Lightning Network no está "irremediablemente rota"

Una publicación de Udi Wertheimer hace unas semanas apareció en los titulares de los medios criptográficos con una afirmación cruda: Lightning Network está "irremediablemente rota" en un mundo poscuántico, y sus desarrolladores no pueden hacer nada al respecto. El titular viajó rápido. Para las empresas que han construido una infraestructura de pago real en Lightning o que la están evaluando, las implicaciones fueron inquietantes.

Merece una respuesta mesurada.

Wertheimer es un respetado desarrollador de Bitcoin, y su preocupación subyacente es legítima: las computadoras cuánticas, si alguna vez llegan a ser lo suficientemente poderosas, plantean un verdadero desafío a largo plazo para los sistemas criptográficos de los que dependen Bitcoin y Lightning. Esa parte es cierta y la comunidad de desarrollo de Bitcoin ya está trabajando seriamente en ello. Pero enmarcar a Lightning como "irremediablemente roto" oscurece más de lo que revela, y las empresas que toman decisiones de infraestructura merecen una imagen más clara.

En qué acertó Wertheimer

Los canales Lightning requieren que los participantes compartan claves públicas con su contraparte al abrir un canal de pago. En un mundo donde existen computadoras cuánticas criptográficamente relevantes (CRQC), un atacante que obtenga esas claves públicas podría teóricamente usar el algoritmo de Shor para derivar la clave privada correspondiente y, a partir de ahí, robar fondos.

Esta es una propiedad estructural real de cómo funciona Lightning. Lo que el titular omite

La amenaza es mucho más específica y mucho más condicional que "pueden robarle el saldo de Lightning".

En primer lugar, los propios canales están protegidos por un hash mientras están abiertos. Las transacciones de financiación utilizan P2WSH (Pay-to-Witness-Script-Hash), lo que significa que las claves públicas sin procesar dentro del acuerdo multifirma 2 de 2 están ocultas en la cadena mientras el canal permanezca abierto. Los pagos Lightning también se basan en hash y se enrutan a través de HTLC (Contratos de bloqueo de tiempo hash), que se basan en la revelación de imágenes previas de hash en lugar de claves públicas expuestas. Un atacante cuántico que observa pasivamente la cadena de bloques no puede ver las claves que necesitaría.

La ventana de ataque realista es mucho más estrecha: un cierre forzado. Cuando se cierra un canal y se transmite una transacción de compromiso en la cadena, el script de bloqueo se vuelve públicamente visible por primera vez, incluida local_delayedpubkey, una clave pública estándar de curva elíptica. Por diseño, el nodo que lo transmite no puede reclamar sus fondos de inmediato: primero debe expirar un bloqueo de tiempo CSV (CheckSequenceVerify), generalmente de 144 bloques (aproximadamente 24 horas).

En un escenario poscuántico, un atacante que observe el mempool podría ver que se confirma una transacción de compromiso, extraer la clave pública ahora expuesta, ejecutar el algoritmo de Shor para derivar la clave privada e intentar gastar el resultado antes de que expire el bloqueo de tiempo. Las salidas HTLC con cierre forzado crean ventanas adicionales, algunas de tan solo 40 bloques, aproximadamente de seis a siete horas.

Esta es una vulnerabilidad real y específica. Pero es una carrera cronometrada contra un atacante que debe resolver activamente uno de los problemas matemáticos más difíciles que existen, dentro de una ventana fija, para cada resultado individual que quiere robar. No es un drenaje pasivo y silencioso de todas las billeteras Lightning simultáneamente.

La verificación de la realidad del hardware cuántico

Aquí está la parte que rara vez aparece en los titulares: las computadoras cuánticas criptográficamente relevantes no existen hoy en día, y la brecha entre dónde estamos y dónde deberíamos estar es enorme.

Romper la criptografía de curva elíptica de Bitcoin requiere resolver el logaritmo discreto en una clave de 256 bits, un número de aproximadamente 78 dígitos, utilizando millones de qubits lógicos estables y con corrección de errores que se ejecutan durante un período prolongado. El número más grande jamás factorizado utilizando el algoritmo de Shor en hardware cuántico real es 21 (3 × 7), logrado en 2012 con importantes ayudas de posprocesamiento clásico. El récord más reciente es una factorización híbrida cuántica-clásica de un número RSA de 90 bits, un progreso impresionante, pero aún aproximadamente 2⁸³ veces más pequeño de lo que realmente se necesitaría para romper Bitcoin.

La investigación cuántica de Google es real y vale la pena verla. Los cronogramas discutidos por investigadores serios van desde estimaciones optimistas para finales de la década de 2020 hasta proyecciones más conservadoras para la década de 2030 o más allá. Nada de eso es "su saldo Lightning está en riesgo hoy".

La comunidad de desarrollo no se queda quieta

La formulación de Wertheimer de que los desarrolladores de Lightning están "indefensos" tampoco está en sintonía con lo que realmente está sucediendo. Solo desde diciembre, la comunidad de desarrollo de Bitcoin ha producido más de cinco propuestas poscuánticas serias: SHRINCS (firmas basadas en hash con estado de 324 bytes), SHRIMPS (firmas de 2,5 KB en múltiples dispositivos, aproximadamente tres veces más pequeñas que el estándar NIST), BIP-360, el documento de firmas basadas en hash de Blockstream y propuestas para códigos de operación basados ​​en OP_SPHINCS, OP_XMSS y STARK en tapscript.

El encuadre correcto no es que Lightning esté roto y no pueda repararse. Es que Lightning, como todo Bitcoin, y como la mayoría de la infraestructura criptográfica de Internet, requiere una actualización de la capa base para volverse resistente a los cuánticos, y t