Недавняя работа исследователей Google Quantum AI привлекла внимание к вопросам безопасности, связанных с криптографией, используемой в Bitcoin и Ethereum. В этом исследовании было резко снижено количество аппаратных ресурсов, необходимых для взлома эллиптической кривой криптографии, что поднимает важные вопросы о безопасности этих цифровых валют. По текущим рыночным ценам, риски, связанные с квантовыми вычислениями, могут затронуть более $600 миллиардов в Bitcoin, Ethereum и стейблкоинах.
Снижение оценок и новые вычислительные возможности
В статье, соавторами которой стали исследователи Google, исследователь Ethereum Foundation Джастин Дрейк и криптограф Стэнфорда Дэн Бонех, утверждается, что алгоритм Шора для решения задачи дискретного логарифма на 256-битной эллиптической кривой может работать с использованием не более 1,200 логических кубитов и 90 миллионов ворот Тоффоли или не более 1,450 логических кубитов и 70 миллионов ворот Тоффоли. Google утверждает, что такие схемы могут быть выполнены на сверхпроводящем квантовом компьютере с криптографически значимым числом менее 500,000 физических кубитов за несколько минут, что составляет примерно 20-кратное снижение предыдущих оценок количества физических кубитов.
Важно отметить, что Google не утверждает, что такая машина существует в настоящее время. Тем не менее, Джастин Дрейк из Ethereum Foundation сообщил, что его уверенность в наступлении так называемого «Q-дня» к 2032 году значительно возросла, и он теперь видит как минимум 10% вероятность того, что квантовый компьютер сможет восстановить закрытый ключ secp256k1 из открытого ключа к тому времени.
Взаимодействие с правительством и новые подходы к раскрытию информации
Google сопроводил публикацию статьи необычной моделью раскрытия информации, сообщив, что взаимодействовал с правительством США и использовал нулевое знание для того, чтобы сторонние лица могли проверить оценки ресурсов без получения информации о подлежащих атакам схемах. В статье говорится, что прогресс в квантовых вычислениях достиг такой точки, что публикация подробностей о атаках стала менее разумной, даже несмотря на то, что публикация надежных оценок ресурсов остается необходимой для мотивации защиты.
Риски для Bitcoin: гонка с временем
Для Bitcoin непосредственная угроза заключается в тайминге. В статье моделируется атака «on-spend», при которой квантовая машина получает закрытый ключ после того, как пользователь раскрывает открытый ключ, транслируя транзакцию, и затем пытается синдицировать конкурирующую транзакцию до того, как оригинальный платеж будет подтвержден. Согласно предположениям статьи, быстрая сверхпроводящая машина может сократить окно атаки до примерно 9 минут, что близко к среднему времени блока Bitcoin, составляющему около 10 минут. Это предполагает вероятность успешного кражи чуть менее 41%.
Кроме того, в статье указывается, что около 6.7 миллионов BTC находятся на уязвимых адресах, что эквивалентно примерно $444 миллиардам или почти 32% от общего объема BTC в 21 миллион монет. Из этого количества более 1.7 миллиона BTC, защищенных старыми скриптами Pay-to-Public-Key, стоят около $112.6 миллиардов по текущим рыночным ценам. Общая сумма неактивного Bitcoin, уязвимого для квантовых атак, может достигать 2.3 миллиона BTC, что составляет около $152.3 миллиардов.
Риски для Ethereum: атаки на кошельки и активы
Риски для Ethereum представлены несколько иначе. В статье утверждается, что ранние квантовые компьютеры с высокой тактовой частотой вряд ли смогут осуществить аналогичную атаку «on-spend», поскольку Ethereum генерирует блоки в детерминированных 12-секундных интервалах, обрабатывает большинство транзакций менее чем за минуту и уже сильно полагается на частные мемпулы. Основная угроза квантовых вычислений заключается в атаках на долгосрочные аккаунты и системы, связанные с ними.
Статья оценивает, что атакующий с быстрой тактовой частотой может взломать 1,000 самых высоких по стоимости аккаунтов Ethereum, содержащих около 20.5 миллионов ETH, менее чем за девять дней. По цене ETH на уровне около $2,023.46, это составляет примерно $41.5 миллиардов. Среди 500 лучших контрактных аккаунтов по балансу ETH, по данным статьи, по меньшей мере 70 аккаунтов, содержащих около 2.5 миллионов ETH, уязвимы через административные ключи, что составляет около $5.1 миллиарда по текущим ценам. Атака на эти аккаунты может занять менее 15 часов на машине с быстрой тактовой частотой.
Необходимость миграции к постквантовой криптографии
На фоне этих угроз индустрия задается вопросом, смогут ли блокчейны, кошельки, биржи и эмитенты токенизированных активов мигрировать до того, как экономика атак изменится. Шарль Гийемет, технический директор Ledger, отметил: «Хорошая новость заключается в том, что у нас уже есть инструменты: постквантовая криптография, теперь нам нужно мигрировать». Однако в статье Google говорится, что этот процесс займет годы, и индустрия не может ждать идеальной ясности относительно точной даты появления криптографически значимых квантовых компьютеров.
По мнению авторов, это потребует как работы с протоколами, так и изменений в поведении кошельков, включая уменьшение раскрытия открытых ключей и прекращение повторного использования ключей, где это возможно. В конечном итоге уязвимые криптовалютные сообщества должны без промедления перейти на постквантовую криптографию. Для Bitcoin это означает гонку с окном расчетов, которое больше не выглядит комфортно широким. Для Ethereum это означает защиту не только монет, но и гораздо большего объема контрактов и токенизированных требований, которые теперь находятся на той же уязвимой математической основе.
Заключение
Таким образом, работа Google Quantum AI подчеркивает важность подготовки к потенциальным угрозам, связанным с квантовыми вычислениями. Снижение оценок необходимых ресурсов для атак на криптографию открывает новые горизонты для обсуждения безопасности Bitcoin и Ethereum. Индустрия должна действовать быстро и эффективно, чтобы защитить свои активы и обеспечить безопасность пользователей в условиях быстро меняющегося технологического ландшафта. Переход на постквантовую криптографию становится не просто рекомендацией, а необходимостью для сохранения целостности и безопасности цифровых валют.
