Kwantowy plan Ethereum przed Q-Day z Justinem Drake'em
Wywiad z Justinem Drake'em, badaczem z Fundacji Ethereum, obejmujący postkwantową mapę drogową Ethereum, mapę drogową Lean Ethereum oraz szczerą dyskusję na temat ryzyk egzystencjalnych.
Date published: 15 lipca 2025
Wywiad z Justinem Drake'em, badaczem z Fundacji Ethereum, obejmujący postkwantową mapę drogową Ethereum, wizję Lean Ethereum, przełomy w weryfikacji formalnej oraz szczerą dyskusję na temat egzystencjalnego ryzyka związanego z AI.
Ten transkrypt jest dostępną kopią oryginalnego transkryptu wideo (opens in a new tab) opublikowanego przez Bankless. Został on lekko zredagowany w celu poprawy czytelności.
Wprowadzenie i zagrożenie kwantowe (0:00)
Justin Drake: Jedną z interesujących zmian w moim sposobie myślenia w ciągu ostatnich kilku miesięcy jest to, że przestałem myśleć o erze postkwantowej jako o przeszkodzie, którą musimy pokonać, a zacząłem postrzegać ją bardziej jako szansę. To szansa dla Ethereum, aby wyróżnić się jako pierwszy globalny system finansowy, który jest bezpieczny w erze postkwantowej, nie tylko w stosunku do swoich konkurentów, takich jak Bitcoin i inne, ale także w stosunku do walut fiat i tradycyjnych finansów (TradFi). Myślę, że wysłałoby to bardzo silny sygnał i byłoby bardzo naturalnym argumentem sprzedażowym w kwestii bezpieczeństwa, zachęcającym świat do migracji do Ethereum.
Ryan Sean Adams: Bankless Nation, po raz kolejny dołącza do nas Justin Drake. Będziemy rozmawiać o obliczeniach kwantowych w odniesieniu do krypto, Bitcoina, a także Ethereum. Justin, witamy ponownie w podcaście.
Justin Drake: Cześć chłopaki. Dzięki, że znów mnie zaprosiliście.
David Hoffman: Kwestia kwantowa stała się więc swego rodzaju wielkim, nadciągającym zagrożeniem dla naszej branży. Zawsze o tym wiedzieliśmy. Było to w dużej mierze teoretyczne. W ciągu ostatnich sześciu miesięcy technologia kwantowa zdecydowanie przeszła z fazy teoretycznej do czegoś, co ma materialny wpływ na naszą branżę. Zaczynając od samej ceny Bitcoina, ponieważ zarządzający funduszami — nawet BlackRock opublikował materiały na temat zagrożenia kwantowego dla bezpieczeństwa, a co za tym idzie, wartości Bitcoina. Zauważyliśmy więc anegdotyczne przypadki zmniejszania wagi Bitcoina w portfelach inwestycyjnych. Być może to również tłumi ceny wszystkich innych aktywów w branży.
Nie mówiąc tylko o cenie, ale z tego, co rozumiemy, technologia kwantowa naprawdę wpływa na sposób funkcjonowania blockchainów. Wydaje się więc, że jest to fundamentalny problem całej naszej branży. Przeszkoda, którą nasza branża musi pokonać — kiedy krypto i blockchain były tworzone, nie byliśmy jako branża przygotowani na erę postkwantową. Więc może zacznijmy od kontekstu, jak wygląda tutaj oś czasu? Kiedy nadejdzie ta przeszkoda? Słyszałem, że nazywa się to Q-Day. Kiedy jest Q-Day? Ile czasu nam zostało, aby pokonać tę kwantową przeszkodę?
Justin Drake: Tak. Chcę tylko trochę się cofnąć i podkreślić to, co powiedziałeś, a mianowicie, że w ciągu ostatnich 6 do 12 miesięcy mieliśmy do czynienia z poważnymi przełomami. Jednym z nich jest koncepcja korekcji błędów. Jesteśmy w stanie przejść od tak zwanych kubitów fizycznych, które są bardzo zaszumione i podatne na błędy, do idealnie logicznych kubitów. Obecnie możemy w zasadzie wyprodukować jeden logiczny kubit, ale to wciąż bardzo ważny moment przejścia od zera do jedynki, a teraz chodzi o skalowanie tego do wielu logicznych kubitów. Kolejny duży przełom nastąpił po stronie algorytmicznej. Wcześniej myśleliśmy, że potrzeba milionów, a właściwie dziesiątek milionów fizycznych kubitów, aby złamać naszą ukochaną kryptografię. Ale w zeszłym roku pojawił się artykuł, który przyniósł 10-krotną poprawę, zmniejszając tę liczbę do 1 miliona fizycznych kubitów. A w tym roku mamy kolejną 10-krotną poprawę, co obniża tę wartość do 100 000 kubitów.
Więc punkty docelowe są coraz bliżej i mamy tu w pewnym sensie podwójny wzrost wykładniczy, który ostatecznie się przetnie. Kolejną rzeczą, która się wydarzyła, jest strona inwestycyjna — wiele startupów kwantowych zebrało miliardy dolarów. W zeszłym roku, o ile się nie mylę, mówiliśmy o rzędzie 5 miliardów dolarów, co jest bezprecedensowe. Wcześniej mówiliśmy o setkach milionów. Myślę, że kulminacja tych wszystkich rzeczy naprawdę pobudziła opinię publiczną i doprowadziła do tej narracji, która rzeczywiście mogła wpłynąć na cenę Bitcoina i etheru.
Wybiegając teraz w przyszłość, mój osobisty Q-Day przypada na 2032 rok. Jest to nieco optymistyczne podejście w tym sensie, że możliwe, iż nadejdzie on trochę później, ale musimy być przygotowani na najgorszy scenariusz. Powiedziałbym więc, że istnieje co najmniej 1% szans, że Q-Day nastąpi w 2032 roku, a najprawdopodobniej jest to wartość dwucyfrowa. Różni eksperci powiedzą, że nastąpi to gdzieś między 2031 a 2038 rokiem. Jeden z moich przyjaciół z branży, Steve Bryley, założyciel i dyrektor generalny jednej z największych na świecie firm zajmujących się kwantową korekcją błędów, który tak się składa, że ma siedzibę w Cambridge, tam gdzie ja — jego osobisty Q-Day przypadał na 2032 rok, ale trzymał się tej daty od 15 lat
Kiedy nadejdzie Q-Day i jak się przygotować? (5:08)
i zawsze pozostawało to bez zmian.
Ryan Sean Adams: Wow, to imponująca ciągłość.
Justin Drake: Zasadniczo wystarczy wyekstrapolować funkcje wykładnicze i właśnie tam lądujemy. Dlatego to, co próbujemy zrobić z Ethereum, to upewnić się, że wszystko będzie dopięte na ostatni guzik na długo przed 2032 rokiem. Moja data docelowa, kiedy Ethereum będzie w pełni bezpieczne w epoce postkwantowej, to 2029 rok.
David Hoffman: Rok temu gościliśmy cię razem ze Scottem Aaronsonem, który jest swego rodzaju ojcem chrzestnym w tej dziedzinie. Zadaliśmy kilka pytań o Q-Day. Czy dobrą definicją Q-Day jest dzień, w którym komputery kwantowe będą w stanie złamać nasze schematy podpisów, takie jak ECDSA? Czy to właśnie oznacza Q-Day?
Justin Drake: Tak, dokładnie. Mamy ten nowy termin CRQC — cryptographically relevant quantum computer (komputer kwantowy o znaczeniu kryptograficznym). Jeśli trochę zmrużysz oczy, Q w środku staje się O i wygląda jak krokodyl, „croc”. To jest moment, w którym staje się to dla nas istotne. Możliwe, że pojawią się inne zastosowania, które sprawią, że komputery kwantowe będą przydatne w chemii lub fizyce, ale to nastąpi nieco później.
David Hoffman: Przypominam sobie, że wtedy był dość ostrożny w swoich sądach. To było rok temu, w styczniu 2025 roku, i powiedział, że w ciągu 10 lat powinniśmy mieć użyteczne, odporne na błędy komputery kwantowe, ale bardzo uważał, by zaznaczyć, że nie oznacza to, iż będziemy w stanie złamać ECDSA. Nie chciał podać konkretnej daty, ponieważ twierdził, że to niewyobrażalnie trudny problem inżynieryjny. Zauważyłem, że jego ton zmienił się w ciągu ostatniego roku i faktycznie dołączył do kilku organizacji i fundacji, aby pomóc kryptowalutom odnaleźć się w świecie kwantowym. Czy wynika to z trzech powodów, które podkreślasz — przełomów w algorytmach, korekcji błędów, która pozwala nam skalować logiczne kubity, a także miliardów z funduszy VC pompowanych w tę branżę? Czy jego opinia uległa zmianie?
Justin Drake: Nie mogę wypowiadać się w jego imieniu, ale jedną rzeczą, na którą powinniśmy zwrócić uwagę, jest to, że Scott jest przede wszystkim teoretykiem. Przez bardzo długi czas pracował nad teorią, a nie nad codziennym funkcjonowaniem komputerów kwantowych, i myślę, że to było częściowo powodem jego ostrożności. Coraz częściej zdarza się, że prawdziwe firmy i prawdziwi przedsiębiorcy budują te rzeczy, a on ma na to wgląd od wewnątrz. Zasadniczo przyswaja wszystkie te informacje. Jedną z rzeczy, które niedawno powiedział, jest to, że rząd USA zaczyna interweniować w kwestii publikacji pomysłów. Mamy więc firmy i naukowców, którzy mogą wymyślić ulepszenia algorytmu Shora, a te nie są w pełni ujawniane, potencjalnie ze względów bezpieczeństwa narodowego.
Fizyczne kubity, logiczne kubity i łamanie ECDSA (10:11)
David Hoffman: Wow. Okej. Wygląda więc na to, że angażują się w to rządy. Tak naprawdę nie jesteśmy pewni, ile pracy odbywa się za kulisami — na tym etapie zdajemy sobie sprawę tylko z prac komercyjnych. Jeśli chodzi o kwestię logicznych kubitów, powiedziałeś, że mamy teraz jeden logiczny kubit. Są fizyczne kubity i logiczne kubity, a to, co trzeba skalować, to logiczne kubity. Aby złamać ECDSA, ilu logicznych kubitów tak naprawdę potrzebujemy? To metryka, na którą patrzę, ale czy to w ogóle właściwa liczba? Słyszałem, jak ludzie mówili o potrzebie tysiąca, a może 1500. Czy to liczba, na którą powinniśmy zwracać uwagę?
Justin Drake: Tak, istnieje wiele istotnych metryk. Jest całkowita liczba fizycznych kubitów, całkowita liczba logicznych kubitów, a także całkowita liczba kroków potrzebnych do uruchomienia algorytmu. Ma to rzeczywisty wpływ, ponieważ zadecyduje o tym, czy złamanie klucza zajmie minutę, dzień, tydzień, miesiąc czy rok.
David Hoffman: A jak wyglądają czynniki skalujące dla każdego z nich — fizycznych, logicznych, a następnie czasu działania algorytmu?
Justin Drake: Mówiąc w przybliżeniu, liczba fizycznych kubitów potrzebnych do uzyskania jednego logicznego kubitu wynosi dziś kilkaset — powiedzmy tysiąc. To, co powinno się wydarzyć, to wzrost jakości fizycznych kubitów, tak zwanej wierności (fidelity), a także powinniśmy opracować lepsze algorytmy kodowania wymazań, które poprawią ten stosunek. Możliwe więc, że w przyszłości będziemy potrzebować tylko 100 fizycznych kubitów na każdy logiczny, a może tylko 10.
Kiedy spojrzysz na algorytm do łamania logarytmu dyskretnego i ECDSA, z grubsza rzecz biorąc, jest to niewielka wielokrotność liczby bitów w krzywej. Pracujemy z krzywą o nazwie secp256k1. Liczba 256 oznacza 256 bitów. Bierzesz więc tę liczbę i mnożysz ją przez pięć lub sześć, co da ci w przybliżeniu liczbę potrzebnych logicznych kubitów — powiedzmy 1500. Ponieważ dzisiaj jesteśmy na poziomie jednego logicznego kubitu, w pewnym sensie dzielą nas od tego celu trzy rzędy wielkości, czyli trzy skoki x10. Ale znowu, będziemy mieli ulepszenia po stronie korekcji błędów, które zmniejszą ten stosunek, oraz ulepszenia po stronie algorytmicznej, które zmniejszą liczbę potrzebnych logicznych kubitów.
Jeśli chodzi o czas działania, jest to dość interesujące, ponieważ istnieją dwa rodzaje komputerów kwantowych — z szybkim i wolnym zegarem. Szybki zegar działa naprawdę szybko, niemal z prędkością światła. Mamy nadprzewodzące komputery kwantowe i fotoniczne komputery kwantowe — fotoniczne, jak sama nazwa wskazuje, wykorzystują fotony, czyli światło, co wyjaśnia, dlaczego są tak szybkie. Następnie mamy wolny zegar — uwięzione jony i neutralne atomy. Nazwy nie mają większego znaczenia, ale z grubsza rzecz biorąc, działają one tysiąc razy wolniej. Każda architektura i modalność ma swoje wady i zalety. Jest więc całkiem możliwe, że na początku zobaczymy, jak zwycięży modalność z wolnym zegarem w tym sensie, że jako pierwsi złamią klucz, ale zajmie im to dużo czasu — może to potrwać tydzień lub miesiąc. Więc w pewnym sensie Q-Day nie jest całkowicie czarno-biały; będzie okres, w którym zabezpieczenia będą w pewnym sensie złamane, ale tylko dla najważniejszych adresów o najwyższej wartości.
David Hoffman: Ciekawe. Ale Q-Day może również wydarzyć się za kulisami, bez naszej wiedzy o tym, jak daleko tak naprawdę zaszliśmy.
Justin Drake: Tak. A jeśli rzeczywiście to państwo narodowe jako pierwsze uzyska dostęp do tych komputerów kwantowych, to o ile krypto nie będzie odgrywać głównej roli systemowej na świecie, najprawdopodobniej użyją swoich mocy do atakowania w ukryciu — na przykład do szpiegowania swoich przeciwników. To działa na naszą korzyść. Ale jeśli masz do czynienia z czysto racjonalnym podmiotem, który kieruje się chęcią zysku, może on rzeczywiście zaatakować Bitcoin lub Ethereum.
Kwantowe centra danych i scenariusz ataku Q-Day (15:10)
David Hoffman: Ostatnie pytanie o kubity. Czy obecnie buduje się centra danych dla komputerów kwantowych? Mamy do czynienia z masową rozbudową centrów danych dla sztucznej inteligencji. Czy coś podobnego zaczyna się dziać w przypadku komputerów kwantowych?
Justin Drake: Tak. Czytałem komunikat prasowy firmy Continuum. Budują komputer kwantowy oparty na fotonice i działają bardzo dyskretnie. Zebrali mnóstwo pieniędzy — miliardy dolarów, częściowo od rządu australijskiego — i chcą niejako stworzyć komputery kwantowe za jednym zamachem. Wiele innych firm buduje małe wersje demonstracyjne (proof-of-concept), a następnie je rozwija, ale oni chcą zbudować całość od pierwszego dnia. Budują więc to ogromne centrum danych. Myślę, że wynika to z wybranej metody — fotonika nie wymaga tak niskich temperatur, jak inne technologie, na przykład nadprzewodnictwo. Można więc wziąć znacznie bardziej tradycyjnie wyglądające centrum danych i umieścić w nim swój komputer kwantowy.
Ryan Sean Adams: Właśnie mówiłeś o tym, że Q-Day nie jest tak naprawdę czarno-biały. Istnieje wiele różnych elementów blockchaina, które mają znaczenie w kontekście technologii kwantowej, a każdy z nich ma inny poziom podatności. Chcę jednak przyjąć stanowisko, że Q-Day to w rzeczywistości nagłe, konkretne zdarzenie — to moment, w którym następuje faktyczny atak i w rezultacie coś ulega awarii. Może to wyglądać inaczej w przypadku różnych blockchainów, ponieważ ich profile ryzyka nie są jednolite. Możemy jednak porozmawiać o Q-Day dla sieci Bitcoin przy założeniu, że Bitcoin nic z tym nie zrobi. Jeśli założymy, że Bitcoin się nie dostosuje, nadejdzie konkretny dzień, w którym zostanie zaatakowany. Jak to wygląda? Co by się wydarzyło tego dnia? Co jest najłatwiejszym celem dla komputera kwantowego atakującego sieć Bitcoin?
Justin Drake: Zasadniczo trzeba spojrzeć na zachęty do ataku. Racjonalnym posunięciem dla atakującego jest dobranie się do największych adresów, a właściwie może nawet wcześniej, do adresów, w których istnieje doskonała prywatność lub adresów, w których istnieje wiarygodna możliwość zaprzeczenia. Pozwól, że omówię je po kolei. Pierwszym celem będzie prawdopodobnie Zcash, ponieważ jeśli zaatakujesz Zcash, możesz wybijać dowolną liczbę ZEC i nikt się o tym nie dowie. Zatem Q-Day nie zostanie podany do wiadomości publicznej.
David Hoffman: Czekaj, żeby było jasne — Zcash nie jest obecnie bezpieczny w erze postkwantowej? Mimo że używa ZK-SNARKs i tego wszystkiego?
Justin Drake: Tak, używa SNARKów, które opierają się na krzywych podatnych na złamanie przez komputery kwantowe.
David Hoffman: Okej. Kolejną potencjalną grupą ofiar mogą być osoby, które zmarły i po prostu straciły swoje monety. Jeśli ktoś ukradnie ich monety, nikt nie będzie narzekał — istnieje pewna doza wiarygodnej możliwości zaprzeczenia.
Ryan Sean Adams: Ale zauważylibyśmy to, to znaczy, gdybyśmy zaczęli widzieć monety od ludzi—
Justin Drake: I tak, i nie, ponieważ widzimy to już dzisiaj. Mniej więcej co kwartał pojawia się jakiś adres-zombie, który nie był aktywny od 13 lat, nagle ożywa i nikt nie zna prawdziwego powodu.
Ryan Sean Adams: Prawda? To jak 13-letni portfel Bitcoin, który nie miał żadnej transakcji od czasu, gdy wieki temu wykopano 50 bitcoinów, i wykonuje swoją pierwszą transakcję od 13 lat. Niezależnie od tego, czy ta osoba wciąż żyje i po prostu budzi uśpiony portfel, czy też jest to atak z użyciem komputera kwantowego — naiwny obserwator patrzący tylko na blockchain Bitcoina nie zauważy różnicy.
Justin Drake: Dokładnie. Tak. A potem prawdopodobnie zaatakowałbyś największe ryby, którymi może być jakaś giełda, która nie wdrożyła odpowiedniej infrastruktury, aby się chronić. Okazuje się, że istnieje bardzo proste zabezpieczenie przed komputerami kwantowymi, a przynajmniej przed tymi pierwszymi — nie używaj ponownie swoich adresów. Kiedy ponownie używasz swojego adresu, ponownie używasz klucza publicznego, a to oznacza, że atakujący ma czas na złamanie odpowiadającego mu klucza prywatnego, a następnie kradzież twoich środków przy drugim użyciu tego adresu. Najlepszą praktyką powinno być więc to, że jeśli przechowujesz jakiekolwiek środki w długoterminowym zimnym portfelu (cold storage), powinien to być czysty adres, dla którego odpowiadający mu klucz publiczny nigdy nie został ujawniony. Żeby było to całkowicie jasne: to, na co pozwala komputer kwantowy, to
Podatne adresy Bitcoin i monety Satoshiego (20:08)
polega na przejściu od klucza publicznego z powrotem do klucza prywatnego. To naprawdę zagraża fundamentom własności.
Ryan Sean Adams: Więc długo uśpione monety, niezależnie od tego, na jakim blockchainie się znajdują, których klucz publiczny został ujawniony — co nie dotyczy wszystkich uśpionych monet, ale ich dużego odsetka — są zagrożone. To są monety Satoshiego. Satoshi trzyma swoje monety w portfelu, który ludzie znają. Dlatego nazywamy je monetami Satoshiego, ponieważ wiemy, gdzie one są. Jaki procent bitcoinów jest na to podatny?
Justin Drake: Tak, istnieje strona internetowa o nazwie „Qisk List” — pisana przez Q zamiast C — stworzona przez firmę Project 11, na której znajduje się pulpit nawigacyjny dający podgląd na żywo podatnych adresów. Wydaje mi się, że to rząd wielkości 35%.
David Hoffman: 35% bitcoinów.
Justin Drake: Tak. Czyli miliony Bitcoinów — powiedzmy sześć lub siedem milionów. Tak, to setki miliardów dolarów. I masz rację, że obejmuje to około 1 miliona BTC, które posiada Satoshi. Jedną z interesujących cech BTC Satoshiego jest to, że wszystkie są w porcjach po 50 Bitcoinów, ponieważ taka była nagroda za blok, a on używał nowego adresu za każdym razem, gdy wydobywał. Tak było wtedy zaprogramowane domyślne oprogramowanie. Jeśli złamanie jednego klucza publicznego zajmie, powiedzmy, dzień lub nawet 10 minut, zobaczysz, że monety Satoshiego są opróżniane w mniej więcej takim samym tempie, w jakim były wtedy wydobywane — mniej więcej raz na 10 minut.
Będzie to proces rozciągnięty w czasie. Jedną z interesujących konsekwencji jest to, że jeśli jesteś płotką i masz na swoim adresie znacznie mniej niż 50 bitcoinów, to nic ci nie grozi. Jesteś w pewnym sensie chroniony przez Satoshiego, który jest przed tobą.
David Hoffman: Racja?
Justin Drake: Tak. Dokładnie.
Ryan Sean Adams: W analogii ucieczki przed zombie, po prostu nie możesz być tym najwolniejszym. W tym przypadku nie możemy mieć największych portfeli, które nie są odporne na ataki kwantowe, ponieważ oni po prostu wezmą się za te większe portfele.
Justin Drake: Dokładnie.
David Hoffman: Więc Q-Day (Dzień Q) nadchodzi w scenariuszu Justina Drake'a — być może Zcash jako pierwszy doświadczy jakiejś formy ataku, a potem możesz zobaczyć pewne adresy onchain, które nie rzucają się zbytnio w oczy, ponieważ atakujący nie będzie chciał zwracać na siebie uwagi. Kilka adresów na Bitcoinie, ale potem atakujący zwiększyłby skalę działań i wziąłby się za coraz większe zasoby. Z tego, co zrozumiałem z artykułów Nicka Cartera, część podaży Bitcoina znajduje się w scenariuszu utraconych monet — albo dana osoba zmarła, zgubiła swoje klucze prywatne, albo to sam Satoshi. Myślę, że Nick oszacował minimalny próg na 1,7 miliona Bitcoinów, co stanowiłoby 8,6% wydobytej podaży. To mniej niż 35% podatnych na atak. Ludzie próbujący być o krok przed atakiem zombie przeniosą się na niepodatne adresy. Ale jeśli monety są stracone, jeśli nie ma dostępu do kluczy prywatnych, nie można ich przenieść. Inne szacunki mówią, że nawet 15% Bitcoinów może być podatnych. Jakie liczby ty widziałeś?
Justin Drake: Tak, zgrubna liczba, którą mam na myśli, jest z nimi zgodna. To około 2 miliony Bitcoinów, powiedzmy 10%. Mamy 1 milion od Satoshiego, a potem mniej więcej kolejny milion, który nie poruszył się od bardzo dawna. Musimy trochę z tego odliczyć, ponieważ niektóre adresy zombie są legalne i ożyją, ale powinniśmy to również zwiększyć, ponieważ mogą istnieć niedawno użyte adresy, które zostaną utracone. Więc od 5 do 15% to właściwy przedział. Obstawiałbym około 10–12%, co jest bardzo pokaźną kwotą — zdecydowanie rzędu setek miliardów dolarów.
Debata: spalić czy odzyskać Bitcoina (25:24)
Można by tu przemyśleć kwestię teorii gier. Opcja A to próba spalenia monet. Zaletą jest to, że nie ma się presji sprzedażowej rzędu setek miliardów dolarów. Analizując to w perspektywie krótkoterminowej, jest to racjonalny ruch. Ale cała historia Bitcoina opiera się na silnych prawach własności, więc patrząc długoterminowo, nie powinno się chcieć spalić tych monet. Bardzo trudno przewidzieć, w którą stronę pójdzie społeczność. Możliwe, że ostatecznie decyzję podejmą duzi posiadacze — na przykład Michael Saylor i MicroStrategy. Ponieważ ci duzi posiadacze otrzymają kopię obu wersji Bitcoina — tej ze spaleniem i tej bez — i mogą zdecydować się na pozbycie się tej, która im się nie podoba. A wiemy, że Saylor jest zwolennikiem spalenia, więc potencjalnie może w pojedynkę zmanipulować rynek i uzyskać pożądany przez siebie wynik.
Ryan Sean Adams: Czy możemy wyjaśnić, co masz na myśli? Dwie opcje dla kogo? Mamy więc scenariusz po Q-Day (Dniu Q) — jeśli wierzysz, że Q-Day nadejdzie, będziemy mieli powiedzmy 10% całej podaży Bitcoina, która może zostać zaatakowana przez kogokolwiek, kto dysponuje najlepszym komputerem kwantowym. Mogą po nie sięgnąć i zdobyć Bitcoina w ciągu dni, tygodni, a może miesięcy, przejmując te adresy jeden po drugim. I to 10% może zostać przez kogoś przejęte. Mówisz, że społeczność Bitcoina ma opcje, co zrobić z tymi 10% w warstwie społecznej, w warstwie twardego rozwidlenia. Te opcje są dwie.
Albo mogą spalić lub zamrozić monety — w efekcie powiedzieć, że są to martwe adresy, wiemy, że są martwe, nie chcemy, aby były podatne na ataki kwantowe, więc przeprowadzimy twarde rozwidlenie i powiemy, że te monety nigdy nie zostaną przeniesione. To 21 milionów minus te 10%, które zamrożono. To jedna z opcji.
Druga opcja to po prostu pozostawienie tych 10% temu, kto zdoła stworzyć komputer kwantowy, aby mógł je odebrać. Prawie jak odzyskiwanie wraku statku — ktokolwiek zbuduje łódź podwodną, aby zdobyć złoto, może je odebrać. Ale to są opcje wymuszone. Bez względu na to, co się stanie, jeśli nadejdzie Q-Day, społeczność Bitcoina musi wybrać jedną z nich. Albo zainterweniować, spalić i zamrozić, albo zostawić to jakiejkolwiek geopolitycznej sile komercyjnej, która ma zdolność do opracowania komputerów kwantowych i odebrania nagrody. Czy to właśnie mamy na myśli?
Justin Drake: Tak, bardzo dobrze ujęte. Ale jedna mała korekta: to nie musi się wydarzyć w Q-Day ani po Q-Day. Może to nastąpić wcześniej. W dowolnym momencie społeczność Bitcoina lub jej część może zaproponować rozwidlenie. Przy numerze bloku rozwidlenia istniałyby dwie wersje Bitcoina jako aktywa — tak jak w przypadku rozwidlenia Bitcoin Cash. A ostatecznie decyduje o tym rynek. Giełdy udostępnią dwie wersje tego aktywa, a rynek zdecyduje, która z nich to prawdziwy Bitcoin. I jest możliwe, że tylko ze względu na krótkoterminową dynamikę płynności, wersja, która spala monety, potencjalnie przed Q-Day, będzie tą, która wygra.
Scenariusz Michaela Saylora i punkty Schellinga (30:29)
Ryan Sean Adams: Racja. Więc jestem Michaelem Saylorem, posiadam 2–3% podaży Bitcoina, zwłaszcza tej płynnej. Otrzymuję obie kopie. Tworzymy rozwidlenie blockchaina Bitcoin, podobnie jak podczas wojen o rozwidlenia Bitcoina w 2017 roku. Chcę zachować swoją wartość, więc sprzedaję wszystkie bitcoiny podatne na ataki kwantowe i zatrzymuję wszystkie bitcoiny w wersji, która spaliła podatne monety. Cena nietkniętego blockchaina spada. Cena wersji ze spalonymi monetami utrzymuje się na wysokim poziomie, ponieważ nikt jej nie sprzedaje — Saylor nie sprzedaje, BlackRock nie sprzedaje. Więc twierdzisz, że cena Bitcoina z rozwiązanym problemem kwantowym będzie wyższa i dzięki siłom rynkowym stanie się on kanonicznym Bitcoinem.
Justin Drake: Tak. A Michael może nawet zdecydować się na zakup wersji ze spalonymi monetami za zyski z tej podatnej na ataki i przejść z 5% na pięć i pół procent.
David Hoffman: Prawda? Ale czy to nie oznacza, że musi istnieć pewien poziom odgórnej koordynacji w kwestii tego, które portfele zostaną zamrożone? Oczywiście możemy oznaczyć monety Satoshiego i je zamrozić, ale potem musimy zamrozić kilka kolejnych. Są pewne portfele, co do których możemy mieć dużą pewność — ta osoba nie żyje. Ale tak naprawdę nie wiemy, gdzie wyznaczyć granicę między portfelami, które kwalifikują się do zamrożenia, a tymi, które w rzeczywistości należą do ludzi, ale są po prostu uśpione. Czy istnieje wyraźna granica?
Justin Drake: Cóż, istnieje koncepcja zwana punktem Schellinga — w przypadku braku centralnego koordynatora, jak dojść do konsensusu? Dla Bitcoina punktem Schellinga może być blok, w którym następuje halving. Można wybrać pierwszy halving, drugi halving lub trzeci halving. Wydaje się to w miarę wiarygodnie neutralne — każda moneta, która nie została przeniesiona od drugiego halvingu, jest uważana za spaloną.
David Hoffman: Więc po prostu wybieramy datę i mówimy: hej, jeśli do tego dnia zostawisz swoje bitcoiny w portfelu niezabezpieczonym przed atakami kwantowymi, spalimy twoje monety na tym dodatkowym blockchainie, dla którego utworzymy rozwidlenie.
Justin Drake: Tak, istnieje stosunkowo szeroka przestrzeń projektowa i niektórzy próbowali być kreatywni. Na przykład niektórzy próbują rozwiązać dwa problemy za jednym zamachem — zarówno ten kwantowy, jak i problem budżetu bezpieczeństwa — gdzie propozycja brzmi: weźmy te 2 miliony monet i zamiast je spalić, dodajmy je do emisji. To odsuwa w czasie problem budżetu bezpieczeństwa.
David Hoffman: Założę się, że staje się to jeszcze bardziej ambitne pod względem koordynacji Bitcoina. Nie wiem, czy chcemy przeciążać zdolności koordynacyjne Bitcoina.
Justin Drake: Tak. Gdybym miał obstawiać, postawiłbym po prostu na bardzo proste spalenie, powiedzmy, po drugim halvingu.
David Hoffman: Okej.
Ryan Sean Adams: To jednak bardzo trudne, ponieważ nawiązując do twojej wcześniejszej uwagi, Justinie, to niszczy narrację o nieprzekupności, narrację o prawach własności. Każda decyzja o zamrożeniu lub spaleniu w pewnym stopniu niszczy czystą naturę tego, czym jest Bitcoin. Więc Nick Carter w swoich esejach przedstawia inną historię — nie scenariusz spalenia i zamrożenia, ale scenariusz ratunkowy. W jego scenariuszu prywatne laboratorium kwantowe łamie ECDSA przed czasem. Przypadkowo mają siedzibę w USA. Rząd USA szybko i w tajemnicy je nacjonalizuje. Zaczynają przejmować Bitcoina, koordynują działania z Departamentem Skarbu, z dużymi dostawcami ETF-ów, BlackRockiem, wszystkimi Michaelami Saylorami tego świata. A na koniec USA zostają z 10% podaży Bitcoina w swoim skarbcu. Przegląda fikcyjne wykresy cenowe — kiedy ludzie zdają sobie sprawę, że sieć Bitcoin jest pod atakiem kwantowym, cena gwałtownie spada o 73%. Ale potem, gdy okazuje się, że rząd USA jest w jego posiadaniu i wykorzystuje morskie prawo ratownicze do jego legalnej konfiskaty, rynek odbija, ponieważ USA mają ten strategiczny skarbiec rezerw Bitcoina. Więc to jest jego drugi scenariusz. Uważasz, że to prawdopodobne? Ponieważ przynajmniej w tym scenariuszu nie łamiesz żadnych praw własności.
To z pewnością niewiarygodne, że coś takiego mogłoby się przydarzyć wielobilionowej sieci z tak ogromną nagrodą. To bezprecedensowe. Ale to również mogłoby się wydarzyć i być może byłby to lepszy wynik dla Bitcoina.
Dowód frazy odzyskiwania i problem rozmiaru podpisu postkwantowego (35:06)
Justin Drake: Tak. Mam więc kilka przemyśleń. Pierwsze z nich jest takie, że istnieje dość wyrafinowany sposób udowodnienia własności Bitcoina bez użycia klucza prywatnego. Jest to znane jako dowód frazy odzyskiwania. Sposób, w jaki wyprowadza się adres Bitcoin, składa się z trzech kroków: krok pierwszy, generujesz swoją frazę odzyskiwania; krok drugi, wykonujesz pewne operacje na frazie odzyskiwania, w tym haszowanie, aby wyprowadzić swój klucz prywatny; następnie z klucza prywatnego wyprowadzasz klucz publiczny, który jest adresem trafiającym onchain. Niestety, klucz prywatny nie jest już czymś, co może udowodnić własność. Ale ze względu na etap haszowania, jeśli znasz swoją frazę odzyskiwania, nadal stanowi to dowód własności. Więc jedną z rzeczy, która mogłaby się wydarzyć — i technicznie rzecz biorąc, jest to najrozsądniejsza droga naprzód — jest zamrożenie Bitcoina, ale pozwolenie każdemu na odzyskanie swojego Bitcoina za pomocą dowodu frazy odzyskiwania.
Niestety, dowód frazy odzyskiwania jest dość skomplikowany. Wymaga SNARK-a, dowodu z wiedzą zerową, więc znacznie skomplikowałoby to Bitcoina. Ale przewiduję, że Bitcoin będzie miał SNARK-i, aby rozwiązać problem rozmiaru podpisów postkwantowych. Bitcoin jest bardzo znany z tego, że nie chce zwiększać rozmiaru swojego bloku. Niestety, podpisy postkwantowe są około 10 razy większe niż ECDSA. Aby podać konkretne liczby: ECDSA to 64 bajty, miniaturowy podpis. Najmniejszy ustandaryzowany przez NIST podpis postkwantowy to Falcon, który ma 666 bajtów — ponad 10 razy więcej. Jeśli naiwnie zamienisz ECDSA na coś bezpiecznego postkwantowo bez zwiększania rozmiaru bloku, twoja przepustowość spadnie około 10-krotnie. Twoje TPS na Bitcoinie spadnie z trzech do 0,3, co moim zdaniem jest nie do przyjęcia.
To, co budujemy dla Ethereum, to ta wymyślna technologia agregacji podpisów postkwantowych, dzięki której nie umieszczasz surowych podpisów onchain, nawet jeśli są duże — umieszczasz tylko ten dowód agregacji. I założę się, że Bitcoin przyjmie rozwiązanie opracowane przez Ethereum, ponieważ po prostu nie ma innej technicznie sensownej drogi naprzód.
Ryan Sean Adams: Rozumiem. I dlatego obstawiasz przeciwko scenariuszowi ratunkowemu — ponieważ uważasz, że pójdą w tym kierunku, a jeśli tak zrobią, da im to sposób na bardziej wiarygodne i neutralne zamrożenie aktywów. Jeśli możesz udowodnić własność, możesz uzyskać dostęp do starego, klasycznego Bitcoina.
Justin Drake: Tak. Niestety, jeśli jesteś maksymalistą praw własności, nie jest to w pełni satysfakcjonujące.
Ryan Sean Adams: Nie.
Justin Drake: A powodem jest to, że istnieje pewien podzbiór zamrożonych adresów, dla których nie ma znanej frazy odzyskiwania. Standard frazy odzyskiwania pojawił się dopiero kilka lat po bloku genesis. Więc wszystkie wczesne adresy — na przykład wszystkie adresy Satoshiego — nie będą miały odpowiadającej im frazy odzyskiwania. Istnieją również pewne portfele, na przykład portfele oparte na MPC, w których nie ma odpowiadającej im frazy odzyskiwania. Więc nie jest to idealne rozwiązanie, ale załatwia sprawę w 80%.
David Hoffman: Ale bałagan. To jest straszny bałagan, jakkolwiek by na to nie spojrzeć.
Justin Drake: Tak. Inną rzeczą, którą chciałem podkreślić, jest to, że wiele osób myśli, że kiedy ukradniesz Bitcoina, cena BTC spadnie, a skradzione aktywo będzie bezwartościowe.
Ale w rzeczywistości istnieje sposób na zabezpieczenie się przed zmianą ceny Bitcoina, co jest bardzo proste — po prostu zajmujesz krótką pozycję na BTC. Załóżmy, że wiesz na pewno, że złamałeś klucz prywatny portfela, który przechowuje 100 000 BTC. Zajmujesz krótką pozycję na 100 000 BTC. To gwarantuje twój zysk. A potem, bez względu na to, co stanie się z ceną Bitcoina, masz zagwarantowany zysk, który może wynosić dziesiątki miliardów dolarów.
Wyzwanie warstwy społecznej Bitcoina i przewaga Ethereum (40:07)
David Hoffman: Chcę tylko zaznaczyć, Justin, że myślisz w określony sposób i to właśnie ten sposób myślenia sprawia, że jesteś w Ethereum. Gdybyś był zwolennikiem Bitcoina, myślałbyś inaczej. Sposób myślenia Bitcoinerów jest bardzo unikalny, bardzo odmienny — to swego rodzaju maksymalizm praw własności. Myślę, że to, co zrobiłby Justin, gdyby kierował Bitcoinem, bardzo różni się od tego, co zrobiłby ogół Bitcoinerów. Nie mam tu konkretnego pytania, ale chciałem to po prostu podkreślić.
Ryan Sean Adams: O tak. To, co robią Bitcoinerzy, to prawdopodobnie nie to, co ty byś zrobił. Zarzut Nicka Cartera polega w zasadzie na tym, że wielu głównych deweloperów Bitcoina chowa głowę w piasek i twierdzi, że Q-Day nie jest prawdziwy lub nie stanie się rzeczywistością przez najbliższe 20 do 30 lat.
Justin Drake: Żeby było jasne, moje przewidywania dotyczące tego, że spalenie zwycięży, to tylko prognoza tego, co uważam za najbardziej prawdopodobne. To nie jest to, co sam bym zrobił — w rzeczywistości nie ruszałbym Bitcoina i uszanował prawa własności. Nie mam tak krótkiej preferencji czasowej i myślę, że wielu Bitcoinerów się ze mną zgodzi. Niestety, Michael Saylor ma tak silny wpływ, że w pewnym sensie Bitcoin został scentralizowany na warstwie społecznej, a to wiąże się z wielką władzą i wielką odpowiedzialnością.
Ryan Sean Adams: Właściwie się z tobą zgadzam. Ja też bym tak zrobił. Pozwoliłbym na poszukiwanie skarbów, na odzyskiwanie. Niczego bym nie ruszał. To jest kluczowa rzecz, którą robi Bitcoin, i po prostu niech sprawy toczą się własnym torem. Pozwól jednak, że zadam ci to samo pytanie. To nie tylko pewna część podaży Bitcoina jest niezabezpieczona przed komputerami kwantowymi — Ethereum też ma ten problem, ale z innym procentem podaży. Czy możesz nakreślić ten sam problem? Dochodzimy do scenariusza po Q-Day. Ktoś zgarnia Bitcoiny Satoshiego. Co w tym momencie dzieje się na Ethereum? Jaki procent podaży byłby podatny na ataki? Załóżmy, że Ethereum nie rozwiązało jeszcze problemu kwantowego.
Justin Drake: Jedną z przewag Ethereum jest to, że nie ma 5% podaży kontrolowanej przez jedną osobę, Satoshiego, która jest uważana za utraconą. Inną przewagą jest to, że Ethereum jest młodsze i miało swoją cenę od pierwszego dnia. Od samego początku był więc powód, by dbać o swój ether, podczas gdy we wczesnych dniach Bitcoina były to tylko pieniądze z Monopoly i ludzie nie dbali zbytnio o higienę swoich kluczy prywatnych. Jest więc znacznie bardziej prawdopodobne, że 1,7 miliona BTC Nicka Cartera jest faktycznie bezpowrotnie utracone.
Kiedy pracowałem przy projekcie Ultrasound, jedną z rzeczy, które próbowaliśmy zrobić, było obliczenie ilości znanych utraconych monet, aby dodać je do panelu oprócz spalonych. Była to jednak tak znikoma ilość, że daliśmy sobie z tym spokój.
David Hoffman: A co z atakiem na Parity? Czy to nie jest duża część?
Justin Drake: Tak, bardzo słuszna uwaga. To była pozycja numer jeden na liście. Ale tak się składa, że jest to zablokowany inteligentny kontrakt, który nie jest podatny na ataki komputerów kwantowych.
David Hoffman: Więc—
Ryan Sean Adams: Właściwie to po prostu utknęło. Nie chodzi o brak kluczy prywatnych. To dosłownie utknęło.
Justin Drake: Jest zablokowane. Tak. Dokładnie. Poza tym jest kilka przypadków ludzi — jeśli naprawdę poszperasz w dyskusjach na Reddicie, znajdziesz takie rzeczy — ale w ogólnym rozrachunku to łącznie mniej niż 0,1%. To jest znana utracona podaż. Ale realistycznie rzecz biorąc, bliżej Q-Day okaże się, że niektóre monety zostały utracone. Gdybym miał zgadywać, to są to małe wartości jednocyfrowe — może 2, 3, 4, 5%.
David Hoffman: Więc uważasz, że maksymalnie 2–5% podaży Ethereum jest zarówno utracone, jak i znajduje się pod adresami podatnymi na złamanie przez komputery kwantowe.
Justin Drake: Dokładnie. Tak. Gdybym miał podać konkretną prognozę, powiedziałbym, że około 2%, czyli mniej więcej o rząd wielkości mniej niż w przypadku Bitcoina. Ta różnica ilościowa ma konsekwencje jakościowe: w przypadku Ethereum zdecydowanie opowiadałbym się za tym, by nic nie robić i naprawdę uszanować prawa własności, ponieważ koniec końców 2% to nie jest wielki problem. W przypadku Bitcoina 15% to ogromny problem.
Trójwarstwowa postkwantowa aktualizacja Ethereum (45:05)
David Hoffman: Więc Ethereum będzie musiało dokonać tego samego wyboru. Powiedzmy 3% — czy zamrozić i spalić, czy po prostu pozwolić, by stało się to poszukiwaniem skarbów. Masz nadzieję, że wybierzemy opcję poszukiwania skarbów, co oznacza, że jakiś kwantowy atakujący zgarnie te 1–3% etheru. A jeśli spojrzysz na to z szerszej perspektywy, w zasadzie zmierzamy w kierunku, w którym ether będzie znacznie lepszym pieniądzem niż BTC. Będzie nieinterwencjonistyczny, szanujący prawa własności, bezpieczny kwantowo i nie będzie miał problemu z budżetem bezpieczeństwa, który będzie nękał Bitcoin za kilka halvingów. Więc myślę, że to wielka szansa dla tego aktywa.
Ryan Sean Adams: Okej. Rozmawialiśmy o miękkim problemie społecznym. Mamy również do czynienia z wieloma wyzwaniami technicznymi. Chcę przywołać ten tweet od Hasu Kareshi, przyjaciela programu. Zacytował on post Vitalika o kwantowej mapie drogowej Ethereum i powiedział: "Ethereum ma trudniejszą mapę drogową, aby stać się postkwantowym niż Bitcoin — w rzeczywistości istnieje wiele zależności, zanim będzie można zająć się EOA i kluczami prywatnymi ze względu na rozmiary dowodów postkwantowych." Więc jego zdaniem wyzwania stojące przed Ethereum są znacznie trudniejsze niż w przypadku Bitcoina. Co o tym myślisz?
Justin Drake: Są dwa problemy do rozwiązania: techniczny i społeczny. W kwestii technicznej Hasu ma rację, że w zasadzie są trzy problemy, które Ethereum musi rozwiązać — na każdej z różnych warstw. Jest warstwa konsensusu, gdzie mamy BLS. Jest warstwa danych, gdzie mamy KZG. I warstwa wykonawcza, gdzie mamy ECDSA. Każdy z tych elementów kryptografii jest podatny na ataki. To nadzbiór problemów Bitcoina, który ma tylko problem z ECDSA. Więc w pewnym sensie mamy trzy razy więcej rzeczy do zaktualizowania.
Ale patrząc z szerszej perspektywy, powiedziałbym, że większy problem — może w 80% — ma charakter społeczny. Poruszyliśmy już kwestię tego, czy spalić, czy nie. Ale jest coś jeszcze bardziej fundamentalnego: czy w ogóle akceptujemy, że to jest problem? W świecie Bitcoina istnieje pewna reakcja immunologiczna, która w zasadzie odrzuca każdą narrację mogącą negatywnie wpłynąć na cenę. Są ludzie tacy jak Adam Back, którzy twierdzą, że do komputerów kwantowych pozostały co najmniej dekady. Więc krokiem zerowym jest pewnego rodzaju akceptacja, że problem istnieje. I jest możliwe, że Bitcoin spóźni się odrobinę, co miałoby znacznie większe konsekwencje niż te po stronie technologicznej.
David Hoffman: Więc uważasz, że ogólnie Bitcoin będzie miał trudniejszy problem, ponieważ ich warstwa społeczna po prostu nie dostrzega tej rzeczywistości i jest mniej chętna do zaangażowania się?
Justin Drake: Tak. Powiem tak: jestem gotów założyć się o dużą kwotę, że wszystkie trzy warstwy Ethereum zostaną zaktualizowane przed pojedynczą warstwą Bitcoina.
David Hoffman: Racja. Mamy więc trzy razy większy problem. Ale po stronie Ethereum to ostatecznie tylko problem inżynieryjny. I nie tylko to, jest to problem inżynieryjny, z którym Ethereum mierzy się bezpośrednio. Podczas gdy problem inżynieryjny Bitcoina jest mniejszy, jest to problem społeczny, problem koordynacji, który jest fundamentalnie trudniejszy do przezwyciężenia.
Justin Drake: Tak. Dokładnie. A nawet od strony technicznej jest to problem, nad którym pracujemy od prawie dekady. Jeśli cofniesz się do 2018 roku, daliśmy 5 milionów dolarów dotacji dla StarkWare na badanie postkwantowych SNARK-ów opartych na haszowaniu i położenie fundamentów pod funkcje skrótu przyjazne dla SNARK-ów. Stąd wzięła się funkcja skrótu Poseidon. Niedawno, w 2024 roku, ogłoszono Lean Consensus Chain, wcześniej znany jako Beam Chain. W zeszłym roku mieliśmy warsztaty postkwantowe w Cambridge. Mamy teraz dedykowany zespół postkwantowy z Tomem i Emilem. I mamy tę mapę drogową, która
(50:00)
Aktualizacja warstwy wykonawczej: agregacja podpisów (50:00)
naprawdę szczegółowo opisuje niektóre z kluczowych kamieni milowych w realizacji tych aktualizacji.
Ryan Sean Adams: Czy możemy omówić każdy z tych problemów po kolei? Wiem, Justin, że potrafisz wchodzić w najdrobniejsze szczegóły kryptografii — będziemy chcieli utrzymać to na poziomie, który David i ja będziemy w stanie zrozumieć. Ale rozumiemy różne warstwy stosu Ethereum. Może zacznijmy od warstwy wykonawczej, ponieważ to o niej głównie rozmawialiśmy. ECDSA to schemat podpisu stojący za adresami zarówno Bitcoina, jak i Ethereum — to właśnie on zostałby złamany w świecie postkwantowym. Jaka jest ścieżka aktualizacji dla ECDSA? To narzędzie kryptograficzne o długiej historii — czy mamy coś, co może je zastąpić?
Justin Drake: Tak. Przede wszystkim chciałbym podkreślić, że to bardzo duże zadanie — fundamentalnie zmieniamy filary blockchainów, bazową kryptografię, i zastępujemy ją czymś nowym o zupełnie innych właściwościach. Gdybyś był laikiem, twoja odpowiedź mogłaby brzmieć: „To proste. Mamy NIST, Narodowy Instytut Standaryzacji i Technologii. Zorganizowali konkurs na podpisy postkwantowe i wybrali kilka — mianowicie Falcon, Dilithium i SPHINCS+. Musimy po prostu wybrać jedną lub kilka z tych opcji”.
Problem polega na tym, że NIST nie projektował z myślą o zastosowaniach w blockchainie. Projektowali dla pojedynczych podpisów dla pojedynczych wiadomości używanych w internecie. W kontekście blockchainów mamy pakiety transakcji — w przypadku Bitcoina tysiące transakcji na blok. Mamy też problem z rozmiarem, ponieważ podpisy postkwantowe są co najmniej 10 razy większe, jeśli nie 100 razy większe. Moim zdaniem naiwne pakowanie i łączenie tych pojedynczych podpisów w blokach jest z góry skazane na porażkę.
Jedynym rozwiązaniem, jakie widzę, jest tak zwana agregacja podpisów, w której bierze się wiele podpisów i ściska je w jeden wielopodpis. Weryfikacja tego głównego wielopodpisu jest równoznaczna z weryfikacją wszystkich jego poszczególnych elementów składowych. Kiedy spojrzy się na przestrzeń projektową dla agregowalnych podpisów postkwantowych, nie ma zbyt wielu opcji. W mojej opinii istnieje w zasadzie tylko jedna realna opcja: wykorzystanie SNARK-ów, a konkretnie postkwantowych SNARK-ów. Istnieje w zasadzie jedna główna rodzina — SNARK-i oparte na haszach.
Podstawowa idea jest taka, że bierze się pojedyncze podpisy postkwantowe i dowodzi się znajomości ich wszystkich, aby ostatecznie uzyskać końcowy dowód SNARK. Jeśli zamierzasz użyć SNARK-ów opartych na haszach, równie dobrze możesz użyć opartych na haszach podpisów liści — nieskompresowanych, surowych podpisów. Powodem jest to, że daje to korzyści w postaci prostoty i bezpieczeństwa. To najbardziej minimalne założenia bezpieczeństwa, jakie można przyjąć — zakładasz po prostu, że twoja funkcja skrótu jest bezpieczna. W świecie blockchainów funkcje skrótu są fundamentalne. Mamy je wszędzie — do budowania bloków, drzew Merklego, drzew stanu i blockchainów, w których łączenie odbywa się za pomocą haszy.
Fundacja Ethereum włożyła wiele wysiłku, aby zacząć od podpisów opartych na haszach i uczynić je jak najbardziej przyjaznymi dla SNARK-ów, tak aby koszt agregacji był jak najniższy. Z przyjemnością informuję, że wydajność tego podejścia jest w rzeczywistości wystarczająco dobra dla wszystkich blockchainów. Niezależnie od przepustowości twojego łańcucha, możesz mieć agregator na rozsądnym sprzęcie — na przykład na procesorze laptopa — który agreguje wszystkie te transakcje i generuje końcowy dowód dołączany do bloku.
Jedną z ironicznych rzeczy w tym podejściu jest to, że w rzeczywistości stanowi ono wzrost skalowalności w stosunku do tego, co mamy dzisiaj. Powodem jest to, że nie ma stałego kosztu 64 bajtów na transakcję. Transakcje mają zero bajtów danych podpisu, a następnie mamy ten jeden główny podpis, który jest amortyzowany na wszystkie transakcje w bloku.
Ustanawianie standardów branżowych dzięki współpracy z Bitcoinem (55:28)
David Hoffman: Okej. Więc jest to aktualizacja dla wielu innych blockchainów z inteligentnymi kontraktami, które są zależne od Ethereum, zwłaszcza tych, które optymalizują pod kątem szybkości—
Justin Drake: Nie tylko inteligentnych kontraktów — Bitcoina również. ECDSA.
David Hoffman: Tak. Zgadza się. Więc wchodząc w ten odcinek myślałem, że łańcuchy takie jak Solana będą obciążone cięższymi podpisami, tak jak TPS Bitcoina zwalnia do 0,3 transakcji na sekundę. Solana podobnie by zwolniła, ponieważ transakcje byłyby cięższe w postkwantowym świecie. Ale ty mówisz, że dzięki tej technologii to nie będzie prawda — w rzeczywistości pozwoli to łańcuchom na ogólne przyspieszenie.
Justin Drake: Tak, dokładnie. Tak jak Satoshi z ECDSA ustanowił de facto standard dla całej branży — w zasadzie skopiowaliśmy nawet krzywą secp256k1, co jest bardzo nietypowe. Nikt nie wie, dlaczego wybrał akurat tę krzywą, ale stała się ona de facto standardem. Myślę, że istnieje szansa, aby Ethereum było pionierem i ustanowiło de facto standard.
Strategia, którą przyjmujemy, polega na współpracy z Bitcoinowcami. W świecie Bitcoina jest kilka osób — Mikhail Komarov i Nick Jonas. Obaj są częścią Blockstream i obaj są ekspertami od podpisów opartych na hashach. Pracujemy z nimi, aby upewnić się, że cokolwiek opracujemy w świecie Ethereum, będzie miało zastosowanie również do Bitcoina. A jeśli Bitcoin i Ethereum będą używać tego standardu, to przypuszczalnie cała branża również będzie go używać.
Ryan Sean Adams: To fantastyczne. Mamy więc sposób na rozwiązanie problemu postkwantowej aktualizacji warstwy wykonawczej bez spadku wydajności. Pozwól jednak, że zadam inne pytanie — co z bezpieczeństwem? To nowsza kryptografia w porównaniu do ECDSA, która istnieje od zawsze i ma efekt Lindy. Czy powinniśmy się martwić, że istnieje jakiś ukryty błąd lub luka zero-day, która mogłaby całkowicie zniszczyć to, co zbudowaliśmy?
Justin Drake: Mam tu kilka przemyśleń. Traktujemy bezpieczeństwo niezwykle poważnie i ogólnie spodziewam się, że rozwiązanie, które wdrożymy, będzie o rzędy wielkości bezpieczniejsze niż to, co mamy dzisiaj z ECDSA. Pozwól, że wyjaśnię. ECDSA opiera się na krzywych eliptycznych — wymyślnych, ustrukturyzowanych obiektach matematycznych. Możliwe, że jakiś bystry matematyk wymyśli algorytm do złamania logarytmu dyskretnego za pomocą jakiejś wymyślnej matematycznej sztuczki, z której ludzkość nie zdawała sobie sprawy. To już się zdarzało w przeszłości — mamy coraz lepsze algorytmy do faktoryzacji i logarytmu dyskretnego. A jedną z możliwości wraz z nadejściem sztucznej inteligencji jest to, że będziemy mieli matematyków 100 razy mądrzejszych od ludzkich matematyków, którzy odkryją ukrytą strukturę w krzywych eliptycznych i będą w stanie złamać naszą kryptografia. Więc kryptografia, którą budujemy, jest nie tylko postkwantowa, jest również post-AI.
Wracając do innej rzeczy, o której wspomniałem — opiera się to wyłącznie na funkcjach skrótu. Każdy schemat podpisu opiera się na dwóch rzeczach: funkcji skrótu i opcjonalnym dodatkowym założeniu trudności, którym może być logarytm dyskretny, lub w przypadku podpisów opartych na kratach, ustrukturyzowane kraty. Ale w przypadku podpisów opartych na hashach nie ma tego dodatkowego założenia trudności — to tylko funkcje skrótu. Jeśli twoja funkcja skrótu jest bezpieczna, wszystko jest w porządku. Więc w tym sensie spodziewam się, że będzie to ulepszenie w stosunku do status quo.
Teraz są dwa zastrzeżenia, które chcę podkreślić. Zastrzeżenie numer jeden jest takie, że mamy do czynienia z bardziej złożonymi obiektami, a rozwiązanie, które tu mamy, to coś, co nazywamy głęboką weryfikacją formalną typu end-to-end.
Weryfikacja formalna, Poseidon i warstwa konsensusu (1:00:33)
Mamy nasz obiekt kryptograficzny i chcemy matematycznie udowodnić, że jest on solidny — że sfałszowanie podpisu jest niemożliwe. I chcemy to zrobić nie tylko dla matematyki, ale także dla kodu. Gdybyś zapytał mnie 2–3 lata temu, czy jest to wykonalne, odpowiedziałbym, że tak, ale było to niezwykle pracochłonne i kosztowne. Wraz z nadejściem sztucznej inteligencji widzimy, że tę pracochłonną i kosztowną pracę można wykonać 100 razy szybciej i 100 razy taniej.
Zaczynamy dostrzegać przełomową matematykę światowej klasy — na przykład niedawny wynik, który zdobył Medal Fieldsa, odpowiednik Nagrody Nobla w dziedzinie matematyki. Wynik ten został poddany weryfikacji formalnej przez sztuczną inteligencję w ciągu pięciu dni. Wygenerowano pół miliona linii kodu — sprawdzalny maszynowo dowód na to, że jest to rzeczywiście prawidłowe twierdzenie — i przy okazji znaleziono wszelkiego rodzaju literówki w artykule napisanym przez człowieka. To jest ten rodzaj należytej staranności, jakiego oczekujemy, aby uniknąć błędów.
Teraz jest jeszcze jedna rzecz, którą chcę podkreślić: sama funkcja skrótu. Historycznie, blockchainy były budowane w oparciu o SHA-256 w przypadku Bitcoina lub Keccak w przypadku Ethereum. Naszą propozycją dla postkwantowego Ethereum jest wprowadzenie innej funkcji skrótu o nazwie Poseidon, która jest innym rodzajem funkcji skrótu, ponieważ jest przyjazna dla SNARK-ów. Zanim uruchomimy Poseidona, powinien on być całkiem bezpieczny — będzie analizowany przez pełne 10 lat, będzie zabezpieczał wiele miliardów dolarów w warstwach 2 (L2) i przejdzie kryptoanalizę przeprowadzoną przez wszystkich czołowych ekspertów w tej dziedzinie. Właśnie ogłosiliśmy również nagrodę w wysokości 1 miliona dolarów za próbę złamania Poseidona. Ale rzeczywiście jest możliwe, że Poseidon może zostać złamany.
Niestety, sposób projektowania funkcji skrótu polega na tym, że nie można udowodnić ich bezpieczeństwa. Najlepsze, co można uzyskać, to brak ataku — w zasadzie istnieje ten czas dojrzewania. A rząd wielkości, jaki mam na myśli, to osiem lat. Dlaczego osiem lat? Ponieważ kiedy Satoshi wybrał SHA-256, miało ono osiem lat. Kiedy Vitalik wybrał Keccak, zbiegiem okoliczności miało ono osiem lat. Chciałbym więc, aby Poseidon miał co najmniej osiem lat, co nastąpi, gdy wdrożymy go w Ethereum.
Ryan Sean Adams: Okej. To jest warstwa wykonawcza. Czy mógłbyś krótko opowiedzieć o warstwie danych? KZG musi zostać zaktualizowane do czegoś postkwantowego, a także warstwa konsensusu, gdzie mamy podpisy BLS. Czy poziom wysiłku jest podobny do zastąpienia ECDSA?
Justin Drake: Pozwól, że zacznę od warstwy konsensusu, ponieważ odpowiedź jest prostsza. W pierwszym przybliżeniu to w zasadzie kopiuj-wklej. Mamy podobną koncepcję, w której aktorzy składają podpisy, jest ich bardzo dużo, zajmują miejsce i chcemy je skompresować. Problem w warstwie konsensusu polega na tym, że mamy znacznie więcej podpisów niż w warstwie wykonawczej. Ludzie nie zdają sobie z tego sprawy, ale mamy milion walidatorów — to milion podpisów na epokę, 32 000 podpisów na slot, tysiące podpisów na sekundę. To więcej niż Solana pod względem transakcji głosowania.
Aby odblokować pewną optymalizację wydajności dostępną tylko w warstwie konsensusu, mamy pojęcie podpisu stanowego — wiadomości, które podpisujesz, mają licznik, który za każdym razem rośnie. Czy to ci czegoś nie przypomina? Numeru slotu. W Ethereum w warstwie konsensusu zawsze podpisujesz tylko jedną wiadomość na slot. Jeśli podpiszesz dwie, zostaniesz ukarany cięciem. Wykorzystujemy to ograniczenie, aby uzyskać podpisy, które są 10 razy bardziej wydajne w agregacji.
Lean VM, mapa drogowa Lean Consensus i harmonogram na 2029 rok (1:05:17)
To jest główna różnica — bezstanowe funkcje skrótu w warstwie wykonawczej w porównaniu do stanowych podpisów w warstwie konsensusu, gdzie numer slotu rośnie. Technologia agregacji ma swoją nazwę: Lean VM, minimalna maszyna wirtualna zkVM dla kryptografii opartej na haszach. Zasadniczo, Lean VM dowodziłoby, że jest to poprawny korzeń drzewa Merklego. Główną rzeczą, której nie jesteśmy jeszcze całkowicie pewni, jest to, czy to podejście może odblokować to, co nazywam „granicą teragazu” — 1 gigagaz na sekundę w warstwie 1 (L1), 10 000 TPS, ale jeszcze ambitniej, 1 teragaz, 10 milionów transakcji na sekundę w warstwie 2 (L2) przy użyciu dostępności danych.
Mówimy o 1 gigabajcie na sekundę dostępności danych, a pytanie brzmi, czy zkVM może być wystarczająco wydajne, aby przetworzyć 1 GB danych na sekundę. To wciąż pozostaje do ustalenia na podstawie przyszłych optymalizacji.
David Hoffman: Ale to, co wiemy na pewno, to że Ethereum będzie miało DA (dostępność danych), aby osiągnąć 1 gigabajt na sekundę dla warstwy 1 (L1) plus garstki warstw 2 (L2).
Ryan Sean Adams: Myślę więc, że słuchacze mogą w tym momencie pomyśleć: „Okej, wygląda na to, że Ethereum ma plan aktualizacji do ery postkwantowej. Uznają, że komputery kwantowe będą istnieć i nadejdzie Q-Day”. Teraz zastanawiają się nad harmonogramem i wymaganym nakładem pracy. Wziąłem tweet Vitalika o postkwantowej mapie drogowej, wrzuciłem go do Claude'a i zapytałem: „Jaki jest tutaj poziom trudności?”. Claude odpowiedział: „Pomyśl o tym jako o dziewięć na dziesięć”. To jedna z najbardziej znaczących aktualizacji, jakie Ethereum kiedykolwiek przeprowadzi. Porównaliśmy to do The Merge, gdzie mieliśmy samolot w locie i wymieniliśmy silnik dowodu pracy (PoW) na dowód stawki (PoS). Teraz wymieniamy dużą część rdzennej kryptografii. Czy możesz nam to przybliżyć? Czy będziemy gotowi do 2032 roku? Jak bardzo jest to trudne? Czy wydaje się to przytłaczające?
Justin Drake: Tak. Odpowiedź składa się z dwóch części. Po pierwsze, jest to w rzeczywistości jeszcze bardziej ambitne, niż to przedstawiłeś. Zmiana w kryptografii jest tak inwazyjna, że w zasadzie oznacza to przepisanie co najmniej warstwy konsensusu. A skoro zamierzamy przepisać warstwę konsensusu, równie dobrze możemy to zrobić porządnie — dodać wszystkie ulepszenia i posprzątać cały dług technologiczny. To właśnie projekt Lean Consensus, w którym łączymy wiele zmian, w tym ostateczność pojedynczego slotu, z aktualizacją postkwantową.
Więc tak, to bardzo ambitne. Zaczynamy z czystą kartą i budujemy coś niesamowicie pięknego, prostego, wydajnego i o udowodnionym bezpieczeństwie. Dobra wiadomość jest taka, że zaczynanie od zera jest pod wieloma względami prostsze, ponieważ nie ma się całego długu technologicznego. Możemy przepisać specyfikację tak, aby była jak najbardziej minimalna i prosta. Stąd bierze się terminologia „lean” (odchudzony) — maksymalna prostota, gdzie cała funkcja przejścia stanu to w zasadzie tysiąc linii kodu w Pythonie, które bystry licealista może po prostu przeczytać.
Obecnie mamy sieci deweloperskie dla Lean Consensus. A specyfikacje są tak łatwe do przyswojenia, że widzieliśmy około 10 zespołów, które je zaimplementowały, dołączyły do sieci deweloperskiej i zrobiły to bez nawet kontaktowania się z Fundacją Ethereum. Bariera wejścia jest stosunkowo niska. Żyjemy w świecie, w którym rozwój sztucznej inteligencji oznacza, że w dużej mierze możesz kodować swojego klienta „na wyczucie” (vibe-code). To główny powód, dla którego mamy tak wielu klientów — często są to zespoły jednoosobowe lub dwu-, trzyosobowe.
Myślę, że będzie to miało interesujące konsekwencje zarówno dla zrównoważonego rozwoju, jak i zarządzania. Jeśli chodzi o zarządzanie, sposób, w jaki robimy to dzisiaj, to z grubsza rzecz biorąc
Zarządzanie Ethereum i data ukończenia w 2029 roku (1:10:41)
że mamy pięciu klientów warstwy konsensusu i wszyscy muszą wdrożyć aktualizację, abyśmy mogli pójść naprzód. W przyszłości, gdy będziemy mieli 10 lub 15 klientów, możemy po prostu wymagać 80% najlepszych lub 80% najszybszych, aby pójść naprzód. To bardziej darwinowska konkurencja, która pozwala nam poruszać się znacznie szybciej bez czekania na najwolniejszego klienta.
David Hoffman: Więc czy będziemy gotowi do 2032 roku? W którym momencie będziemy gotowi?
Justin Drake: Cała mapa drogowa ma wszystko zaplanowane do 2029 roku,
David Hoffman: Co jest w zasadzie dokładnie tą samą mapą drogową, którą przedstawiłeś podczas swojego wystąpienia na DevConie, gdzie zaprezentowałeś Beam Chain. I wtedy ludzie tego nienawidzili.
Justin Drake: Tak, to był mój najbardziej znienawidzony slajd, ponieważ rozciągał się na cztery i pół roku. Historycznie byłem kiepski w harmonogramach — zdecydowanie zbyt optymistyczny. Ale w miarę jak się starzeję i siwieję, radzę sobie z nimi coraz lepiej. Myślę, że to był realistyczny, konserwatywny harmonogram, który zdenerwował ludzi. Ale tak to już jest.
David Hoffman: Tak dla kontekstu, ludzie zdenerwowali się częściowo dlatego, że miało to miejsce w szczytowym momencie popularności Solany w zestawieniu z postrzeganym brakiem technicznego rozpędu na mapie drogowej Ethereum. To nie był tylko czteroletni harmonogram — to był również kontekst tamtej chwili.
Justin Drake: Dokładnie. Więc teraz dzieli nas od tego około trzech lat. Jestem stosunkowo pewny, że uda nam się osiągnąć kamień milowy w 2029 roku, a myślę, że jest nawet szansa, aby poruszać się szybciej dzięki sztucznej inteligencji.
David Hoffman: Więc do 2029 roku to wszystko zostałoby wdrożone, jeśli będzie zgodne z mapą drogową — wszystko, o czym właśnie rozmawialiśmy.
Justin Drake: Obiecujesz? Wszystko.
Ryan Sean Adams: Czy nie kołacze mi się z tyłu głowy coś o jakimś starożytnym programiście, który mówił mi, że przepisywanie kodu od nowa nigdy nie działa? Dlaczego to nie ma tutaj zastosowania?
Justin Drake: Jedną z dobrych wiadomości jest to, że już zrobiliśmy tego typu duże przepisanie, o którym wspomniałeś, przy okazji The Merge. Całkowicie zmieniliśmy fundamenty konsensusu Ethereum z dowodu pracy (PoW) na dowód stawki (PoS). To dowód na to, że da się to zrobić. Ethereum nie są obce ambitne projekty — mieliśmy inne bardzo ambitne rzeczy, takie jak danksharding i próbkowanie dostępności danych na podobną skalę.
Kolejną dobrą wiadomością jest to, że nie mamy wyboru. Musimy zmienić kryptografię. To bardzo silny czynnik wymuszający, a to samo w sobie i tak oznacza przepisanie 80% kodu.
To sprawia, że koordynacja i dojście do konsensusu są znacznie prostsze.
Problem kwantowy to nie tylko problem krypto (1:15:06)
David Hoffman: Myślę, że powinniśmy podkreślić, że to nie tylko Ethereum nie ma wyboru — nikt w krypto nie ma innej alternatywy. Każdy w krypto musi przeprowadzić przepisanie kodu. W przypadku Bitcoina to tylko ECDSA, ale to samo w sobie wystarczy.
Justin Drake: Tak. Możliwe, że Ethereum musi przepisać więcej niż inne łańcuchy, a ma to związek z liczbą walidatorów. Jeśli masz tylko 100 walidatorów, możesz wziąć na siebie koszt 10-krotnie większych podpisów w warstwie konsensusu. W przypadku większości łańcuchów opartych na dowodzie stawki (PoS) nie potrzebujesz takiego wyrafinowania, jakie my mamy. Ale w przypadku Ethereum mamy nadzieję na dziesiątki tysięcy walidatorów głosujących w każdym slocie — tysiące podpisów na sekundę — i musimy być bardzo kreatywni.
Zgodziłbym się z tobą w tym, że musi nastąpić bardzo duża zmiana dla wszystkich blockchainów w warstwie wykonawczej. Ale dobrą wiadomością dla innych łańcuchów jest to, że Ethereum odrabia całą pracę domową. Budujemy Lean VM, zamierzamy to wszystko formalnie zweryfikować, a oni mogą to po prostu skopiować i wkleić. W dużej mierze jest to łatwe zadanie do zintegrowania.
Ryan Sean Adams: Nick Carter napisał na Twitterze: „Jednym z najgłupszych błędów jest myślenie ludzi, że ich moneta wygra, jeśli tylko Bitcoin umrze — jak ludzie od Zcash walczący z Bitcoinem o kwestie kwantowe. Jest dokładnie odwrotnie. Jeśli Bitcoin umrze, nikt już nigdy nie zaufa internetowym pieniądzom. Wszystkie monety opierają się na sukcesie Bitcoina”. Jaka jest twoja reakcja na ten pogląd?
Justin Drake: Nie zgadzam się z Nickiem Carterem. Nick zawsze się denerwował, gdy pisałem na Twitterze o budżecie bezpieczeństwa. Uważa, że mówienie o tym jest destrukcyjne dla całej branży, mimo że fundamenty są zgodne z tym, co mówię. Jak na ironię, robi to samo z problemem kwantowym, co ja z budżetem bezpieczeństwa — próbuje wymusić dyskusję i wymusić zmianę.
Ryan Sean Adams: A co z szerszym spojrzeniem? Załóżmy, że docieramy do 2032 roku, Ethereum jest odporne na ataki kwantowe, Bitcoin nie jest, Bitcoin zostaje zaatakowany na jeden z opisanych przez nas sposobów — trwa poszukiwanie skarbów i niepewność na rynku. Nick mówi, żeby temu nie kibicować, ponieważ będzie to złe dla każdego łańcucha w krypto. Mówi, że co dzieje się z Bitcoinem, dzieje się ze wszystkimi. Jeśli chcesz mema o internetowym pieniądzu będącym nośnikiem wartości, Bitcoin musi stać na czele. Nie ma czegoś takiego jak scenariusz „flippeningu”, w którym Ethereum może powiedzieć: „Nasz łańcuch jest bezpieczny w epoce postkwantowej i nie mamy problemów, które ma Bitcoin”. On twierdzi, że to pociągnie za sobą całą przestrzeń krypto, przynajmniej z perspektywy internetowego pieniądza jako nośnika wartości.
Justin Drake: Nie zgadzam się. Wystarczy spojrzeć na analizę historyczną — muszelki zostały wyparte przez sól, potem srebro, potem złoto, a teraz potencjalnie Bitcoin wypiera złoto. Tylko dlatego, że złoto zawodzi, nie oznacza, że kolejna rzecz również musi zawieść. Powiedziałbym, że Ethereum jest bardzo naturalnym następcą Bitcoina jako internetowy pieniądz. I tylko dlatego, że Bitcoin zawodzi, nie oznacza, że Ethereum musi zawieść. Zgadzam się, że może pojawić się krótkoterminowy ból, ale mówimy tu również o długoterminowych korzyściach.
Postkwantowa szansa i rozliczenie budżetu bezpieczeństwa (1:20:27)
David Hoffman: Więc co z tego wszystkiego będziemy mieli? W 2030 roku Ethereum jest bezpieczne przed atakami kwantowymi, bo Justin tak obiecał. Czym staje się Ethereum? Czy jest jedyne w swojej klasie, czy spodziewasz się, że inne blockchainy pójdą w jego ślady i również osiągną bezpieczeństwo postkwantowe? Czy możesz opisać system, jaki będziemy mieli w 2030 roku, jeśli to wszystko się spełni?
Justin Drake: Jedną z interesujących zmian w moim sposobie myślenia w ciągu ostatnich kilku miesięcy jest to, że przestałem myśleć o erze postkwantowej jako o przeszkodzie do pokonania. Myślę o tym bardziej jak o szansie. To szansa dla Ethereum, aby wyróżnić się jako pierwszy globalny system finansowy, który jest bezpieczny przed atakami kwantowymi — nie tylko w stosunku do konkurentów takich jak Bitcoin, ale także w stosunku do walut fiducjarnych i tradycyjnych finansów (TradFi). Myślę, że wysłałoby to bardzo silny sygnał i byłoby bardzo naturalnym argumentem sprzedażowym w kwestii bezpieczeństwa, zachęcającym świat do migracji do Ethereum.
To nie tylko szansa dla Ethereum na wyróżnienie się na tle konkurencji, ale także szansa na to, by Ethereum stało się najlepszą wersją samego siebie. Wraca to do pomysłu, że przejście na technologię postkwantową jest w zasadzie napisaniem wszystkiego od nowa, co stanowi ogromną szansę na rozpoczęcie z czystą kartą i wyeliminowanie długu technologicznego.
Jeden interesujący fakt: oryginalny Beacon Chain został uruchomiony w 2020 roku, a jego projekt został zamrożony rok wcześniej, w 2019 roku. Więc kiedy wdrożymy Lean Beacon Chain w 2029 roku, będziemy aktualizować coś, co ma 10 lat. W świecie krypto 10 lat to wieczność. Nauczyliśmy się tak wiele, że Lean Beacon Chain będzie bardzo różnił się od oryginalnego Beacon Chain. Można o nim myśleć jako o dowodzie stawki (PoS) 2.0.
Ryan Sean Adams: Znajdujemy się w bardzo interesującym czasie, jeśli chodzi o informatykę. Wydaje się, że w czołówce znajdują się trzy platformy i paradygmaty obliczeniowe: sztuczna inteligencja (AI), z której wszyscy zdają sobie sprawę; komputery kwantowe, które są może tam, gdzie AI było w 2018 roku; oraz krypto i kryptografia, czego przykładem są blockchainy takie jak Ethereum i Bitcoin. Prawie wydaje się, że wkraczamy w osobliwość tych trzech rzeczy, gdzie AI przyspiesza rozwój technologii kwantowych i kryptografii, a kryptografia będzie przeciwwagą dla niektórych wektorów centralizacji AI. Co o tym wszystkim myślisz?
Justin Drake: Bardzo trudno to przewidzieć, ale tak jak powiedziałeś, istnieje ten bardzo dziwny zbieg okoliczności, w którym rok 2032 wydaje się być rokiem, w którym informatyka w ogóle osiągnie osobliwość. Ludzie mówili o osobliwości AI potencjalnie nawet przed 2032 rokiem. Jest „AI 2027”, bardzo znany artykuł. Nie sądzę, że będziemy mieli superinteligencję w 2027 roku, ale myślę, że jest to prawdopodobne do 2032 roku.
Już zaczynamy to dostrzegać — zaledwie wczoraj Dario Amodei, jeden z weteranów AI, zaczął sprawiać, że AI autonomicznie i rekursywnie ulepsza samą siebie, co jest niezwykle przerażające. To w zasadzie powinno zapoczątkować wykładniczy wzrost w kierunku superinteligencji.
Kryzys budżetu bezpieczeństwa Bitcoina i rozliczenie w 2032 roku (1:25:12)
Mamy rok 2032 jako potencjalny Q-Day, a także rok 2032, w którym Bitcoin będzie miał to, co uważam za jego ostatni halving. Można by to nazwać B-Day — dniem Bitcoina, w którym nastąpi pewnego rodzaju rozliczenie, ponieważ emisja będzie zbyt niska, aby go zabezpieczyć.
Za dwa lata będziemy mieli jeden halving, a za sześć lat, w 2032 roku, kolejny. Narracja dotycząca bezpieczeństwa Bitcoina przez ostatnie 15–16 lat opierała się na założeniu, że opłaty za transakcje zastąpią emisję. Zachęcam do spojrzenia na dane — to się po prostu nie dzieje. Opłaty za transakcje stanowią dziś 0,6% emisji. Więc zapomnijcie o opłatach za transakcje.
Będziemy mieli do czynienia z wykładniczym spadkiem bezpieczeństwa Bitcoina. Dziś Bitcoin jest zabezpieczany przez około 10 gigawatów. A oto oszałamiająca statystyka: każdego dnia Chiny wdrażają jeden gigawat, głównie z energii słonecznej. Zatem 10 dni takich wdrożeń w Chinach wystarczy, aby przeprowadzić atak 51% na Bitcoina.
David Hoffman: Pod względem kosztów energii — tego, co chroni Bitcoina — Chiny produkują tyle energii, ile potrzeba do zabezpieczenia Bitcoina, co 10 dni.
Justin Drake: Jeśli chodzi o pobór mocy, Bitcoin pobiera 10 gigawatów. Gigawat to mniej więcej jedna elektrownia jądrowa, czyli 10 elektrowni jądrowych. Chiny wdrażają równowartość elektrowni jądrowej każdego dnia. I to jest jedno z głównych wąskich gardeł. Drugim wąskim gardłem jest sprzęt — milion koparek. Przeprowadzenie tego kosztowałoby około 10 miliardów dolarów, co w ogólnym rozrachunku jest absolutnymi groszami, zarówno w stosunku do kapitalizacji rynkowej Bitcoina, jak i dla atakującego na poziomie państwowym.
David Hoffman: Kiedy mówisz w ten sposób o Bitcoinie, prawie sprawia to, że myślę, iż nie uważasz już, że Bitcoin powinien być awangardą krypto. Z tego ujęcia wynika, że Bitcoin ma wady z perspektywy budżetu bezpieczeństwa i zagrożeń kwantowych, a Ethereum będzie później przewodzić krypto.
Justin Drake: Pozostaję optymistą w kwestii kwantowej — ostatecznie jest to wyzwanie techniczne, które można pokonać. Większym problemem jest budżet bezpieczeństwa, ponieważ dotyka on samego DNA Bitcoina: limitu 21 milionów i dowodu pracy (PoW). Nie widzę, jak można połączyć dowód pracy z limitem 21 milionów. Trzeba zrezygnować z jednego z nich.
Istnieje możliwość, że BTC jako aktywo mogłoby oddzielić się od Bitcoina jako łańcucha i żyć na bezpieczniejszym łańcuchu — na przykład jako token ERC-20 na Ethereum. Ale wypowiadając te słowa — Bitcoinowcy tak nie myślą.
David Hoffman: Nie, nie myślą.
Justin Drake: A gdybym użył innych słów, na przykład: „Po prostu usuniemy limit 21 milionów, ponieważ budżet bezpieczeństwa jest niewystarczający” — Bitcoinowcy również tak nie myślą. Pędzą prosto na ścianę, a rok 2032 to dzień rozliczenia.
Zbieraj teraz, odszyfruj później — zagrożenia kwantowe wykraczające poza krypto (1:30:09)
Ryan Sean Adams: A co z technologią kwantową w odniesieniu do reszty społeczeństwa? To nie jest tylko problem krypto. Blockchainy są na to wyjątkowo podatne, ale inne elementy społeczeństwa również. W jakim stopniu postkwantowe Ethereum stanowi dla społeczeństwa narzędzie do rozwiązywania i zapobiegania problemom w postkwantowym, post-AI świecie?
Justin Drake: Zasadniczo istnieją dwa rodzaje kryptografii. Istnieje kryptografia czasu rzeczywistego, w której podpisujesz wiadomości w czasie rzeczywistym bez istotnego wpływu na przeszłe działania. Aktualizacja do wersji postkwantowej powinna być stosunkowo prosta dla większości internetu. Istnieją pewne wyjątki — na przykład satelity, które zostały już wdrożone i dosłownie nie mogą zostać zaktualizowane.
Następnie pojawia się kolejny problem z szyfrowaniem: jeśli materiał został zaszyfrowany dzisiaj, a nie używasz bezpiecznego szyfrowania postkwantowego, te dane mogą zostać odszyfrowane w przyszłości. Istnieje cała klasa ataków zwana „zbieraj teraz, odszyfruj później”. Myślę, że to realistyczne, że będziemy mieli do czynienia z masowymi odszyfrowaniami w społeczeństwie — mnóstwo wiadomości z Signala, Telegrama czy całe zbiory wiadomości z Gmaila będą odszyfrowywane jednocześnie. To mogłoby mieć bardzo znaczący wpływ na społeczeństwo.
Ethereum jako defensywny akceleracjonizm i ryzyko egzystencjalne związane z AI (1:30:09)
Ryan Sean Adams: Justin, kiedy rozmawialiśmy o tych trzech technologiach obliczeniowych, wydaje się, że tą, która się wyróżnia, jest AI. Mówiłeś o roku 2032 jako o pewnego rodzaju momencie nadejścia AGI. Jedno ogólne pytanie: jako niezwykle utalentowany kryptograf, nie jesteś AGI. Obawa polega na tym, że wkraczając w osobliwość obliczeniową, wszystkie dotychczasowe zasady przestają obowiązywać. Wszystkie te starannie ułożone plany, które robimy na 2026 rok, aby nasze blockchainy były odporne na komputery kwantowe — co jeśli AGI wymyśli, jak złamać naszą kryptografię odporną na kwanty w jakiś inny sposób? Czy jako kryptograf martwisz się o nieznane niewiadome sztucznej inteligencji ogólnej (AGI) i rzeczy, które mogłaby złamać? Co jeśli jesteśmy przygotowani na świat postkwantowy, ale nie jesteśmy przygotowani na świat post-AGI?
Justin Drake: Jeśli chodzi o kryptografię, jestem dość pewny jej solidności. Powodem jest to, że można matematycznie udowodnić, że kryptografia jest poprawna. Kryptografia to gałąź matematyki. Zazwyczaj kalibruje się te trudne problemy tak, aby w przypadku, gdyby ktoś chciał je złamać obliczeniowo, zużyłoby to więcej energii, niż jest w Układzie Słonecznym.
Wracając do fundamentów kryptograficznych, które sugerujemy dla postkwantowego Ethereum — hashy — nie ma nic silniejszego. To kryptografia o najsłabszych założeniach, na jakie można liczyć. To jeden z powodów, dla których jestem ostrożny, jeśli chodzi o opieranie fundamentów internetu wartości na kratach. NIST ma dwa główne warianty podpisów postkwantowych: oparte na hashach i oparte na kratach. Te oparte na kratach bardzo przypominają krzywe eliptyczne — są to obiekty o wysoce uporządkowanej strukturze. Jest całkiem możliwe, że jakaś AGI lub nawet ASI (sztuczna superinteligencja), tysiące razy mądrzejsza niż cała ludzkość razem wzięta, mogłaby to złamać. Ale funkcje skrótu — są powody, by wierzyć, że są silne.
Chociaż nie martwię się zbytnio o kryptografię, martwię się o coś znacznie głębszego. Patrząc na to z szerszej perspektywy, coraz bardziej obawiam się ryzyka egzystencjalnego dla ludzkości. Coraz więcej osób zaczyna rozumieć, co Eliezer próbował przekazać w Bankless nie tak dawno temu.
Myślę, że jest całkiem możliwe, że jeśli ludzkość przetrwa, Ethereum odegra w tym kluczową rolę. Moja metafora jest taka, że ludzkość prowadzi samochód z prędkością 100 mil na godzinę. Istnieje ta pułapka Molocha, w której wielkie państwa narodowe, TSMC, Nvidia, OpenAI — wszyscy wciskają gaz. A samochód nie ma hamulców, pasów bezpieczeństwa ani poduszek powietrznych. Dziś możemy w miarę wygodnie kierować przy 100 milach na godzinę. W przyszłym roku będzie to 200, potem 300. W końcu będziemy jechać nieodpowiedzialnie szybko i się rozbijemy.
Praca nad Ethereum nabrała dla mnie zupełnie nowego znaczenia w ciągu ostatnich kilku miesięcy. W większości ignorowałem AI, częściowo dlatego, że miałem obsesję na punkcie rzeczy związanych z blockchainem, ale także dlatego, że jeszcze niedawno była to tylko zabawka. Ale poprzez moją pracę, zwłaszcza przy weryfikacji formalnej i rozwoju
Znaczenie pracy nad Ethereum w epoce sztucznej inteligencji (1:35:08)
i kodowania, widzę, jak potężne są te rzeczy. W ciągu ostatnich kilku tygodni i miesięcy miałem obsesję na punkcie sztucznej inteligencji, ucząc się tak dużo, jak to tylko możliwe. W żadnym wypadku nie jestem ekspertem i być może to tylko faza, przez którą przechodzą ludzie, gdy otwierają puszkę Pandory. Ale dla mnie praca nad Ethereum to teraz przede wszystkim defensywny akceleracjonizm.
Nie widzę, aby inne części społeczeństwa pracowały nad systemem hamowania — wszyscy wciskają gaz do dechy. Dobra wiadomość jest taka, że Ethereum ma wiele koncepcji i narzędzi, które mogłyby dostarczyć niektórych rozwiązań. Od pierwszego dnia zakładamy wrogość otoczenia. Od pierwszego dnia wykorzystujemy technologie takie jak kryptografia, które wzmacniają słabych i upewniają się, że nawet arbitralnie silni nie mogą złamać pewnych rzeczy. Staramy się być źródłem prawdy, być zdecentralizowani, dawać ludziom suwerenność.
Myślę, że to możliwe, iż w nadchodzących miesiącach i latach doświadczymy pewnego rodzaju przebudzenia, w którym społeczeństwo powie: „O cholera”. I może stać się moralnym imperatywem, aby zacząć pracować nad defensywnym akceleracjonizmem. Możemy sprawić, że jedne z najbystrzejszych umysłów naturalnie przyjdą do Ethereum jako potencjalnego rozwiązania — części pakietu rozwiązań, których potrzebujemy, aby sobie z tym poradzić.
Ryan Sean Adams: Bardzo mi się podoba, że o tym myślisz, i brzmi to tak, jakby twoja praca nad Ethereum nadawała ci sens. Mam inne pytanie. Będąc oczywiście wielkim fanem Ethereum, jedną z moich obaw, jeśli przeznaczenie związane z AI się spełni, jest to, że na pewnym poziomie, owszem, jest to technologia defensywnego akceleracjonizmu — zdecentralizowana, niewymagająca pozwoleń, przekazująca władzę małym, a nie wielkim. Ale na innym poziomie jest ona cyfrowa. Stworzyliśmy system praw własności i wydaje się możliwe, że jakieś AGI lub ASI mogłoby wykorzystać nasz niezmienny, niemożliwy do wyłączenia komputer światowy do rzeczy, których ludzkość nie chce. Czy martwisz się na jakimkolwiek poziomie, że po prostu użyje ono Ethereum — „Hej ludzkości, dzięki za system praw własności, od teraz my przejmujemy stery” — i że tak naprawdę przyspieszyłeś rozwój technologii, która jest sprzeczna z interesem ludzkości?
Justin Drake: Myślę, że to bardzo trafna uwaga. Ostatecznie Ethereum to narzędzie, które może być używane zarówno przez ludzi, jak i sztuczną inteligencję. Może to tylko próba pocieszania się, ale jeśli usuniesz Ethereum, wydaje się, że nie ma zbyt wielu innych alternatywnych produktów w przestrzeni defensywnego akceleracjonizmu. Prawie wszystko to czysty akceleracjonizm. Więc tak, może Ethereum przyspieszy pewne rzeczy, ale jest to jedna z niewielu nadziei, jakie mamy na defensywną akcelerację. W związku z tym uważam, że nadal racjonalne jest zrealizowanie mapy drogowej do 2029 roku i zrobienie wszystkiego, co w mojej mocy, aby upewnić się, że Ethereum będzie gotowe na erę sztucznej superinteligencji.
Ryan Sean Adams: Jeszcze tylko jedno, ostatnie pytanie, jako że zbliżamy się do końca. To było absolutnie fantastyczne. Może to osobiste pytanie, biorąc pod uwagę twoje przebudzenie w kwestii AI w ciągu ostatnich kilku miesięcy. Zauważyłem teraz, że dodajesz zastrzeżenie „jeśli ludzkość przetrwa” — „Ethereum odegra kluczową rolę, jeśli ludzkość przetrwa”. Te słowa z trudem przechodzą mi przez gardło. Realna możliwość, że akceleracjonizm technologiczny oznacza, iż ludzkość nie przetrwa. Jak radzisz sobie z tym osobiście?
Justin Drake: Podchodzę do tego ze stosunkowym spokojem. Osiągnąłem punkt, w którym jestem gotowy na śmierć. Przeżyłem bardzo szczęśliwe życie.
Końcowe przemyślenia na temat prawdopodobieństwa zagłady (1:40:04)
Ryan Sean Adams: Co?
David Hoffman: To nas zszokowało.
Ryan Sean Adams: To nie była odpowiedź, jakiej się spodziewałem.
Justin Drake: Myślę, że po prostu trzeba mieć nadzieję. Trzeba odłożyć na bok tak zwane P(doom) — prawdopodobieństwo zagłady. Moje P(doom) jest teraz stosunkowo wysokie. Myślę, że wynosi ponad 50%. Ale nie chcę mówić tego na głos. Nie chcę—
Ryan Sean Adams: Nie chcesz żyć w tym pesymizmie.
Justin Drake: Dokładnie. Nie chcę się zniechęcać i uprzykrzać sobie życia. A co może ważniejsze, nie chcę zniechęcać innych ludzi i sprawiać, by tracili nadzieję. Myślę, że powinniśmy robić wszystko, co w naszej mocy, z tym, co mamy. Przyszłość jest wysoce nieprzewidywalna. Mimo że moje P(doom) znacznie wzrosło w ciągu ostatnich kilku tygodni i miesięcy, jest to silne przekonanie, którego słabo się trzymam. Chcę, aby bardzo mądrzy ludzie wystąpili i powiedzieli mi, dlaczego nie powinienem być tak przerażony i być bardziej optymistyczny oraz pełen nadziei.
Jak już mówiłem, myślę o tym dosłownie od tygodni i miesięcy. Dopiero ślizgam się po powierzchni. Wielkim przebudzeniem był dla mnie Opus 4.5, kiedy Emil powiedział mi: „Od tego momentu sztuczna inteligencja faktycznie pomaga mi stać się bardziej produktywnym”. Wcześniej w ogólnym rozrachunku go spowalniała. A to, co widzieliśmy w ciągu ostatnich kilku tygodni, to jeszcze bardziej imponujące wyniki. Około miesiąc temu jeden z kluczowych lematów w opartych na hashach SNARKach — lemat Polyshakes-Spielman — został formalnie zweryfikowany w 8 godzin, co kosztowało 200 dolarów. Coś, co kosztowałoby 100 razy więcej, gdyby zrobił to człowiek, i zajęłoby 100 razy więcej czasu.
Wspomniałem również o wyniku z Medalu Fieldsa, gdzie wygenerowanie dowodu na 500 000 linii zajęło tylko 5 dni. Jest dość oczywiste, dokąd to zmierza: wszystkie znane twierdzenia matematyczne zostaną sprawdzone i zweryfikowane przez AI, a wszystkie literówki poprawione. Dla pewnego małego podzbioru „twierdzeń” otrzymamy wręcz demonstrację, że są one niepoprawne, wraz z kontrprzykładami. Programowanie jest już w dużej mierze rozwiązane, następnie rozwiążemy postęp naukowy. Sprawy bardzo szybko stają się filozoficzne — może to temat na kolejny odcinek.
Ryan Sean Adams: Myślę, że to temat na kolejny odcinek. To jednak fantastyczna odpowiedź. Doceniam twoje spostrzeżenia na temat podchodzenia do tego z pewnym poziomem stoicyzmu, a następnie sprawczości — pracy nad rzeczami, które mają dla ciebie znaczenie. Mamy nadzieję, że jeśli ludzkość przetrwa, w przyszłości nagramy z tobą o wiele więcej takich podcastów. Zawsze miło cię gościć, Justinie Drake. Bardzo dziękuję.
Justin Drake: Dziękuję.