원작자: 비탈릭 부테린

번역자: 오데일리 아즈마

3월 9일, 이더리움 공동 창립자 비탈릭 부테린(Vitalik Buterin)은 이더리움 연구 포럼(ethresear.ch)에 하드포크를 통한 갑작스러운 퀀텀 공격으로부터 사용자 자금을 구하는 방법이라는 제목의 짧은 기사를 게재했습니다.

기사에서 Vitalik은 내일 양자 공격이 닥칠 경우 이더리움이 긴급 상황에서 사용자 자금 손실을 최소화할 수 있는 방법과 양자 저항 형태로 전환한 후 정상적인 운영을 재개하기 위해 어떤 절차를 사용해야 하는지 설명합니다.

다음은 오데일리가 편찬한 비탈릭 전문이다.

내일 양자 컴퓨터를 사용할 수 있게 되었는데, 악의적인 행위자가 어떻게든 그것에 접근하여 사용자 자금을 훔치는 데 사용하려고 한다면 우리는 어떻게 해야 합니까?

이를 방지하기 위해 Winternitz 서명 및 STARK와 같은 양자 저항 기술이 개발되었으며, 계정 추상화가 준비되면 모든 사용자는 무작위로 양자 저항 서명 방식으로 전환할 수 있습니다.하지만 시간이 많지 않고 모든 사람이 생각하는 것보다 더 갑자기 양자 공격이 도래한다면 어떻게 해야 할까요?

제 생각에는,실제로 우리는 현재 비교적 간단한 복구 포크를 통해 이 문제를 해결할 수 있는 충분한 조건을 갖추고 있습니다.이 솔루션을 사용하면 이더리움 네트워크는 하드 포크를 거쳐야 하며 사용자는 새로운 지갑 소프트웨어를 다운로드해야 하지만 소수의 사용자만이 자금을 잃을 수 있습니다.

양자 공격의 주요 위협은 다음과 같습니다. 이더리움 주소는 keccak(priv_to_pub(k))[12:] 함수를 작동하여 얻습니다. 여기서 k는 개인 키에 해당하고 priv_to_pub는 개인 키를 공개 키로 변환하는 데 사용되는 타원 곡선 곱셈에 해당합니다. .

양자컴퓨팅이 실현되면 위의 타원곡선 곱셈은 가역적이 되겠지만(이것이 실제로 이산대수 문제의 해법이기 때문이다), 해시 연산은 여전히 ​​안전하다. 사용자가 거래를 하지 않은 경우에는 주소 정보만 공개되므로 안전하지만, 사용자가 거래를 한 번이라도 하는 한 거래 서명에서 공개 키가 노출되므로 이는 불가능합니다. 양자 컴퓨터에서는 개인 키가 노출될 가능성이 있습니다. 따라서 이 경우 대부분의 사용자가 위험에 처하게 됩니다.

그러나 우리는 실제로 이러한 위협을 완화할 수 있는 방법을 가지고 있으며, 중요한 점은 실제로 대부분의 사용자의 개인 키가 일련의 해시 작업을 통해 생성된다는 것입니다. 예를 들어, 많은 개인 키는 일련의 니모닉 단어를 기반으로 한 일련의 해시 작업을 통해 생성되는 BIP-32 사양을 사용하여 생성됩니다. BIP-32가 아닌 많은 개인 키 생성 방법은 거의 유사합니다. 사용자가 사용하는 비밀번호의 일련의 해시 연산(또는 적당히 어려운 키 도출 기능)을 통해 일반적으로 생성되는 브레인 지갑입니다.

이는 복원 포크를 통한 갑작스러운 양자 공격에 대한 솔루션이 다음 단계를 수행한다는 것을 의미합니다.

• 먼저, 대규모 공격 이후 모든 블록을 롤백합니다.

• 둘째, EOA 주소를 기반으로 하는 기존 트랜잭션 모드를 비활성화합니다.

• 셋째, (아직 구현되지 않은 경우) 스마트 계약 지갑(예: RIP-7560의 일부)을 통한 거래를 허용하는 새로운 거래 유형을 추가합니다.

• 넷째, 새로운 거래 유형이나 작업 코드를 추가하여 사용자가 STARK 증명을 제공할 수 있으며, 증명이 통과되면 사용자 주소의 코드가 새로운 검증 코드로 전환되고 사용자는 새로운 코드 주소를 사용할 수 있습니다. 스마트 계약 지갑으로. .

• 다섯째, Gas 절약 목적과 STARK 증명에 필요한 데이터 양이 많기 때문에 위에서 언급한 여러 유형의 STARK 증명을 동시에 수행할 수 있도록 일괄 STARK 증명을 지원합니다.

원칙적으로 내일 우리는 이 복원 포크를 구현하는 데 필요한 인프라 개발을 시작하여 갑작스러운 양자 공격이 발생할 경우 이더리움 생태계를 준비할 수 있습니다.