Kuantum saldırısı bir Bitcoin anahtarını kırdı. Endişelenmeli miyiz?

Son birkaç yılımı piyasanın ETF girişlerine ve Fed'in faiz indirip indirmeyeceğine takıntılı olduğu haberleri izleyerek geçirdim ama teknik bir olay yaşandı ki bu, her uzun vadeli yatırımcının durup düşünmesini gerektirir. Bir araştırmacı, kuantum bilgisayar kullanarak 15 bitlik bir eliptik eğri anahtarını kırmayı başardı. Şimdi, hemen panik yapıp elinizdeki her şeyi satmadan önce şunu netleştirelim: 15 bit, Bitcoin'in kullandığı 256 bitlik güvenliğin yanında küçücük bir parça. Ama burada önemli olan prensip. Artık kuantum bilgisayarların şifrelemeyi kırıp kıramayacağını değil, ne zaman kıracağını konuşuyoruz. Eğer kripto paralar için kuantum dirençli cüzdanlar arıyorsanız, sektörün donanım hızına yetişmeye çalıştığını göreceksiniz.

Aslında ne oldu?

Araştırmacı, küçük bir eliptik eğri anahtarı için ayrık logaritma problemini çözmek amacıyla bir kuantum işlemci kullandı. Basitçe anlatmak gerekirse, bir kamu anahtarıyla eşleşen özel anahtarı buldular. Bitcoin, Eliptik Eğri Dijital İmza Algoritması'nı (ECDSA) kullanır. Bu matematiğin tüm amacı, tek yönlü işlemin kolay (özel anahtardan kamu anahtarına gitmek), tersine gitmenin ise neredeyse imkansız olmasıdır.

Shor algoritmasını kullanan bir kuantum bilgisayar bu matematiği değiştiriyor. Özel anahtarı, herhangi bir klasik bilgisayarın yapabileceğinden kat kat daha hızlı bulabiliyor. 15 bitlik bir anahtarı kırmak sadece bir "kavram kanıtlama" olsa da, teorik tehdidin artık fiziksel bir gerçek olduğunu onaylıyor.

Bu durum BTC'niz için neden sorun?

Çoğumuz, bir tohum kelime grubuna (seed phrase) sahip olduğumuz için coinlerimizin güvende olduğunu düşünüyoruz. Ancak açık, tohum kelimelerinizde değil, kamu anahtarınızda.

Bitcoin'de iki tip adres var. Birincisi, siz harcama yapana kadar kamu anahtarınızın gizli kaldığı "hashlenmiş" adresler. Bunlar şimdilik nispeten güvenli. Diğeri ise kamu anahtarının ağ tarafından zaten bilindiği "tekrar kullanılan" adresler veya eski P2PK adresleri. Eğer bir kuantum bilgisayar kamu anahtarını görüp özel anahtarı türetebilirse, o adreslerde duran tüm fonlar aslında gitmiş demektir.

2019'dan beri bu piyasayı takip ediyorum ve beni en çok endişelendiren şey "şimdi topla, sonra çöz" stratejisi. Devlet destekli aktörler, bugün şifreli verileri kaydedip kuantum donanımları yeterince güçlendiğinde bunları açacakları günü bekliyor olabilirler. Özellikle Türkiye'de enflasyona karşı korunmak için Bitcoin'e yönelen ve varlıklarını yıllarca dokunmadan saklayanlar için bu risk, uzun vadede görmezden gelinemez.

Kuantum direncini aramak

Kripto paralar için kuantum dirençli cüzdanlar konusunda ne olduğunu merak ediyorsanız, dürüst cevap şu: henüz oraya varmadık. Bugün kullandığımız çoğu donanım cüzdan sizi uzaktan hacklenmelerden ve oltalama saldırılarından korur ama blokzincirinin temel matematiğini değiştirmez.

Anahtarlarınızı çevrimdışında tutmak için hala donanım cüzdanı kullanmanızı öneririm ama bir Ledger'ın, ağın kendisine yapılan kuantum düzeyinde bir saldırıya karşı sihirli bir kalkan olmadığını anlamanız gerekir. Örneğin, E Ink ekranı ve işlem kontrol teknolojisi sayesinde DeFi dolandırıcılıklarını imzalamadan önce kolayca fark edebildiğim için Ledger Stax kullanıyorum. Mevcut tehditler için harika bir araç ama hala kuantum bilgisayarların hedef aldığı aynı ECDSA matematiğini kullanıyor.

Sırada ne var?

Piyasanın çökeceğini söylemiyorum ama iki şeyi takip ediyorum. İlk olarak, Bitcoin için "kuantum dirençli" bir soft fork önerisi bekliyorum. Bu, Lamport imzaları veya diğer post-kuantum kriptografi yöntemleri gibi yeni imza şemalarına geçmeyi gerektirecek.

İkincisi, "uyuyan" coinleri izliyorum. Ağın ilk günlerinden kalma, eski adreslerde duran milyonlarca BTC var. Bir kuantum saldırısı olursa, ilk hedefler bu coinler olacak. Eğer 15 yıldır kıpırdamayan bir Satoshi dönemi cüzdanından aniden devasa bir hareket görürsek, bu uyanan bir balina olmayabilir. Bir kuantum bilgisayar olabilir.

Şu an yapabileceğiniz en iyi şey, adresleri tekrar kullanmayı bırakmak. Her işlem için yeni bir adres oluşturduğunuzda, kamu anahtarınızı gizli tutarak kendinize bir koruma katmanı ekliyorsunuz. Küçük bir alışkanlık gibi görünebilir ama matematiğin değiştiği bir dünyada, geliştiriciler kalıcı bir çözüm bulana kadar sahip olduğumuz tek gerçek savunma bu.