谷歌将量子破解的预期估值下调了 20 倍，导致比特币和以太坊的价值面临 6000 亿美元的倒计时。

谷歌利用零知识证明来验证量子攻击估计，而无需暴露底层攻击电路。

谷歌量子人工智能发布的一篇新论文大幅降低了破解比特币和以太坊大部分使用的椭圆曲线密码所需的硬件估计值，使长期存在的安全争论更接近市场条款。

按当前市场价格计算，量子计算风险可能会影响超过 6000 亿美元的比特币、以太坊和稳定币。

该论文由谷歌研究人员、以太坊基金会研究员贾斯汀·德雷克和斯坦福大学密码学家丹·博内共同撰写，称肖尔的算法可以解决 256 位椭圆曲线离散对数问题，最多可以使用 1200 个逻辑量子比特和 9000 万个托福利门，或者最多可以使用 1450 个逻辑量子比特和 7000 万个托福利门。

谷歌表示，这些电路可以在一台超导的、与密码学相关的量子计算机上执行，该计算机只需不到 50 万个物理量子比特，即可在几分钟内完成，这比之前对物理量子比特数量的估计减少了大约 20 倍。

值得注意的是，谷歌并未表示目前存在这样的机器。不过，以太坊基金会的德雷克表示，他对2032年所谓的“量子日”的信心大幅提升，他认为届时量子计算机至少有10%的概率能够从泄露的公钥中恢复出secp256k1私钥。

与此同时，谷歌将这篇论文与一种不寻常的披露模式结合起来，透露它与美国政府合作，并使用了零知识证明，以便外部人员可以在不获得底层攻击电路的情况下验证资源估算。

该论文指出，量子计算的发展已经到了这样一个地步：即使发布可信的资源估算对于激励防御措施仍然是必要的，但完整地发布改进后的攻击细节已经变得不太明智。

比特币的问题一部分在于竞争，一部分在于囤积。

对于比特币而言，这篇论文最直接的市场吸引力在于时机。它模拟了一种“在花费期间”的攻击：用户通过广播交易泄露公钥后，量子计算机推导出私钥，然后在原始支付确认之前尝试发起另一笔竞争交易。

该论文称，一台高速超导机器可以将实时攻击窗口从准备状态缩短到大约 9 分钟，接近比特币大约 10 分钟的平均出块时间。

比特币量子计算风险（来源：谷歌）

根据该论文的假设，这意味着盗窃成功概率略低于 41%。

与此同时，这只是比特币故事的一部分。该报告指出，约有670万枚比特币存放在易受攻击的地址中。这相当于约4440亿美元，约占比特币总市值2100万枚的32%。

该报告称，其中旧的“支付到公钥”脚本仍然保护着超过 170 万枚比特币，按当前市场价格计算价值约 1126 亿美元；而各种脚本类型中，处于休眠状态且易受量子攻击的比特币总量可能达到 230 万枚，价值约 1523 亿美元。

这些加密货币无法通过简单地要求现有用户转移资金来全部迁移，因为许多加密货币被认为已被遗弃、丢失或处于不活跃状态。

除此之外，作者还认为，尽管 Taproot 在隐私性和灵活性方面具有优势，但它重新引入了一个量子弱点，因为 Pay-to-Taproot 将修改后的公钥直接放在锁定脚本中。

他们补充说，基于 Grover 的比特币挖矿攻击在未来几十年内仍然不切实际，因此近期重点仍应放在签名而非工作量证明上。

这使得比特币面临两个截然不同的问题。一是如果未来出现高时钟频率的机器能够在结算窗口期内可靠地破解密钥，那么实时交易将面临风险。二是大量旧版或已泄露的比特币在后CRQC时代可能成为攻击目标。

该论文明确指出，所有现有的比特币交易类型都容易受到未来快速时钟机器的在花攻击，而较旧的 P2PK 输出和现代 P2TR 输出则引入了它们自身的静态暴露风险。

以太坊的量子风险贯穿钱包、验证者和代币化资产。

与此同时，以太坊面临的量子风险则呈现出不同的面貌。

该论文指出，早期的快速时钟量子计算机不太可能在那里发起同样的在币攻击，因为以太坊以确定的 12 秒间隔生成区块，在一分钟内处理大多数交易，并且已经严重依赖私有内存池。

相反，主要的量子威胁在于针对长期存在的账户及其附属系统的静态攻击。

该报告估计，快速攻击者可以在不到九天的时间内攻破价值最高的1000个以太坊账户，这些账户持有约2050万枚ETH。按周二ETH价格约2023.46美元计算，这相当于约415亿美元。

以太坊量子计算风险（来源：谷歌）

报告称，在 ETH 余额排名前 500 的合约账户中，至少有 70 个账户持有约 250 万枚 ETH，由于管理密钥泄露，这些账户的价值按当前价格计算约为 51 亿美元。报告还指出，在高速计算机上，对这些账户发起私钥派生攻击只需不到 15 个小时。

与此同时，这些资产平衡背后隐藏着更大的制度性问题。该报告将这种管理漏洞与以太坊上约2000亿美元的稳定币和代币化现实世界资产联系起来，并指出这些密钥可以作为发行方、桥接器、预言机运营商和紧急监护人的控制点。

该报告警告称，针对此类账户的量子攻击若成功，可能导致任意增发货币、虚假价格信息、用户资金被冻结或流动性池被掏空，具体情况取决于系统。报告指出，这正是标准资产余额模型低估真实风险价值的原因。

然后，它进一步拓宽了视角。在其以太坊风险分类中，该报告指出，由于代码和数据可用性漏洞，Layer 2 和协议价值中约有 1500 万枚 ETH 面临风险，按当前价格计算约为 304 亿美元；此外，由于 BLS 签名相关风险，共识权益中约有 3700 万枚 ETH 面临风险，价值约为 749 亿美元。

这些数据与其他以太坊架构的组成部分有所重叠，但它们共同表明，为什么该论文将以太坊视为一个更广泛的基础设施问题，而不是一个钱包安全问题。

压力从理论转向移民

在此背景下，业界不禁要问，区块链、钱包、交易所和代币化资产发行商能否在攻击经济形势发生变化之前完成迁移。

Ledger首席技术官Charles Guillemet表示：

“好消息是我们已经拥有了工具：后量子密码学，现在我们需要进行迁移。”

然而，谷歌的论文指出，这一过程需要数年时间，而业界无法等待关于与密码学相关的量子计算机的确切到来日期完全明朗。

该公司表示，这将需要协议方面的改进以及钱包行为的改变，包括减少公钥泄露和尽可能停止密钥重用。

从本质上讲，脆弱的加密货币社区应该立即转向后量子密码学。

对比特币而言，这意味着要与日益缩小的结算窗口赛跑。对以太坊而言，这意味着不仅要保护比特币，还要保护数量更为庞大的合约和代币化权益，而这些合约和权益如今都建立在同样脆弱的算法之上。

源自--UPLibra