Квантовый план Эфириума перед Q-Day с Джастином Дрейком

Интервью с Джастином Дрейком, исследователем Фонда Ethereum, о постквантовой дорожной карте Эфириума, концепции Lean Ethereum, прорывах в области формальной верификации и откровенный разговор об экзистенциальном риске ИИ.

Эта стенограмма является доступной копией оригинальной стенограммы видео (opens in a new tab), опубликованной Bankless. Она была слегка отредактирована для удобства чтения.

Введение и квантовая угроза (0:00)

Джастин Дрейк: Одно из интересных изменений в моем мышлении за последние несколько месяцев заключается в том, что я перестал думать о постквантовой эпохе как о препятствии, которое нам нужно преодолеть, и теперь рассматриваю ее скорее как возможность. Это возможность для Эфириума выделиться в качестве самой первой глобальной финансовой системы, защищенной от квантовых угроз, не только по сравнению с конкурентами, такими как Биткоин и прочими, но и по сравнению с фиатом и традиционными финансами (TradFi). И я думаю, что это стало бы очень сильным сигналом и своего рода очень естественным преимуществом в плане безопасности, чтобы мир перешел на Эфириум.

Райан Шон Адамс: Bankless Nation, к нам снова присоединился Джастин Дрейк. Мы собираемся поговорить о квантовых вычислениях в контексте криптовалюты, Биткоина, а также Эфириума. Джастин, добро пожаловать обратно на подкаст.

Дэвид Хоффман: Итак, квантовые технологии стали своего рода большой надвигающейся угрозой для нашей индустрии. Мы всегда об этом знали. В основном это было теоретически. За последние шесть месяцев или около того квантовые технологии твердо перешли из разряда теории в нечто, что существенно влияет на нашу индустрию. Начиная с цены Биткоина, потому что управляющие фондами — даже BlackRock выпускали материалы об угрозе квантовых технологий для безопасности и, следовательно, ценности Биткоина. Поэтому мы, по неофициальным данным, видели, как люди снижают долю Биткоина в своих портфелях. Возможно, это также сдерживает цены на все остальные активы в индустрии.

Не говоря уже только о цене, но, как мы понимаем, квантовые технологии действительно влияют на то, как функционируют блокчейны. Так что это кажется фундаментальной проблемой нашей индустрии в целом. Препятствие, которое наша индустрия должна преодолеть — когда криптовалюта и Блокчейн только создавались, мы как индустрия не были готовы к переходу в постквантовую эпоху. Поэтому, возможно, для начала, чтобы задать контекст, каковы здесь сроки? Когда возникнет это препятствие? Я слышал, что это называют Q-Day (Квантовый день). Когда наступит Q-Day? Сколько у нас есть времени, чтобы преодолеть этот квантовый барьер?

Джастин Дрейк: Да. Я просто хочу немного вернуться назад и подчеркнуть то, что вы сказали, а именно, что за последние 6–12 месяцев у нас произошли серьезные прорывы. Один из них — это концепция исправления ошибок. Мы можем перейти от так называемых физических кубитов, которые очень зашумлены и подвержены ошибкам, к идеально логическим кубитам. Прямо сейчас мы, по сути, можем произвести один логический кубит, но это все равно очень важный момент перехода от нуля к единице, и теперь речь идет о масштабировании до нескольких логических кубитов. Еще один большой прорыв произошел в алгоритмической части. Раньше мы думали, что потребуются миллионы, на самом деле десятки миллионов физических кубитов, чтобы взломать нашу любимую криптографию. Но в прошлом году появилась статья, в которой было предложено 10-кратное улучшение, снизившее это число до 1 миллиона физических кубитов. А в этом году у нас есть еще одно 10-кратное улучшение, снизившее его до 100 000 кубитов.

Так что цель становится все ближе и ближе, и у вас есть эта двойная экспонента в некотором смысле, которая в конечном итоге пересечется. И еще одна вещь, которая произошла, касается инвестиций — многие квантовые стартапы привлекли миллиарды долларов. В прошлом году, я полагаю, речь шла о сумме порядка 5 миллиардов долларов, что беспрецедентно. Раньше мы говорили о сотнях миллионов. И я думаю, что кульминация всех этих событий действительно воодушевила общественность и привела к этому нарративу, который действительно потенциально повлиял на цену Биткоина и эфира.

Теперь, заглядывая в будущее, мой личный Q-Day — это 2032 год. Это немного оптимистичный взгляд в том смысле, что, возможно, он наступит немного позже, но нам нужно быть готовыми к худшему сценарию. Поэтому я бы сказал, что есть как минимум 1% вероятности, что Q-Day наступит в 2032 году, и, скорее всего, это двузначный процент. Различные эксперты назовут вам даты где-то между 2031 и 2038 годами. Один из моих друзей в индустрии, Стив Брайли, основатель и генеральный директор одной из крупнейших в мире компаний по квантовому исправлению ошибок, который, так уж вышло, базируется в Кембридже, где нахожусь и я — его личный Q-Day был в 2032 году, но он придерживается этой даты уже 15 лет

Когда наступит Q-Day и как нам подготовиться? (5:08)

и это всегда оставалось неизменным.

Райан Шон Адамс: Вау, это впечатляющее постоянство.

Джастин Дрейк: И, по сути, вам просто нужно экстраполировать экспоненты, и вот к чему вы придете. Поэтому то, что мы пытаемся сделать с Эфириумом, — это убедиться, что мы все завершим задолго до 2032 года. И моя дата завершения перехода Эфириума на полную постквантовую безопасность — 2029 год.

Дэвид Хоффман: Год назад вы были у нас вместе со Скоттом Ааронсоном, который является своего рода крестным отцом в этой области. Мы задавали несколько вопросов о Q-Day. Можно ли дать Q-Day такое определение: это день, когда квантовые компьютеры смогут взломать наши схемы подписи, такие как ECDSA? Действительно ли Q-Day означает именно это?

Джастин Дрейк: Да, именно так. У нас появился новый термин CRQC — криптографически значимый квантовый компьютер (cryptographically relevant quantum computer). Если немного прищуриться, буква Q в середине становится похожей на O, и получается как крокодил, «крок» (croc). Именно тогда это станет для нас актуальным. Возможно, появятся и другие применения, которые сделают квантовые компьютеры полезными для химии или физики, но это произойдет немного позже.

Дэвид Хоффман: Я помню, как он говорил, что в то время он как бы перестраховывался. Это было год назад, в январе 2025 года, и он сказал, что в течение 10 лет у нас должны появиться полезные отказоустойчивые квантовые компьютеры, но он очень осторожно отметил, что это не означает, что мы сможем взломать ECDSA. Он не стал называть точную дату, потому что, по его словам, это невероятно сложная инженерная задача. Я заметил, что за прошедший год его тон изменился, и он действительно присоединился к некоторым организациям и фондам, чтобы помочь криптовалютам сориентироваться в квантовых технологиях. Связано ли это с тремя причинами, которые вы подчеркиваете: прорывами в алгоритмах, коррекцией ошибок, которая позволяет нам масштабировать логические кубиты, и миллиардами венчурного финансирования, влитыми в эту сферу? Изменилось ли его мнение?

Джастин Дрейк: Я не могу говорить за него, но мы должны отметить одну вещь: Скотт в первую очередь теоретик. Очень долгое время он работал над теорией, а не над повседневной практикой квантовых компьютеров, и я думаю, что отчасти именно поэтому он так перестраховывался. Сейчас все чаще происходит так, что реальные компании и реальные предприниматели создают эти вещи, и у него есть взгляд изнутри. По сути, он впитывает всю эту информацию. Недавно он сказал, что правительство США начинает вмешиваться в публикацию идей. Таким образом, у нас есть компании и ученые, которые могут придумать улучшения для алгоритма Шора, и они не раскрываются полностью, возможно, по соображениям национальной безопасности.

Физические кубиты, логические кубиты и взлом ECDSA (10:11)

Дэвид Хоффман: Вау. Хорошо. Похоже, в это вмешиваются правительства. На самом деле мы не знаем обо всей работе, которая происходит за кулисами — на данный момент нам известно только о коммерчески жизнеспособных проектах. Что касается логических кубитов, вы сказали, что сейчас у нас есть 1 логический кубит. Существуют физические и логические кубиты, и масштабировать нужно именно логические кубиты. Сколько логических кубитов нам на самом деле нужно, чтобы взломать ECDSA? Это метрика, на которую я обращаю внимание, но правильная ли это цифра? Я слышал, как люди говорят, что нужна 1000 или, может быть, 1500. Стоит ли нам обращать внимание на это число?

Джастин Дрейк: Да, существует несколько важных метрик. Это общее количество физических кубитов, общее количество логических кубитов, а также общее количество шагов, необходимых для выполнения алгоритма. И это имеет реальное значение, потому что от этого зависит, сколько времени потребуется на взлом ключа: минута, день, неделя, месяц или год.

Дэвид Хоффман: А каковы коэффициенты масштабирования для каждого из них — физических, логических, а затем времени выполнения алгоритма?

Джастин Дрейк: Грубо говоря, количество физических кубитов для получения 1 логического кубита сегодня составляет несколько сотен — скажем, 1000. Что должно произойти, так это повышение качества физических кубитов, так называемой точности (fidelity), и мы также должны придумать лучшие коды для стирающего кодирования, которые улучшат это соотношение. Так что вполне возможно, что в будущем нам понадобится всего 100 физических кубитов на каждый логический, а может быть, и всего 10.

Если посмотреть на алгоритм взлома дискретного логарифма и ECDSA, то, грубо говоря, это небольшое кратное от количества битов в кривой. Мы работаем с кривой под названием secp256k1. Число 256 означает 256-битную кривую. Итак, вы берете это число и умножаете его на 5 или 6, и это даст вам примерное количество необходимых логических кубитов — скажем, 1500. Поскольку сегодня у нас есть 1 логический кубит, в каком-то смысле мы находимся на расстоянии 3 порядков, то есть нам нужно 3 раза увеличить показатель в 10 раз, чтобы достичь цели. Но опять же, у нас будут улучшения в области исправления ошибок, которые уменьшат это соотношение, и улучшения в алгоритмической части, которые снизят количество необходимых логических кубитов.

Что касается времени выполнения, то здесь все довольно интересно, потому что существует два типа квантовых компьютеров — с высокой и низкой тактовой частотой. Компьютеры с высокой тактовой частотой работают очень быстро, почти со скоростью света. Существуют сверхпроводящие квантовые компьютеры и фотонные квантовые компьютеры — фотонные, как следует из названия, используют фотоны, свет, что объясняет их высокую скорость. Затем есть компьютеры с низкой тактовой частотой — на захваченных ионах и нейтральных атомах. Названия не имеют особого значения, но, грубо говоря, они работают в 1000 раз медленнее. Каждая архитектура и модальность имеет свои преимущества и недостатки. Поэтому вполне возможно, что в начале мы увидим победу модальности с низкой тактовой частотой в том смысле, что они первыми взломают ключ, но на это уйдет много времени — может потребоваться неделя или месяц. Так что в каком-то смысле Q-Day не является абсолютно черно-белым; будет период, когда шифрование будет как бы взломано, но только для самых ценных адресов.

Дэвид Хоффман: Интересно. Но Q-Day также может наступить за кулисами, и мы даже не узнаем, насколько далеко мы продвинулись на самом деле.

Джастин Дрейк: Да. И если первыми доступ к этим квантовым компьютерам действительно получат национальные государства, то, если криптовалюта не будет играть главную системную роль в мире, они, скорее всего, будут использовать свои возможности для скрытых атак — например, для шпионажа за своими противниками. Так что это играет нам на руку. Но если вы имеете дело с чисто рациональной организацией, мотивированной деньгами, они действительно могут нацелиться на Биткоин или Эфириум.

Квантовые дата-центры и сценарий атаки в день Q (15:10)

Дэвид Хоффман: Последний вопрос о кубитах. Строятся ли сейчас дата-центры для квантовых вычислений? У нас идет масштабное строительство дата-центров для ИИ. Начинает ли происходить нечто подобное с квантовыми компьютерами?

Джастин Дрейк: Да. Я читал пресс-релиз от Continuum. Они создают квантовый компьютер на основе фотоники и действуют очень скрытно. Они привлекли много денег — миллиарды долларов, частично от правительства Австралии — и они как бы хотят создать квантовые компьютеры с первой попытки. Многие другие компании создают небольшие прототипы, а затем наращивают мощности, но эти ребята хотят построить все целиком с первого дня. Поэтому они строят этот огромный дата-центр. Я думаю, это связано с модальностью — фотоника не требует таких низких температур, как некоторые другие модальности, например, сверхпроводимость. Так что вы можете взять дата-центр, который выглядит гораздо более традиционно, и разместить там свой квантовый компьютер.

Райан Шон Адамс: Вы только что говорили о том, что день Q на самом деле не является чем-то черно-белым. В блокчейне есть множество различных элементов, имеющих отношение к квантовым технологиям, и каждый из них имеет разный уровень квантовой уязвимости. Но я хочу занять позицию, что на самом деле день Q — это острое конкретное событие: это момент, когда происходит реальная атака, и в результате что-то ломается. Возможно, для разных блокчейнов это выглядит по-разному, потому что профили рисков у разных блокчейнов неоднородны. Но мы можем поговорить о дне Q для Биткоина, исходя из предположения, что Биткоин ничего не предпримет. Если мы предположим, что Биткоин не адаптируется, наступит конкретный день, когда Биткоин подвергнется атаке. Как это будет выглядеть? Что произойдет в этот день? Какая самая легкая добыча для квантового компьютера при атаке на Биткоин?

Джастин Дрейк: По сути, вам нужно посмотреть на стимулы для атаки. Рациональным шагом для злоумышленника будет добраться до крупнейших адресов, а на самом деле, возможно, даже до этого — добраться либо до адресов с идеальной приватностью, либо до адресов, где есть правдоподобное отрицание. Позвольте мне разобрать их по порядку. Самой первой целью, вероятно, станет Zcash, потому что если вы атакуете Zcash, вы сможете чеканить произвольное количество ZEC, и никто об этом не узнает. Так что день Q не станет достоянием общественности.

Дэвид Хоффман: Подождите, просто чтобы прояснить — Zcash сейчас не обладает постквантовой безопасностью? Даже несмотря на то, что он использует ZK-SNARKs и все такое?

Джастин Дрейк: Да, он использует SNARK, основанные на кривых, которые могут быть взломаны квантовыми компьютерами.

Дэвид Хоффман: Понятно. И тогда одной из потенциальных групп жертв могут стать люди, которые умерли и просто потеряли свои монеты. Если кто-то украдет их монеты, никто не будет жаловаться — здесь присутствует определенная доля правдоподобного отрицания.

Райан Шон Адамс: Но мы бы это заметили, я имею в виду, если бы мы начали видеть монеты от людей...

Джастин Дрейк: И да, и нет, потому что мы уже видим это сегодня. Примерно каждый квартал появляется какой-нибудь зомби-адрес, который не проявлял активности 13 лет, и он воскресает, а реальной причины никто не знает.

Райан Шон Адамс: Верно? Это как 13-летний кошелек Биткоина, в котором не было ни одной транзакции с тех пор, как они добыли 50 биткоинов целую вечность назад, и он совершает свою первую транзакцию за 13 лет. Жив ли еще этот человек и просто пробуждает спящий кошелек, или это атака с использованием квантовых вычислений — наивный наблюдатель, просто смотрящий на блокчейн Биткоина, не сможет заметить разницу.

Джастин Дрейк: Именно. Да. А затем вы, вероятно, пойдете и атакуете самую крупную рыбу, которой может оказаться какая-нибудь биржа, не внедрившая надлежащую инфраструктуру для своей защиты. Оказывается, есть очень простое средство защиты от квантовых компьютеров, по крайней мере, от самых первых — не используйте свои адреса повторно. Когда вы повторно используете свой адрес, вы повторно используете открытый ключ, а это означает, что у злоумышленника есть время взломать соответствующий приватный ключ, а затем украсть ваши средства при втором использовании адреса. Поэтому лучшей практикой должно быть следующее: если вы храните какие-либо средства в долгосрочном холодном хранилище, это должен быть чистый адрес, для которого соответствующий открытый ключ никогда не раскрывался. Просто чтобы внести полную ясность: то, что квантовый компьютер позволяет вам

Уязвимые адреса Биткоина и монеты Сатоши (20:08)

сделать — это перейти от открытого ключа обратно к приватному ключу. Так что это действительно ставит под угрозу основы собственности.

Райан Шон Адамс: Таким образом, давно бездействующие монеты, независимо от того, какой это Блокчейн, чей открытый ключ был раскрыт — а это не все бездействующие монеты, но большой процент — находятся под угрозой. Это монеты Сатоши. Монеты Сатоши лежат на кошельке, о котором все знают. Вот почему мы называем их монетами Сатоши, потому что мы знаем, где они находятся. Какой процент Биткоинов подвержен этому?

Джастин Дрейк: Да, есть такая веб-страница под названием «Qisk List» — пишется через Q, а не через C — от компании Project 11, где есть дашборд, который в реальном времени показывает уязвимые адреса. Я полагаю, что это порядка 35%.

Дэвид Хоффман: 35% Биткоинов.

Джастин Дрейк: Да. То есть миллионы Биткоинов — скажем, 6 или 7 миллионов. Да, это сотни миллиардов долларов. И вы правы, что сюда входит примерно 1 миллион BTC, которым владеет Сатоши. Одна из интересных особенностей BTC Сатоши заключается в том, что все они разбиты на части по 50 Биткоинов, потому что таким было вознаграждение за блок, и он использовал новый адрес каждый раз, когда майнил. Именно так тогда было запрограммировано стандартное программное обеспечение. Если на взлом одного открытого ключа уходит, скажем, день или даже 10 минут, вы увидите, как монеты Сатоши будут утекать примерно с той же скоростью, с которой они добывались тогда — примерно раз в 10 минут.

Это будет процесс, растянутый во времени. И одно из интересных последствий заключается в том, что если вы мелкая рыбешка и на вашем адресе значительно меньше 50 Биткоинов, то с вами все в порядке. Вы как бы защищены Сатоши, который находится перед вами.

Дэвид Хоффман: Верно?

Джастин Дрейк: Да. Именно так.

Райан Шон Адамс: В аналогии с побегом от зомби вам просто нужно не быть самым медленным. В данном случае нам нужно не иметь самых крупных кошельков, которые квантово-уязвимы, потому что они просто нацелятся на более крупные кошельки.

Джастин Дрейк: Именно так.

Дэвид Хоффман: Итак, День Q наступает по сценарию Джастина Дрейка — возможно, Zcash первым подвергнется какой-то форме атаки, затем вы можете увидеть некоторые адреса ончейн, которые не очень заметны, потому что злоумышленник не захочет привлекать к этому внимание. Некоторые адреса в сети Биткоин, но затем злоумышленник ускорит темп и перейдет к все более крупным источникам богатства. Насколько я понимаю из статей Ника Картера, существует часть предложения Биткоина в сценарии потерянных монет — либо человек умер, либо потерял свои приватные ключи, либо это сам Сатоши. Я думаю, Ник оценил минимальный порог в 1,7 миллиона Биткоинов, что составит 8,6% от добытого предложения. Это меньше, чем 35%, подверженных атаке. Люди, пытающиеся быть на шаг впереди атаки зомби, перейдут на неуязвимые адреса. Но если монеты потеряны, если нет доступа к приватным ключам, вы не сможете их переместить. А по другим оценкам, уязвимыми могут быть до 15% Биткоинов. Какие цифры видели вы?

Джастин Дрейк: Да, примерная цифра, которую я держу в уме, совпадает с этими. Это около 2 миллионов Биткоинов, скажем, 10%. У нас есть 1 миллион от Сатоши и еще примерно миллион, который не перемещался очень долгое время. Нам нужно немного уменьшить эту цифру, потому что некоторые зомби-адреса являются легитимными и оживут, но мы также должны увеличить ее, потому что могут быть некоторые недавно использованные адреса, которые будут потеряны. Так что от 5 до 15% — это правильный диапазон. Я бы поставил на 10–12%, что весьма существенно — определенно сотни миллиардов долларов.

Дебаты о сжигании или спасении Биткоина (25:24)

Здесь можно поразмыслить над теорией игр. Вариант А — попытаться сжечь монеты. Преимущество в том, что у вас не будет давления продавцов на сотни миллиардов долларов. Если смотреть на это в краткосрочной перспективе, то это рациональный шаг. Но вся суть Биткоина заключается в строгих правах собственности, поэтому, если смотреть в долгосрочной перспективе, вы не должны хотеть сжигать монеты. Очень сложно сказать, по какому пути пойдет сообщество. Возможно, в конечном итоге решение будут принимать крупные держатели — например, Майкл Сэйлор и MicroStrategy. Потому что эти крупные держатели получат копии обеих версий Биткоина — со сжиганием и без него — и смогут избавиться от той, которая им не нравится. И мы знаем, что Сэйлор выступает за сжигание, поэтому он потенциально может в одиночку манипулировать рынком и добиться желаемого результата.

Райан Шон Адамс: Можем ли мы прояснить, что вы имеете в виду? Два варианта для кого? Итак, у нас есть сценарий после Q-Day — если вы верите, что Q-Day наступит, у нас будет, скажем, 10% от всего предложения Биткоина, которые могут быть атакованы тем, у кого есть лучший квантовый компьютер. Они могут добраться до них и получить Биткоин за дни, недели, а может и месяцы, взламывая эти адреса один за другим. И эти 10% может кто-то забрать. Вы говорите, что у сообщества Биткоина есть варианты, что делать с этими 10% на социальном уровне, на уровне хардфорка. Есть два варианта.

Либо они могут сжечь или заморозить монеты — фактически сказать, что это мертвые адреса, мы знаем, что они мертвы, мы не хотим, чтобы они были уязвимы для квантовых вычислений, поэтому мы проведем хардфорк и скажем, что эти монеты никогда не будут перемещены. Это 21 миллион минус те 10%, которые были заморожены. Это один вариант.

Другой вариант — они просто оставляют эти 10% тому, кто сможет создать квантовый компьютер, чтобы пойти и востребовать их. Почти как спасение затонувшего корабля — тот, кто построит подводную лодку, чтобы достать золото, может востребовать его. Но это вынужденные варианты. Независимо от того, что произойдет, если наступит Q-Day, сообществу Биткоина придется выбрать один из этих двух вариантов. Либо вмешаться, сжечь и заморозить, либо оставить это любой геополитической коммерческой силе, у которой есть возможность разрабатывать квантовые компьютеры и пойти востребовать приз. Мы об этом говорим?

Джастин Дрейк: Да, очень хорошо сказано. Но одна небольшая поправка: это не обязательно должно произойти в Q-Day или после него. Это может произойти и раньше. В любой момент времени сообщество Биткоина или какая-то его часть может предложить сделать форк. На номере блока форка появятся две версии Биткоина как актива — прямо как при форке Bitcoin Cash. И в конечном итоге это решает рынок. Биржи разместят две версии актива, и рынок решит, какая из них является истинным Биткоином. И вполне возможно, что просто из-за краткосрочной динамики ликвидности версия, которая сжигает монеты, потенциально еще до наступления Q-Day, окажется выигрышной.

Сценарий Майкла Сэйлора и точки Шеллинга (30:29)

Райан Шон Адамс: Верно. Итак, я Майкл Сэйлор, я владею 2–3% предложения Биткоина, особенно ликвидного. Я получаю обе копии. Мы делаем форк Блокчейна Биткоина, прямо как во время войн форков Биткоина в 2017 году. Я хочу сохранить свою ценность, поэтому я продаю все биткоины, уязвимые для квантовых атак, и оставляю все биткоины в той версии, где уязвимые монеты были сожжены. Цена нетронутого Блокчейна падает. Цена версии со сжиганием остается высокой, потому что никто ее не продает — Сэйлор не продает, BlackRock не продает. То есть вы говорите, что цена Биткоина, защищенного от квантовых угроз, будет выше, и благодаря рыночным силам он станет каноничным Биткоином.

Джастин Дрейк: Да. И Майкл может даже решить купить версию со сжиганием на доходы от продажи уязвимой версии и увеличить свою долю с 5% до пяти с половиной процентов.

Дэвид Хоффман: Верно? Но разве это не означает, что должен быть какой-то уровень координации сверху вниз относительно того, какие кошельки будут заморожены? Очевидно, мы можем пометить монеты Сатоши и заморозить их, но затем нам придется заморозить еще несколько. Есть некоторые кошельки, в которых мы можем быть достаточно уверены — этот человек мертв. Но на самом деле мы не знаем, где провести черту: какие кошельки можно замораживать, а какие на самом деле принадлежат живым людям, которые просто не проявляют активности. Есть ли четкая граница?

Джастин Дрейк: Ну, есть концепция, называемая точкой Шеллинга — как прийти к консенсусу в отсутствие центрального координатора? Для Биткоина точкой Шеллинга может стать блок, на котором происходит халвинг. Вы можете выбрать первый халвинг, второй халвинг или третий халвинг. Это кажется достаточно нейтральным и заслуживающим доверия — любая монета, которая не перемещалась со второго халвинга, считается сожженной.

Дэвид Хоффман: То есть мы просто выбираем дату и говорим: эй, если к этой дате вы оставите свои биткоины в квантово-незащищенном кошельке, мы сожжем ваши монеты в этом вторичном Блокчейне, для которого мы собираемся сделать форк.

Джастин Дрейк: Да, здесь довольно широкое пространство для проектирования, и некоторые люди пытались проявить креативность. Например, некоторые пытаются решить две проблемы одним махом — как квантовую, так и проблему бюджета безопасности. Их предложение заключается в том, чтобы взять эти 2 миллиона монет и вместо того, чтобы сжигать их, добавить их в эмиссию. Это откладывает решение проблемы бюджета безопасности на потом.

Дэвид Хоффман: Держу пари, это становится еще более амбициозным с точки зрения координации Биткоина. Не знаю, стоит ли перегружать координационные возможности Биткоина.

Джастин Дрейк: Да. Если бы я делал ставки, я бы просто поставил на очень простое сжигание, скажем, после второго халвинга.

Дэвид Хоффман: Понятно.

Райан Шон Адамс: Но это так сложно, потому что, как вы сказали ранее, Джастин, это разрушает нарратив о неподкупности, нарратив о правах собственности. Любое решение о заморозке или сжигании в какой-то мере разрушает чистую природу того, чем является Биткоин. Поэтому Ник Картер в своих эссе рассматривает другую историю — не сценарий сжигания и заморозки, а сценарий спасения. В его сценарии частная квантовая лаборатория взламывает ECDSA раньше срока. Они случайно оказываются в США. Правительство США быстро и тайно их национализирует. Они начинают скупать Биткоин, координируют действия с казначейством, координируют действия с крупными провайдерами ETF, BlackRock, Майклами Сэйлорами этого мира. И в конце концов США получают 10% предложения Биткоина в казначейство. Он приводит вымышленные графики цен — когда люди понимают, что сеть Биткоина подверглась квантовой атаке, цена резко падает на 73%. Но затем, когда выясняется, что он находится у правительства США и они используют законы о спасении на море для его законной конфискации, рынок восстанавливается, потому что у США появляется этот стратегический резерв Биткоина в казначействе. Вот его другой сценарий. Считаете ли вы его правдоподобным? Потому что, по крайней мере, в этом сценарии вы не нарушаете никаких прав собственности.

Безусловно, невероятно, что такое может произойти с многотриллионной сетью с такой огромной наградой. Это беспрецедентно. Но такое тоже может случиться, и, возможно, это лучший исход для Биткоина.

Доказательство сид-фразы и проблема размера постквантовой подписи (35:06)

Джастин Дрейк: Да. У меня есть пара мыслей на этот счет. Во-первых, существует довольно сложный способ доказать владение Биткоином без использования приватного ключа. Это известно как доказательство сид-фразы. Процесс получения адреса Биткоина состоит из трех шагов: шаг первый — вы генерируете свою сид-фразу; шаг второй — вы выполняете некоторые манипуляции с сид-фразой, включая хеширование, чтобы получить свой приватный ключ; затем из приватного ключа вы получаете открытый ключ, который и является адресом, попадающим ончейн. К сожалению, приватный ключ больше не может служить доказательством владения. Но благодаря этапу хеширования, если вы знаете свою сид-фразу, это все еще является доказательством владения. Поэтому один из возможных вариантов развития событий — и технически это самый разумный путь — заморозить Биткоин, но позволить любому восстановить свои Биткоины с помощью доказательства сид-фразы.

К сожалению, доказательство сид-фразы — довольно сложная штука. Оно требует SNARK, доказательства с нулевым разглашением, поэтому это значительно усложнит Биткоин. Но мой прогноз таков: в Биткоине появятся SNARK для решения проблемы размера постквантовых подписей. Биткоин очень известен тем, что не хочет увеличивать размер своего блока. К сожалению, постквантовые подписи примерно в 10 раз больше, чем ECDSA. Приведу конкретные цифры: ECDSA — это 64 байта, крошечная подпись. Самая маленькая постквантовая подпись, стандартизированная NIST, — это Falcon, которая составляет 666 байт, что более чем в 10 раз больше. Если вы наивно замените ECDSA на что-то постквантово-безопасное без увеличения размера блока, ваша пропускная способность упадет примерно в 10 раз. Ваш TPS в Биткоине снизится с 3 до 0.3, что, на мой взгляд, абсолютно неприемлемо.

То, что мы создаем для Эфириума, — это продвинутая технология агрегации постквантовых подписей, чтобы вам не приходилось помещать необработанные подписи ончейн, даже если они большие — вы помещаете только это доказательство агрегации. И я готов поспорить, что Биткоин переймет решение, которое разрабатывает Эфириум, потому что другого технически обоснованного пути просто нет.

Райан Шон Адамс: Понятно. И именно поэтому вы ставите против сценария спасения — потому что вы думаете, что они выберут этот подход, и если они это сделают, это даст им способ более надежно и нейтрально заморозить активы. Если вы можете доказать владение, вы можете получить доступ к старым унаследованным Биткоинам.

Джастин Дрейк: Да. Но, к сожалению, если вы максималист в вопросах прав собственности, это не совсем удовлетворительно.

Райан Шон Адамс: Нет.

Джастин Дрейк: И причина в том, что существует некоторое подмножество замороженных адресов, для которых нет известной сид-фразы. Стандарт сид-фразы появился только через несколько лет после генезиса. Поэтому все ранние адреса — например, все адреса Сатоши — не будут иметь соответствующей сид-фразы. Кроме того, существуют некоторые кошельки, например, кошельки на основе MPC, где также нет соответствующей сид-фразы. Так что это не идеальное решение, но оно решает проблему на 80%.

Дэвид Хоффман: Как все запутано. Это очень сложная ситуация, с какой стороны ни посмотри.

Джастин Дрейк: Да. Еще одна вещь, которую я хотел бы подчеркнуть: многие люди думают, что когда вы крадете Биткоин, цена BTC рухнет, и украденный вами актив обесценится.

Но на самом деле есть способ захеджировать цену Биткоина, и это очень просто — вы просто открываете короткую позицию по BTC. Допустим, вы точно знаете, что взломали приватный ключ кошелька, на котором хранится 100 000 BTC. Вы шортите 100 000 BTC. Это фиксирует вашу прибыль. И тогда, что бы ни случилось с ценой Биткоина, вы зафиксировали свою прибыль, которая может составлять десятки миллиардов долларов.

Проблема социального уровня Биткоина и преимущество Эфириума (40:07)

Дэвид Хоффман: Я хочу отметить, Джастин, что ты мыслишь определенным образом, и именно поэтому ты в Эфириуме. Если бы ты был биткоинером, ты бы мыслил иначе. Образ мышления биткоинеров очень уникален, очень специфичен — это своего рода максимализм в отношении прав собственности. Я думаю, то, что сделал бы Джастин, если бы он руководил Биткоином, сильно отличается от того, что сделало бы большинство биткоинеров в целом. У меня здесь нет конкретного вопроса, я просто хотел это подчеркнуть.

Райан Шон Адамс: О да. То, что делают биткоинеры, вероятно, не то, что собираешься делать ты. Обвинение Ника Картера заключается в том, что многие разработчики ядра Биткоина, по сути, прячут голову в песок и говорят, что Q-Day (день квантовой угрозы) нереален или не станет реальностью еще 20–30 лет.

Джастин Дрейк: Просто для ясности: мой прогноз о том, что сжигание победит, — это прогноз того, что я считаю наиболее вероятным. Это не то, что сделал бы я — на самом деле я бы не трогал Биткоин и поддержал бы права собственности. У меня нет такого краткосрочного временного предпочтения, и я думаю, многие биткоинеры со мной согласятся. Но, к сожалению, Майкл Сэйлор имеет настолько сильное влияние, что в каком-то смысле Биткоин стал централизованным на социальном уровне, а это влечет за собой большую власть и большую ответственность.

Райан Шон Адамс: На самом деле я с тобой согласен. Я бы тоже так поступил. Я бы позволил случиться охоте за сокровищами, позволил бы спасать средства. Я бы ничего не трогал. Это ключевое свойство Биткоина, и пусть будет что будет. Но позволь мне задать тебе тот же вопрос. Не только часть предложения Биткоина уязвима в постквантовую эпоху — у Эфириума тоже есть эта проблема, но с другим процентом предложения. Можешь ли ты спроецировать ту же проблему? Мы подходим к сценарию после Q-Day. Кто-то скупает биткоины Сатоши. Что в этот момент происходит в Эфириуме? Какой процент предложения будет уязвим? Допустим, Эфириум еще не решил проблему квантовых вычислений.

Джастин Дрейк: Одно из преимуществ Эфириума заключается в том, что в нем нет 5% предложения, контролируемого одним человеком — Сатоши, которые считаются утерянными. Другое преимущество в том, что Эфириум моложе, и у него была цена с первого дня. Поэтому с самого начала был смысл беречь свой эфир, тогда как на заре Биткоина это были просто деньги из «Монополии», и люди не очень хорошо соблюдали гигиену своих приватных ключей. Так что гораздо более вероятно, что 1.7 миллиона BTC Ника Картера действительно утеряны навсегда.

Когда я работал над проектом Ultrasound, одной из вещей, которые мы пытались сделать, было вычисление количества заведомо утерянных монет, чтобы добавить их на дашборд в дополнение к сжиганию. Это было настолько незначительное количество, что мы даже не стали заморачиваться.

Дэвид Хоффман: А как насчет взлома Parity? Разве это не большая часть?

Джастин Дрейк: Да, очень хорошее замечание. Это был пункт номер один в списке. Но так вышло, что это заблокированный смарт-контракт, который не уязвим для квантовых компьютеров.

Дэвид Хоффман: Так что—

Райан Шон Адамс: На самом деле они просто застряли. Дело не в отсутствии приватных ключей. Они буквально застряли.

Джастин Дрейк: Заблокированы. Да. Именно так. И еще есть несколько примеров с людьми — если вы действительно покопаетесь в обсуждениях на Reddit, то найдете кое-что, — но по большому счету это в сумме менее 0.1%. Это заведомо утерянное предложение. Но если смотреть реалистично, ближе к Q-Day выяснится, что утеряно еще какое-то количество монет. Если бы мне пришлось угадывать, это небольшие однозначные числа — может быть, 2, 3, 4, 5%.

Дэвид Хоффман: То есть ты думаешь, что максимум 2–5% предложения Эфириума одновременно утеряно и находится на адресах, уязвимых для квантового взлома.

Джастин Дрейк: Именно. Да. Если бы я делал конкретный прогноз, я бы сказал около 2%, что примерно на порядок меньше, чем у Биткоина. И эта количественная разница имеет качественные последствия: в случае с Эфириумом я бы настоятельно рекомендовал ничего не делать и действительно уважать права собственности, потому что в конечном итоге 2% — это не так уж и много. В случае с Биткоином 15% — это огромная проблема.

Трехуровневое постквантовое обновление Эфириума (45:05)

Дэвид Хоффман: Итак, Эфириуму придется сделать такой же выбор. Скажем, 3% — заморозить и сжечь или просто устроить охоту за сокровищами. Вы надеетесь, что мы выберем вариант с охотой за сокровищами, то есть какой-нибудь квантовый злоумышленник заберет эти 1–3% эфира. И если посмотреть на картину в целом, мы, по сути, движемся к тому, что эфир станет гораздо лучшими деньгами, чем BTC. Он будет неинтервенционистским, уважающим права собственности, квантово-защищенным, и у него не будет проблемы с бюджетом безопасности, которая будет преследовать Биткоин через пару халвингов. Так что я думаю, что это большая возможность для актива.

Райан Шон Адамс: Хорошо. Мы поговорили о мягкой социальной проблеме. Нам также предстоит столкнуться с множеством технических проблем. Я хочу привести этот твит от Хасу Кареши, друга нашего шоу. Он процитировал пост Виталика о квантовой дорожной карте Эфириума и сказал: «У Эфириума более сложная дорожная карта для перехода на постквантовые технологии, чем у Биткоина — на самом деле существует множество зависимостей, прежде чем вы сможете заняться EOA и приватными ключами из-за размеров постквантовых доказательств». То есть он считает, что предстоящие проблемы для Эфириума гораздо сложнее, чем для Биткоина. Что вы думаете?

Джастин Дрейк: Нужно решить две проблемы: техническую и социальную. Что касается технической, Хасу прав в том, что Эфириуму, по сути, нужно решить три проблемы — на каждом из различных уровней. Есть уровень консенсуса, где у нас есть BLS. Есть уровень данных, где у нас есть KZG. И уровень исполнения, где у нас есть ECDSA. Каждая из этих частей криптографии уязвима. Это надмножество Биткоина, у которого есть только проблема с ECDSA. Так что в каком-то смысле нам нужно обновить в три раза больше вещей.

Но если посмотреть на картину в целом, я бы сказал, что более серьезная проблема — возможно, на 80% — это социальная. Мы уже затрагивали вопрос о том, сжигать или нет. Но есть кое-что еще более фундаментальное: признаем ли мы вообще, что это проблема? В мире Биткоина существует такая иммунная реакция, которая в основном отвергает любой нарратив, способный негативно повлиять на цену. Есть такие люди, как Адам Бэк, которые говорят, что до появления квантовых компьютеров еще как минимум десятилетия. Так что нулевой шаг — это некое признание того, что проблема существует. И вполне возможно, что Биткоин немного опоздает, что будет иметь гораздо более серьезные последствия, чем с технологической стороны.

Дэвид Хоффман: То есть вы думаете, что в целом у Биткоина будет более сложная проблема, потому что их социальный уровень просто не признает эту реальность и менее готов к взаимодействию?

Джастин Дрейк: Да. Скажу так: я готов поставить крупную сумму на то, что все три уровня Эфириума будут обновлены раньше, чем единственный уровень Биткоина.

Дэвид Хоффман: Верно. То есть у нас проблема в три раза масштабнее. Но со стороны Эфириума, в конечном счете, это просто инженерная задача. И не только это, это инженерная задача, за которую Эфириум берется напрямую. В то время как инженерная проблема Биткоина меньше, это социальная проблема, проблема координации, которую фундаментально сложнее преодолеть.

Джастин Дрейк: Да. Именно так. И даже с технической стороны, это проблема, над которой мы работаем уже почти десять лет. Если вернуться в 2018 год, мы выдали грант в размере 5 миллионов долларов компании StarkWare на изучение постквантовых SNARK на основе хешей и закладку основ с помощью хеш-функций, дружественных к SNARK. Именно отсюда появилась хеш-функция Poseidon. Совсем недавно, в 2024 году, было объявлено о Lean Consensus Chain, ранее известной как Beam Chain. В прошлом году у нас прошли постквантовые семинары в Кембридже. Теперь у нас есть специальная постквантовая команда с Томом и Эмилем. И у нас есть эта дорожная карта, которая

(50:00)

Обновление уровня исполнения: агрегация подписей (50:00)

действительно подробно описывает некоторые ключевые этапы для проведения этих обновлений.

Райан Шон Адамс: Можем ли мы обсудить каждую из этих проблем по очереди? Я знаю, Джастин, что ты можешь вдаваться в мельчайшие детали криптографии — мы бы хотели сохранить это на уровне, понятном Дэвиду и мне. Но мы понимаем различные уровни стека Эфириума. Возможно, мы можем начать с уровня исполнения, потому что это главное, о чем мы говорили. ECDSA — это схема подписи, лежащая в основе адресов Биткоина и Эфириума — это то, что будет взломано в постквантовом мире. Каков путь обновления для ECDSA? Это давний криптографический инструмент — есть ли у нас что-то, что может его заменить?

Джастин Дрейк: Да. Прежде всего, позвольте мне подчеркнуть, что это очень большая задача — мы фундаментально меняем основы блокчейнов, базовую криптографию, и заменяем ее чем-то новым с совершенно другими свойствами. Если бы вы были обывателем, ваш ответ мог бы быть таким: "Все просто. У нас есть NIST, Национальный институт стандартов и технологий. Они провели конкурс постквантовых подписей и выбрали несколько — а именно Falcon, Dilithium и SPHINCS+. Нам просто нужно выбрать один или несколько из этих вариантов".

Проблема в том, что NIST не разрабатывал их для использования в блокчейне. Они разрабатывали их для индивидуальных подписей к отдельным сообщениям, используемым в интернете. В контексте блокчейнов у вас есть пакеты транзакций — для Биткоина это тысячи транзакций на блок. И у нас есть проблема с размером: постквантовые подписи как минимум в 10 раз больше, если не в 100 раз. На мой взгляд, рассматривать эти индивидуальные подписи, наивно упакованные и объединенные в блоки, — это абсолютно бесперспективная затея.

Единственное решение, которое я вижу, называется агрегацией подписей, когда вы берете несколько подписей и сжимаете их в одну мультиподпись. Проверка этой главной мультиподписи равносильна проверке всех ее отдельных составляющих. Если посмотреть на пространство проектирования агрегируемых постквантовых подписей, вариантов не так много. По сути, есть только один вариант, который, на мой взгляд, жизнеспособен: использование SNARK, в частности постквантовых SNARK. В основном существует одно крупное семейство — SNARK на основе хешей.

Основная идея заключается в том, что вы берете отдельные постквантовые подписи и доказываете знание их всех, чтобы в итоге получить финальное доказательство SNARK. Теперь, если вы собираетесь использовать SNARK на основе хешей, вы с таким же успехом можете использовать и листовые подписи на основе хешей — неагрегированные необработанные подписи. Причина в том, что это дает вам преимущества в простоте и безопасности. Это самые минимальные допущения о безопасности, которые у вас могут быть — вы просто предполагаете, что ваша хеш-функция безопасна. В мире блокчейнов хеш-функции являются фундаментальными. Они у нас повсюду — для создания блоков, деревьев Меркла, деревьев состояний и блокчейнов, где связывание в цепь осуществляется с помощью хешей.

Фонд Ethereum приложил много усилий, чтобы начать с подписей на основе хешей и сделать их максимально дружественными к SNARK, чтобы стоимость агрегации была как можно ниже. Я рад сообщить, что производительность этого подхода на самом деле достаточно хороша для всех блокчейнов. Какой бы ни была пропускная способность вашей цепи, вы можете иметь агрегатор на приемлемом оборудовании — например, на процессоре ноутбука, — который будет агрегировать все эти транзакции и создавать финальное доказательство, сопровождающее блок.

И одна из ироничных особенностей этого подхода заключается в том, что на самом деле это увеличение масштабируемости по сравнению с тем, что мы имеем сегодня. Причина в том, что у вас нет фиксированных затрат в 64 байта на транзакцию. Транзакции имеют ноль байтов данных подписи, а затем у вас есть эта единственная главная подпись, которая амортизируется по всем транзакциям в блоке.

Установление отраслевого стандарта в сотрудничестве с Биткоином (55:28)

Дэвид Хоффман: Хорошо. Значит, это обновление для многих других блокчейнов со смарт-контрактами, следующих за Эфириумом, особенно для тех, которые оптимизированы для скорости —

Джастин Дрейк: Не только для смарт-контрактов — для Биткоина тоже. ECDSA.

Дэвид Хоффман: Да. Верно. Итак, перед началом этого эпизода я думал, что такие цепи, как Solana, будут обременены более тяжелыми подписями, точно так же, как TPS Биткоина замедляется до 0.3 транзакций в секунду. Solana аналогичным образом замедлилась бы, потому что транзакции стали бы более тяжелыми в постквантовом мире. Но вы говорите, что с этой технологией все будет иначе — на самом деле она позволит цепям в целом стать быстрее.

Джастин Дрейк: Да, именно так. Точно так же, как Сатоши с ECDSA установил стандарт де-факто для всей индустрии — мы, по сути, скопировали даже кривую secp256k1, что весьма необычно. Никто не знает, почему он выбрал именно эту кривую, но она стала стандартом де-факто. Я думаю, у Эфириума есть возможность стать первопроходцем и установить стандарт де-факто.

Наша стратегия заключается в сотрудничестве с биткоинерами. В мире Биткоина есть пара человек — Михаил Комаров и Ник Джонас. Они оба работают в Blockstream и оба являются экспертами по подписям на основе хешей. Мы работаем с ними, чтобы убедиться, что все, что мы разрабатываем в мире Эфириума, также применимо к Биткоину. И если Биткоин и Эфириум будут использовать этот стандарт, то, предположительно, вся индустрия также будет его использовать.

Райан Шон Адамс: Это фантастика. Значит, у нас есть способ решить проблему постквантового обновления уровня исполнения без потери производительности. Но позвольте мне задать еще один вопрос — как насчет безопасности? Это более новая криптография по сравнению с ECDSA, которая существует целую вечность и обладает эффектом Линди. Стоит ли нам беспокоиться о том, что существует какой-то скрытый баг или уязвимость нулевого дня, которые могут полностью разрушить то, что мы построили?

Джастин Дрейк: У меня есть несколько мыслей на этот счет. Мы относимся к безопасности крайне серьезно, и в целом я ожидаю, что решение, которое мы развернем, будет на порядки безопаснее того, что мы имеем сегодня с ECDSA. Позвольте мне объяснить. ECDSA основана на эллиптических кривых — сложных структурированных математических объектах. Вполне возможно, что какой-нибудь умный математик придумает алгоритм для взлома дискретного логарифма, используя какой-нибудь хитрый математический трюк, о котором человечество не знало. Такое уже случалось в прошлом — у нас появляются все лучшие и лучшие алгоритмы для факторизации и дискретного логарифмирования. И одна из возможностей с появлением ИИ заключается в том, что у нас появятся математики в 100 раз умнее людей, которые обнаружат скрытую структуру в эллиптических кривых и смогут взломать нашу криптографию. Так что криптография, которую мы создаем, не только постквантовая, она еще и пост-ИИ.

Возвращаясь к другому моему утверждению — она опирается только на хеш-функции. Любая схема подписи опирается на две вещи: хеш-функцию и опциональное дополнительное предположение о сложности, которым может быть дискретный логарифм или, в случае подписей на основе решеток, структурированные решетки. Но в случае подписей на основе хешей этого дополнительного предположения о сложности нет — это просто хеш-функции. Если ваша хеш-функция безопасна, то все в порядке. Так что в этом смысле я ожидаю, что это будет улучшением по сравнению со статус-кво.

Теперь есть две оговорки, которые я хочу подчеркнуть. Оговорка номер один заключается в том, что мы имеем дело с более сложными объектами, и решение, которое у нас здесь есть, — это то, что мы называем глубокой сквозной формальной верификацией.

Формальная верификация, Poseidon и уровень консенсуса (1:00:33)

У нас есть криптографический объект, и мы хотим математически доказать его надежность — что подделать подпись невозможно. И мы хотим сделать это не только для математики, но и для кода. Если бы вы спросили меня 2–3 года назад, выполнимо ли это, я бы ответил утвердительно, но это было крайне трудоемко и дорого. С появлением ИИ мы видим, что эту трудоемкую и дорогую работу можно выполнять в 100 раз быстрее и в 100 раз дешевле.

Мы начинаем видеть передовую математику мирового уровня — например, недавний результат, получивший Филдсовскую премию, эквивалент Нобелевской премии по математике. Этот результат был формально верифицирован ИИ за пять дней. Они создали полмиллиона строк кода — машинопроверяемое доказательство того, что это действительно верная теорема, — и в процессе нашли множество опечаток в написанной человеком статье. Именно такая тщательная проверка нам нужна, чтобы избежать багов.

Теперь есть еще одна вещь, которую я хочу подчеркнуть: сама хеш-функция. Исторически блокчейны строились либо на SHA-256 в случае Биткоина, либо на Keccak в случае Эфириума. Наше предложение для постквантового Эфириума заключается во внедрении другой хеш-функции под названием Poseidon, которая является хеш-функцией иного типа, поскольку она дружественна к SNARK. К моменту запуска Poseidon она должна быть достаточно безопасной — она будет анализироваться полных 10 лет, будет обеспечивать безопасность многих миллиардов долларов через решения уровня 2 (l2) и пройдет криптоанализ у всех ведущих экспертов в этой области. Мы также только что объявили о призе в 1 миллион долларов за попытку взломать Poseidon. Но, конечно, возможно, что Poseidon удастся взломать.

К сожалению, процесс разработки хеш-функций таков, что вы не можете доказать их безопасность. Лучшее, что у вас есть — это отсутствие успешных атак, то есть, по сути, время «выдержки». И порядок величины, который я имею в виду, составляет 8 лет. Почему 8 лет? Потому что, когда Сатоши выбрал SHA-256, ей было 8 лет. Когда Виталик выбрал Keccak, ей, по совпадению, тоже было 8 лет. Поэтому я бы хотел, чтобы Poseidon было как минимум 8 лет, и так оно и будет, когда мы развернем ее в Эфириуме.

Райан Шон Адамс: Хорошо. Итак, это уровень исполнения. Не могли бы вы вкратце рассказать об уровне данных? KZG нужно обновить до чего-то постквантового, а также уровень консенсуса, где у нас есть подписи BLS. Сопоставимо ли это по уровню усилий с заменой ECDSA?

Джастин Дрейк: Позвольте мне начать с уровня консенсуса, потому что ответ на этот вопрос проще. В первом приближении это, по сути, копипаст. У нас есть похожая концепция, где участники создают подписи, этих подписей очень много, они занимают место, и мы хотим их сжать. Проблема на уровне консенсуса заключается в том, что у нас гораздо больше подписей, чем на уровне исполнения. Люди этого не осознают, но у нас 1 миллион валидаторов — это 1 миллион подписей за эпоху, 32 000 подписей за слот, тысячи подписей в секунду. Это больше, чем в Solana, с точки зрения транзакций голосования.

Чтобы разблокировать определенную оптимизацию производительности, доступную только на уровне консенсуса, у нас есть понятие подписи с сохранением состояния — сообщения, которые вы подписываете, имеют счетчик, который каждый раз увеличивается. Вам это ничего не напоминает? Номер слота. В Эфириуме на уровне консенсуса вы всегда будете подписывать только одно сообщение за слот. Если вы подпишете два, вы подвергнетесь слэшингу. Мы используем это ограничение, чтобы получить подписи, которые в 10 раз эффективнее агрегировать.

Lean VM, дорожная карта Lean Consensus и сроки до 2029 года (1:05:17)

В этом заключается главное отличие — хеш-функции без сохранения состояния на уровне исполнения в сравнении с подписями с сохранением состояния на уровне консенсуса, где номер слота увеличивается. У технологии агрегации есть название: Lean VM, минимальная zkVM для криптографии на основе хешей. По сути, Lean VM будет доказывать, что это правильный корень Меркла. Главное, в чем мы пока не до конца уверены, — сможет ли этот подход открыть то, что я называю «рубежом терагаза»: 1 гигагаз в секунду на уровне 1 (l1), 10 000 TPS, или, что еще более амбициозно, 1 терагаз, 10 миллионов транзакций в секунду на уровне 2 (l2) с использованием доступности данных.

Мы говорим о доступности данных объемом 1 гигабайт в секунду, и вопрос в том, будет ли zkVM достаточно производительной, чтобы обрабатывать 1 ГБ данных в секунду. Это еще предстоит выяснить на основе будущих оптимизаций.

David Hoffman: Но что мы знаем наверняка, так это то, что у Эфириума будет доступность данных (DA) для обеспечения 1 ГБ в секунду для уровня 1 (l1) плюс нескольких сетей уровня 2 (l2).

Ryan Sean Adams: Думаю, слушатели сейчас могут подумать: «Хорошо, похоже, у Эфириума есть план перехода на постквантовые технологии. Они признают, что квантовые компьютеры будут существовать и наступит день Q». Теперь им интересны сроки и объем необходимых усилий. Я взял твит Виталика с постквантовой дорожной картой, закинул его в Claude и спросил: «Каков здесь объем работы?» Claude ответил: «Оценивайте это как девять из десяти». Это одно из самых значительных обновлений, которые когда-либо проводил Эфириум. Мы сравнили это со Слиянием, когда мы прямо в полете заменили двигатель доказательства выполнения работы (PoW) на доказательство доли владения. Теперь мы меняем большую часть базовой криптографии. Можете ли вы оценить для нас масштабы? Будем ли мы готовы к 2032 году? Насколько это сложно? Кажется ли это пугающим?

Justin Drake: Да. Ответ состоит из двух частей. Во-первых, на самом деле это еще более амбициозно, чем вы описали. Изменения в криптографии настолько глубоки, что, по сути, это как минимум переписывание уровня консенсуса. А если уж мы собираемся переписывать уровень консенсуса, то с таким же успехом можно переписать его как следует — добавить все полезные функции и избавиться от всего технического долга. В этом и заключается проект Lean Consensus, в котором мы объединяем несколько переработок, включая финальность одного слота, с постквантовым обновлением.

Так что да, это очень амбициозно. Мы начинаем с чистого листа и создаем нечто удивительно красивое, простое, эффективное и доказуемо безопасное. Хорошая новость в том, что начинать с нуля во многом проще, потому что у вас нет всего этого технического долга. Мы можем переписать спецификацию так, чтобы она была максимально минималистичной и простой. Отсюда и происходит термин «lean» (бережливый, облегченный) — максимальная простота, где вся функция перехода состояния представляет собой, по сути, тысячу строк кода на Python, которые сможет прочитать толковый старшеклассник.

Прямо сейчас у нас есть сети для разработчиков (devnets) для Lean Consensus. А спецификации настолько просты для восприятия, что мы видели около 10 команд, которые реализовали их, присоединились к сети для разработчиков и сделали это, даже не связываясь с Фондом Ethereum. Барьер для входа относительно низок. Мы живем в мире, где развитие ИИ означает, что вы можете в значительной степени писать код своего клиента по наитию (vibe-code). Это одна из главных причин, почему у нас так много клиентов — часто это команды из одного человека или из двух-трех человек.

Я думаю, что это будет иметь интересные последствия как для устойчивости, так и для управления. Что касается управления, то, как мы это делаем сегодня, грубо говоря,

Управление Эфириумом и дата завершения в 2029 году (1:10:41)

что у нас есть пять клиентов уровня консенсуса, и всем им необходимо реализовать обновление, чтобы двигаться дальше. В будущем, когда у нас будет 10 или 15 клиентов, мы сможем просто требовать этого от 80% лучших или 80% самых быстрых, чтобы двигаться вперед. Это больше похоже на дарвиновскую конкуренцию, которая позволяет нам двигаться гораздо быстрее, не дожидаясь самого медленного клиента.

Дэвид Хоффман: Так будем ли мы готовы к 2032 году? В какой момент мы будем готовы?

Джастин Дрейк: Вся дорожная карта расписана вплоть до 2029 года,

Дэвид Хоффман: Что, по сути, является той же самой дорожной картой, которую вы представили на своем выступлении на DevCon, где анонсировали Beam Chain. И тогда люди ее возненавидели.

Джастин Дрейк: Да, это был мой самый ненавистный слайд, потому что он растянулся на четыре с половиной года. Исторически у меня было плохо со сроками — я был слишком оптимистичен. Но с возрастом и появлением седины я стал лучше оценивать сроки. Я думаю, это был реалистичный, консервативный график, который расстроил людей. Но так уж оно есть.

Дэвид Хоффман: Также, просто для контекста, люди расстроились отчасти потому, что это происходило на пике популярности Solana на фоне кажущегося отсутствия технического прогресса в дорожной карте Эфириума. Дело было не только в четырехлетнем сроке — дело было еще и в контексте того момента.

Джастин Дрейк: Именно. Так что сейчас нам осталось примерно три года. Я относительно уверен, что мы сможем достичь рубежа 2029 года, и я думаю, что есть даже возможность двигаться быстрее благодаря ИИ.

Дэвид Хоффман: То есть к 2029 году все это будет реализовано, если следовать дорожной карте — все, о чем мы только что говорили.

Джастин Дрейк: Обещаете? Все.

Райан Шон Адамс: Разве у меня в голове не крутится мысль о каком-то древнем разработчике программного обеспечения, который говорил мне, что переписывание кода с нуля никогда не работает? Почему это не применимо здесь?

Джастин Дрейк: Одна из хороших новостей заключается в том, что мы уже делали подобное масштабное переписывание, как вы упомянули, во время Слияния. Мы полностью изменили основы консенсуса Эфириума с доказательства выполнения работы (PoW) на доказательство доли владения. Это является доказательством того, что это возможно. Эфириуму не привыкать к амбициозным проектам — у нас были и другие очень амбициозные вещи аналогичного масштаба, такие как данкшардинг и выборка доступности данных.

Еще одна хорошая новость заключается в том, что у нас нет выбора. Нам нужно изменить криптографию. Это очень сильный принуждающий фактор, и одно только это уже означает переписывание на 80%.

Это делает координацию и достижение консенсуса гораздо проще.

Квантовая проблема касается не только криптовалют (1:15:06)

Дэвид Хоффман: Думаю, нам следует подчеркнуть, что выбор отсутствует не только у Эфириума — ни у кого в сфере криптовалют нет альтернативы. Всем в криптоиндустрии придется переписывать код. В случае с Биткоином это только ECDSA, но и этого самого по себе достаточно.

Джастин Дрейк: Да. Возможно, Эфириуму придется переписать больше, чем другим цепям, и это связано с количеством валидаторов. Если у вас всего 100 валидаторов, вы можете взять на себя издержки от увеличения размера подписей в 10 раз на уровне консенсуса. Для большинства цепей с доказательством доли владения (PoS) не требуется такая сложность, как у нас. Но в случае с Эфириумом мы надеемся, что десятки тысяч валидаторов будут голосовать каждый слот — это тысячи подписей в секунду, — и нам приходится проявлять большую изобретательность.

В чем я бы с вами согласился, так это в том, что на уровне исполнения должны произойти очень большие изменения для всех блокчейнов. Но хорошая новость для других цепей заключается в том, что Эфириум делает всю домашнюю работу. Мы создаем Lean VM, собираемся провести формальную верификацию всего этого, и они смогут просто скопировать и вставить это. По большей части это простая задача для интеграции.

Райан Шон Адамс: Ник Картер написал в Твиттере: «Одно из самых глупых заблуждений — это когда люди думают, что их монета выиграет, если Биткоин умрет, как, например, сторонники Zcash, борющиеся с Биткоином из-за квантовой угрозы. Все как раз наоборот. Если Биткоин умрет, никто больше никогда не будет доверять интернет-деньгам. Все монеты выезжают за счет Биткоина». Как вы относитесь к этому мнению?

Джастин Дрейк: Я не согласен с Ником Картером. Ник всегда расстраивался, когда я писал в Твиттере о бюджете безопасности. Он считает, что разговоры об этом разрушительны для всей индустрии, хотя фундаментальные показатели подтверждают мои слова. По иронии судьбы, он делает с квантовой проблемой то же самое, что я делаю с бюджетом безопасности — пытается форсировать обсуждение и стимулировать изменения.

Райан Шон Адамс: А как насчет более широкого взгляда? Допустим, наступает 2032 год, Эфириум квантово-устойчив, а Биткоин — нет, Биткоин подвергается атакам теми способами, которые мы описали — начинается эта охота за сокровищами и рыночная неопределенность. Ник говорит о том, что не стоит этому радоваться, потому что это будет плохо для каждой цепи в криптовалюте. Он говорит: что будет с Биткоином, то будет и со всеми остальными. Если вам нужен мем об интернет-деньгах как средстве сбережения, Биткоин должен возглавить это движение. Не существует такого сценария «флиппенинга», при котором Эфириум сможет сказать: «Наша цепь постквантово-устойчива, и у нас нет тех проблем, которые есть у Биткоина». Он утверждает, что это обрушит всю криптоиндустрию, по крайней мере, с точки зрения интернет-денег как средства сбережения.

Джастин Дрейк: Я не согласен. Вы можете просто посмотреть на исторический анализ: морские ракушки были вытеснены солью, затем серебром, затем золотом, а теперь, возможно, Биткоин вытесняет золото. То, что золото терпит неудачу, не означает, что следующее за ним средство тоже должно потерпеть неудачу. Я бы сказал, что Эфириум — это очень естественный преемник Биткоина в качестве интернет-денег. И то, что Биткоин потерпит неудачу, не означает, что Эфириум тоже должен потерпеть неудачу. Я согласен, что могут быть некоторые краткосрочные трудности, но мы также говорим о долгосрочной выгоде.

Постквантовые возможности и оценка бюджета безопасности (1:20:27)

Дэвид Хоффман: Итак, что мы получим в итоге? В 2030 году Эфириум станет постквантово-безопасным, потому что Джастин пообещал. Чем станет Эфириум? Будет ли он единственным в своем классе, или вы ожидаете, что другие блокчейны последуют его примеру и также достигнут постквантовой безопасности? Можете ли вы описать систему, которая будет у нас в 2030 году, если все это произойдет?

Джастин Дрейк: Один интересный сдвиг в моем мышлении за последние несколько месяцев заключается в том, что я перестал думать о постквантовом переходе как о препятствии, которое нужно преодолеть. Я рассматриваю это скорее как возможность. Это возможность для Эфириума выделиться в качестве самой первой глобальной финансовой системы с постквантовой безопасностью — не только по сравнению с конкурентами, такими как Биткоин, но и по сравнению с фиатом и традиционными финансами (TradFi). Я думаю, это стало бы очень сильным сигналом и вполне естественным преимуществом в плане безопасности, чтобы мир перешел на Эфириум.

Это не только возможность для Эфириума выделиться на фоне своих аналогов, но и шанс стать лучшей версией самого себя. Это возвращает нас к идее о том, что переход к постквантовой криптографии по сути является переписыванием кода, а это огромная возможность начать с чистого листа и избавиться от технического долга.

Один интересный факт: оригинальная сигнальная цепочка была запущена в 2020 году, а ее дизайн был заморожен годом ранее, в 2019-м. Поэтому, когда мы выпустим облегченную сигнальную цепочку в 2029 году, мы будем обновлять то, чему уже 10 лет. В сфере криптовалют 10 лет — это вечность. Мы так многому научились, что облегченная сигнальная цепочка будет сильно отличаться от оригинальной. Вы можете думать об этом как о доказательстве доли владения 2.0.

Райан Шон Адамс: Мы живем в очень интересное время с точки зрения вычислений. Кажется, на передовой находятся три вычислительные платформы и парадигмы: ИИ, о котором все знают; квантовые технологии, которые сейчас находятся примерно там же, где ИИ был в 2018 году; а также криптовалюта и криптография, примером которых служат такие блокчейны, как Эфириум и Биткоин. Кажется, мы почти входим в сингулярность этих трех вещей, где ИИ ускоряет развитие квантовых технологий и криптографии, а криптография станет противовесом для некоторых векторов централизации ИИ. Что вы обо всем этом думаете?

Джастин Дрейк: Это очень трудно предсказать, но, как вы сказали, есть очень странное совпадение: 2032 год, похоже, станет годом, когда вычисления в целом достигнут сингулярности. Люди говорят о сингулярности ИИ, которая может наступить даже раньше 2032 года. Есть очень известная статья AI 2027. Я не думаю, что у нас появится сверхразум в 2027 году, но считаю, что это вполне вероятно к 2032 году.

Мы уже начинаем это видеть — буквально вчера Дарио Амодеи, один из первопроходцев в сфере ИИ, начал процесс, при котором ИИ рекурсивно и автономно улучшает сам себя, что крайне пугает. По сути, именно это должно запустить экспоненциальный рост на пути к сверхразуму.

Кризис бюджета безопасности Биткоина и расплата в 2032 году (1:25:12)

2032 год потенциально может стать днем Q (Q-Day), а также в 2032 году у Биткоина произойдет то, что я считаю его последним халвингом. Вы можете назвать это днем B (B-Day) — днем Биткоина, когда наступит своего рода расплата, потому что эмиссия будет слишком низкой для обеспечения его безопасности.

Через два года у нас будет один халвинг, а через шесть лет, в 2032 году, — еще один. История безопасности Биткоина за последние 15–16 лет строилась на том, что комиссии за транзакции заменят эмиссию. Я предлагаю вам взглянуть на данные — этого просто не происходит. Сегодня комиссии за транзакции составляют 0.6% от эмиссии. Так что забудьте о комиссиях за транзакции.

Нас ждет экспоненциальное снижение безопасности Биткоина. Сегодня безопасность Биткоина обеспечивается примерно 10 гигаваттами. И вот ошеломляющая статистика: каждый день Китай вводит в эксплуатацию один гигаватт мощностей, в основном солнечной энергии. Таким образом, 10 дней ввода мощностей в Китае достаточно для проведения атаки 51% на Биткоин.

Дэвид Хоффман: Что касается затрат на энергию — того, что защищает Биткоин, — Китай производит столько же энергии, сколько требуется для обеспечения безопасности Биткоина, каждые 10 дней.

Джастин Дрейк: Что касается энергопотребления, Биткоин потребляет 10 гигаватт. Один гигаватт — это примерно одна атомная электростанция, то есть 10 атомных электростанций. Китай вводит в эксплуатацию эквивалент одной атомной электростанции каждый день. И это одно из главных узких мест. Другое узкое место — это оборудование: миллион установок. Осуществить это обойдется примерно в 10 миллиардов долларов, что в глобальном масштабе — сущие копейки, как по отношению к рыночной капитализации Биткоина, так и для злоумышленника на уровне государства.

Дэвид Хоффман: Когда вы так говорите о Биткоине, мне начинает казаться, что вы больше не считаете, что Биткоин должен быть авангардом криптовалюты. Суть в том, что у Биткоина есть недостатки с точки зрения бюджета безопасности и квантовой угрозы, и после этого Эфириум станет лидером в сфере криптовалюты.

Джастин Дрейк: Я остаюсь оптимистом в отношении квантовой угрозы — в конечном счете это техническая проблема, которую можно преодолеть. Более серьезная проблема — это бюджет безопасности, потому что он затрагивает саму ДНК Биткоина: ограничение в 21 миллион и доказательство выполнения работы (PoW). Я не понимаю, как можно совместить PoW и ограничение в 21 миллион. От чего-то одного придется отказаться.

Существует вероятность того, что актив BTC может отделиться от цепи Биткоина и существовать в более безопасной цепи — например, в виде токена ERC-20 в Эфириуме. Но произносить эти слова... Биткоинеры так не мыслят.

Дэвид Хоффман: Нет, не мыслят.

Джастин Дрейк: И если бы я сказал иначе, например: «Мы просто уберем ограничение в 21 миллион, потому что бюджета безопасности недостаточно», — биткоинеры тоже так не мыслят. Они очень быстро несутся в стену, и 2032 год — это день расплаты.

Собери сейчас, расшифруй потом — квантовые риски за пределами криптовалюты (1:30:09)

Райан Шон Адамс: Как насчет квантовых технологий в отношении остального общества? Это проблема не только криптовалюты. Блокчейны уникально уязвимы, но другие компоненты общества также подвержены риску. В какой степени постквантовый Эфириум представляет собой инструмент для общества, позволяющий решать и предотвращать проблемы в постквантовом и пост-ИИ мире?

Джастин Дрейк: По сути, существует два вида криптографии. Есть криптография в реальном времени, где вы подписываете сообщения в реальном времени без существенного влияния на прошлые действия. Переход на постквантовые технологии должен быть относительно простым для большей части интернета. Есть некоторые исключения — например, спутники, которые уже были развернуты и буквально не могут быть обновлены.

Затем есть еще одна проблема с шифрованием: если материалы были зашифрованы сегодня, и вы не используете постквантово-безопасное шифрование, эти данные могут быть расшифрованы в будущем. Существует целый класс атак, называемый «собери сейчас, расшифруй потом». Я думаю, вполне реально, что в обществе произойдут массовые расшифровки — множество сообщений Signal, Telegram или массивы писем Gmail будут расшифрованы одновременно. Это может оказать очень значительное влияние на общество.

Эфириум как оборонительный акселерационизм и экзистенциальный риск ИИ (1:30:09)

Райан Шон Адамс: Джастин, когда мы говорили об этих трех вычислительных технологиях, кажется, что ИИ выделяется больше всего. Вы говорили о 2032 годе как о моменте появления AGI (общего искусственного интеллекта). Один общий вопрос: будучи чрезвычайно талантливым криптографом, вы все же не AGI. Опасение заключается в том, что по мере нашего приближения к вычислительной сингулярности все ставки отменяются. Все наши тщательно продуманные планы на 2026 год по обеспечению квантовой устойчивости наших блокчейнов — что, если AGI придумает, как взломать нашу квантово-устойчивую криптографию каким-то иным способом? Как криптограф, беспокоитесь ли вы о неизвестных неизвестных общего искусственного интеллекта и о том, что он может взломать? Что, если мы готовы к постквантовому миру, но не готовы к миру после AGI?

Джастин Дрейк: Что касается криптографии, я вполне уверен в ее надежности. Причина в том, что вы можете математически доказать правильность вашей криптографии. Криптография — это раздел математики. Обычно вы калибруете эти сложные задачи таким образом, что если бы кто-то попытался взломать их вычислительным путем, на это ушло бы больше энергии, чем есть в Солнечной системе.

Возвращаясь к криптографическим основам, которые мы предлагаем для постквантового Эфириума — хешам — ничего сильнее этого просто не существует. Это самая слабая криптография, на которую вы могли бы надеяться. Это одна из причин, по которой я с осторожностью отношусь к тому, чтобы закладывать основы интернета ценностей на базе решеток. У NIST есть два основных варианта постквантовых подписей: на основе хешей и на основе решеток. Криптография на основе решеток очень напоминает эллиптические кривые — это высокоструктурированные объекты. Вполне вероятно, что какой-нибудь AGI или даже ASI (искусственный сверхразум), который в тысячи раз умнее всего человечества вместе взятого, сможет ее взломать. Но хеш-функции — есть основания полагать, что они надежны.

Хотя я не слишком беспокоюсь о криптографии, меня волнует нечто гораздо более глубокое. Если посмотреть на картину в целом, меня все больше беспокоит экзистенциальный риск для человечества. Все больше людей начинают понимать, что Элиезер пытался сказать на подкасте Bankless не так давно.

Я думаю, вполне вероятно, что если человечество выживет, Эфириум сыграет в этом ключевую роль. Моя метафора такова: человечество ведет машину на скорости 100 миль в час. Существует ловушка Молоха, в которой крупные национальные государства, TSMC, Nvidia, OpenAI — все они жмут на газ. А в машине нет ни тормозов, ни ремней безопасности, ни подушек безопасности. Сегодня мы можем относительно комфортно рулить на скорости 100 миль в час. В следующем году скорость будет 200, затем 300. В конце концов, мы будем ехать безответственно быстро и разобьемся.

Работа над Эфириумом приобрела для меня совершенно новый смысл за последние несколько месяцев. В основном я игнорировал ИИ, отчасти потому, что был одержим всем, что связано с блокчейном, но также и потому, что еще совсем недавно он был просто игрушкой. Но благодаря моей работе, особенно с формальной верификацией и разработкой

Смысл работы над Эфириумом в эпоху ИИ (1:35:08)

и программируя, я вижу, насколько мощна эта штука. В последние несколько недель и месяцев я был одержим ИИ, изучая как можно больше. Я ни в коем случае не эксперт, и, возможно, это просто фаза, через которую проходят люди, когда открывают ящик Пандоры. Но для меня работа над Эфириумом теперь полностью сводится к защитному акселерационизму.

Я не вижу, чтобы другие части общества работали над тормозной системой — все только жмут на газ. Хорошая новость заключается в том, что у Эфириума есть много идей и инструментов, которые могли бы предложить некоторые решения. С первого дня мы исходим из предположения о враждебной среде. С первого дня мы используем такие технологии, как криптография, которые расширяют возможности слабых и гарантируют, что даже сколь угодно сильные не смогут сломать определенные вещи. Мы пытаемся быть источником истины, быть децентрализованными, дать людям суверенитет.

Я думаю, вполне возможно, что в ближайшие месяцы и годы у нас произойдет своего рода пробуждение, когда общество скажет: «Ох, черт». И начало работы над защитным акселерационизмом может стать моральным императивом. Возможно, некоторые из самых блестящих умов естественным образом придут к Эфириуму как к потенциальному решению — части комплекса решений, которые нам нужны для решения этой проблемы.

Райан Шон Адамс: Мне нравится, что вы думаете об этом, и, похоже, ваша работа над Эфириумом придает вам смысл. У меня есть еще один вопрос. Будучи, очевидно, большим поклонником Эфириума, я беспокоюсь об одном: если судьба ИИ сбудется, то на каком-то уровне, да, это технология защитного акселерационизма — децентрализованная, общедоступная, передающая власть малым, а не крупным игрокам. Но на другом уровне она цифровая. Мы создали систему прав собственности, и кажется вполне возможным, что какой-нибудь AGI или ASI сможет использовать наш неизменяемый, неотключаемый мировой компьютер для вещей, которых человечество не хочет. Беспокоит ли вас на каком-либо уровне, что он просто использует Эфириум — «Эй, человечество, спасибо за систему прав собственности, дальше мы сами» — и вы на самом деле ускорили развитие технологии, которая враждебна человечеству?

Джастин Дрейк: Я думаю, это очень справедливое замечание. В конечном счете, Эфириум — это инструмент, который может использоваться как людьми, так и ИИ. Возможно, это самоутешение, но если убрать Эфириум, то в пространстве защитного акселерационизма, похоже, не так много других альтернативных продуктов. Там почти сплошной акселерационизм. Так что да, возможно, Эфириум ускорит некоторые вещи, но это одна из единственных надежд, которые у нас есть на защитное ускорение. Поэтому я считаю, что по-прежнему рационально реализовать дорожную карту к 2029 году и сделать все возможное, чтобы убедиться, что Эфириум будет готов к эпохе искусственного сверхразума.

Райан Шон Адамс: И последний вопрос, поскольку мы приближаемся к завершению. Это было просто потрясающе. Возможно, это личный вопрос, поскольку за последние несколько месяцев у вас произошло пробуждение в отношении ИИ. Теперь я замечаю, что вы делаете оговорку «если человечество выживет» — «Эфириум сыграет ключевую роль, если человечество выживет». Мне тяжело произносить эти слова. Реальная вероятность того, что технологический акселерационизм означает, что человечество не выживет. Как вы лично с этим справляетесь?

Джастин Дрейк: Я отношусь к этому довольно по-дзенски. Я достиг того момента, когда готов спокойно умереть. Я прожил очень счастливую жизнь.

Заключительные мысли о вероятности гибели (1:40:04)

Райан Шон Адамс: Что?

Дэвид Хоффман: Это нас шокировало.

Райан Шон Адамс: Это не тот ответ, который я ожидал.

Джастин Дрейк: Я думаю, вам просто нужно сохранять надежду. Нужно отбросить так называемую P(doom) — вероятность гибели. Моя P(doom) сейчас относительно высока. Я думаю, она больше 50%. Но я не хочу говорить об этом вслух. Я не хочу...

Райан Шон Адамс: Вы не хотите жить в этом пессимизме.

Джастин Дрейк: Именно. Я не хочу лишать себя мотивации и делать свою жизнь невыносимой. И, что, возможно, еще важнее, я не хочу демотивировать других людей и лишать их надежды. Я думаю, мы должны делать все возможное с тем, что у нас есть. Будущее крайне непредсказуемо. Несмотря на то, что моя P(doom) сильно выросла за последние несколько недель и месяцев, это твердое убеждение, которое я готов пересмотреть. Я хочу, чтобы очень умные люди вышли вперед и объяснили мне, почему мне не стоит так бояться и почему нужно быть более оптимистичным и полным надежд.

Как я уже сказал, я думаю об этом буквально несколько недель и месяцев. Я лишь скольжу по поверхности. Большим тревожным звонком для меня стал Opus 4.5, когда Эмиль сказал мне: «С этого момента ИИ действительно помогает мне стать более продуктивным». До этого он в целом только замедлял его. А затем то, что мы увидели за последние несколько недель, — это еще более впечатляющие результаты. Около месяца назад одна из ключевых лемм в SNARK на основе хешей — лемма Полишейкса-Спилмана — прошла формальную верификацию за 8 часов, что обошлось в 200 долларов. То, что стоило бы в 100 раз дороже и заняло бы в 100 раз больше времени, если бы это делал человек.

Я также упоминал результат Филдсовской премии, на генерацию доказательства в 500 000 строк для которого ушло всего 5 дней. Вполне очевидно, к чему все идет: все известные математические теоремы будут проверены и верифицированы ИИ, а все опечатки будут исправлены. Для некоторого небольшого подмножества «теорем» мы фактически получим демонстрацию их ошибочности с контрпримерами. Программирование по большей части уже решено, затем мы решим проблему научного прогресса. Все очень быстро переходит в философскую плоскость — возможно, это тема для другого эпизода.

Райан Шон Адамс: Я думаю, это действительно тема для другого эпизода. Тем не менее, это фантастический ответ. Я ценю ваш подход к этому с определенной долей стоицизма и затем с позиции активного действия — работы над тем, что для вас значимо. Мы надеемся, если человечество выживет, записать с вами еще много таких подкастов в будущем. Всегда приятно видеть вас, Джастин Дрейк. Огромное спасибо.

Джастин Дрейк: Спасибо.