Ось що насправді означає «взлом» біткоїна квантовими комп’ютерами за 9 хвилин

Команда Quantum AI від Google раніше цього тижня заявила, що майбутній квантовий комп’ютер зможе вивести біткоїн-приватний ключ із публічного ключа приблизно за дев’ять хвилин. Кількість коментарів і згадок різко розлетілася соцмережами та налякала ринки.

Але що це насправді означає на практиці?

Почнемо з того, як працюють транзакції в біткоїні. Коли ви надсилаєте біткоїн, ваш гаманець підписує транзакцію приватним ключем — секретним числом, яке доводить, що ви володієте монетами.

Цей підпис також розкриває ваш публічний ключ — спільний для використання ідентифікатор, який можна надсилати іншим, — і його транслюють у мережу та розміщують у зоні очікування, званій mempool, доки майнер не включить його в блок. У середньому на підтвердження потрібно близько 10 хвилин.

Ваш приватний ключ і публічний ключ пов’язані математичною задачею, яка називається задачею дискретного логарифмування на еліптичних кривих. Класичні комп’ютери не можуть розв’язати цю математику за корисний проміжок часу, тоді як достатньо потужний майбутній квантовий комп’ютер, що працює за алгоритмом під назвою Shor, міг би.

Саме тут і з’являється частина про дев’ять хвилин. У своїй роботі Google з’ясував, що квантовий комп’ютер можна «підготувати» заздалегідь, попередньо обчисливши частини атаки, які не залежать від жодного конкретного публічного ключа.

Коли ваш публічний ключ з’являється в mempool, машині лишається приблизно дев’ять хвилин, щоб завершити роботу та вивести ваш приватний ключ. Середній час підтвердження в біткоїні — 10 хвилин. Це дає атакувальнику приблизно 41% шансів вивести ваш ключ і перенаправити ваші кошти до того, як оригінальна транзакція буде підтверджена.

Уявіть це як крадія, який годинами будує універсальну машину для зламування сейфів (попереднє обчислення). Машина працює для будь-якого сейфа, але кожного разу, коли з’являється новий сейф, їй потрібні лише кілька фінальних налаштувань — і саме цей останній крок займає приблизно дев’ять хвилин.

Це атака через mempool. Вона тривожна, але потребує квантового комп’ютера, якого ще не існує. Оцінка в роботі Google свідчить, що така машина потребувала б менше ніж 500,000 фізичних кубітів. Найбільші квантові процесори сьогодні мають близько 1,000.

Набагато більшою і негайнішою проблемою є 6.9 мільйона біткоїнів — приблизно одна третина від загального обсягу, — які вже лежать у гаманцях, де публічний ключ був назавжди розкритий.

Це включає ранні біткоїн-адреси з перших років роботи мережі, які використовували формат, званий pay-to-public-key, де публічний ключ за замовчуванням видимий у блокчейні. Також це включає будь-який гаманець, який повторно використовував адресу, адже витрата з адреси розкриває публічний ключ для всіх інших залишкових коштів.

Цим монетам не потрібна гонка тривалістю дев’ять хвилин. Атакувальник із достатньо потужним квантовим комп’ютером міг би розкривати їх у спокійному режимі: розбиратися з розкритими ключами по черзі, без часових обмежень.

Оновлення Taproot у біткоїні 2021 року зробило ситуацію гіршою, як повідомляв CoinDesk раніше у вівторок. Taproot змінив спосіб роботи адрес: публічні ключі стали видимими в мережі за замовчуванням, що ненавмисно розширило коло гаманців, які були б вразливими до майбутньої квантової атаки.

Сама біткоїн-мережа продовжувала б працювати. Майнинг використовує інший алгоритм під назвою SHA-256, який квантові комп’ютери не можуть суттєво прискорити за допомогою наявних підходів. Блоки все одно вироблялися б.

Реєстр також лишився б. Але якщо приватні ключі можна вивести з публічних ключів, гарантії володіння, які роблять біткоїн цінним, руйнуються. Будь-хто з розкритими ключами ризикує стати жертвою крадіжки, а інституційна довіра до моделі безпеки мережі руйнується.

Виправлення — постквантова криптографія, яка замінює вразливу математику алгоритмами, які квантові комп’ютери не зможуть зламати. Ethereum витратив вісім років на підготовку до цієї міграції. Біткоїн навіть не починав.