a16z研究称比特币量子"末日"恐惧被夸大
一份新的a16z加密货币研究论文指出,关于量子计算机会立即摧毁比特币的末日叙事与现实严重不符,区块链面临的真正风险在于漫长而混乱的迁移过程,而非突然的"量子日"崩溃。这篇文章已经在X平台上引发了投资者的强烈反驳,他们认为威胁比a16z所暗示的更近、更难应对。
比特币不会被量子计算摧毁:a16z
在题为"量子计算与区块链:将紧迫性与实际威胁相匹配"的文章中,a16z研究合伙人兼乔治城大学计算机科学教授Justin Thaler开门见山地写道:"密码学相关量子计算机的时间表经常被夸大——导致人们呼吁紧急、全面过渡到后量子密码学。"他认为这种炒作扭曲了成本效益分析,并使团队分心,无法关注更紧迫的风险,如实施漏洞。
Thaler将"密码学相关量子计算机"(CRQC)定义为一种完全纠错的机器,能够以足够规模运行Shor算法,可在大约一个月的运行时间内破解RSA-2048或椭圆曲线方案(如secp256k1)。在他的评估中,2020年代出现CRQC是"极不可能的",公开的里程碑也不足以证明这种系统在2030年前可能出现。
他强调,在离子阱、超导和中性原子平台中,没有设备接近密码分析所需的数十万到数百万物理量子比特,以及所需的错误率和电路深度。
相反,a16z的文章在加密和签名之间划出了明确界限。Thaler认为,对于需要保密数十年的数据,现在收集-以后解密(HNDL)攻击已经使后量子加密变得紧迫,这就是为什么大型提供商正在TLS和消息传递中推出混合后量子密钥建立。
但他坚持认为,包括保护比特币和以太坊在内的签名面临不同的计算:它们不保护可以追溯解密的隐藏数据,一旦CRQC存在,攻击者只能向前伪造签名。
基于此,该论文声称"大多数非隐私链"在协议层面不会暴露于HNDL式量子风险中,因为它们的账本已经是公开的;相关攻击是伪造签名以窃取资金,而不是解密链上数据。
比特币特有的难题
Thaler仍然指出比特币由于治理缓慢、吞吐量有限以及大量暴露的、可能被遗弃的币(其公钥已经在链上)而存在"特殊难题",但他将严重攻击的时间窗口框定为至少十年,而不是几年。
"比特币变化缓慢。如果社区无法就适当的解决方案达成一致,任何有争议的问题都可能触发破坏性的硬分叉,"Thaler写道,并补充说"另一个担忧是比特币向后量子签名的转换不能是被动迁移:所有者必须主动迁移他们的币。"
此外,Thalen指出比特币的"最后一个特定问题"是其低交易吞吐量。"即使迁移计划最终确定,以比特币当前的交易速率,将所有量子易受攻击的资金迁移到后量子安全地址也需要数月时间,"Thaler说。
他对匆忙采用基础层后量子签名方案同样持怀疑态度。基于哈希的签名保守但极其庞大,通常有几千字节,而基于格的方案如NIST的ML-DSA和Falcon虽然紧凑但复杂,并且在实际实现中已经产生了多个侧信道和故障注入漏洞。Thaler警告说,如果区块链在标题压力下过早跳入不成熟的后量子原语,可能会削弱其安全性。
行业对风险看法分歧最强烈的反驳来自Castle Island Ventures联合创始人Nic Carter和Project 11 CEO Alex Pruden。Carter在X上总结了他的观点,称a16z的工作"严重低估了威胁的性质,高估了我们准备的时间",并引导关注者阅读Pruden的长篇帖子。
Pruden首先表示尊重Thaler和a16z团队,但补充道:"我不同意量子计算对区块链不是紧急问题的论点。威胁比他所描述的更近,进展更快,修复更难,比大多数人意识到的更复杂。"
他认为最近的技术成果,而非营销,应该成为讨论的基础。引用现在支持超过6,000个物理量子比特的中性原子系统,Pruden指出"我们现在有一个非退火系统,在中性原子架构中拥有超过6000个物理量子比特",直接反驳了只有不可扩展的退火架构才能达到这种规模的任何暗示。他指出,像加州理工学院的6,100量子比特光镊阵列这样的工作表明,大型、相干、室温中性原子平台已经成为现实。
关于错误纠正,Pruden写道"表面码错误纠正去年已经在实验中得到证明,使其从研究问题转变为工程问题",并指出色码和LDPC码的快速进展。
他强调了谷歌更新的"跟踪量子因子分解成本"估计,显示一台拥有约一百万个噪声物理量子比特、运行大约一周的量子计算机原则上可以破解RSA-2048——比谷歌自己2019年估计的两千万量子比特减少了二十倍。"运行Shor算法的CRQC资源估计在六个月内下降了两个数量级,"他指出,并总结道:"说这种进展轨迹可能在2030年前带来量子计算机并非夸大其词。"
当Thaler强调HNDL是一个加密问题时,Pruden将区块链重新定义为独特的吸引量子攻击的目标。他强调"数字签名中使用的公钥与加密消息一样容易被收集",但在区块链中,这些密钥直接与可见价值相关联。他指出"这些公钥是分布式的,并直接与价值相关联(仅中本聪的BTC就价值1500亿美元)",一旦量子对手可以伪造签名,"如果你能伪造签名,无论原始UTXO/账户是何时创建的,你都可以窃取资产。"
对Pruden来说,这一经济现实意味着"经济激励简单明确地指向区块链成为第一个密码学相关的量子用例",即使其他行业也面临HNDL风险。他补充说"区块链迁移将比中心化系统慢得多。银行可以升级其技术栈。区块链必须达成全球共识,承受PQ签名的性能权衡,并协调数百万用户迁移他们的密钥。"
提及以太坊从工作量证明到权益证明的多年转变,他写道:"最接近的例子是ETH 1.0到2.0的过渡,这花了数年时间,而且尽管那已经很复杂,PQ迁移更加困难。任何认为这只是替换几行签名代码的人显然从未发布、部署或维护过生产区块链。"
Pruden同意Thaler的观点,认为恐慌是危险的,但他翻转了结论:"我同意匆忙是危险的。但这正是为什么工作必须现在开始。最可能的失败模式是行业等待太久,然后一个重大的QC里程碑触发恐慌。"他最后表示不同意"量子计算进展缓慢"、"区块链比暴露于HNDL风险的系统更不脆弱"或"行业在采取行动前还有数年宽限期"的观点,认为"这三个假设都与现实不符。"
截稿时,比特币价格为91,616美元。
