Чому Віталік вважає, що квантові обчислення можуть зламати криптографію Ethereum раніше, ніж очікувалося

Основні висновки

• Бутерін бачить нетривіальний 20% шанс, що квантові комп'ютери можуть зламати сучасну криптографію до 2030 року, і він стверджує, що Ethereum має почати готуватися до цієї можливості.
• Основний ризик пов'язаний з ECDSA. Як тільки публічний ключ стає видимим в ончейн, теоретично майбутній квантовий комп'ютер міг би використати його для відновлення відповідного приватного ключа.
• План надзвичайної ситуації Бутеріна з квантової безпеки передбачає скасування блоків, заморожування EOA та переміщення коштів у смарт-контрактні гаманці, стійкі до квантових атак.
• Пом'якшення означає смарт-контрактні гаманці, підписання пост-квантового рівня, затверджене NIST, і крипто-гнучку інфраструктуру, яка може змінювати схеми без хаосу.

Наприкінці 2025 року співзасновник Ethereum Віталік Бутерин зробив щось незвичне. Він поставив цифри на ризик, який зазвичай обговорюється в термінах наукової фантастики.

Цитуючи платформу прогнозування Metaculus, Бутерін сказав, що є “близько 20% ймовірності”, що квантові комп'ютери, здатні ламати сучасну криптографію, можуть з'явитися до 2030 року, а медіанне прогнозування ближче до 2040 року.

Кілька місяців потому на Devconnect у Буенос-Айресі він попередив, що еліптична криволінійна криптографія, основа Ethereum та Bitcoin, “може зламатися до наступних президентських виборів у США в 2028 році.” Він також закликав Ethereum перейти на основи, стійкі до квантових обчислень, протягом приблизно чотирьох років.

За його словами, існує ненульова ймовірність появи криптографічно значущого квантового комп'ютера в 2020-х; якщо це так, то ризик належить до дослідницької дорожньої карти Ethereum. Це не слід розглядати як щось для віддаленого майбутнього.

Ви знали? Станом на 2025 рік, дані Etherscan показують більше ніж 350 мільйонів унікальних адрес Ethereum, що підкреслює, наскільки широко розширилася мережа, хоча лише мала частка цих адрес має значні залишки або залишається активною.

Чому квантові обчислення є проблемою для криптографії Ethereum

Більшість безпеки Ethereum залежить від рівняння дискретного логарифма еліптичної кривої (ECDLP), яке є основою алгоритму цифрового підпису еліптичної кривої (ECDSA). Ethereum використовує еліптичну криву secp256k1 для цих підписів. Просто:

• Ваш приватний ключ - це велике випадкове число.
• Ваш публічний ключ - це точка на кривій, отримана з цього приватного ключа.
• Ваша адреса є хешем цього публічного ключа.

На класичному обладнанні перехід від приватного ключа до публічного ключа є простим, але повернення назад вважається комп'ютерно неможливим. Ця асиметрія є причиною, чому 256-бітний ключ вважається фактично невгадуваним.

Квантові обчислення загрожують цій асиметрії. Алгоритм Шора, запропонований у 1994 році, показує, що достатньо потужний квантовий комп'ютер міг би розв'язати рівняння дискретного логарифму та пов'язані рівняння факторизації за поліноміальний час, що підриває такі схеми, як Rivest-Shamir-Adleman (RSA), Diffie-Hellman та ECDSA.

Інтернет-інженерний комітет і Національний інститут стандартів і технологій (NIST) обидва визнають, що класичні системи еліптичних кривих будуть вразливими в присутності криптографічно релевантного квантового комп'ютера (CRQC).

Пост дослідження Бутеріна про потенційну квантову надзвичайну ситуацію підкреслює ключову тонкість для Ethereum. Якщо ви ніколи не витрачали з адреси, лише хеш вашого публічного ключа видимий в ончейні, і вважається, що він все ще є квантово безпечним. Коли ви надсилаєте транзакцію, ваш публічний ключ стає видимим, що надає майбутньому квантовому зловмиснику сировину, необхідну для відновлення вашого приватного ключа та виведення коштів з рахунку.

Отже, основний ризик полягає не в тому, що квантові комп'ютери зламають Keccak або структури даних Ethereum; проблема в тому, що майбутня машина може націлитися на будь-яку адресу, публічний ключ якої коли-небудь був розкритий, що охоплює більшість гаманців користувачів та багато казначейств смарт-контрактів.

Що сказав Бутерін і як він визначає ризик

Коментарі Бутеріна мають дві основні частини.

По-перше, це оцінка ймовірності. Замість того, щоб вгадувати самостійно, він вказав на прогнози Metaculus, які оцінюють шанси на те, що квантові комп'ютери зможуть зламати сучасну публічну ключову криптографію, приблизно один до п'яти до 2030 року. Ті ж прогнози розміщують медіанне сценарій навколо 2040 року. Його аргумент полягає в тому, що навіть такий ризик з хвостом є достатньо високим для Ethereum, щоб підготуватися заздалегідь.

Другим є формулювання 2028 року. На Devconnect він, за повідомленнями, сказав аудиторії, що “еліптичні криві помруть”, посилаючись на дослідження, які свідчать про те, що квантові атаки на 256-бітні еліптичні криві можуть стати можливими до президентських виборів у США 2028 року. Деякі новини стиснули це до заголовка на кшталт “Ethereum має чотири роки”, але його повідомлення було більш нюансованим:

• Поточні квантові комп'ютери не можуть атакувати Ethereum або Bitcoin сьогодні.
• Коли CRQC з'являться, ECDSA та пов'язані системи стануть структурно небезпечними.
• Міграція глобальної мережі на постквантові схеми займає роки, тому очікування очевидної небезпеки саме по собі є ризикованим.

Іншими словами, він думає як інженер з безпеки. Ви не евакуюєте місто через 20% ймовірності великого землетрусу в наступному десятилітті, але ви підсилюєте мости, поки у вас ще є час.

Ви знали? Остання дорожня карта IBM поєднує нові квантові чіпи, Nighthawk і Loon, з метою продемонструвати стійке до помилок квантове обчислення до 2029 року. Вона також нещодавно показала, що ключовий алгоритм квантової корекції помилок може ефективно працювати на звичайному обладнанні AMD.

Всередині плану жорсткого форку “квантової надзвичайної ситуації”

Задовго до цих нещодавніх публічних попереджень, Бутерін виклав пост дослідження Ethereum 2024 під назвою “Як виконати жорсткий форк, щоб зберегти більшість коштів користувачів у випадку квантової надзвичайної ситуації”. У ньому описано, що Ethereum може зробити, якщо раптовий квантовий прорив вразить екосистему.

Уявіть собі публічне оголошення про запуск великих квантових комп'ютерів, і зловмисники вже викачують гаманці, захищені ECDSA. Що тоді?

Виявити атаку та відкотити

Ethereum поверне ланцюг до останнього блоку, перед тим як масове квантове викрадення стало чітко помітним.

Вимкнути транзакції спадщини EOA

Традиційні зовнішні рахунки (EOAs), які використовують ECDSA, будуть заморожені від відправлення коштів, що призведе до припинення подальшої крадіжки через відкриті публічні ключі.

Маршрутизуйте все через гаманці смарт-контрактів

Новий тип транзакції дозволить користувачам доводити, через нульове знання STARK, що вони контролюють оригінальний насіння або шлях отримання — наприклад, пропозиція покращення Bitcoin (BIP) 32 HD гаманець передображення, для вразливої адреси.

Доказ також вказуватиме новий код перевірки для смарт-контрактного гаманця, стійкого до квантових атак. Після підтвердження контроль над коштами переходить до цього контракту, який може забезпечити виконання постквантових підписів з цього моменту.

Партійні докази для ефективності газу

Оскільки докази STARK є великими, дизайн передбачає пакетування. Агрегатори надсилають пакети доказів, що дозволяє багатьом користувачам пересуватися одночасно, зберігаючи при цьому секретне попереднє зображення кожного користувача в таємниці.

Важливо, що це позиціонується як інструмент відновлення в крайньому випадку, а не як План А. Аргумент Бутеріна полягає в тому, що багато з протоколів, необхідних для такого форку, включаючи абстракцію рахунків, потужні системи ZK-доказів та стандартизовані схемі підписів, стійких до квантових атак, можуть і повинні бути розроблені.

У цьому сенсі підготовка до квантових надзвичайних ситуацій стає вимогою дизайну для інфраструктури Ethereum, а не просто цікавим теоретичним експериментом.

Що експерти кажуть про терміни

Якщо Бутерін спирається на публічні прогнози, що насправді кажуть спеціалісти з апаратного забезпечення та криптографії?

На апаратній стороні чип Willow від Google, представлений наприкінці 2024 року, є одним з найсучасніших публічних квантових процесорів на сьогодні, з 105 фізичними кубітами та логічними кубітами з виправленням помилок, які можуть перевершити класичні суперкомп'ютери за певними показниками.

Проте директор квантового ШІ Google чітко заявив, що “чіп Willow не здатний зламати сучасну криптографію”. Він оцінює, що для зламу RSA знадобиться мільйони фізичних кубітів і це принаймні через 10 років.

Академічні ресурси вказують в одному напрямку. Один широко цитований аналіз виявляє, що для зламу 256-бітної еліптичної кривої криптографії за годину за допомогою захищених поверхневим кодом кубітів знадобиться десятки або сотні мільйонів фізичних кубітів, що значно перевищує все, що доступно сьогодні.

З точки зору криптографії, NIST та академічні групи в таких місцях, як Масачусетський технологічний інститут, роками попереджали, що, як тільки з'являться криптографічно релевантні квантові комп'ютери, вони зламають практично всі широко розгорнуті системи відкритих ключів, включаючи RSA, Diffie-Hellman, еліптичний Curve Diffie-Hellman та ECDSA, за допомогою алгоритму Шора. Це стосується як ретроспективно, розшифровуючи зібраний трафік, так і перспективно, підробляючи підписи.

Ось чому NIST витратив майже десятиліття на проведення свого конкурсу постквантової криптографії і в 2024 році затвердив свої перші три стандарти PQC: ML-KEM для інкапсуляції ключів та ML-DSA і SLH-DSA для підписів.

Немає експертної згоди щодо точного “Дня Q”. Більшість оцінок знаходяться в межах 10-20 років, хоча деякі нещодавні дослідження розглядають оптимістичні сценарії, за яких атаки з відмовостійкістю на еліптичних кривих можуть стати можливими наприкінці 2020-х років за агресивних припущень.

Політичні органи, такі як Білий дім США та NIST, серйозно ставляться до ризику, щоб досягти впровадження постквантової криптографії (PQC) у федеральних системах до середини 2030-х років, що передбачає небезпеку того, що криптографічно значущі квантові комп'ютери з'являться в цей період.

Побачивши це в такому світлі, формулювання Бутеріна “20% до 2030 року” та “можливо, раніше 2028 року” є частиною ширшого спектру оцінок ризиків, де справжнє повідомлення полягає в невизначеності плюс тривалі терміни міграції, а не в ідеї, що машина для зламу коду таємно працює онлайн сьогодні.

Ви знали? Звіт Національного інституту стандартів і технологій та Білого дому за 2024 рік оцінює, що для федеральних агентств США міграція їхніх систем на постквантову криптографію між 2025 і 2035 роками коштуватиме близько 7,1 мільярда доларів, і це лише ІТ-інфраструктура одного з урядів країни.

Що потрібно змінити в Ethereum, якщо прискориться прогрес квантових технологій

На стороні протоколу та гаманця вже конвергують кілька потоків:

Абстракція рахунків та гаманці смарт-контрактів

Переміщення користувачів з простих EOA до оновлювальних гаманців на основі смарт-контрактів, через абстракцію облікових записів у стилі ERC-4337, значно спрощує заміну схем підписів пізніше без екстрених хард-форк. Деякі проекти вже демонструють гаманці, стійкі до квантових атак, у стилі Lamport або eXtended Merkle Signature Scheme (XMSS) на Ethereum сьогодні.

Схеми підпису після квантового періоду

Ethereum повинно обрати ( і протестувати ) одну або кілька родин підписів PQC (, ймовірно, з конструкцій NIST ML-DSA/SLH-DSA або на основі хешування ) та розглянути компроміси у розмірі ключа, розмірі підпису, вартості верифікації та інтеграції смарт-контрактів.

Криптоагільність для решти стеку

Еліптичні криві використовуються не тільки для ключів користувачів. Підписи BLS, зобов'язання KZG та деякі системи доказів для роллапів також залежать від складності дискретного логарифму. Серйозна дорожня карта, стійка до квантових загроз, потребує альтернатив для цих будівельних блоків.

На соціальному та управлінському рівні пропозиція Бутеріна щодо квантового надзвичайного форку нагадує, наскільки багато координації буде потрібно для будь-якої реальної реакції. Навіть при ідеальній криптографії, повернення блоків, заморожування старих облікових записів або впровадження масової міграції ключів буде політично та оперативно суперечливим. Саме тому він та інші дослідники виступають за:

• Створення механізмів аварійного вимкнення або квантових канарок, які можуть автоматично активувати правила міграції, як тільки менший, навмисно вразливий тестовий актив буде доведено, що зламаний.
• Розглядати міграцію після квантових технологій як поступовий процес вибору, який користувачі можуть прийняти задовго до будь-якої надійної атаки, а не як метушню в останній момент.

Для фізичних осіб та установ короткостроковий список завдань є простішим:

• Вибирайте гаманці та схеми зберігання, які можуть оновлювати свою криптографію без примусу до переходу на зовсім нові адреси.
• Уникайте непотрібного повторного використання адрес, щоб зменшити кількість відкритих ключів, які виявляються в мережі.
• Відстежуйте можливі вибори пост-квантових підписів Ethereum і будьте готові до міграції, як тільки з'являться надійні інструменти.

Квантовий ризик слід розглядати так, як інженери думають про повені чи землетруси. Малоймовірно, що він зруйнує ваш будинок цього року, але ймовірність достатня на довгому горизонті, щоб має сенс проектувати фундаменти, враховуючи це.

Ця стаття не містить інвестиційних порад або рекомендацій. Кожна інвестиція та торгівельний крок пов'язані з ризиком, і читачі повинні проводити власні дослідження при прийнятті рішення.

• #Блокчейн
• #Криптовалюти
• #Альткоїни
• #Безпека
• #Ethereum
• #Віталік Бутерін
• #Кібербезпека
• #DeFi
• #Ethereum 2.0
• #Ethereum Ціна
• #Квантові обчислення
• #Як Додайте реакцію!