Квантові ризики: у Chaincode Labs оцінили загрозу для біткоїна

Фахівці дослідницької організації Chaincode Labs опублікували детальний звіт про потенційні загрози квантових комп'ютерів для біткоїна. 55-сторінковий документ підготували доктори Ентоні Мілтон та Клара Шікельман у травні 2025 року.

Скільки біткоїнів під загрозою

За оцінками авторів, від 20% до 50% всіх біткойнів в обігу (4-10 мільйонів BTC) потенційно вразливі до атак з використанням криптографічно значущих квантових комп'ютерів (Cryptographically відповідних квантових комп'ютерів, CRQC).

Найбільш точна оцінка Project Eleven від 17 січня 2025 року вказує на 6 262 905 BTC. Кошти розподілені наступним чином:

• біткоїни епохи Сатоші — від 600 000 до 1,1 млн BTC залишаються на адресах типу P2PK з повністю відкритими публічними ключами;
• втрачені монети — від 2 до 3 млн BTC належать користувачам, які втратили доступ до приватних ключів. Не всі з них квантово уразливі, але значна частина знаходиться під загрозою;
• адреси з відкритими ключами — мільйони біткоїнів знаходяться на адресах, де публічні ключі були розкриті через їх повторне використання.

Особливу увагу дослідники звернули на концентрацію коштів на біржових адресах. Деякі з них містять сотні тисяч біткоїнів, що робить їх пріоритетними цілями для потенційних квантових атак.

«Що стосується активів з відкритими публічними ключами, багато великих тримачів, включаючи біржі та інституційних кастодіанів, історично управляли своїми холодними сховищами, повторно використовуючи адреси для операційної простоти. […]

В результаті формується економічно пріоритетний список цілей для потенційних квантових атакуючих: злам таких адрес може забезпечити максимальну віддачу за вкладені зусилля.

Коли чекати «День Q»

У 2024 році канадська організація Global Risk Institute провела опитування 32 провідних експертів з академічних кіл. Майже третина 32( )10 опитаних вважають, що ймовірність виникнення CRQC становить 50% або більше протягом наступних 10 років.

Автори звіту звернули увагу на державні ініціативи, які підтверджують серйозність загрози:

Нота президента Джо Байдена з національної безпеки від травня 2022 року має на меті «пом'якшити можливі квантові ризики до 2035 року». NIST встановив 2030 рік як крайній термін для поступової відмови від RSA-2048 і ECC-256 з повною забороною до 2035 року;

• Великобританія. Національний центр кібербезпеки випустив трьохетапний план міграції: ідентифікація уразливих систем до 2028 року, пріоритетні оновлення з 2028 по 2031 рік, повна міграція з 2031 по 2035 рік;
• Європейський союз. ETSI координує підхід через робочу групу Quantum-Safe Cryptography, хоча конкретні терміни ще не встановлені;
• Китай. Замість прийняття стандартів NIST Китай у лютому 2025 року запустив власну програму «Криптографічні алгоритми наступного покоління для комерційного використання» через Інститут стандартів комерційної криптографії. Конкретні терміни реалізації програми публічно не оголошені.

Також дослідники зазначили прискорення прогресу в галузі квантових обчислень. У грудні 2024 року Google представив процесор Willow з 105 фізичними кубітами, який досяг важливої віхи в квантовій корекції помилок. Microsoft у лютому 2025 року представила Majorana 1 — перший квантовий процесор на топологічних кубітах.

Два типи квантових атак

Квантові комп'ютери загрожують біткоїну через злом еліптичної криптографії з використанням алгоритму Шора. Цей алгоритм може обчислювати приватний ключ з відкритого ключа в годинах або днях замість квадрильйонів років, необхідних для класичних комп'ютерів.

Довгострокові атаки націлені на три типи скриптів з відомими публічними ключами:

• Pay to Public Key (P2PK) — найстаріший тип, що використовується для ранніх нагород за майнінг. Становить 0,025% UTXO, але містить 8,68% пропозиції біткоїна;
• Pay to MultiSig (P2MS) — «сирийний мультисиг», введений у 2011 році. Охоплює 1,037% UTXO з приблизно 57 BTC;
• Pay to Taproot (P2TR) – запроваджено у 2021 році, на частку припадає 32,5% UTXO з 0,74% пропозицією 019283746574839201146 715 BTC(.

Короткострокові атаки впливають на всі транзакції, але вони відбуваються у вузькому часовому вікні, коли користувач розкриває відкритий ключ у мемпулі )до подтверждения(.

Спалити чи залишити

Питання про долю квантово вразливих засобів вже розділило спільноту на два табори.

Прихильники спалювання на чолі з Джеймсоном Лоппом стверджують, що видалення вразливих монет збереже цілісність біткойна. На їхню думку, дозволити квантовим комп'ютерам забирати кошти рівносильно перерозподілу багатства від тих, хто втратив доступ до біткоїнів, до тих, хто переможе в технологічній гонці за квантовими комп'ютерами.

Лопп порівняв квантову вразливість з помилкою на рівні протоколу, яку потрібно виправити. Спалювання додасть впевненості та обмежить волатильність ринку.

Опоненти вбачають у спаленні конфіскацію та порушення прав власності власників монет. На їхню думку, біткоїн був створений як система, де користувачі зберігають повний суверенітет над своїми коштами з можливістю доступу до них у будь-який час.

Зміна, що робить певні UTXO назавжди недоступними, є втручанням третьої сторони, проти якого було створено біткойн. Це стане фактичною конфіскацією для власників, які з якихось причин просто не знають про квантову загрозу або не зможуть вчасно перевести монети на квантово-стійкі адреси.

Рішення вплине на загальну пропозицію біткоіни )в разі сжигания( або призведе до масового перерозподілу багатства )в випадку «квантової крадіжки»( Існують також юридичні питання щодо потенційної відповідальності розробників і членів спільноти за будь-яке рішення, яке вони приймають.

Пропоновані рішення

Розробники розглядають кілька підходів до квантового захисту, кожен з яких має свої переваги та компроміси.

OP_CAT у Tapscript )BIP-347(. Ітан Хейлман та Армін Сабурі запропонували повернути код операції OP_CAT, який Сатоші відключив у 2010 році. Це дозволить створювати підписи Lamport — підписи на основі хешування, які стійкі до квантових атак.

QuBit )BIP-360(. Розробник під псевдонимом Hunter Beast представив найбільш продуману пропозицію після місяців обговорень. P2QRH вводить новий тип виходів з використанням затвердженого NIST алгоритму FALCON, а також CRYSTALS-Dilithium і SPHINCS+.

Квантово-захищені скрипти Taproot. Мэтт Коралло запропонував додати опкод OP_SPHINCS для перевірки постквантових підписів. Це дозволить гаманцям створювати Taproot-виходи з квантово-захищеним шляхом витрат. Люк Деш ― молодший зазначив, що гаманці можуть почати впровадження одразу після фіналізації специфікації, не чекаючи активації софт-форку.

Стиснення підписів через STARK. Ітан Хейлман запропонував агрегувати постквантові підписи в одне компактне доказательство STARK. Це може збільшити пропускну здатність біткоїна при одночасному підвищенні приватності.

Стратегія переходу

Автори звіту запропонували двоетапний підхід, визнаючи невизначеність у термінах квантової загрози.

• короткострокові заходи )два роки( — створення мінімально життєздатного рішення для екстреного застосування;
• Довгостроковий план )семь лет( полягає в розробці оптимального квантово-стійкого протоколу. На основі історичних прецедентів SegWit )8.5 років від задуму до принятия( та Taproot )7.5 лет(.

За їхніми оцінками, для міграції всіх UTXO на квантово стійкі адреси знадобиться від 76 до 568 днів в залежності від доступного простору в блоках.

Майнинг під захистом

Квантові комп'ютери навряд чи порушать майнінг біткоїна в найближчому майбутньому через фундаментальні обмеження.

«На відміну від квантових атак на цифрові підписи, квантовий майнінг повинен конкурувати з класичним майнінгом. У випадку з біткойн-сигнатурами на основі еліптичної кривої, коли квантові комп'ютери досягли достатнього рівня розвитку, одна машина )CRQC( зможе скомпрометувати кошти, зламавши використовувану криптографію. Квантовий майнінг, навпаки, вимагатиме великої кількості швидких квантових машин, щоб відповідати продуктивності сучасних ASIC. На відміну від класичного майнінгу, квантовий майнінг важко розпаралелювати, що значно ускладнює його масштабування та робить набагато менш ефективним на практиці», — йдеться у звіті.

Що робити тримачам

Дослідники рекомендують:

• припинити повторне використання адрес;
• переказувати кошти з вразливих типів скриптів )P2PK, P2MS, P2TR( на більш безпечні )P2PKH, P2SH, P2WPKH, P2WSH(;
• біржам внести зміни в підходи до управління холодними гаманцями для мінімізації квантових ризиків.

Звіт підкреслює: хоча квантова загроза наразі не є актуальною, вікно для підготовки звужуватиметься в міру розвитку технологій. Проактивні дії сьогодні необхідні для довгострокового виживання біткоїна.

Раніше Project Eleven запропонував 1 BTC за квантовий злам криптографії біткоїна.