Эксперты предупреждают, что квантовые компьютеры могут когда-либо подделать цифровые подписи Bitcoin, позволяя несанкционированные транзакции.
Вкратце
Современные квантовые компьютеры слишком малы и нестабильны, чтобы угрожать реальной криптографии.
Ранние Bitcoin-кошельки с открытыми публичными ключами находятся под наибольшим риском в долгосрочной перспективе.
Разработчики изучают постквантовые подписи и потенциальные пути миграции.
Квантовые компьютеры не могут нарушить шифрование Bitcoin сегодня, но новые достижения от Google и IBM предполагают, что разрыв сокращается быстрее, чем ожидалось. Их прогресс в направлении отказоустойчивых квантовых систем повышает ставки для "Q-Day", момента, когда достаточно мощная машина сможет взломать старые адреса Bitcoin и раскрыть более чем $711 миллиардов в уязвимых кошельках.
Обновление Биткойна до постквантового состояния займет годы, что означает, что работа должна начаться задолго до того, как угроза появится. Проблема, по словам экспертов, в том, что никто не знает, когда это произойдет, и сообщество испытывает трудности с тем, чтобы согласовать, как лучше всего продвигаться вперед с планом.
Эта неопределенность привела к затяжному страху, что квантовый компьютер, способный атаковать Биткойн, может выйти на рынок раньше, чем сеть будет готова.
В этой статье мы рассмотрим квантовую угрозу для Биткойна и что нужно изменить, чтобы сделать номер один в блокчейне готовым.
Успешная атака не будет выглядеть драматично. Вор, обладающий квантовыми возможностями, начнет с того, что просканирует блокчейн на предмет любого адреса, который когда-либо раскрывал открытый ключ. Старые кошельки, повторно используемые адреса, ранние выходы майнеров и многие спящие аккаунты попадают в эту категорию.
Нападающий копирует открытый ключ и запускает его через квантовый компьютер, используя алгоритм Шора. Разработанный в 1994 году математиком Питером Шором, этот алгоритм дает квантовой машине возможность факторизовать большие числа и решать проблему дискретного логарифма гораздо эффективнее, чем любой классический компьютер. Подписи Биткойна на основе эллиптической кривой зависят от сложности этих задач. При достаточном количестве исправленных кубитов квантовый компьютер мог бы использовать метод Шора для вычисления закрытого ключа, связанного с раскрытым открытым ключом.
Как сказал Джастин Талер, исследовательский партнер в Andreessen Horowitz и доцент в Университете Джорджтауна, в интервью Decrypt, как только закрытый ключ будет восстановлен, нападающий сможет переместить монеты.
“Что может сделать квантовый компьютер, и это то, что имеет значение для Биткойна, так это подделать цифровые подписи, которые Биткойн использует сегодня,” — сказал Талер. “Кто-то с квантовым компьютером мог бы авторизовать транзакцию, забирая все Биткойны из ваших аккаунтов, или как бы вы это ни представляли, когда вы этого не авторизовали. Вот в чем проблема.”
Подделанная подпись будет выглядеть настоящей для сети Биткойн. Узлы примут ее, майнеры включат ее в блок, и ничего в цепочке не отметит транзакцию как подозрительную. Если нападающий атакует большую группу открытых адресов одновременно, то миллиарды долларов могут переместиться за считанные минуты. Рынки начнут реагировать, прежде чем кто-либо вообще подтвердит, что происходит квантовая атака.
Как обстоят дела с квантовыми вычислениями в 2025 году
В 2025 году квантовые вычисления наконец-то начали восприниматься менее теоретически и более практично.
Январь 2025: Чип Willow от Google на 105 кубит показал резкое снижение ошибок и показатель, превышающий классические суперкомпьютеры.
Февраль 2025: Microsoft развернула свою платформу Majorana 1 и сообщила о рекордном запутывании логических кубитов с Atom Computing.
Апрель 2025: NIST расширила когерентность суперквантовых кубитов до 0.6 миллисекунд.
Июнь 2025: IBM установила цели в 200 логических кубитов к 2029 году и более 1000 в начале 2030-х.
Октябрь 2025: IBM запутала 120 кубитов; Google подтверждено.
Ноябрь 2025: IBM объявила о новых чипах и программном обеспечении, нацеленном на квантовое преимущество в 2026 году и устойчивые к ошибкам системы к 2029 году.
подтвердила проверенное квантовое ускорение.
Почему Биткойн стал уязвимым
Подписи Биткойна используют криптографию на основе эллиптических кривых. Расходы с адреса раскрывают открытый ключ за ним, и это раскрытие является постоянным. В раннем формате Биткойна, основанном на открытом ключе, многие адреса публиковали свои открытые ключи в цепочке даже до первой траты. Поздние форматы, основанные на хэшах открытых ключей, скрывали ключ до первого использования.
Поскольку их открытые ключи никогда не были скрыты, эти самые старые монеты, включая примерно 1 миллион Биткойна эры Сатоши, подвержены будущим квантовым атакам. Переход на постквантовые цифровые подписи, сказал Талер, требует активного участия.
“Чтобы Сатоши защитили свои монеты, им нужно было бы переместить их в новые кошельки, защищенные от квантовых атак,” сказал он. “Самая большая проблема — это брошенные монеты, на сумму около 180 миллиардов долларов, включая примерно 100 миллиардов, которые, как считается, принадлежат Сатоши. Это огромные суммы, но они брошены, и это реальный риск.”
Увеличивает риск монеты, связанные с утерянными закрытыми ключами. Многие из них не трогались более десяти лет, и без этих ключей их никогда нельзя переместить в кошельки, устойчивые к квантовым атакам, что делает их жизнеспособными целями для будущего квантового компьютера.
Никто не может заморозить Биткойн прямо в цепочке. Практические меры защиты от будущих квантовых угроз сосредоточены на миграции уязвимых средств, принятии постквантовых адресов или управлении существующими рисками.
Тем не менее, Талер отметил, что постквантовые схемы шифрования и цифровых подписей имеют высокие затраты на производительность, поскольку они гораздо больше и требуют больше ресурсов, чем легкие 64-байтовые подписи сегодня.
“Сегодняшние цифровые подписи занимают около 64 байт. Постквантовые версии могут быть в 10-100 раз больше,” сказал он. “В блокчейне этот рост размера является гораздо более серьезной проблемой, потому что каждый узел должен хранить эти подписи навсегда. Управление этой стоимостью, фактическим размером данных, здесь гораздо сложнее, чем в других системах.”
Пути к защите
Разработчики предложили несколько предложений по улучшению Биткойна для подготовки к будущим квантовым атакам. Они идут разными путями, от легких дополнительных защит до полного перехода сети.
BIP-360 (P2QRH): Создает новые адреса “bc1r…”, которые объединяют сегодняшние подписи на основе эллиптической кривой с постквантовыми схемами, такими как ML-DSA или SLH-DSA. Он предлагает гибридную безопасность без жесткого форка, но большие подписи означают более высокие сборы.
Квантово-безопасный Taproot: Добавляет скрытую постквантовую ветвь к Taproot. Если квантовые атаки станут реальными, майнеры смогут мягко форкнуть, чтобы требовать постквантовую ветвь, в то время как пользователи будут работать как обычно до тех пор.
Протокол миграции адресов, устойчивых к квантовым атакам (QRAMP): Обязательный план миграции, который перемещает уязвимые UTXO в адреса, защищенные от квантовых атак, вероятно, через жесткий форк.
Оплата Taproot Hash (P2TRH): Заменяет видимые ключи Taproot на двойные хэшированные версии, ограничивая окно раскрытия без новой криптографии или нарушения совместимости.
Сжатие транзакций без взаимодействия (NTC) с помощью STARK: Использует доказательства с нулевым знанием для сжатия больших постквантовых подписей в одно доказательство на блок, снижая затраты на хранение и сборы.
Схемы обязательного раскрытия: полагаются на хэшированные обязательства, опубликованные до любой квантовой угрозы.
Дополнительные UTXO прикрепляют небольшие постквантовые выходы для защиты расходов.
Транзакции «отравляющая таблетка» позволяют пользователям заранее публиковать пути восстановления.
Варианты в стиле Fawkescoin остаются спящими, пока реальный квантовый компьютер не будет продемонстрирован.
Вместе эти предложения набрасывают пошаговый путь к квантовой безопасности: быстрые, маловлияющие исправления, такие как P2TRH сейчас, и более тяжелые обновления, такие как BIP-360 или сжатие на основе STARK, по мере роста риска. Всем им потребуется широкая координация, и многие форматы постквантовых адресов и схемы подписей все еще находятся на ранних стадиях обсуждения.
Талер отметил, что децентрализация Биткойна — его величайшая сила — также делает крупные обновления медленными и сложными, поскольку любая новая схема подписей требует широкого согласия среди майнеров, разработчиков и пользователей.
“Два основных вопроса выделяются для Биткойна. Во-первых, обновления занимают много времени, если они вообще происходят. Во-вторых, это брошенные монеты. Любая миграция на постквантовые подписи должна быть активной, а владельцы старых кошельков отсутствуют,” — сказал Талер. “Сообщество должно решить, что с ними делать: либо согласиться удалить их из обращения, либо ничего не делать и позволить квантовым атакующим забрать их. Этот второй путь будет юридически серым, и те, кто захватит монеты, скорее всего, не позаботятся.”
Большинству держателей Биткойна не нужно ничего делать сразу. Несколько привычек могут значительно снизить долгосрочный риск, включая избегание повторного использования адресов, чтобы ваш открытый ключ оставался скрытым до тех пор, пока вы не потратите, и использование современных форматов кошельков.
Сегодняшние квантовые компьютеры не близки к тому, чтобы сломать Биткойн, и прогнозы о том, когда это произойдет, сильно варьируются. Некоторые исследователи видят угрозу в течение следующих пяти лет, другие переносят это на 2030-е годы, но продолжительные инвестиции могут ускорить график.
