ビットコインの状況は最も厳しい。協調された計画もない。財団レベルの専用資金もない。タイムラインもない。ビットコインのガバナンスモデルでは、分散化されたコミュニティが広範な合意を形成して初めてプロトコル変更を推し進められる。そしてこのコミュニティは歴史的に、動きが遅いことで知られている。Global Risks Research Instituteの2026年の量子脅威タイムライン報告によれば、暗号に関連する量子計算機は10年以内に「かなり起こりそう」になり、15年以内には「ほぼ確実に」出現する。イーサリアムの2029年目標が計画通り進めば、移行はウィンドウが閉じる前に完了できる。ビットコインは現時点で、議論さえ初期段階にある。
本当に楽観的になりすぎてはいけない?同じ日に2つの論文、量子コンピュータがビットコインの解読閾値を2桁下げる
3月31日下午、ビットコインは朝の上昇トレンドを反転させ、下落が加速して6.7万ドルの節目を突き破った。恐怖と強欲の指数は28に滑り込んだ。ソーシャルメディアでは、何度も転送されている1枚の画像が示されている。量子コンピュータがビットコインの秘密鍵を解読するのに必要な物理量子ビットが、100万級から1万級へと急落したのだ。GoogleのQuantum AIの研究員は、量子攻撃は放送中のビットコイン取引を9分以内にハイジャックでき、確率は約41%であると警告した。約690万枚の公開鍵が露出したビットコインが、いまこの瞬間、チェーン上で静かに横たわり、計算能力が理論に追いつくのを待っている。
この恐慌を引き起こしたのは、前日のほぼ同時期に発表された2本の論文だ。1本はGoogleのQuantum AIチーム、もう1本は中性原子量子計算会社Oratomicによるもの。単独で見れば、それぞれが自分の領域で重要な進展である。だが一緒に見ると、量子コンピューティングのスタックの異なる層を削りにいっており、その効果は直接掛け算になる。
イーサリアムのコア研究員Justin Drakeは、ツイートの中で「量子計算と暗号学にとって画期的な1日だ」と述べた。彼はGoogleチームの論文に参加しており、その論文は、暗号学界で最も有名な量子攻撃アルゴリズムであるShorアルゴリズムを改良した。これはRSAや楕円曲線暗号の解読に特化している。ビットコインとイーサリアムが使用するsecp256k1の署名アルゴリズムは、まさに楕円曲線暗号の範疇に属する。
なぜ2本の論文を合わせて初めて本当に怖くなるのか? 楕円曲線署名を解読するのに必要な総物理量子ビット=論理量子ビット数(アルゴリズム層で「きれいな」計算単位がどれだけ要るか)×各論理ビットに必要な物理ビット数(誤り訂正層で、きれいな単位を維持するためにどれだけの「冗長」ハードウェアが要るか)。Googleの論文は前者を圧縮し、Oratomicの論文は後者を圧縮する。分子も分母も同時に縮小され、その積が急落する。
EUROCRYPT 2026に収録された論文によれば、256ビットの楕円曲線を解読するのに必要な論理量子ビットは、2017年の2,330個(Roettelerらのベンチマーク論文による)から、2020年には2,124個(Hanerらの改良による)へ、さらに2026年3月には1,098個へと減っている。9年間で、アルゴリズム層の要求は半分以上にまで縮小した。Googleチームの論文はさらに一段踏み込んで、ビットコインとイーサリアムで使われるsecp256k1曲線に対する専用最適化を行い、必要な論理ビットを約1,000個まで圧縮した。回路の深さはわずか約1億個のToffoliゲート(CryptoBriefingがJustin Drakeの記述を引用)であり、超伝導プラットフォーム上では、約1,000秒のShorアルゴリズム実行時間に相当する。
一方で、ツイートで引用されたOratomicの論文データによれば、中性原子方式では、各論理ビットに必要な物理ビットが、従来の表面符号で約400個だったものから約10個へ圧縮される。このブレークスルーの原理はGoogleとはまったく異なる。Googleが最適化しているのはアルゴリズムそのものの効率で、Oratomicが最適化しているのは基盤となるハードウェアの誤り訂正にかかるコストだ。これら2つの改良は積み重ね可能だ。
2つの数字を掛けると、2017年の推計は約700万個の物理量子ビット、2026年3月の中性原子ルートの推計は約1万個。総需要は100万級から1万級へ落ち込み、下落幅は2桁どころか2つの桁を超える規模だ。
この乗算効果は、まったく異なる2つの攻撃ルートを生み出した。
ツイートで整理された論文の推算によれば、超伝導ルート(Googleの研究方向)では物理量子ビットが約50万個必要で、約9分で秘密鍵を解読できる。リアルタイム取引をハイジャックできるほど速い。中性原子ルート(Oratomicの研究方向)では物理量子ビットは約1万個で足りるが、実行時間は約10日まで延びる。これは問題ではない。攻撃対象が公開鍵がすでに露出している休眠ウォレットであり、急ぐ必要がないからだ。
その差をどう理解すればいい? Googleの現時点で最強のWillowプロセッサは、超伝導量子ビットが105個(Google Quantum AIの仕様書による)で、50万の閾値までは約4,762倍の距離がある。しかし、中性原子分野のフォールトトレラント計算システムはすでに約500個の量子ビットに達しており、1万の閾値までの差は約20倍だ。もし物理アレイの規模で見れば、フォールトトレラント能力ではなく、実験室ではすでに6,100個超の原子を捕捉しており、その差はさらに縮まり、2倍未満になっている。
20倍と4,762倍——これは完全に異なるオーダーの距離だ。中性原子ルートは、多くの人が想像するよりずっと近い。
そしてビットコインの側の状況は、この変化に備えられているとは程遠い。
Ark InvestとUnchainedの共同レポートによれば、約700万枚のビットコイン(総供給量の約33%)が量子リスクにさらされており、価値は約4,400億〜4,800億ドルに相当する。これらの脆弱なアドレスは3つのタイプに分かれる。約170万枚は初期のP2PKアドレスにあり、公開鍵がそのままチェーン上で直接露出している。さらにその多くは失われており、誰も移転や移し替えを操作できない。約110万枚はサトシに帰属し、約2.2万のアドレスに分散しているが、保有者の身元は不明だ。残り約420万枚はアドレス再利用、またはP2TRアドレスにあり、公開鍵も同様に露出している。ただし保有者は理論上、能動的に安全なアドレスへ移行できる。
言い換えれば、約280万枚のビットコイン(脆弱な総量の40%)は、いかなる場合でも救えない。秘密鍵は失われているか、保有者が永遠に現れない。これは技術で解決できる問題ではなく、ガバナンスの問題だ。コミュニティは、確実に露出しているこれらのアドレスを凍結すべきなのか。CoinDeskが2月に報じたところによれば、サトシの110万枚の保有分を凍結するかどうかをめぐり、ビットコイン・コミュニティではすでに激しい議論が起きており、現時点で合意には至っていない。
理論上移行可能な約420万枚であっても、移行は自動では起こらない。保有者は、資産を旧アドレスから、新しい署名方式を使うアドレスへ、能動的に移す必要がある。そして過去の経験が示すように、大量の保有者は期限日前に行動を起こさない。
同じ脅威に対して、3つの主要なパブリックチェーンは対応方針が大きく分岐している。
イーサリアム財団が2026年3月25日に公開したpq.ethereum.orgによれば、イーサリアムはすでに8年準備しており、完全なマルチステージのロードマップがある。現在のBLS署名方式をleanXMSSのハッシュ署名に置き換え、目標として2029年にL1プロトコルのアップグレードを完了する。10を超えるクライアントチームが毎週、ポスト量子devnetの相互運用性テストを実行し、ユーザーはアカウント抽象によって段階的に移行でき、ハードフォークは不要だ。Google自身も(Google Security Blogによると)2029年までに社内で後量子移行を完了するという締切を設定しており、イーサリアムのスケジュールはそれと一致している。
Solanaには実験的な案がある。2025年12月にZeus NetworkのチーフサイエンティストDean LittleがGitHubで提案したWinternitz Vaultは、ハッシュ署名のワンタイム・パッケージ庫メカニズムを用いる。しかしこれは任意の案で、ユーザーはopt-inする必要があり、公式の期限はない。
ビットコインの状況は最も厳しい。協調された計画もない。財団レベルの専用資金もない。タイムラインもない。ビットコインのガバナンスモデルでは、分散化されたコミュニティが広範な合意を形成して初めてプロトコル変更を推し進められる。そしてこのコミュニティは歴史的に、動きが遅いことで知られている。Global Risks Research Instituteの2026年の量子脅威タイムライン報告によれば、暗号に関連する量子計算機は10年以内に「かなり起こりそう」になり、15年以内には「ほぼ確実に」出現する。イーサリアムの2029年目標が計画通り進めば、移行はウィンドウが閉じる前に完了できる。ビットコインは現時点で、議論さえ初期段階にある。
2本の論文が同日に発表されることで、長い間「遠い脅威」と見なされてきた問題に、突然具体的な数字が生まれた。物理量子ビット1万個、10日間で、休眠ウォレットの秘密鍵。
ただし強調すべきなのは、これは依然として理論上の閾値の大幅な引き下げであって、差し迫った攻撃が今すぐ来るという話ではない、という点だ。現在最先端の中性原子システムは、1万個のフォールトトレラント量子ビットからまだ約20倍の距離がある。超伝導ルートの差はさらに数千倍のオーダーだ。10〜15年という時間のウィンドウはまだ存在し、ビットコイン・コミュニティが完全に機会を失っているわけではない。ビットコインは過去に、ブロックサイズ論争やSegWitのアクティベーションなど、高度に対立したガバナンスの試練を経験してきたが、最終的には圧力の下で合意へ至った。量子脅威の性質はルート争いとは異なり、利害の対立を伴わない。ネットワーク全体が直面する共通リスクである。むしろそれが、ビットコイン・コミュニティの行動を加速させる外部要因になり得る。
本当の問題は、量子計算がビットコインを解読できるかどうかではない。ビットコイン・コミュニティが、ウィンドウが閉じる前に準備を完了できるかどうかだ。
律動BlockBeatsの採用情報を見る
律動 BlockBeats 公式コミュニティへの参加を歓迎します:
Telegram購読グループ:https://t.me/theblockbeats
Telegram交流グループ:https://t.me/BlockBeats_App
Twitter公式アカウント:https://twitter.com/BlockBeatsAsia