Conclusiones clave:
- El CPO de Starkware, Avihu Levy, publicó QSB el 9 de abril de 2026, permitiendo transacciones de Bitcoin seguras contra computación cuántica sin ningún cambio de protocolo.
- El esquema de Levy cuesta entre $75 y $150 en computación GPU por transacción y logra aproximadamente 118 bits de resistencia de preimagen contra ataques cuánticos.
- QSB es el primer esquema conocido que protege transacciones de Bitcoin en vivo contra el algoritmo de Shor utilizando únicamente las reglas de Script heredadas existentes de Bitcoin.
Cómo un ejecutivo de Starkware construyó resistencia cuántica en Bitcoin sin tocar el protocolo
Avihu Levy, director de producto de Starkware y coautor de BIP-360, publicó un documento de investigación completo e implementación de código abierto el 9 de abril de 2026. El esquema se llama Quantum Safe Bitcoin, o QSB. No requiere softfork, ni coordinación comunitaria, ni nuevos opcodes. Funciona completamente dentro de las restricciones de Script heredadas existentes de Bitcoin de 201 opcodes y 10.000 bytes.
La amenaza que aborda QSB es específica. El esquema de firma principal de Bitcoin, ECDSA sobre la curva elíptica secp256k1, es completamente vulnerable al algoritmo de Shor en una computadora cuántica suficientemente potente. Un atacante con esa capacidad podría recuperar claves privadas de cualquier clave pública expuesta, falsificar firmas y redirigir fondos. Las salidas P2PK, direcciones heredadas y rutas de gasto de claves Taproot están todas en riesgo en el momento en que aparece una clave pública en cadena.
Fuente de la imagen: X.El esquema de Levy corta esa dependencia a nivel de transacción. En lugar de depender de la dureza de la curva elíptica, QSB construye seguridad sobre la resistencia de preimagen de RIPEMD-160, una función hash que las computadoras cuánticas solo pueden atacar con el algoritmo de Grover, que proporciona una aceleración cuadrática en lugar de una ruptura total. Un hash de 160 bits retiene aproximadamente 80 bits de resistencia de preimagen contra un adversario cuántico, dejando un margen cómodo.
La construcción modifica un esquema anterior llamado Binohash, desarrollado por Robin Linus, y corrige dos problemas que hacían a Binohash inseguro contra ataques cuánticos. El primero fue un rompecabezas de Proof of Work (PoW) de tamaño de firma que dependía de encontrar valores r pequeños de curva elíptica, algo que el algoritmo de Shor rompe trivialmente. El segundo fue una vulnerabilidad de bandera sighash no resuelta que podría permitir a un atacante reutilizar una firma de rompecabezas válida en diferentes transacciones.
Reemplazando el rompecabezas de tamaño de firma
QSB reemplaza el rompecabezas de tamaño de firma con lo que Levy llama un rompecabezas hash-to-sig. El gastador itera sobre los parámetros de transacción hasta que el hash RIPEMD-160 de una clave pública derivada de transacción produce una firma ECDSA codificada en DER válida. Ese evento ocurre con una probabilidad aproximadamente de 1 en 70 billones. Debido a que el rompecabezas usa una bandera SIGHASH_ALL codificada, la vulnerabilidad sighash se elimina como efecto secundario.
El gastador luego ejecuta dos rondas de resumen utilizando una estructura de firma Lamport estilo HORS, seleccionando subconjuntos de firmas ficticias que alteran el sighash de la transacción mediante un mecanismo de Script heredado llamado FindAndDelete. Cada subconjunto produce una salida hash diferente. El subconjunto que produce una firma codificada en DER válida se convierte en el resumen para esa ronda. Revelar las preimágenes correspondientes en el testigo completa el gasto seguro contra cuántica.
La configuración recomendada, que Levy llama Config A, encaja dentro del límite de 201 opcodes y logra aproximadamente 118 bits de resistencia de preimagen y 78 bits de resistencia de colisión. Un atacante cuántico ejecutando el algoritmo de Grover contra esta configuración enfrenta aproximadamente 2 elevado a la potencia 69 de trabajo para un ataque de segunda preimagen. El algoritmo de Shor no proporciona ninguna ventaja, ya que no quedan suposiciones de curva elíptica para romper.
La computación fuera de cadena cuesta entre $75 y $150 en tiempo de GPU en la nube por transacción a los precios spot actuales. El trabajo es embarazosamente paralelo y se completa en horas a través de múltiples GPUs en pruebas tempranas. La granja de GPU solo maneja cálculos públicos, incluida la recuperación de claves y el hash. Las preimágenes HORS privadas nunca salen del dispositivo seguro del gastador.
Hay limitaciones reales. Las transacciones QSB son válidas por consenso pero no estándar, excediendo las políticas de retransmisión predeterminadas. Requieren envío directo a un pool de minería que acepte transacciones no estándar, como a través del servicio Slipstream de Marathon. El esquema aún no cubre canales de Lightning Network. El ensamblaje completo en cadena y la transmisión aún están pendientes en la implementación de código abierto. Levy describe el esquema como una medida de último recurso, no un reemplazo general para el uso estándar de Bitcoin.
El cofundador de Starkware, Eli Ben-Sasson, respaldó públicamente el trabajo, afirmando que Bitcoin puede ser seguro contra cuántica de inmediato. Dijo:
Levy compartió el documento y el repositorio en X y dio crédito a Robin Linus por el trabajo fundamental en Binohash y por una corrección clave que dio forma al equilibrio final costo-seguridad. La comunidad quedó bastante satisfecha con el documento técnico ya que se compartió ampliamente en redes sociales. Eric Wall de Taproot Wizard escribió en X:
El documento completo, el código CUDA acelerado por GPU, el pipeline de Python y los Scripts completos de Bitcoin están disponibles en el repositorio de GitHub de Levy. La noticia sigue al reciente prototipo destinado a proteger las billeteras de Bitcoin del riesgo cuántico. Ese prototipo específico fue creado por el CTO de Lightning Labs, Olaoluwa Osuntokun.
Qué significa esto para los titulares cotidianos de Bitcoin
Para los titulares cotidianos de Bitcoin (BTC), la conclusión práctica es directa. Ninguna computadora cuántica capaz de romper la criptografía de Bitcoin existe hoy, y la mayoría de los investigadores sitúan esa amenaza al menos entre tres años y una década. Pero el reloj comienza en el momento en que aparece una clave pública en cadena, lo que sucede cada vez que un usuario gasta desde una dirección.
Bitcoin ubicado en una billetera que nunca ha realizado una transacción saliente tiene menos exposición. Bitcoin estacionado en una dirección reutilizada o ya gastada es una historia diferente. Cuando la computación cuántica alcance el umbral, esas claves públicas expuestas se convierten en objetivos. Mover fondos antes de que se cierre esa ventana importa más que moverlos después.
QSB aún no se incluye dentro de ninguna billetera de consumidor. Los usuarios no pueden abrir una billetera estándar hoy y activar una configuración segura contra cuántica. Lo que Levy ha entregado es la prueba criptográfica de que el camino existe, construido a partir de reglas ya dentro de Bitcoin, costando aproximadamente el precio de un boleto de avión en computación GPU.
El trabajo restante es ingeniería, adopción y tiempo. Para una persona que posee BTC, el elemento de acción es simple: esté atento al soporte post-cuántico de su proveedor de billetera, evite reutilizar direcciones y mueva fondos a una dirección segura contra cuántica cuando esa opción esté disponible en el software convencional. Las herramientas para proteger ese Bitcoin se están construyendo ahora mismo.
Fuente: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
