Google попереджає, що п’ять квантових векторів атак можуть поставити під загрозу $100 мільярдів на Ethereum

Більшість реакцій в інтернеті на статтю Google Quantum AI, оприлюднену пізно в понеділок, зосередилася на біткоїні. Дев’ятихвилинна атака, імовірність викрадення 41% та 6,9 мільйона BTC, які могли бути під загрозою.

На секцію Ethereum звернули менше уваги. Вона заслуговує на більше.

Білий папір, співавторами якого є дослідник Фонду Ethereum Джастін Дрейк та Дан Бонхем зі Стенфорда, змалював п’ять способів, як квантовий комп’ютер може атакувати Ethereum, кожен із яких націлений на різну частину мережі.

Сукупний обсяг ураження перевищує $100 мільярдів за поточними цінами, а супутні наслідки можуть бути значно більшими.

Гаманці, які ніколи не можна сховати

У біткоїні ваш публічний ключ (криптографічна ідентичність, прив’язана до ваших коштів) може залишатися прихованим за хешем — різновидом цифрового відбитка — доки ви не витратите. В Ethereum момент, коли користувач надсилає транзакцію, його публічний ключ назавжди стає видимим у блокчейні.

Немає можливості його ротації без повного відмовлення від акаунта. Google оцінює, що топ-1 000 гаманців Ethereum за балансом, які тримають приблизно 20,5 мільйона ETH, є під загрозою.

Квантовий комп’ютер, який розкриває один ключ кожні дев’ять хвилин, може пройти всі 1 000 менш ніж за дев’ять днів.

Майстер-ключі для DeFi

Багато смартконтрактів в Ethereum, самовиконуваних програм, що забезпечують кредитування, трейдинг і емісію стейблкоїнів, надають особливі привілеї невеликому колу акаунтів адміністраторів. Ці адміни можуть призупинити контракт, оновити його код або перемістити кошти.

Google виявив щонайменше 70 великих контрактів із підключеними до ланцюга адмін-ключами, які тримають близько 2,5 мільйона ETH. Але більший ризик — це те, що ці ключі контролюють поза межами ETH.

Адміністраторські акаунти також керують повноваженнями на карбування стейблкоїнів на кшталт USDT та USDC, тож квантовий атакувальник, який зламає один ключ, може надрукувати необмежену кількість токенів. У статті оцінюється, що приблизно $200 мільярдів стейблкоїнів і токенізованих активів в Ethereum залежать від цих уразливих адмін-ключів.

Підробка навіть одного може запустити ланцюгову реакцію в кожному ринку кредитування, який приймає ці токени як заставу.

Рівень 2, побудований на вразливій математиці

Ethereum обробляє основну частину своїх транзакцій через мережі Layer 2 — окремі системи на кшталт Arbitrum та Optimism, які ведуть активність поза основним ланцюгом і звітують назад.

Ці L2 покладаються на вбудовані в Ethereum криптографічні інструменти, жоден із яких не є стійким до квантових атак. У статті оцінюється, що щонайменше 15 мільйонів ETH у великих L2 та кросчейн-мостах є під загрозою.

Лише StarkNet, який використовує інший тип математики на основі хеш-функцій замість еліптичних кривих, вважається безпечним.

Атака на систему стейкінгу

Ethereum захищає себе через proof-of-stake, де валідатори (учасники мережі, які блокують ETH як заставу) голосують за те, які транзакції є дійсними. Ці голоси автентифікуються схемою цифрового підпису, яку в статті вважають вразливою до квантових комп’ютерів.

Приблизно 37 мільйонів ETH стейкано. Якщо атакувальник скомпрометує одну третину валідаторів, мережа більше не зможе завершувати (фіналізувати) транзакції. Дві третини дають атакувальнику можливість переписати історію ланцюга.

У статті зазначено, що якщо стейкінг зосереджений у великих пулів, таких як Lido (приблизно 20%), то таргетування інфраструктури одного провайдера може значно скоротити тривалість атаки.

Експлойт, який потрібно запустити лише один раз

Це вектор без прецедентів. Ethereum використовує систему під назвою Data Availability Sampling, щоб перевіряти, що транзакційні дані, опубліковані мережами L2, справді існують. Ця система залежить від разової церемонії налаштування, яка згенерувала секретне число — передбачалося, що його знищать після цього.

Квантовий комп’ютер міг би відновити цей секрет із публічно доступних даних. Після відновлення він стає постійним інструментом — частиною звичайного програмного забезпечення, яке може безкінечно підробляти докази верифікації даних, не потребуючи більше квантового доступу.

Google описує цей експлойт як «потенційно торгований». Кожен L2, який залежить від системи blob-даних Ethereum, буде під впливом.

Аванс Ethereum і його обмеження

Дрейк — один із співавторів статті — працює всередині Фонду Ethereum. Минулого тижня Фонд запустив портал досліджень щодо пост-квантової криптографії, підкріплений вісьмома роками роботи: тестові мережі виходять щотижня, а багатовилковий план оновлень спрямований на стійку до квантових атак криптографію до 2029 року.

12-секундні часи блоків Ethereum також ускладнюють у реальному часі крадіжку транзакцій порівняно з біткоїном, де блоки генеруються за 10 хвилин.

Але стаття чітко пояснює, що оновлення базового рівня Ethereum не автоматично виправляє тисячі смартконтрактів, уже розгорнутих на ньому. Кожен протокол, міст і L2 мають незалежно оновити свій власний код та прокрутити (ротацію) свої власні ключі. Жодна окрема організація не контролює цей процес.