Los 21 millones de Bitcoin están en riesgo por las computadoras cuánticas

Se cree ampliamente que solo alrededor del 25% al 30% de Bitcoin está en riesgo de ser atacado en el futuro por computadoras cuánticas. 

Por ejemplo, la lista Bitcoin Risq de Project 11 actualmente enumera 6,887,180 Bitcoin con un valor de más de $450 mil millones como "en riesgo". Define "en riesgo" como Bitcoin mantenido en direcciones con claves públicas expuestas. Se cree que alrededor de 3-4 millones de estos están "perdidos" y no pueden actualizarse a ser seguros cuánticamente. 

Pero esa no es toda la historia. 

De hecho, todos los 21 millones de Bitcoin —exceptuando las monedas perdidas en direcciones seguras cuánticamente— pueden teóricamente ser vulnerados por computadoras cuánticas suficientemente avanzadas tan pronto como las monedas se gasten, si no se hace nada para migrar a la seguridad post-cuántica.

Simplemente sucede que el uno de cada cuatro Bitcoin mantenidos en tipos de direcciones antiguas son los más fáciles de atacar y serán robados primero. Una computadora cuántica podría trabajar durante meses si se requiere atacar las monedas de Satoshi, cuyos claves públicas han estado expuestas durante los últimos 15 años.

Pero el resto de la oferta de Bitcoin seguirá siendo vulnerable a atacantes más sofisticados. Esto es porque cuando gastas Bitcoin, las claves públicas quedan expuestas en el mempool durante todo el tiempo que tarda la transacción en procesarse. 

Normalmente, ese período dura entre 10 y 60 minutos, dependiendo del uso de la red, proporcionando una ventana breve de tiempo para un ataque. A medida que las computadoras cuánticas aumentan su escalabilidad, se cree que algún día podrán llevar a cabo un ataque "justo a tiempo".

Yoon Auh (The Paul Barron Show)

“Si quieres gastar tus Bitcoin, tienes que revelar la clave pública”, explica Yoon Auh, CEO de BOLTS, que está realizando una prueba de concepto para la red Canton con su tecnología QFlex que intercambia firmas a prueba de cuántica durante una sesión.

“No puedes evitar eso. Y el problema es que tu actor malicioso se convertirá en un gran minero de Bitcoin e interceptará esa transacción antes de que ocurra.”

Charles Edwards de Capriole ha estado instando a actualizar Bitcoin a la seguridad post-cuántica y dice que un ataque de corto alcance es mucho más difícil. 

“La diferencia, supongo, y la razón por la cual eso no se discute tanto en este momento, es porque la capacidad técnica para hacerlo es mucho más avanzada. Tienes que poder mover, resolver y descifrar muy rápidamente para hacer lo que es, que básicamente es robar monedas en el mempool y hackear efectivamente cada Bitcoin.”

Él dice que eso significa que las monedas con claves públicas expuestas por años serán atacadas primero. 

“Ese es el dinero fácil, luego el siguiente paso es, a medida que la tecnología progresa, atacar toda la cadena. Así que cada moneda, si tu horizonte temporal es suficientemente largo, cada moneda será tomada a largo plazo.”

BIP-360 no previene los “ataques de exposición corta”

La propuesta BIP-360 recientemente actualizada describe el peligro explícitamente. La propuesta crea un nuevo tipo de dirección (output) llamado Pay To Merkle Root (P2MR) que debería permitir que una proporción considerable de los Bitcoin “en riesgo” se muevan a direcciones resistentes a la cuántica.

Sin embargo, la propuesta advierte específicamente que “los outputs P2MR solo son resistentes a los ‘ataques de exposición larga’ sobre la criptografía de curva elíptica; es decir, ataques a claves expuestas durante periodos de tiempo superiores a los necesarios para confirmar una transacción de gasto.”

También lee: Bitcoin podría enfrentar un hard fork ante cualquier intento de congelar las monedas de Satoshi

“La protección contra ataques cuánticos más sofisticados, incluyendo la protección contra la recuperación de claves privadas de claves públicas expuestas en el mempool mientras una transacción espera ser confirmada (también conocidos como ‘ataques de exposición corta’), puede requerir la introducción de firmas post-cuánticas en Bitcoin.”

Ethan Heilman, coautor de BIP-360, dice a Magazine que los ataques de “exposición larga” son la gran amenaza que primero debe abordarse:

“Con los ataques de exposición corta, el atacante solo conoce la clave pública después de que el output ha sido gastado. Esto significa que el atacante está en una carrera para romper la clave pública y hacer un doble gasto de la transacción, antes de que la transacción legítima sea confirmada por un minero.”

“Es probable que las primeras computadoras cuánticas que sean una amenaza para Bitcoin tarden mucho tiempo en romper una clave pública. Imagina que tienes una computadora cuántica que tarda 6 meses en romper una clave pública. No tendría sentido hacer ataques de exposición corta. Sin embargo, una gran pila de monedas en un output que expone la clave pública sí tendría sentido.”

Computadora cuántica

¿Es posible un ataque cuántico de corto alcance contra Bitcoin?

Un ataque de corto alcance es posible en teoría, pero realmente nadie sabe cuántos años faltan para que una computadora cuántica criptográficamente relevante tenga suficientes qubits físicos funcionando lo suficientemente rápido para aprovechar esa ventana de tiempo.

La construcción de la primera instalación de computación cuántica con 1 millón de qubits físicos comenzó en Chicago la semana pasada. Busca completarse en 2027. PsiQuantum recaudó $1 mil millones de fondos afiliados a BlackRock, por lo que los inversores ciertamente creen que la tecnología está lo suficientemente cerca como para gastar grandes sumas de dinero en ella.

El número estimado de qubits físicos necesarios para romper la encriptación ha disminuido considerablemente en los últimos años. En febrero, un artículo científico prepublicado titulado ‘The Pinnacle Architecture’ sugirió que la encriptación RSA de 2048 bits podría ser quebrada en aproximadamente un mes con “menos de cien mil qubits físicos” o en un día con 471,000 qubits.

También lee: Bitcoin enfrenta 6 retos enormes para volverse seguro contra cuántica

La seguridad de la encriptación RSA depende de cuán difícil es factorizar números primos, mientras que la criptografía de curva elíptica de Bitcoin no, así que la investigación no es una guía precisa; pero algunos creen que ECC sería incluso más fácil de descifrar.

El experto en computación cuántica, el profesor Scott Aaronson, señaló que la encriptación RSA usa claves de 2048 bits mientras que el ECC de Bitcoin utiliza claves de 256 bits, lo que las hace más fáciles de descifrar porque “el algoritmo de Shor esencialmente solo se preocupa por el tamaño de la clave.”

¿Cuánto tiempo tomará romper Bitcoin con una computadora cuántica?

De acuerdo al informe de investigación de Marc Verdonk, socio de Deloitte, Quantum computers and the Bitcoin blockchain: “Las estimaciones científicas actuales predicen que una computadora cuántica tomará unas 8 horas en romper una clave RSA, y algunos cálculos específicos predicen que una firma de Bitcoin podría ser hackeada en 30 minutos.”

Verdonk dice que eso aún brindaría protección contra un ataque de corto alcance, pero advierte que el campo aún está en pañales. “No está claro cuán rápido será tal computadora cuántica en el futuro. Si alguna vez una computadora cuántica se acerca a los 10 minutos para derivar una clave privada de su clave pública, entonces la blockchain de Bitcoin se consideraría inherentemente rota.”

También existen críticos fuertes de la idea de que las computadoras cuánticas alguna vez serán lo suficientemente asequibles y rápidas como para siquiera hacer viables los ataques a largo plazo a la mayor parte de las direcciones en riesgo.

CoinShares argumenta que la mayor parte de Bitcoin perdido no será atacado (CoinShares)

Christopher Bendiksen de CoinShares publicó un informe recientemente argumentando que solo alrededor de 10,200 Bitcoin podrían ser robados de forma realista. Afirma que la mayoría de las monedas de los mineros originales están en 32,607 direcciones individuales que tomarían “milenios en desbloquear incluso en los escenarios de avance técnico más absurdamente optimistas en el cómputo cuántico.”

Bendiksen afirma que romper Bitcoin en un día requeriría una computadora cuántica con 13 millones de qubits físicos, y hacerlo en una hora requeriría una computadora cuántica que es 3 millones de veces mejor que los 105 qubits de Google Willow.

También lee: Bitcoin podría tomar 7 años en actualizarse a post-cuántico: Coautor de BIP-360

La afirmación se basa en investigación de 2022, que al parecer es la investigación más reciente enfocada en quebrar Bitcoin específicamente.

Sin embargo, las estimaciones dramáticamente inferiores del mes pasado para romper RSA con 100,000 qubits sugieren que esta investigación ya puede estar desactualizada. El propio artículo de 2022 indicaba que RSA-2048 “tiene una dificultad comparable con el cifrado EC de Bitcoin.”

El tipo de computadora cuántica importa

El investigador de Ethereum, Justin Drake, fue consultado sobre el informe de Bendiksen en Unchained, y aunque no lo había leído, cuestionó sus plazos.

Drake señaló que el tiempo para romper una clave privada dependerá de cómo avanza la investigación en diferentes tipos de qubits. Google está investigando qubits superconductores mientras empresas como PsiQuantum codifican qubits en fotones que permiten operaciones de compuerta rápidas. Ambos tipos de qubits son muy rápidos. Otras investigaciones sobre iones atrapados y átomos neutros priorizan la coherencia sobre la velocidad.

Justin Drake (Unchained)

“Hay diferentes modalidades de computación cuántica,” señaló Drake. “Sabes, están las computadoras rápidas, las de superconductores y fotónica, y luego las lentas, los iones atrapados y los átomos neutros. Si tienes la versión rápida, por ejemplo, si tienes a Google trabajando en el tema de superconductores, entonces la estimación para el tiempo necesario para romper una clave es del orden de minutos, más o menos diez minutos.”

Por qué un ataque de corto alcance quizá no valga la pena

Edwards dice que si bien los ataques de corto alcance son teóricamente posibles, la economía probablemente no los justificará después de que los primeros ataques a largo plazo sobre Bitcoin hundan su precio.

“Obviamente, eso no sucedería en la realidad porque una vez que exista esa capacidad, probablemente nadie ni siquiera mantendría Bitcoin o el valor estaría cerca de cero, así que nadie lo intentaría.”

“Por eso debemos resolver esto, ¿verdad? Si queremos que esta red prospere y alcance cimas mucho más altas, como todos queremos, entonces tenemos que actualizar la red. No hacer nada ya no es una opción en absoluto.”

Andrew Fenton

Andrew Fenton es escritor y editor en Cointelegraph con más de 25 años de experiencia en periodismo y ha estado cubriendo criptomonedas desde 2018. Pasó una década trabajando para News Corp Australia, primero como periodista de cine en The Advertiser en Adelaida, luego como subeditor y escritor de entretenimiento en Melbourne para los suplementos de entretenimiento distribuidos a nivel nacional Hit y Switched On, publicados en Herald Sun, Daily Telegraph y Courier Mail. Ha entrevistado a estrellas como Leonardo DiCaprio, Cameron Diaz, Jackie Chan, Robin Williams, Gerard Butler, Metallica y Pearl Jam. Antes de eso, trabajó como periodista en Melbourne Weekly Magazine y The Melbourne Times, donde ganó dos veces el premio FCN a Mejor Reportaje. Su trabajo freelance ha sido publicado por CNN International, Independent Reserve, Escape y Adventure.com, y ha trabajado para 3AW y Triple J. Tiene un título en Periodismo de RMIT University y un Bachelor of Letters de University of Melbourne. Andrew posee ETH, BTC, VET, SNX, LINK, AAVE, UNI, AUCTION, SKY, TRAC, RUNE, ATOM, OP, NEAR y FET por encima del umbral de divulgación de Cointelegraph de $1,000.