Квантовий план Етеріуму до Q-Day з Джастіном Дрейком
Інтерв'ю з Джастіном Дрейком, дослідником Фундації Ethereum, про постквантову дорожню карту Етеріуму, дорожню карту Lean Ethereum та відверта дискусія про екзистенційні ризики.
Date published: 15 липня 2025 р.
Інтерв'ю з Джастіном Дрейком, дослідником Фундації Ethereum, про постквантову дорожню карту Етеріуму, бачення Lean Ethereum, прориви у формальній верифікації та відверта дискусія про екзистенційний ризик ШІ.
Ця стенограма є доступною копією оригінальної стенограми відео (opens in a new tab), опублікованої Bankless. Її було злегка відредаговано для зручності читання.
Вступ та квантова загроза (0:00)
Джастін Дрейк: Одна цікава зміна в моєму мисленні за останні кілька місяців полягає в тому, що я перестав думати про постквантову епоху як про перешкоду, яку ми маємо подолати, і тепер розглядаю її скоріше як можливість. Це можливість для Етеріуму виділитися як найперша глобальна фінансова система, що є постквантово безпечною, не лише порівняно з конкурентами, такими як Біткоїн тощо, але й порівняно з фіатом та традиційними фінансами (TradFi). І я думаю, що це стало б дуже потужним сигналом і своєрідною дуже природною перевагою в плані безпеки, яка б спонукала світ перейти на Етеріум.
Раян Шон Адамс: Bankless Nation, до нас знову приєднався Джастін Дрейк. Ми поговоримо про квантові обчислення в контексті крипто, Біткоїна, а також Етеріуму. Джастіне, з поверненням на подкаст.
Джастін Дрейк: Привіт, хлопці. Дякую, що знову запросили.
Девід Хоффман: Отже, квантові технології стали своєрідною великою загрозою, що нависла над нашою індустрією. Ми завжди про це знали. Здебільшого це було теоретично. Протягом останніх шести місяців або близько того, квантові технології впевнено перейшли від теорії до того, що суттєво впливає на нашу індустрію. Починаючи просто з ціни Біткоїна, оскільки менеджери фондів — навіть BlackRock публікували матеріали про загрозу квантових технологій для безпеки, а отже, і для вартості Біткоїна. Тож ми вже бачили окремі випадки, коли люди зменшували частку Біткоїна у своїх портфелях. Можливо, це також стримує ціни на всі інші активи в індустрії.
Але якщо говорити не лише про ціну, то, як ми розуміємо, квантові технології дійсно впливають на те, як функціонують блокчейни. Тож це здається фундаментальною проблемою нашої індустрії в цілому. Перешкода, яку наша індустрія має подолати — коли крипто та блокчейн тільки створювалися, ми як індустрія не були готові до переходу в постквантову епоху. Тож, можливо, для початку трохи контексту: які тут часові рамки? Коли настане ця перешкода? Я чув, що це називають Q-Day (Квантовий день). Коли настане Q-Day? Скільки часу ми маємо, щоб подолати цей квантовий бар'єр?
Джастін Дрейк: Так. Я просто хочу трохи повернутися назад і підкреслити те, що ви сказали: за останні 6–12 місяців у нас відбулися серйозні прориви. Один із них — це концепція виправлення помилок. Ми можемо перейти від так званих фізичних кубітів, які є дуже шумними та схильними до помилок, до ідеально логічних кубітів. Зараз ми можемо фактично створити один логічний кубіт, але це все одно дуже важливий момент переходу від нуля до одиниці, і тепер мова йде про масштабування до кількох логічних кубітів. Ще один великий прорив стався на алгоритмічному рівні. Раніше ми думали, що знадобляться мільйони, а то й десятки мільйонів фізичних кубітів, щоб зламати нашу улюблену криптографію. Але минулого року з'явилася стаття, яка показала 10-кратне покращення, зменшивши цю кількість до 1 мільйона фізичних кубітів. А цього року ми маємо ще одне 10-кратне покращення, що знижує її до 100 000 кубітів.
Тож ціль стає все ближчою і ближчою, і в певному сенсі ми маємо подвійну експоненту, яка зрештою перетнеться. І ще одна річ, яка відбулася, стосується інвестицій — багато квантових стартапів залучили мільярди доларів. Минулого року, здається, йшлося про суму близько 5 мільярдів доларів, що є безпрецедентним. Раніше ми говорили про сотні мільйонів. І я думаю, що кульмінація всіх цих подій дійсно активізувала громадськість і призвела до цього наративу, який, можливо, дійсно вплинув на ціну Біткоїна та етеру.
Тепер, заглядаючи в майбутнє, мій особистий Q-Day припадає на 2032 рік. Це трохи оптимістичний погляд у тому сенсі, що, можливо, він настане трохи пізніше, але ми маємо бути готові до найгіршого сценарію. Тому я б сказав, що є принаймні 1% ймовірності, що Q-Day настане у 2032 році, а швидше за все — це двозначний відсоток. Різні експерти назвуть вам дати десь між 2031 та 2038 роками. Один із моїх друзів в індустрії, Стів Брайлі, засновник і генеральний директор однієї з найбільших у світі компаній з квантового виправлення помилок, який, до речі, базується в Кембриджі, де і я — його особистий Q-Day був 2032 рік, але він дотримується цієї дати вже 15 років
Коли настане Q-Day і як нам підготуватися? (5:08)
і це завжди залишалося незмінним.
Раян Шон Адамс: Ого, це вражаюча стабільність.
Джастін Дрейк: І, по суті, вам просто потрібно екстраполювати експоненти, і ось до чого ви прийдете. Тому те, що ми намагаємося зробити з Етеріум, — це переконатися, що ми все завершимо задовго до 2032 року. І моя дата завершення переходу Етеріум на повністю постквантову безпеку — 2029 рік.
Девід Хоффман: Отже, рік тому ви були у нас разом зі Скоттом Ааронсоном, який є своєрідним хрещеним батьком у цій сфері. Ми ставили кілька запитань про Q-Day. Чи є правильним визначенням Q-Day день, коли квантові комп'ютери зможуть зламати наші схеми підписів, такі як ECDSA? Чи саме це насправді означає Q-Day?
Джастін Дрейк: Так, саме так. У нас є новий термін CRQC — криптографічно релевантний квантовий комп'ютер. Якщо трохи примружитися, літера Q посередині стає схожою на O, і це звучить як крокодил, «croc». Саме тоді це стає актуальним для нас. Цілком можливо, що з'являться інші застосування, які зроблять квантові комп'ютери корисними для хімії чи фізики, але це відбудеться трохи пізніше.
Девід Хоффман: Я пам'ятаю, як він казав, що тоді він ніби перестраховувався. Це було рік тому, у січні 2025 року, і він сказав, що протягом 10 років у нас мають з'явитися корисні відмовостійкі квантові комп'ютери, але він дуже обережно зазначив, що це не означає, що ми зможемо зламати ECDSA. Він не хотів називати точну дату, оскільки сказав, що це неймовірно складна інженерна проблема. Я помітив, що його тон змінився за минулий рік, і він дійсно приєднався до деяких організацій та фондів, щоб допомогти криптовалютам адаптуватися до квантових технологій. Чи це сталося з трьох причин, на яких ви наголошуєте: прориви в алгоритмах, виправлення помилок, що дозволяє нам масштабувати логічні кубіти, і мільярди венчурного фінансування, влиті в цю сферу? Його думка змінилася?
Джастін Дрейк: Я не можу говорити за нього, але варто зазначити одну річ: Скотт насамперед теоретик. Дуже довгий час він працював над теорією, а не над повсякденною практикою квантових комп'ютерів, і я думаю, що це частково було причиною його обережності. Тепер дедалі частіше з'являються реальні компанії, реальні підприємці, які створюють ці речі, і він має погляд зсередини. По суті, він поглинає всю цю інформацію. Одна з речей, яку він нещодавно сказав, полягає в тому, що уряд США починає втручатися в публікацію ідей. Отже, у нас є компанії та науковці, які можуть придумати вдосконалення для Shor's algorithm, і вони не розкриваються повністю, потенційно з міркувань національної безпеки.
Фізичні кубіти, логічні кубіти та злам ECDSA (10:11)
Девід Хоффман: Вау. Окей. Схоже, що до цього залучаються уряди. Насправді ми не знаємо про всю роботу, яка ведеться за лаштунками — наразі нам відомо лише про комерційно життєздатні розробки. Щодо логічних кубітів, ви сказали, що зараз у нас є один логічний кубіт. Існують фізичні та логічні кубіти, і масштабувати потрібно саме логічні кубіти. Скільки насправді потрібно логічних кубітів, щоб зламати ECDSA? Це метрика, на яку я звертаю увагу, але чи взагалі це правильне число? Я чув, як люди кажуть, що потрібна тисяча, або, можливо, 1500. Чи варто нам звертати увагу на це число?
Джастін Дрейк: Так, існує кілька відповідних метрик. Це загальна кількість фізичних кубітів, загальна кількість логічних кубітів, а також загальна кількість кроків, необхідних для виконання алгоритму. І це має реальний вплив, оскільки визначає, скільки часу знадобиться на злам ключа: хвилина, день, тиждень, місяць чи рік.
Девід Хоффман: А які коефіцієнти масштабування для кожного з них — фізичних, логічних, а потім і часу виконання алгоритму?
Джастін Дрейк: Грубо кажучи, кількість фізичних кубітів для отримання одного логічного кубіта сьогодні становить кілька сотень — скажімо, тисячу. Має статися так, що якість фізичних кубітів, так звана точність (fidelity), повинна зрости, і ми також маємо розробити кращі алгоритми кодування зі стиранням, які покращать це співвідношення. Тож цілком можливо, що в майбутньому нам знадобиться лише 100 фізичних кубітів на кожен логічний, або, можливо, лише 10.
Якщо поглянути на алгоритм для зламу дискретного логарифма та ECDSA, грубо кажучи, це невелике кратне від кількості бітів у кривій. Ми працюємо з кривою під назвою secp256k1. Число 256 означає 256 біт. Отже, ви берете це число і множите його на п'ять або шість, і це дасть вам приблизну кількість необхідних логічних кубітів — скажімо, 1500. Оскільки сьогодні ми маємо один логічний кубіт, у певному сенсі ми знаходимося на відстані трьох порядків, тобто трьох 10-кратних збільшень, щоб досягти цієї мети. Але знову ж таки, у нас будуть покращення з боку виправлення помилок, що зменшить це співвідношення, і покращення з алгоритмічного боку, що зменшить кількість необхідних логічних кубітів.
Щодо часу виконання, це досить цікаво, оскільки існують два типи квантових комп'ютерів — зі швидкою та повільною тактовою частотою. Швидкі працюють дійсно швидко, майже зі швидкістю світла. Існують надпровідні квантові комп'ютери та фотонні квантові комп'ютери — фотонні, як випливає з назви, використовують фотони, світло, що пояснює, чому вони такі швидкі. Також є комп'ютери з повільною тактовою частотою — на захоплених іонах та нейтральних атомах. Назви насправді не мають значення, але грубо кажучи, вони працюють у тисячу разів повільніше. Кожна архітектура та модальність має свої переваги та недоліки. Тому цілком можливо, що на початку ми побачимо перемогу модальності з повільною тактовою частотою в тому сенсі, що вони першими зламають ключ, але це займе у них багато часу — можливо, тиждень або місяць. Тож у певному сенсі Q-Day не є абсолютно чорно-білим; буде період, коли шифрування буде нібито зламане, але лише для найважливіших адрес із високою цінністю.
Девід Хоффман: Цікаво. Але Q-Day також може настати за лаштунками, і ми навіть не знатимемо, наскільки далеко ми насправді зайшли.
Джастін Дрейк: Так. І якщо першою доступ до цих квантових комп'ютерів дійсно отримає якась держава, то, якщо крипто не відіграватиме головної системної ролі у світі, найімовірніше, вони використають свої можливості для прихованих атак — наприклад, для шпигунства за своїми супротивниками. Тож це грає нам на руку. Але якщо ви маєте справу з суто раціональною організацією, яка мотивована грошима, вони дійсно можуть націлитися на Біткоїн або Етеріум.
Квантові центри обробки даних та сценарій атаки Q-Day (15:10)
Девід Хоффман: Останнє запитання про кубіти. Чи будуються зараз квантові центри обробки даних? Ми маємо це масове розгортання центрів обробки даних для штучного інтелекту. Чи починає відбуватися щось подібне з квантовими комп'ютерами?
Джастін Дрейк: Так. Я читав пресреліз від Continuum. Вони створюють квантовий комп'ютер на основі фотоніки і діють дуже приховано. Вони залучили багато грошей — мільярди доларів, частково від уряду Австралії — і вони ніби хочуть створити квантові комп'ютери з першої спроби. Багато інших компаній створюють невеликі підтвердження концепції, а потім нарощують потужності, але ці хочуть побудувати все відразу з першого дня. Тому вони будують цей величезний центр обробки даних. Я думаю, це через модальність — фотоніка не вимагає таких низьких температур, як деякі інші модальності, наприклад, надпровідність. Тому ви можете взяти центр обробки даних, який виглядає набагато традиційніше, і розмістити там свій квантовий комп'ютер.
Раян Шон Адамс: Ви щойно говорили про те, що Q-Day насправді не є чорно-білим. У блокчейні є багато різних речей, які стосуються квантових технологій, і кожна з них має різний рівень квантової вразливості. Але я хочу зайняти позицію, що насправді Q-Day — це гостра специфічна подія, це коли відбувається реальна атака і в результаті щось ламається. Можливо, для різних блокчейнів це виглядає по-різному, оскільки профілі ризиків у різних блокчейнів не є однаковими. Але ми можемо поговорити про Q-Day для Біткоїна, припускаючи, що Біткоїн нічого не робитиме. Якщо ми припустимо, що Біткоїн не адаптується, настане конкретний день, коли Біткоїн буде атаковано. Як це виглядає? Що станеться в цей день? Що є найлегшою здобиччю для квантового комп'ютера при атаці на Біткоїн?
Джастін Дрейк: По суті, вам потрібно подивитися на стимули для атаки. Раціональним кроком для зловмисника буде націлитися на найбільші адреси, і, можливо, навіть перед цим, націлитися на адреси з ідеальною приватністю або адреси, де є правдоподібне заперечення. Дозвольте мені пройтися по них по черзі. Найпершою ціллю, ймовірно, буде Zcash, тому що якщо ви атакуєте Zcash, ви можете карбувати довільну кількість ZEC, і ніхто про це не дізнається. Тому Q-Day не стане публічним.
Девід Хоффман: Зачекайте, просто щоб уточнити — Zcash зараз не є постквантово безпечним? Навіть попри те, що він використовує zk-SNARKs і все таке?
Джастін Дрейк: Так, він використовує SNARKи, які базуються на кривих, що можуть бути зламані квантовими комп'ютерами.
Девід Хоффман: Зрозуміло. І тоді однією з потенційних груп жертв можуть бути люди, які померли і просто втратили свої монети. Якщо хтось вкраде їхні монети, ніхто не буде скаржитися — тут є певна частка правдоподібного заперечення.
Раян Шон Адамс: Але ми б це помітили, я маю на увазі, якби ми почали бачити монети від людей—
Джастін Дрейк: І так, і ні, тому що ми вже бачимо це сьогодні. Приблизно щокварталу з'являється якась зомбі-адреса, яка не була активною протягом 13 років, і вона воскресає, і ніхто не знає справжньої причини.
Раян Шон Адамс: Правильно? Це як 13-річний гаманець Біткоїна, в якому не було жодної транзакції з того часу, як вони видобули 50 біткоїнів цілу вічність тому, і він здійснює свою першу транзакцію за 13 років. Чи ця людина все ще жива і просто пробуджує сплячий гаманець, чи це атака квантового комп'ютера — наївний спостерігач, який просто дивиться на блокчейн Біткоїна, не зможе побачити різницю.
Джастін Дрейк: Точно. Так. А потім ви, ймовірно, підете і атакуєте найбільшу рибу, якою може бути якась біржа, що не створила належної інфраструктури для свого захисту. Виявляється, є дуже просте пом'якшення наслідків від квантових комп'ютерів, принаймні від найперших — не використовуйте свої адреси повторно. Коли ви повторно використовуєте свою адресу, ви повторно використовуєте відкритий ключ, а це означає, що у зловмисника є час зламати відповідний приватний ключ, а потім вкрасти ваші кошти під час другого використання адреси. Тому найкращою практикою має бути те, що якщо ви зберігаєте будь-які кошти в довгостроковому холодному сховищі, це має бути чиста адреса, для якої відповідний відкритий ключ ніколи не розкривався. Просто щоб прояснити це остаточно: те, що квантовий комп'ютер дозволяє вам
Вразливі адреси Біткоїна та монети Сатоші (20:08)
зробити — це перейти від відкритого ключа назад до приватного ключа. Тож це дійсно ставить під загрозу основи власності.
Раян Шон Адамс: Отже, давно неактивні монети, незалежно від того, який це блокчейн, чий відкритий ключ був розкритий — а це не всі неактивні монети, але значний відсоток — знаходяться під загрозою. Це монети Сатоші. Сатоші тримає свої монети на гаманці, про який знають люди. Ось чому ми називаємо їх монетами Сатоші, бо знаємо, де вони знаходяться. Який відсоток біткоїнів вразливий до цього?
Джастін Дрейк: Так, існує вебсторінка під назвою «Qisk List» — пишеться через Q замість C — від компанії Project 11, де є інформаційна панель, яка в реальному часі показує вразливі адреси. Здається, це близько 35%.
Девід Хоффман: 35% біткоїнів.
Джастін Дрейк: Так. Тобто мільйони Біткоїнів — скажімо, шість чи сім мільйонів. Так, це сотні мільярдів доларів. І ви маєте рацію, що сюди входить приблизно 1 мільйон BTC, якими володіє Сатоші. Одна з цікавих особливостей BTC Сатоші полягає в тому, що всі вони розділені на частини по 50 Біткоїнів, оскільки такою була винагорода за блок, і він використовував нову адресу щоразу, коли майнив. Саме так тоді було запрограмовано стандартне програмне забезпечення. Якщо на злам одного відкритого ключа знадобиться, скажімо, день або навіть 10 хвилин, ви побачите, як монети Сатоші виводитимуться приблизно з тією ж швидкістю, з якою вони були видобуті тоді — приблизно раз на 10 хвилин.
Це буде розтягнутий у часі процес. І один цікавий наслідок полягає в тому, що якщо ви дрібна риба і маєте значно менше ніж 50 біткоїнів на своїй адресі, то з вами все буде гаразд. Ви ніби захищені Сатоші, який стоїть перед вами.
Девід Хоффман: Правильно?
Джастін Дрейк: Так. Точно.
Раян Шон Адамс: В аналогії з втечею від зомбі, вам просто потрібно не бути найповільнішим. У цьому випадку нам потрібно не мати найбільших гаманців, які є незахищеними від квантових атак, тому що вони просто націляться на більші гаманці.
Джастін Дрейк: Точно.
Девід Хоффман: Отже, день Q настає за сценарієм Джастіна Дрейка — можливо, Zcash першим зазнає якоїсь форми атаки, тоді ви можете побачити деякі адреси ончейн, які не дуже помітні, тому що зловмисник не захоче привертати до цього увагу. Деякі адреси в мережі Біткоїн, але потім зловмисник активізується і почне шукати все більші й більші джерела багатства. Наскільки я розумію зі статей Ніка Картера, існує частина пропозиції Біткоїна за сценарієм втрачених монет — або людина померла, або втратила свої приватні ключі, або це сам Сатоші. Здається, Нік оцінив мінімальний поріг у 1,7 мільйона Біткоїнів, що становить 8,6% від видобутої пропозиції. Це менше, ніж 35%, які є вразливими до атаки. Люди, які намагаються бути на крок попереду атаки зомбі, перейдуть на невразливі адреси. Але якщо монети втрачені, якщо немає доступу до приватних ключів, ви не можете їх перемістити. А інші оцінки кажуть, що вразливими можуть бути до 15% Біткоїнів. Які цифри бачили ви?
Джастін Дрейк: Так, приблизна цифра, яку я маю на увазі, збігається з цими. Це близько 2 мільйонів Біткоїнів, скажімо, 10%. У нас є 1 мільйон від Сатоші, а потім ще приблизно мільйон, який не переміщувався дуже довгий час. Нам потрібно трохи зменшити цю цифру, оскільки деякі зомбі-адреси є легітимними і згодом оживуть, але ми також повинні її збільшити, оскільки можуть бути деякі нещодавно використані адреси, які будуть втрачені. Тому від 5 до 15% — це правильний діапазон. Я б поставив на 10–12%, що є дуже значним показником — безумовно, це сотні мільярдів доларів.
Дебати щодо спалювання чи порятунку Біткоїна (25:24)
Тут можна було б подумати про теорію ігор. Варіант А — спробувати спалити монети. Перевага полягає в тому, що ви не маєте тиску на продаж у сотні мільярдів доларів. Якщо аналізувати це в короткостроковій перспективі, це раціональний крок. Але вся історія Біткоїна полягає в сильних правах власності, тому, якщо дивитися в довгостроковій перспективі, ви не повинні хотіти спалювати монети. Дуже важко передбачити, яким шляхом піде спільнота. Цілком можливо, що зрештою рішення прийматимуть великі власники — наприклад, Майкл Сейлор та MicroStrategy. Оскільки ці великі власники отримають копії обох версій Біткоїна — тієї, що зі спалюванням, і тієї, що без нього — і вони зможуть позбутися тієї, яка їм не подобається. І ми знаємо, що Сейлор виступає за спалювання, тому він потенційно може одноосібно маніпулювати ринком і отримати бажаний результат.
Раян Шон Адамс: Чи можемо ми уточнити, що ви маєте на увазі? Два варіанти для кого? Отже, у нас є сценарій після Q-Day (дня квантової загрози) — якщо ви вірите, що Q-Day настане, ми матимемо, скажімо, 10% від усієї пропозиції Біткоїна, які можуть бути атаковані тим, хто має найкращий квантовий комп'ютер. Вони зможуть дістатися до них і заволодіти Біткоїнами протягом днів, тижнів, а можливо, й місяців, зламуючи ці адреси одну за одною. І ці 10% може хтось забрати. Ви кажете, що спільнота Біткоїна має варіанти, що робити з цими 10% на соціальному рівні, на рівні хардфорку. Ці варіанти мають два напрямки.
Або вони можуть спалити чи заморозити монети — фактично сказати, що це мертві адреси, ми знаємо, що вони мертві, ми не хочемо, щоб вони були вразливими до квантових атак, тому ми зробимо хардфорк і скажемо, що ці монети ніколи не будуть переміщені. Це 21 мільйон мінус ті 10%, які були заморожені. Це один із варіантів.
Інший варіант — вони просто залишають ці 10% тому, хто зможе створити квантовий комп'ютер, щоб піти і затребувати їх. Майже як порятунок затонулого корабля — той, хто побудує підводний човен, щоб дістати золото, може його затребувати. Але це вимушені варіанти. Що б не сталося, якщо настане Q-Day, спільнота Біткоїна повинна буде вибрати один із цих двох варіантів. Або втрутитися, спалити і заморозити, або залишити це будь-якій геополітичній комерційній силі, яка має можливість розробити квантові комп'ютери і піти затребувати приз. Ви це маєте на увазі?
Джастін Дрейк: Так, дуже влучно сказано. Але одне невелике уточнення: це не обов'язково має статися в Q-Day або після нього. Це може статися раніше. У будь-який момент часу спільнота Біткоїна або якась її частина може запропонувати зробити форк. На номері блоку форку з'являться дві версії активу Біткоїн — так само, як під час форку Bitcoin Cash. І зрештою це вирішує ринок. Біржі розмістять дві версії активу, і ринок вирішить, яка з них є справжнім Біткоїном. І цілком можливо, що лише через короткострокову динаміку ліквідності версія, яка спалює монети, потенційно ще до настання Q-Day, стане переможцем.
Сценарій Майкла Сейлора та точки Шеллінга (30:29)
Раян Шон Адамс: Правильно. Отже, я Майкл Сейлор, я володію 2–3% пропозиції Біткоїна, особливо ліквідної пропозиції. Я отримую обидві копії. Ми робимо форк блокчейну Біткоїна, так само як під час воєн форків Біткоїна у 2017 році. Я хочу зберегти свою цінність, тому продаю всі біткоїни, які вразливі до квантових атак, і залишаю всі біткоїни у версії, яка спалила вразливі до квантових атак монети. Ціна незайманого блокчейну падає. Ціна версії зі спалюванням залишається високою, тому що ніхто її не продає — Сейлор не продає, BlackRock не продає. Тобто ви кажете, що ціна Біткоїна з вирішеною квантовою проблемою буде вищою і завдяки ринковим силам він стане канонічним Біткоїном.
Джастін Дрейк: Так. І Майкл може навіть вирішити купити версію зі спалюванням за рахунок доходів від вразливої версії та збільшити свою частку з 5% до п'яти з половиною відсотків.
Девід Хоффман: Правильно? Але хіба це не означає, що має бути певний рівень координації зверху вниз щодо того, які гаманці заморожуються? Очевидно, ми можемо позначити монети Сатоші та заморозити їх, але потім нам доведеться заморозити ще кілька. Є деякі гаманці, щодо яких ми можемо бути цілком впевнені — ця людина мертва. Але насправді ми не знаємо, де провести межу між тим, які гаманці можна заморожувати, а які насправді належать людям і просто неактивні. Чи існує чітка межа?
Джастін Дрейк: Ну, існує концепція, яка називається точкою Шеллінга — за відсутності центрального координатора, як ви доходите консенсусу? Для Біткоїна точкою Шеллінга може бути блок, на якому відбувається халвінг. Ви можете вибрати перший халвінг, другий халвінг або третій халвінг. Це здається досить переконливо нейтральним — будь-яка монета, яка не переміщувалася з моменту другого халвінгу, вважається спаленою.
Девід Хоффман: Тобто ми просто вибираємо дату і кажемо: гей, якщо ви залишите свої біткоїни у квантово-незахищеному гаманці до цієї дати, ми спалимо ваші монети на цьому вторинному блокчейні, для якого ми збираємося зробити форк.
Джастін Дрейк: Так, тут є відносно широкий простір для проєктування, і деякі люди намагалися бути креативними. Наприклад, дехто намагається вирішити дві проблеми одним махом — як квантову, так і проблему бюджету безпеки — де пропозиція полягає в тому, щоб взяти 2 мільйони монет і замість того, щоб спалювати їх, додати їх до емісії. Це відкладає вирішення проблеми бюджету безпеки на потім.
Девід Хоффман: Б'юся об заклад, що це стає ще більш амбітним з точки зору координації Біткоїна. Я не знаю, чи варто перевантажувати координаційні можливості Біткоїна.
Джастін Дрейк: Так. Якби я робив ставки, я б просто поставив на дуже просте спалювання, скажімо, після другого халвінгу.
Девід Хоффман: Окей.
Раян Шон Адамс: Але це так складно, тому що, як ви зазначили раніше, Джастіне, це руйнує наратив про непідкупність, наратив про права власності. Будь-яке рішення про заморожування або спалювання певною мірою руйнує чисту природу того, чим є Біткоїн. Тому Нік Картер у своїх есе розглядає іншу історію — не сценарій спалювання та заморожування, а сценарій порятунку. У його сценарії приватна квантова лабораторія зламує ECDSA раніше запланованого терміну. Виявляється, що вони базуються в США. Уряд США швидко таємно націоналізує їх. Вони починають скуповувати Біткоїн, координують дії зі Скарбницею, координують дії з великими провайдерами ETF, BlackRock, Майклами Сейлорами цього світу. І врешті-решт США отримують 10% пропозиції Біткоїна у Скарбниці. Він наводить вигадані графіки цін — коли люди розуміють, що мережа Біткоїна зазнала квантової атаки, ціна різко падає на 73%. Але потім, коли з'ясовується, що він знаходиться в уряду США і вони використовують морські закони про порятунок майна для його законної конфіскації, ринок відновлюється, тому що США мають цю стратегічну резервну скарбницю Біткоїна. Отже, це його інший сценарій. Ви вважаєте це правдоподібним? Тому що принаймні в цьому сценарії ви не порушуєте жодних прав власності.
Звичайно, неймовірно, що це станеться з багатотрильйонною мережею з такою величезною винагородою. Це безпрецедентно. Але таке теж може статися, і, можливо, це кращий результат для Біткоїна.
Доведення сід-фрази та проблема розміру постквантового підпису (35:06)
Джастін Дрейк: Так. Отже, у мене є кілька думок. Перша полягає в тому, що існує досить складний спосіб доведення права власності на Біткоїн без використання приватного ключа. Це відомо як доведення сід-фрази. Отримання адреси Біткоїна відбувається у три етапи: перший етап — ви генеруєте свою сід-фразу; другий етап — ви виконуєте певні маніпуляції із сід-фразою, включаючи хешування, щоб отримати свій приватний ключ; потім із приватного ключа ви отримуєте відкритий ключ, який є адресою, що потрапляє ончейн. На жаль, приватний ключ більше не є тим, що може довести право власності. Але завдяки етапу хешування, якщо ви знаєте свою сід-фразу, це все ще є доведенням права власності. Тож одне з того, що може статися — і технічно кажучи, це найбільш обґрунтований шлях уперед — це заморозити Біткоїн, але дозволити будь-кому відновити свій Біткоїн за допомогою доведення сід-фрази.
На жаль, доведення сід-фрази є досить складним. Воно вимагає SNARK, доведення з нульовим розголошенням, тому це значно ускладнить Біткоїн. Але мій прогноз полягає в тому, що Біткоїн матиме SNARK для вирішення проблеми розміру постквантових підписів. Біткоїн дуже відомий тим, що не бажає збільшувати розмір свого блоку. На жаль, постквантові підписи приблизно в 10 разів більші за ECDSA. Щоб навести конкретні цифри: ECDSA становить 64 байти, це крихітний підпис. Найменший стандартизований NIST постквантовий підпис — це Falcon, який становить 666 байтів — більш ніж у 10 разів більший. Якщо ви наївно заміните ECDSA на щось постквантово безпечне без збільшення розміру блоку, ваша пропускна здатність знизиться приблизно в 10 разів. Ваш TPS у Біткоїні впаде з 3 до 0.3, що, на мою думку, є неприйнятним варіантом.
Те, що ми створюємо для Етеріума, — це складна технологія агрегації постквантових підписів, щоб ви не розміщували необроблені підписи ончейн, навіть якщо вони великі — ви розміщуєте лише це доведення агрегації. І я б'юся об заклад, що Біткоїн прийме рішення, яке розробляє Етеріум, тому що іншого технічно обґрунтованого шляху вперед просто немає.
Раян Шон Адамс: Розумію. І саме тому ви робите ставку проти сценарію порятунку — тому що ви думаєте, що вони оберуть цей підхід, і якщо вони це зроблять, це дасть їм спосіб більш надійно та нейтрально заморозити активи. Якщо ви можете довести право власності, ви зможете отримати доступ до старого Біткоїна.
Джастін Дрейк: Так. Але, на жаль, якщо ви максималіст прав власності, це не зовсім задовільно.
Раян Шон Адамс: Ні.
Джастін Дрейк: І причина полягає в тому, що існує певна підмножина заморожених адрес, для яких немає відомої сід-фрази. Стандарт сід-фрази з'явився лише через кілька років після генезису. Тому всі ранні адреси — наприклад, усі адреси Сатоші — не матимуть відповідної сід-фрази. Існують також деякі гаманці, наприклад, гаманці на базі MPC, де немає відповідної сід-фрази. Тож це не ідеальне рішення, але воно вирішує проблему на 80%.
Девід Хоффман: Так заплутано. Це дуже заплутано, з якого боку не подивись.
Джастін Дрейк: Так. Інша річ, яку я хотів би підкреслити, полягає в тому, що багато людей думають, що коли ви крадете Біткоїн, ціна BTC обвалиться, і вкрадений вами актив нічого не коштуватиме.
Але насправді існує спосіб хеджування ціни Біткоїна, і він дуже простий — ви просто відкриваєте коротку позицію по BTC. Припустімо, ви напевно знаєте, що зламали приватний ключ гаманця, на якому зберігається 100 000 BTC. Ви відкриваєте коротку позицію на 100 000 BTC. Це фіксує ваш прибуток. І тоді, незалежно від того, що станеться з ціною Біткоїна, ви зафіксували свій прибуток, який може становити десятки мільярдів доларів.
Виклик соціального рівня Біткоїна та перевага Етеріума (40:07)
Девід Хоффман: Тепер я хочу зазначити, Джастіне, що ти мислиш певним чином, і саме через цей спосіб мислення ти в Етеріумі. Якби ти був біткоїнером, ти б мислив інакше. Спосіб мислення біткоїнерів дуже унікальний, дуже відмінний — це своєрідний максималізм прав власності. Я думаю, що те, що зробив би Джастін, якби він керував Біткоїном, дуже відрізняється від того, що зробила б загальна маса біткоїнерів. У мене немає тут конкретного запитання, але я просто хотів це підкреслити.
Раян Шон Адамс: О так. Те, що роблять біткоїнери, ймовірно, не те, що збираєшся робити ти. Звинувачення Ніка Картера полягає в тому, що багато розробників ядра Біткоїна ховають голову в пісок і кажуть, що Q-Day не є реальним або не стане реальністю ще 20-30 років.
Джастін Дрейк: Щоб було зрозуміло, мій прогноз щодо того, що спалювання переможе, — це прогноз того, що я вважаю найбільш імовірним. Це не те, що зробив би я — насправді я б не чіпав Біткоїн і підтримував би права власності. У мене немає цієї короткострокової часової преференції, і я думаю, що багато біткоїнерів погодяться зі мною. Але, на жаль, Майкл Сейлор має настільки сильний вплив, що в певному сенсі Біткоїн став централізованим на соціальному рівні, а це приносить велику владу і велику відповідальність.
Раян Шон Адамс: Насправді я з тобою згоден. Я б теж так зробив. Я б дозволив полюванню за скарбами відбутися, дозволив би порятунку статися. Я б нічого не чіпав. Це ключова річ, яку робить Біткоїн, і нехай буде, що буде. Але дозволь мені поставити тобі те саме запитання. Не лише певна частина пропозиції Біткоїна є вразливою в постквантовий період — Етеріум також має цю проблему, але з іншим відсотком пропозиції. Чи можеш ти описати цю ж проблему? Ми доходимо до сценарію після Q-Day. Хтось привласнює біткоїни Сатоші. Що відбувається з Етеріумом у цей момент? Який відсоток пропозиції був би вразливим? Припустімо, Етеріум ще не вирішив квантову проблему.
Джастін Дрейк: Одна з переваг Етеріума полягає в тому, що немає 5% пропозиції, які контролюються однією людиною — Сатоші, і які вважаються втраченими. Інша перевага полягає в тому, що Етеріум не такий старий, і він мав ціну з першого дня. Тому була причина дбати про свій етер із самого початку, тоді як у перші дні існування Біткоїна це були просто гроші з «Монополії», і люди не дуже добре дотримувалися гігієни зі своїми приватними ключами. Тому набагато ймовірніше, що 1.7 мільйона BTC Ніка Картера насправді дійсно втрачені.
Коли я працював над проєктом Ultrasound, однією з речей, які ми намагалися зробити, було підрахувати кількість відомих втрачених монет, щоб додати їх на дашборд на додаток до спалювання. Це була настільки мізерна сума, що ми навіть не стали цим перейматися.
Девід Хоффман: А як щодо злому Parity? Хіба це не велика частина?
Джастін Дрейк: Так, дуже слушне зауваження. Це був пункт номер один у списку. Але так сталося, що це заблокований смарт-контракт, який не є вразливим до квантових комп'ютерів.
Девід Хоффман: Отже—
Раян Шон Адамс: Насправді вони просто застрягли. Справа не у відсутності приватних ключів. Вони буквально застрягли.
Джастін Дрейк: Він заблокований. Так. Точно. І ще є кілька прикладів з людьми — якщо ви дійсно покопирсаєтеся в обговореннях на Reddit, то знайдете дещо — але в глобальному масштабі це загалом менше ніж 0.1%. Це відома втрачена пропозиція. Але реально, ближче до Q-Day виявиться, що деякі монети втрачені. Якби мені довелося вгадувати, це невеликі однозначні числа — можливо, 2, 3, 4, 5%.
Девід Хоффман: Тобто ти вважаєш, що максимум 2–5% пропозиції Етеріума є одночасно втраченими та знаходяться на адресах, які можна зламати за допомогою квантових технологій.
Джастін Дрейк: Точно. Так. Якби я робив конкретний прогноз, я б сказав близько 2%, що приблизно на порядок менше, ніж у Біткоїна. І ця кількісна різниця має якісні наслідки: у випадку з Етеріумом я б рішуче виступав за те, щоб нічого не робити і дійсно поважати права власності, тому що, зрештою, 2% — це не так уже й багато. У випадку з Біткоїном 15% — це величезна проблема.
Трирівневе постквантове оновлення Етеріуму (45:05)
Девід Хоффман: Отже, Етеріуму доведеться зробити такий самий вибір. Скажімо, 3% — чи заморозити та спалювати, чи просто залишити це як полювання за скарбами. Ви сподіваєтеся, що ми оберемо варіант полювання за скарбами, тобто якийсь квантовий зловмисник забере ці 1–3% етеру. І якщо поглянути ширше, ми, по суті, рухаємося до того, що етер стане набагато кращими грошима, ніж BTC. Він буде неінтервенційним, поважатиме права власності, буде квантово-захищеним і не матиме проблеми з бюджетом безпеки, яка почне переслідувати Біткоїн через кілька халвінгів. Тому я вважаю, що це велика можливість для активу.
Раян Шон Адамс: Гаразд. Ми поговорили про м'яку соціальну проблему. Є також багато технічних викликів, з якими нам доведеться зіткнутися. Я хочу згадати цей твіт від Хасу Куреші, друга нашого шоу. Він процитував допис Віталіка про квантову дорожню карту Етеріуму і сказав: "Етеріум має складнішу дорожню карту для переходу на постквантовий рівень, ніж Біткоїн — насправді є багато залежностей, перш ніж ви зможете взятися за EOA та приватні ключі через розміри постквантових доведень." Отже, його думка полягає в тому, що виклики, які стоять перед Етеріумом, набагато складніші, ніж у Біткоїна. Що ви думаєте?
Джастін Дрейк: Потрібно вирішити дві проблеми: технічну та соціальну. Щодо технічної, Хасу має рацію в тому, що Етеріуму потрібно вирішити, по суті, три проблеми — на кожному з різних рівнів. Є рівень консенсусу, де ми маємо BLS. Є рівень даних, де ми маємо KZG. І рівень виконання, де ми маємо ECDSA. Кожен із цих елементів криптографії є вразливим. Це надмножина Біткоїна, який має лише проблему з ECDSA. Тому в певному сенсі нам потрібно оновити втричі більше речей.
Але якщо поглянути ширше, я б сказав, що більша проблема — можливо, на 80% — є соціальною. Ми вже торкалися питання, чи варто спалювати, чи ні. Але є дещо ще більш фундаментальне: чи визнаємо ми взагалі, що це проблема? У світі Біткоїна існує така собі імунна реакція, яка, по суті, відкидає будь-який наратив, що може негативно вплинути на ціну. Є такі люди, як Адам Бек, які кажуть, що до появи квантових комп'ютерів ще щонайменше десятиліття. Тож нульовий крок — це певне визнання того, що проблема існує. І цілком можливо, що Біткоїн трохи запізниться, що матиме набагато більші наслідки, ніж з технологічного боку.
Девід Хоффман: Отже, ви вважаєте, що загалом у Біткоїна буде складніша проблема, оскільки їхній соціальний рівень просто не визнає цю реальність і менш охоче долучається до її вирішення?
Джастін Дрейк: Так. Дозвольте мені сказати наступне: я готовий поставити велику суму на те, що всі три рівні Етеріуму будуть оновлені раніше, ніж єдиний рівень Біткоїна.
Девід Хоффман: Правильно. Отже, ми маємо втричі більшу проблему. Але з боку Етеріуму, зрештою, це лише інженерна проблема. І не тільки це, це інженерна проблема, яку Етеріум вирішує напряму. Тоді як інженерна проблема Біткоїна менша, це соціальна проблема, проблема координації, яку фундаментально важче подолати.
Джастін Дрейк: Так. Точно. І навіть з технічного боку, це проблема, над якою ми працюємо вже майже десятиліття. Якщо повернутися у 2018 рік, ми надали грант у розмірі 5 мільйонів доларів компанії StarkWare для вивчення постквантових SNARK на основі хешів та закладення основ за допомогою дружніх до SNARK хеш-функцій. Саме звідси з'явилася хеш-функція Poseidon. Зовсім недавно, у 2024 році, було анонсовано Lean Consensus Chain, раніше відомий як Beam Chain. Минулого року ми проводили постквантові воркшопи в Кембриджі. Тепер у нас є спеціальна постквантова команда з Томом та Емілем. І у нас є ця дорожня карта, яка
(50:00)
Оновлення рівня виконання: агрегація підписів (50:00)
дійсно деталізує деякі з ключових етапів для здійснення цих оновлень.
Раян Шон Адамс: Чи можемо ми обговорити кожну з цих проблем по черзі? Я знаю, Джастіне, що ти можеш вдаватися в надзвичайні деталі криптографії — але ми б хотіли залишити це на рівні, який Девід і я зможемо зрозуміти. Але ми розуміємо різні рівні стека Етеріуму. Можливо, ми можемо почати з рівня виконання, оскільки це головне, про що ми говорили. ECDSA — це схема підпису, що лежить в основі адрес як Біткоїна, так і Етеріуму — це те, що буде зламано в постквантовому світі. Який шлях оновлення для ECDSA? Це давній криптографічний інструмент — чи є у нас щось, що може його замінити?
Джастін Дрейк: Так. Перш за все, дозвольте мені підкреслити, що це дуже велике завдання — ми фундаментально змінюємо стовпи блокчейнів, базову криптографію, і замінюємо її чимось новим із зовсім іншими властивостями. Якби ви були неспеціалістом, ваша відповідь могла б бути: "Це просто. У нас є NIST, Національний інститут стандартів і технологій. Вони провели конкурс постквантових підписів і вибрали кілька — а саме Falcon, Dilithium та SPHINCS+. Нам просто потрібно вибрати один або кілька з цих варіантів".
Проблема в тому, що NIST не розробляв їх для використання в блокчейні. Вони розробляли їх для індивідуальних підписів для окремих повідомлень, що використовуються в інтернеті. У контексті блокчейнів ви маєте пакети транзакцій — для Біткоїна це тисячі транзакцій на блок. І у нас є проблема з розміром: постквантові підписи щонайменше в 10 разів більші, якщо не в 100 разів. На мою думку, це абсолютно безперспективно — розглядати ці індивідуальні підписи, наївно упаковані та об'єднані в блоки.
Єдине рішення, яке я бачу, називається агрегацією підписів, коли ви берете кілька підписів і стискаєте їх в один мультипідпис. Перевірка цього головного мультипідпису рівнозначна перевірці всіх його окремих складових. Якщо поглянути на простір розробки для агрегованих постквантових підписів, варіантів не так багато. По суті, є лише один життєздатний, на мій погляд, варіант: використання SNARK, зокрема постквантових SNARK. В основному існує одне велике сімейство — SNARK на основі хешів.
Основна ідея полягає в тому, що ви берете окремі постквантові підписи і доводите знання їх усіх, щоб у підсумку отримати фінальне доведення SNARK. Тепер, якщо ви збираєтеся використовувати SNARK на основі хешів, ви також можете використовувати листові підписи на основі хешів — неагреговані сирі підписи. Причина в тому, що це дає вам переваги у простоті та безпеці. Це наймінімальніші припущення щодо безпеки, які ви можете мати — ви просто припускаєте, що ваша хеш-функція є безпечною. У світі блокчейнів хеш-функції є фундаментальними. Вони у нас скрізь — для побудови блоків, дерев Меркла, дерев стану та блокчейнів, де зчеплення здійснюється за допомогою хешів.
Фундація Ethereum доклала багато зусиль, щоб почати з підписів на основі хешів і зробити їх максимально дружніми до SNARK, щоб вартість агрегації була якомога нижчою. Я радий повідомити, що продуктивність цього підходу насправді достатньо хороша для всіх блокчейнів. Якою б не була пропускна здатність вашого ланцюга, ви можете мати агрегатор на прийнятному обладнанні — наприклад, на процесорі ноутбука — який агрегує всі ці транзакції та створює фінальне доведення, що супроводжує блок.
І одна з іронічних речей щодо цього підходу полягає в тому, що насправді це збільшення масштабованості порівняно з тим, що ми маємо сьогодні. Причина в тому, що у вас немає фіксованої вартості у 64 байти на транзакцію. Транзакції мають нуль байтів даних підпису, а потім у вас є цей один головний підпис, який амортизується на всі транзакції в блоці.
Встановлення галузевого стандарту завдяки співпраці з Біткоїном (55:28)
Девід Хоффман: Гаразд. Отже, це оновлення для багатьох інших блокчейнів зі смарт-контрактами, що йдуть слідом за Етеріумом, особливо тих, які оптимізуються для швидкості —
Джастін Дрейк: Не лише смарт-контрактів — Біткоїна також. ECDSA.
Девід Хоффман: Так. Правильно. Отже, перед цим епізодом я думав, що такі ланцюги, як Solana, будуть обтяжені важчими підписами, так само як TPS Біткоїна сповільнюється до 0.3 транзакцій на секунду. Solana так само сповільнилася б, оскільки транзакції стали б важчими у постквантовому світі. Але ви кажете, що з цією технологією це буде не так — вона насправді дозволить ланцюгам загалом стати швидшими.
Джастін Дрейк: Так, саме так. Так само, як Сатоші з ECDSA встановив де-факто стандарт для всієї індустрії — ми, по суті, скопіювали навіть криву secp256k1, що дуже незвично. Ніхто не знає, чому він вибрав саме цю криву, але вона стала стандартом де-факто. Я думаю, що для Етеріуму є можливість стати першопрохідцем і встановити стандарт де-факто.
Стратегія, яку ми обрали, полягає у співпраці з біткоїнерами. У світі Біткоїна є кілька людей — Михайло Комаров та Нік Джонас. Вони обидва є частиною Blockstream і обидва є експертами з підписів на основі хешів. Ми працюємо з ними, щоб переконатися, що все, що ми розробляємо у світі Етеріуму, також можна застосувати до Біткоїна. І якщо Біткоїн та Етеріум використовуватимуть цей стандарт, то, ймовірно, вся індустрія також використовуватиме його.
Раян Шон Адамс: Це фантастика. Отже, у нас є спосіб вирішити постквантове оновлення рівня виконання без втрати продуктивності. Але дозвольте мені поставити ще одне запитання — як щодо безпеки? Це новіша криптографія порівняно з ECDSA, яка існує вічно і має ефект Лінді. Чи варто нам хвилюватися, що існує якийсь прихований баг або вразливість нульового дня, які можуть повністю знищити те, що ми побудували?
Джастін Дрейк: У мене є кілька думок з цього приводу. Ми ставимося до безпеки надзвичайно серйозно, і загалом я очікую, що рішення, яке ми розгортаємо, буде на порядки безпечнішим, ніж те, що ми маємо сьогодні з ECDSA. Дозвольте пояснити. ECDSA базується на еліптичних кривих — хитромудрих структурованих математичних об'єктах. Цілком можливо, що якийсь розумний математик придумає алгоритм для злому дискретного логарифма, використовуючи якийсь хитрий математичний трюк, про який людство не знало. Таке вже траплялося в минулому — ми маємо все кращі й кращі алгоритми для факторизації та дискретного логарифма. І одна з можливостей з появою ШІ полягає в тому, що ми отримаємо математиків, у 100 разів розумніших за людей, які виявлять приховану структуру в еліптичних кривих і зможуть зламати нашу криптографію. Тому криптографія, яку ми створюємо, є не лише постквантовою, але й пост-ШІ.
Повертаючись до іншого, що я сказав — вона покладається лише на хеш-функції. Будь-яка схема підпису покладається на дві речі: хеш-функцію та необов'язкове додаткове припущення про складність, яким може бути дискретний логарифм, або, у випадку підписів на основі решіток, структуровані решітки. Але у випадку підписів на основі хешів цього додаткового припущення про складність немає — це просто хеш-функції. Якщо ваша хеш-функція безпечна, у вас все добре. Тож у цьому сенсі я очікую, що це буде покращенням порівняно зі статус-кво.
Тепер є два застереження, які я хочу виділити. Застереження номер один полягає в тому, що ми маємо справу зі складнішими об'єктами, і рішення, яке ми тут маємо, — це те, що ми називаємо глибокою наскрізною формальною верифікацією.
Формальна верифікація, Poseidon та рівень консенсусу (1:00:33)
У нас є наш криптографічний об'єкт, і ми хочемо математично довести, що він надійний — що підробити підпис неможливо. І ми хочемо зробити це не лише для математики, але й для коду. Якби ви запитали мене 2–3 роки тому, чи це можливо, я б відповів ствердно, але це було надзвичайно трудомістко і дорого. З появою ШІ ми бачимо, що цю трудомістку і дорогу роботу можна виконати в 100 разів швидше і в 100 разів дешевше.
Ми починаємо бачити передову математику світового рівня — наприклад, нещодавній результат, який здобув Філдсівську премію, еквівалент Нобелівської премії з математики. Цей результат був формально верифікований ШІ за п'ять днів. Вони створили півмільйона рядків коду — доведення, яке може перевірити машина, що це дійсно правильна теорема — і в процесі знайшли всілякі друкарські помилки в написаній людиною статті. Саме такої ретельної перевірки ми прагнемо, щоб уникнути багів.
Тепер є ще одна річ, яку я хочу підкреслити: сама хеш-функція. Історично блокчейни створювалися або на базі SHA-256 у випадку Біткоїна, або Keccak у випадку Етеріуму. Наша пропозиція для постквантового Етеріуму полягає у впровадженні іншої хеш-функції під назвою Poseidon, яка є іншим типом хеш-функції, оскільки вона дружня до SNARK. На момент запуску Poseidon вона має бути досить безпечною — її аналізуватимуть цілих 10 років, вона захищатиме багато мільярдів доларів через L2, і пройде криптоаналіз усіма провідними експертами в цій галузі. Ми також щойно оголосили приз у розмірі 1 мільйона доларів за спробу зламати Poseidon. Але цілком можливо, що Poseidon можуть зламати.
На жаль, спосіб розробки хеш-функцій такий, що ви не можете довести їхню безпеку. Найкраще, що ви можете зробити, це покладатися на відсутність атак — по суті, існує цей час «витримки». І порядок величини, який я маю на увазі, становить вісім років. Чому вісім років? Тому що коли Сатоші вибрав SHA-256, їй було вісім років. Коли Віталік вибрав Keccak, їй, за збігом обставин, теж було вісім років. Тому я б хотів, щоб Poseidon було щонайменше вісім років, і так і буде, коли ми розгорнемо її в Етеріумі.
Раян Шон Адамс: Гаразд. Отже, це рівень виконання. Чи могли б ви коротко розповісти про рівень даних? KZG потрібно оновити до чогось постквантового, а також рівень консенсусу, де ми маємо підписи BLS. Чи схоже це за рівнем зусиль на заміну ECDSA?
Джастін Дрейк: Дозвольте мені почати з рівня консенсусу, оскільки це простіша відповідь. У першому наближенні це, по суті, копіпаст. У нас є схожа концепція, де учасники створюють підписи, цих підписів багато, вони займають місце, і ми хочемо їх стиснути. Проблема на рівні консенсусу полягає в тому, що у нас набагато більше підписів, ніж на рівні виконання. Люди цього не усвідомлюють, але у нас є мільйон валідаторів — це мільйон підписів за епоху, 32 000 підписів на слот, тисячі підписів на секунду. Це більше, ніж у Solana з точки зору транзакцій голосування.
Щоб розблокувати певну оптимізацію продуктивності, доступну лише на рівні консенсусу, у нас є поняття підпису зі станом — повідомлення, які ви підписуєте, мають лічильник, що збільшується щоразу. Хіба це вам нічого не нагадує? Номер слота. В Етеріумі на рівні консенсусу ви завжди підписуватимете лише одне повідомлення на слот. Якщо ви підпишете два, вас буде піддано слешингу. Ми використовуємо це обмеження, щоб мати підписи, які в 10 разів ефективніше агрегувати.
Lean VM, дорожня карта Lean Consensus та часові рамки до 2029 року (1:05:17)
У цьому полягає головна відмінність — хеш-функції без збереження стану на рівні виконання проти підписів зі збереженням стану на рівні консенсусу, де номер слота збільшується. Технологія агрегації має назву: Lean VM, мінімальна zkVM для криптографії на основі хешів. По суті, Lean VM доводитиме, що це правильний корінь Меркла. Головне, в чому ми ще не до кінця впевнені, це те, чи зможе цей підхід відкрити те, що я називаю «фронтіром терагазу» — 1 гігагаз на секунду на рівні 1 (L1), 10 000 TPS, але ще амбітніше — 1 терагаз, 10 мільйонів транзакцій на секунду на рівні 2 (L2) з використанням доступності даних.
Ми говоримо про 1 гігабайт на секунду доступності даних, і питання полягає в тому, чи зможе zkVM бути достатньо продуктивною, щоб обробляти 1 ГБ даних на секунду. Це ще належить з'ясувати на основі майбутніх оптимізацій.
Девід Хоффман: Але що ми знаємо напевно, так це те, що Етеріум матиме доступність даних (DA) для забезпечення 1 гігабайта на секунду для L1 плюс кількох L2.
Раян Шон Адамс: Отже, я думаю, слухачі зараз можуть подумати: «Гаразд, схоже, що Етеріум має план оновлення до постквантового періоду. Вони визнають, що квантові комп'ютери існуватимуть і настане день Q». Тепер їх цікавлять часові рамки та рівень зусиль. Я взяв твіт Віталіка про постквантову дорожню карту, закинув його в Claude і запитав: «Який тут рівень зусиль?» Claude відповів: «Оцінюйте це як дев'ять з десяти». Це одне з найважливіших оновлень, які коли-небудь робитиме Етеріум. Ми порівнювали це зі Злиттям, коли ми мали літак у польоті і замінили двигун доказу виконання роботи (PoW) на доказ частки (PoS). Тепер ми замінюємо значну частину базової криптографії. Чи можете ви окреслити для нас масштаби? Чи будемо ми готові до 2032 року? Наскільки це складно? Чи здається це лякаючим?
Джастін Дрейк: Так. Відповідь складається з двох частин. По-перше, це насправді ще амбітніше, ніж ви описали. Зміни в криптографії настільки глибокі, що це, по суті, переписування щонайменше рівня консенсусу. А якщо ми збираємося переписувати рівень консенсусу, ми могли б зробити це належним чином — додати всі корисні функції та позбутися всього технічного боргу. Це і є проєкт Lean Consensus, де ми об'єднуємо кілька переписувань, включаючи фінальність одного слота, з постквантовим оновленням.
Тож так, це дуже амбітно. Ми починаємо з чистого аркуша і створюємо щось дивовижно красиве, просте, ефективне та з доведеною безпекою. Хороша новина полягає в тому, що починати з нуля багато в чому простіше, оскільки у вас немає всього технічного боргу. Ми можемо переписати специфікацію так, щоб вона була максимально мінімалістичною та простою. Звідси й походить термін «lean» (ощадливий) — максимальна простота, де вся функція переходу стану — це, по суті, тисяча рядків коду на Python, які може прочитати розумний старшокласник.
Зараз у нас є девнети для Lean Consensus. І специфікації настільки прості для засвоєння, що ми бачили, як близько 10 команд реалізували їх, приєдналися до девнету і зробили це, навіть не звертаючись до Фундації Ethereum. Бар'єр для входу відносно низький. Ми живемо у світі, де розвиток ШІ означає, що ви можете значною мірою писати код свого клієнта інтуїтивно (vibe-code). Це вагома причина, чому у нас так багато клієнтів — часто це команди з однієї людини, або з двох-трьох осіб.
Я думаю, що це матиме цікаві наслідки як для стійкості, так і для управління. Щодо управління, те, як ми робимо це сьогодні, грубо кажучи
Управління Етеріумом та дата завершення у 2029 році (1:10:41)
що у нас є п'ять клієнтів рівня консенсусу, і всі вони повинні впровадити оновлення, щоб рухатися далі. У майбутньому, коли у нас буде 10 або 15 клієнтів, ми зможемо просто вимагати цього від 80% найкращих або 80% найшвидших, щоб рухатися вперед. Це більше схоже на дарвінівську конкуренцію, яка дозволяє нам рухатися набагато швидше, не чекаючи на найповільнішого клієнта.
Девід Хоффман: Тож чи будемо ми готові до 2032 року? У який момент ми будемо готові?
Джастін Дрейк: Уся дорожня карта розписана до 2029 року,
Девід Хоффман: Що, по суті, є тією самою дорожньою картою, яку ви представили на своєму виступі на DevCon, де ви презентували Beam Chain. І тоді люди її зненавиділи.
Джастін Дрейк: Так, це був мій найбільш ненависний слайд, тому що він розтягнувся на чотири з половиною роки. Історично я погано орієнтувався в термінах — був занадто оптимістичним. Але з віком і появою сивини я став краще розраховувати час. Я думаю, що це був реалістичний, консервативний графік, який засмутив людей. Але так вже воно є.
Девід Хоффман: Також для контексту: люди засмутилися частково через те, що це відбувалося під час пікового імпульсу Solana на тлі уявного браку технічного прогресу в дорожній карті Етеріуму. Справа була не лише в чотирирічному терміні — це також був контекст того моменту.
Джастін Дрейк: Саме так. Тож зараз нам залишилося приблизно три роки. Я відносно впевнений, що ми зможемо досягти рубежу 2029 року, і я думаю, що є навіть можливість рухатися швидше завдяки ШІ.
Девід Хоффман: Отже, до 2029 року все це буде реалізовано, якщо відповідатиме дорожній карті — все, про що ми щойно говорили.
Джастін Дрейк: Обіцяєте? Усе.
Раян Шон Адамс: Хіба в мене в голові не крутиться думка про якогось стародавнього розробника програмного забезпечення, який казав мені, що переписування коду ніколи не працює? Чому це не стосується цього випадку?
Джастін Дрейк: Одна з хороших новин полягає в тому, що ми вже робили подібне масштабне переписування, як ви згадали, під час Злиття. Ми повністю змінили основи консенсусу Етеріуму з доказу виконання роботи (PoW) на доказ частки (PoS). Це є доказом того, що це можливо зробити. Етеріуму не звикати до амбітних проєктів — у нас були й інші дуже амбітні речі, такі як данкшардинг та вибірка доступності даних подібного масштабу.
Ще одна хороша новина полягає в тому, що у нас немає вибору. Ми повинні змінити криптографію. Це дуже сильний стимулюючий фактор, і лише це вже означає переписування на 80%.
Це робить координацію та досягнення консенсусу набагато простішими.
Квантова загроза — це проблема не лише крипто (1:15:06)
Девід Хоффман: Гадаю, нам варто наголосити, що не лише Етеріум не має вибору — ніхто в крипто не має альтернативи цьому. Кожен у крипто повинен переписати код. У Біткоїні це лише ECDSA, але й цього самого по собі достатньо.
Джастін Дрейк: Так. Цілком можливо, що Етеріуму доведеться переписати більше коду, ніж іншим ланцюгам, і це пов'язано з кількістю валідаторів. Якщо у вас лише 100 валідаторів, ви можете покрити витрати на в 10 разів більші підписи на рівні консенсусу. Для більшості ланцюгів з доказом частки (PoS) вам не потрібна така складність, як у нас. Але для Етеріуму ми сподіваємося мати десятки тисяч валідаторів, які голосують кожен слот — тисячі підписів на секунду — і нам доводиться бути дуже креативними.
У чому я б з вами погодився, так це в тому, що мають відбутися дуже великі зміни для всіх блокчейнів на рівні виконання. Але хороша новина для інших ланцюгів полягає в тому, що Етеріум робить усю домашню роботу. Ми створюємо Lean VM, ми збираємося формально верифікувати все це, і вони зможуть просто скопіювати та вставити це. Здебільшого це проста робота з інтеграції.
Раян Шон Адамс: Нік Картер написав у Твіттері: «Одна з найдурніших помилок — це коли люди думають, що їхня монета виграє, якщо Біткоїн помре, як-от люди з Zcash, які борються з Біткоїном через квантову загрозу. Все з точністю до навпаки. Якщо Біткоїн помре, ніхто більше ніколи не довірятиме інтернет-грошам. Усі монети виїжджають за рахунок Біткоїна». Яка ваша реакція на цю думку?
Джастін Дрейк: Я не згоден з Ніком Картером. Нік завжди засмучувався, коли я писав у Твіттері про бюджет безпеки. Він вважає, що говорити про це руйнівно для всієї індустрії, хоча фундаментальні показники збігаються з тим, що я кажу. За іронією долі, він робить з квантовою проблемою те саме, що я роблю з бюджетом безпеки — намагається форсувати обговорення та змусити до змін.
Раян Шон Адамс: Але як щодо ширшого погляду? Припустімо, ми доживемо до 2032 року, Етеріум буде квантово-захищеним, а Біткоїн — ні, Біткоїн зазнає атаки одним із тих способів, які ми описали — почнеться полювання за скарбами та ринкова невизначеність. Нік каже, що не варто цьому радіти, бо це буде погано для кожного ланцюга в крипто. Він каже: що станеться з Біткоїном, те станеться з усіма. Якщо ви хочете мати мем про інтернет-гроші як засіб збереження вартості, Біткоїн має очолити цей рух. Не існує такого сценарію «фліппінгу», за якого Етеріум міг би сказати: «Наш ланцюг є постквантово-захищеним, і ми не маємо тих проблем, які має Біткоїн». Він каже, що це потягне на дно весь криптопростір, принаймні з точки зору інтернет-грошей як засобу збереження вартості.
Джастін Дрейк: Я не згоден. Ви можете просто поглянути на історичний аналіз — морські черепашки були витіснені сіллю, потім сріблом, потім золотом, а тепер, потенційно, Біткоїн витісняє золото. Те, що золото зазнає невдачі, не означає, що наступна річ також має зазнати невдачі. Я б сказав, що Етеріум є дуже природним наступником Біткоїна як інтернет-грошей. І те, що Біткоїн зазнає невдачі, не означає, що Етеріум також має зазнати невдачі. Я згоден, що може бути певний короткостроковий біль, але ми також говоримо про довгострокову вигоду.
Постквантова можливість та переоцінка бюджету безпеки (1:20:27)
Девід Хоффман: Отже, що ми отримаємо в результаті? 2030 рік, Етеріум є постквантово безпечним, тому що Джастін пообіцяв. Чим стає Етеріум? Чи є він єдиним у своєму класі, чи ви очікуєте, що інші блокчейни підуть за ним і також досягнуть постквантової безпеки? Чи можете ви описати систему, яку ми матимемо у 2030 році, якщо все це здійсниться?
Джастін Дрейк: Одна цікава зміна в моєму мисленні за останні кілька місяців полягає в тому, що я перестав думати про постквантовість як про перешкоду, яку потрібно подолати. Я розглядаю це скоріше як можливість. Це можливість для Етеріуму виділитися як перша глобальна фінансова система, яка є постквантово безпечною — не лише порівняно з конкурентами, такими як Біткоїн, але й порівняно з фіатом та традиційними фінансами (TradFi). Я думаю, що це надіслало б дуже сильний сигнал і стало б дуже природним аргументом з точки зору безпеки для того, щоб світ перейшов на Етеріум.
Це не лише можливість для Етеріуму відзначитися на тлі своїх аналогів, але й можливість для Етеріуму стати найкращою версією самого себе. Це повертає нас до ідеї про те, що перехід до постквантовості по суті є переписуванням, і це величезна можливість почати з чистого аркуша та позбутися технічного боргу.
Один цікавий факт: оригінальний сигнальний ланцюг (OG Beacon Chain) був запущений у 2020 році, а його дизайн був заморожений за рік до того, у 2019 році. Тож коли ми випустимо полегшений сигнальний ланцюг (Lean Beacon Chain) у 2029 році, ми будемо оновлювати те, чому вже 10 років. У крипто 10 років — це вічність. Ми навчилися настільки багато чому, що полегшений сигнальний ланцюг буде дуже відрізнятися від оригінального. Ви можете думати про це як про доказ частки (PoS) 2.0.
Раян Шон Адамс: Ми живемо в дуже цікавий час з точки зору обчислень. Здається, на передовій існують три обчислювальні платформи та парадигми: ШІ, про який знають усі; квантові технології, які зараз, можливо, знаходяться там, де ШІ був у 2018 році; а також крипто та криптографія, прикладом яких є такі блокчейни, як Етеріум та Біткоїн. Здається, ми наближаємося до сингулярності цих трьох речей, де ШІ прискорює розвиток квантових технологій та криптографії, а криптографія стане противагою для деяких векторів централізації ШІ. Що ви думаєте про все це?
Джастін Дрейк: Це дуже важко передбачити, але, як ви сказали, є такий дуже дивний збіг, що 2032 рік, здається, стане роком, коли обчислення в цілому досягнуть сингулярності. Люди говорять про сингулярність ШІ потенційно навіть раніше 2032 року. Існує дуже відома стаття про ШІ у 2027 році. Я не думаю, що ми матимемо надінтелект у 2027 році, але вважаю, що це цілком імовірно до 2032 року.
Ми вже починаємо бачити — буквально вчора Даріо Амодеї, один із першопрохідців ШІ, почав працювати над тим, щоб ШІ рекурсивно та автономно вдосконалював сам себе, що надзвичайно лякає. По суті, це те, що має запустити експоненційне зростання до надінтелекту.
Криза бюджету безпеки Біткоїна та розплата 2032 року (1:25:12)
Ми маємо 2032 рік як потенційний Q-Day (день квантової загрози), і також у 2032 році Біткоїн матиме те, що я вважаю його останнім халвінгом. Ви можете назвати це B-Day — день Біткоїна, коли настане певна розплата, оскільки емісія буде занадто низькою для забезпечення його безпеки.
Через два роки у нас буде один халвінг, а через шість років, у 2032 році, — ще один. Історія безпеки Біткоїна протягом останніх 15–16 років полягала в тому, що комісії за транзакції замінять емісію. Я пропоную вам поглянути на дані — цього просто не відбувається. Сьогодні комісії за транзакції становлять 0.6% від емісії. Тому забудьте про комісії за транзакції.
Ми матимемо експоненційний спад безпеки Біткоїна. Сьогодні безпека Біткоїна забезпечується приблизно 10 гігаватами. І ось вражаюча статистика: щодня Китай розгортає один гігават, переважно сонячної енергії. Тобто 10 днів розгортання в Китаї достатньо, щоб здійснити атаку 51% на Біткоїн.
Девід Хоффман: З точки зору витрат на енергію — того, що захищає Біткоїн — Китай виробляє стільки ж енергії, скільки потрібно для захисту Біткоїна, кожні 10 днів.
Джастін Дрейк: З точки зору споживання електроенергії, Біткоїн споживає 10 гігаватів. Один гігават — це приблизно одна атомна електростанція, тобто 10 атомних електростанцій. Китай розгортає еквівалент атомної електростанції щодня. І це одне з головних вузьких місць. Інше вузьке місце — це обладнання, мільйон установок. Це коштувало б близько $10 мільярдів, що в глобальному масштабі є абсолютною дрібницею, як відносно ринкової капіталізації Біткоїна, так і для зловмисника на рівні держави.
Девід Хоффман: Коли ви так говорите про Біткоїн, це майже змушує мене думати, що ви більше не вважаєте, що Біткоїн має бути в авангарді крипто. Суть у тому, що Біткоїн має недоліки з точки зору бюджету безпеки та квантової перспективи, і після цього Етеріум очолить крипто.
Джастін Дрейк: Я залишаюся оптимістом щодо квантових технологій — зрештою, це технічний виклик, який можна подолати. Більшою проблемою є бюджет безпеки, оскільки це стосується самої ДНК Біткоїна: ліміту у 21 мільйон та доказу виконання роботи (PoW). Я не розумію, як можна поєднати доказ виконання роботи (PoW) та ліміт у 21 мільйон. Вам доведеться відмовитися від чогось одного.
Існує ймовірність, що актив BTC може відокремитися від ланцюга Біткоїна і жити в більш безпечному ланцюзі — наприклад, як токен ERC-20 на Етеріумі. Але якщо сказати ці слова — біткоїнери так не думають.
Девід Хоффман: Ні, не думають.
Джастін Дрейк: А якби я сказав інші слова, наприклад: «Ми просто збираємося скасувати ліміт у 21 мільйон, тому що бюджету безпеки недостатньо», — біткоїнери також так не думають. Вони дуже швидко наближаються до стіни, і 2032 рік — це день розплати.
Збирай зараз, розшифровуй потім — квантові ризики за межами крипто (1:30:09)
Раян Шон Адамс: А як щодо квантових технологій стосовно решти суспільства? Це не лише проблема крипто. Блокчейни є унікально вразливими, але інші складові суспільства також піддаються ризику. Якою мірою постквантовий Етеріум є інструментом для суспільства, щоб вирішувати та запобігати проблемам у постквантовому, пост-ШІ світі?
Джастін Дрейк: Існує, по суті, два різновиди криптографії. Є криптографія в реальному часі, де ви підписуєте повідомлення в реальному часі без суттєвого впливу на минулі дії. Оновлення до постквантових технологій має бути відносно простим для більшої частини інтернету. Є деякі винятки — наприклад, супутники, які вже були розгорнуті і які буквально неможливо оновити.
Також існує інша проблема з шифруванням: якщо матеріали були зашифровані сьогодні, і ви не використовуєте постквантове безпечне шифрування, ці дані можуть бути розшифровані в майбутньому. Існує цілий клас атак під назвою «збирай зараз, розшифровуй потім». Я думаю, цілком реально, що ми зіткнемося з масовими розшифровуваннями в суспільстві — безліч повідомлень у Signal, Telegram або масиви повідомлень у Gmail будуть розшифровані одночасно. Це може мати дуже значний вплив на суспільство.
Етеріум як захисний акселераціонізм та екзистенційний ризик ШІ (1:30:09)
Раян Шон Адамс: Джастіне, коли ми говорили про ці три обчислювальні технології, здається, що найбільше виділяється ШІ. Ти казав, що 2032 рік стане своєрідним моментом появи AGI (штучного загального інтелекту). Одне загальне питання: як надзвичайно талановитий криптограф, ти не є AGI. Занепокоєння полягає в тому, що коли ми увійдемо в обчислювальну сингулярність, усі прогнози втратять сенс. Усі ті ретельно продумані плани, які ми будуємо у 2026 році, щоб наші блокчейни були квантово-стійкими — що, як AGI знайде інший спосіб зламати нашу квантово-стійку криптографію? Як криптограф, чи турбують тебе невідомі змінні штучного загального інтелекту та те, що він може зламати? Що, як ми готові до постквантового світу, але не готові до світу після AGI?
Джастін Дрейк: Щодо криптографії, я досить впевнений у її надійності. Причина в тому, що ви можете математично довести правильність вашої криптографії. Криптографія — це підгалузь математики. Зазвичай ви калібруєте ці складні задачі так, що якби хтось спробував зламати їх обчислювальним шляхом, на це пішло б більше енергії, ніж є у Сонячній системі.
Повертаючись до криптографічних основ, які ми пропонуємо для постквантового Етеріуму — хешів — немає нічого сильнішого за це. Це криптографія з найслабшими припущеннями, на яку тільки можна сподіватися. Це одна з причин, чому я обережно ставлюся до того, щоб закладати основи інтернету цінностей на базі решіток. NIST має два основні різновиди постквантових підписів: на основі хешів та на основі решіток. Криптографія на основі решіток дуже нагадує еліптичні криві — це високоструктуровані об'єкти. Цілком імовірно, що якийсь AGI або навіть ASI (штучний суперінтелект), у тисячі разів розумніший за все людство разом узяте, зможе її зламати. Але щодо хеш-функцій — є підстави вважати, що вони надійні.
Хоча я не надто хвилююся через криптографію, мене турбує дещо набагато глибше. Якщо поглянути ширше, мене все більше турбує екзистенційний ризик для людства. Все більше людей починають розуміти, що Елієзер намагався сказати на подкасті Bankless не так давно.
Я думаю, цілком імовірно, що якщо людство виживе, Етеріум відіграє в цьому ключову роль. Моя метафора полягає в тому, що людство їде в автомобілі зі швидкістю 100 миль на годину. Існує ця пастка Молоха, де великі національні держави, TSMC, Nvidia, OpenAI — усі вони тиснуть на газ. А в автомобілі немає ні гальм, ні паска безпеки, ні подушки безпеки. Сьогодні ми можемо відносно комфортно керувати на швидкості 100 миль на годину. Наступного року буде 200, потім 300. Зрештою ми поїдемо безвідповідально швидко і розіб'ємося.
Робота над Етеріумом набула для мене абсолютно нового сенсу за останні кілька місяців. Здебільшого я ігнорував ШІ, частково тому, що був одержимий блокчейном, але також тому, що ще зовсім недавно це була просто іграшка. Але завдяки моїй роботі, особливо з формальною верифікацією та розробкою
Значення роботи над Етеріумом в епоху ШІ (1:35:08)
і програмуючи, я бачу, наскільки потужними є ці речі. Останні кілька тижнів і місяців я був одержимий ШІ, вивчаючи якомога більше. Я аж ніяк не експерт, і, можливо, це просто фаза, через яку проходять люди, коли відкривають скриньку Пандори. Але для мене робота над Етеріумом тепер повністю зводиться до захисного акселераціонізму.
Я не бачу, щоб інші частини суспільства працювали над гальмівною системою — усі тиснуть на газ. Хороша новина полягає в тому, що Етеріум має багато ідей та інструментів, які могли б надати деякі рішення. З першого дня ми припускаємо наявність зловмисників. З першого дня ми використовуємо такі технології, як криптографія, що розширюють можливості слабких і гарантують, що навіть найсильніші не зможуть зламати певні речі. Ми намагаємося бути джерелом істини, бути децентралізованими, дати людям суверенітет.
Я думаю, цілком можливо, що в найближчі місяці та роки у нас відбудеться своєрідне прозріння, коли суспільство скаже: «Ой, халепа». І початок роботи над захисним акселераціонізмом може стати моральним імперативом. Можливо, деякі з найсвітліших умів природним чином прийдуть до Етеріуму як до потенційного рішення — частини комплексу рішень, які нам потрібні для подолання цієї проблеми.
Раян Шон Адамс: Мені подобається, що ви думаєте про це, і схоже, що ваша робота над Етеріумом надає вам сенсу. У мене є ще одне запитання. Будучи, очевидно, великим шанувальником Етеріуму, я маю одне побоювання: якщо доля ШІ здійсниться, то на певному рівні, так, це технологія захисного акселераціонізму — децентралізована, бездозвільна, яка передає владу малим, а не великим. Але на іншому рівні вона є цифровою. Ми створили систему прав власності, і здається цілком можливим, що якийсь AGI (штучний загальний інтелект) або ASI (штучний надінтелект) зможе використати наш незмінний світовий комп'ютер, який неможливо вимкнути, для речей, яких людство не бажає. Чи не турбує вас на якомусь рівні те, що він просто використає Етеріум — «Гей, людство, дякую за систему прав власності, далі ми самі» — і ви насправді прискорите розвиток технології, яка діє проти людства?
Джастін Дрейк: Я думаю, що це дуже слушне зауваження. Зрештою, Етеріум — це інструмент, який можуть використовувати як люди, так і ШІ. Можливо, це просто спроба втішити себе, але якщо прибрати Етеріум, здається, що в просторі захисного акселераціонізму не так багато інших альтернативних продуктів. Майже все є просто акселераціоністським. Тож так, можливо, Етеріум прискорить деякі речі, але це одна з єдиних надій, які ми маємо на захисний акселераціонізм. Тому я вважаю, що все ще раціонально реалізувати дорожню карту до 2029 року і зробити все можливе, щоб переконатися, що Етеріум буде готовий до епохи штучного надінтелекту.
Раян Шон Адамс: Лише одне останнє запитання, оскільки ми наближаємося до завершення. Це було просто фантастично. Можливо, це особисте запитання, оскільки за останні кілька місяців ви пережили прозріння щодо ШІ. Тепер я помічаю, що ви робите застереження: «якщо людство виживе» — «Етеріум відіграє ключову роль, якщо людство виживе». Мені важко вимовляти ці слова. Реальна ймовірність того, що технологічний акселераціонізм означає, що людство не виживе. Як ви особисто з цим справляєтеся?
Джастін Дрейк: Я сприймаю це досить по-дзенськи. Я досяг того моменту, коли готовий померти. Я прожив дуже щасливе життя.
Заключні думки щодо ймовірності загибелі (1:40:04)
Раян Шон Адамс: Що?
Девід Хоффман: Це нас шокувало.
Раян Шон Адамс: Це не та відповідь, на яку я очікував.
Джастін Дрейк: Я думаю, вам просто потрібно зберігати надію. Вам потрібно відкинути так звану P(doom) — ймовірність загибелі. Моя P(doom) зараз відносно висока. Я думаю, що вона становить понад 50%. Але я не хочу говорити це вголос. Я не хочу...
Раян Шон Адамс: Ви не хочете жити в цьому песимізмі.
Джастін Дрейк: Саме так. Я не хочу зневірюватися і робити своє життя нещасним. І, можливо, що ще важливіше, я не хочу зневірювати інших людей і змушувати їх втрачати надію. Я думаю, що ми повинні робити все можливе з тим, що маємо. Майбутнє вкрай непередбачуване. Хоча моя P(doom) значно зросла за останні кілька тижнів і місяців, це сильне переконання, якого я слабко тримаюся. Я хочу, щоб дуже розумні люди вийшли вперед і сказали мені, чому я не повинен так боятися і бути більш оптимістичним та сповненим надії.
Як я вже казав, я думаю про це буквально тижнями і місяцями. Я лише торкаюся поверхні. Великим тривожним дзвінком для мене став Opus 4.5, коли Еміль сказав мені: "Відтепер ШІ насправді допомагає мені стати більш продуктивним". До цього він у підсумку лише сповільнював його. А те, що ми побачили за останні кілька тижнів, — це ще більш вражаючі результати. Близько місяця тому одна з ключових лем у SNARK на основі хешів — лема Полішейкса-Спілмана — була формально верифікована за 8 годин, що коштувало 200 доларів. Те, що коштувало б у 100 разів дорожче, якби це робила людина, і зайняло б у 100 разів більше часу.
Я також згадував результат рівня Філдсівської премії, де на створення доведення на 500 000 рядків знадобилося лише 5 днів. Цілком очевидно, до чого все йде: усі відомі математичні теореми будуть перевірені та верифіковані ШІ, з виправленням усіх друкарських помилок. Для деякої невеликої підмножини "теорем" ми фактично отримаємо демонстрацію того, що вони неправильні, з контрприкладами. Програмування вже здебільшого вирішено, далі ми вирішимо питання наукового прогресу. Речі стають філософськими надзвичайно швидко — можливо, це тема для іншого епізоду.
Раян Шон Адамс: Я думаю, що це для іншого епізоду. Але це фантастична відповідь. Я ціную ваш підхід до цього з певним рівнем стоїцизму, а потім і суб'єктності — працювати над речами, які мають для вас значення. Ми сподіваємося, якщо людство виживе, зробити з вами ще багато таких подкастів у майбутньому. Завжди раді вам, Джастіне Дрейк. Дуже вам дякую.
Джастін Дрейк: Дякую.