Бітикоїнові бичачі настрої стикаються з ризиком крадіжки квантовими підписами на 6.7м відкритих BTC

Квантові комп’ютери не можуть розшифрувати Bitcoin, але можуть підробляти підписи з відкритих публічних ключів, ставлячи під загрозу @E5@~6,7м BTC, якщо гаманці не перейдуть на пост-квантові шляхи до появи великих машин з відмовостійкістю.
Зведення

• Bitcoin не зберігає зашифровані секрети в ланцюгу; критична квантова загроза — відновлення ключів за допомогою Shor з відкритих публічних ключів, що дозволяє підробляти авторизацію на уразливих UTXO.
• Проєкт Eleven’s Bitcoin Risq List оцінює близько 6,7 м BTC у адресах, що відповідають його критеріям відкриття публічних ключів, з урахуванням змін Taproot, але без усунення ризику, якщо масштабуються квантові машини.
• Поточні оцінки свідчать, що для зламу 256-бітної ECC потрібно приблизно ~2 330 логічних кубітів і мільйони фізичних кубітів, що дає час для інтеграції пост-квантових виходів рівня BIP (, наприклад, P2QRH) та схем стандарту NIST, незважаючи на більші, важчі за комісією підписів.

Квантові комп’ютери становлять загрозу для Bitcoin (BTC) через потенційне використання цифрових підписів, а не розшифрування зашифрованих даних, згідно з дослідниками та розробниками безпеки криптовалют.

Квант і Bitcoin, технологічна перевірка?

Bitcoin не зберігає зашифровані секрети у своєму блокчейні, тому поширена ідея про “квантові комп’ютери, що зламують шифрування Bitcoin” є технічно неправильною, стверджує Адам Бек, довголітній розробник Bitcoin і винахідник Hashcash. Безпека криптовалюти базується на цифрових підписах і хеш-орієнтованих зобов’язаннях, а не на шифротексті.

“Bitcoin не використовує шифрування,” — заявив Бек у соціальній мережі X, додавши, що ця термінологічна помилка свідчить про нерозуміння основ технології.

Реальна квантова загроза полягає у підробці авторизації, коли достатньо потужний квантовий комп’ютер, що працює за алгоритмом Shor, може вивести приватний ключ з відкритого публічного ключа в ланцюгу та створити дійсний підпис для транзакції, що витрачає кошти, згідно з технічною документацією.

Системи підписів Bitcoin, ECDSA і Schnorr, підтверджують контроль над парою ключів. Відкритий ключ є головною проблемою безпеки, залежно від того, яка інформація з’являється в ланцюгу. Багато форматів адрес закодовані у хеші публічного ключа, приховуючи сам публічний ключ до моменту витрати.

Проєкт Eleven, організація досліджень безпеки криптовалют, підтримує відкритий “Bitcoin Risq List”, що відстежує відкриття публічних ключів на рівні скриптів і повторного використання адрес. Відкритий трекер організації показує приблизно 6,7 мільйонів BTC, що відповідають її критеріям відкриття, згідно з опублікованою методологією.

Виходи Taproot, відомі як P2TR, містять у вихідній програмі 32-байтовий змінений публічний ключ, а не хеш публічного ключа, як описано у Bitcoin Improvement Proposal 341. Це змінює модель відкриття, що матиме значення лише при запуску великих машин з відмовостійкістю, згідно з документацією Проєкту Eleven.

Дослідження, опубліковане у “Quantum resource estimates for computing elliptic curve discrete logarithms” Роетелера та співавторів, встановлює верхню межу у 9n + 2⌈log2(n)⌉ + 10 логічних кубітів для обчислення дискретного логарифма на еліптичній кривій у полях з простим числом довжиною n. Для n=256 це приблизно 2 330 логічних кубітів.

Оцінка 2023 року від Litinski встановлює обчислення приватного ключа на 256-бітній еліптичній кривій приблизно у 50 мільйонів гейтов Toffoli. За цими припущеннями, модульний підхід може обчислити один ключ приблизно за 10 хвилин, використовуючи близько 6,9 мільйонів фізичних кубітів. У статті Schneier on Security наведено оцінки, що скупчуються навколо 13 мільйонів фізичних кубітів для зламу шифрування за один день, а для цільового вікна у одну годину потрібно приблизно 317 мільйонів фізичних кубітів.

Алгоритм Гровера, який забезпечує швидкість у квадратному корені для грубої сили, є квантовою загрозою для хеш-функцій. Дослідження NIST показує, що для SHA-256 преобразів ціль залишається на рівні 2^128 робіт після застосування алгоритму Гровера, що не порівнюється з розломом дискретного логарифма еліптичної кривої.

Пост-квантові підписи зазвичай мають розмір у кілобайти, а не десятки байт, що впливає на економіку ваги транзакцій і досвід користувачів гаманця, згідно з технічними специфікаціями.

NIST стандартизує пост-квантові примітиви, включаючи ML-KEM (FIPS 203) у рамках ширшого плану міграції. У екосистемі Bitcoin пропонується тип виходу “Pay to Quantum Resistant Hash” у BIP 360, а qbip.org підтримує ідею закінчення підтримки застарілих підписів для стимулювання міграції.

IBM у недавній заяві Reuters обговорила прогрес у компонентах корекції помилок, повторюючи шлях розвитку до відмовостійкої квантової системи близько 2029 року. Компанія також повідомила, що ключовий алгоритм корекції помилок може працювати на звичайних AMD-чипах, згідно з окремим звітом Reuters.

Вимірювані фактори включають частку набору UTXO з відкритими публічними ключами, зміни у поведінці гаманця у відповідь на цю відкритість, а також швидкість впровадження квантово-стійких шляхів витрат у мережі при збереженні валідації та обмежень ринку комісій, згідно з аналізом Проєкту Eleven.