Квантові комп'ютери, здатні зламати блокчейн Bitcoin, сьогодні не існують. Розробники, однак, вже розглядають хвилю оновлень для створення захисту від потенційної загрози, і це цілком виправдано, оскільки загроза більше не є гіпотетичною.
Цього тижня Google опублікувала дослідження, яке свідчить про те, що достатньо потужний квантовий комп'ютер може зламати основну криптографію Bitcoin менш ніж за дев'ять хвилин — на одну хвилину швидше, ніж середній час підтвердження блоку Bitcoin. Деякі аналітики вважають, що така загроза може стати реальністю до 2029 року.
Ставки високі: близько 6,5 мільйона токенів bitcoin вартістю сотні мільярдів доларів знаходяться на адресах, які квантовий комп'ютер може безпосередньо атакувати. Деякі з цих монет належать псевдонімному творцю Bitcoin, Сатоші Накамото. Крім того, потенційний компроміс завдав би шкоди основним принципам Bitcoin – "довіряй коду" та "надійні гроші".
Ось як виглядає загроза разом із пропозиціями, які розглядаються для її пом'якшення.
Два способи, якими квантова машина може атакувати Bitcoin
Спочатку давайте розберемося з вразливістю, перш ніж обговорювати пропозиції.
Безпека Bitcoin побудована на односторонньому математичному зв'язку. Коли ви створюєте гаманець, генерується приватний ключ і секретний номер, з яких виводиться публічний ключ.
Витрата токенів bitcoin вимагає доказу володіння приватним ключем, не розкриваючи його, а використовуючи його для генерації криптографічного підпису, який мережа може перевірити.
Ця система є надійною, оскільки сучасним комп'ютерам знадобилися б мільярди років, щоб зламати криптографію еліптичних кривих — зокрема алгоритм цифрового підпису еліптичної кривої (ECDSA) — щоб зворотно відновити приватний ключ з публічного ключа. Тому вважається, що блокчейн обчислювально неможливо скомпрометувати.
Але майбутній квантовий комп'ютер може перетворити цю односторонню вулицю на двосторонню, отримавши ваш приватний ключ з публічного ключа та вичерпавши ваші монети.
Публічний ключ розкривається двома способами: з монет, що знаходяться в ланцюжку без руху (атака тривалого впливу), або монет у русі чи транзакцій, що очікують у пулі пам'яті (атака короткого впливу).
Адреси Pay-to-public key (P2PK) (використовувані Сатоші та ранніми майнерами) і Taproot (P2TR), поточний формат адреси, активований у 2021 році, вразливі до атаки тривалого впливу. Монети на цих адресах не потребують переміщення, щоб розкрити свої публічні ключі; розкриття вже відбулося і може бути прочитане будь-ким на землі, включаючи майбутнього квантового зловмисника. Приблизно 1,7 мільйона BTC знаходяться на старих адресах P2PK — включаючи монети Сатоші.
Короткий вплив пов'язаний з mempool — кімнатою очікування непідтверджених транзакцій. Поки транзакції там очікують включення в блок, ваш публічний ключ і підпис видимі для всієї мережі.
Квантовий комп'ютер може отримати доступ до цих даних, але у нього буде лише короткий проміжок часу — перед підтвердженням транзакції та її поховання під додатковими блоками — щоб отримати відповідний приватний ключ і діяти на його основі.
Ініціативи
BIP 360: видалення публічного ключа
Як зазначалося раніше, кожна нова адреса Bitcoin, створена з використанням Taproot сьогодні, назавжди розкриває публічний ключ в ланцюжку, даючи майбутньому квантовому комп'ютеру ціль, яка ніколи не зникне.
Пропозиція покращення Bitcoin (BIP) 360 видаляє публічний ключ, постійно вбудований у ланцюжок і видимий для всіх, шляхом введення нового типу виводу під назвою Pay-to-Merkle-Root (P2MR).
Нагадаємо, що квантовий комп'ютер вивчає публічний ключ, зворотно відновлює точну форму приватного ключа та підробляє робочу копію. Якщо ми видалимо публічний ключ, атаці не буде з чого працювати. Тим часом все інше, включаючи платежі Lightning Network, багатопідписові налаштування та інші функції Bitcoin, залишається незмінним.
Однак, якщо буде реалізовано, ця пропозиція захищає лише нові монети в майбутньому. 1,7 мільйона BTC, що вже знаходяться на старих розкритих адресах, є окремою проблемою, яка вирішується іншими пропозиціями нижче.
SPHINCS+ / SLH-DSA: постквантові підписи на основі хешів
SPHINCS+ — це схема постквантового підпису, побудована на хеш-функціях, що уникає квантових ризиків, які стоять перед криптографією еліптичних кривих, що використовується Bitcoin. Хоча алгоритм Шора загрожує ECDSA, дизайни на основі хешів, такі як SPHINCS+, не вважаються настільки ж вразливими.
Схема була стандартизована Національним інститутом стандартів і технологій (NIST) у серпні 2024 року як FIPS 205 (SLH-DSA) після років публічного огляду.
Компроміс за безпеку — це розмір. Поки поточні підписи bitcoin становлять 64 байти, SLH-DSA становлять 8 кілобайт (KB) або більше за розміром. Таким чином, прийняття SLH-DSA різко збільшить попит на простір блоків і підвищить комісії за транзакції.
В результаті пропозиції, такі як SHRIMPS (інша схема постквантового підпису на основі хешів) і SHRINCS, вже були представлені для зменшення розмірів підписів без шкоди для постквантової безпеки. Обидві будуються на SHPINCS+, прагнучи зберегти його гарантії безпеки у більш практичній, просторово-ефективній формі, придатній для використання блокчейну.
Схема фіксації/розкриття Таджа Дриджі: екстрене гальмо для mempool
Ця пропозиція, м'яке відгалуження, запропоноване співтворцем Lightning Network Таджем Дриджею, має на меті захистити транзакції в mempool від майбутнього квантового зловмисника. Це робиться шляхом розділення виконання транзакції на дві фази: фіксація та розкриття.
Уявіть, що ви повідомляєте контрагента, що надішлете йому електронного листа, а потім фактично надсилаєте електронний лист. Перше — це фаза фіксації, а друге — розкриття.
У блокчейні це означає, що ви спочатку публікуєте запечатаний відбиток вашого наміру — просто хеш, який нічого не розкриває про транзакцію. Блокчейн позначає цей відбиток часом назавжди. Пізніше, коли ви транслюєте фактичну транзакцію, ваш публічний ключ стає видимим — і так, квантовий комп'ютер, що спостерігає за мережею, може отримати ваш приватний ключ з нього та підробити конкуруючу транзакцію для крадіжки ваших коштів.
Але ця підроблена транзакція негайно відхиляється. Мережа перевіряє: чи має ця витрата попереднє зобов'язання, зареєстроване в ланцюжку? У вас є. У зловмисника немає — вони створили його кілька миттєвостей тому. Ваш попередньо зареєстрований відбиток — це ваше алібі.
Проблема, однак, полягає у збільшенні вартості через розбиття транзакції на дві фази. Тому це описується як проміжний міст, практичний для розгортання, поки спільнота працює над створенням квантового захисту.
Hourglass V2: сповільнення витрат старих монет
Запропонований розробником Hunter Beast, Hourglass V2 спрямований на квантову вразливість, пов'язану з приблизно 1,7 мільйона BTC, що зберігаються на старих, вже розкритих адресах.
Пропозиція визнає, що ці монети можуть бути вкрадені під час майбутньої квантової атаки, і прагне сповільнити кровотечу, обмежуючи продаж до одного bitcoin за блок, щоб уникнути катастрофічної масової ліквідації за одну ніч, яка може обвалити ринок.
Аналогія — це набіг на банк: ви не можете зупинити людей від зняття коштів, але ви можете обмежити темп зняття коштів, щоб запобігти руйнуванню системи за одну ніч. Пропозиція є суперечливою, оскільки навіть це обмежене обмеження розглядається деякими в спільноті Bitcoin як порушення принципу, що жодна зовнішня сторона не може втручатися у ваше право витрачати свої монети.
Висновок
Ці пропозиції ще не активовані, і децентралізоване управління Bitcoin, що охоплює розробників, майнерів і операторів вузлів, означає, що будь-яке оновлення, ймовірно, займе час для реалізації.
Тим не менш, постійний потік пропозицій, що передував звіту Google цього тижня, свідчить про те, що ця проблема давно знаходиться на радарі розробників, що може допомогти пом'якшити занепокоєння ринку.
Джерело: https://www.coindesk.com/tech/2026/04/04/bitcoin-s-usd1-3-trillion-security-race-key-initiatives-aimed-at-quantum-proofing-the-world-s-largest-blockchain
