Ethereum вже на "20%" шляху до квантової стійкості: інтерв’ю

Антоніо Сансо, дослідник криптографії в Ethereum Foundation, впевнений, що блокчейн стане квантово захищеним задовго до того, як квантова атака стане можливою.

“Ми, як Ethereum Foundation (EF) і спільнота Ethereum, масово працюємо над цим питанням,” сказав він Cointelegraph.

“Дослідницька частина, ймовірно, вже вирішена. І ми починаємо етап виконання. Ми дійсно впевнені, що вкладемося в терміни та дедлайни.”

EF оголосила постквантову (PQ) безпеку одним із головних стратегічних пріоритетів. 24 січня було оголошено про створення Post Quantum team під керівництвом Томаса Коратже. Сансо очолює нові двотижневі All Core Devs дзвінки щодо постквантової безпеки з 4 лютого.

Це масштабний проект. Він пояснив, що всі шари Ethereum — виконання, консенсусу та доступності даних — потребують оновлення.

“Коли ми говоримо про постквантове рішення, ми не говоримо лише про одну частину — всі великі макрообласті Ethereum повинні бути мігровані,” сказав він.

“Добре, що ми працюємо над цим вже багато місяців, якщо не років. Тож у нас є чіткий план, і, ймовірно, ми реалізуємо його в найближчі роки.”

Одна п’ята шляху до фінішу

На питання, наскільки просунулася робота, Сансо відповів, що рішення для різних шарів просуваються з різною швидкістю, “тому немає одного відсотка для всіх трьох. Але приблизно, мабуть, 20%.”

Новий двотижневий дзвінок обговорюватиме переваги та компроміси різних підходів. Мультиклієнтські постквантові devnet-и вже працюють, і незабаром буде опубліковано PQ дорожню карту, яка орієнтована на те, що дослідник EF Джастін Дрейк називає “повним переходом у найближчі роки без втрат коштів і без даунтайму.”

Зробити Ethereum стійким до квантових атак — лише частина повного оновлення всього блокчейну в рамках Lean Ethereum. Мета — зробити Ethereum швидшим, простішим і децентралізованішим із використанням технології zero-knowledge (ZK), а також стійким до квантових атак.

Порівняння з Bitcoin

Ентузіазм щодо квантового захисту Ethereum різко контрастує з Bitcoin, де лідери — від Adam Back до Michael Saylor — применшували потребу у змінах, посилаючись на оцінки, що квантовий комп’ютер може з’явитися через багато років або десятиліть.

Постквантовий Віталік Бутерін на DevConnect. Джерело: Screengrab

Це правда, але з застереженнями. На DevConnect у Буенос-Айресі співзасновник Віталік Бутерін зазначив, що медіанний прогноз появи квантового комп’ютера, здатного зламати криптографію, — 2040 рік, але все ж існує 20% ймовірності, що це станеться до 2030.

Втім, насправді лише менша частина Bitcoin (BTC) вразлива до квантових атак: оцінки свідчать, що близько 6 мільйонів BTC, переважно на старих адресах із відкритими публічними ключами, наразі під загрозою.

Дотично: Bitcoin не має 20 років, бо квантова загроза вже тут

Однак переважна більшість Ethereum вразлива до квантових атак — як, власне, і весь Solana. Запропоновані виправлення для Bitcoin простіші, навіть якщо набагато більші PQ-підписи залишаються великою проблемою.

“З технічної точки зору мігрувати простіше,” пояснив Сансо. “Але, ймовірно, у них буде проблема на людському рівні … знайти консенсус щодо дій.”

“В Ethereum такої проблеми нема, але... технологічно нам потрібно мігрувати більше речей,” сказав він. “У нас така сама проблема — треба змінити підписи транзакцій на рівні виконання, але з трьох проблем — виконання, консенсусу та доступності даних — рівень виконання є найпростішим. Інші дві — складніші.”

Що буде, якщо квантові комп’ютери з’являться раніше?

Найкраща оцінка Сансо щодо дедлайну для квантового комп’ютера — середина 2030-х. Він очікує, що Lean Ethereum буде завершено десь між 2028 і 2032 роками.

З огляду на те, як раптово з’явилися великі мовні моделі та ZK-докази (в останньому випадку — значно раніше прогнозів), існує ймовірність, що квантові комп’ютери зможуть зламати блокчейни до їхньої повної готовності.

Ви можете вже зараз підвищити захист свого Ether (ETH), перевівши його на нову, невикористану адресу, оскільки публічні ключі ще не будуть опубліковані (квантові комп’ютери використовують алгоритм Шора, щоб обернено отримати приватний ключ із публічного).

У майбутньому смарт-гаманці, що поєднують абстракцію акаунтів і постквантові підписи, захищатимуть ваш ETH.

“Ідея — мати новий алгоритм, що є постквантовим, імовірно, на основі решіток або хешів. І, власне, інтегрувати це з абстракцією акаунтів.”

PQ-підписи значно більші

На DevConnect у листопаді Zknox продемонстрував апаратний гаманець із постквантовим підписом Dilithium, що сумісний з існуючою інфраструктурою Ethereum.

Джерело: Zknox

Однак постквантові підписи величезні, і найлегший із них, Falcon, все одно в 10 разів більший за існуючі підписи Elliptic Curve Digital Signature Algorithm (ECDSA).

Сансо пояснив, що кодування решіткового рішення на Solidity коштує дуже дорого в газі. Існує Ethereum Improvement Proposal (EIP) щодо препроцесора, який автоматично оброблятиме це поза основним протоколом, що прискорить процес і зменшить витрати.

Більш широка проблема інтеграції підписів, які в 10 разів більші за поточні, у ланцюг, ймовірно, вимагатиме різних заходів, зокрема використання ZK-STARKs для стиснення розміру.

Аварійне квантове оновлення

Але Бутерін також розробив аварійний план у березні 2024 року для боротьби з квантовою атакою, який передбачає хардфорк і метод для власників ETH довести, що вони є легітимними власниками певної адреси перед переходом на PQ-адреси з еквівалентним балансом.

Сансо зазначив, що цей план просунувся, і вони працювали над способом для власників ETH використовувати ZK-докази для безпечного підтвердження володіння seed-фразою адреси.

“Це те, над чим ми активно працюємо. Сподіваємось, це буде показано в одному з проектів або на EthCC Cannes, або на Devcon в Індії.”

Залежно від того, які EIP будуть прийняті, цю систему також можна буде використати під час планового переходу на PQ-підписи. Користувачі зможуть довести володіння адресою й тоді вимкнути квантово-вразливу частину ECDSA свого акаунта.

“У нас є цей EIP, який ви можете активувати самостійно, і сказати: я вимикаю частину на еліптичних кривих у своєму EOA. Таким чином, ви зберігаєте ту саму адресу, і єдиний спосіб вивести кошти з неї — це поєднання абстракції акаунтів і цього доказу seed-фрази.”

“Ймовірно, це буде обговорюватися в наступних форках, і, якщо спитаєте мене, це правильний напрямок.”

Сансо зазначив, що вибір EIP, які буде включено, — це тривалий процес і зрештою вирішуватиме спільнота.

Він повідомив, що перший дзвінок All Core Devs PQ “breakout room” заплановано на 4 лютого 2026 року.

За словами Дрейка, двотижневі сесії “зосередяться на безпеці для користувачів, охоплюючи спеціальні препроцесори, абстракцію акаунтів і довгострокову агрегацію підписів транзакцій із leanVM.”

Журнал: Bitcoin vs. квантова комп’ютерна загроза — хронологія та рішення (2025-2035)