Quantum Computing ภัยคุกคามอะไรกันแน่? คู่มือสำหรับผู้ใช้ Crypto สู่ยุคหลังควอนตัม

เมื่อสัปดาห์ที่แล้ว ทีม Google Quantum AI ได้เผยแพร่บทความสำคัญฉบับหนึ่ง ชี้ให้เห็นว่า ภายใต้สถาปัตยกรรมตัวนำยิ่งยวด การแก้ไขข้อผิดพลาดเฉพาะ และสมมติฐานด้านฮาร์ดแวร์ คอมพิวเตอร์ควอนตัมในอนาคตสามารถใช้คิวบิตทางกายภาพน้อยกว่า 500,000 คิวบิต เพื่อทำลายรหัสเส้นโค้งวงรี 256 บิต (ECDLP-256) ที่ใช้กันอย่างแพร่หลายในปัจจุบันสำหรับสกุลเงินดิจิทัลและบล็อกเชน ภายในไม่กี่นาที โดยจำนวนคิวบิตที่ต้องการลดลงประมาณ 20 เท่าเมื่อเทียบกับการประมาณการก่อนหน้านี้

สิ่งนี้ชี้ไปที่ ECDSA ซึ่งเป็นแกนกลางของโครงร่างลายเซ็นสำหรับบล็อกเชนสาธารณะเกือบทั้งหมด เช่น Bitcoin และ Ethereum อย่างตรงไปตรงมา เมื่อข่าวออกมา คำพูดที่ว่า "คอมพิวเตอร์ควอนตัมจะทำลายคีย์ส่วนตัวของ Bitcoin" ก็เริ่มแพร่กระจายไปทั่วอินเทอร์เน็ต

ในความเป็นจริง เราจำเป็นต้องสงบสติอารมณ์และอธิบายเรื่องนี้ให้ชัดเจนก่อน — ภัยคุกคามนั้นมีอยู่จริง แต่ยังห่างไกลจากที่ "พรุ่งนี้กระเป๋าเงินของคุณจะไม่ปลอดภัย"

ที่สำคัญกว่านั้น อุตสาหกรรมทั้งหมดได้เริ่มดำเนินการไปแล้ว

1. การคำนวณควอนตัมกำลังคุกคามอะไรกันแน่?

เพื่อทำความเข้าใจปัญหานี้ เรามาเริ่มจากพื้นฐานที่สุดก่อน นั่นคือสินทรัพย์ Crypto ของคุณได้รับการปกป้องอย่างไร?

เป็นที่ทราบกันดีว่าใน Bitcoin หรือ Ethereum แต่ละบัญชีมีคู่คีย์อยู่เบื้องหลัง: คีย์ส่วนตัวและคีย์สาธารณะ คีย์ส่วนตัวคือตัวเลขขนาดใหญ่ที่สร้างขึ้นแบบสุ่ม เป็นความลับสูงสุด เทียบเท่ากับรหัสผ่านตู้นิรภัยของคุณ คีย์สาธารณะได้มาจากคีย์ส่วนตัวผ่านการคำนวณการคูณเส้นโค้งวงรี ที่อยู่กระเป๋าเงินของคุณคือสตริงที่ได้จากการบีบอัดคีย์สาธารณะผ่านฟังก์ชันแฮช

พื้นฐานความปลอดภัยของระบบนี้อยู่ที่กระบวนการนี้เป็นแบบทางเดียว

ท้ายที่สุดแล้ว การคำนวณคีย์สาธารณะจากคีย์ส่วนตัวทำได้ง่าย แต่การย้อนกลับคีย์ส่วนตัวจากคีย์สาธารณะบนคอมพิวเตอร์แบบดั้งเดิมต้องใช้เวลามากกว่าอายุของจักรวาล นี่คือแก่นแท้ของ "ปัญหาลอการิทึมไม่ต่อเนื่องของเส้นโค้งวงรี" (ECDLP) — การคำนวณไปข้างหน้าง่าย การถอดรหัสย้อนกลับเป็นไปไม่ได้

แต่คอมพิวเตอร์ควอนตัมทำลายสมมติฐานนี้ มันสามารถแก้ปัญหาการแยกตัวประกอบจำนวนเต็มและปัญหาลอการิทึมไม่ต่อเนื่องได้ในเวลาพหุนาม กล่าวอีกนัยหนึ่ง คอมพิวเตอร์ควอนตัมที่ทรงพลังพอในทางทฤษฎีสามารถย้อนกลับคีย์ส่วนตัวจากคีย์สาธารณะของคุณได้

แล้วคำถามก็คือ คีย์สาธารณะจะถูกเปิดเผยเมื่อไหร่?

ทุกครั้งที่คุณเริ่มต้นธุรกรรมบนบล็อกเชน คุณต้องใช้คีย์ส่วนตัวเพื่อเซ็นชื่อข้อมูลธุรกรรม และกระจายคีย์สาธารณะของคุณเพื่อการตรวจสอบในเวลาเดียวกัน ซึ่งหมายความว่าตราบใดที่คุณเคยส่งธุรกรรม คีย์สาธารณะของคุณก็ถูกเปิดเผยบนเชนแล้ว

ความสำคัญของบทความนี้จาก Google คือการผลักดันเรื่อง "การแฮ็กคีย์ส่วนตัวจากคีย์สาธารณะ" จากความเป็นไปได้ในทางทฤษฎีแต่ไร้สาระ ไปสู่เป้าหมายที่สามารถวางแผนได้บนแผนงานฮาร์ดแวร์ควอนตัม ตัวอย่างเช่น ตามการประมาณการในบทความ การแฮ็ก ECDLP 256 บิต ต้องการคอมพิวเตอร์ควอนตัมทนต่อข้อผิดพลาดที่มีคิวบิตทางกายภาพประมาณ 500,000 คิวบิต ซึ่งลดลงอย่างมากจากที่เคยประมาณการไว้

ในที่สุด การคำนวณควอนตัมไม่ได้กำลังแฮ็กบล็อกเชน แต่มุ่งเป้าไปที่ระบบลายเซ็นในบล็อกเชนที่ยังคงสร้างขึ้นบนปัญหาลอการิทึมไม่ต่อเนื่องของเส้นโค้งวงรีเป็นอันดับแรก

ดังนั้น ภัยคุกคามมีอยู่จริง แต่ถ้าพูดอย่างเคร่งครัด คำว่า "ใกล้เข้ามาแล้ว" ไม่ถูกต้องนัก การประมาณการหลักจากอุตสาหกรรมให้ระยะเวลาที่เร็วที่สุดยังคงอยู่ประมาณปี 2030 (อ่านเพิ่มเติม "Native Account Abstraction + Quantum Resistance: ทำไม EIP-8141 ยังไม่เป็นตัวนำใน Ethereum Hegotá?")

2. บล็อกเชนสาธารณะต่างๆ กำลังเตรียมตัวอย่างไร?

แน่นอน ตามวัตถุประสงค์แล้ว มีความแตกต่างที่สำคัญที่นี่ ซึ่งหลายรายงานไม่ได้อธิบายให้ชัดเจน นั่นคือที่อยู่ Bitcoin จำนวนมากจะไม่เปิดเผยคีย์สาธารณะบนเชนโดยตรงตั้งแต่แรก

ยกตัวอย่างรูปแบบทั่วไป เช่น P2PKH, P2WPKH ที่อยู่เองมักจะเป็นเพียงแฮชของคีย์สาธารณะ คีย์สาธารณะมักจะถูกเปิดเผยเมื่อ "ใช้จ่ายครั้งแรก" ซึ่งหมายความว่าหากที่อยู่ของคุณไม่เคยส่งธุรกรรมออกมา บนเชนจะมีเพียงที่อยู่กระเป๋าเงินของคุณ ไม่มีคีย์สาธารณะ

ดังนั้น พื้นที่โจมตีโดยตรงที่สุดของการคำนวณควอนตัม มักจะ偏向于是偏向那些已经发过交易的地址的公钥 แน่นอน รายละเอียดนี้ชี้ให้เห็นถึงสิ่งแรกที่ผู้ใช้สามารถทำได้ในระดับผู้ใช้ เราจะพูดถึงในภายหลัง

อุตสาหกรรมไม่ได้ตระหนักถึงปัญหานี้ ในความเป็นจริง การเตรียมการสำหรับการย้ายไปสู่การเข้ารหัสหลังควอนตัมได้ดำเนินการพร้อมกันในหลายแนวรบแล้ว

แนวทางของ Ethereum คือการแยกชั้นบัญชีและโครงร่างลายเซ็นออกจากกัน เช่น การผลักดัน EIP-7702 และ Account Abstraction (AA) ทำให้บัญชี Ethereum สามารถกำหนดว่าอะไรคือลายเซ็นที่ถูกต้องผ่านตรรกะสัญญาอัจฉริยะ ซึ่งหมายความว่าในวันหนึ่งในอนาคต เมื่อมีการแนะนำโครงร่างลายเซ็นหลังควอนตัม ไม่จำเป็นต้องเขียนโปรโตคอลพื้นฐานใหม่ แค่เปลี่ยนโมดูลตรวจสอบลายเซ็นของบัญชี

ก้าวไปอีกขั้น นักวิจัยการเข้ารหัสของ Ethereum Foundation Antonio Sanso ได้อัปเดตความคืบหน้าล่าสุดเกี่ยวกับความปลอดภัยต้านควอนตัมของ Ethereum ในงาน EthCC9 ชี้ให้เห็นว่าคอมพิวเตอร์ควอนตัมอาจก่อให้เกิดภัยคุกคามจริงต่ออัลกอริทึมลายเซ็น ECDSA ในช่วงกลางทศวรรษ 2030 ปัจจุบัน Ethereum ได้เตรียมการต้านควอนตัมเสร็จสิ้นประมาณ 20% และวางแผนที่จะบรรลุความต้านทานควอนตัมอย่างสมบูรณ์ผ่านการอัปเกรด Lean Ethereum ระหว่างปี 2028 ถึง 2032

อย่างไรก็ตาม ความท้าทายทางเทคนิคหลักในปัจจุบันคือปัญหาขนาดลายเซ็น เช่น ขนาดลายเซ็นของอัลกอริทึมลายเซ็นหลังควอนตัมที่เบาที่สุดอย่าง Falcon ยังมากกว่า ECDSA 10 เท่า การตรวจสอบ Lattice-based ใน Solidity โดยตรงมีค่า Gas สูงมาก ดังนั้นทีมวิจัยจึงกำหนดเส้นทางหลักสองทาง:

• ประการแรก อนุญาตให้ผู้ใช้อัปเกรดอัลกอริทึมลายเซ็นกระเป๋าเงินเป็นโครงร่างต้านควอนตัมผ่าน Account Abstraction โดยไม่ต้องแก้ไขโปรโตคอลพื้นฐาน
• ประการที่สอง แนะนำ LeanVM เพื่อจัดการการคำนวณแฮชที่ซับซ้อน และรวมกับการพิสูจน์ความรู้เป็นศูนย์เพื่อตรวจสอบสิทธิ์ความเป็นเจ้าของ seed phrase ของที่อยู่ เพื่อรับประกันความปลอดภัยของสินทรัพย์ระหว่างกระบวนการย้าย

Antonio กล่าวว่าจะเริ่มจัดการประชุมพิเศษหลังควอนตัม ACD ทุกสองสัปดาห์ตั้งแต่เดือนกุมภาพันธ์ 2026 ปัจจุบันไคลเอนต์ฉันทามติ เช่น Lighthouse และ Grandine ได้เปิดตัวเครือข่ายทดสอบหลังควอนตัมเชิงทดลองแล้ว

นอกจากนี้ สไตล์ของชุมชน Bitcoin นั้นอนุรักษ์นิยมชัดเจนกว่า BIP360 ที่เพิ่งเข้าสู่ที่เก็บ BIPs เสนอประเภทรายการส่งออกใหม่ P2MR (Pay-to-Merkle-Root) หนึ่งในเป้าหมายการออกแบบของมันคือการลบ key-path spend ที่เปราะบางต่อควอนตัมใน Taproot ออก เพื่อเตรียมโครงสร้างที่เป็นมิตรมากขึ้นสำหรับการย้ายลายเซ็นหลังควอนตัมที่อาจเกิดขึ้นในอนาคต

แน่นอน การที่ข้อเสนอเข้าสู่ที่เก็บ BIPs ไม่ได้หมายความว่ามันได้สร้างฉันทามติของชุมชนแล้ว และยิ่งไม่หมายความว่าจะถูกนำมาใช้ในเร็ววัน ดังนั้นจึงสามารถพูดได้เพียงว่าภายในชุมชน Bitcoin ได้เริ่มการอภิปรายข้อเสนอที่เฉพาะเจาะจงมากขึ้นเกี่ยวกับพื้นที่โจมตีควอนตัมและการเปลี่ยนแปลงประเภทผลลัพธ์ที่อาจเกิดขึ้น ซึ่งสอดคล้องกับสไตล์一贯ของ Bitcoin ที่จะกำหนดปัญหาให้ชัดเจนก่อน แล้วค่อยๆ ก่อตัวเป็นฉันทามติอย่างช้าๆ

เป็นที่น่าสังเกตว่า 早在 2024 年 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา (NIST) ได้เผยแพร่มาตรฐานการเข้ารหัสหลังควอนตัมสามรายการอย่างเป็นทางการ ซึ่งหมายความว่าอีโคซิสเต็มบล็อกเชนมีเป้าหมายการย้ายที่ชัดเจน ไม่จำเป็นต้องรอให้การอภิปรายว่าอัลกอริทึมใดดีกว่ามาบรรจบกัน การนำไปปฏิบัติทางวิศวกรรมได้เริ่มต้นขึ้นแล้วในสาระสำคัญ

3. ผู้ใช้ทั่วไปควรทำอย่างไร?

แม้ว่าภัยคุกคามจากคอมพิวเตอร์ควอนตัมจะเป็นเรื่องของอีกหลายปีข้างหน้า แต่เรื่องของอนาคตไม่ได้หมายความว่าไม่ต้องสนใจในตอนนี้ นิสัยดีบางอย่าง ถ้าสร้างตั้งแต่วันนี้ ต้นทุนเกือบเป็นศูนย์

ประการแรกคือหลีกเลี่ยงการใช้ที่อยู่ซ้ำ นี่เป็นมาตรการปกป้องตนเองโดยตรงและมีประสิทธิภาพสูงสุด

เหตุผลก็ตามที่กล่าวข้างต้น — หากคุณเป็นผู้ใช้เชน UTXO เช่น Bitcoin ทุกครั้งที่เริ่มธุรกรรม คีย์สาธารณะของคุณจะถูกเปิดเผยบนเชน ดังนั้นหากคุณใช้ที่อยู่เดียวกันทุกครั้ง คีย์สาธารณะจะถูกเปิดเผยเป็นเวลานาน เมื่อพลังการคำนวณควอนตัมเติบโตเต็มที่ ผู้โจมตีสามารถย้อนกลับคีย์ส่วนตัวจากคีย์สาธารณะของคุณได้อย่าง从容

ปัจจุบัน กระเป๋าเงินหลัก เช่น imToken ได้ให้ฟังก์ชัน HD Wallet โดยค่าเริ่มต้น นิสัยที่ดีคือใช้ที่อยู่ใหม่รับเงินทุกครั้งที่โอน อย่าใช้ที่อยู่เดียวเป็นตัวระบุตัวตนถาวรซ้ำแล้วซ้ำเล่า และสำหรับที่อยู่ที่ไม่เคยส่งธุรกรรมออกมา คีย์สาธารณะไม่เคยถูกเปิดเผย ภัยคุกคามควอนตัมในปัจจุบัน几乎不适用

ประการที่สองคือติดตามแผนงานการอัปเกรดหลังควอนตัมของกระเป๋าเงิน

หากคุณใช้เชนโมเดลบัญชี เช่น Ethereum เป็นหลัก จุดสำคัญ就不是机械地不断换新地址 แต่คือติดตามว่ากระเป๋าเงินที่คุณใช้และบล็อกเชนสาธารณะที่คุณอยู่ จะให้เส้นทางการย้ายที่ชัดเจนในอนาคตหรือไม่

เพราะสำหรับเชนโมเดลบัญชี ปัญหาที่ใหญ่กว่าในยุคควอนตัมมักไม่ใช่การเปิดเผยครั้งเดียว แต่คือการผูกมัดระยะยาวของบัญชีที่ใช้งาน คีย์สาธารณะในประวัติศาสตร์ ตัวตนบนเชน และสิทธิ์การใช้งานแอปพลิเคชัน เมื่อเข้าสู่หน้าต่างการย้ายอย่างแท้จริงในอนาคต บัญชีใดที่อัปเกรดได้มากกว่า กระเป๋าเงินใดสามารถเปลี่ยนตรรกะลายเซ็นได้อย่างราบรื่นมากกว่า ก็จะปลอดภัยกว่า

สุดท้าย จากมุมมองของ人性 สามารถคาดการณ์ได้ว่าเมื่อความร้อนแรงของหัวข้อเพิ่มขึ้น จะมีกระเป๋าเงินหรือโปรโตคอลที่อ้างว่า "ปลอดภัยจากควอนตัม" ปรากฏขึ้นในตลาดมากขึ้นเรื่อยๆ เราควรระวังกระเป๋าเงิน โปรโตคอล และผลิตภัณฑ์โครงสร้างพื้นฐานเหล่านี้ที่อ้างว่า "ปลอดภัยจากควอนตัม"

เมื่อเผชิญกับข้อกล่าวอ้างดังกล่าว สิ่งที่ควรถามไม่ใช่ข้อความโฆษณา แต่เป็นคำถามที่หนักแน่นกว่าสามข้อ:

• อัลกอริทึมที่มันพึ่งพาเป็นมาตรฐานที่ NIST กำหนดแล้วหรือไม่?
• ความปลอดภัยของมันได้รับการตรวจสอบอิสระและการตรวจสอบการนำไปปฏิบัติอย่างเพียงพอหรือไม่?
• ความปลอดภัยจากควอนตัมที่มันอ้างคือการย้ายระดับเชน การอัปเกรดระดับบัญชี หรือเป็นเพียงการห่อหุ้มระดับแอปพลิเคชัน?

ท้ายที่สุดแล้ว ความปลอดภัยหลังควอนตัมที่แท้จริง ต้องครอบคลุมไม่ใช่แค่ป้ายกำกับของแอป แต่เป็นเส้นทางทั้งหมดตั้งแต่ลายเซ็น การตรวจสอบ ไปจนถึงความเข้ากันได้บนเชน

โดยรวม ภัยคุกคามของการคำนวณควอนตัมต่อบล็อกเชนมีอยู่จริง ความสำคัญของเอกสารไวท์เปเปอร์ล่าสุดจาก Google นี้ อยู่ที่มันผลักดันภัยคุกคามจากทฤษฎีที่ห่างไกลให้ใกล้เคียงกับความเสี่ยงที่สามารถวางแผนได้มากขึ้นอีกก้าว

แต่นี่ยังไม่ใช่สัญญาณว่า "พรุ่งนี้กระเป๋าเงินจะถูกแฮ็ก" ความเข้าใจที่ถูกต้องกว่าคือการย้ายหลังควอนตัมไม่ใช่หัวข้อที่จำกัดอยู่ในแวดวงวิชาการอีกต่อไป แต่จะเป็นปัญหาจริงที่ค่อยๆ เข้าสู่การอัปเกรดโปรโตคอล การออกแบบกระเป๋าเงิน และการจัดการสินทรัพย์ของผู้ใช้ในอีกหลายปีข้างหน้า

写在最后

สำหรับอุตสาหกรรม สิ่งที่สำคัญจริงๆ ต่อไปไม่ใช่ใครร้องว่าควอนตัมมาแล้วก่อน แต่คือใครสามารถออกแบบเส้นทางการย้ายให้ชัดเจนก่อน

สำหรับผู้ใช้ ก็ไม่ใช่ต้องตกใจกลัวในตอนนี้ แต่คือสร้างการรับรู้ความเสี่ยงพื้นฐานขึ้นมาก่อน: สินทรัพย์ใดถูกเปิดเผยก่อน การดำเนินการใดจะขยายพื้นที่โจมตี กระเป๋าเงินและบล็อกเชนสาธารณะใดมีแนวโน้มที่จะให้การอัปเกรดที่ราบรื่นในอนาคต

สิ่งที่เราต้องการคือการดำเนินการแต่เนิ่นๆ ไม่ใช่ความวิตกกังวลที่มากเกินไป

ร่วมกันให้กำลังใจ