「推奨メッセージ:主体が知っておくべきこと:Nic Carter(Castle Island Venturesのパートナー、暗号業界の著名な意見リーダー)は、この文でBitcoin Core開発者のガバナンスの惰性と戦略的誤判を直接批判しています)。この記事では、量子コンピュータがビットコインの安全性に対する潜在的脅威について主に議論されており、ビットコイン開発者は量子コンピュータの脅威に対して保守的な態度を持っているようですが、実際には今すぐに未来10年内に到来する可能性のある量子解読リスクに対処する準備を始める必要があります。」
状況は悪化しています。いくつかのビットコインが失われたり、放棄されたりしました。その中の大部分、170万BTCは中本聡や他の初期マイナーに属し、「公開鍵への支払い」(pay to public key)と呼ばれる古いアドレスタイプに保存されています。もしこれらのビットコインが本当に失われてしまった場合、それらは量子耐性のアドレスタイプに移すことができず、安全を確保することができません。それらは、沈没船の残骸のように海底に散らばった古代のコインであり、回収不可能だと考えられていましたが、より良い潜水艦が作られるまでそうでした。したがって、ビットコインコミュニティはそれらをどう扱うか決定しなければなりません。それらを凍結し、制度化された盗難に参加するのか、それとも無視し、未知の、敵対的である可能性のある量子エージェントに最大のビットコイン保有者にならせるのか。どちらの選択肢も理想的ではなく、現在コミュニティ内でコンセンサスが得られていません。ビットコインコミュニティは、どんなに不快であっても、誰のビットコインも凍結または固定するために投票したことはありません。実際、このような集団的な盗難(正当な理由であっても)が多くの初期のビットコイン信奉者がイーサリアムを軽蔑する理由そのものです。もしそうすれば、ビットコイン信奉者は自分たちが憎む敵よりも優れていないことを示すことになります。これにより、将来の保有者に対しても信号が送られます:緊急時には集団的押収が選択肢となるということです。押収は危険な前例を作ることになります。したがって、放棄されたP2PKビットコインの運命は議論を経るべきであり、それらを凍結または徴用するための解決策を実施し、展開しなければなりません(例えば、フォークを通じて)。これは容易なことではなく、ビットコインの歴史の中で完全に前例のないことになるでしょう。
ビットコイン開発者は夢遊病のように崩壊に向かっている。
著者:Nic Carter コンパイラ:LlamaC
「推奨メッセージ:主体が知っておくべきこと:Nic Carter(Castle Island Venturesのパートナー、暗号業界の著名な意見リーダー)は、この文でBitcoin Core開発者のガバナンスの惰性と戦略的誤判を直接批判しています)。この記事では、量子コンピュータがビットコインの安全性に対する潜在的脅威について主に議論されており、ビットコイン開発者は量子コンピュータの脅威に対して保守的な態度を持っているようですが、実際には今すぐに未来10年内に到来する可能性のある量子解読リスクに対処する準備を始める必要があります。」
テキスト
最近、ビットコインの量子リスクについての議論が活発です。私は以前、長文で自分の見解を述べましたが、大多数の人はそれを読まず、X からいくつかの断片的な議論を得ただけです。そこで、私は自分の見解をこの短文に凝縮しました。この文章では、大量の参考文献や詳細を積み重ねるつもりはありません。
ビットコインの安全性——すなわち、公開鍵から秘密鍵を逆算する難易度——は、楕円曲線暗号技術に依存しています。量子コンピュータ(QC)が理論的にこれを破ることができることは周知の事実であり、それは1990年代にデビッド・ショアが発明したアルゴリズムのおかげです。サトシ・ナカモトはビットコインを発明した際、この点を認識し、量子コンピュータが十分に強力になった場合にはアップグレードを提案しました。このアルゴリズムを実際に実装するためには、1000から2000の「論理量子ビット」、または約数十万から一百万の「物理量子ビット」が必要です。参考までに、現在最も先進的な量子コンピュータは約1000の物理量子ビットと数十の論理量子ビットを持っています。したがって、私たちはこの能力を実現するまでに約3桁の差があります。これが遠い未来のように見えますが、有名な量子理論家で学者のスコット・アーロンソンは、これは単に「非常に困難な」工学的問題であり、新しい基礎物理の発見が必要なわけではないと述べています。言い換えれば、量子コンピューティングが現在置かれている段階は、1939年の核分裂と同様で——実行可能であり、理論的障害はないが、まだ膨大な工学的投入が必要です。さらに類似点を挙げると、量子コンピューティングは巨大な戦略的効果を持っているため、技術の初期所有者はその能力を隠すか、開示を遅らせる可能性があります。利益によって駆動され、量子コンピューティングは予告なしに突然現れるかもしれません。十分な警告と準備時間があると考えているビットコイン保有者にとっては、これは悪いニュースです。人工知能の分野で見られるように——また、スケーリング法則が開発され、LLMが強力になるとき、AIコミュニティが示す驚きの程度——技術分野では確かに非線形的な成長が起こります。私は「量子技術の進展が予想外の驚きをもたらさない」という単純な希望にビットコインの未来を賭けたくはありません。
未来十年内発生量子破解の確率は未知である。しかし、2025年は量子計算の歴史の中で最も活発な年である。技術的な観点から、今年IONQとMITは「保真度」(すなわち、量子ビットが期待される操作を実行する頻度)において突破口を開いた。量子誤り訂正は、物理的な量子ビットによって引き起こされるエラーを捕らえて解決することを目的としており、純粋な論理量子ビットを作成する。この技術は2025年に実質的な進展を遂げる。これらのエラーは量子コンピュータの規模が拡大するにつれて増加することが多いため、大規模な誤り訂正を実現することは量子計算分野における最も重要な進展となる。GoogleとQuantinuumは、今年誤り訂正において顕著な成果を上げた。
今年、量子スタートアップ企業は少なくとも600億ドルを調達し、歴史的な最高額を記録し、リードの幅も大きい。その中の1つのスタートアップであるPsiQuantumは、10億ドルを調達し、100万量子ビットのマシンを建設することを目指しており、彼らは既存の技術を利用することが可能であると考えている。量子コンピュータを開発している多くの企業は、2020年代後半または2030年代中頃までには、完全な機能を持ち、スケール化された量子コンピュータを製造できると明確に予測している。Metaculusの専門家は、量子コンピュータが2033年頃に登場するとの予測を平均している。
アメリカ政府の公式標準策定機関であるNISTは、2030年までに政府機関がECC256などの量子攻撃に脆弱な暗号スキームの使用を中止し、2035年までにそのすべての依存を終了するよう求めました。EUや英国などの他の主要国も同様のタイムテーブルに沿って動いています。私が説明するように、これらの日付はビットコイン保有者が今日行動を起こすことを促すべきです。
十分強力な「暗号関連量子コンピュータ」(QC)が製造されると、攻撃者が公開鍵から秘密鍵を盗むことが可能となり、ビットコインに対する脅威となる可能性があります。現在、すべてのトークンが公開されているわけではありません(一部の公開鍵はハッシュアドレスにあり、SHA-256は量子攻撃に対して脆弱であるとは考えられていません)が、本稿執筆時点で670万BTCが危険にさらされており、価値は6040億ドルです。さらに、トークンがブロックに含まれるまでの短いウィンドウ期間中に、十分な能力を持つ量子コンピュータが理論的に秘密鍵を逆工学し、支出をリダイレクトすることが可能です。これは、ハッシュ処理されたかどうかにかかわらず、任意のタイプのアドレスにおけるトークンに適用されます。
理論的には、Bitcoinはソフトフォークを通じて「ポスト量子」(PQ)署名スキームを採用することができます。確かにいくつかの提案された量子耐性の暗号署名があります。技術的な問題を脇に置いておくと、例えば大幅に増加するデータ要件(より大きなブロックが必要またはスループットを減少させる)など、主要な問題は具体的なポスト量子スキームを特定し、ソフトフォークを組織し、数千万の残高のあるアドレスを移行することの難しさにあります。新しい暗号技術を採用することにはリスクが伴いますが、これは別の問題です。私たちはパニックからPQ暗号に移行したくはありませんが、後にそれが古典的なコンピュータによっても破られることが判明するかもしれません。Bitcoinシステムのコアの暗号を剥ぎ取ることは大きな工程であり、慎重に行う必要があります。Bitcoinコミュニティが合意に達し、比較的無争議なSegWitとTaprootのソフトフォークを実施することがどれほど困難であったかを思い出せば、Bitcoinの行動が敏捷でないことが理解できます。
ビットコインの後量子フォーク(またはより正確に言えば、複数回のフォークが必要な可能性がある)は、このプロトコルの以前のどの更新よりも侵襲的で複雑です。暗号学はこのプロトコルの核であり、それを置き換えることは、システムのほぼすべての側面やユーザーがそれと相互作用する方法を変えざるを得なくなるでしょう。明らかに、このようなフォークに必要な議論、開発、テストにかかる時間は、SegWit(提案からアクティベーションまで2年)やTaproot(3年)よりも長くなるでしょう。
実際には、フォークの後にビットコインを安全な状態にすることはさらに困難になります。量子攻撃に脆弱なアドレスにあるトークンはローテーションを行い、新しい量子耐性アドレスタイプに送信する必要があります。最終的には、すべてのアドレスタイプを廃止し、ローテーションを行う必要があります。すべてのビットコイン保有者がこれを認識し、いつでも自分のウォレットと秘密鍵にアクセスできるとしても、この移行には最良の条件で数ヶ月かかります。より現実的なシナリオでは、ビットコイン保有者にトークンをローテーションするために数年の通知期間を与える必要があります。
状況は悪化しています。いくつかのビットコインが失われたり、放棄されたりしました。その中の大部分、170万BTCは中本聡や他の初期マイナーに属し、「公開鍵への支払い」(pay to public key)と呼ばれる古いアドレスタイプに保存されています。もしこれらのビットコインが本当に失われてしまった場合、それらは量子耐性のアドレスタイプに移すことができず、安全を確保することができません。それらは、沈没船の残骸のように海底に散らばった古代のコインであり、回収不可能だと考えられていましたが、より良い潜水艦が作られるまでそうでした。したがって、ビットコインコミュニティはそれらをどう扱うか決定しなければなりません。それらを凍結し、制度化された盗難に参加するのか、それとも無視し、未知の、敵対的である可能性のある量子エージェントに最大のビットコイン保有者にならせるのか。どちらの選択肢も理想的ではなく、現在コミュニティ内でコンセンサスが得られていません。ビットコインコミュニティは、どんなに不快であっても、誰のビットコインも凍結または固定するために投票したことはありません。実際、このような集団的な盗難(正当な理由であっても)が多くの初期のビットコイン信奉者がイーサリアムを軽蔑する理由そのものです。もしそうすれば、ビットコイン信奉者は自分たちが憎む敵よりも優れていないことを示すことになります。これにより、将来の保有者に対しても信号が送られます:緊急時には集団的押収が選択肢となるということです。押収は危険な前例を作ることになります。したがって、放棄されたP2PKビットコインの運命は議論を経るべきであり、それらを凍結または徴用するための解決策を実施し、展開しなければなりません(例えば、フォークを通じて)。これは容易なことではなく、ビットコインの歴史の中で完全に前例のないことになるでしょう。
もしあなたが計算すると、必要な緩和タイムフレームは約10年に達する可能性があることがわかります。私たちは、戦略について議論し、意見の不一致を解決し、合意に達し、コードを記述し、暗号をテストし、実際に移行を実行するための時間が必要です。これは、量子審判の日(いわゆる「Q-day」)が10年後に到来する場合でも、私たちが今日から準備を始めなければならないことを意味します。Q-dayが早まったり、予期せず到来したりすると、それは壊滅的な結果をもたらします。私たちは、危険にさらされているトークンを凍結するかどうかを急いで決定し、パニックに陥ってポスト量子署名スキームを実施し、そのスキームが安全であることを願うことになります。そして、システムの信頼が回復できることを願います。ビットコインの主要な開発会社であるChaincodeは、「短期的な」緊急措置でさえも2年を要すると推定しています。ビットコインを変更することは、航空母艦を運転するようなものです。
突発的な破壊に対するパニック反応は、破壊そのものではなく、Bitcoinを破壊する可能性があります。これらの脆弱なトークンを廃棄すべきか、主張すべきかという対立する意見は、分岐を引き起こす可能性があり、これは私たちがブロックサイズ戦争で見たことと同様です。Bitcoinの名を巡る競争的な分岐は、2017年には何とか維持されていましたが、その時Bitcoinは成熟しておらず、賭けも低かったのです。しかし、今日ではこの状況がBitcoinが依存する大規模な機関資本の供給源に対して、そのプロトコルに対する信頼を失わせる結果をもたらすでしょう。量子コンピューティングはBitcoinの不可侵性の約束を打ち破りました。ほとんどのBitcoin保有者がこれを認めることすら恐れているのも無理はありません。彼らは、リスクの存在を認めることがBitcoinの「消えない」とする核心的な物語に疑念を抱かせることを理解しています。資本配分者の視点から見れば、あなたは究極のヘッジ価値保存資産にテールリスクが存在することを望まないでしょう。したがって、Bitcoin保有者は巨大な囚人のジレンマのゲームを選び、誰もが沈黙を守り、互いに告発しないのです。しかし、彼らは、少数の知的に誠実なBitcoin保有者が、私たち自身の利益を損なうことになっても、嫌われる真実を世界に明らかにすることをいとわないことを予想していませんでした。
いくつかのビットコイン支持者は、アメリカの法律がCRQCを持つ人々がビットコインを攻撃するのを阻止すると考えています。しかし、ビットコインの保護を単に敵が法律のルールを守るだろうという希望に依存させることは、安心感がほとんどありません。量子技術の初期の支配者が慈悲深いと期待することはできません。彼らが公に認めることはないでしょうが、各量子計算会社がビットコイン会議の周りでこそこそと探りを入れているのには理由があります:もし彼らがこの富を得るのに十分なハードウェアを製造できれば、数千億ドルの巨額の報酬が待っているのです。中国は量子計算に巨額の国家資源を投入しており、彼らはビットコインやアメリカの法律に対して何の忠誠も持っていません。さらに、アメリカ政府が中国が行動を起こすと考えた場合、先制的にリスクのあるビットコインを押収する可能性も否定できません。
もしあなたが私の論理を理解できれば、今日から準備を始めるべきだということが分かるでしょう。専門家と政府の合意は、量子問題が2030年から2035年の間に現れる可能性があることを示しています。対応のタイムラインを考慮すると、私たちは今日から準備を始めなければならないということです。もし私たちが準備を怠れば、量子崩壊が引き起こす損害は壊滅的であり、システム全体に対する信頼は完全に失われるでしょう。したがって、量子リスクがビットコインの期待価値に与える影響は著しい負の値です。この脅威を無視する投資家や開発者に尋ねたいのですが、あなたはどれだけの徹底的な崩壊の確率を受け入れますか?10%?5%?1%?人々は、壊滅的な損失をもたらす可能性のある小さな確率の出来事に対して保険を購入します。たとえ年間の危険な洪水のリスクが1%であっても、あなたは洪水保険を購入しており、その判断を喜ぶことになるでしょう。実際、量子リスクに対する保険のコストは非常に低く、開発者の大多数は無意味な自己反省に没頭しているからです。この10年間、開発者の主な焦点は、ライトニングネットワークに基づいたスケーリングモデルにありましたが、そのモデルは失敗したことが明らかになっています。フィルターやビットコインが任意のデータを保持すべきかどうかについての内部の議論が開発者の注意を引きました。この10年間、ビットコインプロトコルは2回しか更新されていません。最終的には更新されるでしょうが、開発者は他の重要な仕事に忙しいからといって、ますます深刻化する生存の脅威に目を向けない理由にはなりません。
ビットコインコミュニティはこれに対してどのような行動を取ったのでしょうか?残念ながら、ほとんどありません。後量子署名ソリューションやいくつかの初期の緩和策を探るばらばらな努力はあるものの、実際の具体的提案はほとんどありません。唯一挙げられているビットコイン改善提案(BIP)——BIP360は、ビットコインの重要な更新に通常決定的な発言権を持つ「大祭司」の一人ではなく、相対的な外部者によって主導されています。そして、BIP360が現段階で実際に行っていることは、2021年に量子攻撃に対して脆弱なTaprootアドレス型を導入したビットコイン開発者が犯した重大な誤りを修正することだけです。首席開発者のPieter Wuilleは当時、Taprootアドレスが量子リスクにさらされていると公に認めていましたが、それでも彼らはそうしました。2025年になっても、Wuilleはビットコインに量子防護を施すことには「緊急性がない」と主張し続けています。
私が最も腹立たしいのは、ビットコインの開発者が量子コンピュータのリスクが迫っていることに対して示した異常な無関心です。通常、ビットコインの開発文化は極めて慎重で、ほとんど不合理なほどです。開発者たちは脆弱性を引き起こさないようにするために、巨額のコストをかけてでも第三者のライブラリへの依存をできる限り減らすことを選びます。ビットコインが業界標準の楕円曲線スタックを拒否し、OpenSSLのECC実装を避け、代わりにsecp256k1を標準として選び、自分たちのカスタムコードを維持しているのは周知の事実です。これはその一例に過ぎません。多くの人々は、ブロックサイズのわずかな増加でさえも、何年も議論され、潜在的な生存の脅威と見なされていたことを覚えているべきです。開発者たちは、数メガバイトの増加がネットワークの崩壊や非中央集権の破壊を引き起こす可能性があると警告しました。システムのスクリプト言語も意図的に制限されており、それは想像力が不足しているわけではなく、サービス拒否攻撃や突発的な挙動への恐れから来ています。これらの選択にはイデオロギー的な色合いがあり、極端な自給自足、現在および未来の脅威に対する抵抗、そして一般的な偏執文化に根ざしています。しかし、信じがたいことに、今日ビットコインは現代の公開鍵暗号技術の完全な淘汰に直面しているのに、開発者の反応は自己満足です。
量子計算によってもたらされるリスクに直面したとき、ビットコイン保有者(Bitcoiners)は通常、この脅威はすべての金融技術(および暗号に依存する他のシステム)にも当てはまると反応します。つまり、どうせ世界の終わりが来るのだから、心配する価値はないということです。しかし、これはただの馬鹿げた考えであり(明らかに、混乱した状況でもビットコインが正常に機能することを望んでいます)、事実ではありません。「量子の日」(Q-day)が発生する場合、各国政府や主要な金融機関が十分な準備をしていると仮定すると、それは「ミレニアムバグ」(Y2K)問題のようになるでしょう。すなわち、準備が整っているために何事も起こらないということです。後量子署名はすでに存在し、任意の中央集権機関によって簡単に実装できます。主な問題はブロックチェーンにあります。なぜなら、それらはガバナンスの慣性とアップグレードの難しさを抱えているからです。Cloudflareは、そのほとんどのトラフィックに後量子暗号保護を提供しています。AWSは重要なサービスに後量子暗号を展開しています。NordVPNは現在、後量子ブラウジング機能を提供しています。インフラのアップグレードは痛みを伴うかもしれませんが、すべての金融機関、ソフトウェア会社、政府は高度に中央集権化されており、彼らは直接アップグレードを命じるだけで済みます。(一部のシステムはアップグレードできません。例えば、ハードウェアが固定されていて更新できないデバイスです。しかし、これは寿命が非常に長いハードウェアを指しており、いずれにしても段階的に廃止されるべきです。人工衛星は例外であり、彼らは「量子の日」に対処する上で劣位にあります。)
ビットコインのような分散型ブロックチェーンは、集中型データベース運営者のように迅速に自己更新を行うことはできません。2017年以降、ビットコインはわずか2回の更新を進めており、これらの更新も大きな憎悪と内部闘争を経て実現しました。さらに、大部分の攻撃を受けやすいトークンが放棄されたアドレスに保管されており、これらのアドレスの所有者は自らのトークンを強制的に移転されることができないため、ビットコインが実際に後量子署名にアップグレードしたとしても、170万枚のトークンが量子攻撃者によって突然奪われるリスクに直面しています。ビットコインは秩序立ててタイムリーにアップグレードする必要があるだけでなく、ビットコインの保有者はこのリスクを解消するために170万枚のトークンを没収することに集団で同意しなければなりません。これはビットコインの歴史において全く前例のないことです。
ビットコインは他のブロックチェーンよりも脆弱です。供給量の割合において、失われたり放棄されたトークンの割合が高いと推定されています。イーサリアムは確かに同様のリスクに直面していますが、そのアカウント抽象化とスマートコントラクト機能により、いくつかのテクニックを使えば、イーサリアムはフォークなしで後量子(PQ)署名を実現できる可能性があります。最終的には後量子フォークを行う必要がありますが、イーサリアムのより活発なガバナンスプロセスの下では、これが実現する可能性が高くなります。また、イーサリアムは量子脅威を認識し、それに対処するための提案を行っているリーダーがいることからも恩恵を受けています。もう一つの競争相手であるソラナは、すでに後量子署名のテストを開始しています。Starkwareのようなレイヤー2ネットワークは、抗量子性をコアバリューとして掲げています。ビットコイン信者はこれらの比較に苛立つかもしれませんが、「量子の日」(Q-day)が来る時、ビットコインはリスクにさらされる唯一のブロックチェーンになる可能性が非常に高いです。
だから、これが厳しい真実です。ビットコインの信者の中でこれを認める人はほとんどいません。他の公開鍵暗号学に依存するシステムと比較して、ブロックチェーンは量子コンピュータの前で特に脆弱に見え、ビットコインはブロックチェーンの中で最も脆弱です。量子コンピュータは、遠い理論的可能性から純粋なエンジニアリングの課題に変わってきており、10年、あるいはそれより短い期間で到来する可能性があります。もしそうなれば、ビットコインの支持者は今すぐに準備を始める必要があります。