Bitcoin под угрозой: Google рассчитала взлом за 9 минут

Google Quantum AI выпустила статью, где показала новые оценки для атаки на secp256k1 – именно на этой эллиптической кривой держатся подписи Bitcoin и части экосистемы Ethereum. Авторы утверждают, что алгоритм Шора можно реализовать примерно с 1200 логическими кубитами и 90 млн Toffoli-гейтов, либо с 1450 логическими кубитами и 70 млн Toffoli-гейтов. Для сверхпроводниковой архитектуры это дает оценку меньше чем в 500 тысяч физических кубитов, что почти на порядок лучше некоторых прошлых оценок и заметно ниже, чем в работе Litinski 2023, с которой они сравниваются.

Самое тревожное в бумаге не в самом факте угрозы, а в таймингах. По расчетам Google, если часть вычислений сделать заранее, то после раскрытия публичного ключа приватный ключ можно получить примерно за 9-12 минут. Средний блок Bitcoin добывается около 10 минут, а значит теоретически становятся возможны on-spend атаки: перехват транзакции в мемпуле и подмена до подтверждения блока. Авторы отдельно пишут, что именно fast-clock платформы вроде superconducting и photonic выглядят опаснее всего для активных транзакций.

При этом речь пока не о том, что Bitcoin “сломали”. Такого компьютера сейчас не существует. Но сама граница между “это научная фантастика” и “это уже инженерная гонка” заметно сдвинулась. В paper прямо сказано, что криптосообществам стоит ускорять переход к post-quantum cryptography без промедления.

Отдельная проблема – старые и давно неактивные кошельки. В документе говорится, что около 1.7 млн BTC до сих пор лежат в старых P2PK-скриптах с уже раскрытыми публичными ключами, а общий объем уязвимых адресов оценивается примерно в 6.7 млн BTC. Это делает “спящие” монеты потенциальной многомиллиардной целью для будущих CRQC-машин.

Ethereum, по мнению авторов, рискует по-своему. Там отдельные поверхности атаки связаны с account model, BLS-подписями валидаторов и KZG commitments, которые используются в Data Availability. В таблице paper для Ethereum перечислены отдельные классы уязвимостей, включая BLS signatures и KZG commitments.

Еще один важный момент – Google проверила свои ресурсные оценки через zero-knowledge proof, не раскрывая сам атакующий квантовый circuit. Для квантового криптоанализа такого уровня это подается как важная валидация результатов.

Итог простой: квантовый взлом Bitcoin еще не наступил, но окно до реальной угрозы сжимается гораздо быстрее, чем многие привыкли думать. Теперь вопрос уже не в том, возможна ли такая атака в принципе, а успеет ли крипторынок мигрировать раньше, чем появится нужное железо.

quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf