Los 21 millones de Bitcoin están en riesgo por los ordenadores cuánticos

Se cree ampliamente que solo alrededor del 25% al 30% de Bitcoin está en riesgo de ser atacado en el futuro por computadoras cuánticas. 

Por ejemplo, la Bitcoin Risq List de Project 11 actualmente lista 6.887.180 Bitcoin, valorados en más de $450 mil millones, como "en riesgo". Define "en riesgo" como Bitcoin almacenado en direcciones con claves públicas expuestas. Se estima que entre 3 y 4 millones de estas monedas están "perdidas" y no pueden ser actualizadas para ser cuánticamente seguras. 

Pero esa no es toda la historia. 

De hecho, todos los 21 millones de Bitcoin —excepto las monedas perdidas en direcciones cuánticamente seguras— podrían teóricamente ser vulnerados por computadoras cuánticas suficientemente avanzadas tan pronto como las monedas sean gastadas si no se hace nada para migrar a seguridad post-cuántica.

Es simplemente que el cuarto de Bitcoin almacenado en los tipos antiguos de direcciones son los más fáciles de atacar y serán robados primero. Una computadora cuántica podría trabajar durante meses si enfocara el ataque en las monedas de Satoshi, cuyas claves públicas han estado expuestas durante los últimos 15 años.

Pero el resto del suministro de Bitcoin todavía será vulnerable a atacantes más sofisticados. Esto se debe a que cuando gastas Bitcoin, las claves públicas se exponen en el mempool durante el tiempo que tarde en procesarse la transacción. 

Normalmente, ese período dura entre 10 y 60 minutos, dependiendo del uso de la red, lo que proporciona una breve ventana de tiempo para que ocurra un ataque. Se cree que, conforme las computadoras cuánticas escalen, algún día podrán efectuar un ataque "justo a tiempo".

Yoon Auh (The Paul Barron Show)

"Si quieres gastar tu Bitcoin, tienes que revelar la clave pública", explica Yoon Auh, CEO de BOLTS, que está ejecutando una prueba de concepto para la red Canton con su tecnología QFlex, que intercambia firmas cuánticamente seguras durante una sesión.

"No puedes evitar eso. Y el problema es que el actor malintencionado se convertirá en un gran minero de Bitcoin e interceptará esa transacción para que nunca ocurra."

Charles Edwards de Capriole ha estado promoviendo la actualización de Bitcoin a seguridad post-cuántica y dice que un ataque a corto rango es mucho más difícil. 

"La diferencia, supongo, y por la que no se discute mucho ahora, es porque la capacidad técnica para hacerlo es mucho más avanzada. Hay que mover, resolver y descifrar muy rápido para realizar ese ataque, que básicamente consiste en robar monedas en el mempool y efectivamente hackear cada Bitcoin."

Afirma que eso significa que las monedas con claves públicas expuestas durante años serán atacadas primero. 

"Ese es el dinero fácil, luego el siguiente paso, conforme avance la tecnología, es atacar toda la cadena. Así que cada moneda, si tu horizonte temporal es lo suficientemente largo, será tomada a largo plazo."

BIP-360 no previene los "ataques de exposición corta"

La propuesta recientemente actualizada BIP-360 describe el peligro explícitamente. La propuesta crea un nuevo tipo de dirección (output) llamado Pay To Merkle Root (P2MR) que debería permitir que una proporción considerable de los Bitcoin "en riesgo" se mueva a direcciones resistentes a ataques cuánticos.

Sin embargo, la propuesta advierte específicamente que "los outputs P2MR solo son resistentes a ataques de 'exposición larga' en la criptografía de curva elíptica; es decir, ataques sobre claves expuestas durante períodos más largos que los necesarios para confirmar una transacción de gasto."

Lee también: Bitcoin podría enfrentar un hard fork ante cualquier intento de congelar las monedas de Satoshi

"La protección contra ataques cuánticos más sofisticados, incluyendo la protección contra la recuperación de claves privadas a partir de claves públicas expuestas en el mempool mientras la transacción espera ser confirmada (es decir, 'ataques de exposición corta'), podría requerir la introducción de firmas post-cuánticas en Bitcoin."

Ethan Heilman, coautor de BIP-360, le dice a la revista que los ataques de "exposición larga" son la gran amenaza que debe abordarse primero:

"Con los ataques de exposición corta, el atacante solo aprende la clave pública después de que el output es gastado. Esto significa que el atacante está en una carrera por romper la clave pública y gastar doble la transacción, antes de que la transacción honesta sea confirmada por un minero."

"Probablemente las primeras computadoras cuánticas que representen una amenaza para Bitcoin tomarán un tiempo muy largo en romper una clave pública. Imagina que tienes una computadora cuántica que tarda 6 meses en romper una clave pública. No tendría sentido hacer ataques de exposición corta. Sin embargo, una gran pila de monedas en un output que expone la clave pública sí tendría sentido."

Quantum Computer

¿Es posible un ataque cuántico de corto alcance a Bitcoin?

Un ataque de corto alcance es posible en teoría, pero nadie sabe realmente cuántos años tomaría antes de que una computadora cuántica relevante criptográficamente tenga suficientes qubits físicos funcionando lo suficientemente rápido para aprovechar esa ventana de tiempo.

La semana pasada comenzó la construcción de la primera instalación de computadoras cuánticas con 1 millón de qubits físicos en Chicago. Se prevé finalizar en 2027. PsiQuantum recaudó $1 mil millones de fondos afiliados con BlackRock, por lo que los inversores ciertamente creen que la tecnología está lo suficientemente cerca como para invertir grandes sumas de dinero.

La cantidad estimada de qubits físicos necesarios para romper el cifrado ha caído drásticamente en los últimos años. En febrero, un preprint científico llamado 'The Pinnacle Architecture' sugirió que el cifrado RSA de 2048 bits podría ser roto en alrededor de un mes con "menos de cien mil qubits físicos" o en un día con 471.000 qubits.

Lee también: Bitcoin enfrenta 6 desafíos masivos para ser cuánticamente seguro

La seguridad del cifrado RSA depende de la dificultad de factorizar números primos, mientras que la criptografía de curva elíptica de Bitcoin no, así que la investigación no es una guía precisa —pero algunos creen que ECC sería aún más fácil de romper.

El experto en computación cuántica, el profesor Scott Aaronson, comentó que el cifrado RSA usa claves de 2048 bits mientras que el ECC de Bitcoin usa claves de 256 bits, lo que facilita romperlo porque "el algoritmo de Shor se preocupa principalmente por el tamaño de la clave".

¿Cuánto tiempo tomará romper Bitcoin con una computadora cuántica?

Según el informe de investigación de Marc Verdonk, socio de Deloitte, Quantum computers and the Bitcoin blockchain: "Las estimaciones científicas actuales predicen que una computadora cuántica tomará aproximadamente 8 horas en romper una clave RSA, y algunos cálculos específicos predicen que una firma de Bitcoin podría ser hackeada en 30 minutos."

Verdonk comenta que eso aún proveería protección contra un ataque de corto alcance, pero advierte que el campo todavía está en su infancia. "No está claro cuán rápido podría volverse tal computadora cuántica en el futuro. Si alguna vez se acerca a la marca de 10 minutos para derivar una clave privada a partir de su clave pública, entonces la blockchain de Bitcoin estaría inherentemente rota."

También existen críticos contundentes de la idea de que las computadoras cuánticas llegarán a ser asequibles y lo suficientemente rápidas como para hacer posibles ataques de largo alcance sobre la mayoría de las direcciones en riesgo.

CoinShares argumenta que la mayoría de los Bitcoin perdidos no serán atacados (CoinShares)

Christopher Bendiksen de CoinShares publicó recientemente un informe argumentando que solo unos 10.200 Bitcoin podrían ser robados de forma realista. Afirma que la mayoría de las monedas de los primeros mineros OG están en 32.607 direcciones individuales que tomarían "milenios para desbloquear, incluso en los escenarios más optimistamente extravagantes de avance técnico en computación cuántica."

Bendiksen sostiene que romper Bitcoin en un día requeriría una computadora cuántica con 13 millones de qubits físicos, y para hacerlo en una hora se necesitaría una computadora 3 millones de veces mejor que Google Willow con sus 105 qubits.

Lee también: Puede que Bitcoin tarde 7 años en actualizarse a post-cuántico: coautor de BIP-360

La afirmación se basa en una investigación de 2022, que parece ser la más reciente sobre romper Bitcoin específicamente.

Sin embargo, las estimaciones drásticamente menores del mes pasado para romper RSA con 100.000 qubits sugieren que esta investigación podría estar desactualizada. El propio documento de 2022 declaró que RSA-2048 "es de dificultad comparable a la criptografía EC de Bitcoin."

El tipo de computadora cuántica importa

Justin Drake, investigador de Ethereum, fue consultado sobre el informe de Bendiksen en Unchained, y aunque no lo había leído, cuestionó sus períodos de tiempo.

Drake dijo que el tiempo necesario para romper una clave privada dependerá de cómo avance la investigación en los diferentes tipos de qubits. Google está investigando qubits superconductores mientras empresas como PsiQuantum codifican qubits en fotones, lo que permite operaciones de compuerta rápidas. Ambos tipos de qubits son muy rápidos. Otra investigación sobre iones atrapados y átomos neutros prioriza la coherencia sobre la velocidad.

Justin Drake (Unchained)

"Hay diferentes modalidades de computación cuántica," apuntó Drake. "Sabes, están las computadoras rápidas, las de superconductores y fotónica, y luego las lentas, de iones atrapados y átomos neutros. Si tienes la versión rápida, por ejemplo, Google está trabajando en lo de superconductores, entonces la estimación del tiempo para romper una clave sería del orden de minutos, como unos diez minutos aproximadamente."

Por qué un ataque de corto alcance podría no valer la pena de todos modos

Edwards dice que aunque los ataques de corto alcance son teóricamente posibles, la economía probablemente no los justificará después de que los primeros ataques de largo alcance a Bitcoin hundan el precio.

"Obviamente, eso no ocurriría en la realidad porque una vez que se tenga esa capacidad, probablemente nadie mantendría Bitcoin o su valor sería casi cero, así que nadie se molestaría."

"Por eso tenemos que solucionar esto, ¿verdad? Si queremos que esta red prospere y crezca mucho más, como todos quisiéramos, entonces necesitamos actualizar la red. No hacer nada simplemente ya no es una opción."

Andrew Fenton

Andrew Fenton es escritor y editor en Cointelegraph y tiene más de 25 años de experiencia en periodismo, cubriendo criptomonedas desde 2018. Pasó una década trabajando para News Corp Australia, primero como periodista de cine en The Advertiser en Adelaide, luego como editor adjunto y escritor de entretenimiento en Melbourne para los suplementos nacionales Hit y Switched On, publicados en el Herald Sun, Daily Telegraph y Courier Mail. Ha entrevistado a estrellas como Leonardo DiCaprio, Cameron Diaz, Jackie Chan, Robin Williams, Gerard Butler, Metallica y Pearl Jam. Antes de eso, trabajó como periodista en Melbourne Weekly Magazine y The Melbourne Times, donde ganó dos veces el premio FCN Best Feature Story. Su trabajo freelance ha sido publicado por CNN International, Independent Reserve, Escape y Adventure.com, y ha trabajado para 3AW y Triple J. Tiene un título en Periodismo de RMIT University y una licenciatura en Letras de la University of Melbourne. Andrew posee ETH, BTC, VET, SNX, LINK, AAVE, UNI, AUCTION, SKY, TRAC, RUNE, ATOM, OP, NEAR y FET por encima del umbral de declaración de Cointelegraph de $1.000.