Около 6,26 млн BTC под угрозой взлома при помощи квантовых компьютеров

Криптографически релевантные квантовые компьютеры (CRQC) могут появиться уже к 2030 году, создавая угрозу хищения до 10 млн BTC, из которых наиболее критично уязвимыми считаются 6,26 млн BTC. На этом фоне Bitcoin-сообщество рассматривает варианты противодействия потенциальной угрозе. 

По данным отчета Chaincode, CRQC в обозримом будущем позволят разрушить основы криптографии Bitcoin. Особенно уязвимыми являются средства с повторным использованием адресов и средства с открытыми публичными ключами, такие как P2PK, P2MS и Taproot (P2TR). Потенциально под угрозой находятся от 4 до 10 млн BTC, включая институциональные холдинги, старые адреса и предположительно утерянные монеты. 

При этом, хотя квантовая угроза для майнинга менее остра из-за ограничений Grover-алгоритма и невозможности эффективного параллелизма, существует риск централизации майнинга и нестабильности сети в случае появления доминирующих квантовых майнеров.

В качестве ответа сообщество Bitcoin обсуждает внедрение постквантовой криптографии (PQC) с использованием алгоритмов SPHINCS+, FALCON и CRYSTALS-Dilithium. Наиболее продвинутые предложения:

1. BIP-360 (P2QRH) — гибридная модель, в которой используется хэш от PQC-ключей вместо открытого ключа, снижая уязвимость.
2. BIP-347 (OP_CAT) — поддержка Lamport-подписей через возврат ранее отключенной инструкции OP_CAT.
3. Опция OP_SPHINCS — внедрение специального опкода для SPHINCS-подписей.

Однако все решения остаются на ранней стадии, и требуют как минимум одного, а иногда и двух софтфорков .

В отчете представлен график внедрения двух стратегий: 

1. Краткосрочная стратегия (~2 года) включает исследование, реализацию минимальной защиты и миграцию уязвимых UTXO.
2. Долгосрочная (~7 лет) — полноценная перестройка архитектуры с масштабной миграцией и внедрением оптимизированных PQC-схем.

В наилучшем сценарии, миграция 190 млн UTXO может занять около 76 дней при полном использовании блокового пространства, но реалистичные оценки при 25% загрузке варьируются от 305 до 568 дней. 

Один из главных нерешенных вопросов — что делать с уязвимыми средствами, если их владельцы недоступны. Два сценария:

1. Сжечь (burn) — сделать средства недоступными, защищая сеть от перехвата.
2. Позволить украсть (steal) — не вмешиваться, соблюдая идею невмешательства, но рискуя массовыми кражами. 

Сторонники сжигания указывают на защиту прав собственности и недопущение произвольного перераспределения богатства, противники считают это актом конфискации.

Напомним, в 2024 году Массимилиано Сала, профессор кафедры математики Трентского университета, опубликовал доклад, в котором отметил, что все блокчейн-сети, использующие в своей работе шифрование с помощью открытого ключа, будут потенциально уязвимы для квантовых компьютеров, которые позволят их взламывать, используя математический перебор.