Квантовые вычисления разгадают биткойн? 2030 год — настоящий год кризиса

Google выпустила Willow — квантовый чип, вызвавший паническую реакцию в криптосообществе, лидеры мнений заявили о «нуль стоимости биткоина к 2026 году». Но правда в том, что для взлома биткоина требуется от 2 300 до 2 600 логических кубитов, в то время как традиционные архитектуры требуют от 2 миллионов до 20 миллионов физических кубитов. Willow содержит всего 105 кубитов, разрыв составляет 4 порядка, и к 2030 году биткоин будет относительно безопасен.

Реальная временная шкала квантовой угрозы: 2030 год — ключевой год

Говоря о угрозе квантовых вычислений, необходимо сначала понять огромную пропасть между «способностью взломать» и «фактическим взломом». Криптография secp256k1 биткоина основана на сложности вычислений; теоретически квантовые компьютеры, использующие алгоритм Шора, могут взломать её, но ключевой вопрос — «сколько кубитовых ресурсов для этого нужно».

Для взлома биткоина требуется около 2 300–2 600 логических кубитов и сотни миллиардов операций квантовых вентилей. Однако кубиты очень чувствительны к шумам, требуют механизмов коррекции ошибок. В традиционной архитектуре на базе поверхностных кодов создание одного логического кубита может потребовать 1 000 физических кубитов. Пересчитав, получаем, что для взлома биткоина потребуется от 2 миллионов до 20 миллионов физических кубитов.

Чип Willow содержит всего 105 физических кубитов, что отстает от порога угрозы примерно на 4 порядка. Это сравнимо с переходом от радиоприемника на транзисторах к современному смартфону. Хотя компании IBM, IonQ, QuEra имеют амбициозные дорожные карты, даже при самом оптимистичном сценарии достижение порога в тысячи логических кубитов ожидается не раньше 2029–2033 годов. IonQ планирует к 2028 году достичь около 1 600 логических кубитов, IBM — к 2029 году реализовать квантовый компьютер с 200 логическими кубитами с коррекцией ошибок.

Настоящее окно опасности — 2030–2035 годы. По мере появления квантовых компьютеров, способных решать криптографические задачи (CRQC), биткоин должен пройти обновление протокола до этого времени. В 2023 году университет Нью-Йорка под руководством Одеда Регев представил улучшенную версию алгоритма Шора, которая уменьшает количество квантовых шагов примерно в 20 раз, однако количество необходимых логических кубитов всё равно остается в тысячных масштабах. Более важным фактором является квантовая низкоэнергетическая паритетная проверка (qLDPC), которая теоретически может снизить расходы на коррекцию ошибок с 1000:1 до 10:1, но требует совершенно новой аппаратной архитектуры.

Ваш биткоин в безопасности? Жизненно важные различия между двумя типами адресов

Угроза квантовых вычислений не одинакова для всех биткоинов. Чтобы понять риски, нужно различать два типа адресов, их безопасность кардинально отличается.

Современные биткоин-адреса (P2PKH, начинающиеся с 1, 3, bc1) используют двойное хеширование публичного ключа (SHA-256 + RIPEMD-160). Сам публичный ключ не раскрыт, он становится известен только при отправке транзакции, которая транслируется в сеть. Атака возможна только в течение примерно 10 минут — с момента попадания транзакции в мемпул до включения её в блок — при этом злоумышленник должен перехватить публичный ключ, запустить алгоритм Шора для вычисления приватного ключа и создать более дорогую заменяющую транзакцию для кражи средств. Такой «транспортный» взлом даже при наличии CRQC очень сложен.

Однако в 2009–2010 годах, когда Сатоши Накамото и ранние майнеры использовали скрипт P2PK, они напрямую публиковали исходный публичный ключ в данных блока. Атака здесь — «собирать сейчас, расшифровывать потом»: злоумышленник может просканировать всю историю блокчейна, извлечь миллионы BTC, содержащие исходные публичные ключи, и оффлайн запустить алгоритм Шора для вычисления приватных ключей. Это классический сценарий «собирать сейчас, расшифровывать потом».

Крайне высокий риск для адресов P2PK

Объем уязвимых средств: оценивается примерно в 2–4 миллиона BTC, включая около 1,1 миллиона BTC в кошельках Сатоши

Тип атаки: оффлайн-взлом, не требует ожидания транзакций, можно подготовиться за годы

Временное окно: после появления CRQC эти средства могут быть украдены за несколько часов

Проблемы управления: если Сатоши исчезнет, сообщество может быть вынуждено через мягкий форк заморозить или уничтожить эти активы

110 тысяч BTC Сатоши — крупнейший «серый носорог» в биткоине. После внедрения анти-квантовых обновлений сеть должна будет принять решение по этим давно неподвижным P2PK-старым монетам. Если владельцы приватных ключей не подпишутся и не перенесут их на новые адреса, при появлении CRQC злоумышленники украдут эти монеты и устроят слив. Сообщество может быть вынуждено нарушить принцип «частная собственность — священна и неприкосновенна», заморозив эти активы, что вызовет более серьезный раскол, чем BCH/BTC.

Тройная система защиты биткоина уже в разработке

В условиях потенциальной угрозы сообщество разработчиков биткоина не бездействует. Анти-квантовые технологии переходят от теории к инженерной практике, и уже строится тройная система защиты.

Первый уровень — P2TSH (Pay-to-Tapscript-Hash), новая типизация выходов транзакций, предложенная в BIP-360. Она использует существующую архитектуру Taproot, исключая уязвимый «ключевой путь», оставляя только «скриптовый путь». Поскольку скриптовый путь — это хеш, квантовые компьютеры не смогут увидеть его внутреннюю структуру. Эта модернизация совместима с прошлым и может быть реализована через мягкий форк.

Второй уровень — механизм Commit-Delay-Reveal (обещание — задержка — раскрытие). В случае появления квантового компьютера пользователь отправляет транзакцию с хешем нового квантобезопасного адреса, без публичного ключа и подписи. Протокол заставляет транзакцию ждать несколько блоков (например, 144 блока, около 1 дня). После задержки пользователь посылает вторую транзакцию, раскрывающую старый публичный ключ и подпись, чтобы разблокировать средства и перевести их на новый адрес. Даже если в этот момент злоумышленник увидит публичный ключ, благодаря первому «обещанию» с отметкой времени он не сможет откатить блокчейн и вставить свою транзакцию.

Третий уровень — хешированные подписи Лампорт и одноразовые подписи Винтерца (WOTS). По мере роста требований сообщества к восстановлению OP_CAT, разработчики могут прямо в скриптах биткоина реализовать проверку WOTS-подписей без необходимости в жестких форках, обеспечивая безразрешительную анти-квантовую модернизацию. Стандартизация постквантовых алгоритмов (например, SPHINCS+) уже обсуждается в рамках предложений по улучшению биткоина.

Появление квантовых вычислений — не конец биткоина, а обратный отсчет до технологического обновления. 2030–2035 годы — критический период, и протокол должен быть обновлен до этого времени. История показывает, что кризисы стимулируют развитие, и успех выживания биткоина в эпоху квантов зависит от того, сможет ли сообщество завершить это обновление до наступления угрозы.