Il piano quantistico di Ethereum prima del Q-Day con Justin Drake

Un'intervista con Justin Drake, ricercatore della Fondazione Ethereum, che copre la roadmap post-quantistica di Ethereum, la visione Lean Ethereum, le innovazioni nella verifica formale e una discussione sincera sul rischio esistenziale dell'IA.

Questa trascrizione è una copia accessibile della trascrizione originale del video (opens in a new tab) pubblicata da Bankless. È stata leggermente modificata per facilitarne la lettura.

Introduzione e la minaccia quantistica (0:00)

Justin Drake: Un interessante cambio di mentalità per me negli ultimi mesi è che ho smesso di pensare al post-quantistico come a un ostacolo da superare e lo considero più come un'opportunità. È un'opportunità per Ethereum di distinguersi come il primissimo sistema finanziario globale sicuro a livello post-quantistico, non solo rispetto ai suoi concorrenti come Bitcoin e simili, ma anche rispetto alle valute fiat e alla finanza tradizionale (TradFi). E penso che invierebbe un messaggio molto forte e sarebbe una sorta di naturale punto di forza in termini di sicurezza per spingere il mondo a migrare verso Ethereum.

Ryan Sean Adams: Bankless Nation, siamo di nuovo in compagnia di Justin Drake. Parleremo di informatica quantistica in relazione alle cripto, a Bitcoin e anche a Ethereum. Justin, bentornato al podcast.

Justin Drake: Ciao ragazzi. Grazie per avermi invitato di nuovo.

David Hoffman: Quindi il quantistico è diventato una sorta di grande minaccia incombente per il nostro settore. In un certo senso lo abbiamo sempre saputo. È stato in gran parte teorico. Negli ultimi sei mesi circa, il quantistico è passato fermamente dall'essere teorico a qualcosa che ha un impatto materiale sul nostro settore. A partire dal solo prezzo di Bitcoin, perché i gestori di fondi — persino BlackRock ha pubblicato articoli sulla minaccia del quantistico per la sicurezza e quindi per il valore di Bitcoin. Quindi abbiamo visto aneddoticamente persone ridurre il peso di Bitcoin nei loro portafogli. Forse questo sta anche sopprimendo il prezzo di tutti gli altri asset nel settore.

Non per parlare solo di prezzo, ma per come lo capiamo, il quantistico ha un impatto reale sul modo in cui funzionano le blockchain. Quindi questo sembra essere un problema fondamentale del nostro settore nel suo complesso. Un ostacolo che il nostro settore deve superare: quando le cripto e la blockchain sono state create in primo luogo, non eravamo attrezzati per diventare post-quantistici come settore. Quindi, forse per iniziare con un po' di contesto, qual è la tempistica qui? Quando arriverà questo ostacolo? Ho sentito chiamarlo Q-Day. Quando è il Q-Day? Quanto tempo abbiamo per superare questo ostacolo quantistico?

Justin Drake: Sì. Vorrei solo fare un piccolo passo indietro e sottolineare quello che hai detto, ovvero che negli ultimi 6-12 mesi abbiamo avuto importanti scoperte. Una di queste è la nozione di correzione degli errori. Siamo in grado di passare dai cosiddetti qubit fisici, che sono molto rumorosi e inclini agli errori, a qubit perfettamente logici. Al momento possiamo fondamentalmente produrre un qubit logico, ma è comunque un momento da zero a uno molto importante e ora si tratta di scalarlo a più qubit logici. Un'altra grande scoperta riguarda il lato algoritmico. In precedenza pensavamo che ci sarebbero voluti milioni, in realtà decine di milioni di qubit fisici per violare la nostra amata crittografia. Ma l'anno scorso c'è stato un articolo che ha apportato un miglioramento di 10 volte, portandolo a 1 milione di qubit fisici. E quest'anno abbiamo un altro miglioramento di 10 volte, portandolo a 100.000 qubit.

Quindi i traguardi si stanno avvicinando sempre di più, e si ha questa doppia esponenziale in un certo senso che alla fine si incrocerà. E poi un'altra cosa che è successa riguarda il lato degli investimenti: molte startup quantistiche hanno raccolto miliardi di dollari. L'anno scorso credo che stessimo parlando di un ordine di grandezza di 5 miliardi di dollari, il che non ha precedenti. In precedenza parlavamo di centinaia di milioni. E penso che il culmine di tutte queste cose abbia davvero galvanizzato il pubblico e portato a questa narrativa che ha effettivamente avuto un potenziale impatto sul prezzo di Bitcoin ed ether.

Ora, proiettandoci nel futuro, il mio Q-Day personale è nel 2032. Questa è una visione un po' ottimistica nel senso che è possibile che arrivino un po' più tardi, ma dobbiamo essere preparati per lo scenario peggiore. Quindi direi che c'è almeno l'1% di probabilità che il Q-Day sia nel 2032, più probabilmente una percentuale a due cifre. Vari esperti vi diranno una data compresa tra il 2031 e il 2038. Uno dei miei amici nel settore, Steve Bryley, fondatore e CEO di una delle più grandi aziende di correzione degli errori quantistici al mondo, che si dà il caso abbia sede a Cambridge dove mi trovo io: il suo Q-Day personale era il 2032, ma ha questa data in mente da 15 anni

Quando sarà il Q-Day e come ci prepariamo? (5:08)

ed è sempre rimasto lo stesso.

Ryan Sean Adams: Wow, è una continuità impressionante.

Justin Drake: E in pratica, devi solo estrapolare gli esponenziali ed è lì che arrivi. E quindi quello che stiamo cercando di fare con Ethereum è assicurarci di avere tutto pronto ben prima del 2032. E la mia data di completamento affinché Ethereum sia completamente sicuro a livello post-quantistico è il 2029.

David Hoffman: Quindi un anno fa ti abbiamo ospitato insieme a Scott Aaronson, che è una sorta di padrino in questo campo. Abbiamo fatto alcune domande sul Q-Day. Una buona definizione di Q-Day è il giorno in cui i computer quantistici potranno violare i nostri schemi di firma come l'ECDSA? È questo che significa realmente Q-Day?

Justin Drake: Sì, esattamente. Quindi abbiamo questo nuovo termine chiamato CRQC — computer quantistico crittograficamente rilevante. Se strizzi un po' gli occhi, la Q al centro diventa una O e sembra un coccodrillo, "croc". È allora che diventa rilevante per noi. È possibile che ci saranno altre applicazioni che renderanno i computer quantistici utili per la chimica o la fisica, ma questo avverrà un po' più tardi.

David Hoffman: Ricordo che all'epoca era un po' cauto. Questo accadeva un anno fa, nel gennaio 2025, e disse che entro 10 anni avremmo dovuto avere computer quantistici utili e tolleranti ai guasti, ma fu molto attento a precisare che ciò non significava che saremmo stati in grado di violare l'ECDSA. Non ha voluto sbilanciarsi su una data perché ha detto che si trattava di un problema ingegneristico incredibilmente difficile. Ho notato che il suo tono è cambiato nell'ultimo anno e, in effetti, si è unito ad alcune organizzazioni e fondazioni per aiutare le criptovalute ad affrontare l'era quantistica. È per i tre motivi che sottolinei: scoperte negli algoritmi, correzione dei guasti che ci consente di scalare i qubit logici e poi i miliardi di finanziamenti VC che vi sono stati riversati? La sua opinione è cambiata?

Justin Drake: Non posso parlare per lui, ma una cosa che dovremmo notare è che Scott è principalmente un teorico. Per molto tempo ha lavorato sulla teoria, non tanto sulla quotidianità dei computer quantistici, e penso che questo fosse in parte il motivo per cui era così cauto. Quello che sta succedendo sempre di più è che ci sono aziende reali, veri imprenditori che costruiscono queste cose e lui ha una visione dall'interno. In pratica sta assimilando tutte queste informazioni. Una delle cose che ha detto di recente è che il governo degli Stati Uniti sta iniziando a intervenire sulla pubblicazione delle idee. Quindi abbiamo aziende e accademici che potrebbero proporre miglioramenti all'algoritmo di Shor, e questi non vengono completamente divulgati, potenzialmente per motivi di sicurezza nazionale.

Qubit fisici, qubit logici e violazione dell'ECDSA (10:11)

David Hoffman: Wow. Okay. Quindi sembra che i governi si stiano intromettendo in questo. Non siamo davvero sicuri di tutto il lavoro che si sta svolgendo dietro le quinte — a questo punto siamo a conoscenza solo del lavoro commercialmente valido. Riguardo alla parte dei qubit logici, hai detto che al momento abbiamo un qubit logico. Ci sono qubit fisici e qubit logici, e la cosa da scalare sono i qubit logici. Per violare l'ECDSA, di quanti qubit logici abbiamo effettivamente bisogno? Questa è una metrica che sto osservando, ma è il numero giusto? Ho sentito persone parlare della necessità di averne mille, o forse 1.500. È un numero a cui dovremmo prestare attenzione?

Justin Drake: Sì, quindi ci sono diverse metriche rilevanti. C'è il numero totale di qubit fisici, il numero totale di qubit logici e anche il numero totale di passaggi necessari per eseguire l'algoritmo. E questo ha un impatto reale perché determinerà se ci vorrà un minuto per violare una chiave, un giorno, una settimana, un mese o un anno.

David Hoffman: E quali sono i fattori di scala per ciascuno di essi: fisici, logici e poi il tempo di esecuzione dell'algoritmo?

Justin Drake: Quindi, in parole povere, il numero di qubit fisici per ottenere un qubit logico oggi è di qualche centinaio, diciamo un migliaio. Quello che dovrebbe succedere è che la qualità dei qubit fisici, le cosiddette fedeltà, dovrebbe aumentare, e dovremmo anche ideare codici di codifica a cancellazione migliori che miglioreranno questo rapporto. Quindi è possibile che in futuro avremo bisogno solo di 100 qubit fisici per ogni qubit logico, o forse solo 10.

Quando si guarda all'algoritmo per violare il logaritmo discreto e l'ECDSA, in parole povere è un piccolo multiplo del numero di bit nella curva. Stiamo lavorando con questa curva chiamata secp256k1. Il 256 sta per 256 bit. Quindi prendi questo numero e lo moltiplichi per cinque o sei, e questo ti darà all'incirca il numero di qubit logici di cui hai bisogno, quindi diciamo 1.500. Poiché oggi siamo a un qubit logico, in un certo senso siamo lontani tre ordini di grandezza, come tre 10x per arrivarci. Ma di nuovo, avremo miglioramenti sul lato della correzione degli errori che ridurranno quel rapporto, e miglioramenti sul lato algoritmico che ridurranno il numero di qubit logici necessari.

Ora, per quanto riguarda i tempi di esecuzione, questo è piuttosto interessante perché ci sono due varianti di computer quantistici: a clock veloce e a clock lento. Il clock veloce opera molto rapidamente, quasi alla velocità della luce. Ci sono i computer quantistici superconduttori e i computer quantistici fotonici: i fotonici, come suggerisce il nome, usano i fotoni, la luce, il che spiega perché sono così veloci. Poi c'è il clock lento: ioni intrappolati e atomi neutri. I nomi non contano molto, ma in parole povere operano mille volte più lentamente. Ogni architettura e modalità ha i suoi vantaggi e svantaggi. Quindi è del tutto possibile che all'inizio potremmo vedere una modalità a clock lento avere la meglio, nel senso che saranno i primi a violare una chiave, ma ci vorrà molto tempo: potrebbe volerci una settimana o un mese. Quindi, in un certo senso, il Q-Day non è del tutto bianco o nero; ci sarà un periodo in cui sarà in qualche modo violato, ma solo per i primissimi indirizzi di alto valore.

David Hoffman: Interessante. Ma il Q-Day potrebbe anche avvenire dietro le quinte senza che noi sappiamo a che punto siamo realmente.

Justin Drake: Sì. E se davvero sarà uno stato nazione ad avere accesso per primo a questi computer quantistici, a meno che le cripto non giochino un ruolo sistemico importante nel mondo, è molto probabile che useranno i loro poteri per attaccare le cose in modo furtivo, ad esempio per spiare i loro avversari. Quindi questo gioca a nostro favore. Ma se hai a che fare con un'entità puramente razionale motivata dai dollari, potrebbero effettivamente puntare a Bitcoin o Ethereum.

Data center quantistici e lo scenario di attacco del Q-Day (15:10)

David Hoffman: Ultima domanda sui qubit. Si stanno costruendo data center per il calcolo quantistico in questo momento? Abbiamo questa massiccia espansione di data center per l'IA. Sta iniziando ad accadere qualcosa di simile per i computer quantistici?

Justin Drake: Sì. Stavo leggendo questo comunicato stampa di Continuum. Stanno costruendo un computer quantistico basato sulla fotonica e sono molto discreti. Hanno raccolto molti fondi — miliardi di dollari, in parte dal governo australiano — e in un certo senso vogliono realizzare i computer quantistici in un colpo solo. Molto di ciò che fanno le altre aziende è costruire piccole prove di concetto per poi aumentare la scala, ma loro vogliono costruire l'intero sistema fin dal primo giorno. Quindi stanno costruendo questo enorme data center. Penso che questo sia dovuto alla modalità: la fotonica non richiede le temperature estremamente fredde necessarie per altre modalità come la superconduzione. Quindi puoi prendere un data center dall'aspetto molto più tradizionale e metterci il tuo computer quantistico.

Ryan Sean Adams: Hai appena parlato di come il Q-Day non sia in realtà bianco o nero. Ci sono diverse cose in una blockchain che sono rilevanti per il quantistico, ciascuna con un diverso livello di suscettibilità quantistica. Ma voglio prendere la posizione che in realtà il Q-Day sia un evento specifico e acuto: è quando avviene l'attacco effettivo e di conseguenza qualcosa si rompe. Forse questo è diverso per le varie blockchain perché i profili di rischio delle diverse blockchain non sono uniformi. Ma possiamo parlare del Q-Day per Bitcoin partendo dal presupposto che Bitcoin non faccia nulla. Se supponiamo che Bitcoin non si adatti, c'è un giorno specifico in cui Bitcoin viene attaccato. Come si presenterebbe? Cosa succederebbe in quel giorno? Qual è l'obiettivo più facile per un computer quantistico che attacca Bitcoin?

Justin Drake: Fondamentalmente, devi guardare agli incentivi per attaccare. La mossa razionale per un attaccante è andare a prendere gli indirizzi più grandi e, in realtà, forse anche prima di questo, andare a prendere o gli indirizzi in cui c'è una privacy perfetta o gli indirizzi in cui c'è una negabilità plausibile. Lasciami esaminare questi punti uno per uno. Il primissimo bersaglio sarà probabilmente Zcash, perché se attacchi Zcash puoi coniare un numero arbitrario di ZEC e nessuno lo saprà. Quindi il Q-Day non sarà reso pubblico.

David Hoffman: Aspetta, giusto per essere chiari: Zcash non è sicuro a livello post-quantistico in questo momento? Anche se sta usando gli ZK-SNARKs e tutto il resto?

Justin Drake: Sì, sta usando SNARK basati su curve che sono suscettibili di essere violate dai computer quantistici.

David Hoffman: Okay. E poi un potenziale gruppo di vittime potrebbero essere le persone che sono morte e hanno semplicemente perso le loro monete. Se qualcuno ruba le loro monete, nessuno si lamenterà: c'è una certa dose di negabilità plausibile.

Ryan Sean Adams: Ma lo noteremmo, voglio dire, se iniziassimo a vedere monete di persone—

Justin Drake: Sì e no, perché lo stiamo già vedendo oggi. Ogni trimestre circa c'è qualche indirizzo zombie che non si muove da 13 anni, e resuscita, e nessuno conosce il vero motivo.

Ryan Sean Adams: Giusto? È come un portafoglio Bitcoin di 13 anni fa che non ha avuto una transazione da quando hanno estratto i 50 bitcoin un'eternità fa, e fa la sua prima transazione in 13 anni. Che quella persona sia ancora viva e stia solo risvegliando un portafoglio inattivo o che si tratti di un attacco di calcolo quantistico, uno spettatore ingenuo che guarda semplicemente la blockchain di Bitcoin non può notare la differenza.

Justin Drake: Esattamente. Sì. E poi probabilmente andresti ad attaccare il pesce più grosso, che potrebbe essere qualche exchange che non ha implementato l'infrastruttura corretta per proteggersi. Si scopre che c'è una mitigazione molto semplice per i computer quantistici, almeno per i primissimi: non riutilizzare i tuoi indirizzi. Quando riutilizzi il tuo indirizzo, riutilizzi la chiave pubblica, e questo significa che un attaccante ha il tempo di decifrare la chiave privata corrispondente e poi rubare i tuoi fondi la seconda volta che usi l'indirizzo. Quindi la migliore pratica dovrebbe essere che se stai conservando dei fondi in cold storage a lungo termine, dovrebbe essere un indirizzo pulito per il quale la chiave pubblica corrispondente non è mai stata rivelata. Giusto per essere estremamente chiari: ciò che un computer quantistico ti permette di

Indirizzi Bitcoin vulnerabili e le monete di Satoshi (20:08)

fare è risalire dalla chiave pubblica alla chiave privata. Quindi mette davvero a repentaglio le basi della proprietà.

Ryan Sean Adams: Quindi le monete inattive da tempo, indipendentemente dalla blockchain, che hanno avuto la loro chiave pubblica esposta — che non sono tutte le monete inattive, ma una grande percentuale — sono a rischio. Queste sono le monete di Satoshi. Satoshi ha le sue monete in un portafoglio che le persone conoscono. Questo è il motivo per cui le chiamiamo le monete di Satoshi, perché sappiamo dove si trovano. Quale percentuale di bitcoin è suscettibile a questo?

Justin Drake: Sì, c'è questa pagina web chiamata "Qisk List" — scritta con la Q invece della C — di questa azienda chiamata Project 11, dove hanno questa dashboard che ti dà una visione in tempo reale degli indirizzi vulnerabili. Credo sia nell'ordine del 35%.

David Hoffman: Il 35% dei bitcoin.

Justin Drake: Sì. Quindi milioni di Bitcoin — diciamo sei o sette milioni. Sì, si tratta di centinaia di miliardi di dollari. E hai ragione sul fatto che include il circa 1 milione di BTC che Satoshi detiene. Ora, una delle caratteristiche interessanti dei BTC di Satoshi è che sono tutti in incrementi di 50 Bitcoin, perché quella era la ricompensa del blocco e lui usava un nuovo indirizzo ogni volta che minava. È così che era programmato il software predefinito all'epoca. Se ci vuole, diciamo, un giorno o anche 10 minuti per hackerare una chiave pubblica, vedrai le monete di Satoshi venire prosciugate all'incirca alla stessa velocità con cui venivano minate all'epoca — una volta ogni 10 minuti circa.

Sarà un processo esteso nel tempo. E una conseguenza interessante è che se sei un pesce piccolo e hai significativamente meno di 50 bitcoin nel tuo indirizzo, allora sei a posto. Sei in un certo senso protetto da Satoshi prima di te.

David Hoffman: Giusto?

Justin Drake: Sì. Esattamente.

Ryan Sean Adams: Nell'analogia della fuga dagli zombi, devi solo non essere il più lento. In questo caso, dobbiamo non avere i portafogli più grandi che sono quantisticamente insicuri, perché punteranno semplicemente ai portafogli più grandi.

Justin Drake: Esattamente.

David Hoffman: Quindi il Q-Day avviene in uno scenario alla Justin Drake — forse Zcash è il primo a subire una qualche forma di attacco, poi potresti vedere alcuni indirizzi onchain che non si notano molto perché l'attaccante non vorrà attirare l'attenzione. Alcuni indirizzi su Bitcoin, ma poi l'attaccante alzerebbe il tiro e punterebbe a fonti di tesoro sempre più grandi. Ora, da quanto ho capito dagli articoli di Nick Carter, c'è una porzione dell'offerta di Bitcoin nello scenario delle monete perse — o l'individuo è deceduto, ha perso le sue chiavi private, o è Satoshi stesso. Penso che Nick abbia stimato la soglia minima a 1,7 milioni di Bitcoin, che sarebbe l'8,6% dell'offerta minata. Questo è meno del 35% suscettibile di attacco. Le persone che cercano di stare un passo avanti all'attacco degli zombi si sposteranno su indirizzi non suscettibili. Ma se le monete sono perse, se non c'è accesso alle chiavi private, non puoi spostarle. E poi altre stime dicono che potrebbe arrivare fino al 15% dei Bitcoin suscettibili. Che numeri hai visto?

Justin Drake: Sì, quindi il numero approssimativo che ho in mente è in linea con quelli. Si tratta di circa 2 milioni di Bitcoin, diciamo il 10%. Abbiamo il milione di Satoshi e poi circa un altro milione che non si muove da moltissimo tempo. Dobbiamo scontarne una parte perché alcuni indirizzi zombi sono legittimi e si riattiveranno, ma dovremmo anche aumentarlo perché potrebbero esserci alcuni indirizzi spesi di recente che andranno persi. Quindi dal 5 al 15% è l'intervallo corretto. Scommetterei intorno al 10-12%, che è molto considerevole — sicuramente nell'ordine delle centinaia di miliardi di dollari.

Il dibattito tra bruciare o recuperare per Bitcoin (25:24)

Si potrebbe in un certo senso riflettere sulla teoria dei giochi in questo caso. L'opzione A è cercare di bruciare le monete. Il vantaggio è che non si hanno centinaia di miliardi di dollari di pressione di vendita. Se si analizza la cosa in un'ottica a breve termine, è la mossa razionale. Ma l'intera storia di Bitcoin si basa su forti diritti di proprietà, quindi se si ha una visione a lungo termine, non si dovrebbe voler bruciare le monete. È molto difficile sapere in quale direzione andrà la community. È possibile che alla fine la decisione venga presa dai grandi detentori, ad esempio Michael Saylor e MicroStrategy. Perché questi grandi detentori riceveranno una copia di entrambe le versioni di Bitcoin, quella che prevede di bruciarle e quella che non lo prevede, e potranno scegliere di scaricare quella che non gradiscono. E sappiamo che Saylor è a favore dell'opzione di bruciare, quindi potrebbe potenzialmente manipolare il mercato da solo e ottenere il risultato che desidera.

Ryan Sean Adams: Possiamo chiarire cosa intendi? Due opzioni per chi? Quindi abbiamo uno scenario post Q-Day: se credi che il Q-Day stia arrivando, avremo, diciamo, il 10% dell'intera offerta di Bitcoin che può essere attaccato da chiunque possieda il miglior computer quantistico. Possono intervenire e prendere i Bitcoin nel giro di giorni, settimane e forse mesi, svuotando questi indirizzi uno per uno. E quel 10% può essere preso da qualcuno. Stai dicendo che la community di Bitcoin ha delle opzioni su cosa fare con quel 10% a livello sociale, a livello di hard fork. Queste opzioni sono due.

O possono bruciare o congelare le monete: in pratica dire che questi sono indirizzi morti, sappiamo che sono morti, non vogliamo che siano vulnerabili agli attacchi quantistici, quindi faremo un hard fork e diremo che queste monete non dovranno mai essere spostate. Sono 21 milioni meno il 10% che è stato congelato. Questa è un'opzione.

L'altra opzione è semplicemente lasciare quel 10% a chiunque riesca a creare il computer quantistico per andare a riscattarlo. Quasi come recuperare un relitto: chiunque costruisca il sottomarino per prendere l'oro può riscattarlo. Ma queste sono opzioni obbligate. Qualunque cosa accada, se si verifica il Q-Day, la community di Bitcoin deve scegliere una di queste due. O intervenire, bruciare e congelare, oppure lasciarlo a qualsiasi forza commerciale geopolitica abbia la capacità di sviluppare computer quantistici e andare a riscattare il premio. È questo che stiamo dicendo?

Justin Drake: Sì, è detto molto bene. Ma una piccola correzione: questo non deve necessariamente accadere il Q-Day o dopo il Q-Day. Può accadere prima. In qualsiasi momento, la community di Bitcoin o un suo sottoinsieme può proporre di fare un fork. Al numero del blocco del fork ci sarebbero due versioni dell'asset Bitcoin, proprio come il fork di Bitcoin Cash. E alla fine questo viene deciso dal mercato. Gli exchange configureranno le due versioni dell'asset e il mercato deciderà quale sia il vero Bitcoin. Ed è possibile che, solo a causa delle dinamiche di liquidità a breve termine, la versione che brucia le monete, potenzialmente prima del Q-Day, sarà quella vincente.

Lo scenario di Michael Saylor e i punti di Schelling (30:29)

Ryan Sean Adams: Giusto. Quindi io sono Michael Saylor, possiedo il 2-3% dell'offerta di Bitcoin, specialmente l'offerta liquida. Ottengo entrambe le copie. Stiamo facendo un fork della blockchain di Bitcoin proprio come nelle guerre dei fork di Bitcoin del 2017. Voglio preservare il mio valore, quindi vendo tutti i bitcoin che sono vulnerabili ai computer quantistici e tengo tutti i bitcoin sulla versione che ha bruciato le monete vulnerabili. Il prezzo della blockchain intatta scende. Il prezzo della versione con le monete bruciate rimane alto perché nessuno la sta vendendo: Saylor non vende, BlackRock non vende. Quindi stai dicendo che il prezzo del Bitcoin con il problema quantistico risolto sarà più alto e, per le forze di mercato, diventerà il Bitcoin canonico.

Justin Drake: Sì. E Michael potrebbe persino decidere di comprare la versione con le monete bruciate usando i proventi di quella vulnerabile e passare dal 5% al cinque e mezzo percento.

David Hoffman: Giusto? Ma questo non significa che debba esserci un qualche livello di coordinamento dall'alto su quali portafogli vengano congelati? Chiaramente possiamo etichettare le monete di Satoshi e congelare quelle, ma poi dobbiamo congelarne un altro po'. Ci sono alcuni portafogli di cui possiamo essere ragionevolmente sicuri: quella persona è morta. Ma in realtà non sappiamo dove tracciare la linea su quali portafogli sia valido congelare e quali siano effettivamente di proprietà di esseri umani che sono semplicemente inattivi. C'è una linea chiara?

Justin Drake: Beh, c'è un concetto chiamato punto di Schelling: in assenza di un coordinatore centrale, come si raggiunge il consenso? Per Bitcoin, il punto di Schelling potrebbe essere il blocco in cui avviene un halving. Potresti scegliere il primo halving, il secondo halving o il terzo halving. Sembra ragionevolmente e credibilmente neutrale: qualsiasi moneta che non si è mossa dal secondo halving viene considerata bruciata.

David Hoffman: Quindi scegliamo semplicemente una data e diciamo, ehi, se lasci i tuoi bitcoin in un portafoglio quantisticamente insicuro entro questa data, bruceremo le tue monete su questa blockchain secondaria di cui faremo il fork.

Justin Drake: Sì, c'è uno spazio di progettazione relativamente ampio e alcune persone hanno cercato di essere creative. Ad esempio, alcuni stanno cercando di risolvere due problemi in un colpo solo, sia quello quantistico che il problema del budget di sicurezza, dove la proposta è: prendiamo i 2 milioni di monete e, invece di bruciarle, aggiungiamole all'emissione. Questo rimanda il problema del budget di sicurezza a un momento successivo.

David Hoffman: Scommetto che diventa ancora più ambizioso in termini di coordinamento di Bitcoin. Non so se si voglia sovraccaricare la capacità di coordinamento di Bitcoin.

Justin Drake: Sì. Se fossi uno scommettitore, punterei semplicemente sul bruciare le monete in modo molto semplice, diciamo, dopo il secondo halving.

David Hoffman: Okay.

Ryan Sean Adams: Questo però è molto difficile, perché, riprendendo il tuo punto precedente, Justin, questo distrugge la narrativa dell'incorruttibilità, la narrativa dei diritti di proprietà. Qualsiasi decisione su un congelamento o sul bruciare le monete distrugge in qualche modo la natura pura di ciò che è Bitcoin. Quindi Nick Carter nei suoi saggi esplora una storia diversa: non uno scenario di congelamento e bruciatura, ma lo scenario del recupero. Nel suo scenario, un laboratorio quantistico privato decifra l'ECDSA in anticipo sui tempi. Si dà il caso che abbiano sede negli Stati Uniti. Il governo degli Stati Uniti li nazionalizza rapidamente in segreto. Iniziano ad acquisire i Bitcoin, si coordinano con il Tesoro, si coordinano con i grandi fornitori di ETF, BlackRock, i Michael Saylor del mondo. E alla fine, gli Stati Uniti si ritrovano con il 10% dell'offerta di Bitcoin nella tesoreria. Analizza grafici dei prezzi fittizi: quando le persone si rendono conto che la rete Bitcoin è sotto attacco quantistico, il prezzo crolla del 73%. Ma poi, quando viene rivelato che il governo degli Stati Uniti lo possiede e che stanno usando le leggi sul recupero marittimo per confiscarlo legalmente, il mercato rimbalza perché gli Stati Uniti hanno questa tesoreria di riserva strategica di Bitcoin. Quindi questo è il suo altro scenario. Lo trovi plausibile? Perché almeno in quello scenario non stai violando alcun diritto di proprietà.

È certamente incredibile che questo possa accadere a una rete da svariati trilioni di dollari con una tale ricompensa in palio. È senza precedenti. Ma potrebbe anche succedere, e forse questo è un risultato migliore per Bitcoin.

Prova della frase seme e il problema delle dimensioni delle firme post-quantistiche (35:06)

Justin Drake: Sì. Quindi ho un paio di pensieri al riguardo. Il primo è che esiste un modo piuttosto sofisticato per dimostrare la proprietà di Bitcoin senza passare per la chiave privata. Questo è noto come prova della frase seme. Il modo in cui si deriva un indirizzo Bitcoin avviene in tre passaggi: primo passaggio, generi la tua frase seme; secondo passaggio, esegui alcune manipolazioni sulla frase seme, incluso l'hashing, per derivare la tua chiave privata; poi dalla chiave privata derivi la chiave pubblica, che è l'indirizzo che va onchain. Ora la chiave privata purtroppo non è più qualcosa che può dimostrare la proprietà. Ma a causa del passaggio di hashing, se conosci la tua frase seme, questa è ancora una prova di proprietà. Quindi una cosa che potrebbe accadere — e tecnicamente parlando è la via da seguire più solida — è congelare i Bitcoin ma consentire a chiunque di ripristinare i propri Bitcoin con una prova della frase seme.

Ora, la prova della frase seme è purtroppo piuttosto complicata. Richiede uno SNARK, una prova a conoscenza zero, quindi complicherebbe significativamente Bitcoin. Ma la mia previsione è che Bitcoin avrà gli SNARK per risolvere il problema delle dimensioni delle firme post-quantistiche. Bitcoin è molto noto per non voler aumentare la dimensione del suo blocco. Sfortunatamente, le firme post-quantistiche sono circa 10 volte più grandi dell'ECDSA. Per darti dei numeri concreti: l'ECDSA è di 64 byte, una firma minuscola. La più piccola firma post-quantistica standardizzata dal NIST è Falcon, che è di 666 byte — più di 10 volte più grande. Se sostituisci ingenuamente l'ECDSA con qualcosa di sicuro a livello post-quantistico senza aumentare la dimensione del blocco, la tua capacità transazionale diminuisce di circa 10 volte. I tuoi TPS su Bitcoin passeranno da tre a 0,3, il che secondo me è improponibile.

Quello che stiamo costruendo per Ethereum è questa sofisticata tecnologia di aggregazione delle firme post-quantistiche, in modo da non inserire le firme grezze onchain anche se sono grandi — inserisci solo questa prova di aggregazione. E la mia scommessa è che Bitcoin adotterà la soluzione sviluppata da Ethereum, perché semplicemente non c'è nessun'altra via da seguire tecnicamente solida.

Ryan Sean Adams: Capisco. Ed è per questo che scommetti contro lo scenario di salvataggio — perché pensi che adotteranno questo approccio e, se lo faranno, darà loro un modo per congelare gli asset in maniera più credibilmente neutrale. Se puoi dimostrare la proprietà, puoi accedere ai vecchi Bitcoin legacy.

Justin Drake: Sì. Ora, sfortunatamente, se sei un massimalista dei diritti di proprietà, questo non è del tutto soddisfacente.

Ryan Sean Adams: No.

Justin Drake: E il motivo è che c'è un sottoinsieme di indirizzi congelati per i quali non esiste una frase seme nota. Lo standard della frase seme è arrivato solo diversi anni dopo la genesi. Quindi tutti i primi indirizzi — tutti gli indirizzi di Satoshi, per esempio — non avranno una frase seme corrispondente. E ci sono alcuni portafogli, ad esempio i portafogli basati su MPC, in cui non c'è una frase seme corrispondente. Quindi non è una soluzione perfetta, ma ti fa arrivare all'80%.

David Hoffman: Che caos. È un vero caos, da qualunque parte la si guardi.

Justin Drake: Sì. L'altra cosa che volevo sottolineare è che molte persone pensano che quando rubi Bitcoin, il prezzo di BTC crollerà e l'asset che hai rubato non varrà nulla.

Ma in realtà c'è un modo per coprirsi dal rischio di prezzo di Bitcoin, che è molto semplice: basta andare short su BTC. Diciamo che sai per certo di aver violato la chiave privata di un portafoglio che contiene 100.000 BTC. Vai short di 100.000 BTC. Questo assicura il tuo profitto. E poi, indipendentemente da cosa fa il prezzo di Bitcoin, ti sei assicurato il tuo profitto, che potrebbe ammontare a decine di miliardi di dollari.

La sfida del livello sociale di Bitcoin e il vantaggio di Ethereum (40:07)

David Hoffman: Ora, voglio sottolineare che Justin, tu pensi in un modo particolare, e il tuo modo di pensare è il motivo per cui sei in Ethereum. Se fossi un Bitcoiner, penseresti in modo diverso. Il modo di pensare dei Bitcoiner è molto singolare, molto distinto — una sorta di massimalismo dei diritti di proprietà. Penso che ciò che farebbe Justin se fosse a capo di Bitcoin sia molto diverso da ciò che farebbe l'aggregato generale dei Bitcoiner. Non ho una domanda specifica qui, ma voglio solo evidenziarlo.

Ryan Sean Adams: Oh sì. Quello che fanno i Bitcoiner probabilmente non è quello che farai tu. L'accusa di Nick Carter è che fondamentalmente ciò che molti degli sviluppatori principali di Bitcoin stanno facendo è nascondere la testa sotto la sabbia e dire che il Q-Day non è reale o non lo sarà per 20 o 30 anni.

Justin Drake: Solo per essere chiari, la mia previsione sul fatto che il bruciare prevalga è una previsione di ciò che ritengo più probabile. Non è quello che farei io — in realtà non toccherei Bitcoin e abbraccerei i diritti di proprietà. Non ho questa preferenza temporale a breve termine, e penso che molti Bitcoiner saranno d'accordo con me. Ma sfortunatamente, Michael Saylor ha un'influenza così forte che in un certo senso Bitcoin è stato centralizzato al livello sociale, e da questo derivano grandi poteri e grandi responsabilità.

Ryan Sean Adams: In realtà sono d'accordo con te. È quello che farei anche io. Lascerei che la caccia al tesoro avvenga, che il recupero avvenga. Non toccherei nulla. Questa è la cosa fondamentale che fa Bitcoin, e lascerei semplicemente che le cose facciano il loro corso. Lascia che ti faccia la stessa domanda però. Non è solo una parte dell'offerta di Bitcoin a essere insicura in un'era post-quantistica — anche Ethereum ha questo problema ma con una percentuale diversa dell'offerta. Puoi mappare lo stesso problema? Arriviamo a uno scenario post-Q-Day. Qualcuno si sta accaparrando i Bitcoin di Satoshi. Cosa sta succedendo su Ethereum a questo punto? Quale percentuale dell'offerta sarebbe vulnerabile? Diciamo che Ethereum non abbia ancora risolto il problema quantistico.

Justin Drake: Un vantaggio che ha Ethereum è che non c'è il 5% dell'offerta controllato da una sola persona, Satoshi, che si ritiene sia andato perduto. L'altro vantaggio è che Ethereum è meno vecchio e ha avuto un prezzo fin dal primo giorno. Quindi c'era un motivo per prendersi cura dei propri ether fin dall'inizio, mentre nei primi giorni di Bitcoin, erano solo soldi del Monopoli e le persone non avevano un'ottima igiene con le loro chiavi private. Quindi è molto più probabile che gli 1,7 milioni di BTC di Nick Carter siano effettivamente andati perduti per sempre.

Quando ero nel progetto Ultrasound, una delle cose che stavamo cercando di fare era calcolare la quantità di monete note come perdute da aggiungere alla dashboard oltre a quelle bruciate. Era una quantità così trascurabile che non ci siamo nemmeno presi il disturbo.

David Hoffman: E per quanto riguarda l'hack di Parity? Non è una porzione considerevole?

Justin Drake: Sì, ottima osservazione. Quello era il primo elemento della lista. Ma si dà il caso che sia uno smart contract bloccato che non è vulnerabile ai computer quantistici.

David Hoffman: Quindi il—

Ryan Sean Adams: In realtà è solo bloccato. Non si tratta di non avere le chiavi private. È letteralmente bloccato.

Justin Drake: È bloccato. Sì. Esattamente. E poi ci sono alcuni casi di studio di persone — se vai davvero a scavare nelle discussioni su Reddit troverai qualcosa — ma nel quadro generale è un totale inferiore allo 0,1%. Questa è l'offerta nota come perduta. Ma realisticamente, alcune monete si riveleranno perdute più a ridosso del Q-Day. Se dovessi tirare a indovinare, si tratta di cifre singole basse — forse il 2, 3, 4, 5%.

David Hoffman: Quindi pensi che al massimo il 2–5% dell'offerta di Ethereum sia sia perduto che in indirizzi decifrabili quantisticamente.

Justin Drake: Esattamente. Sì. Se dovessi fare una previsione concreta, direi circa il 2%, che è all'incirca un ordine di grandezza in meno rispetto a Bitcoin. E questa differenza quantitativa ha conseguenze qualitative: nel caso di Ethereum, sosterrei fermamente di non fare nulla e di onorare davvero i diritti di proprietà, perché alla fine dei conti, il 2% non è un grosso problema. Nel caso di Bitcoin, il 15% è un problema enorme.

L'aggiornamento post-quantistico a tre livelli di Ethereum (45:05)

David Hoffman: Quindi Ethereum dovrà fare questa stessa scelta. Diciamo il 3%: se congelare e bruciare o semplicemente lasciare che sia una caccia al tesoro. La tua speranza è che si scelga l'opzione della caccia al tesoro, il che significa che qualche attaccante quantistico si accaparrerà quell'1-3% di ether. E se guardi il quadro generale, ci stiamo fondamentalmente muovendo verso un ether che sarà una moneta di gran lunga migliore rispetto a BTC. Sarà non interventista, rispettoso dei diritti di proprietà, sicuro dal punto di vista quantistico e non avrà il problema del budget di sicurezza che affliggerà Bitcoin tra un paio di halving. Quindi penso che questa sia una grande opportunità per l'asset.

Ryan Sean Adams: Okay. Abbiamo parlato della questione sociale più leggera. Ci sono anche molte sfide tecniche che dobbiamo affrontare. Voglio citare questo tweet di Hasu Kareshi, amico del programma. Stava citando un post di Vitalik sulla roadmap quantistica di Ethereum e ha detto: "Ethereum ha una roadmap più difficile per diventare post-quantistico rispetto a Bitcoin: in realtà ci sono molte dipendenze prima di poter affrontare gli EOA e le chiavi private a causa delle dimensioni delle prove post-quantistiche". Quindi la sua opinione è che le sfide future per Ethereum siano molto più difficili rispetto a Bitcoin. Cosa ne pensi?

Justin Drake: Ci sono due problemi da risolvere: quello tecnico e quello sociale. Su quello tecnico, Hasu ha ragione sul fatto che ci sono fondamentalmente tre problemi che Ethereum deve risolvere, uno per ciascuno dei diversi livelli. C'è il livello di consenso dove abbiamo BLS. C'è il livello dei dati dove abbiamo KZG. E il livello di esecuzione dove abbiamo ECDSA. Ognuno di questi elementi di crittografia è vulnerabile. Questo è un superset di Bitcoin, che ha solo il problema di ECDSA. Quindi, in un certo senso, abbiamo tre volte più cose da aggiornare.

Ma se guardi il quadro generale, direi che il problema più grande, forse per l'80%, è sociale. Abbiamo già accennato se bruciare o meno. Ma c'è qualcosa di ancora più fondamentale: accettiamo che questo sia un problema? Nel mondo di Bitcoin c'è questa risposta immunitaria che fondamentalmente rifiuta qualsiasi narrativa che potrebbe essere negativa per il prezzo. Ci sono persone come Adam Back che dicono che i computer quantistici sono lontani almeno decenni. Quindi il passo zero è una sorta di accettazione dell'esistenza di un problema. Ed è possibile che Bitcoin arrivi leggermente in ritardo, il che avrebbe conseguenze molto più grandi rispetto al lato tecnologico.

David Hoffman: Quindi pensi che in generale Bitcoin avrà un problema più difficile perché il suo livello sociale semplicemente non riconosce questa realtà ed è meno disposto a impegnarsi?

Justin Drake: Sì. Lasciami dire questo: sono disposto a scommettere una grossa somma che tutti e tre i livelli di Ethereum saranno aggiornati prima del singolo livello di Bitcoin.

David Hoffman: Giusto. Quindi abbiamo un problema tre volte più grande. Ma dal lato di Ethereum, alla fine dei conti, è solo un problema ingegneristico. E non solo, è un problema ingegneristico che Ethereum sta affrontando di petto. Mentre il problema ingegneristico di Bitcoin è più piccolo, si tratta di un problema sociale, un problema di coordinamento, che è fondamentalmente più difficile da superare.

Justin Drake: Sì. Esattamente. E anche dal lato tecnico, questo è un problema su cui lavoriamo da quasi un decennio. Se torniamo al 2018, abbiamo concesso un finanziamento di 5 milioni di dollari a StarkWare per studiare gli SNARK post-quantistici basati su hash e gettare le basi con funzioni di hash compatibili con gli SNARK. È da qui che è nata la funzione di hash Poseidon. Più di recente, nel 2024 c'è stato l'annuncio della Lean Consensus Chain, precedentemente nota come Beam Chain. L'anno scorso abbiamo tenuto dei workshop post-quantistici a Cambridge. Ora abbiamo un team post-quantistico dedicato con Tom ed Emil. E abbiamo questa roadmap che

(50:00)

Aggiornare il livello di esecuzione: aggregazione delle firme (50:00)

dettaglia davvero alcune delle tappe fondamentali per realizzare questi aggiornamenti.

Ryan Sean Adams: Possiamo parlare di ciascuno di questi problemi uno per uno? So Justin, che puoi scendere in dettagli estremi con la crittografia — vorremmo mantenere la discussione a un livello che David e io possiamo comprendere. Ma capiamo i diversi livelli dello stack di Ethereum. Forse possiamo iniziare con il livello di esecuzione, perché è stata la cosa principale di cui abbiamo parlato. L'ECDSA è lo schema di firma alla base degli indirizzi Bitcoin ed Ethereum — questa è la cosa che verrebbe violata in un mondo post-quantistico. Qual è il percorso di aggiornamento per l'ECDSA? È uno strumento crittografico di lunga data — abbiamo qualcosa che possa sostituirlo?

Justin Drake: Sì. Prima di tutto, lasciami sottolineare che si tratta di un compito molto grande — stiamo cambiando fondamentalmente i pilastri delle blockchain, la crittografia di base, e la stiamo sostituendo con qualcosa di nuovo con proprietà completamente diverse. Ora, se fossi un profano, la tua risposta potrebbe essere: "È semplice. Abbiamo il NIST, il National Institute of Standards and Technology. Hanno indetto una competizione per le firme post-quantistiche e ne hanno selezionate alcune — vale a dire Falcon, Dilithium e SPHINCS+. Dobbiamo solo scegliere una o più di queste opzioni."

Il problema è che il NIST non ha progettato per il caso d'uso della blockchain. Hanno progettato per firme individuali per singoli messaggi utilizzati su internet. Nel contesto delle blockchain si hanno lotti di transazioni — per Bitcoin, migliaia di transazioni per blocco. E abbiamo questo problema di dimensioni con le firme post-quantistiche che sono almeno 10 volte più grandi, se non 100 volte più grandi. Secondo me, è assolutamente improponibile considerare queste firme individuali impacchettate e concatenate ingenuamente nei blocchi.

L'unica soluzione che vedo si chiama aggregazione delle firme, in cui si prendono più firme e le si comprime in un'unica multifirma. Verificare questa multifirma principale è lo stesso che verificare tutti i singoli costituenti. Quando si guarda allo spazio di progettazione per le firme post-quantistiche aggregabili, non ci sono molte opzioni. C'è essenzialmente un'opzione che è praticabile secondo me: fare uso degli SNARK, in particolare degli SNARK post-quantistici. C'è fondamentalmente una famiglia principale — gli SNARK basati su hash.

L'idea di base è che si prendono le singole firme post-quantistiche e si dimostra la conoscenza di tutte per finire con una prova SNARK finale. Ora, se si sceglie di utilizzare gli SNARK basati su hash, tanto vale utilizzare anche firme foglia basate su hash — le firme grezze non aggregate. Il motivo è che questo offre vantaggi in termini di semplicità e sicurezza. Sono le ipotesi di sicurezza più minime che si possano avere — si presume semplicemente che la propria funzione di hash sia sicura. Nel mondo delle blockchain, le funzioni di hash sono fondamentali. Le abbiamo ovunque — per costruire blocchi, alberi di Merkle, alberi di stato e blockchain in cui il concatenamento viene effettuato con gli hash.

La Fondazione Ethereum ha investito molto impegno per iniziare con le firme basate su hash e renderle il più compatibili possibile con gli SNARK, in modo che il costo dell'aggregazione sia il più basso possibile. Sono lieto di annunciare che le prestazioni di questo approccio sono in realtà sufficientemente buone per tutte le blockchain. Qualunque sia la capacità transazionale della tua catena, puoi avere un aggregatore su un hardware ragionevole — per esempio, la CPU di un portatile — che aggrega tutte queste transazioni e produce una prova finale che viene accompagnata al blocco.

E una delle cose ironiche di questo approccio è che in realtà rappresenta un aumento della scalabilità rispetto a quello che abbiamo oggi. Il motivo è che non si ha il costo fisso di 64 byte per transazione. Le transazioni hanno zero byte di dati di firma, e poi si ha questa unica firma principale che viene ammortizzata su tutte le transazioni nel blocco.

Stabilire lo standard del settore con la collaborazione di Bitcoin (55:28)

David Hoffman: Okay. Quindi questo è un aggiornamento per molte altre blockchain di smart contract a valle di Ethereum, specialmente quelle che ottimizzano per la velocità—

Justin Drake: Non solo gli smart contract — anche Bitcoin. ECDSA.

David Hoffman: Sì. Esatto. Quindi quello che pensavo iniziando questo episodio era che catene come Solana sarebbero state appesantite da firme più corpose, proprio come i TPS di Bitcoin rallentano a 0,3 transazioni al secondo. Solana rallenterebbe in modo simile perché le transazioni sarebbero più pesanti in un mondo post-quantistico. Ma tu stai dicendo che con questa tecnologia non sarà così — in realtà permetterà alle catene di diventare generalmente più veloci.

Justin Drake: Sì, esattamente. Proprio come Satoshi con ECDSA ha stabilito uno standard de facto per l'intero settore — abbiamo praticamente copiato persino la curva secp256k1, il che è molto insolito. Nessuno sa perché abbia scelto quella curva, ma è diventata lo standard de facto. Penso che ci sia l'opportunità per Ethereum di essere un pioniere e stabilire lo standard de facto.

La strategia che stiamo adottando è quella di collaborare con i Bitcoiner. Nel mondo di Bitcoin, ci sono un paio di individui — Mikhail Komarov e Nick Jonas. Fanno entrambi parte di Blockstream ed entrambi sono esperti di firme basate su hash. Stiamo lavorando con loro per assicurarci che qualsiasi cosa sviluppiamo nel mondo di Ethereum sia applicabile anche a Bitcoin. E se Bitcoin ed Ethereum usano quello standard, allora presumibilmente l'intero settore userà a sua volta lo standard.

Ryan Sean Adams: È fantastico. Quindi abbiamo un modo per risolvere l'aggiornamento post-quantistico del livello di esecuzione senza un calo delle prestazioni. Lasciami fare un'altra domanda però — che dire della sicurezza? Questa è una crittografia più recente rispetto a ECDSA che esiste da sempre e ha l'effetto Lindy. Dovremmo preoccuparci che ci sia qualche bug nascosto o zero-day che potrebbe distruggere completamente ciò che abbiamo costruito?

Justin Drake: Ho alcune considerazioni al riguardo. Prendiamo la sicurezza estremamente sul serio e, nel complesso, mi aspetto che la soluzione che distribuiremo sarà ordini di grandezza più sicura rispetto a quella che abbiamo oggi con ECDSA. Lasciami spiegare. ECDSA si basa su curve ellittiche — complessi oggetti matematici strutturati. È possibile che qualche matematico intelligente inventi un algoritmo per violare il logaritmo discreto usando qualche trucco matematico sofisticato di cui l'umanità non era a conoscenza. Questo è successo in passato — abbiamo algoritmi sempre migliori per la fattorizzazione e per il logaritmo discreto. E una possibilità con l'avvento dell'IA è che avremo matematici 100 volte più intelligenti dei matematici umani che scopriranno strutture nascoste nelle curve ellittiche e potranno violare la nostra crittografia. Quindi la crittografia che stiamo costruendo non è solo post-quantistica, è anche post-IA.

Tornando all'altra cosa che ho detto — si basa solo sulle funzioni di hash. Qualsiasi schema di firma si basa su due cose: la funzione di hash e un'ipotesi di complessità aggiuntiva opzionale che potrebbe essere il logaritmo discreto o, nel caso delle firme basate su reticoli, i reticoli strutturati. Ma nel caso delle firme basate su hash, non c'è questa ipotesi di complessità aggiuntiva — sono solo funzioni di hash. Se la tua funzione di hash è sicura, sei a posto. Quindi, in questo senso, mi aspetto che sia un miglioramento rispetto allo status quo.

Ora ci sono due precisazioni che voglio evidenziare. La precisazione numero uno è che abbiamo a che fare con oggetti più complessi e la soluzione che abbiamo qui è ciò che chiamiamo verifica formale profonda end-to-end.

Verifica formale, Poseidon e il livello di consenso (1:00:33)

Abbiamo il nostro oggetto crittografico e vogliamo dimostrare matematicamente che è solido, ovvero che è impossibile falsificare una firma. E non vogliamo farlo solo per la matematica, ma anche per il codice. Se mi aveste chiesto 2-3 anni fa se fosse fattibile, avrei risposto di sì, ma che era estremamente laborioso e costoso. Quello che stiamo vedendo con l'avvento dell'IA è che questo lavoro laborioso e costoso può essere svolto 100 volte più velocemente e 100 volte più a buon mercato.

Stiamo iniziando a vedere matematica all'avanguardia di livello mondiale: ad esempio, un risultato recente che ha vinto la Medaglia Fields, l'equivalente del Premio Nobel per la matematica. Quel risultato è stato sottoposto a verifica formale da un'IA in cinque giorni. Hanno prodotto mezzo milione di righe di codice (una prova verificabile da una macchina che si tratta effettivamente di un teorema valido) e nel processo hanno trovato ogni sorta di errore di battitura nel documento scritto da esseri umani. Questo è il tipo di due diligence che vogliamo per evitare bug.

Ora c'è un'altra cosa che voglio evidenziare: la funzione di hash stessa. Storicamente, le blockchain sono state costruite su SHA-256 nel caso di Bitcoin, o Keccak nel caso di Ethereum. La nostra proposta per l'Ethereum post-quantistico è di introdurre un'altra funzione di hash chiamata Poseidon, che è un tipo diverso di funzione di hash perché è compatibile con gli SNARK. Quando lanceremo Poseidon, dovrebbe essere piuttosto sicura: sarà stata analizzata per ben 10 anni, avrà protetto molti miliardi di dollari attraverso i layer 2 (L2) e sarà stata sottoposta a crittoanalisi da tutti i massimi esperti del settore. Abbiamo anche appena annunciato un premio di 1 milione di dollari per cercare di violare Poseidon. Ma è effettivamente possibile che Poseidon possa essere violata.

Sfortunatamente, il modo in cui si progettano le funzioni di hash fa sì che non si possa dimostrare che siano sicure. Il massimo che si può ottenere è l'assenza di un attacco: c'è fondamentalmente questo tempo di maturazione. E l'ordine di grandezza che ho in mente è di otto anni. Perché otto anni? Perché quando Satoshi ha scelto SHA-256 aveva otto anni. Quando Vitalik ha scelto Keccak aveva otto anni, per coincidenza. Quindi vorrei che Poseidon avesse almeno otto anni, cosa che avverrà quando la distribuiremo su Ethereum.

Ryan Sean Adams: Okay. Quindi questo è il livello di esecuzione. Rapidamente, potresti parlare del livello dei dati? KZG deve essere aggiornato a qualcosa di post-quantistico, così come il livello di consenso dove abbiamo le firme BLS. È simile come livello di sforzo alla sostituzione di ECDSA?

Justin Drake: Lasciami iniziare con il livello di consenso perché è una risposta più semplice. In prima approssimazione è fondamentalmente un copia-incolla. Abbiamo un concetto simile in cui gli attori creano firme, ci sono molte firme, occupano spazio e vogliamo comprimerle. Il problema al livello di consenso è che abbiamo molte più firme rispetto al livello di esecuzione. Le persone non se ne rendono conto, ma abbiamo un milione di validatori: si tratta di un milione di firme per epoca, 32.000 firme per slot, migliaia di firme al secondo. È più di Solana in termini di transazioni di voto.

Per sbloccare una certa ottimizzazione delle prestazioni disponibile solo al livello di consenso, abbiamo questa nozione di firma con stato: i messaggi che firmi hanno un contatore che aumenta ogni volta. Non vi ricorda qualcosa? Il numero dello slot. In Ethereum, al livello di consenso, firmerai sempre e solo un singolo messaggio per slot. Se ne firmi due, subisci lo slashing. Usiamo questo vincolo per avere firme che sono 10 volte più efficienti da aggregare.

Lean VM, la roadmap di Lean Consensus e la tempistica del 2029 (1:05:17)

Questa è la differenza principale: funzioni di hash senza stato al livello di esecuzione rispetto a firme con stato al livello di consenso, dove il numero dello slot aumenta. La tecnologia di aggregazione ha un nome: Lean VM, una zkVM minimale per la crittografia basata su hash. Fondamentalmente, Lean VM proverebbe che questa è una radice di Merkle corretta. La cosa principale di cui non siamo ancora del tutto sicuri è se questo approccio possa sbloccare quella che chiamo la "frontiera del tera gas": 1 gigagas al secondo sul layer 1 (L1), 10.000 TPS, ma in modo ancora più ambizioso, 1 teragas, 10 milioni di transazioni al secondo sul layer 2 (L2) utilizzando la disponibilità dei dati.

Stiamo parlando di 1 gigabyte al secondo di disponibilità dei dati, e la domanda è se la zkVM possa essere abbastanza performante da elaborare 1 GB di dati al secondo. Questo è ancora da determinare in base alle ottimizzazioni future.

David Hoffman: Ma ciò che sappiamo per certo è che Ethereum avrà la DA (disponibilità dei dati) per avere 1 gigabyte al secondo per l'L1 più una manciata di L2.

Ryan Sean Adams: Quindi penso che gli ascoltatori a questo punto potrebbero pensare: "Ok, sembra che Ethereum abbia un piano per l'aggiornamento post-quantistico. Stanno riconoscendo che i computer quantistici esisteranno e che ci sarà un Q-Day". Ora si staranno chiedendo delle tempistiche e del livello di impegno. Ho preso il tweet di Vitalik sulla roadmap post-quantistica, l'ho inserito in Claude e ho chiesto: "Qual è il livello di impegno qui?". Claude ha risposto: "Consideralo un nove su dieci". Questo è uno degli aggiornamenti più significativi che Ethereum farà mai. Lo abbiamo paragonato a The Merge, in cui avevamo un aereo in volo e abbiamo sostituito il motore della Prova di lavoro (PoW) con la Proof-of-Stake (PoS). Ora stiamo sostituendo gran parte della crittografia di base. Puoi inquadrarci la situazione? Saremo pronti per il 2032? Quanto è difficile? Sembra scoraggiante?

Justin Drake: Sì. La risposta si divide in due parti. Primo, in realtà è ancora più ambizioso di come lo hai descritto. Il cambiamento alla crittografia è così invasivo che è essenzialmente una riscrittura del livello di consenso, per lo meno. E se dobbiamo riscrivere il livello di consenso, tanto vale riscriverlo per bene: inserire tutte le migliorie e ripulire tutto il debito tecnico. Questo è il progetto Lean Consensus, in cui stiamo raggruppando diverse riscritture, inclusa la definitività a singolo slot con l'aggiornamento post-quantistico.

Quindi sì, è molto ambizioso. Stiamo partendo da zero e costruendo qualcosa di incredibilmente bello, semplice, efficiente e di comprovata sicurezza. La buona notizia è che ricominciare da capo è più semplice per molti versi, perché non si ha tutto il debito tecnico. Possiamo riscrivere le specifiche per renderle il più minimali e semplici possibile. È da qui che deriva la terminologia "lean" (snello): massima semplicità, in cui l'intera funzione di transizione di stato è fondamentalmente un migliaio di righe di codice Python che uno studente liceale sveglio può semplicemente leggere.

Al momento abbiamo delle devnet per Lean Consensus. E le specifiche sono così facili da assimilare che abbiamo visto circa 10 team implementarle, unirsi alla devnet e farlo senza nemmeno contattare la Fondazione Ethereum. La barriera all'ingresso è relativamente bassa. Ci troviamo in un mondo in cui lo sviluppo dell'IA significa che puoi, in larga misura, programmare il tuo client "a sensazione" (vibe-code). Questo è uno dei motivi principali per cui abbiamo così tanti client: spesso team composti da una sola persona, o da due o tre persone.

Penso che questo avrà conseguenze interessanti per la sostenibilità e per la governance. Sulla governance, il modo in cui la gestiamo oggi è, grosso modo,

La governance di Ethereum e la data di completamento del 2029 (1:10:41)

che abbiamo cinque client del livello di consenso e tutti devono implementare l'aggiornamento per poter procedere. In futuro, quando avremo 10 o 15 client, potremo semplicemente richiedere l'80% migliore o l'80% più veloce per andare avanti. Si tratta di una competizione più darwiniana che ci permette di muoverci molto più velocemente senza aspettare il client più lento.

David Hoffman: Quindi saremo pronti per il 2032? A che punto saremo pronti?

Justin Drake: L'intera roadmap ha tutto pianificato fino al 2029,

David Hoffman: Che è fondamentalmente la stessa identica roadmap che hai presentato al tuo intervento alla DevCon in cui hai introdotto la Beam Chain. E all'epoca la gente la odiava.

Justin Drake: Sì, è stata la mia diapositiva più odiata, perché si estendeva su quattro anni e mezzo. Storicamente sono stato pessimo con le tempistiche: fin troppo ottimista. Ma invecchiando e facendomi i capelli bianchi, sto migliorando con le tempistiche. Penso che fosse una tempistica realistica e conservativa che ha fatto arrabbiare le persone. Ma è così che vanno le cose.

David Hoffman: Inoltre, giusto per dare un po' di contesto, le persone si sono arrabbiate in parte perché questo accadeva durante il picco di slancio di Solana rispetto a una percepita mancanza di slancio tecnico nella roadmap di Ethereum. Non era solo la tempistica di quattro anni: era anche il contesto del momento.

Justin Drake: Esattamente. Quindi ora mancano circa tre anni. Sono relativamente fiducioso che possiamo raggiungere il traguardo del 2029 e penso che ci sia persino l'opportunità di muoversi più velocemente grazie all'IA.

David Hoffman: Quindi, entro il 2029, tutto questo verrebbe implementato se rispetta la roadmap: tutto ciò di cui abbiamo appena parlato.

Justin Drake: Lo prometti? Tutto quanto.

Ryan Sean Adams: Non c'è qualcosa in fondo alla mia mente riguardo a qualche antico sviluppatore di software che mi diceva che le riscritture non funzionano mai? Perché questo non si applica qui?

Justin Drake: Una buona notizia è che abbiamo già fatto questo tipo di grande riscrittura, come hai accennato, con The Merge. Abbiamo cambiato completamente le fondamenta del consenso di Ethereum dalla Prova di lavoro (PoW) alla Proof-of-Stake (PoS). Questa è la dimostrazione pratica che si può fare. Ethereum non è nuovo a progetti ambiziosi: abbiamo avuto altre cose molto ambiziose come il danksharding e il campionamento della disponibilità dei dati su una scala simile.

Un'altra buona notizia è che non abbiamo scelta. Dobbiamo cambiare la crittografia. È una funzione forzante molto forte, e già solo questo rappresenta comunque una riscrittura dell'80%.

Questo rende il coordinamento e il raggiungimento del consenso molto più semplici.

Il quantistico non è solo un problema delle cripto (1:15:06)

David Hoffman: Immagino dovremmo sottolineare che non è solo Ethereum a non avere scelta: nessuno nel settore delle cripto ha un'alternativa a questo. Tutti nel mondo delle cripto devono fare una riscrittura. Con Bitcoin è solo ECDSA, ma questo di per sé è sufficiente.

Justin Drake: Sì. È possibile che Ethereum debba fare una riscrittura maggiore rispetto ad altre catene, e questo ha a che fare con il numero di validatori. Se hai solo 100 validatori, puoi assorbire il costo di firme 10 volte più grandi al livello di consenso. Per la maggior parte delle catene Proof-of-Stake (PoS), non hai bisogno della sofisticazione che abbiamo noi. Ma per Ethereum, speriamo di avere decine di migliaia di validatori che votano in ogni singolo slot — migliaia di firme al secondo — e dobbiamo essere molto creativi.

Dove sarei d'accordo con te è che ci deve essere un cambiamento molto grande per tutte le blockchain al livello di esecuzione. Ma la buona notizia per le altre catene è che Ethereum sta facendo tutti i compiti a casa. Stiamo costruendo Lean VM, verificheremo formalmente l'intero sistema e loro potranno semplicemente fare copia e incolla. È in gran parte un lavoro facile da integrare.

Ryan Sean Adams: Nick Carter ha twittato: "Una delle fallacie più stupide è la gente che pensa che la propria moneta vincerà se solo Bitcoin muore, come quelli di Zcash che combattono Bitcoin sul quantistico. È esattamente l'opposto. Se Bitcoin muore, nessuno si fiderà mai più del denaro di internet. Tutte le monete sfruttano la scia di Bitcoin." Qual è la tua reazione a questo sentimento?

Justin Drake: Non sono d'accordo con Nick Carter. Nick si è sempre arrabbiato quando twitto sul budget di sicurezza. Pensa che sia distruttivo per l'intero settore parlarne, anche se i fondamentali sono in linea con quello che dico. Ironicamente, sta facendo la stessa cosa con il quantistico che io sto facendo con il budget di sicurezza: cercare di forzare la discussione e forzare il cambiamento.

Ryan Sean Adams: E per quanto riguarda la visione più ampia, però? Diciamo che arriviamo al 2032, Ethereum è sicuro dal punto di vista quantistico, Bitcoin non lo è, Bitcoin viene attaccato in alcuni dei modi che abbiamo descritto: c'è questa caccia al tesoro in corso e incertezza sul mercato. Quello che dice Nick è di non esultare per questo perché sarà un male per ogni catena nelle cripto. Sta dicendo che come va Bitcoin, così vanno tutti. Se vuoi un meme del denaro di internet come riserva di valore, Bitcoin deve guidare quella carica. Non esiste uno scenario di "sorpasso" in cui Ethereum possa dire: "La nostra catena è sicura post-quantistico e non abbiamo i problemi che ha Bitcoin". Sta dicendo che questo farà crollare l'intero spazio delle cripto, almeno dal punto di vista del denaro di internet come riserva di valore.

Justin Drake: Non sono d'accordo. Puoi semplicemente guardare l'analisi storica: le conchiglie sono state soppiantate dal sale, poi dall'argento, poi dall'oro, e ora potenzialmente Bitcoin sta soppiantando l'oro. Solo perché l'oro fallisce non significa che anche la cosa successiva debba fallire. Direi che Ethereum è il successore molto naturale di Bitcoin come denaro di internet. E solo perché Bitcoin fallisce non significa che Ethereum debba fallire. Sono d'accordo che potrebbe esserci un po' di dolore a breve termine, ma stiamo anche parlando di un guadagno a lungo termine.

L'opportunità post-quantistica e la resa dei conti del budget di sicurezza (1:20:27)

David Hoffman: Quindi cosa otteniamo alla fine di tutto questo? Nel 2030, Ethereum è sicuro a livello post-quantistico perché Justin lo ha promesso. Cosa diventa Ethereum? È l'unico nella sua categoria, o ti aspetti che altre blockchain seguano l'esempio e raggiungano anch'esse la sicurezza post-quantistica? Puoi descrivere il sistema che avremo nel 2030 se tutto questo si realizzerà?

Justin Drake: Un interessante cambio di mentalità per me negli ultimi mesi è che ho smesso di pensare al post-quantistico come a un ostacolo da superare. Lo considero più come un'opportunità. È un'opportunità per Ethereum di distinguersi come il primissimo sistema finanziario globale sicuro a livello post-quantistico — non solo rispetto a concorrenti come Bitcoin, ma anche rispetto alle valute fiat e alla TradFi. Penso che invierebbe un messaggio molto forte e rappresenterebbe un argomento di vendita molto naturale in termini di sicurezza affinché il mondo migri verso Ethereum.

Non è solo un'opportunità per Ethereum di distinguersi rispetto ai suoi pari, ma è anche un'opportunità per Ethereum di diventare la migliore versione di se stesso. Questo ci riporta all'idea che il passaggio al post-quantistico sia essenzialmente una riscrittura e che rappresenti un'enorme opportunità per ripartire da zero e azzerare il debito tecnico.

Un dato interessante: la Beacon Chain originale (OG) è stata lanciata nel 2020 e il design è stato congelato un anno prima, nel 2019. Quindi, quando distribuiremo la Lean Beacon Chain nel 2029, aggiorneremo qualcosa che ha 10 anni. Nel mondo cripto, 10 anni sono un'eternità. Abbiamo imparato così tanto che la Lean Beacon Chain sarà molto diversa dalla Beacon Chain originale. Potete pensarla come una Proof-of-Stake (PoS) 2.0.

Ryan Sean Adams: Ci troviamo in un periodo molto interessante per quanto riguarda l'informatica. Sembrano esserci tre piattaforme e paradigmi informatici alla frontiera: l'IA, di cui tutti sono a conoscenza; il quantistico, che forse si trova dove l'IA era nel 2018; e le cripto e la crittografia, come esemplificato da blockchain come Ethereum e Bitcoin. Sembra quasi che stiamo entrando in una singolarità di queste tre cose, in cui l'IA sta accelerando il quantistico e la crittografia, e la crittografia farà da contrappeso ad alcuni dei vettori di centralizzazione dell'IA. Cosa ne pensi di tutto questo?

Justin Drake: È molto difficile da prevedere, ma come hai detto, c'è questa stranissima coincidenza per cui il 2032 sembra essere l'anno in cui l'informatica in generale raggiungerà la singolarità. Si è parlato della singolarità dell'IA potenzialmente anche prima del 2032. C'è "AI 2027", il famosissimo articolo. Non credo che avremo una super intelligenza nel 2027, ma penso sia probabile entro il 2032.

Stiamo già iniziando a vedere — proprio ieri, Dario Amodei, uno dei pionieri (OG) dell'IA, ha iniziato a far sì che le IA si migliorino ricorsivamente in modo autonomo, il che è estremamente spaventoso. Questo è fondamentalmente ciò che dovrebbe dare il via alla crescita esponenziale verso la super intelligenza.

La crisi del budget di sicurezza di Bitcoin e la resa dei conti del 2032 (1:25:12)

Abbiamo il 2032 come potenziale Q-Day, e abbiamo anche il 2032 in cui Bitcoin avrà quello che credo sia il suo ultimo halving. Potresti chiamarlo B-Day — il giorno di Bitcoin in cui ci sarà una sorta di resa dei conti, perché l'emissione sarà decisamente troppo bassa per metterlo in sicurezza.

Tra due anni avremo un halving, e tra sei anni, nel 2032, ne avremo un altro. La storia della sicurezza per Bitcoin negli ultimi 15-16 anni è stata che le commissioni di transazione sostituiranno l'emissione. Vi invito a guardare i dati: semplicemente non sta succedendo. Le commissioni di transazione oggi sono lo 0,6% dell'emissione. Quindi dimenticatevi delle commissioni di transazione.

Avremo un decadimento esponenziale della sicurezza di Bitcoin. Oggi, Bitcoin è messo in sicurezza da circa 10 gigawatt. Ed ecco una statistica sbalorditiva: ogni singolo giorno, la Cina installa un gigawatt, per lo più solare. Quindi 10 giorni di installazioni in Cina sono sufficienti per un attacco del 51% a Bitcoin.

David Hoffman: In termini di costo energetico — questa cosa che protegge Bitcoin — la Cina sta producendo tanta energia quanta ne serve per mettere in sicurezza Bitcoin ogni 10 giorni.

Justin Drake: In termini di assorbimento di potenza, Bitcoin assorbe 10 gigawatt. Un gigawatt è all'incirca una centrale nucleare, quindi 10 centrali nucleari. La Cina sta installando l'equivalente di una centrale nucleare ogni singolo giorno. E questo è uno dei colli di bottiglia principali. L'altro collo di bottiglia è l'hardware: un milione di rig. Costerebbe circa 10 miliardi di dollari per portarlo a termine, il che, nel grande schema delle cose, è un'inezia assoluta, sia rispetto alla capitalizzazione di mercato di Bitcoin sia per un attaccante a livello di stato-nazione.

David Hoffman: Quando parli in questo modo di Bitcoin, mi fai quasi pensare che tu non creda più che Bitcoin debba essere l'avanguardia delle cripto. L'inquadramento è che Bitcoin ha delle falle dal punto di vista del budget di sicurezza e quantistico, e che Ethereum guiderà le cripto in seguito.

Justin Drake: Rimango ottimista sul fronte quantistico: in fin dei conti è una sfida tecnica che può essere superata. Il problema più grande è il budget di sicurezza, perché questo tocca il DNA centrale di Bitcoin: il limite di 21 milioni e la Prova di lavoro (PoW). Non vedo come si possano combinare la PoW e un limite di 21 milioni. Devi rinunciare a uno dei due.

C'è la possibilità che BTC come asset possa disaccoppiarsi da Bitcoin come catena e vivere su una catena più sicura, per esempio, come token ERC-20 su Ethereum. Ma a dire queste parole... i Bitcoiner non ragionano così.

David Hoffman: No, non lo fanno.

Justin Drake: E se usassi parole diverse come: "Rimuoveremo semplicemente il limite dei 21 milioni perché il budget di sicurezza non è sufficiente", anche in questo caso i Bitcoiner non ragionano così. Stanno andando molto velocemente verso un muro, e il 2032 è il giorno della resa dei conti.

Raccogli ora, decifra dopo — i rischi quantistici oltre le cripto (1:30:09)

Ryan Sean Adams: Che dire del quantistico in relazione al resto della società? Questo non è solo un problema delle cripto. Le blockchain sono particolarmente suscettibili, ma lo sono anche altre componenti della società. In che misura un Ethereum post-quantistico rappresenta uno strumento per la società per risolvere e prevenire problemi in un mondo post-quantistico e post-IA?

Justin Drake: Ci sono fondamentalmente due tipi di crittografia. C'è la crittografia in tempo reale, in cui si firmano messaggi in tempo reale senza alcun impatto materiale sulle azioni passate. L'aggiornamento al post-quantistico dovrebbe essere relativamente semplice per la maggior parte di Internet. Ci sono alcune eccezioni: ad esempio, i satelliti che sono già stati distribuiti e letteralmente non possono essere aggiornati.

Poi c'è un altro problema con la cifratura: se del materiale è stato cifrato oggi e non si sta utilizzando una cifratura sicura post-quantistica, quei dati potranno essere decifrati in futuro. C'è un'intera classe di attacchi chiamata "raccogli ora, decifra dopo". Penso sia realistico che avremo decifrazioni di massa nella società: tantissimi messaggi di Signal, messaggi di Telegram o archivi di messaggi di Gmail che verranno tutti decifrati simultaneamente. Ciò potrebbe avere un impatto molto significativo sulla società.

Ethereum come accelerazionismo difensivo e rischio esistenziale dell'IA (1:30:09)

Ryan Sean Adams: Justin, quando parlavamo di queste tre tecnologie di calcolo, sembra proprio che quella che spicca sia l'IA. Parlavi del 2032 come di una sorta di momento in stile AGI (Intelligenza Artificiale Generale). Una domanda generale: in quanto crittografo di estremo talento, tu non sei un'AGI. La preoccupazione è che, entrando nella singolarità informatica, non ci siano più certezze. Tutti i piani ben congegnati che facciamo nel 2026 per rendere le nostre blockchain resistenti ai computer quantistici — e se l'AGI capisse come violare la nostra crittografia resistente ai quanti in qualche altro modo? Come crittografo, sei preoccupato per le incognite sconosciute dell'intelligenza artificiale generale e per le cose che potrebbe violare? E se fossimo preparati per un mondo post-quantistico ma non per un mondo post-AGI?

Justin Drake: Sulla crittografia, sono abbastanza fiducioso riguardo alla sua solidità. Il motivo è che puoi dimostrare matematicamente che la tua crittografia è corretta. La crittografia è una sottobranca della matematica. Generalmente si calibrano questi problemi complessi in modo che, se qualcuno dovesse violarli computazionalmente, utilizzerebbe più energia di quanta ce ne sia nel sistema solare.

Tornando alle fondamenta crittografiche che stiamo suggerendo per l'Ethereum post-quantistico — gli hash — non c'è niente di più forte di così. Questa è la crittografia più debole che si possa sperare di avere. Questo è uno dei motivi per cui sono cauto nel porre le fondamenta dell'internet del valore sui reticoli (lattices). Il NIST ha due varianti principali di firme post-quantistiche: basate su hash e basate su reticoli. Quelle basate su reticoli ricordano molto le curve ellittiche — oggetti altamente strutturati. È plausibile che qualche AGI o persino ASI, super intelligenza artificiale, migliaia di volte più intelligente di tutta l'umanità messa insieme, possa violarle. Ma le funzioni di hash — ci sono motivi per credere che siano forti.

Anche se non sono troppo preoccupato per la crittografia, sono preoccupato per qualcosa di molto più profondo. Se guardiamo il quadro generale, sono sempre più preoccupato per il rischio esistenziale per l'umanità. Sempre più persone stanno iniziando a capire cosa Eliezer stava cercando di dire su Bankless non molto tempo fa.

Penso sia plausibile che, se l'umanità sopravviverà, Ethereum giocherà un ruolo chiave in questo. La metafora che uso è che l'umanità sta guidando un'auto a 100 miglia all'ora. C'è questa trappola di Moloch in cui i grandi stati nazione, TSMC, Nvidia, OpenAI — stanno tutti premendo sull'acceleratore. E l'auto non ha freni, né cintura di sicurezza, né airbag. Oggi possiamo sterzare in modo relativamente confortevole a 100 miglia all'ora. L'anno prossimo saremo a 200, poi a 300. Alla fine guideremo a una velocità irresponsabile e ci schianteremo.

Lavorare su Ethereum ha assunto un significato completamente nuovo per me negli ultimi mesi. Per lo più ignoravo l'IA, in parte perché ero ossessionato dalle questioni legate alla blockchain, ma anche perché fino a poco tempo fa era solo un giocattolo. Ma attraverso il mio lavoro, specialmente con la verifica formale e lo sviluppo

Il significato di lavorare su Ethereum nell'era dell'IA (1:35:08)

e programmando, sto vedendo quanto sia potente questa roba. Nelle ultime settimane e mesi sono stato ossessionato dall'IA, imparando il più possibile. Non sono affatto un esperto, e forse questa è solo una fase che le persone attraversano quando aprono il vaso di Pandora. Ma per me, lavorare su Ethereum ora riguarda interamente l'accelerazionismo difensivo.

Non vedo altre parti della società lavorare sul sistema frenante: è tutto un accelerare. La buona notizia è che Ethereum ha gran parte del pensiero e degli strumenti che potrebbero fornire alcune delle soluzioni. Fin dal primo giorno, diamo per scontata l'avversarietà. Fin dal primo giorno, facciamo uso di tecnologie come la crittografia che dà potere ai deboli e si assicura che persino i più forti in modo arbitrario non possano infrangere certe cose. Stiamo cercando di essere una fonte di verità, di essere decentralizzati, di dare sovranità alle persone.

Penso sia possibile che nei prossimi mesi e anni avremo una sorta di risveglio in cui la società dirà: "Oh merda". E potrebbe diventare un imperativo morale iniziare a lavorare sull'accelerazionismo difensivo. Potremmo avere alcune delle menti più brillanti che si avvicinano naturalmente a Ethereum come potenziale soluzione: parte di una serie di soluzioni di cui abbiamo bisogno per affrontare tutto questo.

Ryan Sean Adams: Mi piace che tu ci stia pensando, e sembra che il tuo lavoro su Ethereum ti dia uno scopo. Ho un'altra domanda. Essendo ovviamente un grande fan di Ethereum, una preoccupazione che ho, se il destino dell'IA dovesse avverarsi, è che a un certo livello, sì, è una tecnologia accelerazionista difensiva: decentralizzata, permissionless, che spinge il potere verso i piccoli piuttosto che verso i grandi. Ma a un altro livello, è digitale. Abbiamo creato un sistema di diritti di proprietà, e sembra possibile che qualche AGI o ASI possa sfruttare il nostro computer mondiale immutabile e impossibile da spegnere per cose che l'umanità non vuole. Ti preoccupa a qualche livello che usi semplicemente Ethereum — "Ehi umanità, grazie per il sistema dei diritti di proprietà, da qui in poi ci pensiamo noi" — e che tu abbia effettivamente accelerato una tecnologia contraria all'umanità?

Justin Drake: Penso che questo sia un punto molto giusto. In definitiva, Ethereum è uno strumento che potrebbe essere utilizzato sia dagli umani che dalle IA. Forse è un modo per consolarsi, ma se rimuovi Ethereum, non sembrano esserci molti altri prodotti alternativi nello spazio dell'accelerazionismo difensivo. È quasi tutto accelerazionista. Quindi sì, forse Ethereum accelererà alcune cose, ma è una delle uniche speranze che abbiamo per l'accelerazione difensiva. Pertanto, penso sia ancora razionale completare la roadmap entro il 2029 e fare del mio meglio per assicurarmi che Ethereum sia pronto per un'era di super intelligenza artificiale.

Ryan Sean Adams: Solo un'ultima domanda mentre ci avviamo alla conclusione. È stato assolutamente fantastico. Forse questa è una domanda personale, dato che hai avuto un risveglio sull'IA negli ultimi mesi. Ora noto che fai delle precisazioni dicendo "se l'umanità sopravvive" — "Ethereum gioca un ruolo chiave se l'umanità sopravvive". Quelle parole sono difficili da pronunciare per me. La reale possibilità che l'accelerazionismo tecnologico significhi che l'umanità non sopravviva. Come affronti la cosa a livello personale?

Justin Drake: Sono relativamente zen al riguardo. Ho raggiunto un punto in cui sono felice di morire. Ho vissuto una vita molto felice.

Considerazioni finali sulla probabilità di catastrofe (1:40:04)

Ryan Sean Adams: Cosa?

David Hoffman: Questo ci ha scioccati.

Ryan Sean Adams: Non era la risposta che mi aspettavo.

Justin Drake: Penso che si debba semplicemente mantenere la speranza. Bisogna mettere da parte la cosiddetta P(doom) — la probabilità di catastrofe. La mia P(doom) ora è relativamente alta. Credo sia superiore al 50%. Ma non voglio dirlo ad alta voce. Non voglio—

Ryan Sean Adams: Non vuoi vivere in quel pessimismo.

Justin Drake: Esattamente. Non voglio scoraggiarmi e rendermi la vita infelice. E, cosa forse più importante, non voglio scoraggiare le altre persone e far perdere loro la speranza. Penso che dovremmo fare del nostro meglio con ciò che abbiamo. Il futuro è altamente imprevedibile. Anche se la mia P(doom) è aumentata notevolmente nelle ultime settimane e mesi, questa è un'opinione forte ma pronta a cambiare. Voglio che persone molto intelligenti si facciano avanti e mi dicano perché non dovrei essere così spaventato e dovrei essere più ottimista e fiducioso.

Come ho detto, ci sto pensando letteralmente solo da settimane e mesi. Sto solo grattando la superficie. Il grande campanello d'allarme per me è stato Opus 4.5, quando Emil mi ha detto: "Da questo momento in poi, l'IA mi sta effettivamente aiutando a diventare più produttivo". Prima di allora, nel complesso lo rallentava. E poi quello che abbiamo visto nelle ultime settimane sono risultati più impressionanti. Circa un mese fa, uno dei lemmi chiave negli SNARK basati su hash — il lemma di Polyshakes-Spielman — è stato verificato formalmente in 8 ore, al costo di 200 dollari. Qualcosa che sarebbe costato 100 volte di più se l'avesse fatto un essere umano e avrebbe richiesto 100 volte più tempo.

Ho anche menzionato il risultato della Medaglia Fields, che ha richiesto solo 5 giorni per generare una dimostrazione di 500.000 righe. È piuttosto ovvio dove stiamo andando: avremo tutti i teoremi matematici noti controllati e verificati dall'IA, con tutti gli errori di battitura corretti. Per un piccolo sottoinsieme di "teoremi", avremo effettivamente una dimostrazione che sono errati con dei controesempi. La programmazione è già in gran parte risolta, poi risolveremo il progresso scientifico. Le cose diventano filosofiche in modo estremamente rapido — forse questo è un argomento per un altro episodio.

Ryan Sean Adams: Penso che sia per un altro episodio. È comunque una risposta fantastica. Apprezzo la tua prospettiva nell'affrontare tutto questo con un certo livello di stoicismo e poi di proattività — lavorando su cose che sono significative per te. Speriamo, se l'umanità sopravvive, di fare molti altri di questi podcast con te in futuro. È sempre un piacere averti con noi, Justin Drake. Grazie mille.

Justin Drake: Grazie.