Vitalik Buterin Mapeia Atualização Quântica do Ethereum para Substituir a Criptografia Central

Resumo

• Buterin apontou quatro componentes do Ethereum que dependem de criptografia vulnerável a ataques quânticos.
• O plano substitui BLS, KZG e ECDSA por sistemas baseados em hash, lattice ou STARK.
• A agregação recursiva visa reduzir os altos custos de gás de assinaturas e provas resistentes a quânticos.

O cofundador do Ethereum, Vitalik Buterin, na quinta-feira, pediu uma revisão geral das bases criptográficas da rede, alertando que avanços na computação quântica podem comprometer partes essenciais do protocolo, enquanto apresentou um plano em várias etapas para substituí-las. Em uma publicação no X, Buterin identificou quatro áreas vulneráveis: assinaturas BLS na camada de consenso, ferramentas de disponibilidade de dados conhecidas como compromissos KZG, o esquema de assinatura ECDSA usado por contas padrão de utilizador, e sistemas de provas de conhecimento zero utilizados por aplicações e redes de camada 2. Cada uma pode ser abordada passo a passo, com soluções dedicadas em cada camada do protocolo. “Uma coisa importante a considerar antes disso é a escolha da função hash,” escreveu Buterin. “Esta pode ser ‘a última função hash do Ethereum,’ por isso é importante escolher com sabedoria.” A publicação surge à medida que a Fundação Ethereum elevou a segurança pós-quântica a uma prioridade máxima.

 Computadores quânticos ameaçam o Ethereum, Bitcoin e a indústria cripto em geral, pois podem eventualmente quebrar a criptografia de chave pública que protege carteiras e assina transações, permitindo que atacantes derive chaves privadas a partir de chaves públicas expostas e movam fundos. Para enfrentar essa questão de frente, a Fundação Ethereum lançou em janeiro uma equipe dedicada à Pós-Quântica e, no início deste mês, divulgou um plano de atualização com sete ramificações, chamado “Strawmap,” que integraria assinaturas resistentes a quânticos e criptografia compatível com STARKs no design de consenso da rede até 2029. Na camada de consenso, Buterin propôs substituir as assinaturas BLS — as provas criptográficas que os validadores usam para aprovar blocos — por alternativas baseadas em hash, que os pesquisadores consideram mais resistentes a ataques quânticos. Ele também sugeriu usar STARKs, um tipo de prova de conhecimento zero, para comprimir muitas assinaturas de validadores em uma única atestação.

Para a disponibilidade de dados, Buterin afirmou que haveria compensações. O Ethereum depende de compromissos KZG para verificar se os dados do bloco estão estruturados e disponíveis corretamente. Os STARKs poderiam desempenhar a mesma função, mas carecem de uma propriedade matemática chamada linearidade, que permite amostragem bidimensional de disponibilidade de dados. “Isso é aceitável, mas a logística fica mais difícil se você quiser suportar a seleção distribuída de blobs,” escreveu Buterin. Contas de utilizador e sistemas de prova enfrentam aumentos de custo elevados sob criptografia resistente a quânticos. Verificar a assinatura ECDSA atual custa cerca de 3.000 gás, enquanto uma assinatura resistente a quânticos baseada em hash custaria aproximadamente 200.000 gás. A diferença é maior para provas: um ZK-SNARK custa entre 300.000 e 500.000 gás para verificar, em comparação com cerca de 10 milhões de gás para um STARK resistente a quânticos — um custo alto demais para a maioria das aplicações de privacidade e camada 2. “A solução novamente é a agregação recursiva de assinaturas e provas no nível do protocolo,” afirmou Buterin, referindo-se à Proposta de Melhoria do Ethereum 8141. Segundo a EIP-8141, cada transação incluiria uma “estrutura de validação” que pode ser substituída por um STARK verificando se ela foi executada corretamente. Todas as estruturas de validação de um bloco poderiam então ser agregadas em uma única prova, mantendo a pegada na cadeia pequena mesmo com assinaturas individuais maiores. Buterin afirmou que a etapa de prova poderia ocorrer na camada de mempool, em vez de durante a produção do bloco, com os nós propagando transações válidas a cada 500 milissegundos junto com uma prova de validade. “É gerenciável, mas há muito trabalho de engenharia a fazer,” concluiu.