Что действительно угрожает Bitcoin в эпоху квантовых вычислений: между опасениями и реальностью

Что такое квант и почему Bitcoin должен бояться?

Прежде чем перейти к обсуждению будущего Bitcoin, стоит понять, в чем заключается сама угроза. Квантовые компьютеры — это машины, работающие на совершенно иных принципах, чем традиционные компьютеры. Вместо битов (0 или 1) используют кубиты, которые могут одновременно быть и 0, и 1, что потенциально дает им астрономическую вычислительную мощность. Для Bitcoin наиболее опасен алгоритм Шора, который в теории способен за многомерное время извлекать приватные ключи из публичных ключей.

Почему это представляет угрозу? Bitcoin защищает транзакции с помощью цифрового схемы, основанной на ECDSA и Schnorr на кривой secp256k1. В настоящее время математически невозможно вычислить приватный ключ из публичного — это фундамент безопасности всей сети. Однако достаточно мощный квантовый компьютер сможет преодолеть эту защиту. Ученые оценивают, что для этого потребуется около 2000–4000 логических кубитов, работающих почти без ошибок. Современные квантовые устройства работают на десятках кубитов и далеки от этого порога.

Окно безопасности: Есть ли у Bitcoin достаточно времени?

Здесь появляется первая утешительная новость. Оценки показывают, что квантовые компьютеры, способные реально угрожать Bitcoin, отдалены как минимум на десятилетие. Теоретически это дает сети достаточно времени на подготовку. NIST уже утвердил защитные стандарты: ML-DSA (Dilithium) и SLH-DSA (SPHINCS+) были опубликованы как FIPS 204 и 205, а FN-DSA (Falcon) ожидает утверждения как FIPS 206. Эти схемы на сегодняшний день практически устойчивы к квантовым атакам.

Теоретически Bitcoin мог бы внедрить новые типы выходов (outputs) или гибридные подписи, объединяющие пост-квантовые алгоритмы. Такие команды, как Bitcoin Optech, уже экспериментируют с агрегированием подписей и конструкциями на базе Taproot. Исследования по эффективности показывают, что даже SLH-DSA можно запустить в сети при параметрах, сопоставимых с текущими нагрузками. Сценарий, при котором Bitcoin адаптируется к квантовой угрозе, технически возможен.

Стоимость миграции: скрытая цена безопасности

Однако рассказ о технических возможностях не отражает всей правды. Переход на пост-квантовые подписи имеет реальные экономические последствия. Исследования, опубликованные в Journal of British Blockchain Association, показывают, что реализм квантовой безопасности связан с уменьшением емкости блока — по оценкам, примерно вдвое. Пост-квантовые подписи физически больше и требуют больше вычислительных ресурсов для проверки.

Это, в свою очередь, ведет к росту операционных затрат узлов. Транзакционные сборы будут расти, поскольку каждая подпись займет больше места в ограниченном пространстве блока. Это не катастрофа, но и не прозрачная выгода — это обмен между квантовой безопасностью и сегодняшней производительностью.

Проблема раскрытых ключей: 1,7 миллиона Bitcoin в опасности

Здесь ситуация становится более тревожной. Уязвимость к квантовым атакам не равномерно распределена среди всех Bitcoin. Она зависит от типа адреса и того, виден ли уже публичный ключ в блокчейне.

Ранние выходы типа pay-to-public-key размещают сырой публичный ключ прямо в цепочке — и защищены только безопасностью ECDSA, ничего более. Стандартные адреса P2PKH и SegWit P2WPKH скрывают ключ за хешем до момента выпуска монет, когда ключ становится видимым. Новые выходы Taproot P2TR кодируют публичный ключ с первого дня, что означает, что эти UTXO уязвимы даже до их переноса.

Анализ данных цепи показывает ужасающую картину: около 25% всех Bitcoin уже находятся в выходах с публично раскрытыми ключами. Точнее — оценки говорят о примерно 1,7 миллиона BTC из «эры Сатоши», остающихся в старых выходах P2PK, плюс сотни тысяч в новых выходах Taproot с видимыми ключами. Некоторые из этих монет исторически считаются «утерянными», но на самом деле это плавающие активы, которые при появлении достаточной квантовой мощности могут стать добычей первого атакующего.

Монеты, которые никогда не раскрывали ключ публичный (одноразовые P2PKH или P2WPKH), имеют гораздо более надежную позицию. Они защищены зашешированными адресами, против которых алгоритм Гровера обеспечивает лишь ускорение квадратного корня — угрозу, которую можно нейтрализовать путем настройки параметров безопасности.

Сценарии предложения: Почти все ведет к хаосу

Майкл Сэйлор утверждает, что «безопасность растет, предложение сокращается». Это упрощение, игнорирующее сложность реальных сценариев.

Первый сценарий — «сокращение предложения за счет отказа». Владельцы уязвимых выходов, которые никогда не проведут миграцию, могут фактически стать преградой — монеты, помеченные как нелегальные или занесенные в черный список по сетевым соглашениям. Это действительно может снизить эффективное предложение в обращении.

Второй сценарий — «искажение предложения за счет кражи». Квантовый злоумышленник, обладая подходящей машиной, мог бы методично опустошать раскрытые кошельки. Это не было бы «сгоранием» монет, а переносом их в пул, контролируемый атакующим — без каких-либо бычьих импликаций для оценки.

Третий сценарий — «паника перед физикой». Само спекулирование о грядущих квантовых угрозах могло бы вызвать превентивные распродажи, расколы цепи или массовую миграцию капитала. Этот сценарий может быть более опасен, чем сама технология.

Ни один из этих путей не гарантирует чистого уменьшения циркулирующего предложения, которое было бы однозначным и бычьим. Они могут также привести к хаотичным изменениям оценки, спорным форкам и волне атак на старые кошельки.

Вызов координации: Физика — меньшая проблема

Хорошая новость — proof-of-work Bitcoin, основанный на SHA-256, относительно устойчив к квантам. Алгоритм Гровера дает лишь квадратичное ускорение, что можно компенсировать увеличением сложности майнинга. Самая критическая угроза — схемы цифровой подписи.

Но здесь возникает проблема, которая выходит за рамки математики. Bitcoin не имеет центральной власти, которая могла бы навязать обновления. Каждая пост-квантовая миграция потребовала бы подавляющего консенсуса между разработчиками, майнерами, биржами и крупными держателями. Эта координация должна произойти до появления квантовых компьютеров, способных к реальным атакам.

Последние аналитические обзоры венчурных компаний подчеркивают, что управление и время представляют собой больше рисков, чем сама математика. В прошлом сообщество Bitcoin испытывало трудности с простыми обновлениями. Переход в пост-квантовую эпоху станет самым амбициозным изменением в истории сети.

Тонкие атаки в mempool

Один часто упускаемый из виду аспект — mempool, пространство, где транзакции ожидают майнинга. Когда кто-то отправляет монеты с адреса с зашешированным ключом, его публичный ключ раскрывается в процессе. В сценарии с квантовым атакующим может появиться возможность атаки «sign-and-steal»: квантовый наблюдатель ждет в mempool, быстро восстанавливает приватный ключ и отправляет конкурирующую транзакцию с более высокой платой.

Это не легкая атака, но возможность, которую традиционный анализ рисков часто игнорирует.

Итог: условный оптимизм

Bitcoin может укрепиться в эпоху квантов. Сеть может внедрить новые подписи, защитить уязвимые выходы и выйти с усиленными криптографическими гарантиями. Но предположение Saylora — что все пройдет гладко, что «утерянные монеты останутся замороженными» и что «предложение сократится» — больше похоже на ставку на идеальную координацию, чем на физику.

Реальность более сложна. Уже около 1,7 миллиона Bitcoin находятся в уязвимых выходах. Миграция будет дорогой, политически сложной и потребует беспрецедентной координации. Bitcoin может выйти из этого более сильным, но только если разработчики и крупные держатели среагируют заранее, а сеть избегнет паники или массовых краж.

Уверенности умеренные. Инженерия возможна. Но социальная координация остается неизвестной.