Các máy tính lượng tử có khả năng phá vỡ blockchain Bitcoin hiện chưa tồn tại. Tuy nhiên, các nhà phát triển đã và đang cân nhắc một làn sóng nâng cấp để xây dựng biện pháp phòng vệ chống lại mối đe dọa tiềm tàng, và hoàn toàn đúng, vì mối đe dọa này giờ đây không còn mang tính giả thuyết nữa.
Tuần này, Google đã công bố nghiên cứu cho thấy một máy tính lượng tử đủ mạnh có thể bẻ gãy mật mã cốt lõi của Bitcoin trong vòng chưa đầy chín phút — nhanh hơn một phút so với thời gian trung bình để một khối Bitcoin được hoàn tất. Một số nhà phân tích tin rằng mối đe dọa như vậy có thể trở thành hiện thực vào năm 2029.
Mức độ rủi ro rất lớn: Khoảng 6,5 triệu token bitcoin, trị giá hàng trăm tỷ đô la, nằm trong các địa chỉ mà một máy tính lượng tử có thể nhắm trực tiếp. Một số trong các đồng coin này thuộc về người tạo ra Bitcoin bí danh, Satoshi Nakamoto. Ngoài ra, khả năng bị xâm phạm sẽ làm tổn hại các nguyên tắc cốt lõi của Bitcoin – “hãy tin vào mã” và “tiền bạc lành mạnh”.
Dưới đây là bức tranh về mối đe dọa, cùng với các đề xuất đang được cân nhắc để giảm thiểu nó.
Hai cách một máy lượng tử có thể tấn công Bitcoin
Trước tiên, hãy hiểu tính dễ tổn thương trước khi thảo luận các đề xuất.
Bảo mật của Bitcoin được xây dựng dựa trên một quan hệ toán học một chiều. Khi bạn tạo một ví, một khóa riêng và một con số bí mật được tạo ra, từ đó suy ra một khóa công khai.
Để chi tiêu các token bitcoin cần phải chứng minh quyền sở hữu khóa riêng, không phải bằng cách tiết lộ nó, mà bằng cách sử dụng nó để tạo ra chữ ký mật mã mà mạng có thể xác minh.
Hệ thống này là không thể sai lầm vì các máy tính hiện đại sẽ mất hàng tỷ năm để bẻ khóa mật mã đường cong elliptic — cụ thể là Thuật toán Chữ ký Số Đường cong Elliptic (ECDSA) — để đảo ngược suy ra khóa riêng từ khóa công khai. Vì thế, người ta nói rằng blockchain là điều không thể xâm phạm về mặt tính toán.
Nhưng một máy tính lượng tử trong tương lai có thể biến con đường một chiều này thành hai chiều bằng cách suy ra khóa riêng từ khóa công khai và rút cạn số coin của bạn.
Khóa công khai bị lộ ra theo hai cách: Từ các coin đang nằm im trên onchain (cuộc tấn công phơi bày dài hạn) hoặc các coin đang lưu chuyển/ở trong các giao dịch (các giao dịch chờ trong bộ nhớ đệm — memory pool).
Các địa chỉ Pay-to-public key (P2PK) (được Satoshi và các thợ đào ban đầu sử dụng) và Taproot (P2TR), định dạng địa chỉ hiện tại được kích hoạt vào năm 2021, dễ bị tấn công phơi bày dài hạn. Các coin trong các địa chỉ này không cần phải di chuyển để lộ khóa công khai; việc phơi bày đã xảy ra và có thể đọc được bởi bất kỳ ai trên Trái Đất, kể cả một kẻ tấn công bằng máy lượng tử trong tương lai. Xấp xỉ 1,7 triệu BTC nằm trong các địa chỉ cũ P2PK — bao gồm cả các coin của Satoshi.
Sự phơi bày ngắn hạn gắn với mempool — “phòng chờ” của các giao dịch chưa được xác nhận. Trong lúc các giao dịch nằm đó chờ được đưa vào một khối, khóa công khai và chữ ký của bạn được hiển thị cho toàn bộ mạng.
Một máy tính lượng tử có thể truy cập dữ liệu đó, nhưng chỉ có một khoảng thời gian rất ngắn — trước khi giao dịch được xác nhận và được “chôn” dưới các khối bổ sung — để suy ra khóa riêng tương ứng và thực hiện hành động với nó.
Các sáng kiến
BIP 360: Loại bỏ khóa công khai
Như đã nêu trước đó, mọi địa chỉ Bitcoin mới được tạo bằng Taproot ngày nay đều vĩnh viễn phơi bày một khóa công khai trên onchain, tạo cho máy tính lượng tử trong tương lai một mục tiêu không bao giờ biến mất.
Đề xuất Cải tiến Bitcoin (Bitcoin Improvement Proposal, BIP) 360 loại bỏ khóa công khai được nhúng vĩnh viễn trên onchain và hiển thị cho mọi người bằng cách giới thiệu một loại đầu ra mới gọi là Pay-to-Merkle-Root (P2MR).
Hãy nhớ rằng một máy tính lượng tử nghiên cứu khóa công khai, đảo ngược để suy ra chính xác hình dạng của khóa riêng và giả mạo một bản sao hoạt động. Nếu loại bỏ khóa công khai, cuộc tấn công sẽ không còn gì để dựa vào. Trong khi đó, mọi thứ khác, bao gồm các thanh toán Lightning, các thiết lập đa chữ ký và các tính năng Bitcoin khác, vẫn giữ nguyên.
Tuy nhiên, nếu được triển khai, đề xuất này chỉ bảo vệ các đồng coin mới đi về sau. 1,7 triệu BTC đã nằm trong các địa chỉ phơi bày cũ là một vấn đề riêng, được xử lý bởi các đề xuất khác ở bên dưới.
SPHINCS+ / SLH-DSA: Chữ ký hậu lượng tử dựa trên hàm băm
SPHINCS+ là một lược đồ chữ ký hậu lượng tử được xây dựng trên các hàm băm, tránh các rủi ro lượng tử đối mặt với mật mã đường cong elliptic mà Bitcoin sử dụng. Trong khi thuật toán Shor đe dọa ECDSA, các thiết kế dựa trên hàm băm như SPHINCS+ không được xem là dễ bị tổn thương tương tự.
Lược đồ này được chuẩn hóa bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) vào tháng 8 năm 2024 với tên FIPS 205 (SLH-DSA) sau nhiều năm được đánh giá công khai.
Đánh đổi cho tính an toàn là kích thước. Trong khi chữ ký bitcoin hiện tại có kích thước 64 byte, SLH-DSA có kích thước 8 kilobyte (KB) trở lên. Vì vậy, việc áp dụng SLH-DSA sẽ làm tăng mạnh nhu cầu không gian khối và kéo theo phí giao dịch cao hơn.
Do đó, các đề xuất như SHRIMPS (một lược đồ chữ ký hậu lượng tử khác dựa trên hàm băm) và SHRINCS đã được đưa ra để giảm kích thước chữ ký mà không hy sinh an toàn hậu lượng tử. Cả hai đều dựa trên SHPINCS+ và hướng tới việc duy trì các đảm bảo an toàn của nó theo một dạng thực tế hơn, tiết kiệm không gian hơn, phù hợp cho việc sử dụng trong blockchain.
Lược đồ commit/reveal của Tadge Dryja: “Phanh khẩn cấp” cho mempool
Đề xuất này, một soft fork được đề xuất bởi đồng tác giả của Lightning Network là Tadge Dryja, nhằm bảo vệ các giao dịch trong mempool khỏi một kẻ tấn công lượng tử trong tương lai. Để làm được điều đó, nó tách việc thực thi giao dịch thành hai giai đoạn: Commit và Reveal.
Hãy tưởng tượng bạn thông báo cho một bên đối tác rằng bạn sẽ gửi email cho họ, rồi sau đó thực sự gửi email. Giai đoạn đầu là commit, và giai đoạn sau là reveal.
Trên blockchain, điều này có nghĩa là trước tiên bạn công bố một “dấu vân tay” đã được niêm phong về ý định của mình — chỉ là một hàm băm, không tiết lộ gì về giao dịch. Blockchain sẽ đóng dấu thời gian cho dấu vân tay đó vĩnh viễn. Sau đó, khi bạn phát broadcast giao dịch thực tế, khóa công khai của bạn sẽ trở nên hiển thị — và vâng, một máy tính lượng tử theo dõi mạng có thể suy ra khóa riêng của bạn từ đó và giả mạo một giao dịch cạnh tranh để đánh cắp tiền của bạn.
Nhưng giao dịch giả mạo đó sẽ bị từ chối ngay lập tức. Mạng sẽ kiểm tra: giao dịch chi tiêu này có cam kết trước đó được đăng ký trên onchain không? Của bạn có. Của kẻ tấn công thì không — chúng tạo ra nó chỉ trong vài khoảnh khắc. Dấu vân tay đã được đăng ký trước của bạn chính là bằng chứng ngoại phạm.
Tuy nhiên, vấn đề là chi phí tăng lên do giao dịch bị chia thành hai giai đoạn. Vì vậy, nó được mô tả như một cây cầu tạm thời, có thể triển khai trong lúc cộng đồng làm việc để xây dựng các biện pháp phòng thủ lượng tử.
Hourglass V2: Làm chậm việc chi tiêu các đồng coin cũ
Được đề xuất bởi nhà phát triển Hunter Beast, Hourglass V2 nhắm tới lỗ hổng lượng tử gắn với khoảng 1,7 triệu BTC được nắm giữ trong các địa chỉ cũ, vốn đã bị phơi bày.
Đề xuất thừa nhận rằng các đồng coin này có thể bị đánh cắp trong một cuộc tấn công lượng tử trong tương lai và tìm cách làm chậm sự rò rỉ bằng cách giới hạn việc bán ở mức tối đa một bitcoin mỗi khối, nhằm tránh một đợt thanh lý ồ ạt trong một đêm có thể làm sụp đổ thị trường.
Ẩn dụ ở đây giống như hiện tượng rút tiền hàng loạt khỏi ngân hàng: bạn không thể ngăn mọi người rút tiền, nhưng bạn có thể giới hạn tốc độ rút tiền để ngăn hệ thống sụp đổ qua đêm. Đề xuất này gây tranh cãi vì ngay cả hạn chế giới hạn như vậy cũng bị một số người trong cộng đồng Bitcoin xem là vi phạm nguyên tắc rằng không bên thứ ba nào có thể can thiệp vào quyền chi tiêu các đồng coin của bạn.
Kết luận
Những đề xuất này vẫn chưa được kích hoạt, và quản trị phi tập trung của Bitcoin, trải rộng trên các nhà phát triển, thợ đào và nhà vận hành node, nghĩa là bất kỳ nâng cấp nào cũng có khả năng mất thời gian để trở thành hiện thực.
Tuy vậy, dòng chảy ổn định các đề xuất đã được đưa ra trước báo cáo của Google tuần này cho thấy vấn đề này đã nằm trên radar của các nhà phát triển từ lâu, điều này có thể giúp làm dịu các lo ngại của thị trường.
