并非比特币中的所有资产都会受到量子计算机的威胁。
比特币挖矿,也就是将新区块添加到区块链的过程,使用了一种名为哈希的数学算法,量子计算机无法有效破解。账本本身以及新比特币只能通过挖矿产生的规则,即使遭受量子攻击也能幸免。区块仍会继续生成,区块链也将继续运行。
所有权将不复存在。
比特币钱包采用一种特殊的数学算法进行保护,该算法可以将秘密的私钥转换为任何人都可以查看的公共地址。这种算法只能单向操作,反向操作则完全无效,这正是阻止陌生人盗用你的比特币的唯一机制。
本量子计算系列的第一部分探讨了物理学。量子计算机并非普通计算机的加速版,而是一种本质上不同的机器。它始于一个极冷、极小的金属环,在这个金属环中,粒子的行为方式与地球上其他任何地方都截然不同。
第二部分详细讲解了当你用这台机器搜索比特币时会发生什么。比特币钱包依赖于一个单向数学问题。将一个秘密的私钥转换成一个公钥地址只需几毫秒。而反过来,从公钥地址转换回私钥,普通计算机所需的时间甚至比宇宙的年龄还要长。
一种名为 Shor 的量子算法可以消除这种差距。谷歌本月发表的论文表明,这种攻击所需的资源远比之前任何人估计的都要少,而且攻击窗口的运行时间甚至比比特币自身的区块生成时间还要短。
本文是本系列的最后一篇,主要探讨应对措施。究竟哪些方面面临风险?比特币采取了哪些应对措施?一个旨在抵制协同变革的网络,能否在硬件跟上之前,协调完成其历史上规模最大的安全升级?
哪些暴露在外,哪些安全?
面临风险的人群规模很大。
大约有 690 万枚比特币(约占比特币总挖矿量的三分之一)存放在公钥已永久公开于链上的钱包中。其中大部分是网络早期几年的比特币,它们以默认公开公钥的地址格式存储。此外,所有曾经被花费过的钱包也包含在内,因为花费行为会暴露剩余比特币的密钥。
量子攻击者无需与正在进行的交易赛跑。相反,他们可以按照自己的节奏,逐个攻击那些密钥已经泄露的钱包。比特币的匿名创造者中本聪(Satoshi Nakamoto)持有大约100万枚比特币,自网络早期以来从未被动过,而这批比特币现在已被列入泄露名单。
2021 年的 Taproot 升级加剧了这个问题。Taproot 是对比特币地址工作方式的一次更改,旨在提高交易效率和隐私性。
一个副作用是,自 Taproot 激活以来花费的任何比特币都会泄露保护该地址上剩余比特币的密钥。这并非错误,而是在当时看来合理的权衡之举,因为那时人们对量子时间线的认知远比现在要长得多。
正在筹备什么?
尽管近几个月来量子威胁引发了激烈的争论,其他区块链也在为此做准备,但比特币开发者至今尚未拿出任何具体措施。
以太坊在关注加密货币市场的机构投资者眼中,可以被视为比特币最大的竞争对手之一,它自 2018 年以来就拥有正式的抗量子攻击计划。
以太坊基金会运营着四个全职团队,致力于迁移工作,此外还有十多个独立开发者团队每周发布测试网络。该计划规划了四项即将进行的全网升级,旨在将以太坊的安全机制迁移到量子计算机无法破解的全新算法上。他们甚至还专门设立了一个网站 pq.ethereum.org 来发布进展。
目前比特币还没有类似的策略。
但这并不意味着目前没有任何人致力于解决这个问题。
其中一项正式提案是由一群开发者和研究人员提出的BIP-360。该提案将新增量子安全地址类型,持有者可以自愿迁移到这些地址。另一项来自BitMEX Research的提案则与之竞争,该提案将安装一个检测系统,一旦检测到网络上的量子攻击,就会触发防御措施。
然而,这两个方案都没有得到比特币核心开发者的广泛支持,而且这两个方案解决的是问题的不同方面。
比特币的著名倡导者之一尼克·卡特在过去几个月里多次公开批评了这一点。
卡特在X上写道:“椭圆曲线密码学正濒临过时”,他指的是比特币钱包所采用的数学算法。他称以太坊的方案是“同类最佳”,而比特币的方案则是“同类最差”,并指出一些开发者“否认问题、误导公众、设置门槛、鸵鸟心态”,而不是积极解决问题。
Blockstream 首席执行官兼比特币早期重要贡献者 Adam Back 对紧迫性持不同意见,但同意发展方向。
“量子计算仍有很多需要证明的地方。目前的系统本质上还只是实验室实验,”Back在本月初的一次会议上表示。但他同时指出,比特币应该现在就做好准备,提前构建可选的升级方案,以便网络在需要时能够进行迁移,而不是在危机发生时手忙脚乱。
协调问题
那么,在实施有效解决方案以应对比特币的量子威胁时,最大的挑战是什么?
比特币的迁移比以太坊的迁移更难,原因与实际的数学无关。
以太坊拥有一个基金会来资助工程开发,并建立了一套定期进行重大升级的治理流程。比特币则两者都不具备。它的开发文化将任何中心化机构都视为失败的根源,其社会共识也认为协议的变更应该极其罕见且困难重重。
这些先验知识使比特币网络在过去近二十年里保持稳定,但也使得比特币在结构上更难解决量子问题。
迁移这690万枚暴露的加密货币需要做出一些决定,而这些决定是该网络二十年来一直回避的。是否应该在某个日期之后冻结旧的地址格式,以防止加密货币被盗?是否应该允许暴露的加密货币使用其原始密钥迁移到新的量子安全地址?那些所有者无法或不愿迁移的加密货币又该如何处理?
中本聪的加密货币就是一个最鲜明的例子。冻结旧格式可以保护加密货币免遭盗窃,但也使其永久无法访问,包括中本聪本人也无法访问。而保持旧格式开放则意味着,任何制造出第一台可运行的量子计算机或拥有量子计算机并想发起攻击的人,都可以利用这些加密货币作为永久奖励。
设定迁移截止日期会迫使中本聪要么转移这些代币,从而暴露其所有权,要么失去它们。每一种选择都会改变比特币的特性,而比特币网络历来拒绝改变这种特性。
接下来会发生什么?
谷歌的这份报告本身就是对行业现状的总结。
对比特币所用数学算法的成功攻击“不应被视为采用后量子密码学的警钟,而应被视为后量子密码学采用已经失败的潜在信号。”
这意味着,当威胁显现时,应对的窗口期可能已经关闭。
开发人员现在面临的问题是,一个旨在抵制协调变化的网络,能否在硬件跟上理论发展之前,协调其历史上规模最大的安全升级。
以太坊八年的先发优势表明,正确的做法是现在就开始行动。而比特币的治理文化则表明,更可能的做法是等到威胁显现后再采取行动。
如果实际时间比乐观者的估计要短,那么只有其中一个答案是有效的。
