the year 2035 as when we can expect quantum computers to reliablybe able to break current mainstream cryptographic protocols such asRSA2048 and ECDSA. These two key facts make these concerns timelyand pressing.Within most blockchain technologies, PoW underpins the protocols’consensus algorithm and because the consensus algorithm determineswhich transactions and actions performed on the network are inte-grated into the chain. This gives a quantum actor a potentially muchstronger ability to control the decision-making in the blockchain. Froma cybersecurity perspective, when one actor (or group of actors) canreliably force all decisions in the blockchain, it is called a ‘51%’attack [9]. In the first part of this paper, we will describe how quantumactors can much more reliably, and with much fewer resources than anyclassical counterpart, perform ‘51%’ attacks.Signature schemes utilized by most major blockchains have beenshown to be vulnerable to quantum attacks [5,6]. Fortunately, thereare quantum-safe or post-quantum digital signature schemes [10–12].These have even been adopted in some blockchains such as QRL [13]and Nexus [14]. On the other hand, there are no known post-quantumPoW systems. As we argue in Section 3, it is quite likely that there neverwill be a post-quantum PoW system.In the second part of this paper, we will consider a much lesssinister, and much more profitable, use of quantum resources. Giventhe quadratic increase in PoW efficiency, one may consider using aquantum computer to ‘mine’ Bitcoin or some other cryptocurrency(mining is the act of performing PoW in order to help the blockchain0数组15(2022)1002250tp://creativecommons.org/licenses/by/4.0/)。0ScienceDirect提供的内容列表0数组0期刊主页:www.elsevier.com/locate/array0工作证明的量子优势0丹∙A∙巴德,约瑟夫∙J∙基尔尼,卡洛斯∙A∙佩雷斯-德尔加多�0英国坎特伯雷肯特大学计算机学院CT2 7NF0文章信息0关键词:量子计算区块链 比特币 工作证明0摘要0工作证明(PoW)是大多数主要区块链加密货币背后的基本基础技术。先前已指出,量子设备在比特币的PoW中提供了计算优势。在这里,我们提出这种量子优势不仅适用于所有现有的PoW机制,而且适用于任何可能的PoW。这对于量子攻击整个区块链的完整性以及更合法地使用量子计算来挖掘比特币和其他加密货币具有重要影响。对于前一种情况,我们估计了这些量子攻击何时会变得可行,对于各种加密货币,并讨论了这些攻击的影响。对于后者,我们推导出一个精确的公式来计算切换到基于量子的加密货币矿工的经济激励。利用这个公式,我们分析了几种测试场景,并得出结论,投资于加密货币挖掘的量子硬件有巨大的潜力。01.引言0区块链系统已经成为现代金融社会的一个重要组成部分,其使用已经超越了价值存储和加密货币的范围,扩展到更广泛的金融市场[1]。这些系统的核心原则之一是,关于哪些数据被不可变地写入区块链的分类账,因此哪些数据成为链的状态的永久条目,是由连接到并存储分类账信息的节点之间的共识决定的。尽管可以利用几种不同的方法来实现共识[2],但工作证明(PoW)支持的区块链目前占据了超过90%的当前市场份额[3],包括一些最大的加密货币,如比特币和以太坊。这两个区块链单独就占据了超过1.6万亿美元的市值(截至2021年11月)[4]。这表明,大量的金融资产由区块链、它们的交易和因此基础共识算法存储和维护。在本文中,我们专注于区块链的PoW机制。我们展示了量子计算机在PoW效率方面具有二次优势;不仅适用于所有现有的协议,而且适用于任何依赖于计算工作的可能的PoW协议。与许多其他加密标准不同,区块链系统本质上将受保护的资产(分类账)与使用的加密系统联系在一起。先前已经表明,这使得区块链特别容易受到量子攻击的影响。主要的问题是,用‘后量子’协议替换构建区块链的加密协议比用更传统的加密更难[5,6]。几个预测的时间表[7,8]将2035年确定为我们可以期望量子计算机能够可靠地破解当前主流加密协议(如RSA2048和ECDSA)的时间。这两个关键事实使得这些担忧及时和紧迫。在大多数区块链技术中,PoW支撑着协议的共识算法,因为共识算法决定了哪些交易和在网络上执行的操作被整合到链中。这使得量子参与者在控制区块链的决策方面可能拥有更强大的能力。从网络安全的角度来看,当一个参与者(或一组参与者)能够可靠地强制区块链中的所有决策时,这被称为‘51%’攻击[9]。在本文的第一部分中,我们将描述量子参与者如何比任何经典对手更可靠地、并且用更少的资源执行‘51%’攻击。大多数主要区块链使用的签名方案已经显示对量子攻击是脆弱的[5,6]。幸运的是,有量子安全或‘后量子’数字签名方案[10-12]。这些方案甚至已经被一些区块链采用,如QRL[13]和Nexus[14]。另一方面,没有已知的后量子PoW系统。正如我们在第3节中所讨论的,很可能永远不会有后量子PoW系统。在本文的第二部分中,我们将考虑量子资源的一个更少邪恶、更有利可图的用途。考虑到PoW效率的二次增加,一个人可能考虑使用量子计算机来‘挖’比特币或其他一些加密货币(挖矿是执行PoW以帮助区块链的0� 通讯作者。电子邮件地址:d.a.bard@kent.ac.uk(D.A.巴德),jjk30@kent.ac.uk(J.J.基尔尼),c.perez@kent.ac.uk(C.A.佩雷斯-德尔加多)。0https://doi.org/10.1016/j.array.2022.1002252021年12月6日收到;2021年12月31日修订后收到;2022年7月3日接受2𝑇 𝐶𝑉 ≪ 𝑇 𝐶𝑆.(1)0Array 15 (2022) 1002250D.A. Bard等0达成共识)。执行此任务通常需要向‘矿工’经济报酬。量子加密货币矿工可能需要较少的时钟周期、更少的能量和更少的热量,以挖掘与经典计算机对应的同等数量的加密货币。当然,这是否会使这项努力变得有利可图将取决于这种量子设备的初始成本和运营成本。我们在第4节中探讨了这些问题。0然而,首先,在下一节中,我们将讨论PoW0今天理解的PoW,最后给出了一个正式的PoW定义,使我们能够进行严格的数学分析。然后我们从第一原理推导出PoW的量子优势。在第3节中,我们讨论了这种优势如何在对抗性情况下使用,即在针对加密货币的网络攻击中。在第4节中,我们转而讨论了量子优势在非对抗性目的中的使用,即挖掘加密货币。在本节中,我们再次从第一原理出发,推导出一组方程,使我们能够计算出矿工从(经典的)ASIC矿工转向量子硬件时可以期望的潜在利润。然后,我们使用这些方程进行一系列预测,使用最佳可用数据。最后,我们总结了结果,并讨论了PoW的未来展望。02. 工作证明0区块链技术中的共识算法至关重要0协议的运行和PoW是最常用的机制。它用于确保矿工根据区块链协议的规则诚实行事[15]。它被SatoshiNakamoto[16,17]改编为区块链上的共识机制。PoW被广泛使用,部分原因是由于比特币技术和代码库在大量后续项目中的使用,另一部分原因是它是一种确保挖矿节点良性的高度安全机制,并且它非常适合分布式网络。0区块链共识采用最长链的概念。0最长的链通常是网络中大多数人认为是区块链状态的有效链。虽然矿工可以轻易地创建恶意区块并将其添加到网络中,但大多数节点将不接受它,因为网络上的其他对等方将拒绝该区块并选择备用的提议区块,因此将恶意区块排除在最长的链之外。如果恶意用户控制了网络大多数的计算能力,他们可能会通过比网络的其他部分更快地添加区块来压倒这种共识机制,这意味着他们一直拥有最长的链。这意味着用户可能会整体控制每个区块中包含的内容。这被称为‘51%’攻击,是对区块链完整性最具破坏性的威胁。0在基于PoW的系统中,提出新区块的用户必须执行0计算密集型任务。此任务的成功完成必须由网络上的其他用户轻松验证。矿工必须投入大量资源,通常是计算工作及其相关成本,如电力和热量。这为矿工带来了沉没成本,如果他们提出的区块是恶意的或格式错误的,这些成本将会丢失。0比特币PoW算法采用了一个NP-Complete问题,0目标是基于给定的输入字符串创建一个哈希摘要[18]。此哈希摘要需要以特定形式存在。这种形式由目标值决定(范围为[0,2256]的某个整数),比特币矿工必须计算具有等于或小于目标值的哈希摘要。目标值由区块链网络的难度值确定,该值根据网络的整体计算能力而改变,由网络的当前哈希率确定(导致最终目标值在[0,(2256−难度)]的范围内)。在比特币中,难度值根据网络上的当前计算能力每2016个区块更改一次[15],以保持区块时间0约10分钟。虽然这个例子是从比特币中提取的,但这适用于任何使用PoW的网络。0哈希是使用区块头计算的,对于0一个特定的区块,和一个nonce,矿工会反复更改nonce,以创建不同的哈希摘要,希望找到符合区块要求的摘要。正如前面所述,这个问题是NP-完全的。已知的用于解决PoW的最佳经典算法会随着难度的增加呈指数级增长(而难度又受到哈希大小的限制)。0需要注意的是,虽然基于哈希的PoW使用了一个NP-0完全问题,这并不一定是必须的。然而,任何PoW机制必须保证:0显然,任何NP-完全问题都会满足上面的等式。0然而,更一般地,任何PoW算法必须满足以下要求:0定义(工作证明)。如果一个计算问题满足以下两个要求,那么它可以被视为一个PoW问题01. 问题的计算复杂度必须满足0方程(102. 问题的难度必须很容易地与一个参数进行调节0参数。0要求1已经在上面解释过了。要求2是0对于区块链网络的持续健康来说,这是一个重要的要求。随着矿工的计算能力增加,需要重新调整这个参数,以保持PoW对恶意矿工的有效威慑。0在接下来的部分中,我们将探讨量子计算的优势0在这里描述的PoW中获得量子优势。然后,我们将探讨量子攻击对区块链网络的网络安全威胁。最后,我们将分析使用这种量子优势进行更高效的加密货币挖矿的可能性和可能的利润。03. PoW的量子优势0在讨论计算任务的量子优势时,经常引用的是两种0最常被引用的算法主要有两种。第一种是基于Shor的开创性工作[ 19]的子群查找算法。这些类型的算法在包括因子分解和离散对数在内的问题上提供了指数级的优势。尽管这只是一个相对较小的问题集,但它涵盖了密码领域的大部分范围。另一种类型是基于Grover算法[ 20 , 21]的量子搜索算法。虽然量子搜索算法相对于经典算法提供了更为适度的二次优势,但它们非常广泛的适用性使它们非常灵活,并且是我们讨论的核心。0量子搜索算法,正如其名称所示,允许一个0搜索任何(包括未排序和非结构化的)基数为 � = | � | 的数据集 �,以便找到满足某些条件的特定项目,或者是某个子集 � � �的元素。在量子算法中,这个条件被指定为一个黑盒或者叫做oracle �,它接受一个包含 � ∈ � 元素的寄存器和一个辅助量子位,如果 � ∈ � 则设置为 1 ,否则设置为 0 。这个算法的重要性在于它的总运行时间为 � ( √0� ) ,并且运行时间为 0� ) 查询到 � . 这个0oracle可以被替换为一个计算是否 � 满足所需条件或者是子集 �的元素的量子电路或子程序 � 。30Array 15(2022)1002250D.A. Bard等0图1. 比特币网络哈希率 vs.单个量子计算机。该图显示了比特币网络整体的哈希率随时间的增长,与单个量子计算机的增长进行了比较。未来的数据点是根据当前哈希率进行外推,并假设量子和经典技术的增长速度符合当前摩尔定律的趋势。有关更多详细信息,请参阅正文。0特别是,可以考虑一个NP-完全的决策问题�。让�是其输入集,���是解集。鉴于该问属于NP,存在一个高效(多项式时间)的算法�,可以计算在输入�时,�∈�。这反过来意味着量子搜索算法可以在总时间�(√02�),其中�是输入大小(以位为单位)。因为�是NP-难的,没有(已知的)经典算法可以在时间上远远优于�(2�)。现在应该清楚了为什么量子搜索算法对于任何关于PoW的量子优势的讨论至关重要。正如之前讨论的那样,今天的大多数PoW系统要求矿工找到预定字符串的SHA-x哈希,其值低于某个特定值。这个问题是NP-完全的。因此,一个量子计算机的内存寄存器足够大,可以在所需的哈希大小上运行格罗弗算法,将能够比任何经典设备(包括专门设计的ASIC)获得二次优势。为了说明这一点,我们可以考虑一个玩具例子,其中经典的蛮力搜索算法的运行时间恰好是2�,而量子搜索算法的运行时间恰好是√02�。在输入大小�=2时,量子算法只比经典算法快两倍。在输入大小�=256时,量子算法的运行速度将快3.4×10^38倍。将这与ASIC芯片进行更现实的分析。在SHA-256哈希上运行量子搜索算法(假设没有纠错)大约需要512量子位。主要量子计算机制造商的估计预测,这种量子计算机将在2023年面世[22]。根据今天报告的量子计算机时钟速度[23](除非有重大改进),因此我们可以预期每秒执行4×10^7次计算,使用格罗弗算法,这将导致每秒计算1.6×10^15个哈希(H/s)。0图1绘制了比特币网络哈希率,使用最新值130×10^18 H/s [24],并将其与从40MHz开始的量子计算技术进行比较,两者都以摩尔定律规定的相同速度随时间增长。这给出了一个估计的时间框架,大约需要27年,直到单个量子计算机能够完全超越网络的其余部分,从而能够完全控制它(成功的51%攻击)。然而,这种预测可能过于保守,原因有几个。首先,我们考虑了0量子计算机和经典计算机的时钟速率相同。实际上,众所周知,经典计算机处于摩尔定律的[25]逻辑曲线增长速度的尾端[26]。与此同时,我们可以预期处于萌芽阶段的量子计算机将超越这种增长速度[27]。此外,这种比较是在比特币网络上进行的,该网络拥有迄今为止所有区块链中最大的哈希算力[28]。其他规模较小的区块链网络会比这里建议的更快受到威胁。例如,如果蒙罗币(每秒1.28吉哈希(GH/s))[29]或以太经典(每秒23.11太哈希(TH/s))[30]等区块链的网络哈希率在未来几年内没有改善,我们可以预期它们将很快受到量子51%攻击的威胁,因为预计到2023年左右将会有足够量子内存的量子计算机出现[22]。简而言之,量子计算机不仅为当前PoW系统提供了渐近二次效率增加,对于任何可能的PoW系统也是如此。将此与提供挖掘加密货币速度增加的定制ASIC芯片进行比较,后者只能提供恒定因子的速度增加。这导致单个量子计算机能够在可预见的未来对加密货币网络发动毁灭性攻击。当然,这种“单个量子计算机”攻击只对由经典矿工组成的加密货币网络有效。如果加密货币的相当一部分矿工转向量子硬件,这将保护整个网络免受量子51%攻击。在接下来的部分中,我们将探讨量子技术在基于PoW的加密货币挖掘中的合法用途。正如我们将看到的那样,个别加密货币矿工投资并采用量子技术也可能存在明确的利润动机。04.量子加密货币挖掘的盈利性0在之前的章节中,我们研究了量子引领的51%攻击对区块链网络构成的网络安全威胁。这些攻击,虽然在时间上基本上是不可避免的,但至少对于比特币等较大的加密货币来说,时间上还有些遥远。原因在于,要成功攻击,量子计算机必须具有与整个网络相结合的PoW计算能力一样多(或更多)。在这里,我们将研究使用量子计算机合法挖掘比特币等加密货币的可行性。为了有效和有利可图地做到这一点,量子计算机不必比整个网络更强大,它只需要比单个经典矿工更有效(以资源成本每个区块被网络批准)。因此,我们可以预期在加密货币挖掘领域,量子霸权将比之前讨论的51%量子攻击可行性的日期要早得多。我们首先将建立一个通用方程,用于计算量子辅助加密货币挖掘的潜在盈利。然后我们将把这个方程应用到各种可信的场景中,并给出近期盈利的估计。04.1.盈利性计算0在本节中,我们将建立一个方程来计算在经典设备或量子设备上进行挖矿哪个更有利可图。在进行这种计算时需要考虑的主要因素是任何设备在区块链上挖掘区块的收入。这是基于在生成新区块所需的时间内挖掘区块的概率。这个确切的值在不同的区块链中有所不同,在比特币中平均每600秒生成一个新区块[31],在以太坊中大约每15秒生成一个新区块[32]。然而,这个值可以被概括,因为在不同的PoW区块链中,区块生成和挖掘特定区块的概率是相同的。这个区块时间由特定区块链的难度和区块链架构定义的比特哈希大小控制[33]。这个值定期更改以保持一致的区块时间,因此在更大的时间尺度上,生成新区块所需的时间可以根据区块链的不同而平均。基于这些值和任何考虑的经典矿工的给定哈希率,我们可以说挖掘区块的概率被定义为:4𝑃𝐶 = 𝐻𝐶𝑡𝜂𝐷(2)𝑃𝐶 = 𝐻𝐶𝑡2𝜂𝐷 ,(3)𝑃𝑄 =𝐻𝑄𝑡2𝜂𝐷(4)𝐼𝐶 = 𝑓𝑇 ⋅ 𝑃𝐶𝐵,(5)𝐼𝑄 = 𝑓𝑇 ⋅ 𝑃𝑄𝐵,(6)𝑅𝐶 = 𝐼𝐶 − (𝑇 ⋅ 𝑂𝐶) − 𝑆𝐶,(7)𝑅𝑄 = 𝐼𝑄 − (𝑇 ⋅ 𝑂𝑄) − 𝑆𝑄,(8)𝐺 = 𝑅𝐶𝑅𝑄.(9)𝐺 =𝑓𝑇 ⋅ 𝐻𝐶𝑡𝜂𝐷 ⋅ 𝐵− (𝑇 ⋅ 𝑂𝐶) − 𝑆𝐶𝑓𝑇 ⋅𝐻𝑄𝑡𝜂𝐷 ⋅ 𝐵− (𝑇 ⋅ 𝑂𝑄) − 𝑆𝑄(10)0数组15(2022)1002250D.A. Bard等人0区块生成和挖掘特定区块的概率在所有基于PoW的区块链中都是相同的。这个区块时间由特定区块链的难度和区块链架构定义的比特哈希大小控制[33]。这个值定期更改以保持一致的区块时间,因此在更大的时间尺度上,生成新区块所需的时间可以根据区块链的不同而平均。基于这些值和任何考虑的经典矿工的给定哈希率,我们可以说挖掘区块的概率被定义为:0其中 � � 是经典设备挖掘区块的概率,� � 是经典设备的哈希率, � 是区块时间, �是区块链网络的难度, � 是哈希大小。0(2)的分母是计算总网络哈希的计算0任何一个网络的挖矿速率。然后可以简化为:0从任何一个设备的哈希率除以总网络哈希率得出[24]。正如在第2节和第3节中讨论的,由于区块链技术利用NP-Hard问题进行PoW,并且 �确定了这些问题的复杂性, �是可以应用效率的二次增加的值。由于这个优势,基于给定等效哈希率的任何量子设备上挖掘区块的概率可以被定义为:0其中 � � 是量子设备挖掘区块的概率, � � 是该设备的等效哈希率。0这些概率,当在任何给定的运行时间内考虑时-0然后可以用来计算任何给定区块链在该时间跨度内的总收入,考虑到转换为法定货币,定义为函数 �。由于加密货币和现实世界法定货币之间的精确转换可能有所不同,这已经被抽象为一个单一函数。每个区块挖掘的确切奖励也是另一个因素,它根据所考虑的加密货币和操作期间的持续时间而变化。在进行盈利能力计算时,这需要仔细考虑,因为对于某些加密货币,区块奖励可能会在任何特定加密货币的生命周期内发生变化。例如,比特币每挖掘210,000个区块就减半其区块奖励,这意味着尽管最初每个挖掘的区块奖励是50比特币(BTC)[ 34 ],但当前价值为6.25BTC。预计奖励将在大约2140年接近0 [ 35 ]。0考虑这些因素,给定时间跨度内的总收入0经典矿工的时间跨度收入可以计算如下:0其中 � � 是经典矿工在时间跨度 � 上的收入, �是考虑的区块链的区块奖励。对于量子矿工,以下成立:0其中 � � 是量子矿工在 � 上的收入。0在此基础上,我们可以引入任何特定设备的初始成本0设备,以计算在 �上运行该设备变得有利可图的点。一旦这个值变得大于0,那么在区块链网络上运行矿工就被认为是有利可图的。正如第2节讨论的那样,矿工需要消耗能量(以计算的形式)来确保各方之间的诚实。这在这里被视为操作0任何给定设备的成本。由此,可以确定经典矿工的利润回报:0其中 � � 是利润, � � 是运营成本, � �是经典设备的设置成本。量子矿工的利润计算如下:0其中 � � 是利润, � � 是运营成本, � � 是量子设备的设置成本。0从这两个方程中,我们可以计算利润比率 ( � ):0上述方程特别重要: � = 1 是拐点0量子和经典技术同样可行的点。小于1的 �值意味着所讨论的量子矿工比经典矿工更有利可图,即使考虑了计算中考虑的初始投资成本。0等式(9)可以通过使用先前的方程展开为:0上述方程有许多实际用途。首先,它允许一个0‘插入’各种已知值,如研发和其他必要的初始投资,以启动量子加密货币挖矿操作,以及经典和量子挖矿的运行成本,并决定是否投资于量子挖矿能够收回成本。它也可以用于估计量子加密货币挖矿可以成为有利可图企业的时间范围,正如我们在下面所做的那样。0强调的一个重要事实是,等式(9)考虑了0进一步引入量子计算机到网络中。这是因为难度在区块链的协议级别被定义为一种机制,以确保区块时间保持在一定范围内。例如,比特币区块链的难度操作是,如果在一段时间内,如果区块时间超过或少于10分钟,则PoW问题的难度将被校正,以使区块时间恢复到预定义的理想时间。这意味着引入量子计算机到网络中实际上会减少区块时间,因为它们比传统同行具有二次优势。比特币协议将因此增加PoW算法的难度。这将在我们的方程中考虑进去。将量子计算机引入到挖矿生态系统中可能会导致难度大幅增加。这意味着这里提出的方程将考虑到新的量子计算机挖掘网络,因为它们的引入将影响难度。0上述情况有各种重要原因,但特别重要的是0是第一搬 vs.第二搬优势。成为第一搬,也就是第一个进入市场(在这种情况下是使用量子矿工)具有明显的优势,对企业家和投资者特别重要。潜在投资者的一个常见担忧是,做出巨额投资,只是为了最终迟到进入市场,可能破坏投资回报前景。正如我们将在本文的最后一部分讨论的那样,量子挖矿具有一个奇特的特性,即拥有更多量子挖矿“竞争对手”的人,对于一个人来说,量子挖矿可能会变得更加有利可图。04.2. 情景和预测0使用之前推导的方程,我们可以分析一些可能的0近期情景。总体目标将是确定基于量子的加密货币挖矿的盈利能力。加密货币5𝐻𝑄 (MHz/s)𝑓 (USD)𝑂𝑄4023,536.126258.274010,385.492761.514031,000.008242.9240100,000.0026,590.0664023,536.12100,132.2864010,385.4944,184.1264031,000.00131,886.68640100,000.00425,440.900数组15(2022)1002250D.A. Bard等0将用于本研究的加密货币将是比特币,因为这是目前市场价值最高的区块链。这将利用方程(10)的分母来执行,可以将目标形式化为如下:0�0� 0� √0� � �0− ( � � � � ) − � � > 0 (11)0总可能性的点0在整个时间段内,可实现的利润 � 大于0。因此,当为真时,在量子矿工上挖掘比特币是有利可图的。0对于我们的案例分析情景,让我们考虑使用云量子0IBM等公司已经宣布推出以盈利为目的的基于云的量子计算服务。这是一个自然的情景,因为在不久的将来,大多数量子计算可能涉及基于云的服务。这种情景还有一个综合优势:它消除了对最初投资的需求,而是要求潜在的矿工支付从云提供商租用量子CPU时间的滚动成本。在我们的分析中,这将允许我们设置 � � = 0。0接下来,让我们考虑一个时间框架。根据设定的路线图0IBM预计到2023年左右将推出一款量子计算机,可以在比特币的哈希函数上运行量子搜索算法。为了保守起见,我们认为2025年是量子计算机可以在基于哈希的PoW上运行量子搜索的估计“零年”,因此在需要给定日期时,将使用01/01/2025。0我们方程中的另外一些变量。这些是�=600 s,�=232[15,16]和�=3.125BTC[34,39]。作为区块链架构的另一个部分,难度是为了使区块时间保持相对恒定而每210,000个区块计算和调整一次。为了为这种情况提供一个难度,我们绘制了历史难度,然后使用最佳拟合的多项式曲线对我们给定的日期进行了外推。这提供了一个难度为�=4.2903×1018。尽管对比特币难度的未来存在不同的看法[40],但这符合当前的趋势。0比特币的价值在年度上呈一般性增长趋势0然而,由于加密货币的波动性质,无法做出单一的预测。因此,表1中显示的数值将考虑各种BTC对USD的转换率,包括当前价格(截至2020年12月17日为$23,536.12)[4],过去12个月的平均价格(从2020年01月01日至2020年12月17日的平均收盘价,$10,385.49),预测的保守价格($31,000)和预测的高端价格($100,000)。0分配给方程的最后一个元素是哈希率0量子计算机的等效物。随着量子计算机的发展,哈希功率将如何增加是未知的。因此,我们考虑了两种可能性。在第一种情况下,我们取(其中之一)Google当前的量子计算机的时钟速度为��=40MHz∕s[23],并在整个时间内保持该值恒定。在第二种更为可能的情况下,我们根据摩尔定律增加量子计算机的时钟速度。经过四次加倍周期,我们得到了时钟速度为��=640 MHz∕s。0表1汇总了各种情景的计算结果。从这些结果中,可以找到最佳情况,即当��=0640MHz∕s,市场转换结果为�=$100,000。在这种情况下,只要量子设备的运营成本(即供应商收取的量子云CPU时间)低于��=$425,440.90一年,量子矿工仍然能够盈利。04.3.引入量子PoW技术的影响0最后,在图2中呈现了一个级联的“良性循环”,将0引入量子计算机到基于PoW的区块链网络将会传播。当它们变得有利可图时,这将会发生0表1:该表显示了量子比特币矿工在一年内以美元计算的收入,与指定的量子计算机时钟速度(第一列)和法定货币转换(第二列)相关。在第三列中,��用��=1(美元)计算。0与经典替代方案相比,根据等式(10),首先,引入量子计算机到基于PoW的区块链,如讨论的那样,将因此增加整个网络的哈希率,从而缩短网络计算一个区块的平均时间。根据区块链的协议,这将导致增加PoW的难度参数,以便重新校准区块时间到规定的值。0增加PoW的难度参数已经被证明0巩固量子计算机作为矿工的二次优势。这一优势意味着将更有动力投资于量子挖矿技术,因为与其经典对手相比的利润率将增加。这种更大的动力将再次增加网络上量子矿工的数量,从而缩短区块时间并相应增加PoW的难度。这在量子计算技术内部创造了一个循环,最终,量子计算技术将完全取代经典矿工,因为后者不再具有成本效益。0这种级联效应对网络本身也有安全益处0本身。一旦大多数(大约)矿工是量子的,网络本身就变得不受仰赖量子优势的51%攻击的影响。虽然从技术上讲,可能会发动这样的攻击,但这种攻击只能通过使用其他方法,如矿工串通,而不是仅仅利用量子优势来成功。0随着时间的推移,PoW的增加难度参数将导致0使得经典矿工变得过时。随着时间的推移,难度的增加将使得PoW问题对于经典设备和量子设备都变得指数级更难。然而,对于经典矿工来说,这种影响是二次的,随着时间的推移,比对量子矿工的影响更糟糕。最终,这将导致所有量子矿工比经典矿工更具成本效益(无论其初始设置成本如何)。05. 讨论0量子计算相对于经典计算具有明显的优势0用于计算区块链PoW的量子优势。正如我们在第3节中所看到的,这种量子优势可以被对手利用,以尝试所谓的51%攻击,对加密货币进行攻击。然而,这些类型的攻击可能在相当遥远的未来才会出现。0另一方面,很不可能会有一种0量子安全的PoW替代方案,用于PoW的目的。哈希基础的PoW不仅容易受到量子优势的影响,其他众所周知的PoW系统,如Zcash使用的基于生日悖论的计算问题[41]也是如此。0我们的安全分析在数学上与之前的一致0Cojocaru等人对比特币量子安全性的分析[42]。作者在那里得出结论,比特币可以在量子对手的攻击下变得安全,但前提是对这些量子对手的计算能力做出强有力的限制——这从来不是一个安全的假设。60数组15(2022)1002250D.A. Bard等人0图2.增加PoW网络上的量子优势的自我传播循环。将量子矿工添加到加密货币网络中会增加网络的哈希率。增加的哈希率将提高难度参数。增加的难度参数会增加相对量子优势。这反过来又增加了量子挖矿的盈利能力,从而激励引入更多的量子矿工。0此外,几乎不可能推导出任何PoW系统,0不容易受到某种形式的量子优势的影响。这是因为PoW的定义要求问题的解决方案难以计算(以确保矿工需要为他们的PoW做有意义的工作),同时又相对容易验证(以确保任何第三方都可以验证已经执行了工作)。而这正是量子搜索算法在经典算法上具有明显优势的问题类型。0这意味着一旦存在可以攻击的量子计算机0以这种方式影响网络,几乎没有什么可以做来保护区块链网络免受这些攻击。这并没有阻止一些研究人员研究抗量子PoW系统。0一个建议是将PoW的方法从哈希切换为另一个计算上困难的问题0功能转换为另一个计算上困难的问题,例如基于格的PoW方案[43]或涉及多变量二次函数的方案[44,45]。这些方案确实可以减少量子优势,但不能消除它。Grover算法已经被证明在解决格问题中的最短向量问题上比已知的最佳经典算法提供了加速[46]。0完全地,并完全转移到另一种共识机制-比如空间证明[47]、权益证明[48-50]、顺序工作证明[51]或其他替代方案[52]。所有这些共识系统与PoW以及彼此都有足够的不同,因此它们都需要自己的后量子安全性分析。这里提出的工作集中在PoW上,因为它如今在使用用户数量和使用它的加密货币的市值方面都是迄今为止最广泛部署的。0另一个可能的途径是放弃区块链中PoW的使用0加密货币从ASIC矿工转移到量子矿工。在第4节中,我们讨论了这种可能性。我们展示了使用量子计算挖掘加密货币可以迅速成为一个有利可图的建议。在第4.1节中,我们给出了一个精确的公式0另一个保障机制将是将整个0这将取决于诸如0允许计算量子计算用于PoW的潜在利润。0这有多有利可图显然取决于诸如0作为量子计算机的运行成本,以及建立一个量子计算机的初始成本。如果选择使用云量子计算,后者的成本可以被消除。我们计算了2025年使用预测的可用云量子计算来挖掘比特币的精确收入,跨年使用量之间的收入预期在44184.12美元至425440.90美元之间,取决于使用最保守或最乐观的参数。这个变量是基于比特币的兑换率和当时量子设备的确切哈希功率。这是否有利可图将取决于当时量子云CPU时间的收费。安全的远程量子计算协议的存在,如盲量子计算[53],意味着客户可以安全地使用云量子服务器来挖掘比特币或其他加密货币,而不会受到服务器的任何干扰。简而言之,这显示了未来几十年量子计算资源的非常可能的盈利性用途。正如图2所示,并在第4.3节中更一般地描述,将量子计算机引入到挖矿生态系统中将使后续使用量子计算机比使用经典计算机更加有利可图,而后者随着时间的推移将变得不那么有利可图。06. 结论0最后,我们介绍了引入数学机制的必要性-0理解引入量子PoW技术对加密货币生态系统的影响是必要的,这些生态系统被恶意和非恶意的参与者使用。一个明显的下一步是将我们在这里所做的分析扩展到本工作范围之外的其他区块链共识机制。0另一个明显的下一步是采取我们在这里开发的工作,0以及真实世界的经济数据,并将两者结合起来创建准确的预测模型。可以开发几种有用的预测模型,以帮助制定投资策略,例如投资量子技术、加密货币投资者和矿工的套期保值策略等。我们在这里做了一些简单的预测,在第4.3节。这些简单的模型主要是为了展示我们介绍的数学机制的威力,并希望激励它们在创建更准确、更强大的预测模型时的使用。Array 15 (2022) 1002257our very simplistic models already suggest a trend however: we expectall PoW-based cryptocurrency mining to move to quantum platforms inthe coming decades.[10]0D.A. Bard等0CRediT作者贡献声明0我们非常简单的模型已经显示出了一个趋势:我们预计在未来几十年内,所有基于PoW的加0- 原始草案, 写作-审查和编辑. Joseph J. Kearney: 验证, 形式分析, 调查,原始草案, 写作-审查和编辑. Carlos A. Perez-Delgado: 概念化, 方法论, 调查,原始草案, 写作-审查和编辑, 监督, 资金获取.0Dan A. Bard: 验证, 形式分析, 调查, 写作0作者声明他们没有已知的竞争性财务利益或个人关系可能会影响本文报告的工作。0声明竞争利益0致谢0作者们要感谢EPSRC的资助0英国量子通信中心(EP/T001011/1)和Casper协会学术资助计划的资助。作者还要感谢Joanna I. Ziembicka在准备本手稿期间的有用评论。0参考文献0[1] Crosby M, Pattanayak P, Verma S, Kalyanaraman V, 等. 区块链技术:0超越比特币. Appl Innov 2016;2(6–10):71.0[2] Bach LM, Mihaljevic B, Zagar M. 区块链的比较分析0感知算法. 在:2018年第41届国际信息与通信技术、电子和微电子大会(MIPRO). 2018.0[3] Anand A,
我的内容管理
收起
我的收益 登录查看自己的收益
我的积分
登录查看自己的积分
我的C币
登录后查看C币余额
我的收藏 
我的下载 
下载帮助 
