Бычьи трейдеры Bitcoin сталкиваются с риском кражи квантовыми подписями на 6.7 млн уязвимых BTC

Квантовые компьютеры не могут расшифровать Bitcoin, но могут подделывать подписи из-за уязвимых публичных ключей, ставя под угрозу около 6,7 млн BTC, если кошельки не перейдут на пост‑квантовые пути до появления крупных машин с высокой отказоустойчивостью.
Резюме

• Bitcoin не хранит зашифрованных секретов в блокчейне; критическая квантовая угроза — восстановление ключей с помощью Shor‑а из уязвимых публичных ключей, что позволяет подделывать утверждения на уязвимых UTXO.
• Проект Eleven’s Bitcoin Risq List оценивает около 6,7 млн BTC в адресах, соответствующих его критериям уязвимости публичных ключей, при этом Taproot меняет, но не устраняет риск, если масштабируются квантовые машины.
• Текущие оценки предполагают необходимость примерно 2 330 логических кубитов и миллионов физических кубитов для взлома 256‑битной ECC, что дает время для интеграции пост‑квантовых решений уровня BIP, например, P2QRH и схем NIST‑стандарта, несмотря на более крупные и более дорогие по комиссиям подписи.

Квантовые компьютеры представляют угрозу для (BTC) через потенциальное использование цифровых подписей, а не расшифровку зашифрованных данных, согласно исследователям и разработчикам безопасности криптовалют.

Технология квантовых компьютеров и Bitcoin — совместимы?

Bitcoin не хранит зашифрованных секретов в своем блокчейне, что делает широко распространенную концепцию «квантовые компьютеры взламывают шифрование Bitcoin» технически неточной, утверждает Адам Бэк, долгосрочный разработчик Bitcoin и изобретатель Hashcash. Безопасность криптовалюты основана на цифровых подписях и хэш‑основанных обязательствах, а не на шифротексте.

«Bitcoin не использует шифрование», — заявил Бэк в социальной сети X, добавив, что ошибка в терминологии свидетельствует о неправильном понимании основ технологии.

Реальная квантовая угроза связана с подделкой утверждений, когда достаточно мощный квантовый компьютер, использующий алгоритм Shor, сможет вывести приватный ключ из публичного ключа в блокчейне и создать действительную подпись для транзакции, согласно технической документации.

Системы подписей Bitcoin, ECDSA и Schnorr, подтверждают контроль над парой ключей. Уязвимость публичных ключей — основная проблема безопасности, которая зависит от того, какая информация появляется в блокчейне. Многие форматы адресов используют хэш публичного ключа, скрывая сам публичный ключ до момента расходования транзакции.

Проект Eleven, организация по исследованию безопасности криптовалют, ведет открытый «Bitcoin Risq List», отслеживающий уязвимость публичных ключей на уровне скриптов и повторного использования адресов. Общедоступный трекер организации показывает примерно 6,7 миллиона BTC, соответствующих ее критериям уязвимости, согласно опубликованной методологии.

Выходы Taproot, известные как P2TR, включают 32‑байтовый модифицированный публичный ключ в выходной программе вместо хэша pubkey, как описано в Bitcoin Improvement Proposal 341. Это меняет схему уязвимости так, что она станет актуальной только при запуске крупных отказоустойчивых квантовых машин, согласно документации Project Eleven.

Исследование, опубликованное в статье «Оценки квантовых ресурсов для вычисления дискретных логарифмов эллиптических кривых» Роетелера и соавторов, устанавливает верхнюю границу в 9n + 2⌈log2(n)⌉ + 10 логических кубитов, необходимых для вычисления дискретного логарифма по эллиптической кривой в поле простого числа n. Для n=256 это примерно 2 330 логических кубитов.

Оценка 2023 года от Литински показывает, что вычисление приватного ключа эллиптической кривой длиной 256 бит занимает примерно 50 миллионов гейтов Тэффоли. При таких предположениях модульный подход может вычислить один ключ примерно за 10 минут, используя около 6,9 миллиона физических кубитов. В обзоре Schneier on Security приводятся оценки, что для взлома шифрования за один день требуется около 13 миллионов физических кубитов, а для целевой атаки за один час — примерно 317 миллионов физических кубитов.

Алгоритм Гровера, обеспечивающий квадратичное ускорение при полном переборе, представляет собой квантовую угрозу для хэш-функций. Исследования NIST показывают, что для предобразов SHA-256 целевая сложность остается порядка 2^128 после применения алгоритма Гровера, что не сравнимо с взломом дискретного логарифма эллиптической кривой.

Пост‑квантовые подписи обычно измеряются в килобайтах, а не в десятках байт, что влияет на экономику веса транзакций и пользовательский опыт кошелька, согласно техническим спецификациям.

NIST стандартизировал пост‑квантовые примитивы, включая ML-KEM (FIPS 203), как часть более широкой миграционной стратегии. В экосистеме Bitcoin предлагается тип выхода «Pay to Quantum Resistant Hash» (BIP 360), а сайт qbip.org выступает за отказ от наследственных подписей для стимулирования миграции.

IBM в недавнем заявлении Reuters сообщил о прогрессе в компонентах коррекции ошибок, повторяя план развития отказоустойчивой квантовой системы к 2029 году. Также компания отметила, что один из ключевых алгоритмов коррекции ошибок может работать на обычных AMD-чипах, согласно отдельному отчету Reuters.

Измеряемыми факторами являются доля набора UTXO с уязвимыми публичными ключами, изменения в поведении кошельков в ответ на такую уязвимость и скорость внедрения квантонесущих путей расходования при сохранении ограничений по валидации и комиссиям, согласно анализу Project Eleven.