Apa yang benar-benar mengancam Bitcoin di era kuantum: Antara kekhawatiran dan kenyataan

Co to jest kwant i dlaczego Bitcoin powinien się martwić?

Zanim przejdziemy do dyskusji o przyszłości Bitcoina, warto zrozumieć, na czym polega sama groźba. Komputery kwantowe to maszyny działające na zupełnie innych zasadach niż tradycyjne komputery. Zamiast bitów (0 lub 1) używają kubitów, które mogą być jednocześnie 0 i 1, co daje im potencjalnie astronomiczną moc obliczeniową. Dla Bitcoina najgroźniejszy jest algorytm Shora, który w teorii potrafiłby wydobyć klucze prywatne z kluczy publicznych w czasie wielomianowym.

Dlaczego to stanowi zagrożenie? Bitcoin zabezpiecza transakcje za pomocą schematu cyfrowego opartego na ECDSA i Schnorra na krzywej secp256k1. Obecnie matematycznie niemożliwe jest wyliczenie klucza prywatnego z publicznego — to jest fundamentem bezpieczeństwa całej sieci. Jednak komputer kwantowy wystarczająco potężny byłby w stanie przebić tę obronę. Naukowcy szacują, że do tego potrzeba około 2000 do 4000 logicznych kubitów działających prawie bezbłędnie. Współczesne urządzenia kwantowe działają na kilkadziesiąt kubitów i są dalekie od tego progu.

Okno bezpieczeństwa: Czy Bitcoin ma wystarczająco dużo czasu?

Tutaj pojawia się pierwsza doza pocieszenia. Szacunki wskazują, że komputery kwantowe zdolne do rzeczywistego zagrożenia dla Bitcoina są oddalone co najmniej o dekadę. To teoretycznie daje sieci wystarczającą ilość czasu na przygotowanie się. NIST już zatwierdził standardy obronne: ML-DSA (Dilithium) i SLH-DSA (SPHINCS+) zostały opublikowane jako FIPS 204 i 205, a FN-DSA (Falcon) oczekuje na zatwierdzenie jako FIPS 206. Te schematy są na dzisiaj praktycznie odporne na ataki kwantowe.

Teoretycznie Bitcoin mógłby wdrożyć nowe typy wyjść (outputs) lub podpisy hybrydowe integrujące algorytmy post-kwantowe. Zespoły takie jak Bitcoin Optech już eksperymentują z agregacją podpisów i konstrukcjami opartymi na Taproot. Badania wydajnościowe sugerują, że nawet SLH-DSA dałby się uruchomić w sieci przy parametrach porównywalnych z dzisiejszymi obciążeniami. Scenariusz, w którym Bitcoin adaptuje się do zagrożenia kwantowego, nie jest technicznie niemożliwy.

Koszt migracji: Ukryta cena bezpieczeństwa

Jednak opowieść o technicznych możliwościach nie mówi całej prawdy. Przejście na podpisy post-kwantowe ma realne konsekwencje ekonomiczne. Badania opublikowane w Journal of British Blockchain Association wskazują, że realizm bezpieczeństwa kwantowego wiąże się z obniżeniem pojemności bloku — szacunek to spadek o około połowę. Obecne podpisy post-kwantowe są fizycznie większe i wymagają więcej mocy obliczeniowej do weryfikacji.

To z kolei oznacza wzrost kosztów operacyjnych węzłów. Opłaty transakcyjne będą tendencją wzrostową, bo każdy podpis zajmie więcej miejsca w ograniczonej przestrzeni bloku. To nie jest katastrofa, ale też nie jest transparentna korzyść — to wymiana między bezpieczeństwem kwantowym a wydajnością dzisiaj.

Problem ujawnionych kluczy: 1,7 miliona Bitcoinów w niebezpieczeństwie

Tutaj sprawa staje się bardziej niepokojąca. Podatność na ataki kwantowe nie jest równomiernie rozłożona wśród wszystkich Bitcoinów. Zależy od typu adresu i tego, czy klucz publiczny jest już widoczny na blockchainie.

Wczesne wyjścia typu pay-to-public-key umieszczają surowy klucz publiczny bezpośrednio w łańcuchu — są więc chronione tylko przez bezpieczeństwo ECDSA, nic więcej. Standardowe adresy P2PKH i SegWit P2WPKH ukrywają klucz za hashem do momentu wydania monet, kiedy to klucz staje się widoczny. Nowsze wyjścia Taproot P2TR kodują klucz publiczny od pierwszego dnia, co oznacza, że te UTXO są podatne nawet zanim zostaną przeniesione.

Analiza danych chain wskazuje na przerażający obraz: około 25% wszystkich Bitcoinów znajduje się już w wyjściach z publicznie ujawnionymi kluczami. Dokładniej — szacunki mówią o około 1,7 miliona BTC z „ery Satoshiego" pozostającym w starych wyjściach P2PK, plus setki tysięcy więcej w nowszych wyjściach Taproot z widocznymi kluczami. Niektóre z tych monet historycznie uchodzą za „utracone", ale w rzeczywistości to dryfujące aktywa, które przy pojawienia się wystarczającej mocy kwantowej mogłyby stać się łupem dla pierwszego atakującego.

Monety, które nigdy nie ujawniły klucza publicznego (jednorazowe P2PKH lub P2WPKH), mają znacznie lepszą pozycję. Są chronione przez zahaszowane adresy, wobec których algorytm Grovera zapewnia jedynie przyspieszenie pierwiastkowe — zagrożenie, które można zneutralizować poprzez dostosowanie parametrów bezpieczeństwa.

Scenariusze podaży: Niemal każdy prowadzi do chaosu

Michael Saylor twierdzi, że „bezpieczeństwo wzrasta, podaż spada". To uproszczenie, które ignoruje złożoność rzeczywistych scenariuszy.

Pierwszy scenariusz to „kurczenie się podaży przez porzucenie". Właściciele monet w podatnych wyjściach, którzy nigdy nie przeprowadzą migracji, mogą być faktycznie skutecznie blokadą — monety oznaczane jako ulegalne czy umieszczane na czarnej liście przez konwencję sieci. To mogłoby rzeczywiście zmniejszyć efektywną podaż w obiegu.

Drugi scenariusz to „zniekształcenie podaży przez kradzież". Atakujący kwantowy, dysponując odpowiednią maszyną, mogliby metodycznie opróżniać ujawnione portfele. To nie byłoby „spalaniem" monet, lecz przenosinami ich do puli kontrolowanej przez atakującego — bez żadnych byczych implikacji dla wyceny.

Trzeci scenariusz to „panika przed fizyką". Sama spekulacja na temat nadchodzących zagrożeń kwantowych mogłaby wywołać preemptywne wyprzedaże, rozłamy łańcucha lub masową migrację kapitału. Ten scenariusz może być bardziej niebezpieczny niż sama technologia.

Żaden z tych ścieżek nie gwarantuje czystego zmniejszenia krążącej podaży, które byłoby jedno i pozytywnie bykami. Mogą równie dobrze doprowadzić do chaotycznych zmian wyceny, spornych forków i fali ataków na starsze portfele.

Wyzwanie koordynacji: Fizyka to mniejszy problem

Dobrą wiadomość jest to, że proof-of-work Bitcoin oparty na SHA-256 jest stosunkowo odporny na kwanty. Algorytm Grovera daje jedynie przyspieszenie kwadratowe, co można skompensować zwiększeniem trudności wydobycia. Najbardziej krytycznym zagrożeniem pozostają schematy sygnowania cyfrowego.

Ale tu pojawia się problem, który wykracza poza matematykę. Bitcoin nie ma centralnej władzy, która mogłaby narzucić aktualizacje. Każda migracja post-kwantowa wymagałaby przytłaczającego konsensusu między deweloperami, górnikami, giełdami i dużymi posiadaczami. Ta koordynacja musiałaby się dokonać zanim pojawią się komputery kwantowe zdolne do rzeczywistych ataków.

Najnowsze analizy z kręgów venture capital podkreślają, że zarządzanie i czas stanowią większe ryzyko niż sama matematyka. Społeczność Bitcoina w przeszłości miała trudności z prostymi aktualizacjami. Przejście post-kwantowe byłoby najbardziej ambitnym zmianom w historii sieci.

Subtelne ataki w mempoolu

Jeden szczegół często pomijany w dyskusji dotyczy mempoolu — przestrzeni, gdzie transakcje czekają na wydobycie. Gdy ktoś wysyła monety z adresu o zahaszowanym kluczu, jego klucz publiczny zostaje ujawniony podczas tego procesu. W scenariuszu z atakującym kwantowym mogłaby pojawić się możliwość ataku „sign-and-steal": obserwator kwantowy czeka w mempoolu, szybko regeneruje klucz prywatny i wysyła konkurencyjną transakcję z wyższą opłatą.

To nie jest łatwy atak, ale jest możliwością, którą tradycyjna analiza ryzyka często ignoruje.

Podsumowanie: Optymizm warunkowy

Bitcoin może się wzmocnić w erze kwantowej. Sieć może wdrożyć nowe podpisy, chronić podatne wyjścia i wyjść z wzmocnionymi gwarancjami kryptograficznymi. Ale zakład Saylora — że wszystko potoczy się gładko, że „utracone monety pozostaną zamrożone" i że „podaż spadnie" — jest bardziej zakładem na doskonałą koordynację niż na fizykę.

Rzeczywistość jest bardziej złożona. Około 1,7 miliona Bitcoinów znajduje się już w narażonych wyjściach. Migracja będzie kosztowna, politycznie trudna i wymaga bezprecedensowej koordynacji. Bitcoin może wyjść z tego silniejszy, ale tylko jeśli deweloperzy i duża posiadacze zareagują wcześnie, a sieć uniknie paniki lub masowych kradzieży.

Pewność jest umiarkowana. Inżynieria jest możliwa. Ale społeczna koordynacja pozostaje nieznana.