谷歌的 Quantum AI 团队本周早些时候表示,未来的量子计算机可能在大约九分钟内从公钥推导出比特币的私钥。这个说法在社交媒体上迅速传播,引发市场紧张不安。
但在实际中,这到底意味着什么呢?
让我们先从比特币交易的工作方式说起。当你发送比特币时,你的钱包会用私钥对交易进行签名——一种秘密数字,用来证明你拥有这些币。
该签名也会暴露你的公钥:一种可共享的地址,它会被广播到网络,并在一个叫作内存池(mempool)的等待区域中停留,直到矿工将其包含进一个区块中。平均而言,这个确认过程大约需要 10 分钟。
你的私钥和公钥由一个称为椭圆曲线离散对数问题(elliptic curve discrete logarithm problem)的数学难题连接起来。经典计算机无法在任何有用的时间范围内反向求解,而一台足够强大的未来量子计算机,运行一种叫作 Shor’s 的算法,则可以。
“九分钟”这个说法正是在这里产生的。谷歌的论文发现,量子计算机可以通过提前计算那些不依赖于任何特定公钥的攻击部分,来实现事先“预处理”(primed)。
一旦你的公钥出现在内存池中,机器只需要大约九分钟就能完成工作并推导出你的私钥。比特币的平均确认时间是 10 分钟。这会让攻击者大约 41% 的概率在原始交易完成确认之前推导出你的密钥,并将资金重定向。
把它想成一个小偷花上数小时打造一台通用的开保险箱机器(预计算)。这台机器适用于任何保险箱,但每次出现新的保险箱,它只需要做一些最后的调整——而最后这一步花的时间大约就是九分钟。
这就是内存池攻击。它令人不安,但前提是需要一台尚不存在的量子计算机。谷歌的论文估计,这样的机器需要少于 500,000 个物理量子比特。如今最大的量子处理器大约只有 1,000 个。
更大、更迫切的担忧是那 6.9 million(690 万)比特币——大约占总供应量的三分之一——它们早已存放在那些公钥已被永久暴露在外的钱包中。
这包括网络最初几年中的早期比特币地址,它们使用一种叫作 pay-to-public-key 的格式:默认情况下,公钥会在区块链上可见。它也包括任何重复使用地址的钱包,因为从某个地址花费会揭示该地址对应的公钥,从而让所有剩余资金的公钥都暴露出来。
这些币不需要参与那场“九分钟”竞赛。只要攻击者拥有足够强大的量子计算机,就可以慢慢破解:逐个处理已暴露的密钥,而不受任何时间压力影响。
正如 CoinDesk 在周二早些时候报道的那样,比特币在 2021 年的 Taproot 升级让情况变得更糟。Taproot 改变了地址的工作方式:默认情况下公钥会在链上可见,这在无意中扩大了那些可能会成为未来量子攻击目标的脆弱钱包池。
比特币网络本身仍会继续运行。挖矿使用的是一种叫作 SHA-256 的不同算法,而量子计算机在当前方法下无法对其进行有意义的加速。因此区块仍会被产出。
账本也仍然会存在。但如果私钥能够从公钥中被推导出来,那么支撑比特币价值的所有权保障就会崩塌。任何拥有已暴露密钥的人都可能面临被盗风险,而机构对网络安全模型的信任也将土崩瓦解。
解决方案是后量子密码学(post-quantum cryptography)。它用量子计算机无法破解的算法,替代那些脆弱的数学问题。以太坊已经用了 8 年时间来为这次迁移做准备。比特币甚至还没有开始。
