คอมพิวเตอร์ควอนตัมที่สามารถทำลายบล็อกเชนของ Bitcoin ยังไม่มีอยู่ในปัจจุบัน อย่างไรก็ตาม ตอนนี้นักพัฒนาได้เริ่มพิจารณาคลื่นของการอัปเกรดเพื่อสร้างการป้องกันต่อภัยคุกคามที่อาจเกิดขึ้นแล้ว และเป็นเรื่องถูกต้องเช่นกัน เพราะภัยคุกคามนี้ไม่ใช่เรื่องสมมติอีกต่อไป
สัปดาห์นี้ Google เผยแพร่งานวิจัยที่ชี้ว่า คอมพิวเตอร์ควอนตัมที่ทรงพลังพออาจถอดรหัสความลับการเข้ารหัสแกนหลักของ Bitcoin ได้ภายในเวลาไม่ถึงเก้านาที — เร็วกว่าระยะเวลาตั้งถิ่นฐานของบล็อก Bitcoin เฉลี่ยอยู่หนึ่งนาที นักวิเคราะห์บางรายเชื่อว่าภัยคุกคามลักษณะนี้อาจกลายเป็นความจริงได้ภายในปี 2029
ระดับเดิมพันสูง: โทเค็น bitcoin ประมาณ 6.5 ล้านหน่วย มูลค่ารวมหลายแสนล้านดอลลาร์ ถูกเก็บไว้ในที่อยู่ที่คอมพิวเตอร์ควอนตัมสามารถกำหนดเป้าหมายได้โดยตรง โทเค็นบางส่วนเป็นของผู้สร้างที่ไม่เปิดเผยตัวตนของ Bitcoin คือ Satoshi Nakamoto นอกจากนี้ การถูกบุกรุกที่อาจเกิดขึ้นยังจะทำลายหลักการสำคัญของ Bitcoin — “เชื่อในโค้ด” และ “เงินที่มั่นเสียง”
นี่คือหน้าตาของภัยคุกคามดังกล่าว พร้อมด้วยข้อเสนอที่กำลังพิจารณาเพื่อบรรเทามัน
วิธี 2 แบบที่เครื่องควอนตัมสามารถโจมตี Bitcoin
ก่อนจะคุยถึงข้อเสนอ ลองทำความเข้าใจช่องโหว่กันก่อน
ความปลอดภัยของ Bitcoin ถูกสร้างขึ้นบนความสัมพันธ์ทางคณิตศาสตร์แบบทางเดียว เมื่อคุณสร้างวอลเล็ต คีย์ส่วนตัวและเลขลับจะถูกสร้างขึ้น จากนั้นจึงได้มาซึ่งคีย์สาธารณะ
การใช้จ่ายโทเค็น bitcoin จำเป็นต้องพิสูจน์ความเป็นเจ้าของคีย์ส่วนตัว ไม่ใช่ด้วยการเปิดเผยมัน แต่ด้วยการนำมันไปสร้างลายเซ็นทางเข้ารหัสที่เครือข่ายสามารถตรวจสอบได้
ระบบนี้ไร้ที่ติ เพราะคอมพิวเตอร์สมัยใหม่จะใช้เวลาหลายพันล้านปีในการทำลายการเข้ารหัสแบบเส้นโค้งวงรี — โดยเฉพาะ Elliptic Curve Digital Signature Algorithm (ECDSA) — เพื่อย้อนวิศวกรรมหาคีย์ส่วนตัวจากคีย์สาธารณะ ดังนั้นจึงกล่าวได้ว่าบล็อกเชน “เป็นไปไม่ได้ทางการคำนวณ” ที่จะถูกเจาะได้
แต่คอมพิวเตอร์ควอนตัมในอนาคตสามารถเปลี่ยนถนนทางเดียวนี้ให้เป็นถนนสองทางได้ โดยการได้คีย์ส่วนตัวของคุณจากคีย์สาธารณะ และระบายเหรียญของคุณออกไป
คีย์สาธารณะถูกเปิดเผยในสองทาง: จากเหรียญที่อยู่นิ่งบนchain (การโจมตีแบบเปิดเผยนาน/long-exposure attack) หรือจากเหรียญที่กำลังเคลื่อนไหว/อยู่ในธุรกรรมที่รออยู่ใน memory pool (การโจมตีแบบเปิดเผยสั้น/short-exposure attack)
ที่อยู่แบบ Pay-to-public key (P2PK) (ที่ใช้โดย Satoshi และนักขุดยุคแรก) และ Taproot (P2TR) ซึ่งเป็นรูปแบบที่อยู่ปัจจุบันที่เปิดใช้งานในปี 2021 มีความเสี่ยงต่อการโจมตีแบบเปิดเผยนาน เหรียญในที่อยู่นี้ไม่จำเป็นต้องย้ายเพื่อเผยคีย์สาธารณะ การเปิดเผยได้เกิดขึ้นแล้ว และอ่านได้โดยทุกคนบนโลก รวมถึงผู้โจมตีด้วยควอนตัมในอนาคต โดยประมาณ 1.7 ล้าน BTC ถูกเก็บไว้ในที่อยู่เก่าแบบ P2PK — รวมถึงเหรียญของ Satoshi
การเปิดเผยแบบช่วงสั้นผูกกับ mempool — ห้องรอของธุรกรรมที่ยังยืนยันไม่เสร็จ ในขณะที่ธุรกรรมยังคงอยู่ตรงนั้นเพื่อรอการบรรจุในบล็อก คีย์สาธารณะและลายเซ็นของคุณจะมองเห็นได้ต่อทั้งเครือข่าย
คอมพิวเตอร์ควอนตัมสามารถเข้าถึงข้อมูลนั้นได้ แต่จะมีเพียง “หน้าต่างเวลา” อันสั้น — ก่อนที่ธุรกรรมจะถูกยืนยันและถูกฝังไว้ใต้บล็อกเพิ่มเติม — เพื่อได้มาซึ่งคีย์ส่วนตัวที่สอดคล้องกันและลงมือกระทำกับมัน
Initiatives
BIP 360: การลบคีย์สาธารณะ
ดังที่กล่าวไว้ก่อนหน้านี้ ทุกที่อยู่ Bitcoin ใหม่ที่สร้างโดยใช้ Taproot ในวันนี้จะเปิดเผยคีย์สาธารณะบนchain อย่างถาวร ทำให้คอมพิวเตอร์ควอนตัมในอนาคตมีเป้าหมายที่ไม่หายไป
Bitcoin Improvement Proposal (BIP) 360 ลบคีย์สาธารณะที่ฝังอยู่บนchain อย่างถาวรและมองเห็นได้โดยทุกคน ด้วยการแนะนำรูปแบบเอาต์พุตใหม่ที่เรียกว่า Pay-to-Merkle-Root (P2MR)
โปรดระลึกว่า คอมพิวเตอร์ควอนตัมจะศึกษาคีย์สาธารณะ ถอดรหัส/ย้อนวิศวกรรมรูปร่างที่แน่นอนของคีย์ส่วนตัว และสร้างสำเนาที่ใช้งานได้ขึ้นมา ถ้าเราลบคีย์สาธารณะ อะไรก็ไม่มีให้โจมตีได้อีก ในขณะเดียวกัน ทุกอย่างอื่น รวมถึงการชำระเงิน Lightning การตั้งค่าสหลายลายเซ็น และฟีเจอร์อื่นๆ ของ Bitcoin ก็ยังคงเหมือนเดิม
อย่างไรก็ตาม หากนำไปใช้ ข้อเสนอนี้จะปกป้องเฉพาะเหรียญใหม่ที่เกิดขึ้นต่อจากนี้เท่านั้น BTC จำนวน 1.7 ล้านที่ถูกเก็บไว้แล้วในที่อยู่เก่าที่เปิดเผยไว้ก่อนหน้า ถือเป็นปัญหาที่แยกต่างหาก ซึ่งถูกกล่าวถึงด้วยข้อเสนออื่นๆ ด้านล่าง
SPHINCS+ / SLH-DSA: ลายเซ็นหลังยุคควอนตัมที่อิงแฮช
SPHINCS+ คือโครงร่างลายเซ็นหลังยุคควอนตัมที่สร้างบนฟังก์ชันแฮช โดยหลีกเลี่ยงความเสี่ยงจากควอนตัมที่กระทบต่อการเข้ารหัสแบบเส้นโค้งวงรีที่ Bitcoin ใช้ แม้ว่าอัลกอริทึมของ Shor จะคุกคาม ECDSA แต่การออกแบบที่อิงแฮชอย่าง SPHINCS+ ไม่ได้ถูกมองว่าเสี่ยงในลักษณะเดียวกัน
โครงร่างดังกล่าวได้รับการทำให้เป็นมาตรฐานโดย National Institute of Standards and Technology (NIST) ในเดือนสิงหาคม 2024 ในฐานะ FIPS 205 (SLH-DSA) หลังจากผ่านการทบทวนสาธารณะมาหลายปี
การแลกเปลี่ยนด้านความปลอดภัยคือขนาด แม้ว่าลายเซ็น Bitcoin ในปัจจุบันจะมีขนาด 64 ไบต์ แต่ SLH-DSA มีขนาด 8 กิโลไบต์ (KB) หรือมากกว่า ด้วยเหตุนี้ การนำ SLH-DSA มาใช้จะเพิ่มความต้องการพื้นที่บล็อกอย่างมาก และทำให้ค่าธรรมเนียมธุรกรรมสูงขึ้น
ดังนั้น ข้อเสนออย่าง SHRIMPS (อีกหนึ่งโครงร่างลายเซ็นหลังยุคควอนตัมที่อิงแฮช)และ SHRINCS จึงถูกนำเสนอขึ้นแล้วเพื่อลดขนาดลายเซ็นโดยไม่เสียความปลอดภัยหลังยุคควอนตัม ทั้งสองแบบต่อยอดจาก SHPINCS+ โดยตั้งเป้าว่าจะคงการรับประกันด้านความปลอดภัยไว้ในรูปแบบที่ใช้งานได้จริงมากขึ้น และประหยัดพื้นที่กว่า ซึ่งเหมาะสำหรับการใช้งานบนบล็อกเชน
แผนการ Commit/reveal ของ Tadge Dryja: เบรกฉุกเฉินสำหรับ mempool
ข้อเสนอนี้ ซึ่งเป็นการซอฟต์ฟอร์กที่ Tadge Dryja ผู้ร่วมสร้าง Lightning Network เสนอ มีเป้าหมายเพื่อปกป้องธุรกรรมใน mempool จากผู้โจมตีด้วยควอนตัมในอนาคต มันทำเช่นนั้นโดยแยกการประมวลผลธุรกรรมออกเป็นสองช่วง: Commit และ Reveal
ลองนึกภาพว่าคุณแจ้งอีกฝ่ายว่าคุณจะส่งอีเมลถึงเขา แล้วค่อยจริงๆ ส่งอีเมลไป อันแรกคือช่วง commit และอันหลังคือช่วง reveal
บนบล็อกเชน นี่หมายความว่าคุณเผยแพร่ “ลายนิ้วมือ” ที่ถูกปิดผนึกของเจตนาของคุณก่อน — เพียงแค่แฮช ซึ่งไม่เปิดเผยอะไรเกี่ยวกับธุรกรรมเลย — และบล็อกเชนก็ประทับเวลา (timestamp) ลายนิ้วมือลนั้นไว้อย่างถาวร ต่อมาเมื่อคุณออกอากาศธุรกรรมจริง คีย์สาธารณะของคุณจะมองเห็นได้ — และใช่ คอมพิวเตอร์ควอนตัมที่เฝ้าดูเครือข่ายสามารถได้คีย์ส่วนตัวของคุณจากมันและปลอมธุรกรรมที่แข่งขันกันเพื่อขโมยเงินของคุณ
แต่ธุรกรรมที่ปลอมนั้นถูกปฏิเสธทันที เครือข่ายตรวจสอบ: การใช้จ่ายนี้มี commitment ที่ลงทะเบียนไว้ก่อนหน้าบนchain ไหม ของคุณมี ส่วนของผู้โจมตีไม่มี — เพราะเขาสร้างมันขึ้นมาเมื่อครู่ที่ผ่านมา ลายนิ้วมือที่คุณได้ลงทะเบียนไว้ก่อนหน้าคือข้อแก้ตัวของคุณ
อย่างไรก็ตาม ปัญหาคือค่าใช้จ่ายที่เพิ่มขึ้น เนื่องจากธุรกรรมถูกแบ่งออกเป็นสองช่วง ดังนั้นจึงถูกอธิบายว่าเป็น “สะพานชั่วคราว” ที่สามารถนำไปใช้งานได้จริง ขณะที่ชุมชนกำลังทำงานเพื่อสร้างการป้องกันด้วยควอนตัม
Hourglass V2: ทำให้การใช้จ่ายเหรียญเก่าช้าลง
ข้อเสนอนี้เสนอโดยนักพัฒนา Hunter Beast และมุ่งเป้าไปที่ช่องโหว่เชิงควอนตัมที่เกี่ยวกับ BTC ราว 1.7 ล้านที่ถืออยู่ในที่อยู่เก่า ซึ่งถูกเปิดเผยไปแล้ว
ข้อเสนอยอมรับว่าเหรียญเหล่านี้อาจถูกขโมยในการโจมตีด้วยควอนตัมในอนาคต และพยายามทำให้เลือดไหลช้าลงด้วยการจำกัดการขายไว้ที่หนึ่ง bitcoin ต่อหนึ่งบล็อก เพื่อหลีกเลี่ยงการชำระบัญชีข้ามคืนจำนวนมากแบบหายนะที่อาจทำให้ตลาดพัง
คำอุปมาคือการแห่ถอนเงินในธนาคาร: คุณหยุดไม่ให้คนถอนเงินได้ แต่คุณสามารถจำกัดความเร็วของการถอน เพื่อไม่ให้ระบบล่มสลายในชั่วข้ามคืน ข้อเสนอนี้เป็นที่ถกเถียง เพราะแม้แต่ข้อจำกัดที่จำกัดเท่านี้ ก็ยังถูกมองโดยบางส่วนในชุมชน Bitcoin ว่าเป็นการละเมิดหลักการที่ว่า “ไม่มีบุคคลภายนอกคนใดจะเข้าไปก้าวก่ายสิทธิของคุณในการใช้จ่ายเหรียญของคุณได้ตลอดกาล”
Conclusion
ข้อเสนอนี้ยังไม่ได้ถูกเปิดใช้งาน และการกำกับดูแลแบบกระจายอำนาจของ Bitcoin ที่ครอบคลุมนักพัฒนา ผู้ขุด และผู้ให้บริการโหนด ทำให้การอัปเกรดมีแนวโน้มที่จะต้องใช้เวลาในการเกิดขึ้นจริง
อย่างไรก็ดี กระแสข้อเสนอที่ทยอยออกมาก่อนรายงานของ Google สัปดาห์นี้อย่างต่อเนื่องบ่งชี้ว่าปัญหานี้อยู่ในเรดาร์ของนักพัฒนามานานแล้ว ซึ่งอาจช่วยทำให้ความกังวลของตลาดเบาลงได้
