Risiko Kuantum: di Chaincode Labs menilai ancaman bagi Bitcoin

Para ahli dari lembaga penelitian Chaincode Labs telah menerbitkan laporan rinci tentang potensi ancaman komputer kuantum terhadap bitcoin. Dokumen sepanjang 55 halaman ini disiapkan oleh Dr. Anthony Milton dan Clara Schickelman pada Mei 2025.

Berapa banyak bitcoin yang terancam

Para penulis memperkirakan bahwa antara 20% dan 50% dari semua bitcoin yang beredar (4-10 juta BTC) berpotensi rentan terhadap serangan menggunakan komputer kuantum yang relevan secara kriptografis (Cryptographically komputer kuantum yang relevan, CRQC).

Perkiraan paling akurat untuk Project Eleven pada 17 Januari 2025 menunjukkan 6 262 905 BTC. Dana didistribusikan sebagai berikut:

• bitcoin era Satoshi — dari 600.000 hingga 1,1 juta BTC tetap berada di alamat tipe P2PK dengan kunci publik yang sepenuhnya terbuka;
• koin yang hilang — antara 2 hingga 3 juta BTC dimiliki oleh pengguna yang kehilangan akses ke kunci privat. Tidak semua dari mereka rentan terhadap kuantum, tetapi sebagian besar berada dalam bahaya;
• alamat dengan kunci terbuka — jutaan bitcoin berada di alamat di mana kunci publik telah terungkap karena penggunaannya yang berulang.

Para peneliti memberikan perhatian khusus pada konsentrasi dana di alamat bursa. Beberapa di antaranya menyimpan ratusan ribu bitcoin, menjadikannya target utama untuk potensi serangan kuantum.

"Dalam hal aset kunci publik, banyak pemegang besar, termasuk bursa dan kustodian institusional, secara historis mengelola cold storage mereka dengan menggunakan kembali alamat demi kesederhanaan operasional. […]

Sebagai hasilnya, terbentuk daftar prioritas ekonomi untuk tujuan potensial serangan kuantum: meretas alamat-alamat semacam itu dapat memberikan imbalan maksimal untuk usaha yang dikeluarkan, - kata laporan tersebut.

Kapan Menunggu "Hari Q"

Pada tahun 2024, organisasi Kanada Global Risk Institute melakukan survei terhadap 32 pakar terkemuka dari kalangan akademisi. Hampir sepertiga dari responden (10 dari 32) berpendapat bahwa kemungkinan munculnya CRQC dalam 10 tahun ke depan adalah 50% atau lebih.

Penulis laporan mencatat inisiatif pemerintah yang mengkonfirmasi seriusnya ancaman:

• AS. Catatan keamanan nasional Presiden Joe Biden dari Mei 2022 menetapkan tujuan untuk "mengurangi risiko kuantum yang mungkin terjadi pada tahun 2035". NIST menetapkan tahun 2030 sebagai tenggat waktu untuk meninggalkan RSA-2048 dan ECC-256 dengan larangan penuh pada tahun 2035;
• Inggris. Pusat Keamanan Siber Nasional telah merilis rencana migrasi tiga tahap: identifikasi sistem yang rentan hingga tahun 2028, pembaruan prioritas dari tahun 2028 hingga 2031, migrasi penuh dari tahun 2031 hingga 2035;
• Uni Eropa. ETSI mengoordinasikan pendekatan melalui kelompok kerja Quantum-Safe Cryptography, meskipun tenggat waktu spesifik belum ditetapkan;
• Cina. Alih-alih mengadopsi standar NIST, Cina pada Februari 2025 meluncurkan programnya sendiri "Algoritma Kriptografi Generasi Berikutnya untuk Penggunaan Komersial" melalui Institut Standar Kriptografi Komersial. Jadwal pelaksanaan program tersebut tidak diumumkan secara publik.

Para peneliti juga mencatat percepatan kemajuan di bidang komputasi kuantum. Pada Desember 2024, Google memperkenalkan prosesor Willow dengan 105 qubit fisik, mencapai tonggak penting dalam koreksi kesalahan kuantum. Pada Februari 2025, Microsoft memperkenalkan Majorana 1, prosesor kuantum pertama berdasarkan qubit topologi.

Dua tipe serangan kuantum

Komputer kuantum mengancam bitcoin melalui peretasan kriptografi elips menggunakan algoritma Shor. Algoritma ini dapat menghitung kunci privat dari publik dalam hitungan jam atau hari, dibandingkan dengan kuadriliunan tahun yang dibutuhkan oleh komputer klasik.

Serangan jangka panjang ditujukan pada tiga jenis skrip dengan kunci publik yang dikenal:

• Pay to Public Key (P2PK) — jenis tertua yang digunakan untuk hadiah penambangan awal. Mencakup 0,025% UTXO, tetapi mengandung 8,68% dari total pasokan bitcoin;
• Bayar ke MultiSig (P2MS) — "multisig mentah", diperkenalkan pada tahun 2011. Mencakup 1,037% UTXO dengan sekitar 57 BTC;
• Pay to Taproot (P2TR) — diperkenalkan pada tahun 2021, mencakup 32,5% UTXO dengan 0,74% penawaran (146 715 BTC).

Serangan jangka pendek mempengaruhi semua transaksi, tetapi terjadi dalam jendela waktu yang sempit, ketika pengguna mengungkapkan kunci publik di mempool ( sebelum konfirmasi ).

Membakar atau meninggalkan

Pertanyaan tentang nasib alat yang rentan kuantum telah membagi komunitas menjadi dua kubu.

Pendukung "pembakaran" yang dipimpin oleh Jameson Lopp berpendapat bahwa penghapusan koin yang rentan akan menjaga integritas bitcoin. Menurut mereka, memberikan izin kepada komputer kuantum untuk mengambil dana setara dengan redistribusi kekayaan dari mereka yang kehilangan akses ke bitcoin, kepada mereka yang akan memenangkan perlombaan teknologi untuk komputer kuantum.

Lopp membandingkan kerentanan kuantum dengan bug pada tingkat protokol yang perlu diperbaiki. Pembakaran akan memastikan kepastian dan membatasi volatilitas pasar.

Para penentang melihat pembakaran sebagai penyitaan dan pelanggaran hak milik pemilik koin. Menurut mereka, bitcoin diciptakan sebagai sistem di mana pengguna menjaga kedaulatan penuh atas dana mereka dengan akses ke dana tersebut kapan saja.

Perubahan yang membuat UTXO tertentu selamanya tidak dapat diakses merupakan campur tangan pihak ketiga, yang mana Bitcoin diciptakan untuk melawannya. Ini akan menjadi penyitaan yang sebenarnya bagi pemilik yang, entah bagaimana, tidak mengetahui ancaman kuantum atau tidak dapat memindahkan koin mereka ke alamat yang tahan kuantum tepat waktu.

Keputusan ini akan mempengaruhi total penawaran bitcoin ( dalam kasus pembakaran ) atau akan mengarah pada redistribusi kekayaan yang luas ( dalam kasus "pencurian kuantum" ). Juga ada pertanyaan hukum mengenai potensi tanggung jawab pengembang dan anggota komunitas untuk setiap keputusan yang diambil.

Solusi yang Disarankan

Pengembang mempertimbangkan beberapa pendekatan untuk perlindungan kuantum, masing-masing dengan kelebihan dan kompromi.

OP_CAT di Tapscript (BIP-347). Ethan Heilman dan Armin Saburi telah mengusulkan untuk mengembalikan opcode OP_CAT yang dinonaktifkan Satoshi pada tahun 2010. Ini akan memungkinkan pembuatan tanda tangan Lamport — tanda tangan berbasis hash yang tahan terhadap serangan kuantum.

QuBit (BIP-360). Pengembang dengan nama samaran Hunter Beast telah memperkenalkan proposal paling mendalam setelah berbulan-bulan diskusi. P2QRH memperkenalkan jenis output baru menggunakan algoritma FALCON yang disetujui NIST, serta CRYSTALS-Dilithium dan SPHINCS+.

Skrip Taproot yang dilindungi kuantum. Matt Corallo mengusulkan untuk menambahkan opcode OP_SPHINCS untuk memverifikasi tanda tangan pasca-kuantum. Ini akan memungkinkan dompet untuk membuat keluaran Taproot dengan jalur pengeluaran yang dilindungi kuantum. Luke Dash - junior mencatat bahwa dompet dapat mulai menerapkan segera setelah spesifikasi difinalisasi, tanpa menunggu aktivasi soft fork.

Kompresi tanda tangan melalui STARK. Ethan Heilman mengusulkan untuk mengagregasi tanda tangan pasca-kuantum menjadi satu bukti STARK yang kompak. Ini dapat meningkatkan kapasitas Bitcoin sambil secara bersamaan meningkatkan privasi.

Strategi Transisi

Penulis laporan mengusulkan pendekatan dua tahap, mengakui ketidakpastian dalam waktu ancaman kuantum.

• langkah jangka pendek (dua tahun) — menciptakan solusi yang layak secara minimal untuk penerapan darurat;
• Rencana jangka panjang (семь лет) adalah mengembangkan protokol resisten kuantum yang optimal. Berdasarkan preseden sejarah SegWit (8.5 tahun dari konsep hingga принятия) dan Taproot (7.5 лет).

Menurut perkiraan mereka, migrasi semua UTXO ke alamat yang tahan kuantum akan memerlukan waktu antara 76 hingga 568 hari tergantung pada ruang yang tersedia di blok.

Penambangan di bawah perlindungan

Komputer kuantum kemungkinan besar tidak akan mengganggu penambangan bitcoin dalam waktu dekat karena keterbatasan fundamental.

*"Tidak seperti serangan kuantum pada tanda tangan digital, penambangan kuantum harus bersaing dengan penambangan klasik. Dalam kasus tanda tangan Bitcoin berbasis kurva elips, ketika komputer kuantum telah mencapai tingkat pengembangan yang memadai, satu mesin (CRQC) dapat mengkompromikan dana dengan memecahkan kriptografi yang digunakan. Penambangan kuantum, sebaliknya, akan membutuhkan sejumlah besar mesin kuantum cepat untuk mencocokkan kinerja ASIC saat ini. Tidak seperti penambangan klasik, penambangan kuantum sulit untuk diparalelkan, yang membuatnya jauh lebih sulit untuk diskalakan dan membuatnya jauh lebih tidak efisien dalam praktiknya," kata laporan itu.

Apa yang harus dilakukan oleh pemegang

Peneliti merekomendasikan:

• menghentikan penggunaan kembali alamat;
• mentransfer dana dari jenis skrip yang rentan (P2PK, P2MS, P2TR) ke yang lebih aman (P2PKH, P2SH, P2WPKH, P2WSH);
• bursa harus membuat perubahan dalam pendekatan pengelolaan dompet dingin untuk meminimalkan risiko kuantum.

Laporan menekankan: meskipun ancaman kuantum tidak menjadi perhatian saat ini, jendela untuk persiapan akan menyusut seiring dengan perkembangan teknologi. Tindakan proaktif hari ini diperlukan untuk kelangsungan hidup Bitcoin jangka panjang.

Sebelumnya Project Eleven menawarkan 1 BTC untuk peretasan kuantum kriptografi bitcoin.