並非比特幣中的所有資產都會受到量子計算機的威脅。
比特幣挖礦,也就是將新區塊添加到區塊鏈的過程,使用了一種名為哈希的數學算法,量子計算機無法有效破解。賬本本身以及新比特幣只能通過挖礦產生的規則,即使遭受量子攻擊也能倖免。區塊仍會繼續生成,區塊鏈也將繼續運行。
所有權將不復存在。
比特幣錢包採用一種特殊的數學算法進行保護,該算法可以將秘密的私鑰轉換為任何人都可以查看的公共地址。這種算法只能單向操作,反向操作則完全無效,這正是阻止陌生人盜用你的比特幣的唯一機制。
本量子計算系列的第一部分探討了物理學。量子計算機並非普通計算機的加速版,而是一種本質上不同的機器。它始於一個極冷、極小的金屬環,在這個金屬環中,粒子的行為方式與地球上其他任何地方都截然不同。
第二部分詳細講解了當你用這臺機器搜索比特幣時會發生什麼。比特幣錢包依賴於一個單向數學問題。將一個秘密的私鑰轉換成一個公鑰地址只需幾毫秒。而反過來,從公鑰地址轉換回私鑰,普通計算機所需的時間甚至比宇宙的年齡還要長。
一種名為 Shor 的量子算法可以消除這種差距。谷歌本月發表的論文表明,這種攻擊所需的資源遠比之前任何人估計的都要少,而且攻擊窗口的運行時間甚至比比特幣自身的區塊生成時間還要短。
本文是本系列的最後一篇,主要探討應對措施。究竟哪些方面面臨風險?比特幣採取了哪些應對措施?一個旨在抵制協同變革的網絡,能否在硬件跟上之前,協調完成其歷史上規模最大的安全升級?
哪些暴露在外,哪些安全?
面臨風險的人群規模很大。
大約有 690 萬枚比特幣(約佔比特幣總挖礦量的三分之一)存放在公鑰已永久公開於鏈上的錢包中。其中大部分是網絡早期幾年的比特幣,它們以默認公開公鑰的地址格式存儲。此外,所有曾經被花費過的錢包也包含在內,因為花費行為會暴露剩餘比特幣的密鑰。
量子攻擊者無需與正在進行的交易賽跑。相反,他們可以按照自己的節奏,逐個攻擊那些密鑰已經洩露的錢包。比特幣的匿名創造者中本聰(Satoshi Nakamoto)持有大約100萬枚比特幣,自網絡早期以來從未被動過,而這批比特幣現在已被列入洩露名單。
2021 年的 Taproot 升級加劇了這個問題。Taproot 是對比特幣地址工作方式的一次更改,旨在提高交易效率和隱私性。
一個副作用是,自 Taproot 激活以來花費的任何比特幣都會洩露保護該地址上剩餘比特幣的密鑰。這並非錯誤,而是在當時看來合理的權衡之舉,因為那時人們對量子時間線的認知遠比現在要長得多。
正在籌備什麼?
儘管近幾個月來量子威脅引發了激烈的爭論,其他區塊鏈也在為此做準備,但比特幣開發者至今尚未拿出任何具體措施。
以太坊在關注加密貨幣市場的機構投資者眼中,可以被視為比特幣最大的競爭對手之一,它自 2018 年以來就擁有正式的抗量子攻擊計劃。
以太坊基金會運營著四個全職團隊,致力於遷移工作,此外還有十多個獨立開發者團隊每週發佈測試網絡。該計劃規劃了四項即將進行的全網升級,旨在將以太坊的安全機制遷移到量子計算機無法破解的全新算法上。他們甚至還專門設立了一個網站 pq.ethereum.org 來發布進展。
目前比特幣還沒有類似的策略。
但這並不意味著目前沒有任何人致力於解決這個問題。
其中一項正式提案是由一群開發者和研究人員提出的BIP-360。該提案將新增量子安全地址類型,持有者可以自願遷移到這些地址。另一項來自BitMEX Research的提案則與之競爭,該提案將安裝一個檢測系統,一旦檢測到網絡上的量子攻擊,就會觸發防禦措施。
然而,這兩個方案都沒有得到比特幣核心開發者的廣泛支持,而且這兩個方案解決的是問題的不同方面。
比特幣的著名倡導者之一尼克·卡特在過去幾個月裡多次公開批評了這一點。
卡特在X上寫道:“橢圓曲線密碼學正瀕臨過時”,他指的是比特幣錢包所採用的數學算法。他稱以太坊的方案是“同類最佳”,而比特幣的方案則是“同類最差”,並指出一些開發者“否認問題、誤導公眾、設置門檻、鴕鳥心態”,而不是積極解決問題。
Blockstream 首席執行官兼比特幣早期重要貢獻者 Adam Back 對緊迫性持不同意見,但同意發展方向。
“量子計算仍有很多需要證明的地方。目前的系統本質上還只是實驗室實驗,”Back在本月初的一次會議上表示。但他同時指出,比特幣應該現在就做好準備,提前構建可選的升級方案,以便網絡在需要時能夠進行遷移,而不是在危機發生時手忙腳亂。
協調問題
那麼,在實施有效解決方案以應對比特幣的量子威脅時,最大的挑戰是什麼?
比特幣的遷移比以太坊的遷移更難,原因與實際的數學無關。
以太坊擁有一個基金會來資助工程開發,並建立了一套定期進行重大升級的治理流程。比特幣則兩者都不具備。它的開發文化將任何中心化機構都視為失敗的根源,其社會共識也認為協議的變更應該極其罕見且困難重重。
這些先驗知識使比特幣網絡在過去近二十年裡保持穩定,但也使得比特幣在結構上更難解決量子問題。
遷移這690萬枚暴露的加密貨幣需要做出一些決定,而這些決定是該網絡二十年來一直迴避的。是否應該在某個日期之後凍結舊的地址格式,以防止加密貨幣被盜?是否應該允許暴露的加密貨幣使用其原始密鑰遷移到新的量子安全地址?那些所有者無法或不願遷移的加密貨幣又該如何處理?
中本聰的加密貨幣就是一個最鮮明的例子。凍結舊格式可以保護加密貨幣免遭盜竊,但也使其永久無法訪問,包括中本聰本人也無法訪問。而保持舊格式開放則意味著,任何製造出第一臺可運行的量子計算機或擁有量子計算機並想發起攻擊的人,都可以利用這些加密貨幣作為永久獎勵。
設定遷移截止日期會迫使中本聰要麼轉移這些代幣,從而暴露其所有權,要麼失去它們。每一種選擇都會改變比特幣的特性,而比特幣網絡歷來拒絕改變這種特性。
接下來會發生什麼?
谷歌的這份報告本身就是對行業現狀的總結。
對比特幣所用數學算法的成功攻擊“不應被視為採用後量子密碼學的警鐘,而應被視為後量子密碼學採用已經失敗的潛在信號。”
這意味著,當威脅顯現時,應對的窗口期可能已經關閉。
開發人員現在面臨的問題是,一個旨在抵制協調變化的網絡,能否在硬件跟上理論發展之前,協調其歷史上規模最大的安全升級。
以太坊八年的先發優勢表明,正確的做法是現在就開始行動。而比特幣的治理文化則表明,更可能的做法是等到威脅顯現後再採取行動。
如果實際時間比樂觀者的估計要短,那麼只有其中一個答案是有效的。
