Quantum Event Horizon: 이더리움 네트워크의 암호학적 취약점
Source: Dev.to
이더리움에 대한 양자 위협
양자 컴퓨팅과 블록체인의 교차점은 상당한 암호학적 도전을 제시합니다. 이더리움이 수천억 달러에 달하는 디지털 자산을 보호하고 있는 만큼, 고전적인 Elliptic Curve Cryptography (ECC) 에 대한 의존은 계량 가능한 위험을 내포하고 있습니다.
최근 이 위험에 대해 많은 논쟁이 있었으며—종종 격렬하게—논의되고 있습니다.
첫 번째 기사에서는 Cryptographically Relevant Quantum Computers (CRQCs) 가 이더리움 생태계에 제기하는 위협을 살펴봅니다.
이더리움이 취약한 이유
- EOA 보안 – 이더리움은 secp256k1 곡선을 이용해 외부 소유 계정(EOA)을 보호하기 위해 이산 로그 문제의 계산적 난이도에 의존합니다.
- 합의 보안 – 지분 증명(PoS) 합의 메커니즘은 집계 서명을 위해 BLS12‑381 곡선을 사용합니다.
고전 컴퓨터와 달리 양자 알고리즘은 이산 로그 문제를 다항 시간 안에 해결할 수 있습니다.
양자 계산 기본
- Shor 알고리즘은 숨은 부분군 문제에 대해 지수적인 속도 향상을 제공합니다. 고전 알고리즘이 타원곡선 이산 로그 문제(ECDLP)를 해결하는 데 지수 시간이 필요하지만, Shor 알고리즘은 이를 다항 시간으로 감소시킵니다.
- 위협을 예측하는 핵심 지표는 secp256k1을 깨는 데 필요한 논리 큐비트 수(오류 정정된 단위)입니다. 최근 연구에 따르면 최소 523개의 논리 큐비트가 필요하다고 합니다. 보수적인 모델조차 2,500개의 논리 큐비트를 추정하며, 이는 2030년 초까지 1,000개 이상의 논리 큐비트를 갖춘 시스템을 예측하는 하드웨어 로드맵과 비교했을 때 우려스러운 일정입니다.
긴급성: 양자 기술 개발은 가속화되고 있지만, 분산 프로토콜을 업그레이드하려면 사회적 합의, 표준화, 사용자 마이그레이션이 필요합니다. 하드웨어 역량이 마이그레이션 일정을 앞서면, 이더리움은 방어가 완전히 배치되기 전에 네트워크가 취약해지는 “가로채기” 시나리오에 직면하게 됩니다.
취약점이 존재하는 위치
| Layer | Vulnerability |
|---|---|
| Execution | Ethereum 주소는 공개키의 해시입니다. 한 번도 트랜잭션을 전송한 적이 없는 주소는 공개키가 공개되지 않기 때문에 양자 안전합니다. 트랜잭션이 서명되어 브로드캐스트되면 공개키가 체인에 기록됩니다. 양자 공격자는 노출된 공개키를 수집해 해당 개인키를 유도할 수 있습니다. 이는 프로토콜 금고와 주소를 재사용하는 초기 채택자와 같은 고가치 대상에 위협이 됩니다. |
| Consensus | PoS는 BLS 서명을 그 집계 특성 때문에 활용하여 수천 개의 검증인 어태스테이션을 동시에 검증할 수 있습니다. BLS 스킴에 대한 양자 공격이 성공하면 공격자는 어태스테이션을 위조하고, 벌칙 없이 이중 서명을 수행하며, 최종성을 훼손할 수 있습니다. |
| Migration | 사용자가 자금을 양자‑안전 지갑으로 이동시키기 위해 트랜잭션을 브로드캐스트하면, 공개키가 메모풀에 노출됩니다. 양자 공격자는 이를 통해 개인키를 유도하고, 더 높은 가스 수수료를 가진 경쟁 트랜잭션을 브로드캐스트하여 마이그레이션 트랜잭션이 처리되기 전에 자금을 탈취할 수 있습니다. (이 위험은 시리즈 최종 기사에서 더 자세히 다룰 예정입니다.) |
Post‑Quantum Cryptography (PQC) Candidates
To mitigate these risks, Ethereum must transition to PQC standards finalised by NIST in 2024. Below are the primary candidates and their trade‑offs.
| Feature | ECDSA (Current) | ML‑DSA (formerly Dilithium) | SLH‑DSA (formerly SPHINCS+) | STARK Proofs |
|---|---|---|---|---|
| Problem | Discrete Logarithm | Module Lattices | Hash Functions | Hash Functions |
| Quantum Resistance | Broken | Strong | Very Strong | Very Strong |
| Public Key Size | 33 bytes | 1,952 bytes | 32‑64 bytes | N/A (Hashed) |
| Signature Size | 65 bytes | 3,309 bytes | ~8 KB ‑ 30 KB | Tiny (Aggregated) |
| Gas Cost | Low | High | Prohibitive | High (Fixed Cost) |
Observations
- Defensive downgrade: PQC migration increases costs without immediate functional benefits.
- Gas limit pressure: Ethereum’s block gas limit constrains throughput. The ~50‑fold increase in signature size required by ML‑DSA would dramatically raise the base cost of transactions due to calldata pricing.
- State bloat: Larger public keys increase the size of the Ethereum state, demanding more hardware from node operators and potentially driving centralisation.
Migration Pathways
Account Abstraction (ERC‑4337)
Account Abstraction은 자산을 보유하는 주소와 서명 방식을 분리하여 Smart Contract Wallets가 검증 로직을 업그레이드할 수 있게 합니다. 이는 원활한 PQC 전환에 필수적입니다.
“Freeze and Recover” Strategy (in case of a sudden quantum breakthrough)
- Rollback – 공격 이전 상태로 체인을 되돌립니다.
- Freeze – 프로토콜이 모든 EOA 트랜잭션을 거부하도록 합니다.
- Recovery – 사용자는 시드 구문에 대한 ZK‑proofs(양자 보안 해시된 상태)를 통해 소유권을 증명합니다.
Risks:
- 상당한 거버넌스 도전 과제가 존재하며, 하드 포크를 조정하는 데 시간이 걸리는 동안 시장이 파국적인 혼란을 겪을 수 있습니다.
- 언제 롤백할지에 대한 정치적 결정은 네트워크의 불변성에 대한 신뢰를 약화시킬 수 있습니다.
전망
이더리움에 대한 양자 위협은 현실이며 가속화되고 있습니다. secp256k1을 깨는 실용적인 CRQC의 시기가 불확실하지만, 하드웨어 발전과 프로토콜 마이그레이션 사이의 격차는 줄어들고 있습니다.
사전 예방적이고 커뮤니티‑주도적인 포스트‑양자 원시 연산으로의 마이그레이션—Account Abstraction을 활용하고 잘 설계된 거버넌스 메커니즘을 적용하는—은 양자 시대에 이더리움의 보안과 탈중앙화를 유지하는 데 필수적입니다.
다음 기사에서는 마이그레이션‑트랜잭션 공격 벡터와 구체적인 완화 전략에 대해 더 깊이 살펴볼 예정이니 기대해 주세요.
DAO 하드포크 논란
- DAO 하드포크와 관련된 논란을 기억하십시오.
Quantum‑Era Threat to secp256k1
- secp256k1의 취약점은 약 523개의 논리 큐비트를 가진 양자 컴퓨터에 대해 2030년대 초반에 위험이 발생할 가능성을 제시합니다.
비상 프로토콜
- 비상 프로토콜이 존재하지만, 이는 심각한 경제적 혼란을 초래할 것입니다.
지속 가능한 미래 경로
- 지속 가능한 경로는 Account Abstraction 및 ML‑DSA signatures의 적극적인 채택을 포함합니다.
- 이 전환은 네트워크 경제를 근본적으로 변화시켜, 포스트‑양자 보안을 위해 필요한 데이터 오버헤드를 흡수하기 위해 Layer 2 scaling에 의존해야 합니다.