Como um design de carteira quântica segura pode proteger os utilizadores do Ethereum com chaves efémeras e abstração de contas...

Pesquisadores propõem uma nova arquitetura de carteira segura quântica que reutiliza as ferramentas atuais do Ethereum para mitigar ataques quânticos futuros, sem alterar o consenso ou as primitivas de assinatura.

Risco quântico para carteiras Ethereum e ECDSA

A ameaça do computing quântico à criptografia de curvas elípticas torna-se mais concreta, embora uma máquina relevante criptograficamente ainda não exista. No entanto, o algoritmo de Shor já demonstra quão eficientemente poderia resolver o problema do logaritmo discreto e, assim, quebrar o ECDSA.

A Fundação Ethereum lançou iniciativas de pesquisa dedicadas ao pós-quântico, e um roteiro mais amplo de PQ foi delineado. Além disso, desenvolvedores de todo o ecossistema estão explorando alternativas que possam fortalecer o Ethereum antes da chegada de hardware quântico em grande escala.

No Ethereum, uma conta de propriedade externa (EOA) que nunca enviou uma transação é efetivamente resistente a quânticos, porque sua chave pública está oculta por um hash. Dito isto, uma vez que a EOA assina uma transação, a chave pública fica permanentemente exposta na blockchain, e esse endereço é efetivamente “queimado” do ponto de vista da resistência quântica.

Limitações dos esforços atuais de assinatura pós-quântica

Vários projetos visam trazer esquemas de assinatura pós-quântica para a EVM, com Falcon e Poqeth como exemplos destacados. Essas soluções são essenciais para a segurança a longo prazo. No entanto, a verificação na blockchain continua cara, custando mais de 1 milhão de gás por verificação Falcon, enquanto assinaturas baseadas em hash atualmente custam cerca de ~200 mil gás.

Esses custos podem diminuir se propostas como EIP-8051 e EIP-8052 forem adicionadas à EVM no futuro. Além disso, a eficiência de gás não é o único obstáculo: padronização, integração com carteiras de hardware e resistência testada contra ataques criptográficos clássicos continuam sendo desafios para qualquer novo padrão de assinatura ETH.

Mesmo que uma assinatura pós-quântica robusta estivesse tecnicamente pronta, a padronização ainda levaria tempo, e substituir completamente o ECDSA exigiria mudanças no protocolo. Em vez de descartar o ECDSA de imediato, o design aqui descrito torna cada chave ECDSA descartável, usando-a exatamente uma vez.

Projetando segurança quântica através de pares de chaves efêmeros

O conceito central aproveita a abstração de contas para separar a identidade persistente do usuário da chave de assinatura. A carteira inteligente mantém uma identidade estática na blockchain, enquanto o endereço do assinante autorizado rotaciona após cada transação, criando efetivamente pares de chaves efêmeros.

Esse design não impede que um computador quântico recupere a chave privada vinculada a uma transação passada. No entanto, garante que qualquer chave recuperada seja inútil para operações futuras, pois a carteira inteligente já terá passado a um novo assinante.

O fluxo básico é simples e se encaixa naturalmente na lógica de carteiras inteligentes. Além disso, usa apenas a infraestrutura atual e não requer alterações nas regras do protocolo Ethereum.

Fluxo de transação e rotação de chaves ECDSA

O esquema proposto segue quatro passos claros para cada transação:

O usuário adiciona um novo endereço ao calldata de sua userOp.

A carteira inteligente valida a userOp e verifica o assinante atual.

A userOp é executada normalmente, por exemplo, realizando uma transferência de tokens.

Por fim, a carteira inteligente atualiza seu assinante autorizado para o novo endereço.

Após a execução, a chave privada antiga, mesmo que recuperada, não pode assinar nada relevante para essa carteira novamente. Apenas o novo endereço é armazenado na carteira inteligente, revelando apenas um valor derivado de hash e mantendo a nova chave resistente a quânticos até a próxima transação.

Na prática, a experiência do usuário pode ser aprimorada gerando a sequência de novos endereços usando um caminho de derivação BIP44. Este método já é padrão em carteiras amplamente utilizadas, mantendo a implementação simples e permitindo rotação automática de chaves ECDSA por baixo dos panos.

Implementação prática no Ethereum

Essa arquitetura pode ser implementada com pequenas alterações em um design base de SimpleWallet. Tudo o que é necessário é uma lógica para interpretar o próximo endereço do assinante a partir do calldata e uma função que atualize o proprietário da carteira inteligente de acordo.

Uma implementação de prova de conceito já existe e demonstra que a rotação de assinantes pode ser finalizada mesmo quando a userOp reverte. Além disso, resolve uma questão importante: se a rotação ocorresse apenas em caso de sucesso, uma transação revertida ainda exporia o assinante atual, deixando a carteira vulnerável.

Com a implementação atual, transações de exemplo mostram custos de cerca de ~136 mil unidades de gás para uma transferência ERC20. Isso implica uma sobrecarga de gás inferior a 100 mil gás em comparação com uma transferência padrão de tokens na mesma cadeia. Essa sobrecarga é significativamente menor do que o custo de verificar a maioria das assinaturas pós-quânticas na blockchain atualmente.

Perfil de custos e benefícios da abstração de contas no Ethereum

O custo de gás para a lógica de rotação de assinantes, ao ser integrada em uma carteira baseada em abstração de contas existente, é ainda menor e quase insignificante no contexto de interações complexas de DeFi. Além disso, os usuários herdam todos os benefícios habituais da abstração de contas do Ethereum, como operações em lote e regras de validação flexíveis.

Como o endereço da carteira permanece constante enquanto os assinantes mudam, esse design mantém uma identidade estável na blockchain para dApps, exploradores e contrapartes. No entanto, altera o modelo de segurança: os usuários devem garantir que sua geração e armazenamento de chaves possam lidar com uma sequência contínua de novas chaves de forma segura.

Uso de mecanismos de recuperação social para rotação de chaves

Uma alternativa para alcançar comportamento semelhante é reutilizar os recursos de recuperação social já presentes em muitas carteiras inteligentes. A menos que uma restrição específica proíba, um usuário pode definir seu próprio endereço como guardião de recuperação e acionar um procedimento de recuperação após cada transação.

Essa abordagem efetivamente rotaciona o controle para uma nova chave via lógica de recuperação. No entanto, ela implica um custo de gás ligeiramente maior, pois um mecanismo projetado para recuperação de emergência está sendo reutilizado para uso rotineiro. A vantagem é que os usuários podem adotar essa estrutura consciente de quânticos sem precisar implementar arquiteturas personalizadas na blockchain.

Experimentos sugerem que o custo adicional de gás para essa operação baseada em recuperação é de aproximadamente ~30 mil gás, enquanto a sobrecarga total da arquitetura básica sem recuperação fica em torno de ~110 mil gás. Além disso, os desenvolvedores de carteiras podem ajustar esses parâmetros conforme suas prioridades de segurança e experiência do usuário.

Risco de exposição no mempool e vulnerabilidades remanescentes

Os autores reconhecem uma vulnerabilidade importante que esse modelo não elimina completamente: o risco de exposição no mempool durante o período de espera antes de uma transação ser minerada. Nesse intervalo, a chave pública do usuário fica visível no mempool, e um atacante com capacidade quântica poderia, teoricamente, recuperar a chave privada e frontrunear a transação.

Dado o estado atual das capacidades quânticas, esse cenário não é considerado uma ameaça imediata, pois o atacante teria apenas um curto período para realizar o cálculo. No entanto, se se desejar ser o mais conservador possível, roteirizar transações por mempools privados pode praticamente eliminar esse vazamento ao nível do mempool.

Além disso, implantar essa arquitetura em redes Layer 2 ajuda a mitigar o risco. As L2s geralmente têm tempos de confirmação mais curtos e mecanismos de sequenciamento diferentes, reduzindo a janela durante a qual a chave pública fica exposta a um adversário.

Posicionamento dentro de estratégias mais amplas de mitigação pós-quântica

Esse design deve ser visto como uma ferramenta complementar dentro do panorama mais amplo de mitigação pós-quântica no Ethereum. Não tenta ser a carteira quântica mais segura de forma absoluta, nem substitui a necessidade de assinaturas nativas pós-quânticas no protocolo a longo prazo.

Em vez disso, aborda uma vulnerabilidade específica: a exposição de chaves públicas de longo prazo que o algoritmo de Shor exploraria na camada de execução. Além disso, usa apenas infraestrutura atual e padrões familiares de contratos inteligentes, permitindo sua implantação sem esperar por novas EIPs ou padrões de assinatura.

Perspectivas para transações seguras quânticamente no Ethereum

O esquema de carteira segura quântica proposto alcança segurança na camada de execução ao rotacionar pares de chaves ECDSA após cada transação, mantendo um endereço de contrato inteligente estável. Não requer mudanças no protocolo e adiciona aproximadamente ~100 mil gás além de uma transferência padrão, uma fração dos custos atuais de verificação pós-quântica.

Ele não substitui os esquemas de assinatura pós-quântica que virão, que continuam essenciais para uma solução completa e de longo prazo no Ethereum. No entanto, ao eliminar a exposição de chaves públicas de longa duração, oferece uma defesa prática e incremental que usuários e desenvolvedores de carteiras podem adotar hoje, com mempools privados fornecendo a maior mitigação possível para a exposição remanescente ao nível do mempool.