Báo cáo của Google dự báo các cuộc tấn công lượng tử nhắm vào Ethereum và các cầu nối sẽ xảy ra vào năm 2029

Trong những tuần gần đây, cộng đồng tiền điện tử đã bị xáo trộn bởi tin tức dường như từ kịch bản khoa học viễn tưởng: Google công bố một bài báo ước tính rằng máy tính lượng tử trong tương lai có thể phá vỡ thuật toán mã hóa bảo vệ Bitcoin và Ethereum chỉ trong chín phút. Phản ứng diễn ra nhanh chóng. Trong khi một số người diễn giải tài liệu như một tuyên bố tuyệt diệt đối với tài sản kỹ thuật số, những người khác coi đây là chiến lược FUD nhằm gieo hoảng loạn. Tuy nhiên, như thường thấy trong các cuộc tranh luận sâu sắc nhất của hệ sinh thái này, thực tế phức tạp hơn một tít headline ngày tận thế. Đoạn văn bản được đề cập, do đội ngũ Google’s Quantum AI thực hiện, không phải một thông cáo truyền thông giật gân; nó là nỗ lực cập nhật ước lượng nguồn lực lượng tử cần thiết để phá vỡ chữ ký elliptic curve (ECDSA) bảo vệ phần lớn chuỗi khối. Kết luận trung tâm thực sự đáng lo ngại: với vài trăm nghìn qubit vật lý — một con số mà tiến bộ của Google đang đưa gần tới hiện thực — một kẻ tấn công có thể suy diễn khóa riêng từ khóa công khai trong vài phút. Điều đó có nghĩa là nếu người dùng đã tái sử dụng một địa chỉ hoặc tiết lộ khóa công khai của họ (ví dụ, bằng cách thực hiện một giao dịch), một kẻ đe dọa với máy tính lượng tử đủ mạnh có thể cố gắng giải mã khóa riêng của họ trong cửa sổ xác nhận giao dịch và chèn một giao dịch gian lận trước khi khối gốc được khai thác. Bài viết cũng nhấn mạnh một con số gây chú ý: 6,7 triệu BTC tồn tại ở các địa chỉ có khóa công khai bị lộ. Nói cách khác, trong kịch bản lượng tử, số quỹ này sẽ trở thành mục tiêu cố định. Bên cạnh đó còn có các ví cũ, số Satoshi ngủ đông, các tài khoản trao đổi đang hoạt động và một phần đáng kể của hệ sinh thái DeFi, mà theo các nhà nghiên cứu cho thấy có tới năm vector tấn công khác nhau: từ cầu nối đến các mạng lớp‑2 và các hợp đồng thông minh. Đối mặt với bối cảnh này, câu hỏi không phải là liệu mối nguy có tồn tại hay không — đúng như vậy và có cơ sở kỹ thuật — mà là khi nào nó sẽ đến và, trên hết, liệu nó sẽ đến trước khi chúng ta có thời gian để phản ứng. Bởi vì đây là cốt lõi của vấn đề: Google phác thảo một lộ trình nhắm tới năm 2029 cho quá trình di cư có trách nhiệm sang mã hóa lượng tử sau (PQC), nhưng cảnh báo rằng các cuộc tấn công đầu tiên có thể bắt đầu xuất hiện sớm nhất vào năm 2028, với DeFi trở thành mục tiêu ưu tiên vào năm 2029 và các cuộc tấn công trực tiếp vào Bitcoin sẽ đến trong năm 2030. Đây không phải là những ngày tháng được ấn định, nhưng chúng gần đến mức chúng ta không thể bỏ qua. Bây giờ, liệu chúng ta có đang đối mặt với một mối đe dọa sắp xảy ra khiến ta phải thanh lý vị thế ngay tuần này? Theo quan điểm của tôi, không, nhưng chúng ta đang phải đối mặt với một lời cảnh tỉnh mang tính cấu trúc mà ngành tiền điện tử không thể trì hoãn thêm nữa. Và ở đây tôi muốn dõi vào một số điểm mà tôi cho là quan trọng để tách biệt cảnh báo hợp lý với sự thổi phồng. Thứ nhất, cần hiểu Google đã xử lý vấn đề này với trách nhiệm đặc biệt. Nhận thức rằng việc công bố các lỗ hổng cho thấy nguy hiểm có thể trở thành vũ khí FUD có khả năng làm giảm niềm tin công chúng vào tiền điện tử mà chưa có máy tính lượng tử có thể khai thác được, nhóm Google đã công bố ước lượng kèm theo bằng chứng không tiết lộ (ZKP) cho phép bên thứ ba xác thực tính hợp lệ của các tuyên bố mà không tiết lộ chi tiết của các mạch lượng tử. Nói cách khác, họ đã cân bằng giữa minh bạch và an ninh: họ chứng minh rủi ro là có thực mà không cung cấp “hướng dẫn cho kẻ tấn công.” Hơn nữa, họ đã hợp tác với chính phủ Mỹ, Coinbase, Ethereum Foundation và Viện Nghiên cứu Blockchain Stanford để phối hợp chuyển đổi có trật tự sang mã hóa lượng tử sau. Cách tiếp cận tiết lộ có phối hợp này là cùng một phương pháp được dùng trong ngành công nghiệp an ninh mạng cho các lỗ hổng nghiêm trọng, cho thấy vấn đề đang được xử lý nghiêm túc mà không rơi vào sự hô hào cảnh báo vô trách nhiệm. Thứ hai, cần làm rõ phạm vi thực tế của lỗ hổng. Mật mã dựa trên hệ elliptic chỉ bị lộ khi khóa công khai hiển thị. Trong Bitcoin, ví dụ, một địa chỉ chưa từng gửi giao dịch (chỉ nhận tiền) giữ khóa công khai ẩn nhờ quá trình băm. Do đó, nhóm dễ bị tổn thương được giới hạn ở những địa chỉ đã chi tiền — địa chỉ Pay-to-Public-Key cũ hoặc những địa chỉ đã dùng lại — cũng như ví và các sàn liên hành với các khóa đang hoạt động. 6,7 triệu BTC bị ảnh hưởng đại diện cho một phần lớn, nhưng không phải toàn bộ nguồn cung. Điều này có nghĩa là ngay cả trong tình huống xấu nhất, vẫn có khoảng trống để bảo vệ các quỹ chưa tiết lộ khóa công khai, miễn là người dùng di chuyển kịp thời. Khía cạnh “kịp thời” chính là thử thách lớn. Việc chuyển sang mã hóa lượng tử không phải là một bản vá có thể cài đặt bằng cập nhật phần mềm. Nó đòi hỏi đồng thuận về các tiêu chuẩn mới, sửa đổi lõi của các giao thức (một điều được Bitcoin thực hiện một cách cẩn trọng và chậm), phối hợp hàng nghìn nhà phát triển, nút, sàn giao dịch và người dùng. Nếu lộ trình của Google đúng và đến năm 2028 có máy tính lượng tử có thể thực hiện các tấn công này, cửa sổ để nâng cấp toàn bộ hạ tầng trên toàn cầu cực kỳ hẹp. Nhưng ở đây tôi muốn giới thiệu một sự lạc quan mang tính phê phán: ngành công nghiệp đã làm việc với các giải pháp PQC từ nhiều năm. Có các chuỗi blockchain thử nghiệm đã triển khai PQC, và các dự án như Ethereum đã bắt đầu khám phá tích hợp các hệ chữ ký chống lượng tử vào lộ trình của họ. Bài báo của Google thừa nhận rằng kiến thức cần thiết để bảo vệ chống lại các mối đe dọa này đã có sẵn; điều còn thiếu là triển khai trên quy mô lớn. Theo đó, thay vì một sự reset công nghệ bắt buộc, chúng ta đang đối mặt với một cuộc đua dài hạn, trong đó yếu tố quyết định sẽ là khả năng cộng đồng phối hợp. Từ quan điểm cá nhân, tôi cho rằng các cảnh báo như thế này nên được nghiêm túc xem xét, nhưng không làm chúng ta bị liệt. Lịch sử công nghệ đầy rẫy các dự báo tận thế đã không thành, nhưng cũng đầy rẫy các lỗ hổng bị phớt lờ cho đến khi quá muộn. Cách tiếp cận hợp lý bao gồm ba hành động cụ thể: Đối với người dùng cá nhân: tránh tái sử dụng địa chỉ, chuyển tiền từ các địa chỉ cũ có khóa công khai bị lộ sang các địa chỉ chưa chi tiêu, và theo dõi các tiêu chuẩn PQC mà ví sẽ dần áp dụng. Đối với các sàn giao dịch và người quản lý quỹ: bắt đầu triển khai hệ thống để giám sát các địa chỉ dễ bị tổn thương và phát triển kế hoạch di chuyển quỹ khách hàng sang các định dạng post‑quantum trước khi mối đe dọa trở nên cấp thiết. Đối với các giao thức và nhà phát triển: đẩy nhanh thảo luận về việc tích hợp PQC vào lộ trình, học hỏi từ các thử nghiệm hiện có và đặt thời gian thực tế nhưng đầy tham vọng. Chúng ta không thể rơi vào bẫy gán nhãn cảnh báo này là “FUD” chỉ vì nó khó chịu. Google đã rất cẩn trọng trong công bố và vai trò của nó như một nhà lãnh đạo trong công nghệ lượng tử mang lại cho nó sự tín nhiệm kỹ thuật mà chúng ta không thể phớt lờ. Nếu cộng đồng phản ứng bằng sự khinh miệt hoặc thờ ơ, nó có thể tự đối mặt vài năm tới với tình huống mà một phần đáng kể quỹ — đặc biệt là những quỹ ngủ đông hoặc ở các địa chỉ cũ — trở nên không thể bảo vệ được. Tiếp theo, như trong các bài viết trước về “resets”, đây là một loại thanh lọc công nghệ: buộc chúng ta từ bỏ các thuật toán mã hóa lỗi thời và chấp nhận các chuẩn mạnh mẽ hơn. Các dự án thành công sẽ lớn mạnh hơn; những dự án dựa trên thành tựu cũ sẽ bị bỏ lại phía sau, hoặc tệ hơn, trở thành nạn nhân của làn sóng tấn công lượng tử đầu tiên. Máy tính lượng tử không phải là giả thuyết xa vời; nó là một hiện thực phát triển với nhịp độ tăng dần. Và giống như bất kỳ sự phát triển disruptive nào, nó đặt ra một lựa chọn: chống cự và diệt vong, hoặc thích nghi và tiến hóa. Cộng đồng tiền điện tử sẽ quyết định con đường nào. Đối với tôi, tôi tin rằng sự trưởng thành sau khoảng mười lăm năm chu kỳ, sụp đổ và tái sinh sẽ cho phép chúng ta đối mặt thử thách này với sự kết hợp đúng đắn giữa cấp thiết và bình tĩnh mà tình huống đòi hỏi. Bởi vì cuối cùng, lời hứa của tiền điện tử — đó là tiền kỹ thuật số phân quyền, không biên giới — xứng đáng được bảo vệ không chỉ trước các cuộc tấn công ngày nay, mà còn trước những cuộc tấn công trong tương lai. Và tương lai, bất kể bạn thích hay không, đang gõ cửa.