Mạng Lightning không 'vô vọng hỏng'

Một bài đăng từ Udi Wertheimer cách đây vài tuần đã tạo tiêu đề trên các phương tiện truyền thông crypto với tuyên bố rõ ràng: Mạng Lightning "bị hỏng hoàn toàn" trong thế giới hậu lượng tử, và các nhà phát triển của nó không thể làm gì về điều đó. Tiêu đề lan truyền nhanh chóng. Đối với các doanh nghiệp đã xây dựng cơ sở hạ tầng thanh toán thực tế trên Lightning hoặc đang đánh giá nó, những tác động này khá bất an.

Nó xứng đáng có một phản hồi thận trọng.

Wertheimer là một nhà phát triển Bitcoin được kính trọng, và mối lo ngại cơ bản của ông là hợp pháp: máy tính lượng tử, nếu chúng trở nên đủ mạnh, sẽ tạo ra thách thức dài hạn thực sự cho các hệ thống mật mã mà Bitcoin và Lightning phụ thuộc vào. Phần đó là đúng, và cộng đồng phát triển Bitcoin đã đang làm việc nghiêm túc về điều đó. Nhưng việc đóng khung Mạng Lightning là "bị hỏng hoàn toàn" che khuất nhiều hơn là tiết lộ, và các doanh nghiệp đưa ra quyết định về cơ sở hạ tầng xứng đáng có một bức tranh rõ ràng hơn.

Điều Wertheimer đã đúng

Các kênh Lightning yêu cầu người tham gia chia sẻ khóa công khai với đối tác của họ khi mở kênh thanh toán. Trong một thế giới nơi máy tính lượng tử liên quan đến mật mã (CRQC) tồn tại, kẻ tấn công có được những khóa công khai đó về mặt lý thuyết có thể sử dụng thuật toán Shor để tạo khóa riêng tư tương ứng, và từ đó, đánh cắp tiền.

Đây là một đặc tính cấu trúc thực sự của cách Lightning hoạt động. Điều mà tiêu đề bỏ qua

Mối đe dọa cụ thể hơn và có điều kiện hơn nhiều so với "số dư Lightning của bạn có thể bị đánh cắp."

Đầu tiên, bản thân các kênh được bảo vệ bởi hash khi chúng mở. Giao dịch tài trợ sử dụng P2WSH (Pay-to-Witness-Script-Hash), có nghĩa là các khóa công khai thô bên trong cơ chế multisig 2-of-2 được ẩn onchain miễn là kênh vẫn mở. Các khoản thanh toán Lightning cũng dựa trên hash, được định tuyến qua HTLC (Hashed Time-Lock Contracts), dựa vào việc tiết lộ preimage hash thay vì các khóa công khai bị lộ. Kẻ tấn công lượng tử theo dõi blockchain một cách thụ động không thể nhìn thấy các khóa mà chúng cần.

Cửa sổ tấn công thực tế hẹp hơn nhiều: force-close. Khi một kênh bị đóng và một giao dịch cam kết được phát sóng onchain, locking script trở nên hiển thị công khai lần đầu tiên, bao gồm local_delayedpubkey, một khóa công khai elliptic-curve tiêu chuẩn. Theo thiết kế, node phát sóng nó không thể ngay lập tức yêu cầu tiền của mình: timelock CSV (CheckSequenceVerify), thường là 144 blocks (khoảng 24 giờ), phải hết hạn trước.

Trong tình huống hậu lượng tử, kẻ tấn công theo dõi mempool có thể thấy rằng một giao dịch cam kết xác nhận, trích xuất khóa công khai hiện đã bị lộ, chạy thuật toán Shor để tạo khóa riêng tư và cố gắng chi tiêu đầu ra trước khi timelock hết hạn. Các đầu ra HTLC tại force-close tạo ra các cửa sổ bổ sung, một số ngắn tới 40 blocks, khoảng sáu đến bảy giờ.

Đây là lỗ hổng thực sự và cụ thể. Nhưng đó là cuộc đua có thời gian chống lại kẻ tấn công phải tích cực giải quyết một trong những vấn đề toán học khó nhất hiện có, trong một cửa sổ cố định, cho từng đầu ra riêng lẻ mà chúng muốn đánh cắp. Nó không phải là một đợt rút tiền thụ động, im lặng trên mọi ví Lightning đồng thời.

Kiểm tra thực tế phần cứng lượng tử

Đây là phần hiếm khi xuất hiện trên các tiêu đề: máy tính lượng tử liên quan đến mật mã không tồn tại ngày nay, và khoảng cách giữa nơi chúng ta đang ở và nơi chúng ta cần đạt được là rất lớn.

Phá vỡ mật mã đường cong elliptic của Bitcoin yêu cầu giải logarit rời rạc trên khóa 256-bit, một số khoảng 78 chữ số, sử dụng hàng triệu logical qubits ổn định, sửa lỗi chạy trong một thời gian dài. Số lớn nhất từng được phân tích bằng thuật toán Shor trên phần cứng lượng tử thực tế là 21 (3 × 7), đạt được vào năm 2012 với sự hỗ trợ xử lý hậu kỳ cổ điển đáng kể. Kỷ lục gần đây nhất là phân tích lai lượng tử-cổ điển của một số RSA 90-bit, tiến bộ ấn tượng, nhưng vẫn nhỏ hơn khoảng 2⁸³ lần so với những gì thực sự cần để phá vỡ Bitcoin.

Nghiên cứu lượng tử của Google là có thật và đáng theo dõi. Các mốc thời gian được thảo luận bởi các nhà nghiên cứu nghiêm túc dao động từ ước tính lạc quan cho cuối những năm 2020 đến các dự báo bảo thủ hơn cho những năm 2030 hoặc xa hơn. Không có gì trong số đó là "số dư Lightning của bạn đang gặp rủi ro ngay hôm nay."

Cộng đồng phát triển không ngồi yên

Cách đóng khung của Wertheimer, rằng các nhà phát triển Lightning "bất lực", cũng không phù hợp với những gì thực sự đang xảy ra. Chỉ riêng từ tháng 12, cộng đồng phát triển Bitcoin đã đưa ra hơn năm đề xuất hậu lượng tử nghiêm túc: SHRINCS (chữ ký dựa trên hash stateful 324-byte), SHRIMPS (chữ ký 2.5 KB trên nhiều thiết bị, nhỏ hơn khoảng ba lần so với tiêu chuẩn NIST), BIP-360, bài báo chữ ký dựa trên hash của Blockstream, và các đề xuất cho OP_SPHINCS, OP_XMSS và opcodes dựa trên STARK trong tapscript.

Cách đóng khung đúng không phải là Lightning bị hỏng và không thể sửa chữa. Đó là Lightning, giống như tất cả Bitcoin, và giống như hầu hết cơ sở hạ tầng mật mã của internet, yêu cầu nâng cấp lớp cơ sở để trở nên kháng lượng tử, và công việc đó đang được tiến hành.

Điều này có ý nghĩa gì đối với các doanh nghiệp xây dựng trên Lightning ngày nay

Lightning xử lý khối lượng thanh toán thực cho các doanh nghiệp thực ngày nay, các nền tảng iGaming, sàn giao dịch crypto, neobank và nhà cung cấp dịch vụ thanh toán di chuyển tiền toàn cầu với một phần nhỏ của xu với tính cuối cùng tức thời. Câu hỏi mà các doanh nghiệp nên hỏi không phải là có nên từ bỏ Lightning dựa trên mối đe dọa lý thuyết trong tương lai hay không, mà là liệu các nhóm xây dựng cơ sở hạ tầng Lightning có chú ý đến những gì sắp xảy ra và lập kế hoạch phù hợp hay không.

Câu trả lời, dựa trên khối lượng và chất lượng nghiên cứu hậu lượng tử đang diễn ra trong cộng đồng phát triển Bitcoin ngay bây giờ, là có.

Mạng Lightning không bị hỏng hoàn toàn. Nó phải đối mặt với cùng một thách thức mật mã dài hạn như toàn bộ hệ thống tài chính kỹ thuật số, và nó có một cộng đồng phát triển đang tích cực làm việc để giải quyết nó. Đó là một câu chuyện khác với câu chuyện mà tiêu đề đã kể.