Coin Metrics：Evaluación panorámica del riesgo cuántico en criptomonedas

Autor: Tanay Ved, investigador senior en Coin Metrics; Traducción: @金色财经xz

Resumen del artículo

• Aunque las computadoras cuánticas aún no representan una amenaza práctica para los sistemas criptográficos de blockchain, los avances tecnológicos recientes han reducido significativamente la ventana de tiempo para responder, impulsando a la industria a prepararse activamente.

• Se estima que aproximadamente 6.9 millones de BTC están en riesgo de ataques de computación cuántica debido al uso de direcciones heredadas y reutilización de claves, de los cuales unos 1.7 millones de BTC (el 9% del suministro) se encuentran en tokens inactivos de la era de Satoshi, difíciles de migrar.

• El riesgo cuántico varía según la estructura de direcciones, los esquemas de firma y el modelo de consenso de cada blockchain; diferentes ecosistemas están promoviendo propuestas y hojas de ruta post-cuánticas para adoptar nuevos esquemas de firma.

1. Introducción

El rápido desarrollo de la computación cuántica está convirtiendo en una realidad concreta las posibilidades teóricas que antes parecían lejanas, enfrentando a las tecnologías criptográficas subyacentes de blockchain. Investigaciones recientes del equipo de inteligencia artificial cuántica de Google muestran que los recursos y el tiempo necesarios para construir computadoras cuánticas capaces de romper la criptografía de curvas elípticas en Bitcoin y otras blockchains se están reduciendo. El Comité de Asesoría Cuántica de Coinbase también señala que, aunque aún no existen estas máquinas, la ventana de acción para migrar a criptografía resistente a cuánticos ya está abierta.

A medida que esta amenaza se acerca, desarrolladores, participantes de la red, inversores y grandes poseedores de tokens jugarán roles clave en guiar a los ecosistemas descentralizados hacia un futuro resistente a los cuánticos.

En este artículo analizaremos en profundidad los riesgos que la computación cuántica plantea a la criptografía de blockchain, enfocándonos en la exposición de Bitcoin, las controversias sobre tokens inactivos, y las rutas actuales que Ethereum y Solana están siguiendo para prepararse contra estos riesgos.

2. Entendiendo la amenaza cuántica inminente

La seguridad de blockchain depende de firmas criptográficas que son difíciles de romper para computadoras clásicas, pero potencialmente vulnerables a las cuánticas. Actualmente, Bitcoin, Ethereum y la mayoría de las redes usan firmas de curvas elípticas (como ECDSA y BLS) para demostrar la autorización del propietario de la clave privada para realizar transacciones. Desde el punto de vista teórico, algoritmos cuánticos como Shor pueden derivar la clave privada a partir de la clave pública correspondiente, lo que significa que, una vez estas máquinas existan, cualquier dirección cuya clave pública haya sido revelada será vulnerable a ataques.

Este riesgo se presenta en dos formas principales, dependiendo de si la clave pública ha sido expuesta en una transacción:

• Ataque estático (a largo plazo): dirigido a billeteras, claves de validadores y contratos cuya clave pública ya sea visible en la cadena. Computadoras cuánticas futuras podrán derivar la clave privada sin que el propietario tenga que realizar ninguna acción adicional, permitiendo el robo de fondos.

• Ataque dinámico (a corto plazo): en el breve período entre la exposición de la clave pública tras una transacción y la confirmación de la misma, atacando transacciones en proceso. Computadoras cuánticas rápidas podrán firmar transacciones conflictivas antes que la red, aprovechando la ventana de tiempo. La menor velocidad de bloques en Bitcoin (unos 10 minutos) crea un riesgo mayor en comparación con cadenas más rápidas como Ethereum (12 segundos) o Solana (finalidad en milisegundos).

3. La exposición cuántica en Bitcoin

El riesgo cuántico en Bitcoin se centra principalmente en la capa de billeteras, y su grado depende del modelo UTXO y del tipo de dirección en uso. Cada UTXO está bloqueado por un script vinculado a una pareja de claves pública y privada. Mientras la clave pública permanezca oculta, un atacante cuántico tendrá dificultades para explotar la vulnerabilidad. Pero si la clave se revela en la cadena, una futura computadora cuántica podrá derivar la clave privada y falsificar transacciones válidas.

Por ello, la vulnerabilidad de Bitcoin depende de si la clave pública ha sido expuesta, y varía según el tipo de dirección y su reutilización:

• P2PK (pago a clave pública): incluye tokens de la era de Satoshi, mineros tempranos y fondos de Satoshi. Estas direcciones son las más riesgosas, ya que su clave pública es visible en la cadena, siendo objetivo de ataques estáticos.

• P2PKH reutilizado (pago a hash de clave pública): inicialmente oculta la clave pública, pero se revela cuando se gasta la dirección, haciendo que los fondos remanentes sean más vulnerables si se reutiliza la dirección.

• P2SH reutilizado (pago a hash de script): oculta el script antes del gasto, pero si se reutiliza la misma clave, múltiples fondos pueden quedar expuestos.

• P2WPKH/P2WSH (testigo segregado): antes del gasto, la clave pública está oculta tras un hash, y generalmente se usan direcciones nuevas y no reutilizadas, reduciendo el riesgo en la ventana de consumo.

• P2TR (Taproot): mejora la privacidad y flexibilidad, pero incorpora la clave pública ajustada en la dirección, haciendo que desde el inicio sea visible para un atacante cuántico.

El gráfico siguiente muestra la evolución en la adopción de estos tipos de direcciones en Bitcoin, destacando la transición de P2PK/P2PKH hacia las salidas de testigo segregado, que gradualmente mueven nuevos tokens a direcciones con menor exposición cuántica.

4. ¿Cuánto Bitcoin está en riesgo?

Según el whitepaper de Project Eleven y Google publicado en marzo, aproximadamente 6.9 millones de BTC están en direcciones con claves públicas expuestas. Esto incluye fondos en direcciones que usan salidas P2PK tradicionales (donde la clave pública es pública desde su creación) o que han sido reutilizadas, exponiendo las claves en el proceso de gasto.

Al escanear los primeros 500,000 bloques de Bitcoin con el sistema ATLAS de Coin Metrics, se confirma que unos 2.3 millones de BTC están en direcciones de alto riesgo, de los cuales unos 1.7 millones probablemente provienen de tokens en la era de Satoshi y mineros tempranos en salidas P2PK. El resto, unos 4.6 millones, se distribuyen en bloques posteriores a 2017. La tendencia muestra que la generación de direcciones P2PKH no se ha detenido, y desde la introducción de Segregated Witness y Taproot, la reutilización de direcciones nuevas y antiguas ha ido en aumento.

5. La problemática de los tokens inactivos (dormant coins)

El debate central sobre el riesgo cuántico gira en torno al destino de los tokens inactivos y las monedas de Satoshi. Aproximadamente 1.7 millones de BTC (el 9% del total) no han movido desde sus inicios, almacenados en direcciones tradicionales con claves públicas expuestas o que se expondrán al gastar. De estos, unos 1.1 millones están asociados a Satoshi, distribuidos en unas 22,000 cuentas (cada una con unos 50 BTC), no en una sola billetera.

Estos tokens de la era de Satoshi representan un desafío único. Como no pueden ser migrados activamente, decidir si y cómo protegerlos es uno de los mayores dilemas de coordinación en la comunidad. Las propuestas incluyen mantener el estado actual, congelar los fondos, destruir los tokens o limitar la tasa de gasto.

El riesgo no es uniforme: la mayoría (unos 1.7 millones de BTC en 34,000 direcciones) proviene de salidas P2PK, que son las más vulnerables desde la perspectiva cuántica. Otros fondos inactivos están dispersos en unas 550 direcciones con más de 100 BTC cada una, y en unas 20,000 cuentas menores.

El riesgo cuántico se divide en dos categorías principales: por un lado, las salidas P2PK de la era de Satoshi, que son las más expuestas pero dispersas en muchas direcciones pequeñas; por otro, las billeteras de alto valor que usan clave reutilizada, como las de exchanges en frío, que aunque menos numerosas, son objetivos más atractivos y pueden participar en migraciones activas.

6. Riesgo cuántico en otras blockchains

El riesgo cuántico también varía según la estructura de direcciones, esquemas de firma y modelos de gobernanza. Como se ha visto, en Bitcoin la exposición principal está en la capa de billeteras y UTXO, donde las direcciones tradicionales exponen claves públicas, aunque el mecanismo de prueba de trabajo y las funciones hash siguen siendo seguros actualmente.

En cambio, blockchains como Ethereum y Solana usan un modelo de cuentas. En este esquema, las claves públicas de las cuentas externas (EOA) se revelan completamente tras la transacción, poniendo en riesgo una mayor proporción de activos. En Bitcoin, muchos tokens aún están protegidos por hashes y con menor reutilización de direcciones. Además, Ethereum y Solana, que usan prueba de participación (PoS), también enfrentan riesgos adicionales por las firmas de curvas elípticas usadas por los validadores.

Por ello, la capacidad de gobernanza y la velocidad de adopción de actualizaciones resistentes a cuánticos dependerán de las características y el nivel de descentralización de cada red, generando diferencias notables en la respuesta a estos riesgos.

7. Propuestas y rutas de migración post-cuántica

Bitcoin

La protección de Bitcoin frente a amenazas cuánticas requiere habilitar firmas resistentes a cuánticos y migrar los fondos a direcciones seguras. Esto involucra la gestión de la porción de activos “dormidos”, que presenta un dilema central en la gobernanza de Bitcoin. Algunas propuestas en discusión son:

• BIP-360 propone un nuevo tipo de salida de pago a raíz de Merkle, eliminando la necesidad de claves en la firma para reducir la exposición a largo plazo.

• BIP-361, presentado por Jameson Lopp y otros, sugiere eliminar gradualmente en los próximos años los esquemas de firma vulnerables, prohibiendo nuevas entradas en direcciones de alto riesgo y eventualmente congelando los tokens no migrados, incluyendo los de Satoshi.

• Para abordar la controversia sobre la congelación de tokens inactivos (“el problema de Satoshi”), Paradigm propone un esquema de prueba de control de direcciones con marcas de tiempo verificables, que permite a los poseedores generar pruebas de control sin mover fondos, facilitando futuras actualizaciones cuánticas para descongelar tokens supuestamente congelados.

Ethereum y Solana

Ethereum y Solana están siguiendo caminos proactivos pero diferentes. Ethereum ha formado un equipo dedicado a investigación cuántica, lanzando una hoja de ruta centrada en la abstracción de cuentas, con la intención de introducir nuevos esquemas de firma basados en hashes o en redes de cristal (lattice). Solana, con los clientes de validadores Anza y Firedancer, se enfoca en la implementación de Falcon, un esquema de firma basado en redes de cristal certificado por NIST, con un plan en tres fases: primero habilitar claves resistentes a cuánticos, luego incentivar la rotación de claves, y finalmente migrar completamente cuando el riesgo sea evidente.

8. Conclusión

Aunque la amenaza de la computación cuántica a la criptografía de blockchain aún no es inminente en términos de tiempo, su impacto potencial se vuelve cada vez más concreto. La tecnología aún no ha logrado romper firmas de curvas elípticas a escala, pero los avances recientes han impulsado a la comunidad a pasar de la discusión teórica a la planificación activa. Actualmente, se están construyendo rutas de migración, probando nuevos esquemas de firma y debatiendo cómo proteger el valor de los activos. Para inversores y participantes, el riesgo cuántico sigue siendo una amenaza remota, pero su gravedad motiva a todos a prepararse y coordinar acciones preventivas.