🤖
🤖
核心导读
比特币面临量子攻击威胁,BIP-361提案计划冻结易受攻击的币,但遭“破坏永久所有权”的反对。Project Eleven开发出零知识证明恢复工具,可在数百毫秒内生成证明,使冻结变为锁定。然而,该工具无法应用于中本聪拥有的约110万枚比特币,因其地址在BIP-32之前、无派生树结构。恢复工具仅适用于持有种子短语的现代钱包用户。
冻结比特币中易受量子攻击的硬币的提议一直带有条件。
由Jameson Lopp与五位合著者于4月发布的BIP-361提案,将在三年后阻止向易受攻击地址的新存款,五年后冻结剩余余额,从而搁置超过三分之一比特币供应中的硬币,包括约110万枚归属匿名创造者中本聪的比特币。
该计划的后续步骤承诺使用零知识证明提供恢复路径,这是一种允许某人向他人证明自己知道某个事实而不透露该事实的技术。
量子研究机构Project Eleven表示,他们已经构建了这样的工具,并且速度快到可用。
Q-Day是一个理论时间点,届时量子计算机可以从公钥推导出私钥,使得攻击者能够从任何曾经暴露过公钥的地址签署交易。
根据BIP-361,超过34%的比特币处于该类别。在Q-Day之后,签名将无法证明什么,因为攻击者可以像所有者一样轻松地生成签名。区块链无法区分它们。
比特币签名依赖于椭圆曲线密码学,这是一种私钥通过单向数学运算生成公钥的系统。任何人都可以检查公钥,但无法反向推导出私钥。然而,1994年发表的肖尔算法是一种针对普通计算机无法破解问题的量子方法,可以输入公钥并返回生成它的私钥。
哈希是另一种问题。哈希将输入打乱成固定长度的指纹,无法反向运行,针对它的最佳量子攻击称为格罗弗算法,只能将指数减半,将256位哈希从2^256次猜测降至2^128次。
这仍然比每秒十亿次猜测的机器在宇宙寿命内能猜的次数还多。
现代钱包基于哈希。钱包在树中生成地址,每个密钥从其父密钥派生,而“硬化”派生步骤通过HMAC-SHA512将父私钥送入以产生子密钥。
这是一个单向函数。在Q-Day之后破解地址的攻击者最终只持有该地址的密钥,无法向上爬树到其来源密钥。
Project Eleven与Binius证明系统首席开发者Jim Posen围绕此构建了零知识证明。
用户证明他们知道钱包派生树中地址上方的密钥材料,证明该材料派生了该地址,并将证明绑定到特定消息,以便同一证明可以授权迁移交易。所有密钥材料均未披露。
基准测试使其有趣。在M5 MacBook Air上,生成证明需要243毫秒(四核),验证需要40毫秒,整个过程使用约2GB内存,完全不使用GPU。无需可信设置。
Project Eleven的仅CPU运行耗时910毫秒(包括电路构建、证明生成和自检),速度提升16倍。排除一次性设置(真正的证明者会构建一次并重用)后,差距扩大至约60倍。
这又回到中本聪。整个技巧依赖于用户地址之上有密钥,并且树结构来自BIP-32,该标准于2012年2月11日分配。
在此之前,正如比特币自己的文档所述,钱包独立随机生成每个密钥。
中本聪在2009年至2010年间挖矿,并在2011年消失。那些硬币位于支付到公钥的输出中,公钥直接写在链上,由没有种子短语、派生路径和父密钥的软件生成。树上没有它们的上层,因为当时树还不存在。
同样的差距适用于所有其他2012年前的钱包,这些钱包占最古老、休眠最久的比特币的很大一部分,正是BIP-361所针对的人群。
因此,该公司承认该原型未经审计,支持三种比特币地址类型而非Taproot,将证明扎根于币类型密钥而非种子,并且目前在任何实时区块链上无法恢复任何内容。
但争论的形态改变了。Lopp明确表示他不喜欢BIP-361,写它只是因为他更不喜欢替代方案,而对此最响亮的反对是冻结硬币打破了比特币永久所有权的承诺。
这种反对假定冻结是终局的。一个有效的恢复证明使冻结成为锁定而非销毁,并将密钥交还给任何仍持有种子短语的人。
喜欢这篇文章吗?您可以一键复制链接并分享给好友: