量子计算对比特币的威胁:为何应销毁易受攻击的比特币

本文深入探讨量子计算对比特币安全构成的威胁,分析是否应通过软分叉销毁易受量子攻击的比特币,还是允许量子计算机恢复这些资金,涉及技术架构、游戏理论和经济影响的多维度分析。

反对允许量子恢复比特币

支持销毁易受攻击地址中的比特币的论点,以防止资金被赢得量子计算竞赛的人获取。

量子计算辩论正在升温。这场辩论存在许多争议点,包括量子计算机是否真的会成为实际威胁。本文不会深入探讨"我们应该对量子计算机有多担心"这个无法回答的问题。我认为这远非危机,但考虑到改变比特币的难度,值得开始认真讨论。今天,我希望聚焦于一个哲学困境,这与如果我们实施量子安全签名方案时需要做出的决策之一相关。

几种情景

由于本文将大量引用博弈论,并且存在许多可能改变博弈性质的可变因素,我认为首先澄清可能的情景很重要。

  1. 量子计算从未实现,从未成为威胁,因此本文讨论的一切都无关紧要。
  2. 量子计算威胁突然出现,而比特币协议中没有量子安全签名。在这种情况下,下文观点可能变得无关紧要,因为比特币将从根本上被破坏,升级协议、钱包软件和迁移用户资金以恢复网络信心将花费太长时间。
  3. 量子计算进展足够缓慢,我们就能就如何升级比特币达成共识,并且在攻击者出现时,后量子安全已得到最低限度的采用
  4. 量子计算进展足够缓慢,我们就能就如何升级比特币达成共识,并且在攻击者出现时,后量子安全已得到高度采用

出于本文目的,我设想处于情景3或4。

冻结还是不冻结?

我开始看到更多人就是子抵抗升级应如何处理用户资金迁移中最可能引起争议的方面发表意见。应该让量子易受攻击的资金对任何拥有足够强大量子计算机的人开放,还是应该永久锁定它们?

一些引述:

“我不明白为什么旧币应该被没收。更好的选择是让那些拥有量子计算机的人释放旧币。虽然这可能对比特币价格产生通胀影响,但用一句话来说,通胀是暂时的。那些时间偏好低的人应该支持让丢失的币重新进入流通。” – Hunter Beast

最后,我看到的第一个支持锁定易受攻击UTXO的意见:“当然必须没收它们。如果(这是一个很大的如果)密码学破解的量子计算机的存在成为可信威胁,比特币生态系统别无选择,只能通过软分叉取消从易受量子计算机攻击的签名方案(包括ECDSA和BIP340)中花费的能力。另一种选择是数百万比特币易受盗窃;我无法想象在这种情况下货币如何保持任何价值。这影响到每个人;即使是那些 diligently 将币转移到PQC保护方案的人。” – Pieter Wuille

我认为"没收"不是最精确的术语,因为资金并非被没收和重新分配。相反,我们真正讨论的更准确地描述为"销毁"——将资金置于所有人无法触及的范围。

根据经验,我与之讨论处理量子计算攻击场景细节的大多数人似乎认为量子易受攻击的币只会被拥有量子计算机的人"开采"。

我假设这是因为不冻结用户资金是比特币不可侵犯的属性之一。然而,如果量子计算对比特币的椭圆曲线密码学构成威胁,比特币的不可侵犯属性将以某种方式被侵犯。

处于风险的基本属性

五年前,我试图全面分类赋予比特币价值的所有基本属性。

与这个问题相关的特定属性似乎是:

  • 审查抵抗——任何人都不应有权阻止他人使用比特币或与网络交互。
  • 前向兼容性——改变规则使某些有效交易失效可能破坏对协议的信心。
  • 保守主义——不应期望用户对系统问题高度响应。

由于上述原则,我们发展出一个强有力的迷因(归功于Andreas Antonopoulos):

不是你的密钥,不是你的币。

我假设这个原则的推论是:你的密钥,只有你的币。

一个具备量子能力的实体打破了这个基本原则的推论。我们通过与大随机数相关的数学概率来保护比特币。你的资金之所以安全,是因为真正的随机大数不应被世界上任何其他人猜测或发现。

这就是座右铭 vires in numeris(数字中的力量)背后的原则。在存在量子对手的世界中,对于许多类型的密码学,包括比特币中使用的椭圆曲线数字签名,这一原则无效。

谁处于风险?

长期以来一直有一种说法,中本聪的币以及其他来自中本聪时代使用直接在区块链上暴露公钥的P2PK锁定脚本的币将被量子"矿工"攫取。但不幸的是,事情没那么简单。如果我有一台强大的量子计算机,我会瞄准哪些币?我会去比特币富豪榜,找到那些因重复使用先前花费过的地址而暴露公钥的钱包。我在下面高亮了它们:

请注意,其中一些钱包,如Bitfinex / Kraken / Tether,破解起来会稍微困难,因为它们是多重签名钱包。因此,量子攻击者需要为Kraken逆向工程2个密钥,或为Bitfinex / Tether逆向工程3个密钥才能花费资金。但许多是单签名。

关键是,至少在撰写本文时,面临量子对手风险的不仅仅是那些非常古老的丢失的BTC。如果我们添加量子安全签名方案,你应该期望这些钱包鉴于其激励措施而成为首批升级的钱包。

伦理困境:量化伤害

哪个决定导致最大的伤害?

  • 通过使量子易受攻击的资金无法花费,我们可能伤害一些未注意并忽视将资金迁移到量子安全锁定脚本的比特币用户。这违反了前面所述的"保守主义"原则。另一方面,我们防止这些资金以及更多丢失的资金落入那些获得量子计算机早期访问权的少数特权人士手中。
  • 通过保留量子易受攻击的资金可供花费,否则资金将被冻结的同一组用户很可能看到资金被盗。许多丢失密钥的早期采用者最终将看到他们无法触及的资金被具备量子能力的对手攫取。

例如,想象一下你是James Howells,他意外扔掉了一个存有8,000 BTC(目前价值超过6亿美元)的硬盘。他花了十年时间试图从他知其埋藏地点的垃圾填埋场找回它,但无法获得挖掘许可。我怀疑,如果可以选择,他宁愿这些资金被永久冻结,也不愿落入他人手中——我知道我会。

允许量子计算机访问丢失的资金并不会使这些用户比之前更糟,然而,它会对目前持有比特币的每个人产生负面影响。

如果大量币落入新手中,预计会出现显著的经济混乱是审慎的。由于量子计算机将产生巨大的前期成本,预计其背后的人希望收回投资。我们也从经验中知道,当某人突然发现自己拥有9位数以上高流动性资产时,他们倾向于通过出售来分散投资到其他事物中。

允许量子恢复比特币无异于财富再分配。我们将允许的是比特币从那些对量子计算机无知的人重新分配到那些赢得技术竞赛获得量子计算机的人手中。很难看到这种情况有什么好处。

量子恢复对任何人有益吗?

量子恢复帮助任何人吗?我还没有遇到任何论据表明这在任何方面都是净积极的。它肯定没有为网络增加任何安全性。如果有的话,它通过允许那些没有赚取它们的人声称资金而大大降低了网络的安全性。

但等等,你可能会想,量子"矿工"难道不是通过投入所有工作和资源建造量子计算机而赚取了他们的币吗?我想,在同样的意义上,窃贼通过投入资源监视目标和学习闯入建筑物所需的技能而赚取了他们的战利品。当我说"赚取"时,我指的是通过生产性的互利贸易。

例如:

  • 投资者通过交易其他货币赚取BTC。
  • 商家通过交易商品和服务赚取BTC。
  • 矿工通过交易热力学安全性赚取BTC。

量子矿工不交易任何东西,他们是吸食系统血液的吸血鬼。

没有理由相信允许量子对手恢复易受攻击的比特币会对除了赢得技术军备竞赛建造首批此类计算机的少数组织之外的任何人有益。可能是民族国家和/或顶级几家大型科技公司。

人们当然可以希望拥有量子霸权的组织是仁慈的,并以"白帽"方式行事,将丢失的币归还给其所有者,但这是极其乐观和愚蠢的依赖。这种情况造成了一个无法克服的伦理困境,即只恢复丢失的比特币而不是当前拥有的比特币。无法精确区分两者;任何人都可以声称丢失了比特币,但如果他们丢失了密钥,那么证明他们曾经拥有密钥就变得相当困难。我想象任何此类白帽恢复工作将不得不依赖像交易所这样的可信第三方的证明。

即使第一个拥有量子霸权的行为者是仁慈的,我们必须假设该技术可能落入敌对手中,从而对抗性地思考潜在的最坏情况结果。例如,想象一下,朝鲜继续通过黑客攻击加密货币交易所攫取数十亿美元,并决定将部分收益投资于建造一台量子计算机,以获得有史以来最大的回报……

允许量子恢复的缺点

让我们详尽地列出允许或阻止量子对手夺取资金的利弊。

  • 历史先例:先前的协议漏洞并未被庆祝为"公平游戏",而是被视为需要补救的失败。以不同方式对待量子盗窃风险改写比特币的历史,使其成为自由放任而非寻求保护用户的系统。
  • 侵犯财产权:允许量子对手控制资金破坏了加密货币的基本原则——如果你持有密钥,只有你应该能够访问你的钱。比特币建立在私钥保护个人资产的理念之上,未经授权的访问(即使通过先进技术)是盗窃,而非合法转移。
  • 侵蚀对比特币的信任:如果量子攻击者可以利用易受攻击的地址,比特币作为安全价值存储的信心将崩溃。用户和投资者依赖密码学完整性,广泛的盗窃可能驱使用户远离比特币,破坏其生态系统的稳定。
    • 这 essentially 是声称销毁易受攻击资金是侵犯财产权的观点的对立面。虽然有些人肯定会这样看,但其他人会发现对阻止量子盗窃的冷漠同样令人担忧。
  • 不公平优势:量子攻击者,可能装备稀有且昂贵的技术,将比缺乏此类工具的普通用户拥有不公正的优势。这创造了一个不公平的系统,只有技术精英才能剥削他人,与比特币去中心化权力的精神相矛盾。
    • 比特币旨在为防御个人财富创造不对称优势。攻击者破解保护个人币的熵和密码学本应不切实际地昂贵。但现在我们发现自己在讨论一种情况,即这种不对称优势被破坏,有利于特定类别的攻击者。
  • 经济破坏:从易受攻击地址的大规模盗窃可能崩溃比特币价格,因为量子恢复的资金被倾倒在交易所。这将伤害所有持有者,而不仅仅是直接目标,导致市场更广泛的金融混乱。
  • 道德责任:允许通过量子计算进行盗窃设定了一个先例,即技术优越性证明不道德行为是合理的。这 essentially 是采取"代码即法律"的立场,我们拒绝承认代码和法律都可以修改以适应先前未预见的情况。
    • 销毁币当然可以被视为一种盗窃形式,因此我认为值得区分讨论的两种不同盗窃:
      • 自我充实且可能恶意
      • 伤害预防且不一定恶意
    • 两种选择都缺乏其币被销毁或转移的一方的同意,因此我认为"盗窃是不道德的"这个简单论点变得无关紧要,深入探讨每个细节很重要。
  • 激励驱动安全:我可以从十年比特币安全工作中告诉你——普通用户懒惰且拖延。如果比特币用户被给予一个"最后期限",之后他们知道易受攻击的资金将被销毁,这种压力会加速后量子密码学的采用,并长期加强比特币。允许易受攻击的用户无限期延迟升级将导致更多落后者,在量子技术可用时使网络更暴露。

Steel Manning

显然这是一个复杂且有争议的话题,因此值得思考反对论点。

  • 保护财产权:允许量子计算机获取易受攻击的比特币可能被曲解为硬通货叙事。
    • 但我认为财产权叙事的另一面是,销毁易受攻击的币防止所述财产落入不应得的人手中。如果整个比特币生态系统只是袖手旁观,允许量子对手声称合法属于其他用户的资金,这真的是"保护财产权"类别的"胜利"吗?这对我来说更像是冷漠。
    • 因此,我认为"保护财产权"的论点无关紧要。
  • 量子计算机不会攻击比特币:很多人怀疑足够强大的量子计算机是否会存在,因此我们不应该为不存在的威胁做准备。其他人认为,即使建造了这样的计算机,量子攻击者也不会对比特币下手,因为他们不想通过这样做暴露自己的手,而是会攻击其他基础设施。
    • 很难精确量化攻击其他基础设施的价值有多大。这也很大程度上取决于实体获得量子霸权的时间,以及到那时世界大多数系统是否已经升级。虽然我认为你可以论证某些获得量子能力的实体可能不会攻击比特币,但这只会延迟不可避免的事情——最终会有人决定将这种能力用于此类攻击。
  • 量子攻击者只会窃取少量资金:有些人认为,即使量子攻击者瞄准比特币,他们也只会针对旧的、可能丢失的P2PK输出,以免引起怀疑并导致市场恐慌。
    • 我不太确定;当你可以用与获取50 BTC相同的努力获取250,000 BTC时,为什么要针对50 BTC?这是一个经典的"零日漏洞利用"博弈论,攻击者知道他们在别人发现漏洞利用并从中受益或修补之前只有有限的时间。以最近的ByBit攻击为例——有史以来最高价值的加密黑客攻击。Lazarus Group 入侵了 Safe 钱包前端 JavaScript 应用程序,他们本可以简单地在其用户与钱包交互时重新分配每个人 Safe 钱包的所有权。但他们选择只专门针对 ByBit 存有15亿美元的钱包,因为他们想最大化可提取价值。如果 Lazarus 开始窃取每个钱包,他们会很快被发现,并且 Safe 网络应用程序很可能在任何价值十亿美元的钱包执行恶意代码之前被打补丁。
    • 我认为"只窃取少量资金"的论点对于前面描述的情景#2最强,即量子攻击者在量子安全密码学部署到整个比特币生态系统之前出现。因为如果比特币密码学被破解变得清晰,并且易受攻击的用户无处安全迁移,那么每个人唯一合乎逻辑的选择就是尽快清算他们的比特币。因此,我认为它在我们有迁移路径可用的情况下不那么适用。
  • 2100万币供应量应处于流通中:有些人认为"流通/可花费"供应量尽可能接近2100万很重要,并且供应量的很大一部分退出流通在某种程度上是不可取的。
    • 虽然"2100万BTC"属性是一个强大的迷因叙事,但我不认为有人曾期望它会全部流通。人们一直理解许多币会丢失,这实际上是拥有比特币博弈论的一部分!
    • 请记住,2100万这个数字本身并不是一个特别重要的细节——它甚至没有在白皮书中提到。重要的是供应量是众所周知的且不会改变。
  • 自我主权和个人责任:比特币的设计赋予个人控制自己财富的能力,免受中心化干预。这种自由伴随着保护自己私钥的负担。如果量子计算可以破解过时的密码学,那么错在那些没有将资金转移到量子安全锁定脚本的用户。期望网络保护用户免受自身疏忽的影响破坏了"你,而非第三方,对自己的资产负责"的原则。
    • 我认为这通常是一个公平的观点,即"社区"在帮助您方面不欠您任何东西。然而,我认为我们确实需要考虑关于量子安全比特币用户与量子易受攻击比特币用户的激励和博弈论。稍后详述。
  • 代码即法律:比特币基于其协议中嵌入的透明、不可变的规则运行。如果量子攻击者使用优越技术从公钥推导出私钥,他们并非"黑客"系统——他们只是遵循当前代码中数学上允许的内容。改变协议来阻止这一点引入了主观的人类干预,这与区块链客观、确定性的性质相冲突。
    • 虽然我倾向于同意代码即法律,但法律的整个要点之一是它们可以被修订以提高减少伤害的功效。依赖这一点似乎更像是一种支持僵化的立场,即宁愿什么都不做允许伤害发生,也不采取行动阻止早已预见到的攻击。
  • 技术演进是特性,而非缺陷:众所周知,密码学往往会随时间减弱并最终被破解。量子计算只是这一进程的下一步。未能适应(例如,在可用时采用抗量子钱包)的用户类似于那些忽视多重签名或硬件钱包等技术进步的用户。允许量子盗窃激励创新并保持比特币生态系统的活力,惩罚自满同时奖励警惕。
  • 市场信号驱动安全:如果量子攻击者开始窃取资金,它会向市场发出明确信号:升级你的安全,否则失去一切。这种压力加速了后量子密码学的采用,并长期加强了比特币。溺爱易受攻击的用户延迟了这一必要的演进,可能在量子技术变得广泛可用时使网络更暴露。盗窃是残酷但有效的老师。
  • 中心化黑名单权力:销毁易受攻击的资金需要中心化决策——一个使某些交易无效的软分叉。这为未来干预设定了危险的先例,侵蚀了比特币的去中心化。如果量子盗窃被阻止,接下来是什么——逆转交易所黑客攻击?系统必须保持中立,即使这意味着有些人损失。
    • 我认为如果提议只销毁特定地址,这可能是一个潜在的滑坡。相反,我期望一个中立的提议,销毁所有已知对量子攻击易受攻击的锁定脚本类型中的资金。因此,我们可以从代码中消除任何主观性。
  • 竞争公平性:量子攻击者没有作弊;他们使用的是公开可用的物理和数学。任何有资源和远见的人都可以建造或访问量子技术,就像任何人在2009年可以用CPU开采比特币一样。早期采用者承担风险并获得回报;量子创新者也在做同样的事情。称其"不公平"忽略了比特币从未承诺结果平等——只承诺其规则内的机会平等。
    • 我发现这个论点是一种错误的描述,因为我们谈论的不是CPU。这更类似于谈论ASIC,只是每个ASIC成本数百万甚至数十亿美元。这是除最富有的组织之外所有人都无法企及的。
  • 经济韧性:比特币以前经历过盗窃(MTGOX、Bitfinex、FTX等)并变得更强大。市场可以吸收量子损失,未受影响的用户继续持有,新进入者以更低价格买入。对经济崩溃的恐惧高估了影响——网络的抗脆弱性在此类挑战中茁壮成长。
    • 这是一个很大的灰色区域,因为我们不知道量子计算机何时会上线,也不知道所述计算机能够多快地窃取比特币。例如,如果第一代足够强大的量子计算机窃取的量少于当前区块奖励,那么当然它影响最小。但如果他们每天获取数千BTC并使它们重新进入流通,随着市场吸收新供应,可能会产生明显的市场影响。
    • 这就是具体情况真正重要的地方。如果量子攻击者在比特币协议升级以支持量子抵抗密码学之后出现,那么我们应该期望最有价值的活跃钱包已经升级,最诱人的目标将是自2010年以来一直休眠的地址12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr中的31,000 BTC。总的来说,我预计重新进入流通供应的BTC量看起来有些类似于挖矿排放曲线:量开始时非常高,因为最有价值的地址被排空,然后随着量子计算机沿着列表瞄准拥有越来越少BTC的地址而下降。
    • 为什么经济影响是一个值得考虑的因素?矿工和一般企业。更多币被清算将推低价格,这将负面影响矿工收入。同样,我可以从在该行业工作十年中证明,较低的价格导致整个行业企业的需求减少。因此,销毁量子易受攻击的比特币对整个行业都有益。
  • 不干预的实用性与中立性:没有可靠的方法区分"盗窃"与合法的"白帽"密钥恢复。如果某人丢失了私钥,量子计算机恢复了它,这是盗窃还是 reclaiming?监管量子行动需要关于意图的侵入性假设,这是比特币的无信任设计无法容纳的。让筹码落在它们可能落的地方避免了这种混乱。
  • 哲学纯粹性:比特币拒绝救助。它是一个冷酷、坚硬的系统,结果反映准备和技能,而非多愁善感。如果量子计算颠覆了游戏,那就是重点——比特币并不意味着在保姆国家意义上是安全或公平的;它意味着自由。因量子攻击而损失资金的用户是自由和自身无知的受害者,而非不公正的受害者。

比特币的DAO时刻

这种情况与2016年以太坊智能合约The DAO黑客攻击有些相似,这导致了一次分叉以阻止攻击者并将资金返还给原始所有者。博弈论是相似的,因为这是一种威胁已知但在攻击者实际能够执行盗窃之前有一段时间的情况。因此,有时间通过改变协议来减轻攻击。

它也在社区中围绕"代码即法律"的真正含义造成了分裂,导致了以太坊经典,它决定允许攻击者保留对被盗资金的控制。

一个销毁易受攻击比特币的软分叉当然可能导致硬分叉,如果有足够多的矿工拒绝软分叉并继续包含交易。

激励很重要

我们可以无休止地进行哲学讨论,但现有比特币持有者关于这个决定的实际激励是什么?

“丢失的币只会让其他人的币稍微增值一点。把它看作是对每个人的捐赠。” – 中本聪

如果属实,推论是:

“量子恢复的币只会让其他人的币贬值。把它看作是对每个人的盗窃。” – Jameson Lopp

因此,假设我们达到比特币协议内支持量子抵抗签名的程度,让易受攻击的币保持可花费的激励是什么?

  • 这对这些币的实际所有者没有好处。
  • 它阻碍所有者升级,直到可能为时已晚。
  • 这对那些已经量子保护其存储的更细心/负责的币所有者没有好处。允许流通供应膨胀无疑会降低所有比特币持有者的购买力。

分叉博弈论

从博弈论的角度来看,我认为这激励用户升级他们的钱包。如果你不同意销毁易受攻击的币,你所要做的就是将你的资金转移到量子安全签名方案。关键是,我不认为会有经济多数(甚至超过极少数)用户会反对这样的软分叉。当你只需将币转移到新地址时,为什么要投入大量资源反对分叉?

请记住,阻止某些类别的锁定脚本的花费是规则的收紧——一个软分叉。因此,它可以通过仅仅多数算力有意义地制定和执行。如果矿工普遍认为销毁易受攻击的币符合他们的最佳利益,其他用户会足够关心投入努力运行抵抗软分叉的新节点软件吗?在我看来似乎不太可能。

如何执行销毁

为了尽可能客观,目标将是向世界宣布,在特定区块高度/时间戳之后,比特币节点将不再接受从任何脚本(除了新设立的量子安全方案)花费资金的交易(或包含此类交易的区块)。

它可以采取交错方法,首先冻结易受长程攻击的资金,例如那些在P2PK脚本中的资金,或那些因先前重复使用地址而暴露公钥的资金,但我预计额外的复杂性会引发进一步争议。

宽限期应该多长才能给生态系统升级的时间?我认为软件钱包升级至少需要1年。我们只能希望硬件钱包制造商能够仅通过固件更新就在其现有硬件上实现后量子密码学。

除此之外,即使用户迁移资金也需要至少6个月的区块空间,即使在最佳情况下。不过,如果排除粉尘UTXO,你可能在1个月内迁移95%的BTC价值。当然,这是一个高度乐观的情况,每个人都完全专注于迁移——实际上需要更长的时间。

无论如何,我认为为了合理维护比特币的保守主义,允许4年迁移窗口是可取的。与此同时,矿池可以协调紧急软分叉逻辑,这样如果量子攻击者出现,他们可以加速量子易受攻击资金销毁的倒计时。

随机附带好处

在积极方面,销毁所有量子易受攻击的比特币将允许我们从UTXO集中修剪所有这些UTXO,这也将清理大量粉尘。粉尘UTXO有点烦人,甚至最近有一个关于如何激励清理它们的提议。

我们还应该预期,激励整个UTXO集的迁移将创造对区块空间的实质性需求,这将在相当长的时间内维持费用市场。

总结

虽然违反比特币任何不可侵犯属性的道德困境可能使这个问题讨论起来非常复杂,但销毁易受攻击的币与允许它们被拥有量子霸权的实体声称之间的博弈论和激励是一个更简单的问题。

就我而言,我不感兴趣奖励量子 capable 实体,仅仅因为有些人很久以前丢失了密钥,有些落后者没有升级比特币钱包的安全性,就膨胀流通货币供应。

我们可以希望这种情况永远不会发生,但希望不是策略。

游戏正在进行中!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次