Kvantový plán Etherea před Q-Day s Justinem Drakem

Rozhovor s Justinem Drakem, výzkumníkem Nadace Ethereum, který pokrývá postkvantovou roadmapu Etherea, vizi Lean Ethereum, průlomy ve formální verifikaci a upřímnou diskusi o existenčním riziku umělé inteligence.

Tento přepis je přístupnou kopií původního přepisu videa (opens in a new tab) zveřejněného kanálem Bankless. Pro lepší čitelnost byl lehce upraven.

Úvod a kvantová hrozba (0:00)

Justin Drake: Jedním ze zajímavých posunů v mém myšlení za posledních několik měsíců je, že jsem přestal vnímat postkvantovou éru jako překážku, kterou musíme překonat, a beru ji spíše jako příležitost. Je to příležitost pro Ethereum vyniknout jako vůbec první globální finanční systém, který je postkvantově bezpečný, a to nejen ve srovnání se svými konkurenty, jako je Bitcoin a podobně, ale také ve srovnání s fiat měnami a tradičními financemi (TradFi). A myslím si, že by to vyslalo velmi silný signál a byl by to velmi přirozený bezpečnostní argument pro to, aby svět přešel na Ethereum.

Ryan Sean Adams: Bankless Nation, opět je tu s námi Justin Drake. Budeme se bavit o kvantových počítačích ve vztahu ke kryptu, Bitcoinu a také Ethereu. Justine, vítej zpět v podcastu.

Justin Drake: Ahoj lidi. Díky, že jste mě zase pozvali.

David Hoffman: Takže kvantové technologie se staly pro náš obor velkou hrozbou. Vždycky jsme to tak nějak věděli. Bylo to ale převážně teoretické. Za posledních zhruba šest měsíců se kvantové technologie pevně přesunuly z teoretické roviny do něčeho, co má na náš obor hmatatelný dopad. Počínaje jen cenou Bitcoinu, protože manažeři fondů – dokonce i BlackRock vydal články o hrozbě kvantových počítačů pro bezpečnost, a tím pádem i hodnotu Bitcoinu. Takže jsme z doslechu zaznamenali, že lidé snižují váhu Bitcoinu ve svých portfoliích. Možná to také sráží cenu všech ostatních aktiv v oboru.

Abychom se nebavili jen o ceně, jak tomu rozumíme, kvantové technologie skutečně ovlivňují způsob, jakým blockchainy fungují. Zdá se tedy, že jde o zásadní problém našeho oboru jako celku. Překážka, kterou náš obor musí překonat – když krypto a blockchain vůbec vznikly, nebyli jsme jako obor vybaveni na to, abychom se stali postkvantovými. Takže možná pro začátek trochu kontextu, jaký je tu časový horizont? Kdy tato překážka přijde? Slyšel jsem, že se tomu říká Q-Day (Den Q). Kdy je Q-Day? Kolik času máme na překonání této kvantové překážky?

Justin Drake: Jo. Chtěl bych se jen trochu vrátit a zdůraznit to, co jsi řekl, a sice že za posledních 6 až 12 měsíců jsme zaznamenali obrovské průlomy. Jedním z nich je koncept opravy chyb. Jsme schopni přejít od takzvaných fyzických qubitů, které jsou velmi zašuměné a náchylné k chybám, k dokonale logickým qubitům. Právě teď dokážeme v podstatě vyrobit jeden logický qubit, ale i tak je to velmi důležitý moment přechodu z nuly na jedničku a teď jde o to, jak to škálovat na více logických qubitů. Další velký průlom je na algoritmické straně. Dříve jsme si mysleli, že k prolomení naší milované kryptografie budou potřeba miliony, vlastně desítky milionů fyzických qubitů. Ale loni vyšla studie, která přinesla desetinásobné zlepšení a snížila tento počet na 1 milion fyzických qubitů. A letos tu máme další desetinásobné zlepšení, které to snižuje na 100 000 qubitů.

Takže cíl se stále přibližuje a v určitém smyslu tu máme dvojitou exponenciálu, která se nakonec protne. A další věc, která se stala, je na straně investic – spousta kvantových startupů vybrala miliardy dolarů. Myslím, že v loňském roce se bavíme o částce v řádu 5 miliard dolarů, což je bezprecedentní. Dříve jsme mluvili o stovkách milionů. A myslím si, že vyvrcholení všech těchto věcí skutečně zaktivizovalo veřejnost a vedlo k tomuto narativu, který skutečně mohl ovlivnit cenu Bitcoinu a etheru.

Když se teď podíváme do budoucnosti, můj osobní Q-Day je v roce 2032. Je to trochu optimistický pohled v tom smyslu, že je možné, že to přijde o něco později, ale musíme být připraveni na ten nejhorší možný scénář. Takže bych řekl, že je tu minimálně 1% šance, že Q-Day nastane v roce 2032, a spíše to bude dvouciferné procento. Různí odborníci vám řeknou něco mezi lety 2031 a 2038. Jeden můj přítel z oboru, Steve Bryley, zakladatel a generální ředitel jedné z největších společností zabývajících se kvantovou opravou chyb na světě, který shodou okolností sídlí v Cambridge, kde jsem i já – jeho osobní Q-Day byl rok 2032, ale toto datum má už 15 let

Kdy nastane Q-Day a jak se připravit? (5:08)

a vždy to zůstalo stejné.

Ryan Sean Adams: Páni, to je působivá kontinuita.

Justin Drake: A v podstatě stačí jen extrapolovat exponenciály a tam se dostanete. A tak se u Etherea snažíme zajistit, abychom měli všechno hotové dlouho před rokem 2032. A můj termín dokončení, kdy bude Ethereum plně postkvantově bezpečné, je rok 2029.

David Hoffman: Takže před rokem jsme tu měli tebe a Scotta Aaronsona, který je v tomto oboru takovým kmotrem. Ptali jsme se na pár věcí ohledně Q-Day. Je dobrou definicí Q-Day den, kdy kvantové počítače dokážou prolomit naše schémata pro podpis, jako je ECDSA? Je to to, co Q-Day ve skutečnosti znamená?

Justin Drake: Ano, přesně tak. Máme tu nový termín zvaný CRQC — kryptograficky relevantní kvantový počítač (cryptographically relevant quantum computer). Když trochu přimhouříte oči, Q uprostřed se změní na O a zní to jako krokodýl, „croc“. To je chvíle, kdy to pro nás začne být relevantní. Je možné, že se objeví i jiné aplikace, díky kterým budou kvantové počítače užitečné pro chemii nebo fyziku, ale to přijde až o něco později.

David Hoffman: Vzpomínám si, že tehdy byl ve svých vyjádřeních dost opatrný. Bylo to před rokem, v lednu 2025, a říkal, že do 10 let bychom měli mít užitečné kvantové počítače odolné vůči chybám, ale velmi pečlivě dodával, že to neznamená, že budeme schopni prolomit ECDSA. Nechtěl se zavázat k žádnému datu, protože říkal, že je to ohromně těžký inženýrský problém. Všiml jsem si, že se jeho tón za poslední rok změnil, a dokonce se připojil k některým organizacím a nadacím, aby pomohl kryptoměnám zorientovat se v kvantové problematice. Je to z těch tří důvodů, které zdůrazňuješ — průlomy v algoritmech, korekce chyb, která nám umožňuje škálovat logické qubity, a pak miliardy z fondů rizikového kapitálu (VC), které se do toho nalily? Změnil se jeho názor?

Justin Drake: Nemůžu mluvit za něj, ale měli bychom si uvědomit jednu věc – Scott je především teoretik. Velmi dlouho pracoval na teorii, ne tolik na každodenní praxi kvantových počítačů, a myslím, že to byl částečně důvod, proč byl tak opatrný. Čím dál častěji se ale stává, že tyto věci budují skutečné společnosti a skuteční podnikatelé, a on má pohled zevnitř. V podstatě všechny tyto informace vstřebává. Jedna z věcí, kterou nedávno řekl, je, že americká vláda začíná zasahovat do publikování nápadů. Máme tu tedy společnosti a akademiky, kteří by mohli přijít s vylepšeními Shorova algoritmu, a ty nejsou zcela zveřejňovány, potenciálně z důvodů národní bezpečnosti.

Fyzické qubity, logické qubity a prolomení ECDSA (10:11)

David Hoffman: Páni. Dobře. Takže to zní, že se do toho zapojují vlády. Vlastně si nejsme jistí veškerou prací, která probíhá v zákulisí — v tuto chvíli víme jen o komerčně životaschopných projektech. Co se týče logických qubitů, říkal jsi, že teď máme jeden logický qubit. Existují fyzické qubity a logické qubity, a to, co je potřeba škálovat, jsou logické qubity. Kolik logických qubitů vlastně potřebujeme k prolomení ECDSA? To je metrika, kterou sleduji, ale je to vůbec to správné číslo? Slyšel jsem lidi mluvit o tom, že jich je potřeba tisíc, nebo možná 1 500. Je to číslo, kterému bychom měli věnovat pozornost?

Justin Drake: Ano, existuje několik relevantních metrik. Je to celkový počet fyzických qubitů, celkový počet logických qubitů a také celkový počet kroků potřebných ke spuštění algoritmu. A to má skutečný dopad, protože to určí, jestli prolomení klíče potrvá minutu, den, týden, měsíc, nebo rok.

David Hoffman: A jaké jsou faktory škálování pro každý z nich — fyzické, logické a pak čas na spuštění algoritmu?

Justin Drake: Zhruba řečeno, počet fyzických qubitů potřebných k získání jednoho logického qubitu je dnes několik set — řekněme tisíc. Mělo by dojít k tomu, že se zvýší kvalita fyzických qubitů, takzvaná věrnost (fidelity), a měli bychom také přijít s lepšími kódy pro výmazové kódování, které tento poměr zlepší. Je tedy možné, že v budoucnu budeme potřebovat jen 100 fyzických qubitů na každý logický, nebo možná jen 10.

Když se podíváte na algoritmus pro prolomení diskrétního logaritmu a ECDSA, zhruba řečeno je to malý násobek počtu bitů v křivce. Pracujeme s křivkou zvanou secp256k1. Číslo 256 znamená 256 bitů. Takže vezmete toto číslo a vynásobíte ho pěti nebo šesti, a to vám dá zhruba počet logických qubitů, které potřebujete — řekněme tedy 1 500. Protože dnes jsme na jednom logickém qubitu, v jistém smyslu jsme tři řády daleko, jako by bylo potřeba třikrát znásobit deseti, abychom se tam dostali. Ale znovu, budeme mít vylepšení na straně opravy chyb, která tento poměr sníží, a vylepšení na algoritmické straně, která sníží počet potřebných logických qubitů.

Co se týče doby běhu, je to docela zajímavé, protože existují dva druhy kvantových počítačů — s rychlými hodinami a s pomalými hodinami. Ty s rychlými hodinami fungují opravdu rychle, v podstatě rychlostí světla. Máte supravodivé kvantové počítače a fotonické kvantové počítače — fotonické, jak už název napovídá, využívají fotony, tedy světlo, což vysvětluje, proč jsou tak rychlé. Pak máte ty s pomalými hodinami — uvězněné ionty a neutrální atomy. Na názvech vlastně nezáleží, ale zhruba řečeno fungují tisíckrát pomaleji. Každá architektura a modalita má své vlastní výhody a nevýhody. Je tedy docela možné, že na začátku uvidíme zvítězit modalitu s pomalými hodinami v tom smyslu, že budou první, kdo prolomí klíč, ale potrvá jim to dlouho — může to trvat týden nebo měsíc. Takže v jistém smyslu není Q-Day úplně černobílý; bude tu období, kdy to bude tak trochu prolomené, ale jen pro ty nejcennější adresy.

David Hoffman: Zajímavé. Ale Q-Day by se mohl odehrát i v zákulisí, aniž bychom věděli, jak daleko ve skutečnosti jsme.

Justin Drake: Ano. A pokud to skutečně bude národní stát, kdo získá přístup k těmto kvantovým počítačům jako první, pak pokud krypto nebude hrát ve světě hlavní systémovou roli, s největší pravděpodobností využijí své schopnosti k nenápadným útokům — například ke špehování svých protivníků. To hraje v náš prospěch. Ale pokud máte co do činění s čistě racionální entitou, která je motivována penězi, mohla by se skutečně zaměřit na Bitcoin nebo Ethereum.

Kvantová datová centra a scénář útoku Q-Day (15:10)

David Hoffman: Poslední otázka ke qubitům. Budují se právě teď datová centra pro kvantové počítače? Vidíme masivní výstavbu datových center pro umělou inteligenci. Začíná se něco podobného dít i u kvantových počítačů?

Justin Drake: Ano. Četl jsem tiskovou zprávu od společnosti Continuum. Staví kvantový počítač na bázi fotoniky a jsou velmi nenápadní. Vybrali spoustu peněz – miliardy dolarů, částečně od australské vlády – a chtějí kvantové počítače tak trochu vyřešit na první dobrou. Mnoho jiných společností staví malé proof-of-concepty a pak je rozšiřují, ale oni chtějí postavit celou věc hned od prvního dne. Takže staví toto masivní datové centrum. Myslím, že je to kvůli zvolené modalitě – fotonika nevyžaduje tak extrémně nízké teploty, jaké vyžadují jiné modality, jako je supravodivost. Takže můžete vzít mnohem tradičněji vypadající datové centrum a umístit tam svůj kvantový počítač.

Ryan Sean Adams: Právě jsi mluvil o tom, že Q-Day není tak úplně černobílý. Existuje spousta různých věcí na blockchainu, které jsou z hlediska kvantových počítačů relevantní, a každá má jinou úroveň kvantové zranitelnosti. Ale já chci zaujmout postoj, že Q-Day je ve skutečnosti akutní specifická událost – je to okamžik, kdy dojde k samotnému útoku a v jeho důsledku se něco rozbije. Možná se to liší pro různé blockchainy, protože jejich rizikové profily nejsou jednotné. Můžeme se ale bavit o Q-Day pro Bitcoin za předpokladu, že Bitcoin nic neudělá. Pokud budeme předpokládat, že se Bitcoin nepřizpůsobí, existuje konkrétní den, kdy bude Bitcoin napaden. Jak to bude vypadat? Co by se v ten den stalo? Co je pro kvantový počítač tím nejsnazším cílem při útoku na Bitcoin?

Justin Drake: V podstatě se musíte podívat na motivace k útoku. Racionálním krokem pro útočníka je jít po největších adresách, a vlastně možná ještě předtím jít po adresách, kde je dokonalé soukromí, nebo po adresách, kde existuje věrohodné popření (plausible deniability). Dovolte mi projít je jednu po druhé. Úplně prvním cílem bude pravděpodobně Zcash, protože pokud zaútočíte na Zcash, můžete razit libovolné množství ZEC a nikdo se to nedozví. Takže Q-Day nebude zveřejněn.

David Hoffman: Počkej, jen abychom si to ujasnili – Zcash v tuto chvíli není postkvantově bezpečný? I když používá ZK-SNARKs a tohle všechno?

Justin Drake: Jo, používá SNARKs, které jsou založené na křivkách náchylných k prolomení kvantovými počítači.

David Hoffman: Dobře. A další potenciální skupinou obětí by mohli být lidé, kteří zemřeli a prostě ztratili své mince. Pokud jim někdo jejich mince ukradne, nikdo si nebude stěžovat – je tu určitá míra věrohodného popření.

Ryan Sean Adams: Ale toho bychom si všimli, chci říct, kdybychom začali vídat mince od lidí—

Justin Drake: Ano i ne, protože to vidíme už dnes. Zhruba každé čtvrtletí se objeví nějaká zombie adresa, která se 13 let nepohnula, a najednou ožije a nikdo nezná skutečný důvod.

Ryan Sean Adams: Že jo? Je to jako 13 let stará Bitcoin peněženka, která neměla žádnou transakci od doby, kdy před věky vytěžili těch 50 bitcoinů, a teď provede svou první transakci po 13 letech. Jestli je ten člověk stále naživu a jen probouzí spící peněženku, nebo jde o útok kvantového počítače – naivní pozorovatel, který se jen dívá na Bitcoin blockchain, ten rozdíl nepozná.

Justin Drake: Přesně tak. Ano. A pak byste pravděpodobně šli a zaútočili na ty největší ryby, což by mohla být nějaká burza, která nezavedla správnou infrastrukturu, aby se ochránila. Ukazuje se, že existuje velmi snadné zmírnění hrozby kvantových počítačů, alespoň těch úplně prvních – nepoužívejte své adresy opakovaně. Když znovu použijete svou adresu, znovu použijete veřejný klíč, a to znamená, že útočník má čas prolomit odpovídající soukromý klíč a poté vám ukrást prostředky při druhém použití adresy. Nejlepší praxí by tedy mělo být, že pokud držíte nějaké prostředky v dlouhodobém offline úložišti (cold storage), mělo by jít o čistou adresu, u které nebyl odpovídající veřejný klíč nikdy odhalen. Jen aby to bylo naprosto jasné: to, co vám kvantový počítač umožňuje

Zranitelné bitcoinové adresy a Satoshiho mince (20:08)

udělat, je přejít od veřejného klíče zpět k soukromému klíči. Takže to skutečně ohrožuje samotné základy vlastnictví.

Ryan Sean Adams: Takže dlouho neaktivní mince, bez ohledu na to, na jakém jsou blockchainu, které měly odhalen svůj veřejný klíč – což nejsou všechny neaktivní mince, ale velké procento – jsou v ohrožení. To jsou ty Satoshiho mince. Satoshi má své mince v peněžence, kterou lidé znají. Proto jim říkáme Satoshiho mince, protože víme, kde jsou. Jaké procento bitcoinů je vůči tomu náchylné?

Justin Drake: Jo, existuje webová stránka s názvem „Qisk List“ – psáno s Q místo C – od společnosti Project 11, kde mají tento řídicí panel, který vám poskytuje živý pohled na zranitelné adresy. Myslím, že je to řádově 35 %.

David Hoffman: 35 % bitcoinů.

Justin Drake: Ano. Takže miliony bitcoinů – řekněme šest nebo sedm milionů. Jo, to jsou stovky miliard dolarů. A máš pravdu, že to zahrnuje zhruba 1 milion BTC, které drží Satoshi. Jednou ze zajímavých vlastností Satoshiho BTC je, že jsou všechny v přírůstcích po 50 bitcoinech, protože to byla odměna za blok a on při každém těžení použil novou adresu. Tak byl tehdy naprogramován výchozí software. Pokud hacknutí jednoho veřejného klíče trvá řekněme den nebo i 10 minut, uvidíte, jak jsou Satoshiho mince vysávány zhruba stejnou rychlostí, jakou byly tehdy těženy – zhruba jednou za 10 minut.

Bude to proces rozložený v čase. A jedním zajímavým důsledkem je, že pokud jste malá ryba a máte na své adrese podstatně méně než 50 bitcoinů, pak jste v pohodě. Jste tak trochu chráněni Satoshim před vámi.

David Hoffman: Že?

Justin Drake: Ano. Přesně tak.

Ryan Sean Adams: V analogii s útěkem před zombíky prostě nesmíte být ten nejpomalejší. V tomto případě nesmíme mít ty největší peněženky, které nejsou kvantově bezpečné, protože oni prostě půjdou po těch větších peněženkách.

Justin Drake: Přesně tak.

David Hoffman: Takže Q-Day nastane ve scénáři Justina Drakea – možná bude Zcash první, kdo zažije nějakou formu útoku, pak možná uvidíte nějaké adresy onchain, které nebudou příliš nápadné, protože útočník na to nebude chtít upozorňovat. Nějaké adresy na Bitcoinu, ale pak by útočník přitvrdil a šel by po stále větších zdrojích bohatství. Podle toho, jak jsem pochopil články Nicka Cartera, existuje část nabídky Bitcoinu ve scénáři ztracených mincí – buď daný jedinec zemřel, ztratil své soukromé klíče, nebo je to samotný Satoshi. Myslím, že Nick odhadl minimální hranici na 1,7 milionu bitcoinů, což by bylo 8,6 % vytěžené nabídky. To je méně než těch 35 % náchylných k útoku. Lidé, kteří se snaží zůstat o krok napřed před útokem zombíků, se přesunou na nenáchylné adresy. Ale pokud jsou mince ztraceny, pokud není přístup k soukromým klíčům, nemůžete je přesunout. A pak další odhady říkají, že by mohlo být náchylných až 15 % bitcoinů. Jaká čísla jsi viděl ty?

Justin Drake: Jo, takže hrubé číslo, které mám na mysli, je v souladu s těmito. Jsou to asi 2 miliony bitcoinů, řekněme 10 %. Máme 1 milion od Satoshiho a pak zhruba další milion, který se velmi dlouho nepohnul. Musíme z toho něco odečíst, protože některé zombie adresy jsou legitimní a oživnou, ale měli bychom to také navýšit, protože mohou existovat některé nedávno utracené adresy, které budou ztraceny. Takže 5 až 15 % je správné rozpětí. Vsadil bych si na zhruba 10–12 %, což je velmi značné – rozhodně ve stovkách miliard dolarů.

Debata o spálení vs. záchraně pro Bitcoin (25:24)

Člověk by se zde mohl zamyslet nad teorií her. Možnost A je pokusit se mince spálit. Výhodou je, že nemáte prodejní tlak v řádech stovek miliard dolarů. Pokud to analyzujete z krátkodobého hlediska, je to racionální krok. Ale celý příběh Bitcoinu je o silných vlastnických právech, takže pokud máte dlouhodobější pohled, neměli byste chtít mince spálit. Je velmi těžké odhadnout, jakým směrem se komunita vydá. Je možné, že nakonec rozhodnou velcí držitelé — například Michael Saylor a MicroStrategy. Protože tito velcí držitelé obdrží kopii obou verzí Bitcoinu — té se spálením i té bez něj — a mohou se rozhodnout zbavit se té, která se jim nelíbí. A víme, že Saylor je pro spálení, takže může potenciálně sám zmanipulovat trh a dosáhnout výsledku, který chce.

Ryan Sean Adams: Můžeme si ujasnit, co tím myslíš? Dvě možnosti pro koho? Máme tu tedy scénář po Q-Day — pokud věříte, že Q-Day přijde, budeme mít řekněme 10 % z celkové nabídky Bitcoinu, na které může zaútočit kdokoli, kdo má nejlepší kvantový počítač. Mohou tam sáhnout a získat Bitcoin v průběhu dnů, týdnů a možná i měsíců, přičemž budou vybírat tyto adresy jednu po druhé. A těch 10 % si může někdo vzít. Říkáš, že bitcoinová komunita má možnosti, co s těmito 10 % udělat na sociální vrstvě, na vrstvě hard forku. Tyto možnosti jsou dvě.

Buď mohou mince spálit nebo zmrazit — v podstatě říct, že to jsou mrtvé adresy, víme, že jsou mrtvé, nechceme, aby byly náchylné vůči kvantovým útokům, takže provedeme hard fork a řekneme, že s těmito mincemi se už nikdy nebude hýbat. Je to 21 milionů minus těch 10 %, které byly zmrazeny. To je jedna možnost.

Druhou možností je, že prostě přenechají těch 10 % komukoli, kdo dokáže vytvořit kvantový počítač, aby si je mohl nárokovat. Skoro jako zachraňování vraku lodi — kdokoli postaví ponorku, aby získal zlato, může si ho nárokovat. Ale to jsou vynucené možnosti. Bez ohledu na to, co se stane, pokud nastane Q-Day, bitcoinová komunita si musí vybrat jednu z těchto dvou možností. Buď zasáhnout, spálit a zmrazit, nebo to nechat na jakékoli geopolitické komerční síle, která má schopnost vyvinout kvantové počítače a jít si nárokovat odměnu. Je to to, co říkáme?

Justin Drake: Ano, to je velmi dobře řečeno. Ale jedna malá oprava: nemusí se to stát v Q-Day nebo po Q-Day. Může se to stát už předtím. Kdykoli může bitcoinová komunita nebo její část navrhnout vytvoření forku. Na čísle bloku forku by existovaly dvě verze aktiva Bitcoin — stejně jako u forku Bitcoin Cash. A nakonec o tom rozhodne trh. Burzy zavedou obě verze aktiva a trh rozhodne, která z nich je ten pravý Bitcoin. A je možné, že jen kvůli krátkodobé dynamice likvidity vyhraje ta verze, která mince spálí, a to potenciálně ještě před Q-Day.

Scénář Michaela Saylora a Schellingovy body (30:29)

Ryan Sean Adams: Dobře. Takže jsem Michael Saylor, vlastním 2–3 % nabídky Bitcoinu, obzvláště té likvidní. Dostanu obě kopie. Děláme fork blockchainu Bitcoinu, přesně jako během válek o fork Bitcoinu v roce 2017. Chci si zachovat svou hodnotu, takže prodám všechny bitcoiny, které jsou náchylné vůči kvantovým útokům, a nechám si všechny bitcoiny ve verzi, která tyto zranitelné mince spálila. Cena nedotčeného blockchainu klesá. Cena verze se spálenými mincemi zůstává vysoká, protože ji nikdo neprodává – Saylor neprodává, BlackRock neprodává. Takže říkáte, že cena Bitcoinu s vyřešenou kvantovou hrozbou bude vyšší a díky tržním silám se stane tím kanonickým Bitcoinem.

Justin Drake: Jo. A Michael se dokonce může rozhodnout koupit verzi se spálenými mincemi za výnosy z té zranitelné a dostat se z 5 % na pět a půl procenta.

David Hoffman: Že ano? Ale neznamená to, že musí existovat nějaká úroveň koordinace shora dolů ohledně toho, které peněženky budou zmrazeny? Je jasné, že můžeme označit Satoshiho mince a zmrazit je, ale pak jich musíme zmrazit ještě o něco víc. U některých peněženek si můžeme být poměrně jistí – ten člověk je mrtvý. Ale ve skutečnosti nevíme, kde udělat čáru v tom, které peněženky je oprávněné zmrazit a které ve skutečnosti vlastní lidé, kteří jsou jen neaktivní. Existuje nějaká jasná hranice?

Justin Drake: No, existuje koncept zvaný Schellingův bod – jak dospějete ke konsensu, když chybí centrální koordinátor? Pro Bitcoin by Schellingovým bodem mohl být blok, ve kterém dojde k půlení (halvingu). Můžete si vybrat první půlení, druhé půlení nebo třetí půlení. To se zdá být poměrně důvěryhodně neutrální – jakákoli mince, která se od druhého půlení nepohnula, je považována za spálenou.

David Hoffman: Takže prostě vybereme datum a řekneme: hej, pokud do tohoto data necháte své bitcoiny v kvantově nezabezpečené peněžence, spálíme vaše mince na tomto sekundárním blockchainu, u kterého uděláme fork.

Justin Drake: Ano, existuje poměrně široký prostor pro návrh a někteří lidé se snažili být kreativní. Například se někteří snaží vyřešit dva problémy najednou – jak ten kvantový, tak problém rozpočtu na bezpečnost – přičemž návrh zní: vezměme ty 2 miliony mincí a místo jejich spálení je přidejme do emise. To odsouvá problém s rozpočtem na bezpečnost na později.

David Hoffman: Vsadím se, že z hlediska koordinace Bitcoinu to bude ještě ambicióznější. Nevím, jestli chcete přetížit koordinační schopnosti Bitcoinu.

Justin Drake: Ano. Kdybych sázel, vsadil bych si prostě na velmi jednoduché spálení, řekněme po druhém půlení.

David Hoffman: Dobře.

Ryan Sean Adams: Je to ale tak těžké, protože jak jsi říkal dříve, Justine, tohle narušuje ten narativ o neúplatnosti, narativ o vlastnických právech. Jakékoli rozhodnutí o zmrazení nebo spálení tak trochu ničí čistou podstatu toho, čím Bitcoin je. Takže Nick Carter ve svých esejích prochází jiný příběh – ne scénář spálení a zmrazení, ale scénář záchrany. V jeho scénáři soukromá kvantová laboratoř prolomí ECDSA v předstihu. Shodou okolností sídlí v USA. Americká vláda je rychle a tajně znárodní. Začnou získávat Bitcoin, koordinují to s ministerstvem financí, koordinují to s velkými poskytovateli ETF, BlackRockem, s lidmi jako Michael Saylor. A na konci USA skončí s 10 % nabídky Bitcoinu ve státní pokladně. Prochází fiktivní cenové grafy – když si lidé uvědomí, že síť Bitcoinu je pod kvantovým útokem, cena se propadne o 73 %. Ale když se pak ukáže, že ho má americká vláda a že k jeho legální konfiskaci využívá námořní záchranné právo, trh se odrazí ode dna, protože USA mají tuto strategickou bitcoinovou pokladnu. Takže to je jeho druhý scénář. Připadá ti to reálné? Protože alespoň v tomto scénáři neporušujete žádná vlastnická práva.

Je rozhodně neuvěřitelné, že by se to stalo síti s hodnotou mnoha bilionů dolarů a s tak obrovskou odměnou. Je to bezprecedentní. Ale i to by se mohlo stát a možná je to pro Bitcoin lepší výsledek.

Důkaz seed fráze a problém velikosti postkvantových podpisů (35:06)

Justin Drake: Jo. Mám k tomu pár myšlenek. První z nich je, že existuje poměrně sofistikovaný způsob, jak prokázat vlastnictví Bitcoinu bez použití soukromého klíče. Tomu se říká důkaz seed fráze. Způsob, jakým odvodíte bitcoinovou adresu, má tři kroky: první krok, vygenerujete svou seed frázi; druhý krok, provedete se seed frází určité manipulace včetně hashování, abyste odvodili svůj soukromý klíč; pak ze soukromého klíče odvodíte veřejný klíč, což je adresa, která jde onchain. Soukromý klíč už bohužel není něčím, co by mohlo prokázat vlastnictví. Ale díky kroku hashování platí, že pokud znáte svou seed frázi, je to stále důkaz vlastnictví. Takže jedna věc, která by se mohla stát – a technicky vzato je to nejrozumnější cesta vpřed – je zmrazit Bitcoin, ale umožnit komukoli oživit svůj Bitcoin pomocí důkazu seed fráze.

Důkaz seed fráze je bohužel poměrně složitý. Vyžaduje SNARK, důkaz s nulovou znalostí, takže by to Bitcoin výrazně zkomplikovalo. Ale můj odhad je, že Bitcoin bude mít SNARKy, aby vyřešil problém s velikostí postkvantových podpisů. Bitcoin je velmi známý tím, že nechce zvětšovat velikost svého bloku. Bohužel, postkvantové podpisy jsou zhruba 10krát větší než ECDSA. Abych vám dal konkrétní čísla: ECDSA má 64 bajtů, což je nepatrný podpis. Nejmenší postkvantový podpis standardizovaný NIST je Falcon, který má 666 bajtů – je tedy více než 10krát větší. Pokud naivně vyměníte ECDSA za něco postkvantově bezpečného bez zvětšení velikosti bloku, vaše propustnost klesne zhruba 10krát. Vaše TPS na Bitcoinu klesne ze tří na 0,3, což je podle mého názoru naprosto nepřijatelné.

To, co budujeme pro Ethereum, je tato propracovaná technologie agregace postkvantových podpisů, takže onchain nevkládáte surové podpisy, i když jsou velké – vkládáte pouze tento důkaz o agregaci. A vsadím se, že Bitcoin přijme řešení, které vyvine Ethereum, protože prostě neexistuje jiná technicky rozumná cesta vpřed.

Ryan Sean Adams: Chápu. A proto sázíte proti scénáři záchrany – protože si myslíte, že zvolí tento přístup, a pokud to udělají, poskytne jim to způsob, jak důvěryhodněji a neutrálněji zmrazit aktiva. Pokud dokážete prokázat vlastnictví, získáte přístup ke starému původnímu Bitcoinu.

Justin Drake: Ano. Bohužel, pokud jste maximalista v oblasti vlastnických práv, není to zcela uspokojivé.

Ryan Sean Adams: Ne.

Justin Drake: A důvodem je, že existuje určitá podmnožina zmrazených adres, pro které není známa žádná seed fráze. Standard pro seed fráze přišel až několik let po vzniku sítě (genesis). Takže všechny rané adresy – například všechny Satoshiho adresy – nebudou mít odpovídající seed frázi. A existují některé peněženky, například peněženky založené na MPC, kde žádná odpovídající seed fráze neexistuje. Takže to není dokonalé řešení, ale vyřeší to 80 % případů.

David Hoffman: Takový zmatek. Je to hrozný zmatek, ať se na to podíváte jakkoli.

Justin Drake: Ano. Další věc, kterou jsem chtěl zdůraznit, je, že spousta lidí si myslí, že když ukradnete Bitcoin, cena BTC se zhroutí a aktivum, které jste ukradli, bude bezcenné.

Ale ve skutečnosti existuje způsob, jak se zajistit proti ceně Bitcoinu, což je velmi snadné – prostě otevřete short pozici na BTC. Řekněme, že s jistotou víte, že jste prolomili soukromý klíč peněženky, která drží 100 000 BTC. Otevřete short na 100 000 BTC. Tím si uzamknete svůj zisk. A pak, bez ohledu na to, co udělá cena Bitcoinu, máte uzamčený svůj zisk, což mohou být desítky miliard dolarů.

Výzva sociální vrstvy Bitcoinu a výhoda Etherea (40:07)

David Hoffman: Nyní chci upozornit na to, Justine, že přemýšlíš určitým způsobem, a způsob, jakým přemýšlíš, je důvodem, proč jsi v Ethereu. Kdybys byl Bitcoiner, přemýšlel bys jinak. Způsob myšlení Bitcoinerů je velmi unikátní, velmi odlišný — tak trochu maximalistický ohledně vlastnických práv. Myslím, že to, co by udělal Justin, kdyby měl na starosti Bitcoin, je velmi odlišné od toho, co by udělal obecný souhrn Bitcoinerů. Nemám tu žádnou konkrétní otázku, ale chci to jen zdůraznit.

Ryan Sean Adams: Oh, jasně. To, co dělají Bitcoiners, pravděpodobně není to, co bys udělal ty. Obvinění Nicka Cartera spočívá v tom, že to, co dělá mnoho hlavních vývojářů Bitcoinu, je v podstatě strkání hlavy do písku a tvrzení, že Q-Day není skutečný nebo že nebude skutečný ještě 20 až 30 let.

Justin Drake: Jen aby bylo jasno, moje předpověď ohledně toho, že spálení zvítězí, je předpovědí toho, co si myslím, že je nejpravděpodobnější. Není to to, co bych udělal já — já bych se ve skutečnosti Bitcoinu nedotkl a ctil bych vlastnická práva. Nemám tuto krátkodobou časovou preferenci a myslím, že mnoho Bitcoinerů se mnou bude souhlasit. Ale bohužel, Michael Saylor má prostě tak silný vliv, že v určitém smyslu byl Bitcoin centralizován na sociální vrstvě, a s tím přichází velká moc a velká zodpovědnost.

Ryan Sean Adams: Vlastně s tebou souhlasím. To bych udělal taky. Nechal bych proběhnout honbu za pokladem, nechal bych proběhnout záchranu. Ničeho bych se nedotkl. To je ta klíčová věc, kterou Bitcoin dělá, a prostě bych nechal věcem volný průběh. Dovol mi ale položit ti stejnou otázku. Není to jen nějaká část nabídky Bitcoinu, která je postkvantově nezabezpečená — Ethereum má tento problém také, ale s jiným procentem nabídky. Můžeš zmapovat ten samý problém? Dostaneme se do scénáře po Q-Day. Někdo shromažďuje Satoshiho Bitcoin. Co se v tuto chvíli děje na Ethereu? Jaké procento nabídky by bylo náchylné? Řekněme, že Ethereum ještě nevyřešilo kvantový problém.

Justin Drake: Jednou z výhod, kterou Ethereum má, je, že neexistuje 5 % nabídky kontrolované jednou osobou, Satoshim, o kterých se předpokládá, že jsou ztraceny. Další výhodou je, že Ethereum není tak staré a mělo cenu od prvního dne. Takže byl důvod starat se o svůj ether od samého začátku, zatímco v raných dobách Bitcoinu to byly jen peníze z monopolů a lidé neměli příliš dobrou hygienu ohledně svých soukromých klíčů. Takže je mnohem pravděpodobnější, že 1,7 milionu BTC Nicka Cartera je ve skutečnosti opravdu ztraceno.

Když jsem byl u projektu Ultrasound, jednou z věcí, o které jsme se snažili, bylo vypočítat množství známých ztracených mincí, abychom je přidali na dashboard kromě spálení. Bylo to prostě tak zanedbatelné množství, že jsme se tím ani neobtěžovali.

David Hoffman: A co hack Parity? Není to velká část?

Justin Drake: Ano, velmi dobrý postřeh. To byla položka číslo jedna na seznamu. Ale shodou okolností jde o znefunkčněný chytrý kontrakt, který není zranitelný vůči kvantovým počítačům.

David Hoffman: Takže—

Ryan Sean Adams: Vlastně je to jen zaseknuté. Není to o tom, že by chyběly soukromé klíče. Je to doslova zaseknuté.

Justin Drake: Je to znefunkčněné. Ano. Přesně tak. A pak je tu několik případových studií lidí — pokud se opravdu ponoříte do diskusí na Redditu, najdete různé věci — ale v celkovém měřítku je to celkem méně než 0,1 %. To je známá ztracená nabídka. Ale realisticky se ukáže, že některé mince jsou ztraceny, až blíže k Q-Day. Kdybych si měl tipnout, bude to v nízkých jednotkách procent — možná 2, 3, 4, 5 %.

David Hoffman: Takže si myslíš, že maximálně 2–5 % nabídky Etherea je jak ztraceno, tak na kvantově prolomitelných adresách.

Justin Drake: Přesně tak. Ano. Kdybych měl udělat konkrétní předpověď, řekl bych asi 2 %, což je zhruba o řád méně než u Bitcoinu. A tento kvantitativní rozdíl má kvalitativní důsledky: v případě Etherea bych silně obhajoval nedělat nic a opravdu ctít vlastnická práva, protože na konci dne 2 % nejsou žádný velký problém. V případě Bitcoinu je 15 % obrovský problém.

Třívrstvý postkvantový upgrade Etherea (45:05)

David Hoffman: Takže Ethereum bude muset učinit stejnou volbu. Řekněme 3 % — zda je zmrazit a spálit, nebo to nechat jako honbu za pokladem. Vaší nadějí je, že půjdeme cestou honby za pokladem, což znamená, že nějaký kvantový útočník shrábne ta 1–3 % etheru. A když se na to podíváte s odstupem, v podstatě směřujeme k tomu, že ether bude mnohem lepšími penězi než BTC. Bude neintervenční, bude respektovat vlastnická práva, bude kvantově bezpečný a nebude mít problém s rozpočtem na bezpečnost, který bude trápit Bitcoin za pár halvingů. Takže si myslím, že je to pro toto aktivum velká příležitost.

Ryan Sean Adams: Dobře. Mluvili jsme o měkkém sociálním problému. Je tu také spousta technických výzev, kterým musíme čelit. Chci zmínit tento tweet od Hasu Kareshiho, přítele našeho pořadu. Citoval Vitalikův příspěvek o postkvantové roadmapě Etherea a řekl: „Ethereum má těžší roadmapu k dosažení postkvantové bezpečnosti než Bitcoin — ve skutečnosti je tam spousta závislostí, než se vůbec můžete pustit do EOA a soukromých klíčů kvůli velikostem postkvantových důkazů.“ Takže jeho názor je, že výzvy, které před Ethereem stojí, jsou mnohem těžší než u Bitcoinu. Co si o tom myslíte?

Justin Drake: Jsou tu dva problémy, které je třeba vyřešit: technický a sociální. Co se týče toho technického, Hasu má pravdu, že Ethereum musí vyřešit v podstatě tři problémy — na každé z různých vrstev. Je tu vrstva konsensu, kde máme BLS. Je tu datová vrstva, kde máme KZG. A exekuční vrstva, kde máme ECDSA. Každá z těchto částí kryptografie je zranitelná. To je nadmnožina Bitcoinu, který má pouze problém s ECDSA. Takže v jistém smyslu máme třikrát více věcí k upgradu.

Ale když se na to podíváte s odstupem, tvrdil bych, že ten větší problém — možná z 80 % — je sociální. Už jsme narazili na to, zda spálit, nebo ne. Ale je tu něco ještě zásadnějšího: přijímáme vůbec, že je to problém? Ve světě Bitcoinu existuje taková imunitní reakce, která v podstatě odmítá jakýkoli narativ, který by mohl být špatný pro cenu. Máte lidi jako Adam Back, kteří říkají, že kvantové počítače jsou vzdálené minimálně desítky let. Takže nultým krokem je nějaké přijetí toho, že tu vůbec nějaký problém je. A je možné, že Bitcoin přijde trochu pozdě, což by mělo mnohem větší následky než na technologické straně.

David Hoffman: Takže si myslíte, že Bitcoin bude mít obecně těžší problém, protože jeho sociální vrstva prostě tuto realitu neuznává a je méně ochotná se zapojit?

Justin Drake: Ano. Řeknu to takhle: Jsem ochoten se vsadit o velkou částku, že všechny tři vrstvy Etherea budou upgradovány dříve než ta jediná vrstva Bitcoinu.

David Hoffman: Jasně. Takže máme třikrát větší problém. Ale na straně Etherea je to nakonec jen inženýrský problém. A nejen to, je to inženýrský problém, kterému se Ethereum staví čelem. Zatímco inženýrský problém Bitcoinu je menší, je to sociální problém, problém koordinace, který je v zásadě těžší překonat.

Justin Drake: Ano. Přesně tak. A i po technické stránce je to problém, na kterém pracujeme už téměř deset let. Když se vrátíte do roku 2018, dali jsme grant 5 milionů dolarů společnosti StarkWare na studium postkvantových SNARKů založených na hashi a na položení základů s hashovacími funkcemi přátelskými k SNARKům. Odtud vzešla hashovací funkce Poseidon. Nedávno, v roce 2024, proběhlo oznámení Lean Consensus Chain, dříve známého jako Beam Chain. Loni jsme měli postkvantové workshopy v Cambridgi. Nyní máme specializovaný postkvantový tým s Tomem a Emilem. A máme tuto roadmapu, která

(50:00)

Vylepšení exekuční vrstvy: agregace podpisů (50:00)

skutečně podrobně popisuje některé z klíčových milníků k provedení těchto vylepšení.

Ryan Sean Adams: Můžeme si o každém z těchto problémů promluvit postupně? Vím, Justine, že dokážeš jít v kryptografii do extrémních detailů – budeme to chtít udržet na úrovni, které s Davidem porozumíme. Ale chápeme různé vrstvy technologického zásobníku Etherea. Možná můžeme začít s exekuční vrstvou, protože to je to hlavní, o čem jsme mluvili. ECDSA je schéma podpisu, které stojí za adresami Bitcoinu i Etherea – to je to, co by bylo v postkvantovém světě prolomeno. Jaká je cesta k vylepšení ECDSA? Je to dlouhodobě používaný kryptografický nástroj – máme něco, čím ho můžeme nahradit?

Justin Drake: Ano. Nejprve mi dovolte zdůraznit, že je to velmi velký úkol – zásadně měníme pilíře blockchainů, základní kryptografii, a vyměňujeme ji za něco nového se zcela odlišnými vlastnostmi. Pokud byste byli laici, vaše odpověď by mohla znít: „Je to jednoduché. Máme NIST, Národní institut standardů a technologie. Přišli se soutěží o postkvantový podpis a vybrali několik z nich – konkrétně Falcon, Dilithium a SPHINCS+. Stačí si jen vybrat jednu nebo několik z těchto možností.“

Problém je v tom, že NIST nenavrhoval pro případ použití v blockchainu. Navrhovali pro jednotlivé podpisy u jednotlivých zpráv používaných na internetu. V kontextu blockchainů máte dávky transakcí – u Bitcoinu tisíce transakcí na blok. A máme tu problém s velikostí, protože postkvantové podpisy jsou nejméně 10krát, ne-li 100krát větší. Podle mého názoru je naprosto nereálné uvažovat o tom, že by se tyto jednotlivé podpisy naivně balily a řetězily do bloků.

Jediné řešení, které vidím, se nazývá agregace podpisů, kdy vezmete více podpisů a smáčknete je do jednoho vícenásobného podpisu. Ověření tohoto hlavního vícenásobného podpisu je stejné jako ověření všech jednotlivých složek. Když se podíváte na prostor návrhu pro agregovatelné postkvantové podpisy, není mnoho možností. Podle mého názoru existuje v podstatě jen jedna schůdná možnost: využít SNARKy, konkrétně postkvantové SNARKy. Existuje v podstatě jedna hlavní rodina – SNARKy založené na hashi.

Základní myšlenkou je, že vezmete jednotlivé postkvantové podpisy a prokážete znalost všech z nich, abyste nakonec získali finální důkaz SNARK. Pokud se chystáte použít SNARKy založené na hashi, můžete rovnou použít i listové podpisy založené na hashi – neagregované surové podpisy. Důvodem je, že vám to přináší výhody v podobě jednoduchosti a bezpečnosti. Jsou to ty nejminimálnější bezpečnostní předpoklady, jaké můžete mít – prostě jen předpokládáte, že vaše hashovací funkce je bezpečná. Ve světě blockchainů jsou hashovací funkce naprostým základem. Máme je všude – pro vytváření bloků, Merkleho stromů, stavových stromů a blockchainů, kde se řetězení provádí pomocí hashů.

Nadace Ethereum vynaložila velké úsilí, aby začala s podpisy založenými na hashi a udělala je co nejpřívětivější pro SNARK, aby náklady na agregaci byly co nejnižší. S potěšením mohu oznámit, že výkon tohoto přístupu je ve skutečnosti dostatečně dobrý pro všechny blockchainy. Ať už je propustnost vašeho řetězce jakákoli, můžete mít agregátor na běžném hardwaru – například na procesoru notebooku – který agreguje všechny tyto transakce a vytváří konečný důkaz, který je připojen k bloku.

A jednou z ironických věcí na tomto přístupu je, že ve skutečnosti představuje zvýšení škálovatelnosti ve srovnání s tím, co máme dnes. Důvodem je, že nemáte fixní náklady 64 bajtů na transakci. Transakce mají nula bajtů dat podpisu a pak tu máte tento jeden hlavní podpis, který se amortizuje napříč všemi transakcemi v bloku.

Nastavení průmyslového standardu díky spolupráci s Bitcoinem (55:28)

David Hoffman: Dobře. Takže tohle je upgrade pro mnoho dalších blockchainů s chytrými kontrakty, které navazují na Ethereum, obzvláště pro ty, které optimalizují na rychlost—

Justin Drake: Nejen chytré kontrakty — i Bitcoin. ECDSA.

David Hoffman: Jo. Přesně. Takže když jsme šli do této epizody, myslel jsem si, že řetězce jako Solana budou zatíženy objemnějšími podpisy, stejně jako se TPS Bitcoinu zpomaluje na 0,3 transakce za sekundu. Solana by se podobně zpomalila, protože transakce by v postkvantovém světě byly objemnější. Ale ty říkáš, že s touto technologií to nebude pravda — ve skutečnosti to umožní řetězcům celkově zrychlit.

Justin Drake: Jo, přesně tak. Stejně jako Satoshi s ECDSA nastavil de facto standard pro celý průmysl — v podstatě jsme zkopírovali i křivku secp256k1, což je velmi neobvyklé. Nikdo neví, proč si vybral zrovna tuto křivku, ale stala se de facto standardem. Myslím, že Ethereum má příležitost být průkopníkem a nastavit de facto standard.

Naše strategie spočívá ve spolupráci s bitcoinery. Ve světě Bitcoinu je pár jednotlivců — Mikhail Komarov a Nick Jonas. Oba jsou součástí Blockstreamu a oba jsou experti na podpisy založené na hashi. Spolupracujeme s nimi, abychom se ujistili, že cokoli vyvineme ve světě Etherea, bude aplikovatelné i na Bitcoin. A pokud Bitcoin a Ethereum budou používat tento standard, pak ho pravděpodobně bude používat i celý průmysl.

Ryan Sean Adams: To je fantastické. Takže máme způsob, jak vyřešit postkvantový upgrade exekuční vrstvy bez dopadu na výkon. Dovol mi ale položit další otázku — co bezpečnost? Tohle je novější kryptografie oproti ECDSA, která tu je odjakživa a má za sebou Lindy efekt. Měli bychom se obávat, že existuje nějaká skrytá chyba nebo zero-day zranitelnost, která by mohla úplně zničit to, co jsme vybudovali?

Justin Drake: K tomu mám pár myšlenek. Bezpečnost bereme extrémně vážně a celkově očekávám, že řešení, které nasadíme, bude o několik řádů bezpečnější než to, co máme dnes s ECDSA. Dovolte mi to vysvětlit. ECDSA je založena na eliptických křivkách — složitých strukturovaných matematických objektech. Je možné, že nějaký chytrý matematik přijde s algoritmem, který prolomí diskrétní logaritmus pomocí nějakého rafinovaného matematického triku, o kterém lidstvo nevědělo. To se už v minulosti stalo — máme stále lepší a lepší algoritmy pro faktorizaci a pro diskrétní logaritmus. A jednou z možností s nástupem umělé inteligence je, že budeme mít matematiky stokrát chytřejší než lidské matematiky, kteří objeví skrytou strukturu v eliptických křivkách a dokážou prolomit naši kryptografii. Takže kryptografie, kterou budujeme, není jen postkvantová, je také post-AI.

Vrátím se k té druhé věci, kterou jsem říkal — spoléhá se to pouze na hashovací funkce. Jakékoli schéma podpisu se spoléhá na dvě věci: hashovací funkci a volitelný dodatečný předpoklad složitosti, kterým může být diskrétní logaritmus, nebo v případě podpisů založených na mřížkách, strukturované mřížky. Ale v případě podpisů založených na hashi tento dodatečný předpoklad složitosti neexistuje — jsou to jen hashovací funkce. Pokud je vaše hashovací funkce bezpečná, jste v pohodě. Takže v tomto smyslu očekávám, že to bude zlepšení oproti současnému stavu.

Nyní jsou tu dvě upozornění, která chci zdůraznit. Upozornění číslo jedna je, že máme co do činění se složitějšími objekty a řešení, které tu máme, je to, čemu říkáme hluboká end-to-end formální verifikace.

Formální verifikace, Poseidon a vrstva konsensu (1:00:33)

Máme náš kryptografický objekt a chceme matematicky dokázat, že je bezpečný — že je nemožné zfalšovat podpis. A nechceme to udělat jen pro matematiku, ale také pro kód. Kdybyste se mě zeptali před 2–3 lety, jestli je to proveditelné, řekl bych ano, ale bylo to extrémně pracné a drahé. S nástupem umělé inteligence vidíme, že tuto pracnou a drahou práci lze provést stokrát rychleji a stokrát levněji.

Začínáme vídat špičkovou matematiku světové úrovně — například nedávný výsledek, který získal Fieldsovu medaili, obdobu Nobelovy ceny za matematiku. Tento výsledek byl formálně verifikován umělou inteligencí za pět dní. Vyprodukovali půl milionu řádků kódu — strojově ověřitelný důkaz, že se skutečně jedná o platný teorém — a během toho našli nejrůznější překlepy v dokumentu napsaném člověkem. To je přesně ten druh důkladné kontroly, kterou chceme, abychom se vyhnuli chybám.

Nyní je tu další věc, kterou chci zdůraznit: samotná hashovací funkce. Historicky byly blockchainy postaveny buď na SHA-256 v případě Bitcoinu, nebo na Keccaku v případě Etherea. Náš návrh pro postkvantové Ethereum je zavést další hashovací funkci zvanou Poseidon, což je jiný typ hashovací funkce, protože je přívětivá pro SNARK. V době, kdy spustíme Poseidon, by měl být docela bezpečný — bude analyzován celých 10 let, bude zabezpečovat mnoho miliard dolarů prostřednictvím vrstev 2 (l2) a projde kryptoanalýzou od všech předních odborníků v oboru. Také jsme právě oznámili odměnu 1 milion dolarů za pokus o prolomení Poseidonu. Ale je skutečně možné, že by Poseidon mohl být prolomen.

Bohužel, způsob, jakým se navrhují hashovací funkce, neumožňuje dokázat, že jsou bezpečné. To nejlepší, co můžete udělat, je spoléhat na absenci útoku — v podstatě existuje určitá doba zrání. A řádově mám na mysli osm let. Proč osm let? Protože když Satoshi vybral SHA-256, bylo jí osm let. Když Vitalik vybral Keccak, bylo mu shodou okolností také osm let. Takže bych chtěl, aby Poseidonu bylo alespoň osm let, což bude, až ho nasadíme na Ethereu.

Ryan Sean Adams: Dobře. Takže to je exekuční vrstva. Mohl byste v krátkosti promluvit o datové vrstvě? KZG je potřeba upgradovat na něco postkvantového, a také vrstvu konsensu, kde máme podpisy BLS. Je to z hlediska úsilí podobné jako nahrazení ECDSA?

Justin Drake: Dovolte mi začít vrstvou konsensu, protože to je jednodušší odpověď. V prvním přiblížení je to v podstatě copy-paste. Máme podobný koncept, kde aktéři vytvářejí podpisy, těch podpisů je spousta, zabírají místo a my je chceme komprimovat. Problém na vrstvě konsensu je, že máme mnohem více podpisů než na exekuční vrstvě. Lidé si to neuvědomují, ale máme milion validátorů — to je milion podpisů za epochu, 32 000 podpisů za slot, tisíce podpisů za sekundu. Je to více než má Solana, pokud jde o transakce s hlasy.

Abychom odemkli určitou optimalizaci výkonu, která je dostupná pouze na vrstvě konsensu, máme tento koncept stavového podpisu — zprávy, které podepisujete, mají počítadlo, které se pokaždé zvyšuje. Nepřipomíná vám to něco? Číslo slotu. V Ethereu na vrstvě konsensu vždy podepíšete pouze jednu zprávu za slot. Pokud podepíšete dvě, budete penalizováni. Toto omezení využíváme k tomu, abychom měli podpisy, jejichž agregace je desetkrát efektivnější.

Lean VM, plán Lean Consensus a časová osa pro rok 2029 (1:05:17)

To je ten hlavní rozdíl — bezstavové hashovací funkce na exekuční vrstvě oproti stavovým podpisům na vrstvě konsensu, kde se číslo slotu zvyšuje. Tato agregační technologie má své jméno: Lean VM, minimální zkVM pro kryptografii založenou na hashi. V podstatě by Lean VM dokazoval, že toto je správný Merkleho kořen. Hlavní věc, kterou si zatím nejsme úplně jistí, je, zda tento přístup dokáže odemknout to, co nazývám „hranicí tera gasu“ — 1 gigagas za sekundu na vrstvě 1 (l1), 10 000 TPS, ale ještě ambiciózněji 1 teragas, 10 milionů transakcí za sekundu na vrstvě 2 (l2) s využitím dostupnosti dat.

Bavíme se o dostupnosti dat 1 gigabajt za sekundu a otázkou je, zda může být zkVM dostatečně výkonný na to, aby zpracoval 1 GB dat za sekundu. To se teprve uvidí na základě budoucích optimalizací.

David Hoffman: Co ale víme jistě, je, že Ethereum bude mít dostupnost dat (DA) na to, aby mělo 1 gigabajt za sekundu pro l1 plus hrstku l2.

Ryan Sean Adams: Takže si myslím, že posluchači si v tuto chvíli možná říkají: „Dobře, zní to, že Ethereum má plán na postkvantový upgrade. Uznávají, že kvantové počítače budou existovat a že přijde den Q.“ Nyní je zajímá časová osa a náročnost. Vzal jsem Vitalikův tweet o postkvantové roadmapě, hodil ho do Clauda a zeptal se: „Jaká je tady úroveň náročnosti?“ Claude odpověděl: „Představte si to jako devět z deseti.“ Toto je jeden z nejvýznamnějších upgradů, které kdy Ethereum provede. Přirovnali jsme to k Merge, kde jsme měli letadlo v letu a vyměnili motor důkazu prací (PoW) za důkaz podílem (PoS). Nyní měníme velkou část základní kryptografie. Můžete nám to nějak přiblížit? Budeme připraveni do roku 2032? Jak je to těžké? Zdá se to být skličující?

Justin Drake: Ano. Odpověď má dvě části. Zaprvé, je to vlastně ještě ambicióznější, než jak jste to podal. Změna kryptografie je tak invazivní, že jde v podstatě minimálně o přepsání vrstvy konsensu. A když už budeme přepisovat vrstvu konsensu, můžeme ji rovnou přepsat pořádně — přidat všechny vychytávky a uklidit veškerý technický dluh. To je projekt Lean Consensus, kde spojujeme několik přepisů, včetně finality v jednom slotu (single-slot finality), s postkvantovým upgradem.

Takže ano, je to velmi ambiciózní. Začínáme s čistým štítem a budujeme něco úžasně krásného, jednoduchého, efektivního a prokazatelně bezpečného. Dobrou zprávou je, že začít od nuly je v mnoha ohledech jednodušší, protože nemáte všechen ten technický dluh. Můžeme přepsat specifikaci tak, aby byla co nejminimálnější a nejjednodušší. Odtud pochází termín „lean“ (štíhlý) — maximální jednoduchost, kde celá funkce přechodu stavu je v podstatě tisíc řádků kódu v Pythonu, které si může přečíst i chytrý středoškolák.

Právě teď máme devnety pro Lean Consensus. A specifikace jsou tak snadno stravitelné, že jsme viděli asi 10 týmů, které je implementovaly, připojily se k devnetu, a to aniž by vůbec kontaktovaly Nadaci Ethereum. Bariéra vstupu je relativně nízká. Jsme ve světě, kde vývoj umělé inteligence znamená, že můžete do značné míry nakódovat svého klienta jen tak „podle pocitu“ (vibe-code). To je velký důvod, proč máme tolik klientů — často jde o týmy o jednom člověku, nebo dvou či třech lidech.

Myslím, že to bude mít zajímavé důsledky pro udržitelnost i správu. Co se týče správy, způsob, jakým to děláme dnes, je zhruba řečeno

Správa Etherea a datum dokončení v roce 2029 (1:10:41)

že máme pět klientů vrstvy konsensu a všichni musí implementovat upgrade, abychom se mohli posunout vpřed. V budoucnu, až budeme mít 10 nebo 15 klientů, můžeme jednoduše vyžadovat horních 80 % nebo nejrychlejších 80 %, abychom se posunuli dál. Je to spíše darwinovská soutěž, která nám umožňuje postupovat mnohem rychleji, aniž bychom čekali na nejpomalejšího klienta.

David Hoffman: Takže budeme připraveni do roku 2032? V jakém okamžiku budeme připraveni?

Justin Drake: Celá roadmapa má vše rozvrženo až do roku 2029,

David Hoffman: Což je v podstatě úplně stejná roadmapa, jakou jsi představil na své přednášce na DevConu, kde jsi uvedl Beam Chain. A tehdy to lidé nenáviděli.

Justin Drake: Ano, byl to můj nejnenáviděnější slide, protože se táhl přes čtyři a půl roku. Historicky jsem byl s časovými plány na štíru – až příliš optimistický. Ale jak stárnu a šedivím, v odhadech času se lepším. Myslím, že to byl realistický, konzervativní časový plán, který lidi naštval. Ale tak to prostě je.

David Hoffman: Jen pro kontext, lidé se naštvali částečně proto, že to bylo v době vrcholícího momenta Solany v kontrastu s vnímaným nedostatkem technického pokroku v roadmapě Etherea. Nebylo to jen o čtyřletém časovém plánu – šlo také o kontext daného okamžiku.

Justin Drake: Přesně tak. Takže teď jsme zhruba tři roky daleko. Jsem si poměrně jistý, že milník v roce 2029 dokážeme splnit, a myslím, že díky umělé inteligenci je tu dokonce příležitost postupovat rychleji.

David Hoffman: Takže do roku 2029 by to všechno mělo být implementováno, pokud to půjde podle roadmapy – všechno, o čem jsme právě mluvili.

Justin Drake: Slibuješ? Všechno.

Ryan Sean Adams: Nemám někde vzadu v hlavě hlas nějakého starého softwarového vývojáře, který mi říká, že přepisy kódu nikdy nefungují? Proč to tady neplatí?

Justin Drake: Jednou z dobrých zpráv je, že jsme už tento typ rozsáhlého přepisu udělali, jak jsi naznačil, s Merge. Zcela jsme změnili základy konsensu Etherea z důkazu prací (PoW) na důkaz podílem (PoS). To je existenční důkaz, že to jde. Ethereu nejsou ambiciózní projekty cizí – měli jsme i další velmi ambiciózní věci jako danksharding a vzorkování dostupnosti dat v podobném měřítku.

Další dobrou zprávou je, že nemáme na výběr. Musíme změnit kryptografii. Je to velmi silný donucovací mechanismus a už jen to samo o sobě znamená 80% přepis.

Díky tomu je koordinace a dosažení konsensu mnohem jednodušší.

Kvantová hrozba není jen problémem pro krypto (1:15:06)

David Hoffman: Myslím, že bychom měli zdůraznit, že to není jen Ethereum, kdo nemá na výběr — nikdo v kryptu k tomu nemá alternativu. Všichni v kryptu musí provést přepis. U Bitcoinu je to jen ECDSA, ale to samo o sobě stačí.

Justin Drake: Ano. Je možné, že Ethereum bude muset provést větší přepis než ostatní řetězce, a to souvisí s počtem validátorů. Pokud máte pouze 100 validátorů, můžete absorbovat náklady na 10x větší podpisy na vrstvě konsensu. U většiny řetězců s důkazem podílem (PoS) nepotřebujete takovou sofistikovanost, jakou máme my. Ale u Etherea doufáme, že budeme mít desítky tisíc validátorů hlasujících v každém jednotlivém slotu — tisíce podpisů za sekundu — a musíme být velmi kreativní.

V čem bych s tebou souhlasil, je to, že musí dojít k velmi velké změně pro všechny blockchainy na exekuční vrstvě. Ale dobrou zprávou pro ostatní řetězce je, že Ethereum dělá všechny domácí úkoly. Budujeme Lean VM, chystáme se to celé formálně verifikovat a oni to mohou prostě zkopírovat a vložit. Z velké části je to snadná práce na integraci.

Ryan Sean Adams: Nick Carter tweetoval: „Jedním z nejhloupějších omylů je, když si lidé myslí, že jejich mince vyhraje, pokud Bitcoin zemře — jako lidé ze Zcash, kteří bojují s Bitcoinem kvůli kvantovým počítačům. Je to přesně naopak. Pokud Bitcoin zemře, už nikdo nikdy nebude věřit internetovým penězům. Všechny mince se vezou na úspěchu Bitcoinu.“ Jaká je tvá reakce na tento názor?

Justin Drake: Nesouhlasím s Nickem Carterem. Nick byl vždycky naštvaný, když jsem tweetoval o rozpočtu na bezpečnost. Myslí si, že je pro celý průmysl destruktivní o tom mluvit, i když fundamenty odpovídají tomu, co říkám. Ironií je, že s kvantovou hrozbou dělá to samé, co já dělám s rozpočtem na bezpečnost — snaží se vynutit si diskuzi a vynutit si změnu.

Ryan Sean Adams: A co ten širší pohled? Řekněme, že se dostaneme do roku 2032, Ethereum je kvantově bezpečné, Bitcoin není, Bitcoin je napaden některým ze způsobů, které jsme popsali — probíhá tu honba za pokladem a nejistota na trhu. Nick říká, ať tomu nefandíme, protože to bude špatné pro každý řetězec v kryptu. Říká, že jak dopadne Bitcoin, tak dopadnou všichni. Pokud chcete meme internetových peněz jako uchovatele hodnoty, Bitcoin musí stát v čele. Neexistuje žádný scénář „překlopení“, kde by Ethereum mohlo říct: „Náš řetězec je postkvantově bezpečný a nemáme problémy jako Bitcoin.“ Říká, že to stáhne dolů celý krypto prostor, alespoň z pohledu internetových peněz jako uchovatele hodnoty.

Justin Drake: Nesouhlasím. Stačí se podívat na historickou analýzu — mořské mušle byly nahrazeny solí, pak stříbrem, pak zlatem a nyní potenciálně Bitcoin nahrazuje zlato. Jen proto, že selže zlato, neznamená to, že musí selhat i to další. Řekl bych, že Ethereum je naprosto přirozeným nástupcem Bitcoinu jako internetových peněz. A jen proto, že selže Bitcoin, neznamená to, že musí selhat i Ethereum. Souhlasím, že to může přinést určitou krátkodobou bolest, ale bavíme se tu také o dlouhodobém zisku.

Postkvantová příležitost a zúčtování bezpečnostního rozpočtu (1:20:27)

David Hoffman: Takže co z toho nakonec budeme mít? V roce 2030 bude Ethereum postkvantově bezpečné, protože to Justin slíbil. Čím se Ethereum stane? Bude jediné svého druhu, nebo očekáváte, že ho budou následovat i další blockchainy a také dosáhnou postkvantové bezpečnosti? Můžete popsat systém, který budeme mít v roce 2030, pokud se to všechno stane?

Justin Drake: Jedním ze zajímavých posunů v mém myšlení za posledních několik měsíců je to, že jsem přestal vnímat postkvantovou éru jako překážku, kterou je třeba překonat. Beru to spíše jako příležitost. Je to příležitost pro Ethereum vyniknout jako vůbec první globální finanční systém, který je postkvantově bezpečný – a to nejen ve srovnání s konkurenty, jako je Bitcoin, ale také ve srovnání s fiat měnami a tradičními financemi (TradFi). Myslím, že by to vyslalo velmi silný signál a byl by to velmi přirozený bezpečnostní argument pro to, aby svět přešel na Ethereum.

Není to jen příležitost pro Ethereum odlišit se od svých vrstevníků, ale je to také příležitost pro Ethereum stát se tou nejlepší verzí sebe sama. To se vrací k myšlence, že přechod na postkvantovou technologii je v podstatě přepsáním kódu, což představuje obrovskou příležitost začít s čistým štítem a smazat technický dluh.

Jeden zajímavý údaj: původní OG Beacon chain byl spuštěn v roce 2020 a jeho design byl zmrazen o rok dříve, v roce 2019. Takže když v roce 2029 nasadíme Lean Beacon chain, budeme aktualizovat něco, co je 10 let staré. V krypto světě je 10 let věčnost. Naučili jsme se toho tolik, že Lean Beacon chain se bude od původního OG Beacon chainu velmi lišit. Můžete si ho představit jako důkaz podílem (PoS) 2.0.

Ryan Sean Adams: Nacházíme se ve velmi zajímavé době, co se týče výpočetní techniky. Zdá se, že na samotné hranici pokroku existují tři výpočetní platformy a paradigmata: umělá inteligence (AI), o které všichni vědí; kvantové počítače, které jsou možná tam, kde byla AI v roce 2018; a krypto a kryptografie, jejichž příkladem jsou blockchainy jako Ethereum a Bitcoin. Skoro to vypadá, jako bychom vstupovali do singularity těchto tří věcí, kde AI urychluje kvantové technologie a kryptografii, a kryptografie bude protiváhou některých centralizačních vektorů AI. Co si o tom všem myslíte?

Justin Drake: Je velmi těžké to předvídat, ale jak jste řekl, je tu velmi zvláštní shoda okolností, kdy se zdá, že rok 2032 bude rokem, kdy výpočetní technika obecně dosáhne singularity. Lidé mluví o singularitě AI potenciálně i před rokem 2032. Existuje velmi známý článek AI 2027. Nemyslím si, že budeme mít superinteligenci v roce 2027, ale myslím, že do roku 2032 je to pravděpodobné.

Už to začínáme vidět – zrovna včera Dario Amodei, jeden z veteránů (OGs) AI, začal s tím, že se AI autonomně rekurzivně vylepšuje, což je extrémně děsivé. To je v podstatě to, co by mělo odstartovat exponenciální růst směrem k superinteligenci.

Krize rozpočtu na zabezpečení Bitcoinu a zúčtování v roce 2032 (1:25:12)

Rok 2032 máme jako potenciální Q-Day a také jako rok, kdy Bitcoin projde tím, co považuji za jeho poslední halving. Mohli byste to nazvat B-Day – den Bitcoinu, kdy dojde k nějakému zúčtování, protože emise bude příliš nízká na to, aby ho zabezpečila.

Za dva roky nás čeká jeden halving a za šest let, v roce 2032, další. Příběh o zabezpečení Bitcoinu za posledních 15–16 let spočíval v tom, že transakční poplatky nahradí emisi. Podívejte se na data – prostě se to neděje. Transakční poplatky dnes tvoří 0,6 % emise. Takže na transakční poplatky zapomeňte.

Čeká nás exponenciální pokles zabezpečení Bitcoinu. Dnes je Bitcoin zabezpečen zhruba 10 gigawatty. A tady je ohromující statistika: Čína každý den zprovozní jeden gigawatt, většinou ze solární energie. Takže 10 dní budování nových kapacit v Číně stačí na 51% útok na Bitcoin.

David Hoffman: Pokud jde o náklady na energii – tu věc, která chrání Bitcoin – Čína vyprodukuje tolik energie, kolik je potřeba k zabezpečení Bitcoinu, každých 10 dní.

Justin Drake: Pokud jde o odběr energie, Bitcoin odebírá 10 gigawattů. Gigawatt je zhruba jedna jaderná elektrárna, takže 10 jaderných elektráren. Čína každý den zprovozní ekvivalent jedné jaderné elektrárny. A to je jedno z hlavních úzkých hrdel. Druhým úzkým hrdlem je hardware – milion těžebních zařízení. Provedení by stálo asi 10 miliard dolarů, což je v celkovém měřítku naprostý pakatel, a to jak v poměru k tržní kapitalizaci Bitcoinu, tak pro útočníka na úrovni národního státu.

David Hoffman: Když o Bitcoinu mluvíš takhle, skoro si říkám, že už si nemyslíš, že by Bitcoin měl být předvojem krypta. Vyznívá to tak, že Bitcoin má nedostatky z hlediska rozpočtu na zabezpečení a kvantové hrozby, a Ethereum po něm převezme vedení krypta.

Justin Drake: Ohledně kvantových hrozeb zůstávám optimistou – nakonec je to technická výzva, kterou lze překonat. Větším problémem je rozpočet na zabezpečení, protože ten zasahuje samotnou DNA Bitcoinu: limit 21 milionů a důkaz prací (PoW). Nechápu, jak můžete kombinovat důkaz prací (PoW) a limit 21 milionů. Jednoho se musíte vzdát.

Existuje možnost, že by se aktivum BTC mohlo oddělit od řetězce Bitcoin a žít na bezpečnějším řetězci – například jako ERC-20 token na Ethereu. Ale když řeknu tato slova – takhle bitcoineři nepřemýšlejí.

David Hoffman: Ne, to nepřemýšlejí.

Justin Drake: A kdybych řekl něco jiného, například: „Prostě zrušíme limit 21 milionů, protože rozpočet na zabezpečení není dostatečný“ – takhle bitcoineři také nepřemýšlejí. Řítí se velmi rychle proti zdi a rok 2032 je dnem zúčtování.

Sklízej nyní, dešifruj později — kvantová rizika mimo krypto (1:30:09)

Ryan Sean Adams: A co kvantové technologie ve vztahu ke zbytku společnosti? Není to jen problém pro krypto. Blockchainy jsou obzvláště náchylné, ale náchylné jsou i další složky společnosti. Do jaké míry představuje postkvantové Ethereum nástroj pro společnost k řešení a předcházení problémům v postkvantovém a post-AI světě?

Justin Drake: Existují v zásadě dva druhy kryptografie. Existuje kryptografie v reálném čase, kde podepisujete zprávy v reálném čase bez podstatného dopadu na minulé akce. Přechod na postkvantové zabezpečení by měl být pro většinu internetu poměrně přímočarý. Existují určité výjimky – například satelity, které již byly nasazeny a doslova je nelze aktualizovat.

Pak je tu další problém se šifrováním: pokud byl materiál zašifrován dnes a nepoužíváte postkvantově bezpečné šifrování, mohou být tato data v budoucnu dešifrována. Existuje celá třída útoků zvaná „sklízej nyní, dešifruj později“. Myslím, že je reálné, že ve společnosti dojde k hromadnému dešifrování – spousta zpráv ze Signalu, Telegramu nebo hromady zpráv z Gmailu budou dešifrovány současně. To by mohlo mít na společnost velmi významný dopad.

Ethereum jako defenzivní akceleracionismus a existenční riziko AI (1:30:09)

Ryan Sean Adams: Justine, když jsme mluvili o těchto třech výpočetních technologiích, zdá se, že ta, která vyčnívá, je AI. Mluvil jsi o tom, že rok 2032 bude jakýmsi momentem nástupu AGI. Jedna obecná otázka: jako extrémně talentovaný kryptograf nejsi AGI. Obava spočívá v tom, že jakmile vstoupíme do výpočetní singularity, nelze se už na nic spolehnout. Všechny ty pečlivě připravené plány, které děláme pro rok 2026, aby naše blockchainy byly odolné vůči kvantovým počítačům — co když AGI přijde na to, jak prolomit naši kvantově odolnou kryptografii nějakým jiným způsobem? Jako kryptograf, obáváš se těch naprosto nepředvídatelných hrozeb umělé obecné inteligence a toho, co by mohla prolomit? Co když jsme připraveni na postkvantový svět, ale nejsme připraveni na post-AGI svět?

Justin Drake: Co se týče kryptografie, jsem si její spolehlivostí docela jistý. Důvodem je, že můžete matematicky dokázat, že vaše kryptografie je správná. Kryptografie je podobor matematiky. Tyto složité problémy se obecně kalibrují tak, že pokud by je někdo chtěl výpočetně prolomit, spotřebovalo by to více energie, než kolik jí je ve sluneční soustavě.

Když se vrátíme ke kryptografickým základům, které navrhujeme pro postkvantové Ethereum — hashe — nic silnějšího už neexistuje. To je ta nejslabší kryptografie, v jakou byste mohli doufat. To je jeden z důvodů, proč jsem opatrný ohledně stavění základů internetu hodnot na mřížkách (lattices). NIST má dva hlavní druhy postkvantových podpisů: založené na hashi a založené na mřížkách. Věci založené na mřížkách velmi připomínají eliptické křivky — vysoce strukturované objekty. Je docela možné, že nějaká AGI nebo dokonce ASI, umělá superinteligence, tisíckrát chytřejší než celé lidstvo dohromady, by to mohla prolomit. Ale u hashovacích funkcí — existují důvody věřit, že jsou silné.

I když se o kryptografii příliš nebojím, obávám se něčeho mnohem hlubšího. Když se na to podíváte s odstupem, čím dál víc se obávám existenčního rizika pro lidstvo. Stále více lidí začíná chápat, co se Eliezer nedávno snažil říct v podcastu Bankless.

Myslím, že je docela možné, že pokud lidstvo přežije, Ethereum v tom sehraje klíčovou roli. Moje metafora je taková, že lidstvo řídí auto rychlostí 100 mil za hodinu. Je tu tahle Molochova past, kde velké národní státy, TSMC, Nvidia, OpenAI — ti všichni šlapou na plyn. A to auto nemá žádné brzdy, žádný bezpečnostní pás, žádný airbag. Dnes dokážeme poměrně pohodlně řídit při rychlosti 100 mil za hodinu. Příští rok to bude 200, pak 300. Nakonec pojedeme nezodpovědně rychle a vybouráme se.

Práce na Ethereu pro mě v posledních několika měsících získala zcela nový význam. Většinou jsem AI ignoroval, částečně proto, že jsem byl posedlý věcmi kolem blockchainu, ale také proto, že to ještě nedávno byla jen hračka. Ale díky mé práci, zejména s formální verifikací a vývojem

Smysl práce na Ethereu ve věku umělé inteligence (1:35:08)

a programování, vidím, jak mocné to je. V posledních několika týdnech a měsících jsem byl posedlý umělou inteligencí a učil se, co to šlo. V žádném případě nejsem odborník a možná je to jen fáze, kterou lidé procházejí, když otevřou Pandořinu skříňku. Ale pro mě je teď práce na Ethereu především o defenzivním akceleracionismu.

Nevidím, že by jiné části společnosti pracovaly na brzdovém systému – všichni jen šlapou na plyn. Dobrou zprávou je, že Ethereum má spoustu myšlenek a nástrojů, které by mohly poskytnout některá řešení. Od prvního dne předpokládáme nepřátelské prostředí. Od prvního dne využíváme technologie, jako je kryptografie, které posilují slabé a zajišťují, že ani libovolně silný jedinec nemůže určité věci prolomit. Snažíme se být zdrojem pravdy, být decentralizovaní, dát lidem suverenitu.

Myslím, že je možné, že v nadcházejících měsících a letech zažijeme jakési probuzení, kdy si společnost řekne: „A sakra.“ A možná se stane morálním imperativem začít pracovat na defenzivním akceleracionismu. Možná k Ethereu přirozeně přijdou některé z nejchytřejších mozků jako k potenciálnímu řešení – součásti sady řešení, které potřebujeme k tomu, abychom se s tím vypořádali.

Ryan Sean Adams: Líbí se mi, že o tom přemýšlíš, a zní to, že ti tvá práce na Ethereu dává smysl. Mám další otázku. Jsem samozřejmě obrovský fanoušek Etherea, ale jedna obava, kterou mám, pokud se naplní osud s umělou inteligencí, je ta, že na jedné úrovni ano, je to defenzivní akceleracionistická technologie – decentralizovaná, nevyžadující povolení, přesouvající moc k malým spíše než k velkým. Ale na jiné úrovni je to digitální. Vytvořili jsme systém vlastnických práv a zdá se možné, že by nějaká AGI nebo ASI mohla využít náš neměnný, nevypnutelný světový počítač k věcem, které lidstvo nechce. Obáváš se na nějaké úrovni, že prostě využije Ethereum – „Hej lidstvo, díky za systém vlastnických práv, odteď to přebíráme my“ – a ty jsi vlastně urychlil technologii, která jde proti lidstvu?

Justin Drake: Myslím, že to je velmi dobrý postřeh. Nakonec je Ethereum nástroj, který mohou používat jak lidé, tak umělé inteligence. Možná je to jen útěcha, ale když odstraníte Ethereum, nezdá se, že by v prostoru defenzivního akceleracionismu bylo mnoho jiných alternativních produktů. Všechno je to v podstatě jen akceleracionistické. Takže ano, možná Ethereum některé věci urychlí, ale je to jedna z mála nadějí, které pro defenzivní akceleraci máme. Proto si myslím, že je stále racionální dodat roadmapu do roku 2029 a udělat vše pro to, abychom zajistili, že Ethereum bude připraveno na věk umělé superinteligence.

Ryan Sean Adams: Jen jedna poslední otázka, když se blížíme ke konci. Bylo to naprosto fantastické. Možná je to osobní otázka, vzhledem k tomu, že jsi v posledních měsících zažil probuzení ohledně umělé inteligence. Všiml jsem si, že teď používáš podmínku „pokud lidstvo přežije“ – „Ethereum hraje klíčovou roli, pokud lidstvo přežije.“ Ta slova se mi říkají těžko. Skutečná možnost, že technologický akceleracionismus znamená, že lidstvo nepřežije. Jak se s tím osobně vyrovnáváš?

Justin Drake: Jsem s tím relativně smířený. Dospěl jsem do bodu, kdy jsem připravený zemřít. Prožil jsem velmi šťastný život.

Závěrečné myšlenky o pravděpodobnosti zkázy (1:40:04)

Ryan Sean Adams: Cože?

David Hoffman: To nás šokovalo.

Ryan Sean Adams: To nebyla odpověď, kterou jsem čekal.

Justin Drake: Myslím, že si prostě musíte zachovat naději. Musíte dát stranou takzvané P(doom) — pravděpodobnost zkázy. Moje P(doom) je teď poměrně vysoké. Myslím, že je to víc než 50 %. Ale nechci to říkat nahlas. Nechci—

Ryan Sean Adams: Nechceš žít v tom pesimismu.

Justin Drake: Přesně tak. Nechci se nechat odradit a ztrpčovat si život. A co je možná ještě důležitější, nechci odrazovat ostatní lidi a brát jim naději. Myslím, že bychom měli dělat to nejlepší s tím, co máme. Budoucnost je vysoce nepředvídatelná. I když moje P(doom) v posledních týdnech a měsících prudce vzrostlo, je to pevný názor, který jsem ochoten změnit. Chci, aby přišli velmi chytří lidé a řekli mi, proč bych se neměl tak bát a měl bych být optimističtější a plný naděje.

Jak jsem řekl, přemýšlím o tom doslova jen týdny a měsíce. Kloužu jen po povrchu. Velkým budíčkem pro mě byl Opus 4.5, kdy mi Emil řekl: „Od této chvíle mi AI skutečně pomáhá být produktivnější.“ Předtím ho to v součtu spíše zpomalovalo. A to, co jsme viděli v posledních několika týdnech, jsou ještě působivější výsledky. Asi před měsícem bylo jedno z klíčových lemmat v SNARKs založených na hashi — Polyshakes-Spielmanovo lemma — formálně verifikováno za 8 hodin a stálo to 200 dolarů. Něco, co by stálo stokrát víc a trvalo stokrát déle, kdyby to dělal člověk.

Zmínil jsem také výsledek Fieldsovy medaile, kde vygenerování důkazu o 500 000 řádcích trvalo pouhých 5 dní. Je docela zřejmé, kam to spěje: budeme mít všechny známé matematické teorémy zkontrolované a ověřené umělou inteligencí, se všemi opravenými překlepy. U nějaké malé podmnožiny „teorémů“ budeme mít dokonce ukázku, že jsou nesprávné, pomocí protipříkladů. Programování je už z velké části vyřešeno, pak vyřešíme vědecký pokrok. Věci začnou být extrémně rychle filozofické — to je možná na další epizodu.

Ryan Sean Adams: Myslím, že to je na další epizodu. Je to ale fantastická odpověď. Oceňuji tvůj pohled na to, jak k tomu přistupovat s určitou dávkou stoicismu a zároveň s vlastní iniciativou — pracovat na věcech, které pro tebe mají smysl. Doufáme, že pokud lidstvo přežije, uděláme s tebou v budoucnu mnohem více takových podcastů. Je vždycky radost tě tu mít, Justine Drakeu. Moc ti děkuji.

Justin Drake: Děkuji.