著者:Kapiqila、Deep Tide TechFlow
3月31日、Googleの量子AIチームは、地味なタイトルながら衝撃的な内容のホワイトペーパーを公開した。
この論文の核心的な結論は、ビットコインとイーサリアムのウォレットを保護する楕円曲線暗号(ECC-256)を破るのに必要な量子コンピューティングリソースは、従来推定されていたよりも約20分の1で済むという点である。具体的には、50万個未満の物理量子ビット、1,200個未満の論理量子ビット、そして9,000万個のトフォリゲートを用いた超伝導量子コンピュータで、わずか数分で破ることができる。
同日、カリフォルニア工科大学と量子ハードウェアの新興企業Oratomicは、さらに過激な結論を記した論文を発表した。中性原子アーキテクチャを用いた量子コンピュータは、わずか約1万個の物理量子ビットで攻撃を開始でき、2万6000個の量子ビットがあれば約10日間でECC-256を破ることができるというのだ。
これら2つの論文を合わせると、暗号業界の歴史上、量子脅威に対する最も深刻な警告となる。
「理論的には遠い脅威」から「終わりまでカウントダウンできるカウントダウン」へ
これら2つの論文の影響を理解するには、時系列を追う必要があります。2012年、学術界はECC-256の解読には約10億個の物理量子ビットが必要になると推定していました。2023年、ダニエル・リチンスキーの論文によってその数は約900万個にまで減少しました。Googleの新しい論文では50万個以下にまで削減され、Oratomicはさらに1万個にまで削減しました。
過去20年間で、圧縮率は5桁も増加した。
これは、量子脅威について議論する枠組みが完全に変容したことを意味する。かつて主流だった「量子コンピュータが暗号を解読できるようになるまでには何十年もかかる」という見方は、「ハードウェアの進歩が非線形的に加速すれば、チャンスの窓はわずか5年から10年しかないかもしれない」という見方に変わった。イーサリアム財団の研究員(そしてGoogleの論文の共著者でもある)ジャスティン・ドレイク氏は、2032年までに量子コンピュータがsecp256k1 ECDSA秘密鍵を解読できる確率は少なくとも10%になると推定している。
Googleの論文では、2種類の攻撃シナリオが説明されている。
最初の攻撃は「支出時攻撃」です。ビットコインユーザーが取引を開始すると、公開鍵が一時的にメモリプールに公開されます。十分高速な量子コンピュータであれば、約9分で公開鍵から秘密鍵を推測し、取引が承認される前に競合する取引を開始して資金を盗むことができます。ビットコインのブロック生成時間が平均約10分であることを考慮すると、この論文では、この種の攻撃の成功確率は約41%と推定しています。
暗号学の分野において、署名が破られる確率が41%というのは、統計的な誤りではなく、既に署名方式が破られていることを意味する。
2つ目のタイプは「静止状態攻撃」で、公開鍵が既にブロックチェーン上に公開されている休眠状態のウォレットを標的とするものです。このタイプの攻撃には時間制限がなく、量子コンピュータは独自のペースで計算を行うことができます。論文では、約690万BTC(総供給量の3分の1)がこの公開状態にあると推定しており、その中にはサトシ・ナカモト時代の初期のコイン約170万枚と、アドレスの再利用によって公開鍵が公開された大量の資金が含まれています。
現在の価格で換算すると、この690万BTCは4500億ドル以上の価値がある。
Taproot:プライバシー保護を目的として開発されたが、結果として攻撃対象領域を拡大させてしまった。
この論文で驚くべき発見の一つは、ビットコインの2021年のTaprootアップグレードが量子セキュリティの面で新たな脆弱性を生み出したという点だ。Taprootは、Schnorr署名方式を採用することで、トランザクションの効率性とプライバシーの向上を目指していた。しかし、Schnorr署名の特徴は、公開鍵がデフォルトでオンチェーンに公開されることであり、従来のアドレス形式(P2PKH)にあった「ハッシュ化してから公開する」という保護レイヤーが失われてしまう。
言い換えれば、Taprootによる従来のセキュリティの改善は、量子セキュリティへの扉を開くものです。これにより、量子脆弱性を持つビットコインプールは、初期のコインや再利用されたアドレスだけでなく、Taprootを使用するすべてのウォレットにまで拡大されます。
イーサリアム:より大きな問題だが、早期の準備が必要
ビットコインが「ウォレットレベル」のリスクに直面しているとすれば、イーサリアムの問題は「インフラレベル」の問題である。
Googleの論文によると、イーサリアムには量子攻撃に対して脆弱な5つの層が存在する。それは、個人ウォレット、スマートコントラクト管理キー、PoSステーキング検証、レイヤー2ネットワーク、そしてデータ可用性サンプリングメカニズムである。この論文では、上位1000のイーサリアムウォレットには約2050万ETHが保有されていると推定しており、9分ごとに1つのキーを解読できる量子コンピュータであれば、9日以内にすべて消失する可能性があるとしている。現在のETH価格で換算すると、これらの資産の価値は約415億ドルに相当する。
より深刻な問題は、システムリスクにある。イーサリアム上の約2,000億ドル相当のステーブルコインとトークン化された資産は、管理者の鍵署名に依存しており、約3,700万ETHのステーキングも、同様に脆弱なデジタル署名によって認証されている。大規模なステーキングプールが侵害された場合、攻撃者はコンセンサス機構そのものを混乱させる可能性さえある。
しかし、イーサリアムには構造的な利点があります。ブロック生成時間はわずか12秒で、ほとんどのトランザクションは1分以内に承認され、プライベートなmempoolを多用しているため、イーサリアムではビットコインに比べて「即時攻撃」ははるかに困難です。
良いニュースは、イーサリアムコミュニティがより積極的に対応していることだ。
イーサリアム財団は先週、8年間のポスト量子研究を結集したpq.ethereum.orgを立ち上げ、10以上のクライアントチームが毎週テストネットの開発を進めている。ヴィタリック・ブテリンも以前、量子耐性ロードマップを公開している。対照的に、ビットコインコミュニティのガバナンス文化はより保守的だ。BIP-360提案(量子耐性ウォレット形式の導入)は2月にBIPリポジトリに統合されたものの、公開鍵漏洩問題の一種にしか対応しておらず、完全な暗号化移行にははるかに大規模なプロトコル変更が必要となる。
地域社会の反応:パニック、合理性、そして「これは私たちだけの問題ではない」
予想通り、仮想通貨業界の反応は複数の派閥に分裂した。
パニックを煽る側を代表するのが、Project ElevenのCEO、アレックス・プルデン氏だ。「この論文は、仮想通貨業界が量子脅威を無視するために用いるあらゆる議論を真っ向から否定するものだ」。Dragonflyのパートナー、ハシーブ・クレシ氏はXでさらに率直にこう述べている。「ポスト量子はもはや訓練ではない」。
合理的な楽観主義者を代表するのがCZ氏だ。彼は、暗号通貨は量子耐性アルゴリズムにアップグレードするだけでよく、「パニックになる必要はない」と信じている。この主張は技術的には正しいが、重要な問題を見落としている。分散型ブロックチェーンは、銀行や軍事ネットワークのようにソフトウェアのアップデートを強制することはできないのだ。ビットコインのインフラストラクチャの移行サイクルは、ユーザーウォレットから取引所サポート、新しいアドレス形式に至るまで、たとえ今日すべての関係者が合意に達したとしても、5年から10年かかる可能性がある。
「解読可能」派は、量子コンピューティングはブロックチェーンだけでなく、世界の銀行システム、SWIFT送金、証券取引所、軍事通信、HTTPSウェブサイトなど、すべて同じ暗号化システムに依存しているものを脅かすと主張している。Googleの論文はこの点に直接言及しており、中央集権型システムはユーザーにアップデートをプッシュできるが、分散型ブロックチェーンはできない。これが根本的な違いである。
最もつまらないジョークはマスク氏の発言だった。「少なくとも、財布の暗証番号を忘れても、将来取り戻せるからね。」
利益相反と合理的割引
どちらの論文も「純粋に学術的なもの」ではない。
カリフォルニア工科大学とOratomic社による論文の著者9名全員がOratomic社の株主であり、うち6名は同社の従業員である。この論文は、科学的成果であると同時に、同社のニュートラルアトムハードウェアロードマップの商業的な宣伝でもある。Googleの論文も完全に中立的とは言えない。Googleは、システムをポスト量子暗号に移行する社内期限を2029年と定めており、この論文の結論はこの経営判断と非常に整合性が高い。さらに、セキュリティ上の理由から、Googleは実際の量子回路設計を公開せず、代わりにゼロ知識証明を用いて米国政府と結果の妥当性を検証した。
学術論文における利益相反は無視すべきだが、トレンドそのものは無視できない。誰かが「量子脅威は誇張されている」と主張するたびに、次の論文では必要な量子ビット数がさらに桁違いに削減される。
「Qデー」まであとどれくらいかかるのだろうか?
現在最も先進的な量子コンピュータは、約6,000個の量子ビットを持ち、コヒーレンス時間はわずか約13秒です。6,000個の量子ビットと、Googleの論文で要求されている50万個の量子ビット(あるいはOratomicが主張する1万個の量子ビット)の間には、依然として大きな技術的なギャップが存在します。
しかし、仮想通貨投資家のマッケナ氏のたとえ話の方が印象的だ。「QデーはY2K問題のようなものだと考えてもいいが、今回は現実のものだ。」
StarkWareの共同創設者であるEli Ben-Sasson氏は、ビットコインコミュニティに対し、BIP-360の展開を加速するよう呼びかけた。Google自身も、責任ある移行を推進するため、Coinbase、スタンフォード・ブロックチェーン研究所、イーサリアム財団と協力していると表明している。
議論の焦点は、量子コンピューティングが暗号を破れるかどうかではなく、ハードウェアの進化に追いつく前に暗号化業界が移行できるかどうかに移っている。Googleが掲げる2029年というタイムラインと、Oratomicの論文で示された量子ビット需要の大幅な減少は、業界が予想していたよりも短い猶予期間しか残されていないことを示している。
サトシ・ナカモト氏が保有する110万ビットコインは、量子コンピュータで保護されたアドレスに自動的に移行することができません。量子コンピュータが先に登場すれば、700億ドル以上の価値があるこのデジタル資産は、史上最大の「デジタル難破船サルベージ」の対象となるでしょう。Googleの論文では、「デジタルサルベージ」の法的枠組みのアナロジーが提示され、移行できないこれらの休眠資産に対処するために、政府が法整備を行う必要があるかもしれないと示唆されています。
これはビットコインのホワイトペーパーでは想定されていなかった疑問です。私有財産を保護する数学的な障壁そのものが破られた場合、「コードは法律である」という原則は依然として通用するのでしょうか?
