Le plan quantique d'Ethereum avant le jour Q avec Justin Drake

Une interview de Justin Drake, chercheur à la Fondation Ethereum, couvrant la feuille de route post-quantique d'Ethereum, la vision Lean Ethereum, les avancées en matière de vérification formelle et une discussion franche sur les risques existentiels liés à l'IA.

Cette transcription est une copie accessible de la transcription originale de la vidéo (opens in a new tab) publiée par Bankless. Elle a été légèrement éditée pour en faciliter la lecture.

Introduction et la menace quantique (0:00)

Justin Drake : Un changement de mentalité intéressant pour moi ces derniers mois est que j'ai arrêté de considérer le post-quantique comme un obstacle que nous devons surmonter et je le vois plutôt comme une opportunité. C'est une opportunité pour Ethereum de se démarquer comme le tout premier système financier mondial sécurisé contre les attaques post-quantiques, non seulement par rapport à ses concurrents comme Bitcoin et autres, mais aussi par rapport aux monnaies fiduciaires et à la finance traditionnelle (TradFi). Et je pense que cela enverrait un message très fort et constituerait en quelque sorte un argument de vente naturel en matière de sécurité pour que le monde migre vers Ethereum.

Ryan Sean Adams : Bankless Nation, nous sommes une fois de plus rejoints par Justin Drake. Nous allons parler de l'informatique quantique en lien avec la crypto, Bitcoin, et aussi Ethereum. Justin, bon retour sur le podcast.

Justin Drake : Salut les gars. Merci de m'accueillir à nouveau.

David Hoffman : Le quantique est donc devenu une sorte de grande menace imminente pour notre industrie. Nous l'avons toujours plus ou moins su. C'était en grande partie théorique. Au cours des six derniers mois environ, le quantique est fermement passé du stade théorique à quelque chose qui a un impact matériel sur notre industrie. À commencer par le prix du Bitcoin, car les gestionnaires de fonds — même BlackRock a publié des articles sur la menace du quantique pour la sécurité et donc la valeur de Bitcoin. Nous avons donc vu de manière anecdotique des personnes sous-pondérer leur portefeuille en Bitcoin. C'est peut-être aussi ce qui freine le prix de tous les autres actifs de l'industrie.

Pour ne pas parler uniquement de prix, mais tel que nous le comprenons, le quantique a un impact réel sur le fonctionnement des chaînes de blocs. Cela semble donc être un problème fondamental pour notre industrie dans son ensemble. Un obstacle que notre industrie doit surmonter — lorsque la crypto et la chaîne de blocs ont été créées à l'origine, nous n'étions pas équipés pour devenir post-quantiques en tant qu'industrie. Alors peut-être pour commencer par le contexte, quel est le calendrier ici ? Quand cet obstacle va-t-il se présenter ? J'ai entendu parler du "Q-Day". C'est quand le Q-Day ? Combien de temps avons-nous pour surmonter cet obstacle quantique ?

Justin Drake : Ouais. Je veux juste revenir un peu en arrière et souligner ce que tu as dit, à savoir qu'au cours des 6 à 12 derniers mois, nous avons eu des avancées majeures. L'une d'elles est cette notion de correction d'erreurs. Nous sommes capables de passer de ce qu'on appelle des qubits physiques, qui sont très bruités et sujets aux erreurs, à des qubits parfaitement logiques. À l'heure actuelle, nous pouvons essentiellement fabriquer un qubit logique, mais c'est tout de même un moment crucial de passage de zéro à un, et il s'agit maintenant de passer à l'échelle avec plusieurs qubits logiques. Une autre grande avancée se situe du côté algorithmique. Auparavant, nous pensions qu'il faudrait des millions, en fait des dizaines de millions de qubits physiques pour briser notre chère cryptographie. Mais l'année dernière, un article a apporté une amélioration d'un facteur 10, réduisant ce nombre à 1 million de qubits physiques. Et cette année, nous avons une autre amélioration d'un facteur 10, le réduisant à 100 000 qubits.

Les objectifs se rapprochent donc de plus en plus, et vous avez cette double exponentielle dans un sens qui finira par se croiser. Et puis une autre chose qui s'est produite concerne les investissements — beaucoup de startups quantiques ont levé des milliards de dollars. L'année dernière, je crois que nous parlions de l'ordre de 5 milliards de dollars, ce qui est sans précédent. Auparavant, nous parlions de centaines de millions. Et je pense que l'aboutissement de toutes ces choses a vraiment stimulé le public et conduit à ce récit qui a en effet potentiellement impacté le prix du Bitcoin et de l'ether.

Maintenant, en me projetant dans l'avenir, mon Q-Day personnel est en 2032. C'est une vision un peu optimiste dans le sens où il est possible qu'ils arrivent un peu plus tard, mais nous devons être préparés au pire des scénarios. Je dirais donc qu'il y a au moins 1 % de chances que le Q-Day soit en 2032, et plus probablement un pourcentage à deux chiffres. Divers experts vous diront quelque part entre 2031 et 2038. L'un de mes amis dans l'industrie, Steve Bryley, fondateur et PDG de l'une des plus grandes entreprises de correction d'erreurs quantiques au monde, qui se trouve être basé à Cambridge où je suis — son Q-Day personnel était 2032, mais il a cette date en tête depuis 15 ans

Quand aura lieu le Q-Day et comment nous y préparer ? (5:08)

et c'est toujours resté le même.

Ryan Sean Adams : Wow, c'est une continuité impressionnante.

Justin Drake : Et en gros, il suffit d'extrapoler les exponentielles et c'est là que l'on arrive. Ce que nous essayons donc de faire avec Ethereum, c'est de nous assurer que tout soit bouclé bien avant 2032. Et ma date d'achèvement pour qu'Ethereum soit entièrement sécurisé post-quantique est 2029.

David Hoffman : Il y a un an, nous vous avons reçu avec Scott Aaronson, qui est en quelque sorte un parrain dans ce domaine. Nous avons posé quelques questions sur le Q-Day. Une bonne définition du Q-Day serait-elle le jour où les ordinateurs quantiques pourront casser nos schémas de signature comme ECDSA ? Est-ce bien cela que signifie le Q-Day ?

Justin Drake : Oui, exactement. Nous avons donc ce nouveau terme appelé CRQC — cryptographically relevant quantum computer (ordinateur quantique cryptographiquement pertinent). Si vous plissez un peu les yeux, le Q au milieu devient un O et ça ressemble à un crocodile, « croc ». C'est à ce moment-là que cela devient pertinent pour nous. Il est possible qu'il y ait d'autres applications qui rendent les ordinateurs quantiques utiles pour la chimie ou la physique, mais cela viendra un peu plus tard.

David Hoffman : Je me souviens qu'il restait plutôt prudent à l'époque. C'était il y a un an, en janvier 2025, et il a dit que d'ici 10 ans, nous devrions avoir des ordinateurs quantiques utiles et tolérants aux pannes, mais il a pris soin de préciser que cela ne signifiait pas que nous serions capables de casser ECDSA. Il ne voulait pas s'engager sur une date car il disait que c'était un problème d'ingénierie incroyablement difficile. J'ai remarqué que son ton a changé au cours de l'année écoulée, et en effet, il a rejoint certaines organisations et fondations pour aider les cryptomonnaies à naviguer dans l'ère quantique. Est-ce pour les trois raisons que vous soulignez — les percées dans les algorithmes, la correction des pannes qui nous permet de mettre à l'échelle les qubits logiques, et ensuite les milliards de financements en capital-risque qui y sont injectés ? Son opinion a-t-elle changé ?

Justin Drake : Je ne peux pas parler en son nom, mais une chose que nous devons noter est que Scott est avant tout un théoricien. Pendant très longtemps, il a travaillé sur la théorie, pas tellement sur le quotidien des ordinateurs quantiques, et je pense que c'était en partie la raison pour laquelle il était si prudent. Ce qui se passe de plus en plus, c'est qu'il y a de vraies entreprises, de vrais entrepreneurs qui construisent ces choses et il a une vue de l'intérieur. En gros, il assimile toutes ces informations. L'une des choses qu'il a dites récemment est que le gouvernement américain commence à intervenir dans la publication des idées. Nous avons donc des entreprises et des universitaires qui pourraient trouver des améliorations à l'algorithme de Shor, et celles-ci ne sont pas complètement divulguées, potentiellement pour des raisons de sécurité nationale.

Qubits physiques, qubits logiques et cassage d'ECDSA (10:11)

David Hoffman : Wow. D'accord. Il semble donc que les gouvernements s'impliquent là-dedans. Nous ne sommes pas vraiment sûrs de tout le travail qui se déroule en coulisses — nous ne sommes au courant que du travail commercialement viable à ce stade. Concernant les qubits logiques, vous avez dit que nous avons un qubit logique en ce moment. Il y a des qubits physiques et des qubits logiques, et ce qu'il faut mettre à l'échelle, ce sont les qubits logiques. Pour casser ECDSA, de combien de qubits logiques avons-nous réellement besoin ? C'est une métrique que je surveille, mais est-ce même le bon chiffre ? J'ai entendu des gens dire qu'il en fallait mille, ou peut-être 1 500. Est-ce un chiffre auquel nous devrions prêter attention ?

Justin Drake : Oui, il y a donc plusieurs métriques pertinentes. Il y a le nombre total de qubits physiques, le nombre total de qubits logiques, et aussi le nombre total d'étapes nécessaires pour exécuter l'algorithme. Et cela a un impact réel car cela va déterminer s'il faut une minute pour casser une clé, un jour, une semaine, un mois ou un an.

David Hoffman : Et quels sont les facteurs d'échelle pour chacun d'eux — physiques, logiques, puis le temps d'exécution de l'algorithme ?

Justin Drake : Donc, en gros, le nombre de qubits physiques pour obtenir un qubit logique aujourd'hui est de quelques centaines — disons mille. Ce qui devrait se passer, c'est que la qualité des qubits physiques, ce qu'on appelle les fidélités, devrait augmenter, et nous devrions également concevoir de meilleurs codes de codage d'effacement qui amélioreront ce ratio. Il est donc possible qu'à l'avenir, nous n'ayons besoin que de 100 qubits physiques pour chaque qubit logique, ou peut-être juste 10.

Quand on regarde l'algorithme pour casser le logarithme discret et ECDSA, en gros, c'est un petit multiple du nombre de bits de la courbe. Nous travaillons avec cette courbe appelée secp256k1. Le 256 signifie 256 bits. Donc, vous prenez ce nombre et vous le multipliez par cinq ou six, et cela vous donnera à peu près le nombre de qubits logiques dont vous avez besoin — disons donc 1 500. Comme aujourd'hui nous en sommes à un qubit logique, dans un sens, nous sommes à trois ordres de grandeur, comme trois fois 10x pour y arriver. Mais encore une fois, nous allons avoir des améliorations du côté de la correction d'erreurs qui réduiront ce ratio, et des améliorations du côté algorithmique qui réduiront le nombre de qubits logiques nécessaires.

Maintenant, concernant les temps d'exécution, c'est assez intéressant car il existe deux types d'ordinateurs quantiques : à horloge rapide et à horloge lente. L'horloge rapide fonctionne très vite, un peu à la vitesse de la lumière. Vous avez les ordinateurs quantiques supraconducteurs et les ordinateurs quantiques photoniques — photonique, comme son nom l'indique, utilise des photons, de la lumière, ce qui explique pourquoi c'est si rapide. Ensuite, vous avez l'horloge lente — les ions piégés et les atomes neutres. Les noms n'ont pas vraiment d'importance, mais en gros, ils fonctionnent mille fois plus lentement. Chaque architecture et modalité a ses propres avantages et inconvénients. Il est donc tout à fait possible qu'au début, nous voyions une modalité à horloge lente l'emporter dans le sens où ils seront les premiers à casser une clé, mais cela leur prendra beaucoup de temps — cela pourrait leur prendre une semaine ou un mois. Donc, dans un sens, le Q-Day n'est pas totalement tout blanc ou tout noir ; il y aura une période où ce sera en quelque sorte cassé, mais seulement pour les toutes premières adresses de grande valeur.

David Hoffman : Intéressant. Mais le Q-Day pourrait aussi se produire en coulisses sans que nous sachions vraiment où nous en sommes.

Justin Drake : Oui. Et si c'est effectivement un État-nation qui a accès à ces ordinateurs quantiques en premier, à moins que la crypto ne joue un rôle systémique majeur dans le monde, il est plus que probable qu'ils utiliseront leurs pouvoirs pour attaquer les choses de manière furtive — par exemple, espionner leurs adversaires. Cela joue donc en notre faveur. Mais si vous avez affaire à une entité purement rationnelle motivée par l'argent, elle pourrait en effet s'en prendre à Bitcoin ou Ethereum.

Les centres de données quantiques et le scénario d'attaque du Q-Day (15:10)

David Hoffman : Dernière question sur les qubits. Des centres de données pour l'informatique quantique sont-ils en cours de construction en ce moment ? Nous assistons à un développement massif de centres de données pour l'IA. Quelque chose de similaire commence-t-il à se produire avec les ordinateurs quantiques ?

Justin Drake : Oui. Je lisais ce communiqué de presse de Continuum. Ils construisent un ordinateur quantique basé sur la photonique et ils sont très discrets. Ils ont levé beaucoup d'argent — des milliards de dollars, en partie auprès du gouvernement australien — et ils veulent en quelque sorte réussir les ordinateurs quantiques du premier coup. Ce que font beaucoup d'autres entreprises, c'est construire de petites preuves de concept puis monter en puissance, mais eux veulent tout construire dès le premier jour. Ils construisent donc ce centre de données massif. Je pense que c'est dû à la modalité — la photonique ne nécessite pas les températures extrêmement froides que d'autres modalités comme la supraconductivité exigent. Vous pouvez donc prendre un centre de données d'apparence beaucoup plus traditionnelle et y installer votre ordinateur quantique.

Ryan Sean Adams : Vous venez de dire que le Q-Day n'est pas vraiment tout blanc ou tout noir. Il y a un tas de choses différentes concernant une chaîne de blocs qui sont pertinentes pour le quantique, chacune avec un niveau différent de susceptibilité quantique. Mais je veux prendre la position que le Q-Day est en fait un événement spécifique et aigu — c'est le moment où l'attaque réelle se produit et où, par conséquent, quelque chose se brise. C'est peut-être différent selon les chaînes de blocs, car les profils de risque des différentes chaînes de blocs ne sont pas uniformes. Mais nous pouvons parler du Q-Day pour Bitcoin en partant du principe que Bitcoin ne fait rien. Si nous supposons que Bitcoin ne s'adapte pas, il y a un jour précis où Bitcoin est attaqué. À quoi cela ressemble-t-il ? Que se passerait-il ce jour-là ? Quelle est la cible la plus facile pour un ordinateur quantique attaquant Bitcoin ?

Justin Drake : En gros, il faut examiner les incitations à attaquer. Le choix rationnel pour un attaquant est d'aller chercher les plus grandes adresses, et en fait peut-être même avant cela, d'aller chercher soit des adresses où il y a une confidentialité parfaite, soit des adresses où il y a un déni plausible. Laissez-moi les passer en revue une par une. La toute première cible sera probablement Zcash, car si vous attaquez Zcash, vous pouvez frapper un nombre arbitraire de ZEC et personne ne le saura. Le Q-Day ne sera donc pas rendu public.

David Hoffman : Attendez, juste pour être clair — Zcash n'est pas sécurisé contre les attaques post-quantiques en ce moment ? Même s'il utilise des ZK-SNARKs et tout ça ?

Justin Drake : Oui, il utilise des SNARKs qui sont basés sur des courbes susceptibles d'être brisées par des ordinateurs quantiques.

David Hoffman : D'accord. Et puis un ensemble potentiel de victimes pourrait être des personnes qui sont décédées et qui ont simplement perdu leurs pièces. Si quelqu'un vole leurs pièces, personne ne va s'en plaindre — il y a une certaine part de déni plausible.

Ryan Sean Adams : Mais nous le remarquerions, je veux dire, si nous commencions à voir des pièces de personnes—

Justin Drake : Oui et non, car nous le voyons déjà aujourd'hui. Chaque trimestre environ, il y a une adresse zombie qui n'a pas bougé depuis 13 ans, et elle ressuscite, et personne n'en connaît la vraie raison.

Ryan Sean Adams : N'est-ce pas ? C'est comme un portefeuille Bitcoin vieux de 13 ans qui n'a pas eu de transaction depuis qu'ils ont miné les 50 bitcoins il y a une éternité, et qui effectue sa première transaction en 13 ans. Que cette personne soit toujours en vie et réveille simplement un portefeuille dormant ou qu'il s'agisse d'une attaque par ordinateur quantique — un observateur naïf qui regarde simplement la chaîne de blocs Bitcoin ne peut pas faire la différence.

Justin Drake : Exactement. Oui. Et ensuite, vous iriez probablement attaquer les plus gros poissons, ce qui pourrait être une plateforme d'échange qui n'a pas mis en place l'infrastructure adéquate pour se protéger. Il s'avère qu'il existe une atténuation très facile face aux ordinateurs quantiques, du moins les tout premiers — ne réutilisez pas vos adresses. Lorsque vous réutilisez votre adresse, vous réutilisez la clé publique, ce qui signifie qu'un attaquant a le temps de craquer la clé privée correspondante, puis de voler vos fonds la deuxième fois que vous utilisez l'adresse. La meilleure pratique devrait donc être que si vous détenez des fonds dans un stockage à froid à long terme, ce devrait être une adresse propre pour laquelle la clé publique correspondante n'a jamais été révélée. Juste pour que ce soit parfaitement clair : ce qu'un ordinateur quantique vous permet de

Adresses Bitcoin vulnérables et les pièces de Satoshi (20:08)

faire est de remonter de la clé publique à la clé privée. Cela met donc vraiment en péril les fondements de la propriété.

Ryan Sean Adams : Donc les pièces dormantes depuis longtemps, peu importe la chaîne de blocs, dont la clé publique a été exposée — ce qui ne représente pas toutes les pièces dormantes, mais un grand pourcentage — sont à risque. Ce sont les pièces de Satoshi. Satoshi a ses pièces dans un portefeuille que les gens connaissent. C'est pourquoi nous les appelons les pièces de Satoshi, car nous savons où elles se trouvent. Quel pourcentage de bitcoins est susceptible de subir cela ?

Justin Drake : Oui, il y a cette page web appelée la « Qisk List » — épelée avec un Q au lieu d'un C — par cette entreprise appelée Project 11, où ils ont ce tableau de bord qui vous donne une vue en direct des adresses vulnérables. Je crois que c'est de l'ordre de 35 %.

David Hoffman : 35 % des bitcoins.

Justin Drake : Oui. Donc des millions de Bitcoin — disons six ou sept millions. Oui, cela représente des centaines de milliards de dollars. Et vous avez raison de dire que cela inclut le million de BTC environ que détient Satoshi. Or, l'une des caractéristiques intéressantes des BTC de Satoshi est qu'ils sont tous par tranches de 50 Bitcoin, car c'était la récompense de bloc et il utilisait une nouvelle adresse à chaque fois qu'il minait. C'est ainsi que le logiciel par défaut était programmé à l'époque. S'il faut, disons, un jour ou même 10 minutes pour pirater une clé publique, vous verrez les pièces de Satoshi être siphonnées à peu près au même rythme qu'elles ont été minées à l'époque — une fois toutes les 10 minutes environ.

Ce sera un processus étalé dans le temps. Et une conséquence intéressante est que si vous êtes un petit poisson et que vous avez beaucoup moins de 50 bitcoins sur votre adresse, alors vous êtes tranquille. Vous êtes en quelque sorte protégé par Satoshi avant vous.

David Hoffman : N'est-ce pas ?

Justin Drake : Oui. Exactement.

Ryan Sean Adams : Dans l'analogie de la fuite face aux zombies, il suffit de ne pas être le plus lent. Dans ce cas, il faut ne pas avoir les plus gros portefeuilles qui sont vulnérables aux attaques quantiques, car ils s'en prendront simplement aux plus gros portefeuilles.

Justin Drake : Exactement.

David Hoffman : Donc le Q-Day se produit dans un scénario à la Justin Drake — peut-être que Zcash est le premier à subir une forme d'attaque, puis vous pourriez voir quelques adresses onchain qui ne sont pas très remarquables car l'attaquant ne voudra pas attirer l'attention. Quelques adresses sur Bitcoin, mais ensuite l'attaquant passerait à la vitesse supérieure et s'en prendrait à des sources de butin de plus en plus importantes. Maintenant, d'après ce que j'ai compris des articles de Nick Carter, il y a une partie de l'offre de Bitcoin dans le scénario des pièces perdues — soit l'individu est décédé, a perdu ses clés privées, soit c'est Satoshi lui-même. Je crois que Nick a estimé le seuil minimum à 1,7 million de Bitcoin, ce qui représenterait 8,6 % de l'offre minée. C'est moins que les 35 % susceptibles d'être attaqués. Les personnes essayant de garder une longueur d'avance sur l'attaque de zombies se déplaceront vers des adresses non susceptibles. Mais si les pièces sont perdues, s'il n'y a pas d'accès aux clés privées, vous ne pouvez pas les déplacer. Et puis d'autres estimations disent que cela pourrait aller jusqu'à 15 % des Bitcoin susceptibles. Quels chiffres avez-vous vus ?

Justin Drake : Oui, donc le chiffre approximatif que j'ai en tête correspond à ceux-là. C'est environ 2 millions de Bitcoin, disons 10 %. Nous avons le million de Satoshi et ensuite environ un autre million qui n'a pas bougé depuis très longtemps. Nous devons en déduire une partie car certaines adresses zombies sont légitimes et vont revivre, mais nous devrions aussi l'augmenter car il pourrait y avoir des adresses récemment dépensées qui seront perdues. Donc 5 à 15 % est la bonne fourchette. Je parierais autour de 10 à 12 %, ce qui est très considérable — certainement dans les centaines de milliards de dollars.

Le débat entre le burn et la récupération pour Bitcoin (25:24)

On pourrait en quelque sorte réfléchir à la théorie des jeux ici. L'option A consiste à essayer de brûler les pièces. L'avantage est que vous n'avez pas les centaines de milliards de dollars de pression à la vente. Si vous analysez cela avec une vision à court terme, c'est la décision rationnelle. Mais toute l'histoire de Bitcoin repose sur des droits de propriété forts, donc si vous avez une vision à plus long terme, vous ne devriez pas vouloir brûler les pièces. Il est très difficile de savoir quelle direction la communauté prendra. Il est possible qu'en fin de compte, la décision soit prise par les grands détenteurs — par exemple, Michael Saylor et MicroStrategy. Parce que ces grands détenteurs recevront une copie des deux versions du Bitcoin — celle avec le burn et celle sans — et ils pourront choisir de se débarrasser de celle qu'ils n'aiment pas. Et nous savons que Saylor est en faveur du burn, il peut donc potentiellement manipuler le marché à lui seul et obtenir le résultat qu'il souhaite.

Ryan Sean Adams : Pouvons-nous clarifier ce que vous voulez dire ? Deux options pour qui ? Nous avons donc un scénario post-Q-Day — si vous croyez que le Q-Day arrive, nous aurons disons 10 % de toute l'offre de Bitcoin qui pourra être attaquée par quiconque possède le meilleur ordinateur quantique. Ils peuvent intervenir et s'emparer des Bitcoins sur des jours, des semaines, et peut-être des mois, en s'attaquant à ces adresses une par une. Et ces 10 % peuvent être pris par quelqu'un. Vous dites que la communauté Bitcoin a des options sur ce qu'il faut faire de ces 10 % au niveau de la couche sociale, la couche du hard fork. Ces options sont au nombre de deux.

Soit ils peuvent brûler ou geler les pièces — dire concrètement que ce sont des adresses mortes, nous savons qu'elles sont mortes, nous ne voulons pas qu'elles soient vulnérables aux attaques quantiques, donc nous ferons un hard fork et dirons que ces pièces ne devront jamais être déplacées. C'est 21 millions moins les 10 % qui ont été gelés. C'est une option.

L'autre option est de simplement laisser ces 10 % à quiconque peut créer l'ordinateur quantique pour aller les réclamer. Presque comme récupérer l'épave d'un navire — quiconque construit le sous-marin pour obtenir l'or peut le réclamer. Mais ce sont des options forcées. Peu importe ce qui arrive, si le Q-Day se produit, la communauté Bitcoin doit choisir l'une de ces deux options. Soit intervenir, brûler et geler, soit laisser cela à n'importe quelle force commerciale ou géopolitique ayant la capacité de développer des ordinateurs quantiques et d'aller réclamer le prix. Est-ce bien ce que nous disons ?

Justin Drake : Oui, c'est très bien dit. Mais une petite correction : cela ne doit pas nécessairement se produire le Q-Day ou après le Q-Day. Cela peut arriver avant. À tout moment, la communauté Bitcoin ou un sous-ensemble de celle-ci peut proposer de faire un fork. Au numéro de bloc du fork, il y aurait deux versions de l'actif Bitcoin — tout comme le fork de Bitcoin Cash. Et en fin de compte, c'est le marché qui décide. Les plateformes d'échange mettront en place les deux versions de l'actif et le marché décidera laquelle est le vrai Bitcoin. Et il est possible que, simplement en raison de la dynamique de liquidité à court terme, la version qui brûle les pièces, potentiellement avant le Q-Day, soit celle qui l'emporte.

Le scénario de Michael Saylor et les points de Schelling (30:29)

Ryan Sean Adams : D'accord. Donc je suis Michael Saylor, je possède 2 à 3 % de l'offre de Bitcoin, en particulier l'offre liquide. J'obtiens les deux copies. Nous faisons un fork de la chaîne de blocs Bitcoin, tout comme lors des guerres de fork de Bitcoin en 2017. Je veux préserver ma valeur, donc je vends tous les bitcoins qui sont vulnérables aux attaques quantiques et je garde tous les bitcoins sur la version qui a brûlé les pièces vulnérables. Le prix de la chaîne de blocs intacte baisse. Le prix de la version avec le burn reste élevé parce que personne ne vend — Saylor ne vend pas, BlackRock ne vend pas. Donc vous dites que le prix du Bitcoin résolu quantiquement sera plus élevé et, par les forces du marché, deviendra le Bitcoin canonique.

Justin Drake : Oui. Et Michael pourrait même décider d'acheter la version avec le burn en utilisant les bénéfices de la version vulnérable et passer de 5 % à 5,5 %.

David Hoffman : N'est-ce pas ? Mais cela ne signifie-t-il pas qu'il doit y avoir un certain niveau de coordination descendante sur les portefeuilles qui sont gelés ? Il est clair que nous pouvons étiqueter les pièces de Satoshi et les geler, mais ensuite nous devons en geler quelques autres. Il y a certains portefeuilles dont nous pouvons être raisonnablement sûrs — cette personne est décédée. Mais nous ne savons pas vraiment où tracer la ligne entre les portefeuilles qu'il est justifié de geler et ceux qui appartiennent réellement à des humains simplement inactifs. Y a-t-il une ligne claire ?

Justin Drake : Eh bien, il y a un concept appelé le point de Schelling — en l'absence d'un coordinateur central, comment parvenez-vous à un consensus ? Pour Bitcoin, le point de Schelling pourrait être le bloc où se produit un halving. Vous pourriez choisir le premier halving, le deuxième halving ou le troisième halving. Cela semble raisonnablement et de manière crédible neutre — toute pièce qui n'a pas bougé depuis le deuxième halving est considérée comme brûlée.

David Hoffman : Donc nous choisissons simplement une date et disons, hé, si vous laissez vos bitcoins dans un portefeuille non sécurisé quantiquement d'ici cette date, nous allons brûler vos pièces sur cette chaîne de blocs secondaire dont nous allons faire un fork.

Justin Drake : Oui, il y a un espace de conception relativement vaste et certaines personnes ont essayé d'être créatives. Par exemple, certains essaient de résoudre deux problèmes d'un coup — à la fois le problème quantique et celui du budget de sécurité — où la proposition est de prendre les 2 millions de pièces et, au lieu de les brûler, de les ajouter à l'émission. Cela repousse le problème du budget de sécurité à plus tard.

David Hoffman : Je parie que cela devient encore plus ambitieux en termes de coordination pour Bitcoin. Je ne sais pas si vous voulez surcharger la capacité de coordination de Bitcoin.

Justin Drake : Oui. Si j'étais un parieur, je parierais simplement sur un burn très simple, disons, après le deuxième halving.

David Hoffman : D'accord.

Ryan Sean Adams : C'est tellement difficile cependant, car pour revenir à votre point précédent, Justin, cela brise le récit de l'incorruptibilité, le récit des droits de propriété. Toute décision concernant un gel ou un burn brise en quelque sorte la nature pure de ce qu'est Bitcoin. Ainsi, Nick Carter dans ses essais explore une histoire différente — non pas un scénario de burn et de gel, mais un scénario de sauvetage. Dans son scénario, un laboratoire quantique privé craque ECDSA plus tôt que prévu. Il se trouve qu'ils sont basés aux États-Unis. Le gouvernement américain les nationalise rapidement en secret. Ils commencent à acquérir le Bitcoin, se coordonnent avec le Trésor, se coordonnent avec les grands fournisseurs d'ETF, BlackRock, les Michael Saylor de ce monde. Et à la fin, les États-Unis se retrouvent avec 10 % de l'offre de Bitcoin dans le Trésor. Il parcourt des graphiques de prix fictifs — quand les gens réalisent que le réseau Bitcoin subit une attaque quantique, le prix chute de 73 %. Mais ensuite, quand il est révélé que le gouvernement américain le possède et qu'ils utilisent les lois sur le sauvetage maritime pour le confisquer légalement, le marché rebondit parce que les États-Unis ont cette trésorerie de réserve stratégique de Bitcoin. C'est donc son autre scénario. Trouvez-vous cela plausible ? Parce qu'au moins dans ce scénario, vous ne violez aucun droit de propriété.

Il est certainement incroyable que cela se soit produit sur un réseau de plusieurs milliers de milliards de dollars avec une telle prime à la clé. C'est sans précédent. Mais cela pourrait aussi arriver, et c'est peut-être un meilleur résultat pour Bitcoin.

Preuve de phrase secrète et le problème de taille des signatures post-quantiques (35:06)

Justin Drake : Oui. J'ai donc quelques réflexions. La première est qu'il existe un moyen assez sophistiqué de prouver la propriété de Bitcoin sans passer par la clé privée. C'est ce qu'on appelle une preuve de phrase secrète. La façon dont vous dérivez une adresse Bitcoin se fait en trois étapes : première étape, vous générez votre phrase secrète ; deuxième étape, vous effectuez quelques manipulations sur la phrase secrète, y compris un hachage, pour dériver votre clé privée ; puis, à partir de la clé privée, vous dérivez la clé publique, qui est l'adresse qui va onchain. Or, la clé privée n'est malheureusement plus quelque chose qui peut prouver la propriété. Mais en raison de l'étape de hachage, si vous connaissez votre phrase secrète, cela reste une preuve de propriété. Donc, une chose qui pourrait arriver — et techniquement parlant, c'est la voie la plus solide — est de geler les Bitcoin mais de permettre à quiconque de récupérer ses Bitcoin avec une preuve de phrase secrète.

Cependant, la preuve de phrase secrète est malheureusement assez compliquée. Elle nécessite un SNARK, une preuve à divulgation nulle de connaissance, ce qui compliquerait considérablement Bitcoin. Mais ma prédiction est que Bitcoin va intégrer des SNARK pour résoudre le problème de taille des signatures post-quantiques. Bitcoin est très connu pour ne pas vouloir augmenter la taille de son bloc. Malheureusement, les signatures post-quantiques sont environ 10 fois plus grandes que l'ECDSA. Pour vous donner des chiffres concrets : l'ECDSA fait 64 octets, une signature minuscule. La plus petite signature post-quantique standardisée par le NIST est Falcon, qui fait 666 octets — plus de 10 fois plus grande. Si vous remplacez naïvement l'ECDSA par quelque chose de sécurisé au niveau post-quantique sans augmenter la taille du bloc, votre débit diminue d'environ 10 fois. Vos TPS sur Bitcoin passeront de trois à 0,3, ce qui, à mon avis, est inenvisageable.

Ce que nous construisons pour Ethereum, c'est cette technologie sophistiquée d'agrégation de signatures post-quantiques afin de ne pas mettre les signatures brutes onchain même si elles sont volumineuses — vous n'y mettez que cette preuve d'agrégation. Et je parie que Bitcoin va adopter la solution qu'Ethereum développe, car il n'y a tout simplement pas d'autre voie techniquement viable.

Ryan Sean Adams : Je vois. Et c'est pourquoi vous pariez contre le scénario de sauvetage — parce que vous pensez qu'ils vont opter pour cette approche, et s'ils le font, cela leur donne un moyen de geler les actifs de manière plus crédible et neutre. Si vous pouvez prouver la propriété, vous pouvez accéder aux anciens Bitcoin historiques.

Justin Drake : Oui. Maintenant, malheureusement, si vous êtes un maximaliste des droits de propriété, ce n'est pas complètement satisfaisant.

Ryan Sean Adams : Non.

Justin Drake : Et la raison est qu'il y a un sous-ensemble d'adresses gelées pour lesquelles il n'y a pas de phrase secrète connue. Le standard de la phrase secrète n'est apparu que plusieurs années après la genèse. Donc, toutes les premières adresses — toutes les adresses de Satoshi, par exemple — n'auront pas de phrase secrète correspondante. Et il y a certains portefeuilles, par exemple les portefeuilles basés sur le MPC, où il n'y a pas de phrase secrète correspondante. Ce n'est donc pas une solution parfaite, mais cela résout 80 % du problème.

David Hoffman : C'est tellement chaotique. C'est tellement chaotique, peu importe comment on le prend.

Justin Drake : Oui. L'autre chose que je voulais souligner, c'est que beaucoup de gens pensent que lorsque vous volez des Bitcoin, le prix du BTC va s'effondrer et l'actif que vous avez volé ne vaudra plus rien.

Mais il y a en fait un moyen de se couvrir contre le prix du Bitcoin, qui est très facile — il suffit de vendre à découvert le BTC. Disons que vous savez avec certitude que vous avez piraté la clé privée d'un portefeuille qui contient 100 000 BTC. Vous vendez à découvert 100 000 BTC. Cela verrouille votre profit. Et ensuite, peu importe ce que fait le prix du Bitcoin, vous avez verrouillé votre profit, qui pourrait s'élever à des dizaines de milliards de dollars.

Le défi de la couche sociale de Bitcoin et l'avantage d'Ethereum (40:07)

David Hoffman : Maintenant, je tiens à souligner que Justin, tu penses d'une manière particulière, et ta façon de penser est la raison pour laquelle tu es dans Ethereum. Si tu étais un Bitcoiner, tu penserais différemment. La façon de penser d'un Bitcoiner est très unique, très distincte — une sorte de maximaliste des droits de propriété. Je pense que ce que Justin ferait s'il était en charge de Bitcoin est très différent de ce que l'ensemble des Bitcoiners ferait en général. Je n'ai pas de question directe ici, mais je veux juste le souligner.

Ryan Sean Adams : Oh oui. Ce que font les Bitcoiners n'est probablement pas ce que tu vas faire. L'accusation de Nick Carter est qu'en gros, ce que font beaucoup de développeurs principaux de Bitcoin, c'est faire l'autruche et dire que le jour Q (Q-Day) n'est pas réel ou qu'il ne le sera pas avant 20 ou 30 ans.

Justin Drake : Pour être clair, ma prédiction selon laquelle le burn l'emportera est une prédiction de ce que je pense être le plus probable. Ce n'est pas ce que je ferais — en fait, je ne toucherais pas à Bitcoin et j'adopterais les droits de propriété. Je n'ai pas cette préférence temporelle à court terme, et je pense que beaucoup de Bitcoiners seront d'accord avec moi. Mais malheureusement, Michael Saylor a une influence tellement forte que, d'une certaine manière, Bitcoin a été centralisé au niveau de la couche sociale, et cela implique un grand pouvoir et de grandes responsabilités.

Ryan Sean Adams : Je suis en fait d'accord avec toi. C'est ce que je ferais aussi. Je laisserais la chasse au trésor se faire, la récupération se faire. Je ne toucherais à rien. C'est la chose clé que fait Bitcoin, et il faut juste laisser les choses suivre leur cours. Laisse-moi te poser la même question cependant. Il n'y a pas qu'une partie de l'offre de Bitcoin qui est vulnérable à l'ère post-quantique — Ethereum a aussi ce problème, mais avec un pourcentage différent de l'offre. Peux-tu transposer ce même problème ? Nous arrivons à un scénario post-jour Q. Quelqu'un rafle les Bitcoins de Satoshi. Que se passe-t-il sur Ethereum à ce moment-là ? Quel pourcentage de l'offre serait vulnérable ? Disons qu'Ethereum n'a pas encore résolu le problème quantique.

Justin Drake : Un avantage qu'a Ethereum, c'est qu'il n'y a pas les 5 % de l'offre contrôlés par une seule personne, Satoshi, qui sont considérés comme perdus. L'autre avantage est qu'Ethereum est moins ancien et qu'il a eu un prix dès le premier jour. Il y avait donc une raison de prendre soin de vos ethers dès le début, alors qu'aux premiers jours de Bitcoin, c'était juste de la monnaie de singe et les gens n'avaient pas une très bonne hygiène avec leurs clés privées. Il est donc beaucoup plus probable que les 1,7 million de BTC de Nick Carter soient réellement perdus.

Quand j'étais sur le projet Ultrasound, l'une des choses que nous essayions de faire était de calculer la quantité de pièces perdues connues pour l'ajouter au tableau de bord en plus du burn. C'était une quantité tellement négligeable que nous n'avons même pas pris la peine de le faire.

David Hoffman : Qu'en est-il du piratage de Parity ? N'est-ce pas une grande partie ?

Justin Drake : Oui, très bonne remarque. C'était le premier élément de la liste. Mais il se trouve que c'est un contrat intelligent bloqué qui n'est pas vulnérable aux ordinateurs quantiques.

David Hoffman : Donc le—

Ryan Sean Adams : C'est en fait juste coincé. Il ne s'agit pas de ne pas avoir les clés privées. C'est littéralement coincé.

Justin Drake : C'est bloqué. Oui. Exactement. Et puis il y a quelques études de cas de personnes — si vous fouillez vraiment dans les discussions Reddit, vous trouverez des choses — mais dans l'ensemble, cela représente un total inférieur à 0,1 %. C'est l'offre perdue connue. Mais de façon réaliste, certaines pièces se révéleront perdues à l'approche du jour Q. Si je devais faire une estimation, ce serait un faible pourcentage à un chiffre — peut-être 2, 3, 4, 5 %.

David Hoffman : Donc tu penses qu'au maximum 2 à 5 % de l'offre d'Ethereum est à la fois perdue et dans des adresses vulnérables aux attaques quantiques.

Justin Drake : Exactement. Oui. Si je devais faire une prédiction concrète, je dirais environ 2 %, ce qui est à peu près un ordre de grandeur de moins que Bitcoin. Et cette différence quantitative a des conséquences qualitatives : dans le cas d'Ethereum, je recommanderais fortement de ne rien faire et de vraiment respecter les droits de propriété, car au bout du compte, 2 % ce n'est pas grand-chose. Dans le cas de Bitcoin, 15 % c'est énorme.

La mise à niveau post-quantique à trois couches d'Ethereum (45:05)

David Hoffman : Ethereum devra donc faire ce même choix. Disons 3 % — s'il faut geler et brûler ou simplement laisser cela devenir une chasse au trésor. Votre espoir est que nous choisissions l'option de la chasse au trésor, ce qui signifie qu'un attaquant quantique raflera ces 1 à 3 % d'ether. Et si l'on prend du recul, nous nous dirigeons fondamentalement vers le fait que l'ether devienne une bien meilleure monnaie que le BTC. Il sera non interventionniste, respectueux des droits de propriété, résistant au quantique, et il n'aura pas le problème de budget de sécurité qui va tourmenter Bitcoin dans quelques halvings. Je pense donc que c'est une grande opportunité pour l'actif.

Ryan Sean Adams : D'accord. Nous avons parlé de l'aspect social. Il y a aussi beaucoup de défis techniques auxquels nous devons faire face. Je veux mentionner ce tweet de Hasu Kareshi, un ami de l'émission. Il citait dans un tweet une publication de Vitalik sur la feuille de route quantique d'Ethereum et disait : « Ethereum a une feuille de route plus difficile pour devenir post-quantique que Bitcoin — en fait, beaucoup de dépendances avant de pouvoir s'attaquer aux EOA et aux clés privées en raison de la taille des preuves post-quantiques. » Son point de vue est donc que les défis à venir pour Ethereum sont beaucoup plus difficiles que pour Bitcoin. Qu'en pensez-vous ?

Justin Drake : Il y a deux problèmes à résoudre : le problème technique et le problème social. Sur le plan technique, Hasu a raison de dire qu'il y a fondamentalement trois problèmes qu'Ethereum doit résoudre — chacun sur les différentes couches. Il y a la couche de consensus où nous avons BLS. Il y a la couche de données où nous avons KZG. Et la couche d'exécution où nous avons ECDSA. Chacun de ces éléments de cryptographie est vulnérable. C'est un sur-ensemble de Bitcoin, qui n'a que le problème ECDSA. Donc, dans un sens, nous avons trois fois plus de choses à mettre à niveau.

Mais quand on prend du recul, je dirais que le plus gros problème — peut-être 80 % de celui-ci — est social. Nous avons déjà abordé la question de savoir s'il faut brûler ou non. Mais il y a quelque chose d'encore plus fondamental : acceptons-nous même que ce soit un problème ? Dans l'univers Bitcoin, il y a cette réaction de défense qui rejette fondamentalement tout narratif qui pourrait être mauvais pour le prix. Vous avez des gens comme Adam Back qui disent que les ordinateurs quantiques ne verront pas le jour avant au moins des décennies. Donc, l'étape zéro est une sorte d'acceptation qu'il y a un problème. Et il est possible que Bitcoin arrive un peu trop tard, ce qui aurait des conséquences bien plus importantes que sur le plan technologique.

David Hoffman : Vous pensez donc que Bitcoin aura généralement un problème plus difficile parce que sa couche sociale ne reconnaît tout simplement pas cette réalité et est moins disposée à y faire face ?

Justin Drake : Oui. Laissez-moi dire ceci : je suis prêt à parier une grosse somme que les trois couches d'Ethereum seront mises à niveau avant l'unique couche de Bitcoin.

David Hoffman : C'est vrai. Nous avons donc un problème trois fois plus important. Mais du côté d'Ethereum, ce n'est qu'un problème d'ingénierie en fin de compte. Et non seulement cela, c'est un problème d'ingénierie qu'Ethereum prend à bras-le-corps. Alors que le problème d'ingénierie de Bitcoin est plus petit, c'est un problème social, un problème de coordination, qui est fondamentalement plus difficile à surmonter.

Justin Drake : Oui. Exactement. Et même sur le plan technique, c'est un problème sur lequel nous travaillons depuis près d'une décennie. Si vous revenez en arrière en 2018, nous avons accordé une subvention de 5 millions de dollars à StarkWare pour étudier les SNARK post-quantiques basés sur le hash et jeter les bases avec des fonctions de hachage adaptées aux SNARK. C'est de là que vient la fonction de hachage Poseidon. Plus récemment, en 2024, il y a eu l'annonce de la Lean Consensus Chain, anciennement connue sous le nom de Beam Chain. Nous avons eu des ateliers post-quantiques à Cambridge l'année dernière. Nous avons maintenant une équipe post-quantique dédiée avec Tom et Emil. Et nous avons cette feuille de route qui

(50:00)

Mise à niveau de la couche d'exécution : agrégation de signatures (50:00)

détaille vraiment certaines des étapes clés pour réaliser ces mises à niveau.

Ryan Sean Adams : Pouvons-nous parler de chacun de ces problèmes un par un ? Je sais Justin, que tu peux entrer dans des détails extrêmes avec la cryptographie — nous voudrons garder cela à un niveau que David et moi pouvons comprendre. Mais nous comprenons les différentes couches de la pile Ethereum. Peut-être pouvons-nous commencer par la couche d'exécution, car c'est la chose principale dont nous avons parlé. ECDSA est le schéma de signature derrière les adresses Bitcoin et Ethereum — c'est ce qui serait piraté dans un monde post-quantique. Quelle est la voie de mise à niveau pour ECDSA ? C'est un outil cryptographique de longue date — avons-nous quelque chose qui peut le remplacer ?

Justin Drake : Oui. Tout d'abord, permettez-moi de souligner qu'il s'agit d'une très grande tâche — nous changeons fondamentalement les piliers des chaînes de blocs, la cryptographie de base, et nous la remplaçons par quelque chose de nouveau avec des propriétés complètement différentes. Maintenant, si vous étiez un profane, votre réponse pourrait être : « C'est simple. Nous avons le NIST, le National Institute of Standards and Technology. Ils ont organisé une compétition de signatures post-quantiques et en ont sélectionné quelques-unes — à savoir Falcon, Dilithium et SPHINCS+. Il nous suffit de choisir une ou plusieurs de ces options. »

Le problème est que le NIST n'a pas conçu cela pour le cas d'utilisation de la chaîne de blocs. Ils l'ont conçu pour des signatures individuelles pour des messages individuels utilisés sur Internet. Dans le contexte des chaînes de blocs, vous avez des lots de transactions — pour Bitcoin, des milliers de transactions par bloc. Et nous avons ce problème de taille avec les signatures post-quantiques qui sont au moins 10 fois plus grandes, voire 100 fois plus grandes. À mon avis, c'est totalement inenvisageable de considérer ces signatures individuelles naïvement regroupées et concaténées dans des blocs.

La seule solution que je vois s'appelle l'agrégation de signatures, où vous prenez plusieurs signatures et les compressez en une seule multi-signature. Vérifier cette multi-signature principale revient au même que de vérifier tous les constituants individuels. Lorsque vous regardez l'espace de conception pour les signatures post-quantiques agrégeables, il n'y a pas beaucoup d'options. Il y a essentiellement une seule option qui est viable à mon avis : utiliser des SNARK, plus précisément des SNARK post-quantiques. Il y a fondamentalement une grande famille — les SNARK basés sur les hashs.

L'idée de base est que vous prenez des signatures post-quantiques individuelles et prouvez la connaissance de chacune d'elles pour aboutir à une preuve SNARK finale. Maintenant, si vous optez pour des SNARK basés sur les hashs, autant opter également pour des signatures de feuilles basées sur les hashs — les signatures brutes non agrégées. La raison est que cela vous offre des avantages en termes de simplicité et de sécurité. Ce sont les hypothèses de sécurité les plus minimales que vous puissiez avoir — vous supposez simplement que votre fonction de hachage est sécurisée. Dans le monde des chaînes de blocs, les fonctions de hachage sont fondamentales. Nous en avons partout — pour construire des blocs, des arbres de Merkle, des arbres d'état et des chaînes de blocs où le chaînage est effectué avec des hashs.

La Fondation Ethereum a déployé beaucoup d'efforts pour commencer avec des signatures basées sur les hashs et les rendre aussi compatibles que possible avec les SNARK afin que le coût de l'agrégation soit aussi bas que possible. Je suis heureux d'annoncer que les performances de cette approche sont en fait suffisamment bonnes pour toutes les chaînes de blocs. Quel que soit le débit de votre chaîne, vous pouvez avoir un agrégateur sur du matériel raisonnable — par exemple, le processeur d'un ordinateur portable — qui agrège toutes ces transactions et produit une preuve finale qui accompagne le bloc.

Et l'une des choses ironiques à propos de cette approche est qu'il s'agit en fait d'une augmentation de la scalabilité par rapport à ce que nous avons aujourd'hui. La raison est que vous n'avez pas le coût fixe de 64 octets par transaction. Les transactions ont zéro octet de données de signature, et ensuite vous avez cette unique signature principale qui est amortie sur toutes les transactions du bloc.

Établir la norme de l'industrie grâce à la collaboration avec Bitcoin (55:28)

David Hoffman : D'accord. Il s'agit donc d'une mise à niveau pour de nombreuses autres chaînes de blocs de contrats intelligents en aval d'Ethereum, en particulier celles qui optimisent la vitesse—

Justin Drake : Pas seulement les contrats intelligents — Bitcoin également. ECDSA.

David Hoffman : Oui. C'est vrai. Donc, ce que je pensais en commençant cet épisode, c'est que des chaînes comme Solana seraient encombrées par des signatures plus lourdes, tout comme les TPS de Bitcoin ralentissent à 0,3 transaction par seconde. Solana ralentirait de la même manière parce que les transactions seraient plus lourdes dans un monde post-quantique. Mais vous dites qu'avec cette technologie, ce ne sera pas vrai — cela permettra en fait aux chaînes de devenir globalement plus rapides.

Justin Drake : Oui, exactement. Tout comme Satoshi avec ECDSA a établi une norme de facto pour l'ensemble de l'industrie — nous avons essentiellement copié même la courbe secp256k1, ce qui est très inhabituel. Personne ne sait pourquoi il a choisi cette courbe, mais c'est devenu la norme de facto. Je pense qu'il y a une opportunité pour Ethereum d'être un pionnier et d'établir la norme de facto.

La stratégie que nous adoptons est de collaborer avec les Bitcoiners. Dans le monde de Bitcoin, il y a quelques individus — Mikhail Komarov et Nick Jonas. Ils font tous deux partie de Blockstream et sont tous deux des experts en signatures basées sur les hashs. Nous travaillons avec eux pour nous assurer que tout ce que nous développons dans le monde d'Ethereum soit également applicable à Bitcoin. Et si Bitcoin et Ethereum utilisent cette norme, alors toute l'industrie utilisera vraisemblablement aussi cette norme.

Ryan Sean Adams : C'est fantastique. Nous avons donc un moyen de résoudre la mise à niveau post-quantique de la couche d'exécution sans perte de performance. Laissez-moi vous poser une autre question cependant — qu'en est-il de la sécurité ? Il s'agit d'une cryptographie plus récente par rapport à ECDSA qui existe depuis toujours et qui bénéficie de l'effet Lindy. Devrions-nous craindre qu'il y ait une sorte de bug caché ou de faille zero-day qui pourrait complètement détruire ce que nous avons construit ?

Justin Drake : J'ai quelques réflexions à ce sujet. Nous prenons la sécurité extrêmement au sérieux, et dans l'ensemble, je m'attends à ce que la solution que nous allons déployer soit des ordres de grandeur plus sûre que ce que nous avons aujourd'hui avec ECDSA. Laissez-moi vous expliquer. ECDSA est basé sur des courbes elliptiques — des objets mathématiques structurés complexes. Il est possible qu'un mathématicien intelligent trouve un algorithme pour casser le logarithme discret en utilisant une astuce mathématique sophistiquée dont l'humanité n'avait pas connaissance. Cela s'est déjà produit dans le passé — nous avons des algorithmes de plus en plus performants pour la factorisation et pour le logarithme discret. Et une possibilité avec l'avènement de l'IA est que nous ayons des mathématiciens 100 fois plus intelligents que les mathématiciens humains qui découvrent une structure cachée dans les courbes elliptiques et peuvent casser notre cryptographie. Donc, la cryptographie que nous construisons n'est pas seulement post-quantique, elle est aussi post-IA.

Pour en revenir à l'autre chose que j'ai dite — cela ne repose que sur des fonctions de hachage. Tout schéma de signature repose sur deux choses : la fonction de hachage, et une hypothèse de difficulté supplémentaire facultative qui pourrait être le logarithme discret, ou dans le cas des signatures basées sur les réseaux euclidiens, des réseaux structurés. Mais dans le cas des signatures basées sur les hashs, il n'y a pas cette hypothèse de difficulté supplémentaire — ce ne sont que des fonctions de hachage. Si votre fonction de hachage est sécurisée, tout va bien. Donc, dans ce sens, je m'attends à ce que ce soit une amélioration par rapport au statu quo.

Maintenant, il y a deux mises en garde que je veux souligner. La première mise en garde est que nous avons affaire à des objets plus complexes, et la solution que nous avons ici est ce que nous appelons une vérification formelle approfondie de bout en bout.

Vérification formelle, Poseidon et la couche de consensus (1:00:33)

Nous avons notre objet cryptographique et nous voulons prouver mathématiquement qu'il est fiable — qu'il est impossible de falsifier une signature. Et nous ne voulons pas seulement le faire pour les mathématiques, mais aussi pour le code. Si vous m'aviez demandé il y a 2 ou 3 ans si c'était faisable, j'aurais répondu oui, mais c'était extrêmement laborieux et coûteux. Ce que nous constatons avec l'avènement de l'IA, c'est que ce travail laborieux et coûteux peut être effectué 100 fois plus vite et 100 fois moins cher.

Nous commençons à voir des mathématiques de pointe de classe mondiale — par exemple, un résultat récent qui a remporté la médaille Fields, l'équivalent du prix Nobel de mathématiques. Ce résultat a fait l'objet d'une vérification formelle par une IA en cinq jours. Ils ont produit un demi-million de lignes de code — une preuve vérifiable par machine qu'il s'agit bien d'un théorème valide — et ont au passage trouvé toutes sortes de fautes de frappe dans l'article rédigé par des humains. C'est le genre de vérification préalable que nous voulons pour éviter les bugs.

Maintenant, il y a une autre chose que je veux souligner : la fonction de hachage elle-même. Historiquement, les chaînes de blocs ont été construites soit sur SHA-256 dans le cas de Bitcoin, soit sur Keccak dans le cas d'Ethereum. Notre proposition pour l'Ethereum post-quantique est d'introduire une autre fonction de hachage appelée Poseidon, qui est un type différent de fonction de hachage car elle est compatible avec les SNARK. D'ici à ce que nous lancions Poseidon, elle devrait être assez sûre — elle aura été analysée pendant 10 années entières, aura sécurisé plusieurs milliards de dollars à travers les couches 2 (l2), et aura fait l'objet d'une cryptanalyse par tous les meilleurs experts du domaine. Nous venons également d'annoncer un prix d'un million de dollars pour essayer de casser Poseidon. Mais il est en effet possible que Poseidon puisse être cassée.

Malheureusement, la façon dont on conçoit les fonctions de hachage fait qu'il est impossible de prouver qu'elles sont sécurisées. Le mieux que l'on puisse faire est de constater l'absence d'attaque — il y a essentiellement ce temps de maturation. Et l'ordre de grandeur que j'ai en tête est de huit ans. Pourquoi huit ans ? Parce que lorsque Satoshi a choisi SHA-256, elle avait huit ans. Lorsque Vitalik a choisi Keccak, elle avait huit ans, par coïncidence. Je voudrais donc que Poseidon ait au moins huit ans, ce qui sera le cas lorsque nous la déploierons sur Ethereum.

Ryan Sean Adams : D'accord. C'est donc la couche d'exécution. Rapidement, pourriez-vous parler de la couche de données ? KZG doit être mis à niveau vers quelque chose de post-quantique, ainsi que la couche de consensus où nous avons les signatures BLS. Est-ce similaire en termes d'effort au remplacement d'ECDSA ?

Justin Drake : Laissez-moi commencer par la couche de consensus car la réponse est plus simple. En première approximation, c'est essentiellement un copier-coller. Nous avons un concept similaire où des acteurs créent des signatures, il y a beaucoup de signatures, elles prennent de la place, et nous voulons les compresser. Le problème au niveau de la couche de consensus est que nous avons beaucoup plus de signatures qu'au niveau de la couche d'exécution. Les gens ne s'en rendent pas compte, mais nous avons un million de validateurs — cela représente un million de signatures par époque, 32 000 signatures par créneau, des milliers de signatures par seconde. C'est plus que Solana en termes de transactions de vote.

Pour débloquer une certaine optimisation des performances uniquement disponible au niveau de la couche de consensus, nous avons cette notion de signature avec état — les messages que vous signez ont un compteur qui s'incrémente à chaque fois. Cela ne vous rappelle-t-il rien ? Le numéro du créneau. Dans Ethereum, au niveau de la couche de consensus, vous ne signerez jamais qu'un seul message par créneau. Si vous en signez deux, vous subissez une réduction. Nous utilisons cette contrainte pour avoir des signatures qui sont 10 fois plus efficaces à agréger.

Lean VM, la feuille de route de Lean Consensus et le calendrier pour 2029 (1:05:17)

C'est la principale différence — des fonctions de hachage sans état au niveau de la couche d'exécution contre des signatures avec état au niveau de la couche de consensus où le numéro du créneau s'incrémente. La technologie d'agrégation a un nom : Lean VM, une zkVM minimale pour la cryptographie basée sur les hashs. Fondamentalement, Lean VM prouverait qu'il s'agit d'une racine de Merkle correcte. La principale chose dont nous ne sommes pas encore tout à fait sûrs, c'est si cette approche peut débloquer ce que j'appelle la « frontière du téra-gaz » — 1 giga-gaz par seconde sur la couche 1 (l1), 10 000 TPS, mais de manière encore plus ambitieuse, 1 téra-gaz, 10 millions de transactions par seconde sur la couche 2 (l2) en utilisant la disponibilité des données.

Nous parlons d'un gigaoctet par seconde de disponibilité des données, et la question est de savoir si la zkVM peut être suffisamment performante pour traiter 1 Go de données par seconde. Cela reste à déterminer en fonction des futures optimisations.

David Hoffman : Mais ce que nous savons avec certitude, c'est qu'Ethereum aura la DA pour atteindre 1 Go par seconde pour la L1 plus une poignée de L2.

Ryan Sean Adams : Je pense donc que les auditeurs pourraient se dire à ce stade : « D'accord, on dirait qu'Ethereum a un plan pour passer au post-quantique. Ils reconnaissent que les ordinateurs quantiques existeront et qu'il y a un Jour-Q. » Maintenant, ils se posent des questions sur le calendrier et le niveau d'effort. J'ai pris le tweet de Vitalik sur la feuille de route post-quantique, je l'ai soumis à Claude et j'ai demandé : « Quel est le niveau d'effort ici ? » Claude a répondu : « Considérez que c'est un neuf sur dix. » C'est l'une des mises à jour les plus importantes qu'Ethereum fera jamais. Nous l'avons comparée à La Fusion, où nous avions un avion en plein vol et avons remplacé le moteur de preuve de travail (PoW) par la preuve d'enjeu (PoS). Maintenant, nous remplaçons une grande partie de la cryptographie de base. Pouvez-vous nous en donner l'envergure ? Serons-nous prêts d'ici 2032 ? À quel point est-ce difficile ? Cela semble-t-il intimidant ?

Justin Drake : Oui. Deux parties à la réponse. Premièrement, c'est en fait encore plus ambitieux que la façon dont vous l'avez présenté. Le changement apporté à la cryptographie est si invasif qu'il s'agit essentiellement d'une réécriture de la couche de consensus, au minimum. Et si nous devons réécrire la couche de consensus, autant le faire correctement — y intégrer toutes les améliorations et nettoyer toute la dette technique. C'est le projet Lean Consensus, où nous regroupons plusieurs réécritures, y compris la finalité à créneau unique avec la mise à jour post-quantique.

Donc oui, c'est très ambitieux. Nous repartons de zéro et construisons quelque chose d'incroyablement beau, simple, efficace et dont la sécurité est prouvable. La bonne nouvelle, c'est que repartir de zéro est plus simple à bien des égards, car vous n'avez pas toute la dette technique. Nous pouvons réécrire les spécifications pour qu'elles soient aussi minimales et simples que possible. C'est de là que vient la terminologie « lean » (épuré) — une simplicité maximale, où l'ensemble de la fonction de transition d'état représente essentiellement un millier de lignes de code Python qu'un lycéen brillant peut simplement lire.

Actuellement, nous avons des devnets pour Lean Consensus. Et les spécifications sont si faciles à assimiler que nous avons vu environ 10 équipes les implémenter, rejoindre le devnet, et ce sans même contacter la Fondation Ethereum. La barrière à l'entrée est relativement basse. Nous sommes dans ce monde où le développement de l'IA signifie que vous pouvez, dans une large mesure, coder votre client au feeling (vibe-code). C'est l'une des principales raisons pour lesquelles nous avons autant de clients — souvent des équipes d'une seule personne, ou de deux ou trois personnes.

Je pense que cela aura des conséquences intéressantes pour la durabilité ainsi que pour la gouvernance. En matière de gouvernance, la façon dont nous procédons aujourd'hui est, grosso modo,

Gouvernance d'Ethereum et date d'achèvement en 2029 (1:10:41)

que nous avons cinq clients de la couche de consensus et qu'ils doivent tous implémenter la mise à niveau pour aller de l'avant. À l'avenir, lorsque nous aurons 10 ou 15 clients, nous pourrons simplement exiger que les 80 % les meilleurs ou les 80 % les plus rapides le fassent pour aller de l'avant. C'est plutôt une compétition darwinienne qui nous permet d'avancer beaucoup plus vite sans attendre le client le plus lent.

David Hoffman : Serons-nous donc prêts d'ici 2032 ? À quel moment serons-nous prêts ?

Justin Drake : Toute la feuille de route prévoit tout jusqu'en 2029,

David Hoffman : Ce qui est fondamentalement la même feuille de route que celle que vous avez présentée lors de votre conférence à la DevCon où vous avez introduit la Beam Chain. Et à l'époque, les gens l'ont détestée.

Justin Drake : Oui, c'était ma diapositive la plus détestée, car elle s'étalait sur quatre ans et demi. Historiquement, j'ai toujours été mauvais avec les délais — beaucoup trop optimiste. Mais en vieillissant et en ayant des cheveux blancs, je m'améliore sur les délais. Je pense que c'était un calendrier réaliste et prudent qui a contrarié les gens. Mais c'est comme ça.

David Hoffman : Aussi, juste pour le contexte, les gens se sont énervés en partie parce que c'était pendant le pic de dynamique de Solana, face à un manque perçu de dynamique technique sur la feuille de route d'Ethereum. Ce n'était pas seulement le délai de quatre ans — c'était aussi le contexte du moment.

Justin Drake : Exactement. Nous sommes donc maintenant à environ trois ans de l'échéance. Je suis relativement confiant que nous pourrons atteindre l'étape de 2029, et je pense qu'il y a même une opportunité d'aller plus vite grâce à l'IA.

David Hoffman : Donc d'ici 2029, tout cela serait implémenté si cela respecte la feuille de route — tout ce dont nous venons de parler.

Justin Drake : Vous promettez ? Tout.

Ryan Sean Adams : N'y a-t-il pas quelque chose dans un coin de ma tête à propos d'un ancien développeur de logiciels qui m'a dit que les réécritures ne fonctionnent jamais ? Pourquoi cela ne s'applique-t-il pas ici ?

Justin Drake : Une bonne nouvelle est que nous avons déjà effectué ce type de grande réécriture, comme vous y avez fait allusion, avec La Fusion. Nous avons complètement changé les fondations de consensus d'Ethereum, passant de la preuve de travail (PoW) à la preuve d'enjeu (PoS). C'est une preuve d'existence que cela peut être fait. Ethereum n'est pas étranger aux projets ambitieux — nous avons eu d'autres choses très ambitieuses comme le danksharding et l'échantillonnage de la disponibilité des données à une échelle similaire.

Une autre bonne nouvelle est que nous n'avons pas le choix. Nous devons changer la cryptographie. C'est un facteur contraignant très fort, et cela seul représente de toute façon une réécriture à 80 %.

Cela rend la coordination et l'atteinte d'un consensus beaucoup plus simples.

Le quantique n'est pas seulement un problème pour la crypto (1:15:06)

David Hoffman: Je suppose que nous devrions souligner que ce n'est pas seulement Ethereum qui n'a pas le choix — personne dans la crypto n'a d'alternative à cela. Tout le monde dans la crypto doit faire une réécriture. Avec Bitcoin, c'est juste ECDSA, mais c'est déjà suffisant en soi.

Justin Drake: Oui. Il est possible qu'Ethereum doive faire une réécriture plus importante que les autres chaînes, et cela est lié au nombre de validateurs. Si vous n'avez que 100 validateurs, vous pouvez absorber le coût des signatures 10 fois plus grandes au niveau de la couche de consensus. Pour la plupart des chaînes à preuve d'enjeu (PoS), vous n'avez pas besoin de la sophistication que nous avons. Mais pour Ethereum, nous espérons avoir des dizaines de milliers de validateurs votant à chaque créneau — des milliers de signatures par seconde — et nous devons faire preuve de beaucoup de créativité.

Là où je serais d'accord avec vous, c'est qu'il doit y avoir un très grand changement pour toutes les chaînes de blocs au niveau de la couche d'exécution. Mais la bonne nouvelle pour les autres chaînes, c'est qu'Ethereum fait tout le travail préparatoire. Nous construisons Lean VM, nous allons vérifier formellement l'ensemble, et ils pourront simplement le copier-coller. C'est en grande partie un travail d'intégration facile.

Ryan Sean Adams: Nick Carter a tweeté : "L'une des idées fausses les plus stupides est que les gens pensent que leur pièce va gagner si seulement Bitcoin meurt — comme les gens de Zcash qui se battent contre Bitcoin sur la question du quantique. C'est exactement l'inverse. Si Bitcoin meurt, plus personne ne fera jamais confiance à la monnaie d'Internet. Toutes les pièces profitent du sillage de Bitcoin." Quelle est votre réaction face à ce sentiment ?

Justin Drake: Je ne suis pas d'accord avec Nick Carter. Nick a toujours été contrarié quand je tweete sur le budget de sécurité. Il pense que c'est destructeur pour l'ensemble de l'industrie d'en parler, même si les fondamentaux s'alignent avec ce que je dis. Ironiquement, il fait la même chose avec le quantique que ce que je fais avec le budget de sécurité — essayer de forcer la discussion et de forcer le changement.

Ryan Sean Adams: Mais qu'en est-il de la vision plus globale ? Disons que nous arrivons en 2032, Ethereum est sécurisé contre les attaques quantiques, Bitcoin ne l'est pas, Bitcoin est attaqué de l'une des manières que nous avons décrites — il y a cette chasse au trésor en cours et une incertitude sur le marché. Ce que dit Nick, c'est de ne pas s'en réjouir car ce sera mauvais pour toutes les chaînes de la crypto. Il dit que le sort de Bitcoin dicte celui de tout le monde. Si vous voulez un mème de monnaie d'Internet comme réserve de valeur, Bitcoin doit mener cette charge. Il n'y a pas de scénario de "basculement" où Ethereum pourrait dire : "Notre chaîne est sécurisée post-quantique et nous n'avons pas les problèmes de Bitcoin." Il dit que cela fera s'effondrer tout l'espace crypto, du moins du point de vue de la monnaie d'Internet comme réserve de valeur.

Justin Drake: Je ne suis pas d'accord. Il suffit de regarder l'analyse historique — les coquillages ont été remplacés par le sel, puis par l'argent, puis par l'or, et maintenant potentiellement Bitcoin qui remplace l'or. Ce n'est pas parce que l'or échoue que la chose suivante doit aussi échouer. Je dirais qu'Ethereum est le successeur très naturel de Bitcoin en tant que monnaie d'Internet. Et ce n'est pas parce que Bitcoin échoue qu'Ethereum doit échouer. Je conviens qu'il pourrait y avoir des difficultés à court terme, mais nous parlons aussi de gains à long terme.

L'opportunité post-quantique et le bilan du budget de sécurité (1:20:27)

David Hoffman : Alors, qu'obtenons-nous à la fin de tout cela ? En 2030, Ethereum est sécurisé contre les attaques post-quantiques parce que Justin l'a promis. Que devient Ethereum ? Est-il le seul de sa catégorie, ou vous attendez-vous à ce que d'autres chaînes de blocs suivent et atteignent également la sécurité post-quantique ? Pouvez-vous décrire le système que nous aurons en 2030 si tout cela se réalise ?

Justin Drake : Un changement de mentalité intéressant pour moi ces derniers mois est que j'ai arrêté de considérer le post-quantique comme un obstacle à surmonter. Je le vois plutôt comme une opportunité. C'est une opportunité pour Ethereum de se démarquer comme le tout premier système financier mondial sécurisé contre les attaques post-quantiques — non seulement par rapport à des concurrents comme Bitcoin, mais aussi par rapport aux monnaies fiduciaires et à la finance traditionnelle (TradFi). Je pense que cela enverrait un message très fort et constituerait un argument de vente très naturel en matière de sécurité pour que le monde migre vers Ethereum.

Non seulement c'est une opportunité pour Ethereum de se distinguer par rapport à ses pairs, mais c'est aussi une opportunité pour Ethereum de devenir la meilleure version de lui-même. Cela nous ramène à l'idée que le passage au post-quantique est essentiellement une réécriture et que c'est une opportunité massive de repartir de zéro et d'effacer la dette technique.

Un point de donnée intéressant : la chaîne balise originale (OG) a été lancée en 2020, et sa conception a été figée un an auparavant, en 2019. Donc, lorsque nous déploierons la chaîne balise allégée (Lean Beacon Chain) en 2029, nous mettrons à niveau quelque chose qui a 10 ans. Dans la crypto, 10 ans, c'est une éternité. Nous avons tellement appris que la chaîne balise allégée sera très différente de la chaîne balise originale. Vous pouvez la considérer comme la preuve d'enjeu (PoS) 2.0.

Ryan Sean Adams : Nous vivons une époque très intéressante en ce qui concerne l'informatique. Il semble y avoir trois plateformes et paradigmes informatiques à la pointe : l'IA, que tout le monde connaît ; le quantique, qui en est peut-être là où l'IA en était en 2018 ; et la crypto et la cryptographie, illustrées par des chaînes de blocs comme Ethereum et Bitcoin. On a presque l'impression d'entrer dans une singularité de ces trois éléments, où l'IA accélère le quantique et la cryptographie, et où la cryptographie va servir de contrepoids à certains des vecteurs de centralisation de l'IA. Que pensez-vous de tout cela ?

Justin Drake : C'est très difficile à prédire, mais comme vous l'avez dit, il y a cette coïncidence très étrange où 2032 semble être l'année où l'informatique en général atteindra la singularité. Les gens parlent de la singularité de l'IA potentiellement même avant 2032. Il y a l'IA 2027, le très célèbre article. Je ne pense pas que nous aurons une superintelligence en 2027, mais je pense que c'est probable d'ici 2032.

Nous commençons déjà à le voir — hier encore, Dario Amodei, l'un des pionniers (OG) de l'IA, a commencé à faire en sorte que les IA s'améliorent de manière récursive et autonome, ce qui est extrêmement effrayant. C'est fondamentalement ce qui devrait déclencher la courbe exponentielle vers la superintelligence.

La crise du budget de sécurité de Bitcoin et l'échéance de 2032 (1:25:12)

Nous avons 2032 comme potentiel jour Q (Q-Day), et nous avons aussi 2032 où Bitcoin connaîtra ce que je crois être son dernier halving. Vous pourriez l'appeler le jour B (B-Day) — le jour de Bitcoin où il y aura une sorte d'heure de vérité, car l'émission sera beaucoup trop faible pour le sécuriser.

Dans deux ans, nous aurons un halving, et dans six ans, en 2032, nous en aurons un autre. L'histoire de la sécurité de Bitcoin au cours des 15 à 16 dernières années a été que les frais de transaction remplaceront l'émission. Je vous invite à regarder les données — cela ne se produit tout simplement pas. Les frais de transaction représentent aujourd'hui 0,6 % de l'émission. Alors oubliez les frais de transaction.

Nous allons assister à une dégradation exponentielle de la sécurité de Bitcoin. Aujourd'hui, Bitcoin est sécurisé par environ 10 gigawatts. Et voici une statistique époustouflante : chaque jour, la Chine déploie un gigawatt, principalement en énergie solaire. Ainsi, 10 jours de déploiement en Chine suffisent pour mener une attaque des 51 % sur Bitcoin.

David Hoffman : En termes de coût énergétique — cette chose qui protège Bitcoin — la Chine produit autant d'énergie qu'il en faut pour sécuriser Bitcoin tous les 10 jours.

Justin Drake : En termes de consommation électrique, Bitcoin consomme 10 gigawatts. Un gigawatt correspond à peu près à une centrale nucléaire, donc 10 centrales nucléaires. La Chine déploie l'équivalent d'une centrale nucléaire chaque jour. Et c'est l'un des principaux goulots d'étranglement. L'autre goulot d'étranglement est le matériel — un million de rigs. Cela coûterait environ 10 milliards de dollars à réaliser, ce qui, dans l'absolu, n'est qu'une broutille, tant par rapport à la capitalisation boursière de Bitcoin que pour un attaquant étatique.

David Hoffman : Quand vous parlez ainsi de Bitcoin, cela me fait presque penser que vous ne considérez plus que Bitcoin devrait être l'avant-garde de la crypto. L'idée est que Bitcoin a des failles du point de vue du budget de sécurité et de la perspective quantique, et qu'Ethereum va diriger la crypto par la suite.

Justin Drake : Je reste optimiste sur le quantique — en fin de compte, c'est un défi technique qui peut être surmonté. Le plus gros problème est le budget de sécurité, car cela touche à l'ADN même de Bitcoin : le plafond de 21 millions et la preuve de travail (PoW). Je ne vois pas comment on peut combiner la preuve de travail (PoW) et un plafond de 21 millions. Il faut renoncer à l'un des deux.

Il y a une possibilité que le BTC en tant qu'actif puisse se découpler de la chaîne Bitcoin et vivre sur une chaîne plus sécurisée — par exemple, en tant que jeton ERC-20 sur Ethereum. Mais dire ces mots — les Bitcoiners ne pensent pas comme ça.

David Hoffman : Non, en effet.

Justin Drake : Et si je disais d'autres mots comme : « Nous allons simplement supprimer la limite des 21 millions parce que le budget de sécurité n'est pas suffisant » — les Bitcoiners ne pensent pas non plus de cette façon. Ils foncent droit dans le mur, et 2032 est l'heure de vérité.

Récolter maintenant, déchiffrer plus tard — les risques quantiques au-delà de la crypto (1:30:09)

Ryan Sean Adams : Qu'en est-il du quantique par rapport au reste de la société ? Ce n'est pas seulement un problème lié à la crypto. Les chaînes de blocs y sont particulièrement sensibles, mais d'autres composantes de la société le sont également. Dans quelle mesure un Ethereum post-quantique représente-t-il un outil pour la société afin de résoudre et de prévenir des problèmes dans un monde post-quantique et post-IA ?

Justin Drake : Il existe fondamentalement deux types de cryptographie. Il y a la cryptographie en temps réel où vous signez des messages en temps réel sans impact matériel sur les actions passées. La mise à niveau vers le post-quantique devrait être relativement simple pour la majeure partie d'Internet. Il y a quelques exceptions — par exemple, les satellites qui ont déjà été déployés et qui ne peuvent littéralement pas être mis à niveau.

Ensuite, il y a un autre problème avec le chiffrement : si du contenu a été chiffré aujourd'hui et que vous n'utilisez pas de chiffrement sécurisé post-quantique, ces données pourront être déchiffrées à l'avenir. Il y a toute cette catégorie d'attaques appelée « récolter maintenant, déchiffrer plus tard ». Je pense qu'il est réaliste d'envisager que nous aurons des déchiffrements massifs dans la société — de nombreux messages Signal, messages Telegram ou des quantités massives de messages Gmail tous déchiffrés simultanément. Cela pourrait avoir un impact très important sur la société.

Ethereum en tant qu'accélérationnisme défensif et risque existentiel lié à l'IA (1:30:09)

Ryan Sean Adams : Justin, lorsque nous parlions de ces trois technologies informatiques, on a l'impression que celle qui se démarque est l'IA. Vous disiez que 2032 serait en quelque sorte le moment de l'AGI. Une question d'ordre général : en tant que cryptographe extrêmement talentueux, vous n'êtes pas une AGI. La crainte est qu'à mesure que nous entrons dans la singularité informatique, plus rien n'est garanti. Tous les plans bien conçus que nous faisons en 2026 pour que nos chaînes de blocs soient résistantes aux ordinateurs quantiques — et si l'AGI trouvait un autre moyen de casser notre cryptographie résistante aux ordinateurs quantiques ? En tant que cryptographe, êtes-vous inquiet des inconnues insoupçonnées de l'intelligence artificielle générale et des choses qu'elle pourrait casser ? Et si nous étions préparés pour un monde post-quantique mais pas pour un monde post-AGI ?

Justin Drake : En ce qui concerne la cryptographie, je suis assez confiant quant à sa solidité. La raison en est que vous pouvez prouver mathématiquement que votre cryptographie est correcte. La cryptographie est une sous-branche des mathématiques. Vous calibrez généralement ces problèmes complexes de manière à ce que si quelqu'un devait les casser informatiquement, cela utiliserait plus d'énergie qu'il n'y en a dans le système solaire.

Pour en revenir aux fondations cryptographiques que nous suggérons pour l'Ethereum post-quantique — les hashs — il n'y a rien de plus solide. C'est la cryptographie la plus faible que l'on puisse espérer avoir. C'est l'une des raisons pour lesquelles je suis prudent à l'idée de placer les fondations de l'internet de la valeur sur des réseaux euclidiens. Le NIST propose deux grandes variantes de signatures post-quantiques : celles basées sur les hashs et celles basées sur les réseaux euclidiens. Les éléments basés sur les réseaux euclidiens rappellent beaucoup les courbes elliptiques — des objets hautement structurés. Il est plausible qu'une AGI ou même une ASI, une super intelligence artificielle, des milliers de fois plus intelligente que toute l'humanité réunie, puisse les casser. Mais les fonctions de hachage — il y a des raisons de croire qu'elles sont solides.

Même si je ne suis pas trop inquiet pour la cryptographie, je suis inquiet pour quelque chose de beaucoup plus profond. Si l'on prend du recul, je suis de plus en plus inquiet du risque existentiel pour l'humanité. De plus en plus de gens commencent à comprendre ce qu'Eliezer essayait de dire sur Bankless il n'y a pas si longtemps.

Je pense qu'il est plausible que si l'humanité survit, Ethereum y joue un rôle clé. La métaphore que j'utilise est que l'humanité conduit une voiture à 100 miles à l'heure. Il y a ce piège de Moloch où les grands États-nations, TSMC, Nvidia, OpenAI — appuient tous sur l'accélérateur. Et la voiture n'a ni freins, ni ceinture de sécurité, ni airbag. Aujourd'hui, nous pouvons diriger la voiture de manière relativement confortable à 100 miles à l'heure. L'année prochaine, nous serons à 200, puis à 300. Tôt ou tard, nous conduirons à une vitesse irresponsable et nous nous écraserons.

Travailler sur Ethereum a pris un tout nouveau sens pour moi ces derniers mois. J'ignorais en grande partie l'IA, en partie parce que j'étais obsédé par les trucs liés à la chaîne de blocs, mais aussi parce que c'était un jouet il n'y a pas si longtemps. Mais à travers mon travail, en particulier avec la vérification formelle et le développement

Le sens de travailler sur Ethereum à l'ère de l'IA (1:35:08)

et en codant, je vois à quel point ces choses sont puissantes. Ces dernières semaines et ces derniers mois, j'ai été obsédé par l'IA, apprenant tout ce que je pouvais. Je ne suis en aucun cas un expert, et c'est peut-être juste une phase par laquelle les gens passent lorsqu'ils ouvrent la boîte de Pandore. Mais pour moi, travailler sur Ethereum se résume désormais à l'accélérationnisme défensif.

Je ne vois pas d'autres pans de la société travailler sur le système de freinage — tout le monde appuie sur l'accélérateur. La bonne nouvelle, c'est qu'Ethereum possède une grande partie de la réflexion et des outils qui pourraient apporter certaines des solutions. Dès le premier jour, nous partons du principe qu'il y a une adversité. Dès le premier jour, nous utilisons des technologies comme la cryptographie qui donnent du pouvoir aux plus faibles et garantissent que même les plus forts ne peuvent pas briser certaines choses de manière arbitraire. Nous essayons d'être une source de vérité, d'être décentralisés, de donner aux gens leur souveraineté.

Je pense qu'il est possible que dans les mois et les années à venir, nous assistions à une sorte de prise de conscience où la société se dira : « Oh merde ». Et cela pourrait devenir un impératif moral de commencer à travailler sur l'accélérationnisme défensif. Nous pourrions voir certains des esprits les plus brillants se tourner naturellement vers Ethereum comme solution potentielle — une partie d'un ensemble de solutions dont nous avons besoin pour faire face à cela.

Ryan Sean Adams : J'adore le fait que vous y pensiez, et il semble que votre travail sur Ethereum vous donne un sens. J'ai une autre question. Étant évidemment un grand fan d'Ethereum, l'une de mes inquiétudes si le destin de l'IA se réalise est qu'à un certain niveau, oui, c'est une technologie accélérationniste défensive — décentralisée, sans permission, qui donne le pouvoir aux petits plutôt qu'aux grands. Mais à un autre niveau, c'est numérique. Nous avons créé un système de droits de propriété, et il semble possible qu'une IAG ou une ASI puisse exploiter notre ordinateur mondial immuable et impossible à éteindre pour des choses dont l'humanité ne veut pas. Êtes-vous inquiet à un quelconque niveau qu'elle utilise simplement Ethereum — « Hé l'humanité, merci pour le système de droits de propriété, on prend le relais à partir d'ici » — et que vous ayez en fait accéléré une technologie qui va à l'encontre de l'humanité ?

Justin Drake : Je pense que c'est un point très juste. En fin de compte, Ethereum est un outil qui pourrait être utilisé à la fois par les humains et par les IA. C'est peut-être une façon de me rassurer, mais si vous enlevez Ethereum, il ne semble pas y avoir beaucoup d'autres produits alternatifs dans l'espace de l'accélérationnisme défensif. C'est presque entièrement accélérationniste. Alors oui, peut-être qu'Ethereum va accélérer certaines choses, mais c'est l'un des seuls espoirs que nous ayons pour l'accélération défensive. En tant que tel, je pense qu'il est toujours rationnel de livrer la feuille de route d'ici 2029 et de faire de mon mieux pour m'assurer qu'Ethereum sera prêt pour une ère de superintelligence artificielle.

Ryan Sean Adams : Juste une dernière question pour conclure. C'était absolument fantastique. C'est peut-être une question personnelle, car vous avez eu une prise de conscience sur l'IA au cours des derniers mois. Je remarque maintenant que vous nuancez avec « si l'humanité survit » — « Ethereum joue un rôle clé si l'humanité survit ». Ces mots sont difficiles à prononcer pour moi. La réelle possibilité que l'accélérationnisme technologique signifie que l'humanité ne survit pas. Comment gérez-vous cela personnellement ?

Justin Drake : Je suis relativement zen à ce sujet. J'ai atteint un point où je suis prêt à mourir. J'ai vécu une vie très heureuse.

Dernières réflexions sur la probabilité de fin du monde (1:40:04)

Ryan Sean Adams : Quoi ?

David Hoffman : Ça nous a choqués.

Ryan Sean Adams : Ce n'était pas la réponse à laquelle je m'attendais.

Justin Drake : Je pense qu'il faut simplement garder espoir. Il faut mettre de côté ce qu'on appelle la P(doom) — la probabilité de fin du monde. Ma P(doom) est maintenant relativement élevée. Je pense qu'elle est supérieure à 50 %. Mais je ne veux pas le dire à voix haute. Je ne veux pas—

Ryan Sean Adams : Tu ne veux pas vivre dans ce pessimisme.

Justin Drake : Exactement. Je ne veux pas me décourager et me rendre la vie misérable. Et peut-être plus important encore, je ne veux pas décourager les autres et leur faire perdre espoir. Je pense que nous devrions faire de notre mieux avec ce que nous avons. L'avenir est hautement imprévisible. Même si ma P(doom) a considérablement augmenté ces dernières semaines et ces derniers mois, c'est une opinion forte mais faiblement ancrée. Je veux que des personnes très intelligentes se manifestent et m'expliquent pourquoi je ne devrais pas avoir si peur et être plus optimiste et plein d'espoir.

Comme je l'ai dit, je n'y réfléchis que depuis quelques semaines et quelques mois à peine. Je ne fais qu'effleurer le sujet. Le grand déclic pour moi a été Opus 4.5, quand Emil m'a dit : « À partir de maintenant, l'IA m'aide réellement à devenir plus productif. » Avant cela, elle le ralentissait globalement. Et puis, ce que nous avons vu ces dernières semaines, ce sont des résultats encore plus impressionnants. Il y a environ un mois, l'un des lemmes clés des SNARK basés sur le hachage — le lemme de Polyshakes-Spielman — a été vérifié formellement en 8 heures, pour un coût de 200 $. Quelque chose qui aurait coûté 100 fois plus cher et pris 100 fois plus de temps si un humain l'avait fait.

J'ai également mentionné le résultat de la médaille Fields qui n'a pris que 5 jours pour générer une preuve de 500 000 lignes. Il est assez évident de voir où cela nous mène : nous allons avoir tous les théorèmes mathématiques connus vérifiés et contrôlés par l'IA, avec toutes les coquilles corrigées. Pour un petit sous-ensemble de « théorèmes », nous aurons même la démonstration qu'ils sont incorrects, avec des contre-exemples. La programmation est déjà en grande partie résolue, ensuite nous résoudrons le progrès scientifique. Les choses deviennent philosophiques extrêmement vite — c'est peut-être pour un autre épisode.

Ryan Sean Adams : Je pense que c'est pour un autre épisode. C'est une réponse fantastique cependant. J'apprécie votre point de vue sur la façon d'aborder cela avec un certain niveau de stoïcisme, puis de capacité d'action — en travaillant sur des choses qui ont du sens pour vous. Nous espérons, si l'humanité survit, faire beaucoup d'autres podcasts de ce genre avec vous à l'avenir. C'est toujours un plaisir de vous recevoir, Justin Drake. Merci beaucoup.

Justin Drake : Merci.