Coinbase的量子咨询委员会表示,大约有700万个比特币存放在未来量子攻击暴露的地址中,其中大部分暴露并非失去的Satoshi时代币,而是活跃资金,包括已知交易所运营的冷钱包。该估计出现在公司量子计算与区块链独立咨询委员会周四发布的一份报告中。
板子将曝光分成两类。大约有170万个比特币分布在大约2万个遗留的付费公钥(P2PK)地址上,这些地址本身就是地址,并且在链上完全可见,这使得这些币直接暴露于未来攻击之下。许多人被认为属于比特币的化名创作者或早已丢失密钥的所有者。
第二个且更大的桶是与重复使用相关。报告援引量子安全公司Project Eleven的话,指出约有500万比特币面临风险,因为它们的公钥已经被公开,并称这些币大多被认为属于活跃用户,而非丢失的钱包,大笔币存放在已知交易所的冷钱包中或显示近期活动。报告未提及具体的加密货币交易所。
报告提出,丢失密钥的持有者无需保护,因为他们已经失去了对币种的实际控制权,因此真正的问题是,对于那些仍控制资金但未能在任何迁移截止日前转移资金的持有者,该如何应对。根据报告本身的框架,这个群体可能包括那些交易所和那些500万枚重复使用的密钥币背后的活跃持有者。
报告提出了两种对立的解决方案立场。第一种是设定一个截止日期,超过此期限后,像ECDSA和Schnorr这样的量子易受影响签名将不再被接受,永久冻结任何未迁移的币。支持者认为,破解的密码学使签名所提供的所有权证明失效,量子破裂后大量涌入市场的丢失币会不公平地影响其他持有者,冻结则能阻止朝鲜等受制裁行为者扣押大量比特币。
第二种位置则支持后量子地址,否则风险将留给每个所有者。支持者认为,烧毁硬币等同于网络层面的没收,违背了比特币的产权精神,并树立了先例,可能引发未来因其他原因没收资金的压力,且没有可靠的方法能区分失职的所有者和被监禁、死亡或只是暂时丢失密钥的所有者。
报告描述了两者之间的中间方案,称其相互兼容。“沙漏”设计会限制每个区块可移动的P2PK币数,以防止突然的供应冲击。BIP-361草案拟在规定时间内禁止遗留签名,但允许用户通过抗量子零知识证明证明所有权,这一选项适用于由助记词生成的钱包。可证明地址控制时间戳(可证明地址控制时间戳,简称PACTs),最初由Paradigm研究员Dan Robinson提出,允许持有者今天承诺未来量子安全的转移,而无需公开将资金转移到链上。
董事会拒绝支持任何单一方案,称没有正确答案,必须由社区自行决定。其成员包括 Coinbase 密码学负责人、巴伊兰大学教授 Yehuda Lindell,以及斯坦福大学教授 Dan Boneh、德州大学奥斯汀分校教授 Scott Aaronson、以太坊基金会研究员 Justin Drake、Eigen Labs 和华盛顿大学的 Sreeram Kannan,以及加州大学圣巴巴拉分校教授 Dahlia Malkhi。
不过,报告提出了两项建议。它敦促开发者立即开始技术迁移工作,认为构建后量子签名支持独立于废弃币的争斗,不应等待,并呼吁沟通更清晰,避免用户对时间表和计划感到猜测。
交易所暴露点呼应了之前的警告。当杰斐瑞策略师克里斯托弗·伍德(Christopher Wood)在今年一月因量子风险从其模型组合中撤出比特币时,他引用的研究将交易所和机构钱包列为因地址重用而风险最高的资产之一。比特币开发者已单独提出BIP-361下遗留签名的分阶段终止,谷歌在三月表示,其后量子密码学迁移时间表定在2029年,理由是量子相关研究进展更快。
委员会强调,目前没有任何量子计算机能够破解区块链密码学,且威胁仍不确定。其论点是,迁移和治理争论都需要数年时间才能解决,因此等到真正有密码学意义的量子计算机出现时才会太晚。
