Máy tính lượng tử đủ mạnh để bẻ gãy blockchain Bitcoin hiện chưa tồn tại. Tuy nhiên, các nhà phát triển đã bắt đầu bàn tới một làn sóng nâng cấp nhằm xây dựng lớp phòng thủ trước mối đe dọa tiềm tàng này — và đó là điều hoàn toàn có cơ sở, bởi rủi ro này giờ đã không còn là giả thuyết thuần túy.
Trong tuần này, các nhà nghiên cứu của Google công bố một nghiên cứu cho thấy một máy tính lượng tử đủ mạnh có thể bẻ khóa mật mã cốt lõi của Bitcoin trong chưa đầy 9 phút — nhanh hơn 1 phút so với thời gian xác nhận trung bình của một khối Bitcoin. Một số nhà phân tích cho rằng mối đe dọa như vậy có thể trở thành hiện thực vào năm 2029.
Rủi ro là rất lớn: Khoảng 6,5 triệu bitcoin, trị giá hàng trăm tỷ đô la, đang nằm trong các địa chỉ mà máy tính lượng tử có thể nhắm trực tiếp tới. Một phần trong số đó thuộc về Satoshi Nakamoto, nhà sáng lập ẩn danh của Bitcoin. Bên cạnh đó, nếu bị xâm phạm, điều này sẽ làm tổn hại đến những nguyên tắc cốt lõi của Bitcoin — “tin vào mã nguồn” và “tiền tệ lành mạnh”.
Dưới đây là cách mối đe dọa này vận hành, cùng các đề xuất đang được xem xét để giảm thiểu nó.
Hai cách một cỗ máy lượng tử có thể tấn công Bitcoin
Trước tiên, hãy hiểu lỗ hổng trước khi bàn về các đề xuất.
Bảo mật của Bitcoin được xây dựng trên một mối quan hệ toán học một chiều. Khi bạn tạo ví, một khóa riêng tư và một số bí mật được sinh ra, từ đó suy ra khóa công khai.
Để chi tiêu bitcoin, bạn phải chứng minh quyền sở hữu khóa riêng tư — không phải bằng cách tiết lộ nó, mà bằng cách dùng nó để tạo ra một chữ ký mật mã mà mạng lưới có thể xác minh.
Hệ thống này an toàn vì các máy tính hiện đại sẽ cần hàng tỷ năm để phá vỡ mật mã đường cong elliptic — cụ thể là thuật toán chữ ký số đường cong elliptic (ECDSA) — nhằm suy ra khóa riêng tư từ khóa công khai. Vì vậy, blockchain được xem là gần như không thể bị xâm phạm về mặt tính toán.
Nhưng một máy tính lượng tử trong tương lai có thể biến con đường một chiều này thành hai chiều, bằng cách suy ra khóa riêng tư từ khóa công khai rồi rút sạch tiền của bạn.
Khóa công khai bị lộ theo hai cách: Từ các đồng coin nằm yên trên chuỗi (tấn công phơi lộ dài hạn) hoặc các đồng coin đang di chuyển hay giao dịch đang chờ trong bộ nhớ đệm giao dịch (tấn công phơi lộ ngắn hạn).
Các địa chỉ Pay-to-Public-Key (P2PK) — được Satoshi và những thợ đào đầu tiên sử dụng — cùng Taproot (P2TR), định dạng địa chỉ hiện tại được kích hoạt năm 2021, đều dễ tổn thương trước kiểu tấn công phơi lộ dài hạn. Coin trong các địa chỉ này không cần di chuyển để lộ khóa công khai; việc phơi lộ đã xảy ra và bất kỳ ai trên thế giới cũng có thể đọc được, bao gồm cả một kẻ tấn công lượng tử trong tương lai. Khoảng 1,7 triệu BTC đang nằm trong các địa chỉ P2PK cũ — bao gồm cả coin của Satoshi.
Tấn công phơi lộ ngắn hạn liên quan đến mempool — “phòng chờ” của các giao dịch chưa xác nhận. Trong lúc giao dịch nằm ở đó để chờ được đưa vào một khối, khóa công khai và chữ ký của bạn đều hiển thị với toàn bộ mạng lưới.
Một máy tính lượng tử có thể truy cập dữ liệu đó, nhưng nó chỉ có một khoảng thời gian rất ngắn — trước khi giao dịch được xác nhận và bị chôn dưới các khối tiếp theo — để suy ra khóa riêng tư tương ứng và hành động.
Các sáng kiến
BIP 360: Loại bỏ khóa công khai
Như đã nói ở trên, mọi địa chỉ Bitcoin mới được tạo bằng Taproot ngày nay đều vĩnh viễn để lộ khóa công khai trên chuỗi, trao cho máy tính lượng tử tương lai một mục tiêu không bao giờ biến mất.
Đề xuất cải tiến Bitcoin (BIP) 360 loại bỏ khóa công khai được nhúng vĩnh viễn trên chuỗi và hiển thị cho mọi người bằng cách giới thiệu một loại đầu ra mới gọi là Pay-to-Merkle-Root (P2MR).
Hãy nhớ rằng máy tính lượng tử sẽ nghiên cứu khóa công khai, đảo ngược hình dạng chính xác của khóa riêng tư và tạo ra một bản sao có thể hoạt động. Nếu chúng ta loại bỏ khóa công khai, kẻ tấn công sẽ không còn gì để bám vào. Trong khi đó, mọi thứ khác, bao gồm thanh toán Lightning, thiết lập đa chữ ký và các tính năng Bitcoin khác, vẫn giữ nguyên.
Tuy nhiên, nếu được triển khai, đề xuất này chỉ bảo vệ các đồng coin mới trong tương lai. 1,7 triệu BTC hiện đang nằm trong các địa chỉ đã lộ khóa là một vấn đề riêng, sẽ được xử lý bằng những đề xuất khác bên dưới.
SPHINCS+ / SLH-DSA: Chữ ký hậu lượng tử dựa trên hàm băm
SPHINCS+ là một cơ chế chữ ký hậu lượng tử được xây dựng trên các hàm băm, giúp tránh các rủi ro lượng tử mà mật mã đường cong elliptic đang được Bitcoin sử dụng phải đối mặt. Trong khi thuật toán của Shor đe dọa ECDSA, các thiết kế dựa trên hàm băm như SPHINCS+ không được xem là dễ bị tổn thương tương tự.
Sơ đồ này đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa vào tháng 8/2024 dưới tên FIPS 205 (SLH-DSA) sau nhiều năm xem xét công khai.
Đổi lại cho lớp bảo mật cao hơn là kích thước lớn. Trong khi chữ ký Bitcoin hiện tại chỉ dài 64 byte, chữ ký SLH-DSA có kích thước 8 kilobyte (KB) hoặc hơn. Vì vậy, nếu áp dụng SLH-DSA, nhu cầu không gian khối sẽ tăng mạnh và phí giao dịch cũng sẽ cao hơn.
Do đó, các đề xuất như SHRIMPS (một sơ đồ chữ ký hậu lượng tử khác dựa trên hàm băm) và SHRINCS đã được giới thiệu nhằm giảm kích thước chữ ký mà không hy sinh bảo mật hậu lượng tử. Cả hai đều xây dựng trên SPHINCS+ nhưng hướng tới việc giữ nguyên các đảm bảo an ninh của nó theo một شكل thực tế hơn, tiết kiệm không gian hơn cho blockchain.
Hệ thống Commit/Reveal của Tadge Dryja: Phanh khẩn cấp cho mempool
Đề xuất này, một soft fork do đồng sáng lập Lightning Network Tadge Dryja đưa ra, nhằm bảo vệ các giao dịch trong mempool trước một kẻ tấn công lượng tử trong tương lai. Nó làm được điều đó bằng cách tách việc thực thi giao dịch thành hai giai đoạn: Commit và Reveal.
Hãy tưởng tượng bạn nói với đối tác rằng bạn sẽ gửi email cho họ, rồi sau đó thực sự gửi email. Câu đầu là giai đoạn commit, còn hành động gửi email là giai đoạn reveal.
Trên blockchain, điều đó có nghĩa là trước tiên bạn công bố một dấu vân tay niêm phong của ý định của mình — chỉ là một hàm băm, không tiết lộ gì về giao dịch. Blockchain sẽ đóng dấu thời gian cho dấu vân tay đó vĩnh viễn. Sau đó, khi bạn phát đi giao dịch thực sự, khóa công khai sẽ lộ ra — và đúng vậy, một máy tính lượng tử đang theo dõi mạng lưới có thể suy ra khóa riêng tư từ đó và tạo một giao dịch cạnh tranh để đánh cắp tiền của bạn.
Nhưng giao dịch giả mạo đó sẽ bị từ chối ngay lập tức. Mạng kiểm tra: giao dịch chi tiêu này có một cam kết trước đó đã được ghi trên chuỗi hay không? Giao dịch của bạn thì có. Của kẻ tấn công thì không — họ vừa tạo ra nó vài phút trước. Dấu vân tay đã đăng ký trước chính là bằng chứng ngoại phạm của bạn.
Vấn đề là chi phí sẽ tăng lên vì giao dịch bị chia thành hai giai đoạn. Vì vậy, nó được xem là một cây cầu trung gian, đủ thực dụng để triển khai trong lúc cộng đồng tiếp tục xây dựng các biện pháp phòng thủ lượng tử.
Hourglass V2: Làm chậm tốc độ bán ra của các đồng coin cũ
Do nhà phát triển Hunter Beast đề xuất, Hourglass V2 nhắm vào lỗ hổng lượng tử liên quan đến khoảng 1,7 triệu BTC đang nằm trong các địa chỉ cũ, đã lộ công khai.
Đề xuất này thừa nhận rằng các đồng coin đó có thể bị đánh cắp trong một cuộc tấn công lượng tử tương lai và tìm cách làm chậm quá trình thất thoát bằng cách giới hạn việc bán ra ở mức một bitcoin mỗi khối, nhằm tránh một làn sóng thanh lý ồ ạt qua đêm có thể khiến thị trường sụp đổ.
Ví dụ tương tự là một cuộc rút tiền hàng loạt: bạn không thể ngăn mọi người rút tiền, nhưng có thể giới hạn tốc độ rút để hệ thống không sụp đổ trong một đêm. Đề xuất này gây tranh cãi vì ngay cả sự hạn chế ở mức tối thiểu đó cũng bị một số người trong cộng đồng Bitcoin xem là vi phạm nguyên tắc rằng không bên nào được phép can thiệp vào quyền chi tiêu coin của bạn.
Kết luận
Những đề xuất này vẫn chưa được kích hoạt, và cơ chế quản trị phi tập trung của Bitcoin — bao gồm các nhà phát triển, thợ đào và nhà vận hành node — có nghĩa là bất kỳ nâng cấp nào cũng cần thời gian để trở thành hiện thực.
Tuy vậy, làn sóng đề xuất xuất hiện đều đặn trước báo cáo của Google trong tuần này cho thấy vấn đề đã nằm trong tầm ngắm của các nhà phát triển từ lâu, điều này có thể giúp giảm bớt lo ngại của thị trường.
