Що насправді загрожує Bitcoin у квантову еру: між побоюванням і реальністю

Що таке квант і чому Bitcoin має турбуватися?

Перш ніж перейти до обговорення майбутнього Bitcoin, варто зрозуміти, у чому полягає сама загроза. Квантові комп’ютери — це машини, що працюють на зовсім інших засадах, ніж традиційні комп’ютери. Замість бітів (0 або 1) вони використовують кубіти, які можуть бути одночасно 0 і 1, що потенційно надає їм астрономічну обчислювальну потужність. Для Bitcoin найбільш небезпечним є алгоритм Шора, який у теорії міг би витягати приватні ключі з публічних у багаточасовому режимі.

Чому це становить загрозу? Bitcoin захищає транзакції за допомогою цифрового схеми, заснованої на ECDSA і Schnorr на кривій secp256k1. Наразі математично неможливо обчислити приватний ключ із публічного — це фундамент безпеки всієї мережі. Однак квантовий комп’ютер, достатньо потужний, міг би прорвати цю оборону. Вчені оцінюють, що для цього потрібно близько 2000–4000 логічних кубітів, що працюють майже без помилок. Сучасні квантові пристрої працюють на кілька десятків кубітів і далекі від цього порогу.

Вікно безпеки: Чи має Bitcoin достатньо часу?

Тут з’являється перша частка заспокоєння. Оцінки вказують, що квантові комп’ютери, здатні справді загрожувати Bitcoin, віддалені щонайменше на десятиліття. Це теоретично дає мережі достатньо часу для підготовки. NIST вже затвердив захисні стандарти: ML-DSA (Dilithium) і SLH-DSA (SPHINCS+) були опубліковані як FIPS 204 і 205, а FN-DSA (Falcon) очікує затвердження як FIPS 206. Ці схеми наразі практично стійкі до квантових атак.

Теоретично Bitcoin міг би впровадити нові типи виходів (outputs) або гібридні підписи, що інтегрують пост-квантові алгоритми. Команди, такі як Bitcoin Optech, вже експериментують з агрегацією підписів і конструкціями на базі Taproot. Дослідження продуктивності свідчать, що навіть SLH-DSA можна запустити у мережі з параметрами, порівнянними з сучасними навантаженнями. Сценарій, за якого Bitcoin адаптується до квантової загрози, технічно цілком можливий.

Вартість міграції: прихована ціна безпеки

Однак історія про технічні можливості не розкриває всієї правди. Перехід на пост-квантові підписи має реальні економічні наслідки. Дослідження, опубліковані у Journal of British Blockchain Association, вказують, що реалістичність квантової безпеки пов’язана зі зменшенням місткості блоку — оцінка зниження приблизно на половину. Поточні пост-квантові підписи фізично більші і вимагають більше обчислювальної потужності для верифікації.

Це, у свою чергу, означає зростання операційних витрат вузлів. Транзакційні комісії матимуть тенденцію до зростання, оскільки кожен підпис займе більше місця у обмеженому просторі блоку. Це не є катастрофою, але й не є прозорою перевагою — це обмін між квантовою безпекою і продуктивністю сьогодні.

Проблема оприлюднених ключів: 1,7 мільйона Bitcoin у небезпеці

Тут ситуація стає більш тривожною. Вразливість до квантових атак не рівномірно розподілена серед усіх Bitcoin. Це залежить від типу адреси і того, чи вже видно публічний ключ у блокчейні.

Ранні виходи типу pay-to-public-key розміщують сирий публічний ключ безпосередньо у ланцюжку — вони захищені лише безпекою ECDSA, нічим іншим. Стандартні адреси P2PKH і SegWit P2WPKH приховують ключ за хешем до моменту витрат монет, коли ключ стає видимим. Нові виходи Taproot P2TR кодують публічний ключ з першого дня, що означає, що ці UTXO вже вразливі навіть до їхнього переказу.

Аналіз даних ланцюга показує страшну картину: близько 25% усіх Bitcoin вже знаходяться у виходах з публічно оприлюдненими ключами. Більш точно — оцінки говорять про близько 1,7 мільйона BTC з «епохи Сатоші», що залишаються у старих виходах P2PK, плюс сотні тисяч у нових Taproot-виходах із видимими ключами. Деякі з цих монет історично вважаються «втраченими», але насправді це плаваючі активи, які при появі достатньої квантової потужності могли б стати здобиччю першого атакуючого.

Монети, які ніколи не розкривали публічний ключ (одноразові P2PKH або P2WPKH), мають набагато кращу позицію. Вони захищені за допомогою хешованих адрес, проти яких алгоритм Гровера забезпечує лише прискорення кореневого кореня — загроза, яку можна нейтралізувати шляхом налаштування параметрів безпеки.

Сценарії пропозиції: Майже кожен веде до хаосу

Майкл Сейлор стверджує, що «безпека зростає, пропозиція зменшується». Це спрощення, яке ігнорує складність реальних сценаріїв.

Перший сценарій — «скорочення пропозиції через відмову». Власники монет у вразливих виходах, які ніколи не здійснять міграцію, можуть фактично стати перешкодою — монети, позначені як нелегальні або занесені до чорного списку мережею. Це справді могло б зменшити ефективну пропозицію у обігу.

Другий сценарій — «спотворення пропозиції через крадіжку». Квантовий зловмисник, маючи відповідну машину, міг би методично очищати оприлюднені гаманці. Це не було б «спалюванням» монет, а їхнім переміщенням до пулу, контрольованого атакуючим — без будь-яких бичачих імплікацій для оцінки.

Третій сценарій — «паніка перед фізикою». Саме спекуляція щодо майбутніх квантових загроз могла б викликати превентивні розпродажі, розгалуження ланцюга або масову міграцію капіталу. Цей сценарій може бути більш небезпечним, ніж сама технологія.

Жоден із цих шляхів не гарантує чистого зменшення обігової пропозиції, яке було б одностайним і бічним для бичачих настроїв. Вони можуть також призвести до хаотичних змін оцінки, спірних форків і хвилі атак на старі гаманці.

Випробування координації: Фізика — менша проблема

Хороша новина — proof-of-work Bitcoin, заснований на SHA-256, є відносно стійким до квантів. Алгоритм Гровера дає лише квадратичне прискорення, що можна компенсувати збільшенням складності майнінгу. Найбільш критичним залишаються схеми цифрового підпису.

Але тут виникає проблема, яка виходить за межі математики. Bitcoin не має центральної влади, яка могла б нав’язати оновлення. Кожна міграція пост-квантова вимагала б надзвичайної згоди між розробниками, майнерами, біржами і великими власниками. Ця координація має відбутися до появи квантових комп’ютерів, здатних до справжніх атак.

Останні аналізи з венчурних кіл підкреслюють, що управління і час становлять більшу ризик, ніж сама математика. У минулому спільнота Bitcoin мала труднощі з простими оновленнями. Перехід до пост-квантової епохи був би найамбіційнішою зміною в історії мережі.

Тонкі атаки у mempool

Один часто ігнорований аспект — mempool, простір, де очікують транзакції. Коли хтось надсилає монети з адреси з хешованим ключем, його публічний ключ розкривається під час цього процесу. У сценарії з квантовим зловмисником може з’явитися можливість атаки «sign-and-steal»: квантовий спостерігач чекає у mempool, швидко відновлює приватний ключ і відправляє конкурентну транзакцію з більшою платою.

Це не є легким нападом, але можливість, яку традиційний аналіз ризиків часто ігнорує.

Підсумок: Умовний оптимізм

Bitcoin може зміцнитися у епоху квантів. Мережа може впровадити нові підписи, захистити вразливі виходи і отримати посилені криптографічні гарантії. Але припущення Сейлора — що все пройде гладко, що «втрачені монети залишаться замороженими» і що «пропозиція зменшиться» — є більше ставкою на ідеальну координацію, ніж на фізику.

Реальність більш складна. Близько 1,7 мільйона Bitcoin вже знаходяться у вразливих виходах. Міграція буде коштовною, політично складною і вимагатиме безпрецедентної координації. Bitcoin може вийти з цього сильнішим, але лише якщо розробники і великі власники реагуватимуть рано, а мережа уникне паніки або масових крадіжок.

Гарантія — помірна. Інженерія можлива. Але соціальна координація залишається невідомою.