the year 2035 as when we can expect quantum computers to reliablybe able to break current mainstream cryptographic protocols such asRSA2048 and ECDSA. These two key facts make these concerns timelyand pressing.Within most blockchain technologies, PoW underpins the protocols’consensus algorithm and because the consensus algorithm determineswhich transactions and actions performed on the network are inte-grated into the chain. This gives a quantum actor a potentially muchstronger ability to control the decision-making in the blockchain. Froma cybersecurity perspective, when one actor (or group of actors) canreliably force all decisions in the blockchain, it is called a ‘51%’attack [9]. In the first part of this paper, we will describe how quantumactors can much more reliably, and with much fewer resources than anyclassical counterpart, perform ‘51%’ attacks.Signature schemes utilized by most major blockchains have beenshown to be vulnerable to quantum attacks [5,6]. Fortunately, thereare quantum-safe or post-quantum digital signature schemes [10–12].These have even been adopted in some blockchains such as QRL [13]and Nexus [14]. On the other hand, there are no known post-quantumPoW systems. As we argue in Section 3, it is quite likely that there neverwill be a post-quantum PoW system.In the second part of this paper, we will consider a much lesssinister, and much more profitable, use of quantum resources. Giventhe quadratic increase in PoW efficiency, one may consider using aquantum computer to ‘mine’ Bitcoin or some other cryptocurrency(mining is the act of performing PoW in order to help the blockchain0Array 15(2022)1002250mmons.org/licenses/by/4.0/)下的开放获取文章。0ScienceDirect提供的内容列表0Array0期刊主页:www.elsevier.com/locate/array0量子计算在工作证明上的优势0丹∙A∙巴德,约瑟夫∙J∙基尔尼,卡洛斯∙A∙佩雷斯-德尔加多�0英国坎特伯雷肯特大学计算机学院CT2 7NF0文章信息0关键词:量子计算区块链 比特币 工作证明0摘要0工作证明(PoW)是大多数主要区块链加密货币背后的基本基础技术。此前已指出,量子设备在比特币的PoW中提供了计算优势。在这里,我们提出这种量子优势不仅适用于所有现有的PoW机制,而且适用于任何可能的PoW。这对于量子攻击整个区块链的完整性以及更合法地使用量子计算来挖掘比特币和其他加密货币具有重大影响。对于前一种情况,我们估计了这些量子攻击何时会变得可行,对于各种加密货币,并讨论了这些攻击的影响。对于后者,我们推导出一个精确的公式来计算切换到基于量子的加密货币矿工的经济激励。利用这个公式,我们分析了几个测试场景,并得出结论,投资于加密货币挖矿的量子硬件有巨大的潜力。01. 引言0区块链系统已经成为现代金融社会的一个重要组成部分,其使用已经超越了价值存储和加密货币的范围,进入更广泛的金融市场[1]。这些系统的核心原则之一是,关于将哪些数据不可变地写入区块链账本,因此将来将成为链状态的永久条目,是由连接到并存储账本信息的节点之间的共识决定的。尽管可以利用几种不同的方法来实现共识[2],但基于工作证明(PoW)的区块链目前占据了超过90%的市场份额[3],包括一些最大的加密货币,如比特币和以太坊。这两个区块链单独就占据了超过1.6万亿美元的市值(截至2021年11月)[4]。这表明,大量的金融资产是由区块链、它们的交易和因此基础共识算法存储和维护的。在本文中,我们专注于区块链的PoW机制。我们展示了量子计算在PoW效率方面具有二次优势;不仅适用于所有现有的协议,而且适用于任何依赖于计算工作的可能的PoW协议。与许多其他加密标准不同,区块链系统本质上将受保护的资产(账本)与使用的加密系统联系在一起。此前已经表明,这使得区块链特别容易受到量子攻击。主要问题是,用‘后量子’协议替换构建区块链的加密协议比用更传统的加密更加困难[5,6]。几个预测的时间表[7,8]将2035年定为我们可以预期量子计算机能够可靠地破解当前主流的加密协议,如RSA2048和ECDSA。这两个关键事实使得这些问题及时而紧迫。在大多数区块链技术中,PoW支撑着协议的共识算法,因为共识算法决定了哪些交易和网络上执行的操作被整合到链中。这使得量子参与者在控制区块链的决策方面可能拥有更强大的能力。从网络安全的角度来看,当一个参与者(或一组参与者)能够可靠地强制区块链中的所有决策时,这被称为‘51%’攻击[9]。在本文的第一部分中,我们将描述量子参与者如何比任何经典对手更可靠地、并且用更少的资源执行‘51%’攻击。大多数主要区块链使用的签名方案已经显示出对量子攻击的脆弱性[5,6]。幸运的是,有量子安全或‘后量子’数字签名方案[10-12]。这些方案甚至已经被一些区块链采纳,如QRL[13]和Nexus[14]。另一方面,没有已知的后量子PoW系统。正如我们在第3节中所讨论的,很可能永远不会有后量子PoW系统。在本文的第二部分中,我们将考虑量子资源的一个更少邪恶、更有利可图的用途。考虑到PoW效率的二次增加,一个人可能会考虑使用量子计算机来‘挖’比特币或其他一些加密货币(挖矿是执行PoW以帮助区块链)。0� 通讯作者。邮箱地址:d.a.bard@kent.ac.uk(D.A.巴德),jjk30@kent.ac.uk(J.J.基尔尼),c.perez@kent.ac.uk(C.A.佩雷斯-德尔加多)。0https://doi.org/10.1016/j.array.2022.1002252021年12月6日收到;2021年12月31日修订后收到;2022年7月3日接受2𝑇 𝐶𝑉 ≪ 𝑇 𝐶𝑆.(1)0Array 15 (2022) 1002250D.A.巴德等0达成共识)。执行此任务通常涉及向“矿工”经济报酬。量子加密货币矿工可能需要较少的时钟周期,消耗的能量要少得多,并且散发的热量要少得多,以便挖掘与经典计算机对应的同等数量的加密货币。当然,这是否使这项努力变得有利可图将取决于这种量子设备的初始成本和运营成本。我们将在第4节中探讨这些问题。0然而,首先,在下一节中,我们将讨论PoW,因为它0今天被理解,最后给出了允许我们进行严格的数学分析的PoW的正式定义。然后,我们从第一原理推导出PoW的量子优势。在第3节中,我们讨论了这种优势如何在对抗情况下使用,即在针对加密货币的网络攻击中。在第4节中,我们转而讨论了量子优势在非对抗目的中的使用,即挖掘加密货币。在这一部分-再次从第一原理出发-我们推导出一组方程,这些方程允许我们计算加密货币矿工在从(经典)ASIC矿工转向量子硬件时可以期望的潜在利润。然后,我们使用这些方程进行一系列预测,使用最佳可用数据。最后,我们总结了结果,并讨论了PoW的未来展望。02.工作证明0区块链技术中的共识算法至关重要0协议的运行和PoW是最常用的机制。它用于确保矿工遵守区块链协议的规则[15]。它被Satoshi Nakamoto [16,17]改编为区块链上的共识机制。PoW被广泛使用,部分原因是由于比特币技术和代码库在大量后续项目中的使用,但也因为它是确保挖矿节点良性的高度安全机制,并且它很适合分布式网络。0区块链共识采用最长链的概念。0最长的链通常是网络中大多数人认为是区块链状态的有效链。虽然矿工可以轻松创建恶意区块并将其添加到网络中,但大多数节点不会接受它,因为网络上的其他对等方将拒绝该区块并选择备用的建议区块,因此将恶意区块排除在最长的链之外。如果恶意用户控制了网络的大多数计算能力,他们可能会通过比网络的其余部分更快地添加区块来压倒这种共识机制,这意味着他们一直拥有最长的链。这意味着用户可以控制每个区块中包含的内容。这被称为“51%”攻击,是对区块链完整性最具破坏性的威胁。0在基于PoW的系统中,建议新区块的用户必须执行一个0计算密集型任务。此任务的成功完成必须由网络上的其他用户轻松验证。矿工必须耗费大量资源-通常是计算工作及其相关成本,如电力和热量。这为矿工带来了一个沉没成本,如果他们提出的区块是恶意的或格式错误的,这些成本将会丢失。0比特币PoW算法采用了一个NP-Complete问题0目标是基于给定的输入字符串创建哈希摘要[18]。需要以特定形式呈现此哈希摘要。此形式由目标值(范围为[0,2256]的某个整数)决定,比特币矿工必须计算具有等于或小于目标值的哈希摘要。目标值由区块链网络的难度值确定,该值根据网络的整体计算能力而改变,由网络的当前哈币率确定(导致最终目标值在[0,(2 256 -难度)]范围内)。在比特币中,难度值根据网络上的当前计算能力每2016个区块[15]更改一次,以保持区块时间0约为10分钟。虽然这个例子来自比特币,但这适用于任何利用PoW的网络。0哈希是使用区块头计算的,对于0特定的区块和一个nonce,矿工会反复更改nonce,以创建不同的哈希摘要,希望找到符合区块要求的摘要。正如前面所述,这个问题是NP-完全的。已知的解决PoW的最佳经典算法与难度的大小呈指数级增长(而难度又受到哈希本身大小的限制)。0重要的是要注意,虽然基于哈希的PoW使用了NP-0完全问题,这并不一定是必须的。然而,任何PoW机制必须保证:0显然,任何NP-完全问题都将满足上述等式。0然而,更一般地,任何PoW算法必须满足以下要求:0定义(工作证明)。如果一个计算问题满足以下两个要求,则可以将其视为PoW问题01. 问题的计算复杂度必须满足0方程(102. 问题的难度必须可以很容易地通过一个可调整的0参数。0要求1已在上文中解释。要求2是0对于区块链网络的持续健康来说,这是一个重要的要求。随着矿工的计算能力增加,需要重新调整这个参数,以保持PoW对于恶意矿工的有效威慑。0在接下来的部分中,我们将探讨量子计算的优势0在这里描述的PoW中获得量子优势。然后,我们将探讨量子攻击对区块链网络的网络安全威胁。最后,我们将分析利用这种量子优势进行更高效的加密货币挖矿的可能性和可能的利润。03. PoW的量子优势0在讨论计算任务的量子优势时,经常引用两种主要类型的量子搜索算法。0最常被引用的算法主要有两种类型。第一种是基于Shor的开创性工作[19]的子群查找算法。这些类型的算法在包括因子分解和离散对数在内的问题上提供了指数级的优势。尽管这只是一小部分问题,但它涵盖了密码领域的大部分范围。另一种类型是基于Grover算法[20,21]的量子搜索算法。虽然量子搜索算法相对于经典算法提供了更为适度的二次优势,但它们的广泛适用性使它们非常灵活,并且是我们讨论的核心。0量子搜索算法,顾名思义,允许一个0搜索任何(包括未排序和非结构化的)基数为 � = | � | 的数据集�,以查找满足某些条件的特定项目,或者是某个子集 � � �的元素。在量子算法中,这个条件被指定为一个黑盒或者叫做oracle�,它接受一个包含 � ∈ � 的元素和一个辅助量子位,如果 � ∈ � 则设置为1,否则设置为 0。这个算法的重要性在于它的总运行时间为 �(√0�),并且运行时间为0将查询发送到 �。这0oracle可以被一个量子电路或子程序 � 替代,该电路或子程序计算 �是否满足所需条件,或者是子集 � 的元素。30Array 15(2022)1002250D.A. Bard等人0图1. 比特币网络哈希率 vs.单个量子计算机。该图显示了比特币网络整体的哈希率随时间的增长,与单个量子计算机的增长进行了比较。未来的数据点是根据当前哈希率进行外推,并假定量子和经典技术的增长速度符合当前摩尔定律的趋势。有关更多详细信息,请参见正文。0特别是,可以考虑一个NP-完全的决策问题�。让�是其输入集,并且���是解集。鉴于问题属于NP,存在一个有效(多项式时间)算法�,可以计算在输入�时,�∈�。这反过来意味着量子搜索算法可以在总时间�(√02�),其中�是比特输入大小。因为�是NP-难的,没有(已知的)经典算法可以在时间上显着优于�(2�)。现在应该清楚为什么量子搜索算法对于任何关于PoW的量子优势的讨论至关重要。正如前面讨论的那样,今天大多数PoW系统要求矿工找到预定字符串的SHA-x哈希,其值低于某个特定值。这个问题是NP-完全的。因此,一个具有足够大的内存寄存器以在必要的哈希大小上运行格罗弗算法的量子计算机,将能够比任何经典设备(包括专门构建的ASIC)获得二次优势。为了说明这一点,我们可以考虑一个玩具示例,其中经典蛮力搜索算法的运行时间恰好是2�,而量子搜索算法的运行时间恰好是√02�。在输入大小�=2时,量子算法只比经典算法快两倍。在输入大小�=256时,量子算法将运行3.4×10^38倍快。将这与ASIC芯片进行更现实的分析。在SHA-256哈希上运行量子搜索算法(假设没有纠错)大约需要512量子比特。主要量子计算机制造商的估计预测,这样的量子计算机将在2023年可用[22]。根据今天报告的量子计算机时钟速度[23](除非有重大改进),我们可以预期每秒执行4×10^7次计算,使用格罗弗算法,这导致每秒计算1.6×10^15个哈希(H/s)。0图1绘制了比特币网络哈希率,使用最新值130×10^18 H/s[24],与从40MHz开始的量子计算技术进行比较,并且两者随着时间以摩尔定律规定的相同速度增长。这给出了一个估计的时间框架,大约需要27年,直到单个量子计算机能够完全超越网络的其余部分,并因此能够完全控制它(成功的51%攻击)。然而,这种预测可能过于保守,原因有几个。首先,我们考虑了0量子计算机和经典计算机的时钟速率相同。实际上,众所周知,经典计算机处于摩尔定律的[25]逻辑曲线增长率的尾端[26]。与此同时,我们可以预期处于萌芽阶段的量子计算机将超越这种增长率[27]。此外,这种比较是在比特币网络上进行的,该网络拥有迄今为止所有区块链中最大的哈希算力[28]。其他规模相对较小的区块链网络会比这里建议的更快受到威胁。例如,如果蒙罗币(每秒1.28吉哈希(GH/s))[29]或以太经典(每秒23.11太哈希(TH/s))[30]等区块链的网络哈希率在未来几年内没有改善,我们可以预期它们在大约2023年左右会容易受到量子51%攻击的威胁[22]。简而言之,量子计算机不仅为当前PoW系统提供了渐近二次效率增加,对于任何可能的PoW系统也是如此。与提供挖掘加密货币速度增加的定制ASIC芯片相比,量子计算机也提供了速度增加,但是受到了恒定因子速度增加的限制。这导致单个量子计算机能够在可预见的未来对加密货币网络发动毁灭性攻击。当然,这种“单个量子计算机”攻击只对由经典矿工组成的加密货币网络有效。如果加密货币的相当一部分矿工转向量子硬件,这将保护整个网络免受量子51%攻击。在下一节中,我们将探讨基于量子技术进行PoW的加密货币挖掘的合法用途。正如我们将看到的那样,个别加密货币矿工投资并采用量子技术也可能存在明确的利润动机。04. 量子加密货币挖矿的盈利能力0在之前的章节中,我们研究了量子主导的51%攻击对区块链网络构成的网络安全威胁。这些攻击,虽然在时间上基本上是不可避免的,但对于比特币等较大的加密货币来说,时间上还有些遥远。原因在于,要成功发动攻击,量子计算机必须具有与整个网络相结合的PoW计算能力一样多(或更多)。在这里,我们将研究使用量子计算机合法挖掘比特币等加密货币的可行性。为了有效和有利可图地做到这一点,量子计算机不必比整个网络更强大,它只需要比单个经典矿工更有效(以资源成本每个区块被网络批准)。因此,我们可以预期在加密货币挖矿领域,量子霸权将比之前讨论的51%量子攻击可行性的日期要早得多。我们首先将建立一个通用方程,用于计算量子辅助加密货币挖矿的潜在盈利能力。然后,我们将把这个方程应用到各种可信的场景中,并给出近期盈利能力的估计。04.1. 盈利能力计算0在本节中,我们将建立一个方程,来计算在经典设备或量子设备上进行挖矿哪个更有利可图。在进行这种计算时需要考虑的主要因素是任何设备在区块链上挖矿的收入。这是基于在生成新区块所需的时间内挖掘区块的概率。这个确切的值在不同的区块链中有所不同,在比特币中平均每600秒生成一个新区块[ 31],在以太坊中大约每15秒生成一个新区块[ 32]。然而,这个值可以被概括,因为区块生成和挖矿特定区块的概率在所有基于PoW的区块链中都是相同的。这个区块时间由特定区块链的难度和区块链架构定义的比特哈希大小控制[ 33]。这个时间定期更改,以保持一致的区块时间,因此,在较长的时间尺度上,生成新区块所需的时间可以根据区块链的不同而平均。基于这些值和任何经典矿工的给定哈希率,我们可以说挖掘区块的概率定义为:4D.A. Bard et al.𝑃𝐶 = 𝐻𝐶𝑡(2),(3)𝑃𝑄 =𝑡2𝐷(4)𝐼𝐶 = 𝑓𝑇 ⋅ 𝑃𝐶𝐵,(5)𝐼𝑄 = 𝑓𝑇 ⋅ 𝑃𝑄𝐵,(6)𝑅𝐶 = 𝐼𝐶 − (𝑇 ⋅ 𝑂𝐶) − 𝑆𝐶,(7)𝑅𝑄 = 𝐼𝑄 − (𝑇 ⋅ 𝑂𝑄) − 𝑆𝑄,(8)𝐺 = 𝑅𝐶𝑅𝑄.(9)𝐺 =𝑓𝑇 ⋅ 𝐻𝐶𝑡𝜂𝐷 ⋅ 𝐵− (𝑇 ⋅ 𝑂𝐶) − 𝑆𝐶𝑓𝑇 ⋅𝐻𝑄𝑡𝜂𝐷 ⋅ 𝐵− (𝑇 ⋅ 𝑂𝑄) − 𝑆𝑄(10)0Array 15 (2022) 1002250区块生成和挖掘特定区块的概率在所有基于PoW的区块链中都是相同的。这个区块时间由特定区块链的难度和区块链架构定义的比特哈希大小控制[ 33]。这个时间定期更改,以保持一致的区块时间,因此,在较长的时间尺度上,生成新区块所需的时间可以根据区块链的不同而平均。基于这些值和任何考虑的经典矿工的给定哈希率,我们可以说挖掘区块的概率定义为:0�� �0其中 � � 是经典设备挖掘区块的概率,� � 是经典设备的哈希率, � 是区块时间, �是区块链网络的难度, � 是哈希大小。0(2)的分母是计算总网络哈希的计算0任何一个网络的挖矿速率。然后可以简化为:0� � = � � � 20从任何一个设备的哈希率除以总网络哈希率得出[ 24 ]。正如在第 2 和第 3节中讨论的,由于区块链技术利用NP-Hard问题进行PoW,并且 �确定了这些问题的复杂性, �是可以应用效率的二次增长的价值。由于这个优势,可以根据给定等效哈希率定义任何量子设备上挖掘区块的概率为:0� √0其中 � � 是量子设备挖掘区块的概率, � � 是该设备的等效哈希率。0这些概率在任何给定的运行时间内都会发生-0然后可以用于计算所述时间跨度内任何给定区块链的总收入,考虑到转换为法定货币,定义为函数 �。由于加密货币和现实世界法定货币之间的精确转换可能有所不同,这已被抽象为单个函数。每个挖掘的区块获得的确切奖励是另一个根据所考虑的加密货币和运营期间的持续时间而变化的元素。在进行盈利能力计算时,这需要仔细考虑,因为对于某些加密货币,区块奖励可能会在任何特定加密货币的寿命内发生变化。例如,比特币每挖掘210,000个区块减半一次,这意味着尽管最初每个挖掘的区块奖励为50比特币(BTC)[34],但当前价值为6.25BTC。预计该奖励将在大约2140年接近0 [35]。0考虑这些因素,给定时间跨度内的总收入0经典矿工的时间跨度收入可以计算如下:0其中,� � 是经典矿工在时间跨度 � 上的收入,�是考虑的区块链的区块奖励。对于量子矿工,以下成立:0其中,� � 是量子矿工在 � 上的收入。0在此基础上,我们可以引入任何特定设备的初始成本0设备,以计算在 �上运行该设备变得有利可图的点。一旦这个值变得大于0,那么在区块链网络上运行矿工就被认为是有利可图的。正如在第2节中讨论的那样,矿工需要消耗能量(以计算形式)来确保各方诚实。这在这里被视为操作0任何给定设备的成本。由此,可以确定经典矿工的利润回报:0其中,� � 是利润,� � 是运营成本,� �是经典设备的设置成本。量子矿工的利润计算如下:0其中,� � 是利润,� � 是运营成本,� � 是量子设备的设置成本。0从这两个方程中,我们可以计算出利润比率(�):0上述方程特别重要:� = 1 是拐点0量子和经典技术同样可行的点。小于1的 �值意味着所讨论的量子矿工比经典矿工更有利可图,即使考虑了计算中考虑的初始投资成本。0方程(9)可以通过使用先前的方程进行扩展:0上述方程有许多实际用途。首先,它允许一个0以‘插入’各种已知值,如研发和其他必要的初始投资,以启动量子加密货币挖矿操作,以及经典和量子挖矿的运行成本,并决定是否投资于量子挖矿能够收回成本。它还可以用于估计量子加密货币挖矿可以成为盈利企业的时间范围,就像我们在下面所做的那样。0一个重要的事实需要强调的是,方程(9)考虑了0进一步引入量子计算机到网络中。这是因为难度在区块链的协议级别被定义为一种机制,以确保区块时间保持在一定范围内。例如,比特币区块链的难度操作是,如果一段时间内的区块时间超过或低于10分钟,工作量证明问题的难度将被校正,以使区块时间恢复到预先定义的理想时间。这意味着引入量子计算机到网络中实际上会减少区块时间,因为它们比传统同行具有二次优势。比特币协议将因此增加工作量证明算法的难度。这将在我们的方程中考虑进去。将量子计算机引入到挖矿生态系统中可能会导致难度大幅增加。这意味着这里提出的方程将考虑到新的量子计算机挖矿网络,因为它们的加入将影响难度。0上述内容有各种重要原因,但特别重要的是0是第一搬迁者与第二搬迁者的优势。作为第一搬迁者,也就是第一个进入市场(在这种情况下是使用量子矿工)具有明显的优势,对企业家和投资者特别感兴趣。潜在投资者普遍关注的一个问题是,做出巨额投资,却最终迟到了市场,可能会破坏投资回报前景。正如我们将在本文的最后一部分讨论的那样,量子挖矿具有一个奇特的特性,即拥有更多量子挖矿“竞争对手”的情况下,对于一个人来说进行量子挖矿可能会变得更加有利可图。04.2. 情景和预测0使用之前推导出的方程,我们可以分析一些可能的0近期情景。总体目标将是确定基于量子的加密货币挖矿的盈利能力。加密货币5𝐻𝑄 (MHz/s)𝑓 (USD)𝑂𝑄4023,536.126258.274010,385.492761.514031,000.008242.9240100,000.0026,590.0664023,536.12100,132.2864010,385.4944,184.1264031,000.00131,886.68640100,000.00425,440.900Array 15 (2022) 1002250D.A. Bard等0将用于本次调查的加密货币将是比特币,因为它目前是市场价值最高的区块链[4]。这将利用方程(10)的分母来执行,可以这样形式化目标:0�0� 0� √0� � �0− ( � � � � ) − � � > 0 (11)0总可能性的点0在整个时间段内,�的可盈利性大于0。因此,当为真时,在量子矿工上挖掘比特币是有利可图的。0对于我们的案例分析情景,让我们考虑使用云量子0IBM[36]等公司已经宣布推出以盈利为目的的基于云的量子计算服务。这是一个自然的情景,因为在不久的将来,大多数量子计算可能涉及基于云的服务[37,38]。这种情景还具有复合优势:它消除了对初始投资的需求,而是要求潜在的矿工支付从云提供商租用量子CPU时间的滚动成本。在这个分析中,它将允许我们将 � � = 0。0接下来,让我们考虑一个时间框架。根据设定的路线图0IBM预计到2023年左右,将推出一台可以在比特币哈希函数上运行量子搜索算法的量子计算机[22]。为了保守起见,我们认为2025年是量子计算机可以在基于哈希的工作量证明上运行量子搜索的估计“零年”,因此在需要给定日期时,将使用01/01/2025。0我们的方程中还有进一步的变量。这些是�=600 s,�=232[15,16]和�=3.125BTC[34,39]。作为区块链架构的一个额外部分,难度是为了使区块时间保持相对恒定而在每210,000个区块中计算和调整的。为了为这种情况提供一个难度,我们绘制了历史难度,然后使用最佳拟合的多项式曲线对我们给定的日期进行了外推。这提供了一个难度为�=4.2903×1018。尽管对比特币难度的未来存在不同的看法[40],但这与当前趋势相匹配。0比特币的价值一直呈总体增长趋势0然而,由于加密货币的波动性质,无法做出单一的预测。因此,表1中显示的数值将考虑各种BTC对USD的转换率,包括当前价格(截至2020年12月17日为$23,536.12)[4],过去12个月的平均价格(取自2020年01月01日至2020年12月17日的平均收盘价,为$10,385.49),预测的保守价格($31,000)和预测的高端价格($100,000)。0分配给方程的最后一个元素是哈希率0量子计算机的等效物。随着量子计算机的发展,哈希功率将如何增加是未知的。因此,我们考虑了两种可能性。在第一种情况下,我们取(其中之一)谷歌当前量子计算机的时钟速度为��=40MHz∕s[23],并在整个时间内保持该值恒定。在第二种更为可能的情况下,我们根据摩尔定律增加量子计算机的时钟速度。经过四个加倍周期,我们得到了时钟速度为��=640 MHz∕s。0表1汇总了各种情景的计算结果。从这些结果中,可以找到最佳情况,当��=0640MHz∕s和市场转换结果为�=$100,000。在这种情况下,只要量子设备的运营成本(即供应商收取的量子云CPU时间)低于��=$425,440.90一年,量子矿工仍然能够盈利。04.3.引入量子PoW技术的影响0最后,在图2中呈现了一个级联的“良性循环”,将0引入量子计算机到基于PoW的区块链网络将传播。当它们变得有利可图时,这将会发生0表1:该表显示了量子比特币矿工在一年内以美元计算的收入,与指定的量子计算机时钟速度(第一列)和法定货币转换(第二列)相关。在第三列中,��用��=1(美元)计算。0与经典替代方案相比,根据等式(10),首先,将量子计算机引入基于PoW的区块链,如讨论的那样,将因此增加整个网络的哈希率,从而缩短网络计算一个区块的平均时间。根据区块链的协议,这将导致增加PoW的难度参数,以便重新校准区块时间到规定值。0增加PoW的难度参数已被证明0巩固量子计算机作为矿工的二次优势。这一优势意味着将更有动力投资于量子挖矿技术,因为与其经典对手相比的利润率将增加。这种更大的激励将再次增加网络上量子矿工的数量,从而缩短区块时间并相应增加PoW的难度。这在量子计算技术内部创造了一个循环,最终,量子计算技术将完全取代经典矿工,因为后者不再具有成本效益。0这种级联效应对网络本身也有安全益处0一旦大多数(大约)矿工是量子矿工,网络本身就变得不易受到仅基于量子优势的51%攻击的影响。虽然从技术上讲,可能会发动这样的攻击,但这样的攻击只能通过使用其他方法(如矿工勾结)而不是仅仅利用量子优势来成功。0随着时间的推移,PoW的增加难度参数将导致0使得经典矿工变得过时。随着难度的增加,PoW问题对于经典设备和量子设备来说都会变得指数级更难。然而,随着时间的推移,对于经典矿工的影响是二次的,比对量子矿工的影响更糟糕。最终,这将导致所有量子矿工比经典矿工更具成本效益(无论其初始设置成本如何)。05. 讨论0量子计算相对于经典计算具有明显的优势0用于计算区块链PoW的量子计算。正如我们在第3节中所看到的,这种量子优势可以被对手利用,试图进行所谓的51%攻击,对加密货币进行攻击。然而,这些类型的攻击可能在相当遥远的未来才会出现。0另一方面,几乎不可能会有一种0对于PoW来说,需要一种量子安全的哈希替代方案。哈希为基础的PoW不仅容易受到量子优势的影响,其他众所周知的PoW系统,比如Zcash使用的基于生日悖论的计算问题[41]也是如此。0我们的安全分析在数学上与以前的一致0Cojocaru等人对比特币量子安全性的分析[42]。作者在那里得出结论,比特币可以在量子对手的攻击下变得安全,但前提是对这些量子对手的计算能力设定强大的限制——这从来不是一个安全的假设。60数组15(2022)1002250D.A. Bard等人0图2.增加PoW网络上的量子优势的自我传播循环。将量子矿工添加到加密货币网络中会增加网络的哈希率。增加的哈希率将提高难度参数。增加的难度参数会增加相对量子优势。这反过来又增加了量子挖矿的盈利能力,从而激励引入更多的量子矿工。0此外,几乎不可能推导出任何PoW系统,该系统是不容易受到某种量子优势的影响的0不容易受到某种量子优势的影响。这是因为PoW的定义要求问题的解决方案难以计算(以确保矿工需要为他们的PoW做有意义的工作),同时又相对容易验证(以确保任何第三方都可以验证已经执行了工作)。而这正是量子搜索算法在经典算法上具有明显优势的问题类型。0这意味着一旦存在可以攻击的量子计算机0以这种方式影响网络,几乎没有什么可以保护区块链网络免受这些攻击。这并没有阻止一些研究人员研究抗量子的PoW系统。0一种建议是将PoW的方法从哈希切换为另一个计算上困难的问题0将另一个计算上困难的问题(如基于点阵的PoW方案[43]或涉及多变量二次函数的方案[44,45])转换成函数。这些方案确实可能减少量子优势,但不能消除它。Grover算法已经被证明在解决点阵问题中提供了比已知的最佳经典算法更快的速度[46]。0完全地,并完全转移到另一种共识机制-比如空间证明[47]、权益证明[48-50]、顺序工作证明[51]或其他替代方案[52]。所有这些共识系统与PoW以及彼此都有足够的不同,因此它们都需要进行自己的后量子安全性分析。这里提出的工作集中在PoW上,因为它如今在用户数量和使用它的加密货币的市值方面都是迄今为止最广泛部署的。0另一个可能的途径是放弃区块链中PoW的使用0加密货币从ASIC矿工转移到量子矿工。在第4节中,我们讨论了这种可能性。我们表明,使用量子计算挖掘加密货币可以迅速成为有利可图的建议。在第4.1节中,我们给出了一个精确的公式0另一个保障机制是将整个0这将取决于诸如0允许计算量子计算用于PoW的潜在利润。0考虑如何有利可图0作为量子计算机的运行成本,以及建立一个量子计算机的初始成本。如果选择使用云量子计算,后者的成本可以被消除。我们计算了2025年使用预测的可用云量子计算来挖掘比特币的精确收入,跨年期间的收入预计在44184.12美元至425440.90美元之间,取决于使用最保守或最乐观的参数。这个变量是基于比特币的兑换率和当时量子设备的确切哈希能力。这是否有利可图将取决于当时量子云CPU时间的收费。安全的远程量子计算协议的存在,如盲量子计算[53],意味着客户可以安全地使用云量子服务器来挖掘比特币或其他加密货币,而不受服务器的任何干扰。简而言之,这显示了未来几十年量子计算资源非常可能有利可图的用途。正如图2所示,并在第4.3节中更一般地描述,将量子计算机引入挖矿生态系统将使后续使用量子计算机比使用经典计算机更有利可图,而后者随着时间的推移将变得不那么有利可图。06. 结论0最后,我们介绍了引入数学机制的必要性-0理解引入量子PoW技术对加密货币生态系统的影响是必要的,这些生态系统被恶意和非恶意的参与者使用。明显的下一步是将我们在这里所做的分析扩展到本工作范围之外的其他区块链共识机制。0另一个明显的下一步是采取我们在这里开发的工作,0以及现实世界的经济数据,并将两者结合起来创建准确的预测模型。可以开发几种有用的预测模型,以帮助制定投资策略,例如投资于量子技术、加密货币投资者和矿工的套期保值策略等。我们在这里做了一些简单的预测,在第4.3节中。这些简单的模型主要是为了展示我们引入的数学机制的力量,并希望激励它们用于创建更准确、更强大的预测模型。70Array 15 (2022) 1002250D.A. Bard等人。0我们非常简单的模型已经表明了一个趋势:我们预计在未来几十年内,所有基于PoW的加密货币挖矿都将转移到量子平台。0CRediT作者贡献声明0Dan A. Bard:验证,形式分析,调查,写作0–原始草案,写作-审查和编辑。Joseph J.Kearney:验证,形式分析,调查,写作-原始草案,写作-审查和编辑。Carlos A.Perez-Delgado:概念化,方法论,调查,写作-原始草案,写作-审查和编辑,监督,资金获取。0竞争利益声明0作者声明他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作。0竞争利益声明0致谢0作者们要感谢EPSRC的资助。0英国量子通信中心(EP/T001011/1)和Casper协会学术资助计划的资助。作者还要感谢Joanna I. Ziembicka在准备本手稿期间的有用评论。0参考文献0[1]Crosby M, Pattanayak P, Verma S, Kalyanaraman V等。区块链技术:0超越比特币。Appl Innov 2016;2(6–10):71。0[2]Bach LM, Mihaljevic B, Zagar M。区块链的比较分析0感知算法。在:2018年第41届国际信息与通信技术、电子和微电子大会(MIPRO)。2018。0[3]Anand A, McKibbin M, Pichel F。有色硬币:比特币,区块链和土地0管理。在:年度世界银行土地与贫困会议。2016。0[4]加密货币价格,图表和市值。2021, URL https://0coinmarketcap.com/,访问日期:2021年4月15日。0[5]Aggarwal D, Brennen GK, Lee T, Santha M, Tomamichel M。量子攻击0比特币及其防护方法。2017, arXiv预印本arXiv:1710.10377。0[6]
我的内容管理
展开
