Wpis Udi Wertheimera sprzed kilku tygodni odbił się szerokim echem w mediach kryptowalutowych, zawierając ostre twierdzenie: Lightning Network jest „beznadziejnie uszkodzony" w świecie postkwantowym, a jego deweloperzy nic nie mogą na to poradzić. Nagłówek szybko się rozszedł. Dla firm, które zbudowały prawdziwą infrastrukturę płatniczą na Lightning lub ją oceniają, implikacje były niepokojące.
Zasługuje to na wyważoną odpowiedź.
Wertheimer jest szanowanym deweloperem Bitcoin, a jego podstawowa obawa jest uzasadniona: komputery kwantowe, jeśli kiedykolwiek staną się wystarczająco potężne, stanowią realne długoterminowe wyzwanie dla systemów kryptograficznych, na których opierają się Bitcoin i Lightning. Ta część jest prawdziwa, a społeczność deweloperów Bitcoin już poważnie nad tym pracuje. Ale przedstawienie Lightning jako „beznadziejnie uszkodzonego" bardziej zaciemnia niż ujawnia, a firmy podejmujące decyzje infrastrukturalne zasługują na wyraźniejszy obraz.
W czym Wertheimer miał rację
Kanały Lightning wymagają od uczestników udostępnienia kluczy publicznych swojemu kontrahentowi podczas otwierania kanału płatności. W świecie, w którym istnieją kryptograficznie istotne komputery kwantowe (CRQC), atakujący, który uzyska te klucze publiczne, mógłby teoretycznie użyć algorytmu Shora do wyprowadzenia odpowiadającego klucza prywatnego, a stamtąd ukraść środki.
To jest rzeczywista strukturalna właściwość działania Lightning. Czego nagłówek nie ujawnia
Zagrożenie jest znacznie bardziej szczegółowe i znacznie bardziej warunkowe niż „Twoje saldo Lightning może zostać skradzione".
Po pierwsze, same kanały są chronione przez hash, gdy są otwarte. Transakcje finansowania używają P2WSH (Pay-to-Witness-Script-Hash), co oznacza, że surowe klucze publiczne wewnątrz układu multisig 2-z-2 są ukryte w łańcuchu tak długo, jak długo kanał pozostaje otwarty. Płatności Lightning są również oparte na hashu, kierowane przez HTLC (Hashed Time-Lock Contracts), które polegają na ujawnieniu pierwowzoru hasha, a nie na ujawnionych kluczach publicznych. Kwantowy atakujący pasywnie obserwujący blockchain nie może zobaczyć kluczy, których potrzebuje.
Realistyczne okno ataku jest znacznie węższe: wymuszone zamknięcie. Gdy kanał zostaje zamknięty, a transakcja commitment jest transmitowana w łańcuchu, skrypt blokujący staje się publicznie widoczny po raz pierwszy, w tym local_delayedpubkey, standardowy klucz publiczny krzywej eliptycznej. Z założenia węzeł, który go transmituje, nie może natychmiast odebrać swoich środków: blokada czasowa CSV (CheckSequenceVerify), zwykle 144 bloki (około 24 godzin), musi najpierw wygasnąć.
W scenariuszu postkwantowym atakujący obserwujący mempool mógłby zobaczyć, że transakcja commitment się potwierdza, wyodrębnić teraz ujawniony klucz publiczny, uruchomić algorytm Shora w celu wyprowadzenia klucza prywatnego i spróbować wydać wyjście przed wygaśnięciem blokady czasowej. Wyjścia HTLC przy wymuszonym zamknięciu tworzą dodatkowe okna, niektóre tak krótkie jak 40 bloków, około sześciu do siedmiu godzin.
To jest rzeczywista i konkretna podatność. Ale jest to wyścig z czasem przeciwko atakującemu, który musi aktywnie rozwiązać jeden z najtrudniejszych problemów matematycznych w istnieniu, w ustalonym oknie, dla każdego pojedynczego wyjścia, które chce ukraść. To nie jest pasywne, ciche wyczerpywanie każdego portfela Lightning jednocześnie.
Sprawdzian rzeczywistości sprzętu kwantowego
Oto część, która rzadko trafia do nagłówków: kryptograficznie istotne komputery kwantowe nie istnieją dzisiaj, a przepaść między tym, gdzie jesteśmy, a tym, gdzie musielibyśmy być, jest ogromna.
Złamanie kryptografii krzywej eliptycznej Bitcoin wymaga rozwiązania logarytmu dyskretnego na kluczu 256-bitowym, liczbie o około 78 cyfrach, przy użyciu milionów stabilnych, skorygowanych pod kątem błędów logicznych kubitów działających przez dłuższy okres. Największa liczba kiedykolwiek rozłożona na czynniki przy użyciu algorytmu Shora na rzeczywistym sprzęcie kwantowym to 21 (3 × 7), osiągnięta w 2012 roku ze znaczącą klasyczną pomocą w postprzetwarzaniu. Najnowszym rekordem jest hybrydowe kwantowo-klasyczne rozłożenie na czynniki 90-bitowej liczby RSA, imponujący postęp, ale wciąż około 2⁸³ razy mniejszy niż to, co faktycznie byłoby potrzebne do złamania Bitcoin.
Badania kwantowe Google są realne i warte obserwowania. Harmonogramy omawiane przez poważnych badaczy wahają się od optymistycznych szacunków na koniec lat 2020. do bardziej konserwatywnych prognoz na lata 2030. lub później. Nic z tego nie oznacza „Twoje saldo Lightning jest zagrożone dzisiaj".
Społeczność deweloperska nie siedzi bezczynnie
Przedstawienie Wertheimera, że deweloperzy Lightning są „bezradni", jest również niezgodne z tym, co faktycznie się dzieje. Tylko od grudnia społeczność deweloperów Bitcoin przedstawiła ponad pięć poważnych propozycji postkwantowych: SHRINCS (324-bajtowe stanowe podpisy oparte na hashu), SHRIMPS (podpisy 2,5 KB na wielu urządzeniach, około trzy razy mniejsze niż standard NIST), BIP-360, artykuł Blockstream na temat podpisów opartych na hashu oraz propozycje dla OP_SPHINCS, OP_XMSS i kodów operacyjnych opartych na STARK w tapscript.
Prawidłowe przedstawienie nie polega na tym, że Lightning jest uszkodzony i nie do naprawienia. Chodzi o to, że Lightning, jak cały Bitcoin i jak większość infrastruktury kryptograficznej internetu, wymaga aktualizacji warstwy bazowej, aby stać się odpornym na kwanty, i ta praca jest w toku.
Co to oznacza dla firm budujących na Lightning dzisiaj
Lightning przetwarza dzisiaj rzeczywisty wolumen płatności dla prawdziwych przedsiębiorstw, platform iGaming, giełd kryptowalut, neobankówi dostawców usług płatniczych przenoszących pieniądze na całym świecie za ułamki centa z natychmiastową finalizacją. Pytanie, które firmy powinny zadawać, nie brzmi, czy porzucić Lightning na podstawie teoretycznego przyszłego zagrożenia, ale czy zespoły budujące infrastrukturę Lightning zwracają uwagę na to, co nadchodzi i odpowiednio planują.
Odpowiedź, oparta na wolumenie i jakości badań postkwantowych zachodzących teraz w społeczności deweloperów Bitcoin, brzmi: tak.
Lightning Network nie jest beznadziejnie uszkodzony. Stoi przed tym samym długoterminowym wyzwaniem kryptograficznym co cały cyfrowy system finansowy i ma społeczność deweloperską aktywnie pracującą nad jego rozwiązaniem. To jest inna historia niż ta, którą opowiedział nagłówek.
Źródło: https://www.coindesk.com/opinion/2026/04/18/the-lightning-network-isn-t-helplessly-broken
