Rada doradcza ds. kwantowych Coinbase twierdzi, że około 7 milionów bitcoinów znajduje się na adresach narażonych na przyszły atak kwantowy, i że znaczna część tej ekspozycji to nie utracone monety z ery Satoshiego, lecz aktywne środki, w tym zimne portfele obsługiwane przez znane giełdy. Szacunki te pojawiają się w raporcie opublikowanym w czwartek przez Niezależną Radę Doradczą firmy ds. Obliczeń Kwantowych i Blockchain.

Rada dzieli ekspozycję na dwie kategorie. Około 1,7 miliona bitcoinów znajduje się na około 20 000 starych adresów typu pay-to-public-key (P2PK), gdzie klucz publiczny sam w sobie jest adresem i jest w pełni widoczny w łańcuchu, co czyni te monety bezpośrednio podatnymi na przyszły atak. Wiele z nich przypisuje się pseudonimowemu twórcy bitcoina lub właścicielom, którzy dawno temu utracili swoje klucze.

Druga i większa kategoria to ta związana z ponownym użyciem adresu. Powołując się na firmę Project Eleven zajmującą się bezpieczeństwem kwantowym, raport szacuje, że około 5 milionów bitcoinów jest zagrożonych, ponieważ ich klucze publiczne zostały już ujawnione, i stwierdza, że większość tych monet przypuszczalnie należy do aktywnych użytkowników, a nie do utraconych portfeli, z dużymi kwotami znajdującymi się w zimnych portfelach znanych giełd lub wykazującymi ostatnią aktywność. Raport nie wymienia konkretnych giełd kryptowalut.

Raport przedstawia argument, że właściciele, którzy stracili swoje klucze, nie potrzebują ochrony, ponieważ już utracili praktyczną kontrolę nad swoimi monetami, więc prawdziwe pytanie brzmi, co zrobić z posiadaczami, którzy nadal kontrolują swoje środki, ale nie przeniosą ich przed jakimkolwiek terminem migracji. Według własnej definicji raportu, ta grupa może obejmować giełdy i aktywnych posiadaczy stojących za 5 milionami monet z ponownie używanymi kluczami.

Raport przedstawia dwa przeciwstawne stanowiska dotyczące rozwiązań. Pierwsze zakładałoby ustalenie terminu, po którym podatne na kwanty podpisy, takie jak ECDSA i Schnorr, nie byłyby już akceptowane, trwale zamrażając wszelkie niezmigrowane monety. Zwolennicy argumentują, że złamana kryptografia unieważnia dowód własności, jaki zapewniają te podpisy, że zalew rynku utraconymi monetami po przełamaniu kwantowym niesprawiedliwie uderzyłoby w innych posiadaczy, oraz że zamrożenie powstrzymałoby usankcjonowanego aktora, takiego jak Korea Północna, przed przejęciem dużej ilości bitcoina.

Drugie stanowisko umożliwiłoby adresy post-kwantowe i pozostawiłoby ryzyko każdemu właścicielowi. Zwolennicy argumentują, że spalanie monet równałoby się konfiskacie na poziomie sieci, łamiąc etos praw własności bitcoina i ustanawiając precedens, który mógłby zaprosić przyszłe naciski na zajęcie środków z innych powodów, oraz że nie ma niezawodnego sposobu na odróżnienie zaniedbującego właściciela od tego, który jest uwięziony, zmarł, lub tylko tymczasowo utracił klucz.

Pomiędzy tymi dwoma, raport opisuje propozycje pośrednie, które według niego są wzajemnie kompatybilne. Projekt „Klepsydra” (Hourglass) ograniczyłby liczbę monet P2PK, które mogą być przenoszone w każdym bloku, aby zapobiec nagłemu szokowi podażowemu. Projekt propozycji BIP-361 zabraniałby używania starych podpisów po ustalonym czasie, ale pozwoliłby użytkownikom udowodnić własność za pomocą kwantowo-odpornego dowodu z wiedzą zerową, opcji dostępnej dla portfeli generowanych z fraz seed. Provable Address-Control Timestamps, czyli PACTy, pierwotnie zaproponowane przez badacza Paradigm Dana Robinsona, pozwoliłyby posiadaczom zobowiązać się dzisiaj do przyszłego, bezpiecznego kwantowo transferu bez publicznego przenoszenia środków w łańcuchu.

Rada odmówiła poparcia któregokolwiek z podejść, stwierdzając, że nie ma jednej poprawnej odpowiedzi i że społeczność musi podjąć decyzję. W skład jej członków wchodzą Yehuda Lindell, który kieruje kryptografią w Coinbase i jest profesorem na Uniwersytecie Bar-Ilana, a także profesor Stanfordu Dan Boneh, profesor UT Austin Scott Aaronson, badacz Fundacji Ethereum Justin Drake, Sreeram Kannan z Eigen Labs i Uniwersytetu Waszyngtońskiego oraz profesor UCSB Dahlia Malkhi.

Raport zawierał jednak dwie rekomendacje. Wzywał deweloperów do rozpoczęcia prac nad migracją techniczną już teraz, argumentując, że budowa wsparcia dla podpisów postkwantowych jest niezależna od walki o porzucone monety i nie powinna na nią czekać, a także apelował o jaśniejszą komunikację, aby użytkownicy nie musieli zgadywać terminów i planów.

Punkt dotyczący ekspozycji giełdowej nawiązuje do wcześniejszych ostrzeżeń. Kiedy strateg Jefferies, Christopher Wood, w styczniu wycofał bitcoina ze swojego modelowego portfela z powodu ryzyka kwantowego, badania, na które się powołał, wskazywały portfele giełdowe i instytucjonalne jako jedne z najbardziej narażonych ze względu na ponowne użycie adresu. Deweloperzy Bitcoina osobno przedstawili propozycję stopniowego wycofywania starych podpisów zgodnie z BIP-361, a Google ogłosiło w marcu, że ustala termin 2029 na własną migrację do kryptografii postkwantowej, powołując się na szybszy postęp w badaniach związanych z kwantami.

Rada podkreśliła, że żaden komputer kwantowy nie jest dziś w stanie złamać kryptografii blockchain i że zagrożenie pozostaje niepewne. Argumentuje, że migracja i debata na temat zarządzania zajmą lata, więc czekanie, aż kryptograficznie istotny komputer kwantowy faktycznie powstanie, byłoby zbyt późno.