Google предупреждает: пять квантовых сценариев атак могут подвергнуть Ethereum риску на $100 млрд

Большая часть онлайн-реакции на научную работу Google Quantum AI, опубликованную поздно в понедельник, сосредоточилась на биткоине. Девятиминутная атака, вероятность кражи 41% и 6,9 млн BTC, которые потенциально могут оказаться раскрытыми.

Раздел про Ethereum привлек меньше внимания. Он заслуживает большего.

Белая книга, соавторами которой стали исследователь Ethereum Foundation Джастин Дрейк и Дэн Бонх из Стэнфорда, описала пять способов, с помощью которых квантовый компьютер мог бы атаковать Ethereum, каждый из которых нацелен на разные части сети.

Совокупное раскрытие превышает $100 млрд по текущим ценам, а сопутствующие эффекты могут оказаться намного масштабнее.

Кошельки, которые никогда не спрятать

В биткоине ваш открытый ключ (криптографическая идентичность, привязанная к вашим средствам) может оставаться скрытым за хэшем — своего рода цифровым отпечатком — до тех пор, пока вы не потратите средства. В Ethereum в тот момент, когда пользователь отправляет транзакцию, его открытый ключ навсегда становится видимым в блокчейне.

Его нельзя ротировать, не отказываясь полностью от аккаунта. Google оценивает, что топ-1 000 Ethereum-кошельков по балансу, в которых хранится примерно 20,5 млн ETH, оказываются под угрозой.

Квантовый компьютер, взламывающий по одному ключу каждые девять минут, мог бы пройти все 1 000 менее чем за девять дней.

Главные ключи для DeFi

Многие смарт-контракты в Ethereum — самоисполняемые программы, которые обеспечивают кредитование, трейдинг и выпуск стейблкоинов, — предоставляют особые привилегии небольшой группе администраторских аккаунтов. Эти админы могут ставить контракт на паузу, обновлять его код или перемещать средства.

Google обнаружила как минимум 70 крупных контрактов с раскрытыми на чейне админ-ключами, в которых находится около 2,5 млн ETH. Но более серьезный риск — за пределами ETH, что именно контролируют эти ключи.

Администраторские аккаунты также управляют правом эмиссии стейблкоинов вроде USDT и USDC, то есть квантовый атакующий, взломав один из ключей, может напечатать неограниченное количество токенов. В статье оценивается, что примерно $200 млрд в стейблкоинах и токенизированных активах на Ethereum зависят от этих уязвимых админ-ключей.

Подделка даже одного может запустить цепную реакцию на каждом рынке кредитования, который принимает эти токены в качестве обеспечения.

Слой 2, построенный на уязвимой математике

Основную массу транзакций Ethereum обрабатывают сети Layer 2 — отдельные системы вроде Arbitrum и Optimism, которые ведут активность вне основной цепочки и затем отчитываются о ней.

Эти L2 опираются на встроенные в Ethereum криптографические инструменты, ни один из которых не устойчив к квантовым атакам. В статье оценивается, что по меньшей мере 15 млн ETH, распределенных по ключевым L2 и кроссчейн-мостам, оказывается под угрозой раскрытия.

Безопасным считается только StarkNet — он использует другой тип математики, основанный на хэш-функциях, а не на эллиптических кривых.

Атака на систему стейкинга

Ethereum защищает себя с помощью proof-of-stake, где валидаторы (участники сети, которые блокируют ETH как обеспечение) голосуют за то, какие транзакции являются действительными. Эти голоса аутентифицируются по схеме цифровой подписи, которую в статье считают уязвимой для квантовых компьютеров.

Около 37 млн ETH находится в стейкинге. Если атакующий скомпрометирует одну треть валидаторов, сеть больше не сможет финализировать транзакции. Две трети дают атакующему возможность переписать историю цепочки.

В статье отмечается, что если стейкинг сосредоточен в крупных пулах, таких как Lido примерно с 20%, то нацеливание на инфраструктуру одного провайдера может заметно сократить временную шкалу атаки.

Эксплойт, который нужно запустить только один раз

Это вектор без прецедентов. Ethereum использует систему под названием Data Availability Sampling, чтобы проверять, что данные транзакций, опубликованные сетями L2, действительно существуют. Эта система зависит от одноразовой церемонии настройки, которая сгенерировала секретное число; предполагалось, что после этого оно будет уничтожено.

Квантовый компьютер мог бы восстановить этот секрет по публично доступным данным. После восстановления он превращается в постоянный инструмент — элемент обычного программного обеспечения, который может навсегда подделывать доказательства верификации данных, не требуя квантового доступа снова.

Google описывает этот эксплойт как «потенциально торгуемый». Каждая L2, которая зависит от системы blob-данных Ethereum, будет затронута.

Опередение Ethereum и его ограничения

Дрейк — один из соавторов статьи — работает внутри Ethereum Foundation. Фонд запустил на прошлой неделе портал исследований по постквантовой криптографии, поддержанный восемью годами работы: тестовые сети выпускаются каждую неделю, а дорожная карта апгрейда с многими форками нацелена на устойчивую к квантам криптографию к 2029 году.

Блоки Ethereum со временем формирования в 12 секунд также делают кражу транзакций в реальном времени гораздо более сложной, чем в биткоине, где блоки занимают 10 минут.

Но статья ясно говорит, что обновление базового слоя Ethereum не исправляет автоматически тысячи смарт-контрактов, уже развернутых на нем. Каждый протокол, мост и L2 должны независимо обновлять свой код и ротировать свои ключи. Ни одна организация не контролирует этот процесс целиком.