Sicurezza post-quantistica e roadmap di Ethereum per il 2026

Una presentazione completa di Tomasz Stańczak all'ETHBoulder che copre i progressi della Fondazione Ethereum nel 2025, lo stato della ricerca sulla sicurezza post-quantistica e la roadmap concreta di implementazione per la crittografia resistente ai quanti attraverso il livello di consenso e il livello di esecuzione di Ethereum.

Questa trascrizione è una copia accessibile della trascrizione originale del video (opens in a new tab) pubblicata da ETHBoulder. È stata leggermente modificata per facilitarne la lettura.

I progressi della EF e il cambiamento culturale (0:12)

Alcuni di voi potrebbero essere venuti qui con l'idea di sentire parlare della visione e della direzione della Fondazione Ethereum. Mi era stato detto in precedenza che avrei parlato di denaro post-quantistico, quindi è per questo che mi sono preparato, ma ho preparato rapidamente delle diapositive anche per l'altro argomento. Quindi forse li esamineremo entrambi velocemente — credo di avere dai 20 ai 25 minuti.

Questo è un riassunto del 2025: da quando sono entrato verso marzo dell'anno scorso, ecco cosa abbiamo fatto alla fondazione. Il team di comunicazione ha svolto un lavoro straordinario sui miglioramenti ai social media, alla comunicazione e allo storytelling, parlando di cose molto tecniche, cose importanti su imprese e istituzioni, ma trovando finalmente anche una nuova voce per parlare alla nuova generazione di cose entusiasmanti. Questo attira molti nuovi talenti freschi nella EF, nell'ecosistema di Ethereum e, in generale, crea un'atmosfera in cui le cose sono interessanti. Se anche Boulder contribuisse alla sensazione che la EF sia di nuovo interessante, sarebbe meraviglioso.

L'aspetto istituzionale di Ethereum è stato importantissimo nel 2025. Sapevamo che sarebbe stato un anno cruciale per le istituzioni. Poi abbiamo risposto un po' alle persone che dicevano che a Ethereum non importava dei fondatori, che i fondatori andavano in altri ecosistemi. Quindi abbiamo ristrutturato EcoDev e dedicato molto impegno ai fondatori e alle applicazioni. James Smith ha portato molto talento, struttura e leadership. Abbiamo cambiato la strategia delle sovvenzioni: abbiamo reso molto più difficile per gli eventi locali ottenere finanziamenti direttamente dalla fondazione, ma abbiamo dedicato molto più impegno all'amplificazione, promuovendo gli eventi attraverso la nuova strategia di comunicazione e i social media.

Una cosa molto grande e importante è stata la ristrutturazione del cluster del protocollo presso la Fondazione Ethereum, collegando più strettamente i ricercatori e gli ingegneri. Ci è stato detto che in passato, ricercatori e ingegneri dovevano organizzare cene speciali agli eventi per parlarsi. Ora lavorano negli stessi team, mescolati insieme, e si concentrano su percorsi specifici, in particolare Scale 1, Scale 2 e Improve UX Interop. È qui che ricercatori e ingegneri lavorano insieme per raggiungere gli obiettivi.

L'iniziativa Trillion Dollar Security è stata un grande sforzo: rivedere l'ecosistema per i maggiori punti deboli sugli aspetti di sicurezza. Poi abbiamo distribuito due fork. Un grande feedback dall'ecosistema è stato che non consegnavamo in tempo, che a volte ci voleva un anno e mezzo per distribuire un fork. Quindi abbiamo dimostrato che possiamo distribuire due fork all'anno, e forse quest'anno lo ripeteremo — forse sarà più simile a ogni nove mesi, ma sta andando in una buona direzione. I cambiamenti del cluster sulla privacy sono ancora in fase di strutturazione. Abbiamo parlato dei 10 anni di Ethereum celebrati in tutto il mondo. È stato istituito il team per l'IA decentralizzata. Abbiamo avviato hub fisici con team esterni: nella maggior parte dei casi non sono affatto finanziati o sono a malapena finanziati dalla Fondazione Ethereum. Spingiamo molto affinché i team locali siano in grado di essere autosufficienti con sponsor locali, di solito VC o comunità vivaci. E le zkVM sono state davvero un grande argomento.

Strategia e priorità per il 2026 (4:30)

Abbiamo annunciato le modifiche al protocollo a giugno. A maggio abbiamo annunciato l'iniziativa Trillion Dollar Security. Questa è la dashboard che è stata lanciata di recente, più che altro un risultato di quel lavoro per il 2026. La politica della tesoreria è stata annunciata a giugno. Penso che vedremo più risultati di questo tra una settimana o due: annunceremo il team di coordinamento della finanza decentralizzata (DeFi). Abbiamo finalmente effettuato alcune assunzioni importanti per quel team. Sono super entusiasta delle persone che supporteranno la DeFi alla fondazione. Ho anche appena saputo che siamo in coda per i validatori per spingerli sulla Mainnet, quindi la Fondazione Ethereum manterrà alcuni validatori per mettere in staking i propri ETH. Queste sono due parti della politica della tesoreria. Il team di IA ha recentemente annunciato il tempestivo arrivo dell'ERC-8004 sulla Mainnet per supportare l'IA agentica.

Londra, San Francisco, Lagos, Dubai, Roma, Hong Kong: questi sono gli hub. Per il 2026, quello che mi piacerebbe vedere — e dovrei menzionare che la maggior parte di voi probabilmente sa che mi sto dimettendo da COA della fondazione — ma questa è principalmente la strategia che stiamo impostando per il 2026. Penso che con il team siamo d'accordo che questa sia la direzione. Questo è anche il motivo per cui mi sento molto a mio agio e fiducioso che il team sappia dove andare, che abbiamo i leader per eseguire, e che possano farlo decisamente benissimo senza ulteriori pressioni o solleciti.

Certificazioni e credenziali per l'Ethereum aziendale: vogliamo che le istituzioni siano davvero sicure con chi lavorare in tutto il mondo. Sicurezza post-quantistica: un annuncio molto grande, e presto ne parleremo in dettaglio. OAF che diventa lo standard di interoperabilità più veloce da integrare e distribuire. DevCon Mumbai: super entusiasta che l'India accolga finalmente tutti i leader di pensiero e i visitatori per condividere la gioia di Ethereum, probabilmente con migliaia o decine di migliaia di persone. Una roadmap unificata di cinque anni, che unisce Lean Ethereum nel processo di sviluppo principale: questo dovrebbe essere annunciato la prossima settimana. L'iniziativa Agentic Ethereum: abbiamo visto un lavoro fantastico da parte di Austin e del team di comunicazione che parlavano di agenti su Ethereum utilizzando l'ERC-8004. Ethereum con la Mainnet di Base è riuscito a catturare l'attenzione iniziale della creazione di agenti su Ethereum, e molti nuovi fondatori e costruttori.

ETHBoulder, ETHDenver: è un po' il nostro sforzo di essere qui, di inviare molte più persone dalla EF per venire a presentare e discutere con tutti. New York City che accoglie Ethereum dal lato istituzionale: indipendentemente dalla fondazione, EVE Global gestisce la principale conferenza a New York, pianificando circa 6.000-8.000 persone. Il team di supporto alle politiche globali lanciato l'anno scorso in modo da poter supportare i responsabili politici e i regolatori in tutto il mondo. Il team di coordinamento della DeFi verrà lanciato la prossima settimana. Il team della piattaforma si occupa di parlare di Ethereum come la migliore piattaforma su cui costruire per i L2: due settimane fa c'erano oltre 70 persone, oltre 20 L2 che si sono incontrati per discutere di strategia, roadmap e tecnologia. È in arrivo una tavola rotonda sull'emissione all'EFCC e speriamo di parlare molto di cultura e arte su Ethereum anche attraverso la DevCon Mumbai.

Perché il post-quantistico è importante ora (8:30)

Questo è l'argomento di cui il mio team mi ha detto che dovrei parlare, il che è un po' divertente perché non mi sento il più forte su questo: capisco l'idea, capisco perché è super importante per noi e cerco di spiegare il perché. Ma tecnicamente mi sentivo come se non sapessi esattamente cosa stiamo facendo a livello di EIP o come il team abbia consegnato. Questo non significa che non sia preparato: ho passato otto ore oggi a preparare questo per voi e a leggere tutti i materiali che il team mi ha inviato. Ma dovete perdonarmi se ci sono alcuni dettagli tecnici che non spiego al meglio, o se condivido informazioni che potrebbero essere vecchie di qualche mese.

Quindi perché il post-quantistico è così importante ora? Forse non perché le tempistiche siano così negative. Le tempistiche potrebbero suggerire che forse è il 2030, forse è il 2035 — alcuni direbbero che è il 2040 quando avremo computer che sono effettivamente rilevanti per i rischi alla crittografia su Ethereum. Ma un grande aspetto del fatto che tutti parlino di sicurezza post-quantistica è che c'è già una certa ansia tra le persone nel settore finanziario che guardano a Ethereum e pensano: questa tecnologia durerà per molti anni? Quando ti affidi alla blockchain e vuoi distribuire sistemi sulla Mainnet pubblica per molti anni, non vuoi alcun tipo di rischio catastrofico incombente a cinque o dieci anni di distanza senza che le persone ti dicano che hanno tutto sotto controllo.

La maggior parte del nostro sforzo ora è mostrare quanto lavoro abbiamo dedicato alla pianificazione, alla ricerca, alla programmazione e alla costruzione di roadmap per la sicurezza post-quantistica. Bitcoin in particolare è molto preoccupato per le minacce post-quantistiche. La preoccupazione più grande è che ci sono circa 6 milioni di BTC a rischio in totale: alcuni da account Taproot, circa 1,9 milioni di BTC da account di Satoshi e altri account legacy. Poi ci sono gli account al volo che possono essere intercettati quando stai firmando transazioni, ma questa è una minaccia minore perché dovresti avere computer quantistici in grado di violare la crittografia molto velocemente. La maggior parte di quegli indirizzi è a rischio in Bitcoin anche con computer quantistici che impiegano settimane per violare quegli indirizzi. Questo crea molta incertezza tra le persone che pensano: e se arrivasse prima, specialmente con l'accelerazione dell'IA ora? Molti nuovi annunci sul quantistico stanno arrivando molto velocemente, e c'è anche incertezza su quanto sappiamo dei computer quantistici, poiché gran parte di quella tecnologia potrebbe essere sviluppata dai governi in modalità invisibile.

Ansia del mercato e risposta istituzionale (12:00)

Incertezza enorme. Alcune persone sostengono che gli investitori non stiano vendendo BTC a causa dei computer quantistici, ma vediamo annunci da grandi banche e fondi di investimento che dicono che è esattamente il motivo per cui i loro clienti dicono "vendi BTC" — o Ethereum. Alcuni problemi sono "raccogli ora, decifra dopo": l'idea che con i computer quantistici sarai in grado di guardare il traffico cifrato esistente, memorizzarlo per il futuro e poi decifrarlo. Quando pensi alle minacce alla blockchain — se la stai usando per la privacy, per la cifratura, e speri di avere una sicurezza futura — questo è un problema. Nello specifico per le catene che si basano sulla privacy come Monero, in pratica in futuro sarai in grado di decifrare l'intero passato della catena, tutti gli stati e le transazioni.

Tuttavia, per le firme e le prove a conoscenza zero (ZK), ciò che è importante è che tutto nel passato è effettivamente al sicuro. Rischiamo solo che in futuro, quando i computer quantistici saranno abbastanza avanzati, si potrebbero generare firme false o violare le firme, e anche generare prove per dichiarazioni false nello spazio ZK. Ma tutto ciò che precede i computer quantistici — puoi dire che questo è stato provato in passato e non è a rischio. Ecco perché su blockchain come Ethereum, non siamo così preoccupati per le firme passate. È solo che quando appariranno i computer quantistici, dovrai essere pronto e aver fatto transitare tutti gli account alla sicurezza post-quantistica, oppure avere soluzioni di emergenza.

Vediamo Coinbase annunciare un comitato consultivo: Justin Drake della Fondazione Ethereum e alcune altre persone molto illustri. Sempre più istituzioni stanno cercando di annunciare che si stanno preparando. La Fondazione Ethereum sta cercando di essere molto esplicita al riguardo per calmare tutti e dire sì, Ethereum è credibilmente sicuro per molti anni a venire.

Nick Carter menziona che c'è una discrepanza tra come gli sviluppatori pensano alla sicurezza post-quantistica e come ci pensano i mercati. I mercati pensano in termini di rischi; gli sviluppatori di solito pensano alle tempistiche: "quando appare, possiamo aggiornare rapidamente". Non pensano a essere pronti due o tre anni prima, perché altrimenti c'è questa ansia nel mercato. I mercati finanziari sono un aspetto, ma l'altro è l'ansia di decidere di costruire su quella tecnologia in un'istituzione in cui devi pianificare strategicamente da due a cinque anni in anticipo.

Ecco l'annuncio di Jeff: allocazione del 10% di BTC rimossa da un portafoglio asiatico, citando il quantistico come una minaccia esistenziale. Primo grande esempio di portafoglio istituzionale, articolo di Bloomberg. Citibank ha annunciato la minaccia quantistica e la corsa alla sicurezza da mille miliardi di dollari: non solo blockchain, parlavano della crittografia utilizzata nelle banche e nelle istituzioni finanziarie, ma hanno anche menzionato i rischi legati a Bitcoin. Il 25% dei bitcoin è potenzialmente esposto ai quanti, e c'è un'alta probabilità che le cose si rompano entro il 2034.

Standard NIST e il test di abbandono di Vitalik (16:00)

Ecco il NIST che annuncia gli standard di crittografia sicura post-quantistica: le firme che dovrebbero essere utilizzate. Dicono che entro il 2030 le persone dovrebbero essere pronte. I sistemi dovrebbero deprecare gli algoritmi di firma legacy e, entro il 2035, questi dovrebbero essere vietati del tutto. Non significa che per quel momento avremo sicuramente computer post-quantistici che rappresentano minacce, ma l'aspettativa è che tutti siano pronti per quel momento: istituzioni, agenzie governative, operatori autorizzati negli Stati Uniti.

Vitalik cita la sicurezza post-quantistica come un requisito molto importante per il test di abbandono (walkaway test) per Ethereum: non possiamo ossificare Ethereum a meno che non sia sicuro dal punto di vista quantistico, perché altrimenti si romperebbe davvero tutto. Nei prossimi anni, una serie molto importante di consegne è rendere l'intero stack di Ethereum sicuro dal punto di vista quantistico, in tutti gli aspetti: firme, disponibilità dei dati, firme sul livello di esecuzione e firme sul livello di consenso.

Schemi di firma post-quantistica (17:30)

C'è una serie di post sul blog del forum di ricerca della Fondazione Ethereum che parlano degli schemi di firma delle transazioni proposti e di come affrontare la sicurezza post-quantistica dal lato dell'astrazione dell'account su Ethereum. Innanzitutto, Falcon è uno schema di firma basato su reticoli, uno degli schemi proposti dal NIST come standard. La cosa buona è che ha un tempo di esecuzione nel caso peggiore molto ben definito, il che è importante nel contesto dell'EVM in cui non si vogliono calcolare i costi del gas in base a scenari assolutamente peggiori. In Ethereum, quando si pensa alla scalabilità, guardiamo sempre allo scenario peggiore, non alla media. Sarebbe bello pensare alle prestazioni medie, ma non ha importanza perché nel momento in cui lo fai, l'attaccante inonderà la rete con transazioni progettate specificamente per innescare il caso peggiore. Quindi è importante sapere qual è quel caso peggiore.

La cosa negativa è che le firme Falcon e molte firme post-quantistiche sono considerate matematica e crittografia molto difficili. Per questo motivo, non abbiamo il conforto di molti anni di librerie consolidate considerate molto sicure. Se le implementi, hai rischi di attacchi side-channel: non solo devi implementare la crittografia correttamente, ma devi anche implementarla in un modo che garantisca che i tempi di esecuzione e gli effetti sull'hardware non siano influenzati dai numeri effettivi, dalle operazioni o dai percorsi che stai intraprendendo. Devi assicurarti che la tua libreria prenda sempre gli stessi percorsi e utilizzi lo stesso carico della CPU, altrimenti puoi osservarlo attraverso i canali laterali ed estrarre informazioni. Molti crittografi dicono che una cosa è implementarla correttamente; l'altra è prevenire qualsiasi ottimizzazione che esporrebbe potenzialmente le librerie ad attacchi side-channel.

Ci sono anche problemi con l'aggregazione: ci sono soluzioni di aggregazione per le firme basate su Falcon, ma diminuiscono ulteriormente l'efficienza. Ciò che viene realmente suggerito sono soluzioni multifirma basate su hash. Ethereum sul livello di consenso sta scegliendo XMSS. La ricerca di Ethereum sta ora proponendo soluzioni attorno a XMSS: è su questo che si è lavorato maggiormente per la roadmap di Lean Ethereum. Stiamo integrando Lean Ethereum nella proposta di roadmap del protocollo di sviluppo principale, il che significa che proporremo una roadmap di sicurezza post-quantistica agli All Core Devs per la revisione. Abbiamo implementazioni e abbiamo monitorato obiettivi e metriche sulla velocità di esecuzione.

La sfida della migrazione (20:30)

Tornando ai requisiti per il lavoro post-quantistico su Ethereum: sapere esattamente quali sono le minacce, quali tipi di attacchi possono essere eseguiti e avere percorsi di migrazione molto prevedibili per gli account. Questo è uno dei problemi più grandi con la sicurezza post-quantistica. Devi prendere tutti gli account esistenti sulla blockchain e assicurarti che in qualche modo gli utenti eseguano un'azione di aggiornamento agli schemi di firma post-quantistica. Se non intraprendono alcuna azione, gli account sono a rischio. Anche se quegli account sono morti — nessuno possiede le chiavi perché sono state perse — è comunque un problema perché gli attacchi quantistici potrebbero recuperare quelle chiavi. Ciò potrebbe creare una sensazione generale di incertezza e un rischio aggiuntivo attorno alla tecnologia.

Ci sono alcune soluzioni su Ethereum: l'approccio di emergenza. Si presume che se qualcuno possiede le chiavi, molto probabilmente possiede anche la preimmagine: la frase seme. Quindi puoi adottare l'approccio di emergenza in cui le persone provano tramite ZK di possedere la frase seme che ha generato la chiave pubblica. Quindi puoi bloccare quegli account finché qualcuno non pubblica la prova. Ma rischi comunque che coloro che hanno generato le chiavi direttamente senza una frase seme potrebbero non essere mai in grado di recuperare i propri fondi.

Prestazioni, verifica formale e progressi nell'implementazione (23:00)

Vogliamo avere un sacco di implementazioni con verifica formale, che ora sta accelerando molto. Abbiamo avuto esempi di verifica formale eseguita molto velocemente grazie all'IA. Vogliamo analizzare i cambiamenti delle prestazioni: l'economia dello spazio del blocco cambia. Quanto velocemente possono essere verificate le firme e qual è il costo dell'hardware per l'esecuzione. La cosa buona è che scalando il layer 1 (l1), creiamo più spazio per il nuovo tipo di firme. Le transazioni di base potrebbero essere da 10 a 20 volte più costose di oggi a causa delle firme più grandi negli schemi post-quantistici. In generale, ci aspettiamo che l'intero ecosistema sia pronto: portafogli, validatori, operatori; tutti passano e sono pronti ad aggiornarsi insieme. Una cosa è fare la ricerca e le implementazioni; l'altra è l'intera transizione della migrazione. Se la prima parte potrebbe richiedere da due a tre anni, l'integrazione richiederà altri due o tre anni a meno che le persone non sentano davvero che c'è un'emergenza.

Quali sono le idee sbagliate sul lavoro? La prima che amo davvero sottolineare: solo perché l'azione potrebbe essere limitata a un certo punto, non significa che non sia già stato fatto molto lavoro. I ricercatori potrebbero decidere di procedere con semplici modifiche e miglioramenti graduali, ma questo è il risultato di tre o quattro anni di revisione di tutti i dettagli e di un'ottima comprensione di tutte le possibilità e degli attacchi. Il malinteso è che lo faremmo con un singolo cambiamento: molto probabilmente sarà una serie di cambiamenti e più moduli che verranno modificati nel tempo.

La roadmap completa e i progressi della devnet (25:29)

Questa è una rapida rassegna delle cose che stiamo facendo: livello di consenso, Lean EVM, Lean Spec. Tre cose su cui stiamo lavorando. Ci sono anche precompilazioni per le nuove firme. Ecco la roadmap: quando è stata presentata a Bangkok, le persone hanno detto che Ethereum è lento e pensa molto lentamente alle roadmap. Ma ora dimostra che siamo già a due anni di molta preparazione per il post-quantistico, e sta iniziando a calmare le persone perché dicono: "oh, siamo già a metà strada e stiamo costruendo le soluzioni". Quindi quella roadmap non era poi così male alla fine: Ethereum dimostra che viene seguita.

Stiamo monitorando le prestazioni delle firme lean: questa è per XMSS basato su hash. Stiamo già vedendo tempi di verifica che sembrano promettenti. Per le multifirme e l'aggregazione, è un po' più lento, ma in generale i progressi sono molto promettenti. Siamo super felici del lavoro. Queste sono le devnet lanciate per l'interoperabilità tra i client: più client che implementano devnet per il post-quantistico. La devnet post-quantistica 2 è attiva al momento.

Il sito web della roadmap di Lean Ethereum è estremamente dettagliato e molto ben coordinato per tutti gli sforzi di sicurezza post-quantistica su Ethereum. Ecco alcuni esempi video: la chiamata 2 sul link della sicurezza post-quantistica a febbraio dell'anno scorso, SubSpec a settembre 2025, e continuiamo con molte specifiche che puoi monitorare. Ecco la risposta di emergenza che ho menzionato. Ecco gli annunci di Justin Drake di due o tre settimane fa: ci siamo affrettati immediatamente dopo aver capito che i mercati finanziari a livello globale parlano sempre di più delle minacce e si sentono molto ansiosi. Abbiamo detto, OK, pubblichiamo: questo è davvero ben preparato ed è stato fatto molto lavoro. Le chiamate post-quantistiche degli All Core Devs sono gestite da Antonio Sanso ogni due settimane. Devnet in esecuzione, workshop in corso: c'è stato un incontro a Cambridge e ne pianifichiamo un altro quest'anno a Colonia e poi di nuovo a Cambridge a ottobre. Verifica formale e finanziamenti massicci: un milione di dollari per le taglie della roadmap post-quantistica. Integrazione, educazione e implementazione. Ecco una roadmap che Ethereum ha annunciato per 10 anni. Questo sito web arriverà molto presto con il materiale post-quantistico. Ed ecco tutti i riferimenti. Grazie mille.