Los 21 millones de Bitcoin están en riesgo por las computadoras cuánticas

Se cree ampliamente que solo alrededor del 25% al 30% de Bitcoin está en riesgo de ser atacado en el futuro por computadoras cuánticas. 

Por ejemplo, la Lista de Riesgo de Bitcoin de Project 11 actualmente enumera 6.887.180 Bitcoin valorados en más de $450 mil millones como “en riesgo”. Define “en riesgo” como Bitcoin mantenido en direcciones con claves públicas expuestas. Se cree que alrededor de 3-4 millones de estos están “perdidos” y no pueden ser actualizados para ser cuánticamente seguros. 

Pero esa no es toda la historia. 

De hecho, los 21 millones de Bitcoin —excepto las monedas perdidas en direcciones cuánticamente seguras— podrían teóricamente ser quebradas por computadoras cuánticas suficientemente avanzadas tan pronto como las monedas sean gastadas, si no se toma ninguna acción para avanzar hacia la seguridad post-cuántica.

Simplemente sucede que ese cuarto de Bitcoin mantenido en los tipos de direcciones antiguas son los más fáciles de atacar y serán robados primero. Una computadora cuántica podría trabajar durante meses si se requiere para atacar las monedas de Satoshi, que han tenido sus claves públicas expuestas durante los últimos 15 años.

Pero el resto del suministro de Bitcoin seguirá siendo vulnerable a atacantes más sofisticados. Esto se debe a que cuando gastas Bitcoin, las claves públicas se exponen en el mempool durante el tiempo que tarda en procesarse la transacción. 

Por lo general, ese periodo dura entre 10 minutos y 60 minutos, dependiendo del uso de la red, proporcionando un breve margen de tiempo para un ataque. A medida que las computadoras cuánticas escalen, se cree que algún día podrán realizar un ataque “justo a tiempo”.

Yoon Auh (The Paul Barron Show)

“Si quieres gastar tu Bitcoin, tienes que revelar la clave pública,” explica Yoon Auh, CEO de BOLTS, que está ejecutando una prueba de concepto para la red Canton con su tecnología QFlex que intercambia firmas resistentes a computación cuántica durante una sesión.

“No puedes evitar eso. Y el problema es que tu actor malicioso se convertirá en un gran minero de Bitcoin e interceptará esa transacción antes de que suceda.”

Charles Edwards, de Capriole, ha estado presionando para actualizar Bitcoin a la seguridad post-cuántica y dice que un ataque de corto alcance es mucho más difícil. 

“La diferencia, supongo, por la que no se discute tanto en este momento, es porque la capacidad técnica para hacer eso es mucho más avanzada. Tienes que ser capaz de moverte, resolver y descifrar muy rápidamente para hacer lo que eso implica, que es básicamente robar monedas en el mempool y efectivamente hackear cada Bitcoin.”

Dice que eso significa que las monedas cuyas claves públicas han estado expuestas durante años serán atacadas primero. 

“Eso es como el dinero fácil, luego el siguiente paso es, a medida que la tecnología progresa, atacar toda la cadena. Entonces cada moneda, si tu horizonte temporal es lo suficientemente largo, será tomada a largo plazo.”

BIP-360 no previene “ataques de exposición corta”

La propuesta recientemente actualizada describe el peligro explícitamente. La propuesta crea un nuevo tipo de dirección (salida) llamada Pay To Merkle Root (P2MR) que debería permitir que una proporción considerable del Bitcoin “en riesgo” se mueva a direcciones resistentes a computación cuántica.

Sin embargo, la propuesta advierte específicamente que “las salidas P2MR solo son resistentes a ‘ataques de exposición larga’ sobre criptografía de curva elíptica; es decir, ataques sobre claves expuestas durante periodos de tiempo más largos de lo necesario para confirmar una transacción de gasto.”

También leer: Bitcoin podría enfrentar un hard fork por cualquier intento de congelar las monedas de Satoshi

“La protección contra ataques cuánticos más sofisticados, incluyendo la protección contra la recuperación de claves privadas desde claves públicas expuestas en el mempool mientras una transacción espera ser confirmada (también conocidos como ‘ataques de exposición corta’), puede requerir la introducción de firmas post-cuánticas en Bitcoin.”

Ethan Heilman, coautor de BIP-360, comenta a la revista que los ataques de “exposición larga” son la gran amenaza que necesita ser abordada primero:

“Con ataques de exposición corta, el atacante solo conoce la clave pública después de que la salida es gastada. Esto significa que el atacante está en una carrera para romper la clave pública y realizar un doble gasto de la transacción, antes de que la transacción honesta sea confirmada por un minero.”

“Es probable que las primeras computadoras cuánticas que sean una amenaza para Bitcoin tarden mucho tiempo en romper una clave pública. Imagínate que tienes una computadora cuántica que tarda 6 meses en romper una clave pública. No tendría sentido hacer ataques de exposición corta. Sin embargo, una gran pila de monedas en una salida que expone la clave pública sí tendría sentido.”

Computadora Cuántica

¿Es posible un ataque cuántico de corto alcance en Bitcoin?

En teoría, un ataque de corto alcance es posible, pero nadie sabe realmente cuántos años tomará antes de que una computadora cuántica criptográficamente relevante tenga suficientes qubits físicos funcionando lo suficientemente rápido como para aprovechar ese intervalo de tiempo.

La construcción comenzó la semana pasada en Chicago del primer centro de computadoras cuánticas con 1 millón de qubits físicos. Su objetivo es completar el proyecto en 2027. PsiQuantum recaudó $1 mil millones de fondos afiliados a BlackRock, así que los inversionistas ciertamente creen que la tecnología está lo suficientemente cerca como para invertir grandes sumas de dinero.

El número estimado de qubits físicos necesarios para romper la encriptación ha caído drásticamente en los últimos años. En febrero, un artículo científico llamado ‘The Pinnacle Architecture’ sugirió que la encriptación RSA de 2048 bits podría romperse en alrededor de un mes con “menos de cien mil qubits físicos” o en un día con 471.000 qubits.

También leer: Bitcoin enfrenta 6 retos enormes para volverse cuánticamente seguro

La seguridad de la encriptación RSA depende de lo difícil que es factorizar números primos, mientras que la criptografía de curva elíptica de Bitcoin no, así que la investigación no es una guía precisa —pero algunos creen que ECC sería aún más fácil de romper.

El experto en computación cuántica, el Profesor Scott Aaronson, dijo que la encriptación RSA utiliza claves de 2048 bits mientras que el ECC de Bitcoin utiliza claves de 256 bits, lo que lo hace más fácil de romper porque “el algoritmo de Shor mayormente sólo se preocupa por el tamaño de la clave.”

¿Cuánto tiempo tomará romper Bitcoin con una computadora cuántica?

Según el informe de investigación de Marc Verdonk, socio de Deloitte, Computadoras cuánticas y la blockchain de Bitcoin: “Las estimaciones científicas actuales predicen que una computadora cuántica tardará unas 8 horas en romper una clave RSA, y algunos cálculos específicos predicen que una firma de Bitcoin podría ser hackeada en 30 minutos.”

Verdonk dice que eso aún proporcionaría protección contra ataques de corto alcance pero advierte que el campo sigue en su infancia. “No está claro qué tan rápido será una computadora cuántica en el futuro. Si alguna vez una computadora cuántica se acerca a la marca de los 10 minutos para derivar una clave privada desde su clave pública, entonces la blockchain de Bitcoin estará inherentemente rota.”

También hay críticos contundentes de la idea de que las computadoras cuánticas alguna vez serán lo suficientemente asequibles y rápidas como para que incluso los ataques de largo alcance sean factibles en la mayoría de las direcciones en riesgo.

CoinShares argumenta que la mayoría del Bitcoin perdido no será atacado (CoinShares)

Christopher Bendiksen de CoinShares publicó recientemente un informe argumentando que sólo aproximadamente 10.200 Bitcoin podrían ser robados de manera realista. Afirma que la mayoría de las monedas de los mineros OG están en 32.607 direcciones individuales que tardarían “milenios en desbloquearse incluso en los escenarios más optimistas de progresión técnica en computación cuántica.”

Bendiksen afirma que para romper Bitcoin en un día se requeriría una computadora cuántica con 13 millones de qubits físicos, y para hacerlo en una hora se requeriría una computadora cuántica que sea 3 millones de veces mejor que los 105 qubits del Google Willow.

También leer: Bitcoin podría tardar 7 años en actualizarse a post-cuántico: coautor de BIP-360

La afirmación se basa en investigaciones de 2022, que parecen ser la investigación más reciente que aborda específicamente la ruptura de Bitcoin.

Sin embargo, las estimaciones mucho más bajas del mes pasado para romper RSA con 100.000 qubits sugieren que esta investigación puede estar desactualizada. El propio artículo de 2022 afirmó que RSA-2048 “es de dificultad comparable a la encriptación EC de Bitcoin.”

El tipo de computadora cuántica importa

El investigador de Ethereum, Justin Drake, fue consultado sobre el informe de Bendiksen en Unchained, y mientras no lo había leído, discrepó sobre los periodos de tiempo.

Drake comentó que el tiempo necesario para romper una clave privada dependerá de cómo avance la investigación en diferentes tipos de qubits. Google está investigando qubits superconductores mientras firmas como PsiQuantum los codifican en fotones que permiten operaciones de puerta rápidas. Ambos tipos de qubits son muy rápidos. Otras investigaciones en iones atrapados y átomos neutros priorizan la coherencia sobre la velocidad.

Justin Drake (Unchained)

“Hay diferentes modalidades de computación cuántica,” señaló Drake. “Sabes, están los ordenadores rápidos, los superconductores y fotónicos, y luego los lentos, los iones atrapados y los átomos neutros. Si tienes el tipo rápido, por ejemplo, si tienes Google trabajando en lo de superconductores, entonces la estimación para el tiempo que tarda en romper una clave es del orden de minutos, como unos diez minutos aproximadamente.”

Por qué un ataque de corto alcance podría no valer la pena de todos modos

Edwards dice que aunque los ataques de corto alcance son teóricamente posibles, probablemente la economía no los justificará después de los primeros ataques de largo alcance a Bitcoin que derrumben el precio.

“Obviamente, eso no sucedería en la realidad porque una vez que la capacidad llegue allí, probablemente nadie siquiera tendría Bitcoin o su valor sería casi cero, así que nadie se molestaría.”

“Por eso tenemos que resolver esto, ¿verdad? Si queremos que esta red prospere y llegue mucho más alto, como todos queremos, entonces necesitamos actualizar la red. No hacer nada ya no es una opción en absoluto.”

Andrew Fenton

Andrew Fenton es escritor y editor en Cointelegraph con más de 25 años de experiencia en periodismo y ha cubierto criptomonedas desde 2018. Pasó una década trabajando para News Corp Australia, primero como periodista de cine en The Advertiser en Adelaida, luego como editor adjunto y escritor de entretenimiento en Melbourne para los suplementos de entretenimiento sindicados nacionalmente Hit y Switched On, publicados en el Herald Sun, Daily Telegraph y Courier Mail. Ha entrevistado a estrellas como Leonardo DiCaprio, Cameron Diaz, Jackie Chan, Robin Williams, Gerard Butler, Metallica y Pearl Jam. Antes de eso, trabajó como periodista en Melbourne Weekly Magazine y The Melbourne Times, donde ganó el FCN Best Feature Story dos veces. Su trabajo freelance ha sido publicado por CNN International, Independent Reserve, Escape y Adventure.com, y ha trabajado para 3AW y Triple J. Tiene un título en Periodismo de la Universidad RMIT y un Bachelor of Letters de la Universidad de Melbourne. Andrew posee ETH, BTC, VET, SNX, LINK, AAVE, UNI, AUCTION, SKY, TRAC, RUNE, ATOM, OP, NEAR y FET por encima del umbral de $1,000 de divulgación de Cointelegraph.