Un nuovo articolo di ricerca sulle criptovalute di a16z sostiene che le narrazioni apocalittiche sui computer quantistici che potrebbero distruggere Bitcoin all'istante sono fortemente disallineate dalla realtà e che il vero rischio per le blockchain risiede in migrazioni lunghe e disordinate piuttosto che in un improvviso collasso del "Q-Day" . L'articolo ha già scatenato una dura confutazione su X da parte degli investitori, che affermano che la minaccia è più vicina e più dura di quanto suggerisca a16z.
Bitcoin non è condannato dal calcolo quantistico: a16z
Nell'articolo "Quantum computing and blockchains: Matching urgency to actual threats", Justin Thaler, partner di ricerca di a16z e professore di informatica a Georgetown, stabilisce subito il tono, scrivendo che "Le tempistiche per un computer quantistico crittograficamente rilevante sono spesso sopravvalutate, il che porta a richieste di transizioni urgenti e globali alla crittografia post-quantistica". Sostiene che questa esagerazione distorce le analisi costi-benefici e distrae i team dai rischi più immediati, come i bug di implementazione.
Thaler definisce un "computer quantistico crittograficamente rilevante" (CRQC) come una macchina completamente corretta dagli errori, in grado di eseguire l'algoritmo di Shor a una scala tale da poter violare schemi RSA-2048 o a curva ellittica come secp256k1 in circa un mese di runtime. Nella sua valutazione, un CRQC negli anni '20 è "altamente improbabile" e i traguardi raggiunti pubblicamente non giustificano affermazioni secondo cui un tale sistema sia probabile prima del 2030.
Sottolinea che, tra le piattaforme a ioni intrappolati, superconduttori e atomi neutri, nessun dispositivo si avvicina alle centinaia di migliaia o milioni di qubit fisici, con i tassi di errore e la profondità del circuito richiesti, che sarebbero necessari per la crittoanalisi.
Al contrario, l'articolo di a16z traccia una linea netta tra crittografia e firme. Thaler sostiene che gli attacchi harvest-now-decrypt-later (HNDL) rendono già urgente la crittografia post-quantistica per i dati che devono rimanere riservati per decenni, motivo per cui i grandi provider stanno implementando la creazione ibrida di chiavi post-quantistiche in TLS e messaggistica.
Ma insiste sul fatto che le firme, comprese quelle che proteggono Bitcoin ed Ethereum, devono affrontare un calcolo diverso: non proteggono dati nascosti che possono essere decrittati retroattivamente e, una volta che esiste un CRQC, l'aggressore può solo falsificare le firme in futuro.
Su questa base, il documento sostiene che "la maggior parte delle catene non-privacy" non sono esposte al rischio quantistico di tipo HNDL a livello di protocollo, perché i loro registri sono già pubblici; l'attacco rilevante consiste nel falsificare le firme per rubare fondi, non nel decifrare i dati on-chain.
Mal di testa specifici di Bitcoin
Thaler continua a segnalare che Bitcoin presenta dei " gravi grattacapi particolari " a causa della lenta governance, della capacità di elaborazione limitata e dei grandi pool di monete esposte e potenzialmente abbandonate, le cui chiavi pubbliche sono già on-chain, ma definisce la finestra temporale per un attacco serio in termini di almeno un decennio, non di pochi anni.
"Bitcoin cambia lentamente. Qualsiasi questione controversa potrebbe innescare un hard fork dannoso se la comunità non riesce a trovare un accordo sulla soluzione appropriata", scrive Thaler, aggiungendo "un'altra preoccupazione è che il passaggio di Bitcoin alle firme post-quantistiche non può essere una migrazione passiva: i proprietari devono migrare attivamente le loro monete".
Inoltre, Thaler segnala un "ultimo problema specifico di Bitcoin", ovvero la sua bassa capacità di transazione. "Anche una volta finalizzati i piani di migrazione, migrare tutti i fondi vulnerabili al quantum verso indirizzi post-quantum-secure richiederebbe mesi, con l'attuale velocità di transazione di Bitcoin", afferma Thaler.
È altrettanto scettico riguardo all'affrontare schemi di firma post-quantistica a livello di base. Le firme basate su hash sono conservative ma estremamente grandi, spesso di diversi kilobyte, mentre gli schemi basati su reticolo come ML-DSA e Falcon del NIST sono compatti ma complessi e hanno già prodotto molteplici vulnerabilità di side-channel e fault-injection in implementazioni reali. Thaler avverte che le blockchain rischiano di indebolire la loro sicurezza se, sotto la pressione dei media, si lanciano troppo presto in primitive post-quantistiche immature.
L'industria si divide sul rischio
La reazione più decisa è arrivata dal co-fondatore di Castle Island Ventures, Nic Carter, e dal CEO di Project 11, Alex Pruden. Carter ha riassunto la sua visione su X affermando che il lavoro su a16z "sottovaluta enormemente la natura della minaccia e sopravvaluta il tempo a nostra disposizione per prepararci", rimandando i follower a un lungo thread di Pruden.
Pruden inizia sottolineando il suo rispetto per Thaler e il team di a16z, ma aggiunge: "Non sono d'accordo con chi sostiene che il calcolo quantistico non sia un problema urgente per le blockchain. La minaccia è più vicina, i progressi più rapidi e la soluzione più difficile di quanto lui la inquadri e di quanto la maggior parte delle persone creda".
Sostiene che i recenti risultati tecnici, non il marketing, dovrebbero orientare la discussione. Citando sistemi ad atomi neutri che ora supportano più di 6.000 qubit fisici, Pruden sottolinea che "ora disponiamo di un sistema non sottoposto a ricottura con più di 6.000 qubit fisici nell'architettura ad atomi neutri", contraddicendo direttamente qualsiasi insinuazione che solo architetture di ricottura non scalabili abbiano raggiunto tale scala. Osserva che lavori come il tweezer array da 6.100 qubit del Caltech dimostrano che piattaforme ad atomi neutri di grandi dimensioni, coerenti e a temperatura ambiente sono già una realtà.
Per quanto riguarda la correzione degli errori, Pruden scrive che "la correzione degli errori del codice di superficie è stata dimostrata sperimentalmente l'anno scorso, trasformandola da un problema di ricerca a un problema di ingegneria", e sottolinea i rapidi progressi nei codici colore e nei codici LDPC.
Shor sottolinea le stime aggiornate di Google "Tracking the Cost of Quantum Factoring", che mostrano che un computer quantistico con circa un milione di qubit fisici rumorosi in esecuzione per circa una settimana potrebbe, in linea di principio, violare RSA-2048, una riduzione di venti volte rispetto alla stima di Google del 2019 di venti milioni di qubit. "Le stime delle risorse per un CRQC che esegue l'algoritmo di Shor sono diminuite di due ordini di grandezza in sei mesi", osserva, concludendo: "Affermare che questa traiettoria di progresso potrebbe potenzialmente portare alla realizzazione di un computer quantistico prima del 2030 non è un'esagerazione".
Mentre Thaler sottolinea l'HNDL come un problema di crittografia, Pruden riformula le blockchain come obiettivi quantistici di particolare interesse. Sottolinea che "le chiavi pubbliche utilizzate nelle firme digitali sono facili da raccogliere quanto i messaggi crittografati", ma nelle blockchain tali chiavi sono direttamente legate a un valore visibile. Sottolinea che "queste chiavi pubbliche sono distribuite e direttamente associate a un valore (150 miliardi di dollari solo per il BTC di Satoshi)" e che una volta che un avversario quantistico riesce a falsificare le firme, "se riesci a falsificare una firma, puoi rubare l'asset indipendentemente da quando è stato creato l'UTXO/account originale".
Per Pruden, questa realtà economica significa che "gli incentivi economici indicano in modo semplice e chiaro che le blockchain rappresentano il primo caso d'uso quantistico crittograficamente rilevante", anche se altri settori devono affrontare rischi di HNDL. Aggiunge che "le blockchain saranno molto più lente a migrare rispetto ai sistemi centralizzati. Una banca può aggiornare il proprio stack. Le blockchain devono raggiungere un consenso globale, assorbire i compromessi prestazionali derivanti dalle firme PQ e coordinare milioni di utenti per la migrazione delle loro chiavi".
Facendo riferimento al passaggio pluriennale di Ethereum dalla proof-of-work alla proof-of-stake, scrive: "La transizione più vicina è stata quella da ETH 1.0 a ETH 2.0, che ha richiesto anni e, per quanto complessa, una migrazione PQ è molto più ardua. Chiunque pensi che si tratti di sostituire poche righe di codice di firma non ha mai distribuito, implementato o mantenuto una blockchain di produzione".
Pruden concorda con Thaler sul fatto che il panico sia pericoloso, ma capovolge la conclusione: "Sono d'accordo sul fatto che la fretta sia pericolosa. Ma è proprio per questo che bisogna iniziare a lavorare ora. La modalità di fallimento più probabile è che il settore aspetti troppo a lungo, e poi un importante traguardo nel controllo qualità scateni il panico". Conclude affermando di non essere d'accordo sul fatto che "il calcolo quantistico stia progredendo lentamente", che "le blockchain siano meno vulnerabili dei sistemi esposti al rischio HNDL" o che "il settore abbia anni di stasi prima che sia necessario intervenire", sostenendo che "tutte e tre le ipotesi sono in contrasto con la realtà".
Al momento della stampa, il valore di Bitcoin era di 91.616 dollari.
