Квантові обчислення руйнують біткоїн: зворотній відлік почався? Лише 2030 рік стане справжнім роком кризи

Google випустила Willow — квантовий чіп, що викликав паніку в криптоспільноті, а впливові особи закликали: «Біткоїн у 2026 році стане нульовим». Але істина полягає в тому, що для зламу біткоїна потрібно від 2 300 до 2 600 логічних квантових бітів, тоді як у традиційних архітектурах — від 2 мільйонів до 20 мільйонів фізичних квантових бітів. Willow має лише 105 бітів, різниця становить 4 порядки величини, тому до 2030 року біткоїн залишається відносно безпечним.

Реальний графік квантової загрози: 2030 рік — ключовий

Обговорюючи загрозу квантових обчислень, потрібно чітко розрізняти «можливість зламу» та «фактичний злом». Безпека біткоїна, що базується на еліптичній кривій secp256k1, залежить від обчислювальної складності. Теоретично, квантовий комп’ютер, що виконує алгоритм Шора, може зламати цю криптографію, але головне — скільки квантових бітів для цього потрібно.

Злом біткоїна вимагає близько 2 300–2 600 логічних квантових бітів і сотень мільярдів квантових гейт-операцій. Однак квантові біти дуже чутливі до шуму, тому потрібна корекція помилок. У традиційних архітектурах на основі поверхневих кодів для створення одного логічного біту потрібно близько 1 000 фізичних. Це означає, що для зламу біткоїна потрібно від 2 до 20 мільйонів фізичних квантових бітів.

Чіп Willow має лише 105 фізичних бітів, що відстає від критичної межі на 4 порядки. Це — як перехід від радіоприймача на транзисторах до сучасного смартфона. Компанії IBM, IonQ, QuEra мають амбітні плани, але навіть за найоптимістичнішими прогнозами, досягти кількості тисяч логічних бітів можна буде лише до 2029–2033 років. IonQ планує до 2028 року досягти близько 1 600 логічних бітів, IBM — до 2029 року створити квантовий комп’ютер з 200 логічних бітів з корекцією помилок.

Реальний «вікно небезпеки» — 2030–2035 роки. Саме в цей період може з’явитися квантовий комп’ютер, здатний зламати криптографію. Тому біткоїн має завершити оновлення протоколу до цього часу. У 2023 році Нью-Йоркський університет під керівництвом Одеда Регіва представив покращену версію алгоритму Шора, що зменшує кількість квантових кроків приблизно у 20 разів, але кількість логічних бітів все ще залишається у тисячах. Ще важливіший фактор — квантові низькодисперсійні паритетні коди (qLDPC), які теоретично можуть знизити накладні витрати корекції з 1:1000 до 10:1, але для цього потрібна нова апаратна архітектура.

Чи безпечний ваш біткоїн? Життєві й смертельні різниці між двома типами адрес

Загроза квантових обчислень не однакова для всіх біткоїнів. Щоб зрозуміти ризики, потрібно розрізняти два типи адрес — їх безпека кардинально різна.

Сучасні біткоїн-адреси (P2PKH, що починаються з 1, 3 або bc1) використовують подвійне хешування відкритого ключа (SHA-256 + RIPEMD-160). Сам відкритий ключ прихований, доки користувач не ініціює транзакцію, і він не публікується у мережі. Атака такою адресою можлива лише у вікно приблизно 10 хвилин — від моменту потрапляння транзакції у мемпул до її включення у блок. Зловмисник може перехопити відкритий ключ, запустити алгоритм Шора на квантовому комп’ютері, отримати приватний ключ і створити фальшиву транзакцію для крадіжки коштів. Це — «атака під час передачі», навіть за наявності CRQC — дуже складна.

Але у 2009–2010 роках, коли Сатоші Накамото та перші майнери використовували P2PK скрипти, відкритий ключ був прямо в блоці. Атака тут можлива без очікування транзакції — досить просто просканувати історію блокчейну, витягти мільйони BTC у вигляді відкритих ключів і запустити алгоритм Шора офлайн для отримання приватних ключів. Це класична ситуація «збирати зараз — розкривати пізніше».

Адреси P2PK — під екстремальною загрозою

Обсяг ризику: близько 2–4 мільйонів BTC, включно з приблизно 1,1 мільйона BTC у гаманцях Сатоші

Тип атаки: офлайн-злом, не потрібно чекати транзакцій, можна готувати заздалегідь

Вікно часу: одразу після появи CRQC ці активи можуть бути викрадені за кілька годин

Проблема управління: якщо Сатоші зникне, спільнота може бути змушена через софт-форк заморозити або знищити ці активи

110 тисяч BTC Сатоші — найбільший «сіра носорога» у біткоїні. Після впровадження протидії квантовій загрозі, мережа має вирішити, що робити з цими «старими» P2PK-адресами, які ніколи не рухалися. Якщо приватний ключ не буде підписаний і не буде перенесений на нову адресу, у разі появи CRQC ці монети можуть бути викрадені хакерами і продані на ринку. Спільнота може бути змушена порушити принцип «священності приватної власності» і заморозити ці активи, що спричинить ще більш серйозний розкол, ніж BCH/BTC.

Триступенева система захисту біткоїна вже на горизонті

Щоб протистояти потенційним загрозам, розробники біткоїна не сидять склавши руки. Технології протидії квантам вже переходять від теорії до інженерних рішень, і три рівні захисту вже створюються.

Перший — P2TSH (Pay-to-Tapscript-Hash), новий тип виходу транзакції, запропонований у BIP-360. Він базується на архітектурі Taproot і видаляє вразливий «ключовий шлях», залишаючи лише «скриптовий шлях». Оскільки скрипт — це хеш, квантовий комп’ютер не зможе побачити внутрішню структуру. Це оновлення сумісне з попередніми версіями і може бути реалізоване через софт-форк.

Другий — механізм Commit-Delay-Reveal (зобов’язання — затримка — розкриття). Якщо з’явиться квантовий комп’ютер, користувачі можуть відправити транзакцію з хешем нової квантобезпечної адреси, але без відкритого ключа і підпису. Протокол зобов’язує цю транзакцію чекати кілька блоків (наприклад, 144, тобто приблизно 1 день). Після затримки користувач посилає другу транзакцію, яка розкриває старий ключ і підпис, щоб розблокувати кошти і переказати їх на нову адресу. Навіть якщо у цей момент квантовий зломщик побачить відкритий ключ, він не зможе повернути назад блокчейн і вставити свою транзакцію, оскільки перша транзакція вже закріпила час.

Третій — хешовані підписи Лампорт і одноразові підписи Вінтерца (WOTS). З огляду на зростаючий запит спільноти на відновлення OP_CAT, розробники можуть додати у скрипти логіку перевірки підписів WOTS без необхідності хард-форків, що забезпечить безпосередню протидію квантам. Стандарти NIST для постквантових алгоритмів (наприклад, SPHINCS+) вже обговорюються у рамках пропозицій щодо оновлень біткоїна.

Поява квантових обчислень — це не кінець біткоїна, а початок нової епохи технологічного оновлення. 2030–2035 роки — критичний період, і саме тоді потрібно завершити оновлення протоколу. Історія показує, що кризи стимулюють прогрес, і чи зможе біткоїн вижити у квантову епоху, залежить від здатності спільноти вчасно реалізувати цю безальтернативну модернізацію.