Gli esperti avvertono che i computer quantistici potrebbero un giorno falsificare le firme digitali di Bitcoin, consentendo transazioni non autorizzate.
In breve
I computer quantistici di oggi sono troppo piccoli e instabili per minacciare la crittografia nel mondo reale.
I portafogli Bitcoin iniziali con chiavi pubbliche esposte sono i più a rischio nel lungo periodo.
Gli sviluppatori stanno esplorando firme post-quantistiche e potenziali percorsi di migrazione.
I computer quantistici non possono rompere la crittografia di Bitcoin oggi, ma i nuovi progressi di Google e IBM suggeriscono che il divario si sta chiudendo più velocemente del previsto. I loro progressi verso sistemi quantistici tolleranti ai guasti alzano la posta in gioco per il “Q-Day”, il momento in cui una macchina sufficientemente potente potrebbe violare indirizzi Bitcoin più vecchi ed esporre più di $711 billion in portafogli vulnerabili.
Aggiornare Bitcoin a uno stato post-quantum richiederà anni, il che significa che il lavoro deve iniziare molto prima che la minaccia arrivi. La sfida, dicono gli esperti, è che nessuno sa quando ciò accadrà, e la comunità ha faticato a concordare il modo migliore per procedere con un piano.
Questa incertezza ha portato a un'ansia persistente che un computer quantistico in grado di attaccare Bitcoin possa diventare operativo prima che la rete sia pronta.
In questo articolo, esamineremo la minaccia quantistica a Bitcoin e cosa deve cambiare per rendere la blockchain numero uno pronta.
Un attacco riuscito non sembrerebbe drammatico. Un ladro abilitato al quantum inizierebbe a scansionare la blockchain per qualsiasi indirizzo che ha mai rivelato una chiave pubblica. Portafogli vecchi, indirizzi riutilizzati, output di miner precoci e molti conti dormienti rientrano in questa categoria.
L'attaccante copia una chiave pubblica e la elabora attraverso un computer quantistico utilizzando l'algoritmo di Shor. Sviluppato nel 1994 dal matematico Peter Shor, l'algoritmo fornisce a una macchina quantistica la capacità di fattorizzare numeri grandi e risolvere il problema del logaritmo discreto in modo molto più efficiente rispetto a qualsiasi computer classico. Le firme elliptiche di Bitcoin si basano sulla difficoltà di questi problemi. Con un numero sufficiente di qubit corretti, un computer quantistico potrebbe utilizzare il metodo di Shor per calcolare la chiave privata legata alla chiave pubblica esposta.
Come ha detto Justin Thaler, partner di ricerca presso Andreessen Horowitz e professore associato all'Università di Georgetown, a Decrypt, una volta recuperata la chiave privata, l'attaccante può spostare le monete.
“Ciò che un computer quantistico potrebbe fare, e questo è ciò che è rilevante per Bitcoin, è falsificare le firme digitali che Bitcoin utilizza oggi,” ha detto Thaler. “Qualcuno con un computer quantistico potrebbe autorizzare una transazione prelevando tutto il Bitcoin dai tuoi conti, o come vuoi pensare, quando non lo hai autorizzato. Questo è il problema.”
La firma falsificata sembrerebbe reale per la rete Bitcoin. I nodi l'accetterebbero, i miner la includerebbero in un blocco, e nulla sulla catena segnerebbe la transazione come sospetta. Se un attaccante colpisse un grande gruppo di indirizzi esposti contemporaneamente, miliardi di dollari potrebbero muoversi in pochi minuti. I mercati inizierebbero a reagire prima che qualcuno confermasse che un attacco quantistico stava accadendo.
Dove si trova il calcolo quantistico nel 2025
Nel 2025, il calcolo quantistico ha finalmente iniziato a sembrare meno teorico e più pratico.
Gennaio 2025: il chip Willow di Google con 105 qubit ha mostrato una riduzione degli errori significativa e un benchmark oltre i supercomputer classici.
Febbraio 2025: Microsoft ha lanciato la sua piattaforma Majorana 1 e ha riportato un record di intreccio di qubit logici con Atom Computing.
Aprile 2025: il NIST ha esteso la coerenza dei qubit superconduttivi a 0,6 millisecondi.
Giugno 2025: IBM ha fissato obiettivi di 200 qubit logici entro il 2029 e più di 1.000 all'inizio degli anni 2030.
Ottobre 2025: IBM ha intrecciato 120 qubit; Google ha confermato un aumento di velocità quantistica verificato.
Novembre 2025: IBM ha annunciato nuovi chip e software mirati al vantaggio quantistico nel 2026 e a sistemi tolleranti ai guasti entro il 2029.
ha confermato un aumento di velocità quantistica verificato.
Perché Bitcoin è diventato vulnerabile
Le firme di Bitcoin utilizzano la crittografia a curva ellittica. Spendere da un indirizzo rivela la chiave pubblica dietro di esso, e quell'esposizione è permanente. Nel formato iniziale pay-to-public-key di Bitcoin, molti indirizzi pubblicavano le loro chiavi pubbliche sulla catena anche prima della prima spesa. Successivi formati pay-to-public-key-hash mantenevano la chiave nascosta fino al primo utilizzo.
Poiché le loro chiavi pubbliche non sono mai state nascoste, queste monete più antiche, comprese circa 1 milione di Bitcoin dell'era Satoshi, sono esposte a futuri attacchi quantistici. Passare a firme digitali post-quantum, ha detto Thaler, richiede un coinvolgimento attivo.
“Per Satoshi proteggere le loro monete, dovrebbero trasferirle in nuovi portafogli sicuri post-quantum,” ha detto. “La maggiore preoccupazione sono le monete abbandonate, per un valore di circa 180 miliardi di dollari, comprese circa 100 miliardi che si crede siano di Satoshi. Sono somme enormi, ma sono abbandonate, e questo è il vero rischio.”
Ad aumentare il rischio ci sono monete legate a chiavi private smarrite. Molte sono rimaste intatte per più di un decennio, e senza quelle chiavi, non possono mai essere trasferite in portafogli resistenti al quantum, rendendole obiettivi validi per un futuro computer quantistico.
Nessuno può congelare Bitcoin direttamente sulla catena. Le difese pratiche contro future minacce quantistiche si concentrano sulla migrazione di fondi vulnerabili, sull'adozione di indirizzi post-quantum o sulla gestione dei rischi esistenti.
Tuttavia, Thaler ha osservato che la crittografia post-quantum e gli schemi di firma digitali comportano costi di prestazione elevati, poiché sono molto più grandi e più intensivi in risorse rispetto alle firme leggere di 64 byte di oggi.
“Le firme digitali di oggi sono di circa 64 byte. Le versioni post-quantum possono essere da 10 a 100 volte più grandi,” ha detto. “In una blockchain, quell'aumento di dimensioni è un problema molto più grande perché ogni nodo deve memorizzare quelle firme per sempre. Gestire quel costo, la dimensione letterale dei dati, è molto più difficile qui che in altri sistemi.”
Percorsi verso la protezione
Gli sviluppatori hanno proposto diversi Progetti di Miglioramento di Bitcoin per prepararsi a futuri attacchi quantistici. Seguono percorsi diversi, dalle protezioni leggere opzionali a migrazioni complete della rete.
BIP-360 (P2QRH): Crea nuovi indirizzi “bc1r…” che combinano le firme elliptiche di oggi con schemi post-quantum come ML-DSA o SLH-DSA. Offre sicurezza ibrida senza un hard fork, ma le firme più grandi significano costi più elevati.
Quantum-Safe Taproot: Aggiunge un ramo post-quantum nascosto a Taproot. Se gli attacchi quantistici diventano realistici, i miner potrebbero fare un soft-fork per richiedere il ramo post-quantum, mentre gli utenti operano normalmente fino ad allora.
Protocollo di Migrazione degli Indirizzi Resistenti al Quantum (QRAMP): Un piano di migrazione obbligatorio che sposta gli UTXO vulnerabili verso indirizzi resistenti al quantum, probabilmente attraverso un hard fork.
Pay to Taproot Hash (P2TRH): Sostituisce le chiavi Taproot visibili con versioni doppio-hashate, limitando la finestra di esposizione senza nuova crittografia o rompere la compatibilità.
Compressione delle Transazioni Non Interattive (NTC) tramite STARK: Utilizza prove a conoscenza zero per comprimere grandi firme post-quantum in una singola prova per blocco, riducendo i costi di archiviazione e di commissione.
Schemi di Commit-Rivelazione: Si basano su impegni hashati pubblicati prima di qualsiasi minaccia quantistica.
Helper UTXOs collegano piccole uscite post-quantum per proteggere le spese.
Le transazioni “pillola avvelenata” consentono agli utenti di pubblicare in anticipo percorsi di recupero.
Varianti in stile Fawkescoin rimangono dormienti fino a quando non viene dimostrato un vero computer quantistico.
Insieme, queste proposte abbozzano un percorso passo-passo verso la sicurezza quantistica: correzioni rapide e a basso impatto come P2TRH ora, e aggiornamenti più pesanti come BIP-360 o compressione basata su STARK man mano che il rischio cresce. Tutti richiederebbero una coordinazione ampia, e molti dei formati di indirizzo post-quantum e degli schemi di firma sono ancora in fase di discussione.
Thaler ha osservato che la decentralizzazione di Bitcoin—la sua maggiore forza—rende anche gli aggiornamenti importanti lenti e difficili, poiché qualsiasi nuovo schema di firma necessiterebbe di un ampio consenso tra miner, sviluppatori e utenti.
“Due problemi principali si distinguono per Bitcoin. Prima di tutto, gli aggiornamenti richiedono molto tempo, se mai accadono. In secondo luogo, ci sono le monete abbandonate. Qualsiasi migrazione a firme post-quantum deve essere attiva, e i proprietari di quei vecchi portafogli sono scomparsi,” ha detto Thaler. “La comunità deve decidere cosa fare con esse: o concordare di rimuoverle dalla circolazione o non fare nulla e lasciare che gli attaccanti equipaggiati con il quantum le prendano. Quel secondo percorso sarebbe legalmente grigio, e quelli che sequestrano le monete probabilmente non si preoccuperebbero.”
La maggior parte dei detentori di Bitcoin non ha bisogno di fare nulla subito. Alcuni comportamenti possono ridurre significativamente il rischio a lungo termine, incluso evitare di riutilizzare indirizzi in modo che la tua chiave pubblica rimanga nascosta fino a quando non spendi, e attenersi a formati di portafoglio moderni.
I computer quantistici di oggi non sono vicini a violare Bitcoin, e le previsioni su quando lo faranno variano enormemente. Alcuni ricercatori vedono una minaccia entro i prossimi cinque anni, altri la spingono negli anni 2030, ma continui investimenti potrebbero accelerare la tempistica.
