektif menciptakan pasangan kunci ephemeral.

Desain ini tidak menghentikan komputer kuantum dari memulihkan kunci pribadi yang terkait dengan transaksi sebelumnya. Namun, memastikan bahwa kunci yang dipulihkan tidak berguna untuk operasi di masa depan, karena dompet kontrak pintar sudah beralih ke penandatangan baru.

Alur kerja dasar cukup sederhana dan secara alami cocok dengan logika dompet kontrak pintar. Selain itu, hanya menggunakan infrastruktur saat ini dan tidak memerlukan perubahan pada aturan protokol Ethereum yang mendasarinya.

Alur transaksi dan rotasi kunci ECDSA

Skema yang diusulkan mengikuti empat langkah jelas untuk setiap transaksi:

Pengguna menambahkan alamat baru ke calldata userOp mereka.

Dompet kontrak pintar memvalidasi userOp dan memeriksa penandatangan saat ini.

UserOp dieksekusi seperti biasa, misalnya melakukan transfer token.

Akhirnya, dompet kontrak pintar memperbarui penandatangan yang berwenang ke alamat baru.

Setelah eksekusi, kunci pribadi lama, bahkan jika dipulihkan, tidak dapat menandatangani apa pun yang berarti untuk dompet tersebut lagi. Hanya alamat baru yang disimpan di dompet kontrak pintar, yang hanya menampilkan nilai yang berasal dari hash dan menjaga kunci baru tetap tahan kuantum sampai transaksi berikutnya.

Dalam praktiknya, pengalaman pengguna dapat ditingkatkan dengan menghasilkan rangkaian alamat baru menggunakan jalur derivasi BIP44. Metode ini sudah menjadi standar di dompet yang banyak digunakan, sehingga overhead implementasi tetap rendah sambil memungkinkan rotasi kunci ECDSA otomatis secara tersembunyi.

Implementasi praktis di Ethereum

Arsitektur ini dapat diimplementasikan dengan melakukan perubahan kecil pada desain SimpleWallet dasar. Yang diperlukan hanyalah logika untuk mengurai alamat penandatangan berikutnya dari calldata dan fungsi yang memperbarui pemilik dompet kontrak pintar sesuai kebutuhan.

Implementasi bukti konsep sudah ada dan menunjukkan bahwa rotasi penandatangan dapat diselesaikan bahkan saat userOp gagal. Selain itu, ini mengatasi masalah utama: jika rotasi hanya terjadi saat keberhasilan, transaksi yang dibatalkan tetap akan mengekspos penandatangan saat ini dan meninggalkan kerentanan pada dompet.

Dengan implementasi saat ini, transaksi contoh menunjukkan biaya sekitar ~136k gas untuk transfer ERC20. Itu berarti overhead gas kurang dari 100k gas dibandingkan transfer token standar di rantai yang sama. Overhead ini jauh lebih rendah dari biaya verifikasi sebagian besar tanda tangan pasca-kuantum di onchain saat ini.

Profil biaya dan manfaat abstraksi akun Ethereum

Biaya gas untuk logika rotasi penandatangan saja, ketika dipasang ke dompet berbasis abstraksi akun yang ada, bahkan lebih rendah dan hampir tidak terasa dalam konteks interaksi DeFi yang kompleks. Selain itu, pengguna mendapatkan semua manfaat umum dari abstraksi akun Ethereum, seperti operasi batch dan aturan validasi yang fleksibel.

Karena alamat dompet tetap konstan sementara penandatangan berganti, desain ini mempertahankan identitas onchain yang stabil untuk dapp, penjelajah, dan pihak lawan. Namun, ini mengubah model keamanan: pengguna harus memastikan bahwa pengaturan pembuatan dan penyimpanan kunci mereka dapat menangani aliran kunci baru secara aman.

Menggunakan mekanisme pemulihan sosial untuk rotasi kunci

Cara alternatif untuk mencapai perilaku serupa adalah dengan menggunakan fitur pemulihan sosial yang sudah ada di banyak dompet kontrak pintar. Kecuali ada pembatasan tertentu yang melarangnya, pengguna dapat menetapkan alamat mereka sendiri sebagai penjaga pemulihan dan memicu prosedur pemulihan setelah setiap transaksi.

Pendekatan ini secara efektif memutar kontrol ke kunci baru melalui logika pemulihan. Namun, ini menimbulkan biaya gas yang sedikit lebih tinggi karena mekanisme yang dirancang untuk pemulihan darurat digunakan untuk penggunaan rutin. Keuntungannya adalah pengguna dapat mengadopsi struktur sadar kuantum ini tanpa mengembangkan arsitektur onchain khusus.

Eksperimen menunjukkan bahwa biaya gas tambahan untuk operasi berbasis pemulihan ini sekitar ~30k gas, sementara total overhead dari arsitektur dasar tanpa pemulihan sekitar ~110k gas. Selain itu, pengembang dompet dapat menyesuaikan parameter ini sesuai prioritas keamanan dan pengalaman pengguna mereka.

Risiko eksposur mempool dan kerentanan tersisa

Para penulis mengakui adanya kerentanan utama yang tidak sepenuhnya diatasi: risiko eksposur mempool selama periode menunggu sebelum transaksi dimasukkan ke blok. Selama jendela tersebut, kunci publik pengguna terlihat di mempool, dan penyerang yang mampu kuantum secara teori dapat memulihkan kunci pribadi dan melakukan frontrunning transaksi.

Mengingat kemampuan kuantum saat ini, skenario ini tidak dianggap segera mengkhawatirkan, karena penyerang hanya memiliki waktu yang sangat singkat untuk melakukan perhitungan. Namun, jika ingin seaman mungkin, mengarahkan transaksi melalui mempool pribadi dapat secara virtual menghilangkan kebocoran tingkat mempool ini.

Selain itu, menerapkan arsitektur ini di jaringan Layer 2 membantu mengurangi risiko. L2 biasanya memiliki waktu konfirmasi yang lebih singkat dan mekanisme pengurutan yang berbeda, mengurangi jendela selama kunci publik terekspos ke penyerang.

Posisi dalam strategi mitigasi pasca-kuantum yang lebih luas

Desain ini harus dipandang sebagai alat pelengkap dalam lanskap mitigasi pasca-kuantum di Ethereum. Tidak berusaha menjadi dompet aman kuantum terbaik secara mutlak, dan tidak menggantikan kebutuhan jangka panjang akan tanda tangan pasca-kuantum asli dalam protokol.

Sebaliknya, ini mengatasi satu kelemahan tertentu: eksposur kunci publik jangka panjang yang akan dieksploitasi algoritma Shor di lapisan eksekusi. Selain itu, hanya menggunakan infrastruktur saat ini dan pola kontrak pintar yang sudah dikenal, sehingga dapat diterapkan tanpa menunggu EIP baru atau standar tanda tangan.

Prospek transaksi aman kuantum di Ethereum

Skema dompet aman kuantum yang diusulkan mencapai keamanan kuantum di lapisan eksekusi dengan merotasi pasangan kunci ECDSA setelah setiap transaksi sambil mempertahankan alamat kontrak pintar yang stabil. Tidak memerlukan perubahan protokol dan menambahkan sekitar ~100k gas di atas transfer dasar, yang merupakan sebagian kecil dari biaya verifikasi pasca-kuantum saat ini.

Ini tidak menggantikan skema tanda tangan pasca-kuantum yang akan datang, yang tetap penting untuk solusi lengkap dan jangka panjang di Ethereum. Namun, dengan menghilangkan eksposur kunci publik jangka panjang, ini menawarkan perlindungan praktis dan bertahap yang dapat diadopsi pengguna dan pengembang dompet hari ini, dengan memanfaatkan mempool pribadi sebagai mitigasi terkuat terhadap risiko eksposur mempool yang tersisa.