En Resumen
- Vitalik Buterin identificó cuatro áreas vulnerables ante la computación cuántica en Ethereum y propuso reemplazarlas con criptografía basada en hash y STARKs.
- La Ethereum Foundation lanzó un equipo Post-Cuántico en enero y publicó un plan de siete bifurcaciones para blindar la red hasta 2029.
- Verificar una firma resistente a la computación cuántica costaría hasta 200.000 gas, frente a los 3.000 actuales, según detalló Buterin.
El cofundador de Ethereum, Vitalik Buterin, pidió el jueves una amplia reforma de los fundamentos criptográficos de la red, advirtiendo que los avances en computación cuántica podrían comprometer partes esenciales del protocolo, al tiempo que presentó un plan de múltiples etapas para reemplazarlos.
En una publicación en X, Buterin identificó cuatro áreas vulnerables: las firmas BLS de la capa de consenso, las herramientas de disponibilidad de datos conocidas como compromisos KZG, el esquema de firma ECDSA utilizado por las cuentas de usuarios estándar, y los sistemas de prueba de conocimiento cero usados por aplicaciones y redes de Capa 2.
Explicó que cada una podría abordarse paso a paso con soluciones específicas en cada capa del protocolo. "Algo importante previo a esto es elegir la función hash", escribió Buterin. "Esta podría ser 'la última función hash de Ethereum', por lo que es importante elegir con cuidado".
La publicación llega en un momento en que la Ethereum Foundation elevó la seguridad post-cuántica a una prioridad máxima.
Las computadoras cuánticas representan una amenaza para Ethereum, Bitcoin y la industria cripto en general, ya que eventualmente podrían romper la criptografía de clave pública que protege las billeteras y firma las transacciones, permitiendo a los atacantes derivar claves privadas a partir de claves públicas expuestas y mover fondos.
Para hacer frente a este problema, la Ethereum Foundation lanzó en enero un equipo Post-Cuántico dedicado y, a principios de este mes, publicó un plan de siete hard forks, denominado "Strawmap", que integraría firmas resistentes a la computación cuántica y criptografía compatible con STARK en el diseño de consenso de la red hasta 2029.
En la capa de consenso, Buterin propuso reemplazar las firmas BLS —las pruebas criptográficas que los validadores utilizan para aprobar bloques— por alternativas basadas en hash, que los investigadores consideran más resistentes a los ataques cuánticos. También sugirió usar STARKs, un tipo de prueba de conocimiento cero, para comprimir múltiples firmas de validadores en una sola certificación.
En cuanto a la disponibilidad de datos, Buterin advirtió que habría concesiones. Ethereum depende de los compromisos KZG para verificar que los datos de los bloques estén correctamente estructurados y disponibles. Los STARKs podrían cumplir la misma función, pero carecen de una propiedad matemática llamada linealidad que permite el muestreo bidimensional de disponibilidad de datos.
"Esto está bien, pero la logística se complica si se quiere admitir la selección distribuida de blobs", escribió Buterin.
Las cuentas de usuarios y los sistemas de prueba enfrentan aumentos significativos en costos bajo la criptografía resistente a la computación cuántica. Verificar la firma ECDSA actual cuesta alrededor de 3.000 gas, mientras que una firma resistente a la computación cuántica basada en hash costaría aproximadamente 200.000 gas.
La diferencia es aún mayor para las pruebas: un ZK-SNARK cuesta entre 300.000 y 500.000 gas para verificarse, en comparación con aproximadamente 10 millones de gas para un STARK resistente a la computación cuántica —un costo demasiado elevado para la mayoría de las aplicaciones de privacidad y de Capa 2.
"La solución nuevamente es la agregación de firmas y pruebas recursivas a nivel de protocolo", afirmó Buterin, señalando la Propuesta de Mejora de Ethereum 8141.
Bajo la EIP-8141, cada transacción incluiría un "marco de validación" que puede ser reemplazado por un STARK que verifique su correcta ejecución. Todos los marcos de validación de un bloque podrían entonces agregarse en una sola prueba, manteniendo la huella on-chain reducida incluso cuando las firmas individuales crezcan.
Buterin indicó que el paso de generación de pruebas podría ocurrir en la capa del mempool en lugar de durante la producción de bloques, con nodos que propaguen transacciones válidas cada 500 milisegundos junto con una prueba de validez.
"Es manejable, pero hay mucho trabajo de ingeniería por hacer", agregó.