Банки наконец скупают хранилища. В мае BNY, крупнейший в мире кастодиан с активами под хранением и управлением на сумму 59,4 трлн долларов, объявил о запуске услуг по хранению Биткоина и Эфириума в Абу-Даби. Несколько недель спустя Standard Chartered подтвердил, что полностью приобретет Zodia Custody, кастодиана цифровых активов, который он курировал с 2020 года; ожидается, что сделка будет закрыта к концу августа.
Хранение активов, некогда бывшее заботой бэк-офиса крипто-компаний, теперь стало стратегическим приоритетом для крупнейших мировых банков.
Однако институты, наиболее известные управлением рисками, инвестируют в инфраструктуру Биткоина как раз в тот момент, когда индустрия признает наличие нерешенной криптографической проблемы.
Новый отчет компании Taurus, швейцарской фирмы по технологиям цифровых активов, среди инвесторов которой числится Deutsche Bank, утверждает, что каждый кастодиан на рынке сегодня остается уязвимым перед будущим квантовым переходом, и что одна из самых популярных архитектур хранения в отрасли может столкнуться со структурными ограничениями, когда блокчейны в конечном итоге мигрируют на квантово-устойчивые подписи.
Чтобы понять почему, полезно разобраться, что на самом деле делает крипто-кастодиан. Владение Биткоином означает контроль над приватным ключом — длинным секретным числом, которое авторизует перемещение монет. Тот, кто знает это число, может потратить активы, а тот, кто его теряет, навсегда теряет активы.
Вся работа кастодиана заключается в охране этих ключей и использовании их для создания цифровых подписей — математических доказательств, сообщающих сети о подлинности транзакции. Каждый спотовый Биткоин ETF, каждый токенизированный фонд и каждая корпоративная казначейская позиция в конечном итоге зависят от того, как кастодиан генерирует, хранит и использует эти ключи.
В этом бизнесе доминируют два типа архитектуры.
Многосторонние вычисления, или MPC (Multi-party computation), разделяют ключ на фрагменты, хранящиеся на отдельных машинах, так что полное число никогда не существует в одном месте, и вору придется взломать несколько систем одновременно.
Модули аппаратной безопасности, или HSM (Hardware security modules), придерживаются противоположного подхода и запирают ключ внутри одного специализированного, защищенного от вмешательства аппаратного устройства, которое самоуничтожается при любых попытках вмешательства.
Отчет Taurus утверждает, что эти две конструкции сталкиваются с совершенно разным будущим, когда в игру вступят квантовые компьютеры, и эта разница должна волновать любое учреждение, выбирающее свой стек хранения прямо сейчас.
Хранилище может быть готово до того, как будет готов блокчейн
Подписи, обеспечивающие безопасность Биткоина и Эфириума, основаны на криптографии на эллиптических кривых — отрасли математики, построенной на задачах, настолько сложных, что каждый компьютер на Земле, работая вместе, не смог бы их обратить.
Достаточно большой квантовый компьютер, работающий по алгоритму Шора, мог бы решить эти задачи довольно быстро, что означало бы, что он мог бы прочитать открытый ключ в блокчейне, вывести соответствующий приватный ключ и подделать транзакции.
Но такая машина все еще гипотетическая. Современные квантовые компьютеры — это исследовательские прототипы с примерно 100 кубитами, что далеко от необходимых сотен тысяч, и сам Taurus считает, что криптографически значимая машина до 2040 года маловероятна, исходя из текущих данных. CryptoSlate неоднократно отмечал, насколько заголовки преувеличивают краткосрочную опасность.
Аргумент в пользу немедленных действий основан на сроках, а не на панике. Агентство по стандартам США NIST опубликовало свои первые постквантовые криптографические стандарты в августе 2024 года, предоставив миру проверенные алгоритмы-заменители.
NIST IR 8547 выводит из употребления сегодняшние схемы подписи после 2030 года и запрещает их после 2035 года. Миграции такого масштаба занимают годы, поэтому Уолл-стрит уже начала обсуждать, как Биткоин должен адаптироваться.
Самое ценное понимание в отчете касается ограничения, уникального для блокчейнов. Банк может обновить свою внутреннюю безопасность в этом квартале, и многие уже предоставляют квантово-безопасные веб-соединения.
Но Биткоин находится вне контроля какого-либо одного учреждения. Когда кастодиан подписывает транзакцию и рассылает ее, тысячи независимых компьютеров по всему миру проверяют эту подпись на соответствие общим правилам сети, а эти правила в настоящее время признают только классические схемы.
Кастодиан, внедривший постквантовую подпись сегодня, будет создавать транзакции, которые Биткоин и Эфириум просто отклонят как недействительные.
Изменение правил требует обновлений протокола, обновлений кошельков, согласия операторов узлов и миграции миллионов пользователей — процесса, который уже идет в предложениях, таких как BIP-360 для Биткоина и повестка дня Эфириума по постквантовым исследованиям.
Вот почему каждый провайдер, включая Taurus, остается зависимым от самих блокчейнов. Реалистичная цель, как утверждается в отчете, состоит в том, чтобы сделать каждый уровень, контролируемый кастодианом, готовым к квантовым угрозам, а затем мигрировать в блокчейн, когда экосистема будет готова, что, по оценкам Taurus, может произойти к 2029 году или раньше.
Отчет также предлагает контринтуитивное наблюдение, которое он называет принципом квантовой гравитации: компьютер, способный взломать Биткоин, почти наверняка будет нацелен на более богатые цели, такие как государственные тайны и банковская инфраструктура, и одно только знание о его существовании обрушит цены на криптоактивы до того, как любая кража окупится.
Более насущная опасность — это атака типа «собери сейчас, расшифруй потом», при которой противники записывают зашифрованный трафик сегодня, дешево его хранят и расшифровывают все, когда появится способный к этому машина.
Почему MPC стал точкой преткновения для квантовой безопасности
Самое резкое утверждение в отчете касается MPC — архитектуры, которую предпочитают многие крипто-кастодианы и финтех-компании. Taurus признает, что разделение ключей между машинами затрудняет кражу, поскольку злоумышленнику необходимо скомпрометировать несколько систем, а не одну.
Проблема в том, что все эти машины сотрудничают для создания обычной подписи на эллиптической кривой — единственного типа, который принимает блокчейн, — поэтому математика, которую будет атаковать квантовый компьютер, остается неизменной, независимо от того, сколько сторон делят работу.
Системы MPC также полагаются на собственную криптографическую машину для аутентификации участников и защиты каналов между ними, и большая часть этой машины основана на тех же уязвимых математических предположениях.
Затем следует структурный аргумент. Ведущие HSM от таких поставщиков, как Thales, уже запускают постквантовые алгоритмы подписи внутри своего оборудования, в зависимости от версий прошивки, поэтому поддержка новой схемы в основном сводится к ее установке.
MPC сталкивается с более трудным путем, поскольку каждая новая семья подписей требует от исследователей изобретения нового протокола для вычисления этой подписи на нескольких машинах без сборки ключа. Для схем на основе решеток, таких как ML-DSA, эти протоколы появились только в 2025 и 2026 годах и еще не прошли проверку для производственного использования.
Для схем на основе хешей, таких как SLH-DSA, отчет заявляет о фундаментальном математическом барьере: хеш-функции намеренно искажают любую структуру во входных данных, а именно структуру используют многосторонние протоколы для разделения работы по подписанию.
Этот вывод болезнен, поскольку именно схемы на основе хешей выбирает большинство сетей. Дорожная карта Circle по постквантовой безопасности для Arc выбирает SLH-DSA-SHA2-128s для верификации смарт-аккаунтов, Aptos предложила ту же схему, а исследователи Эфириума также рассматривают варианты на основе хешей.
Это утверждение заслуживает тщательного изучения, а не слепого принятия. Taurus строит технологию хранения с корнями в HSM и имеет коммерческий интерес в этом сравнении; в отчете раскрывается, что он был подготовлен исключительно Taurus, без независимой проверки.
SLH-DSA также несет свои практические недостатки, поскольку его подписи занимают 7856 байт по сравнению с 64 байтами у сегодняшнего стандарта, что неудобно для подписания большого объема транзакций при любой архитектуре.
Поставщики MPC могут адаптироваться к схемам на основе решеток, если те станут доминирующими, а то, станут ли хеш-основанные подписи доминирующим выбором блокчейна, остается открытым вопросом. Криптографы за пределами Taurus должны высказаться о том, насколько широко распространено заявленное несовпадение.
Тем не менее, напряженность, лежащая в основе этих данных, безусловно, сохраняется, несмотря на оговорки. Банки, кастодианы ETF и биржи концентрируют миллиарды долларов клиентских активов в архитектуре хранения, выбранной за годы до того, как кто-либо узнает, какие постквантовые схемы примут блокчейны.
Миграция, когда она произойдет, может потребовать ротации кошельков, генерации новых адресов, получения клиентских разрешений и поглощения операционных пауз во всем институциональном стеке, при этом аудиторы, страховщики и регуляторы будут следить за каждым шагом.
Более широкий вопрос, который поднимают BNY и Standard Chartered, выходит за рамки того, должны ли банки хранить ключи Биткоина. Он спрашивает, можно ли будет перестроить хранилища, которые они покупают сегодня, пока активы находятся внутри.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Andjela Radmilac
