谷歌的量子人工智能团队本周早些时候表示,未来的量子计算机或许可以在大约九分钟内从公钥推导出比特币的私钥。这个数字在社交媒体上迅速传播,并让市场感到惊慌。
但这在实际中到底意味着什么?
让我们先从比特币交易是如何运作的开始。当你发送比特币时,钱包会用私钥对交易进行签名——私钥是一个秘密数字,用来证明你拥有这些币。
该签名也会揭示你的公钥,这是一个可共享的地址。随后它会被广播到网络,并在一个叫作内存池(mempool)的等待区中停留,直到矿工将其打包进区块。平均而言,这个确认大约需要10分钟。
你的私钥和公钥通过一个叫作椭圆曲线离散对数问题的数学难题联系在一起。传统计算机无法在任何有用的时间范围内反转这道数学问题,而一台足够强大的未来量子计算机运行一种叫作Shor’s的算法则可以。
这就是“九分钟”说法的来源。谷歌的论文发现,量子计算机可以通过预先计算与任何特定公钥都无关的攻击部分来进行“预装”(primed)。
一旦你的公钥出现在内存池中,机器只需要大约九分钟就能完成工作并推导出你的私钥。比特币的平均确认时间是10分钟。这让攻击者大约有41%的概率在原始交易确认之前推导出你的密钥并将你的资金重定向。
把它想成小偷花费数小时打造一台通用的开锁机器(预计算)。这台机器对任何保险箱都能工作,但每当出现一台新的保险箱时,它只需要做一些最后的调整——而最后这一步大约就需要九分钟。
这就是内存池攻击。它令人担忧,但需要一台尚不存在的量子计算机。谷歌的论文估计,这样的机器需要少于500,000个物理量子比特(qubits)。而当今最大的量子处理器大约只有1,000个。
更大且更迫切的担忧是,已经有690万比特币——约占总供应量的三分之一——存放在那些公钥已被永久暴露在外的地址所在的钱包中。
这包括网络最初几年中的早期比特币地址,它们使用一种叫作“支付到公钥”(pay-to-public-key)的格式:默认情况下,公钥会在区块链上可见。它也包括任何重复使用地址的钱包,因为从该地址花出资金会暴露出剩余所有资金对应的公钥。
这些币不需要进行“九分钟竞赛”。攻击者只要拥有足够强大的量子计算机,就可以从容地破解它们,逐个处理已暴露的密钥,而不受时间压力影响。
据CoinDesk在周二更早时报道,比特币的2021年Taproot升级让这种情况变得更糟。Taproot改变了地址的工作方式:使得公钥默认在链上可见,进而无意中扩大了那些未来量子攻击将会受到威胁的潜在钱包范围。
比特币网络本身仍会继续运行。挖矿使用的是另一种叫作SHA-256的算法,现有方法下量子计算机无法在有意义的层面上加速它。因此区块仍会被产出。
账本仍会存在。但如果可以从公钥推导出私钥,那么使比特币变得有价值的所有权保证就会崩塌。任何密钥已暴露的人都面临被盗风险,而机构对网络安全模型的信任也会瓦解。
解决方案是后量子密码学,它用量子计算机无法破解的算法来替换易受攻击的数学体系。以太坊已经花了八年时间为这种迁移做准备。比特币甚至还没有开始。
