Các máy tính lượng tử có khả năng bẻ khóa blockchain Bitcoin hiện không tồn tại. Tuy nhiên, các nhà phát triển đã và đang cân nhắc một làn sóng nâng cấp để xây dựng các biện pháp phòng thủ trước mối đe dọa tiềm tàng, và hoàn toàn đúng đắn, vì mối đe dọa này giờ đây không còn mang tính giả thuyết nữa.
Tuần này, Google đã công bố nghiên cứu cho thấy một máy tính lượng tử đủ mạnh có thể bẻ gãy mật mã cốt lõi của Bitcoin trong dưới chín phút — nhanh hơn một phút so với thời gian trung bình để Bitcoin hoàn tất một khối. Một số nhà phân tích tin rằng mối đe dọa như vậy có thể trở thành hiện thực vào năm 2029.
Mức độ rủi ro rất cao: Khoảng 6,5 triệu token bitcoin, trị giá hàng trăm tỷ đô la, nằm trong các địa chỉ mà một máy tính lượng tử có thể nhắm trực tiếp. Một số trong các đồng tiền này thuộc về nhà sáng tạo bí danh của Bitcoin, Satoshi Nakamoto. Ngoài ra, khả năng bị xâm phạm tiềm tàng sẽ làm tổn hại các nguyên tắc cốt lõi của Bitcoin — “hãy tin vào mã” và “tiền có giá trị vững chắc”.
Dưới đây là bức tranh về mối đe dọa đó, cùng với các đề xuất đang được cân nhắc để giảm thiểu.
Hai cách một máy lượng tử có thể tấn công Bitcoin
Trước hết, hãy hiểu rõ lỗ hổng trước khi thảo luận các đề xuất.
Bảo mật của Bitcoin được xây dựng dựa trên một mối quan hệ toán học một chiều. Khi bạn tạo một ví, một khóa riêng và một con số bí mật sẽ được sinh ra, từ đó một khóa công khai được suy ra.
Chi tiêu các token bitcoin đòi hỏi phải chứng minh quyền sở hữu một khóa riêng, không phải bằng cách tiết lộ nó, mà bằng cách sử dụng nó để tạo ra chữ ký mật mã mà mạng lưới có thể xác minh.
Hệ thống này là không thể sai lầm vì các máy tính hiện đại sẽ mất hàng tỷ năm để bẻ gãy mật mã đường cong elliptic — cụ thể là Thuật toán Chữ ký Số Đường cong Elliptic (ECDSA) — nhằm đảo ngược và suy ra khóa riêng từ khóa công khai. Vì vậy, blockchain được cho là không thể bị xâm phạm về mặt tính toán.
Nhưng một máy tính lượng tử trong tương lai có thể biến tuyến đường một chiều này thành tuyến đường hai chiều bằng cách suy ra khóa riêng của bạn từ khóa công khai và rút cạn số coin của bạn.
Khóa công khai bị lộ ra theo hai cách: Từ các đồng coin đang nằm yên trênchain (cuộc tấn công phơi lộ dài hạn) hoặc từ các đồng coin đang di chuyển hoặc các giao dịch chờ trong nhóm bộ nhớ (cuộc tấn công phơi lộ ngắn hạn).
Các địa chỉ Pay-to-public key (P2PK) (được Satoshi và các thợ đào ban đầu sử dụng) và Taproot (P2TR), định dạng địa chỉ hiện tại được kích hoạt vào năm 2021, đều dễ bị tấn công phơi lộ dài hạn. Các đồng coin trong những địa chỉ này không cần phải di chuyển để tiết lộ khóa công khai; việc phơi lộ đã xảy ra và có thể đọc được bởi bất kỳ ai trên Trái Đất, kể cả một kẻ tấn công lượng tử trong tương lai. Khoảng 1,7 triệu BTC nằm trong các địa chỉ cũ P2PK — bao gồm cả các đồng coin của Satoshi.
Phơi lộ ngắn hạn gắn với mempool — phòng chờ của các giao dịch chưa được xác nhận. Trong khi các giao dịch ở đó chờ được đưa vào một khối, khóa công khai và chữ ký của bạn được hiển thị cho toàn bộ mạng lưới.
Một máy tính lượng tử có thể truy cập dữ liệu đó, nhưng chỉ có một khoảng thời gian rất ngắn — trước khi giao dịch được xác nhận và bị chôn vùi dưới các khối bổ sung — để suy ra khóa riêng tương ứng và hành động trên đó.
Các sáng kiến
BIP 360: Loại bỏ khóa công khai
Như đã lưu ý ở trên, mọi địa chỉ Bitcoin mới được tạo bằng Taproot ngày nay sẽ vĩnh viễn phơi lộ một khóa công khai trênchain, tạo ra cho máy tính lượng tử trong tương lai một mục tiêu không bao giờ biến mất.
Đề xuất Cải tiến Bitcoin (BIP) 360 loại bỏ vĩnh viễn khóa công khai nhúng trên-chain và hiển thị cho mọi người bằng cách giới thiệu một loại đầu ra mới gọi là Pay-to-Merkle-Root (P2MR).
Hãy nhớ rằng một máy tính lượng tử sẽ nghiên cứu khóa công khai, đảo ngược để tái tạo chính xác hình dạng của khóa riêng và tạo ra một bản sao hoạt động. Nếu chúng ta loại bỏ khóa công khai, cuộc tấn công không còn gì để dựa vào. Trong khi đó, mọi thứ khác, bao gồm các khoản thanh toán Lightning, các thiết lập đa chữ ký và các tính năng Bitcoin khác, vẫn giữ nguyên.
Tuy nhiên, nếu được triển khai, đề xuất này chỉ bảo vệ các đồng coin mới về sau. Vấn đề 1,7 triệu BTC đã nằm trong các địa chỉ cũ bị phơi lộ là một bài toán riêng, được giải quyết bằng các đề xuất khác bên dưới.
SPHINCS+ / SLH-DSA: Chữ ký hậu lượng tử dựa trên hàm băm
SPHINCS+ là một lược đồ chữ ký hậu lượng tử được xây dựng trên các hàm băm, tránh các rủi ro lượng tử mà mật mã đường cong elliptic — vốn được Bitcoin sử dụng — đang đối mặt. Trong khi Shor’s algorithm đe dọa ECDSA, các thiết kế dựa trên hàm băm như SPHINCS+ không được xem là có mức độ dễ tổn thương tương tự.
Lược đồ này được Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) chuẩn hóa vào tháng 8 năm 2024 thành FIPS 205 (SLH-DSA) sau nhiều năm được rà soát công khai.
Đánh đổi cho bảo mật là kích thước. Trong khi các chữ ký bitcoin hiện tại là 64 byte, SLH-DSA có kích thước 8 kilobyte (KB) hoặc lớn hơn. Do đó, việc áp dụng SLH-DSA sẽ làm tăng mạnh nhu cầu dung lượng không gian khối và đẩy phí giao dịch lên.
Vì vậy, các đề xuất như SHRIMPS (một lược đồ chữ ký hậu lượng tử dựa trên hàm băm khác) và SHRINCS đã được đưa ra để giảm kích thước chữ ký mà không hy sinh bảo mật hậu lượng tử. Cả hai đều dựa trên SHPINCS+ trong khi hướng tới việc giữ các đảm bảo bảo mật của nó theo một hình thức thực tế hơn, tiết kiệm không gian hơn, phù hợp để sử dụng trên blockchain.
Lược đồ Commit/Reveal của Tadge Dryja: Phanh khẩn cấp cho mempool
Đề xuất này, một soft fork được đề xuất bởi đồng sáng tạo Lightning Network Tadge Dryja, nhằm bảo vệ các giao dịch trong mempool khỏi một kẻ tấn công lượng tử trong tương lai. Để làm được điều đó, nó tách việc thực thi giao dịch thành hai giai đoạn: Commit và Reveal.
Hãy tưởng tượng bạn thông báo với một đối tác rằng bạn sẽ gửi cho họ email, rồi sau đó thực sự gửi email. Việc thông báo ban đầu là giai đoạn commit, và email thực tế là giai đoạn reveal.
Trên blockchain, điều này có nghĩa là trước tiên bạn công bố một dấu vân tay được niêm phong về ý định của mình — chỉ là một hàm băm, thứ không tiết lộ gì về giao dịch. Blockchain đóng dấu thời gian vĩnh viễn cho dấu vân tay đó. Sau đó, khi bạn phát (broadcast) giao dịch thực tế, khóa công khai của bạn sẽ trở nên hiển thị — và vâng, một máy tính lượng tử đang quan sát mạng lưới có thể suy ra khóa riêng của bạn từ đó và giả mạo một giao dịch cạnh tranh để đánh cắp tiền của bạn.
Nhưng giao dịch giả mạo đó ngay lập tức bị từ chối. Mạng sẽ kiểm tra: khoản chi tiêu này có cam kết trước đó được đăng ký trên-chain không? Của bạn là có. Của kẻ tấn công thì không — chúng tạo ra nó chỉ vài khoảnh khắc trước đó. Dấu vân tay đã được đăng ký trước của bạn chính là giấy alibi của bạn.
Tuy nhiên, vấn đề là chi phí tăng lên do giao dịch bị chia thành hai giai đoạn. Vì vậy, đề xuất này được mô tả như một cây cầu tạm thời, có thể triển khai trong khi cộng đồng làm việc để xây dựng các biện pháp phòng thủ lượng tử.
Hourglass V2: Làm chậm việc chi tiêu các đồng coin cũ
Được đề xuất bởi nhà phát triển Hunter Beast, Hourglass V2 nhắm tới lỗ hổng lượng tử gắn với khoảng 1,7 triệu BTC được nắm giữ trong các địa chỉ cũ, đã bị phơi lộ.
Đề xuất thừa nhận rằng các đồng coin này có thể bị đánh cắp trong một cuộc tấn công lượng tử trong tương lai và tìm cách làm chậm đà rò rỉ bằng cách giới hạn việc bán tối đa một bitcoin mỗi khối, để tránh một đợt thanh lý hàng loạt trong một đêm có thể làm “sụp” thị trường.
Ẩn dụ ở đây là tình trạng rút tiền ồ ạt khỏi ngân hàng: bạn không thể ngăn mọi người rút tiền, nhưng bạn có thể giới hạn tốc độ rút tiền để ngăn hệ thống sụp đổ qua đêm. Đề xuất này gây tranh cãi vì ngay cả một hạn chế giới hạn như vậy cũng bị một số người trong cộng đồng Bitcoin xem là vi phạm nguyên tắc rằng không một bên thứ ba nào có thể can thiệp vào quyền của bạn để chi tiêu các đồng coin của mình.
Kết luận
Những đề xuất này vẫn chưa được kích hoạt, và cơ chế quản trị phi tập trung của Bitcoin, bao gồm các nhà phát triển, thợ đào và nhà vận hành node, có nghĩa là bất kỳ bản nâng cấp nào cũng có khả năng sẽ mất thời gian để trở thành hiện thực.
Tuy vậy, dòng chảy ổn định của các đề xuất đã có từ trước báo cáo của Google tuần này cho thấy rằng vấn đề này đã nằm trên “radar” của các nhà phát triển từ lâu, điều này có thể giúp giảm bớt lo ngại của thị trường.
