Генеральний директор Quantus Крістофер Сміт про квантову загрозу, з якою ніхто у криптоіндустрії не хоче стикатися

Квантові обчислення часто обговорюють у криптовалюті як далеку загрозу, щось для галузі, про що потрібно турбуватися «колись». Але для Крістофера Смита, генерального директора Quantus, цей підхід вже небезпечно застарів. Він вважає, що найбільша помилка світу криптовалют полягає в тому, що вони розглядають квантові загрози як вузьку проблему безпеки гаманця, тоді як насправді ставки йдуть набагато далі, ніж викрадені ключі.

У цьому інтерв’ю Сміт пояснює, чому він вважає, що справжня небезпека є системною, зачіпаючи все — від довгострокової експозиції Біткоїна до стабілікоінів, мостів, інструментів приватності та навіть довіри інвесторів. Він також пояснює, чому блокчейн може бути набагато важче оновити для квантової епохи, ніж традиційні фінанси або централізовані веб-системи. Його послання є прямим: галузь стикається не лише з технічною проблемою, а й з проблемою координації, і час може закінчитися швидше, ніж думає більшість людей.

Q1. Більшість обговорень квантових загроз зосереджені на безпеці гаманця та викрадених приватних ключах. Що, на вашу думку, широка криптоіндустрія все ще неправильно розуміє щодо системних ризиків, які створює квантове обчислення?

Це справді ситуація, коли потрібно бігти швидше за ведмедя, а не лише за своїх друзів. Навіть якщо ви зробите свій гаманець квантово-захищеним, це не робить ціну квантово-захищеною. Якщо ви не повторно використовуєте адреси Біткоїна, ви досить квантово-захищені, але якщо китайський уряд отримає сатоші-коіни, ринок вибухне.

Q2. Ваш звіт стверджує, що «схема ризику» зараз рухається швидше, ніж реагують механізми галузі. Які недавні події у квантових обчисленнях переконали вас у тому, що це вже не далека теоретична проблема?

Початком стала чіп Willow від Google наприкінці 2024 року. До цього було цілком логічно думати, що квантові обчислення можуть бути буквально неможливими через якусь ще не відкриту приналежність. Willow довів, що корекція квантових помилок можлива.

Після цього квантові обчислення перейшли від «можливо, якщо нам пощастить» до «точно можливо за достатніх інженерних ресурсів».

Тоді цього року з’явилися два великі звіти, один від Google і один від Oratomic, які значно зменшили оцінки ресурсів для зламу ключів Біткоїна у порядках величин. Стаття Google стосувалася покращень у програмному забезпеченні, а стаття Oratomic — апаратного забезпечення, тож проблему вирішують з обох боків.

Люди, які намагаються прогнозувати це, повинні розуміти, що технологічний розвиток є за своєю природою нелінійним і стохастичним. Якщо чекати, поки хтось зможе зламати 128-бітний ключ, можливо, вже буде занадто пізно для міграції мільйонів адрес.

Q3. Звіти таких великих інституцій, як Google, BlackRock і Citigroup, усі торкалися квантових ризиків по-своєму. Які важливі аспекти, на вашу думку, ці звіти ігнорують щодо інфраструктури блокчейна?

Я вважаю, що добре, що інституції зараз говорять про це. Моя єдина претензія — це те, що вони стверджують, що ризик настане через роки, чого вони насправді не можуть знати. Особливо важливо, що квантові обчислення мають значення для кібербезпеки і, отже, для національної безпеки, тому громадськість, ймовірно, не буде повністю поінформована про стан справ. Наскільки нам відомо, уряд США вже має один, і вони попереджають усіх оновлювати системи, бо вважають, що Китай незабаром отримає один.

Q4. Ви описуєте криптовалюту як унікально вразливу порівняно з традиційними інтернет-системами, оскільки публічні ключі залишаються відкритими в мережі назавжди. Чому блокчейн за своєю природою важче «заправити» від квантових загроз, ніж традиційні фінанси або веб-інфраструктура?

Signal Messenger, iMessage і CloudFlare вже є пост-квантовими. Їхні користувачі нічого не робили для цього, оскільки це більш-менш централізовані системи. Те саме зазвичай стосується банківських систем. Вони мають багато застарілих шарів, що створює свої труднощі, але в основному є генеральний директор, який може сказати «ми це робимо», і інженери реалізують, потім натискають кнопку, і всі їхні клієнти оновлюються за один день. Користувачі не керують своїми ключами.

У блокчейнах все інакше. «Не ваші ключі — не ваші монети». Тому навіть якщо розробники вирішать і оновлять криптографію, користувачам доведеться зробити щось, що вони можуть не зрозуміти. Вони навіть не зможуть це зробити, якщо ключі будуть втрачені або користувач помре.

Отже, технічна частина не є справжнім вузьким місцем для блокчейнів. Це соціальний рівень координації та міграції.

Q5. Звіт вводить ідею «Великого квантового фільтру», коли капітал може мігрувати з вразливих ланцюгів у квантово-захищені. Які ознаки вказують, що цей перехід вже почався?

Ну, коли Google оголосила про свій квантовий чіп «Willow», ринок криптовалют відреагував надмірно, як це зазвичай буває, але правильно визначив, що Біткоїн вразливий, а деякі ланцюги, наприклад QRL, — ні. Це видно тому, що ціна QRL у той день зросла, а Біткоїн — знизилася.

Деякі інвестори, наприклад Чарльз Едвардс, стверджують, що недавня низька продуктивність Біткоїна частково пов’язана з тим, що інституції та великі гравці закладають квантову загрозу у свої ціни.

Отже, що потрібно спостерігати: коли з’являються нові звіти про прогрес у квантових технологіях, які монети зростають, а які падають?

Q6. Одним із несподіваних висновків у звіті є значне збільшення розміру транзакцій при переході від підписів ECDSA до ML-DSA-87. Чи вважаєте ви, що масштабованість, а не сама криптографія, може стати найбільшим бар’єром для впровадження пост-квантових технологій?

Є стара приказка в інформатиці: «Передчасна оптимізація — корінь усього зла». Інженери іноді застрягають у дрібних деталях і пропускають більшу картину. Немає більшої невдачі для блокчейна, ніж те, що цифрові підписи є ненадійними. Можна повернутися до використання банку або обміну золотими монетами.

Тому безпека — найважливіше. Продуктивність — другорядна. «Правильно, швидко, красиво. У такому порядку». І блокчейни зазнають зниження продуктивності при переході у пост-квантову епоху, якщо робити це наївно. Саме тому ми ввели термін «QTPS» — «Квантові транзакції за секунду». Люди зазвичай оцінюють блокчейни за їх максимальною TPS, але Solana провела пост-квантовий пілот, і їхній TPS знизився на 90%, тому вплив на продуктивність реальний. З іншого боку, високий QTPS не має значення, якщо у вас немає користувачів.

Q7. Quantus стверджує, що пост-квантова криптографія створює нову версію трилеми блокчейна. Чи можете ви пояснити, як безпека, приватність і масштабованість стають важчими для балансування у квантову епоху?

Так, існує три взаємовідносини. Пост-квантові підписи та ключі займають набагато більше місця, як ми вже згадували, але й техніки приватності також використовують криптографію, і ця криптографія може бути або до-квантовою, або пост-квантовою. Пост-квантові техніки приватності також зазвичай мають набагато більші докази.

І приватність природно впливає на масштабованість. Шифрування будь-чого ускладнює індексування, що призводить до проблем масштабування, наприклад, коли гаманці мають завантажувати кожну транзакцію і намагатися розшифрувати її, щоб побачити, яка є релевантною. Тому ці речі перебувають у природному напруженні, але хороша інженерія — це завжди компроміси. Можна зробити будь-що, але це завжди коштує чогось.

Q8. Багато проектів блокчейна сьогодні все ще покладаються на системи нульових знань на основі еліптичних кривих, такі як Groth16 або PLONK. Наскільки неготова індустрія до реальності, що деякі з її найпопулярніших технологій приватності також можуть стати вразливими до квантових атак?

Я вважаю, що вже досить добре поширена інформація про те, що zk не є автоматично пост-квантовою, але одна річ, яку часто пропускають, — це особливий режим несправності, який відрізняється від стандартних цифрових підписів. Квантовий зловмисник у системі zk до-квантового періоду може створювати фальшиві докази, що виглядають реальними. Він не зможе зняти справжні докази і побачити приховані входи.

Наприклад, тому кажуть, що Zcash є дещо квантово-захищеним. Квантовий зловмисник не зможе отримати ваші приватні ключі з ваших захищених транзакцій, але він може створити фальшиву транзакцію, яка згенерує необмежену кількість монет.

Q9. Ваша архітектура використовує Wormhole Addresses, Plonky2 і STARK-стиль агрегування доказів, щоб зменшити навантаження на пост-квантові транзакції. З вашої точки зору, чому квантова безпека в кінцевому підсумку стає архітектурною проблемою, а не просто оновленням криптографії?

Протягом десятиліть гаслом було «Біткоїн не може масштабуватися», і частково це правда. Існують реальні проблеми масштабування у блокчейнах, і інтеграція пост-квантової криптографії наївним способом лише погіршить ситуацію. Біткоїн уже найповільніша ланцюг із приблизно 7 TPS, і його QTPS буде значно нижчим за 1, якщо вони не підвищать розмір блоку.

Але нам не потрібно робити це наївно. У нас є сучасні техніки, яких не було, коли винаходили Біткоїн. Нуль-знання криптографії не лише пропонує приватність; вона також стискає обчислення, що допомагає з масштабованістю. Але це досить суб’єктивна технологія, і її важко додати як післядумку. Вона має бути впроваджена з самого початку, щоб працювати правильно.

Q10. У звіті підкреслюються ризики для адміністративних ключів стабілікоінів, валідаторів мостів, систем мульти-підписів і контрактів управління. Яка з цих областей, на вашу думку, може стати першою великою точкою відмови у квантовій ситуації?

Якщо я поставлю чорну шляпу і уявлю найгірший сценарій для криптовалют, то це, мабуть, таке. Припустимо, Північна Корея якось отримує квантовий комп’ютер, здатний зламати ключі. Вони, ймовірно, хочуть заробити гроші, але ще більше — зменшити вплив США і долара, який тепер має глобальний розподіл без банків через стабілікоіни. Тож, якщо КНДР захоче переконатися, що ніхто більше не довірятиме стабілікоінам, вони можуть зламати адміністративний ключ, наприклад USDC. Після цього вони зможуть за одну транзакцію змінити ключі так, щоб ніхто інший їх не мав, заблокувати всі найбільші рахунки, створити квадрильйон монет, скуповувати будь-які великі монети на DEX і зникнути. Найцікавіше тут — стабілікоіни відрізняються від інших токенів. Для стабілікоінів блокчейн не є остаточним словом щодо власності. Circle може зателефонувати всім біржам, випустити новий контракт і відновити баланс до стану до зламу. Решта екосистеми буде зруйнована, хоча. Практично скасувати баланс ETH або WBTC неможливо. DeFi буде зруйновано, і може знадобитися десятиліття, щоб відновитися.

Це лише один сценарій. Це не єдиний. Інший — квантові технології можуть спричинити кризу для Біткоїна, що дозволить різним акторам захопити контроль. Я можу уявити, що BlackRock спробує ворожий поглинання, створивши пост-квантовий санкційно-дружній форк Біткоїна і визнаючи його лише у своєму ETF (вони зберігають за собою право обирати форк у своїх ризикових розкриттях). Тому криптографія має значення, і це гра на високих ставках, тож очікуйте шахрайства.

Q11. NIST завершив стандарти пост-квантової криптографії у 2024 році, і компанії, такі як Signal, Google Chrome і Apple, вже почали впроваджувати їх. Чому, на вашу думку, криптоіндустрія рухається так повільно, хоча у неї, ймовірно, більше зацікавлених сторін?

На мою думку, галузь втратила свій шлях через азартні ігри. Між кредитним плечем і мемкоінами останні кілька років у блокчейні здебільшого були змаганнями нульової суми між внутрішніми і зовнішніми гравцями.

І всі дивляться на Біткоїн, який найповільніший. У Біткоїна сильна імунна система, яка протистоїть змінам, що добре, коли ти вже ідеальний, але криптографія завжди була гонкою озброєнь, тому «затвердження» навколо еліптичних кривих ніколи не працювало б, квантовий чи ні.

Q12. Якщо галузь чекатиме занадто довго і «Q-День» настане до того, як відбудеться суттєва міграція, яким, на вашу думку, буде найгірший сценарій для криптовалют?

Найгірший сценарій — це коли значна частина капіталу у криптовалюті просто залишить її і не повернеться. Загальна ринкова капіталізація може впасти до сотень або навіть десятків мільярдів, і DeFi фактично зникне.

Звичайно, я не хочу, щоб це сталося. Я присвятив усе своє життя блокчейну. Саме тому ми створили Quantus. Це як Ноєв ковчег для квантової повені.

Інтерв’ю — висновки

Послання Крістофера Смита полягає в тому, що квантова небезпека у криптовалюті — це не далека технічна теорія, а реальна структурна загроза, яку галузь все ще недооцінює. На його думку, небезпека виходить за межі відкритих приватних ключів і може змінити все — від ринкової вартості Біткоїна до стабілікоінів, інструментів приватності та міжланцюгової інфраструктури. Більша проблема, на його думку, полягає в тому, що криптовалюти не можна виправити простим оновленням програмного забезпечення. Це вимагатиме масштабної скоординованої міграції, перш ніж квантова епоха перетвориться з спекуляції на кризу, що рухає ринок.