一文搞懂 BIP-361，比特币社区到底在吵什么？

この週、BTCコミュニティではBIP-361に関する議論と論争が多く、私の理解に基づいて整理します。
BIP-361はAndrew Poelstraによって提案され、安全専門家Jameson Loppによって詳細に解釈・普及された草案です。この草案の核心は：量子コンピュータがビットコインを解読できる能力を持つ前に、未然に防ぐために、公開鍵が露出しているアドレスのBTCを凍結し、かつ救済措置を講じることです。(そして補救措置も)。
1/ 背景情報
過去17年間、ビットコインは非常に安全でした。その安全性は、非対称の楕円曲線デジタル署名アルゴリズム(ECDSA)によって保証されています。このアルゴリズムは、現在のコンピュータ(（スーパーコンピュータを含む）)が合理的な時間内に公開鍵から秘密鍵を導き出すことはほぼ不可能にしています。これにより、秘密鍵から公開鍵への一方向性と不可逆性が保証されています。
現在の危機、つまり転換点は：物理学界では、十分に強力な量子コンピュータ(数百万の物理量子ビットを持つ)が、Shorアルゴリズムを用いて極短時間でECDSAを解読できると一般的に考えられています。
年初、Google Quantum AIチームは研究の進展を発表しました。彼らはビットコインを破ったわけではありませんが、データは、量子計算による暗号の脅威のタイムラインが、予想より早まる可能性を示しています。
今のビットコインコミュニティの反応は、慌てる必要はないが、積極的に対応・議論・行動すべきだというものです。
これが、今BIP-360やBIP-361などの提案が出てきている理由です。ビットコインはCEOのいないオープンソースソフトウェアコミュニティであり、その大規模なアップグレードは非常に遅く、コミュニティの合意形成に時間がかかるためです。もし量子コンピュータが本当に出現した後に動き出すと、間に合わない可能性があります。
2/ アップグレード対策の考え方
論理的には、ビットコインはオープンソースソフトウェアなので、量子計算に対抗するためにビットコインのアルゴリズムをアップグレードすれば良いのです。コード実装自体にはいくつかの方案があります。例えば、NISTが選定したDilithiumなどのアルゴリズムは、現行のECDSAと比べて副作用はありますが、理論的には可能です。
より大きな問題は、技術外の側面です。アップグレードが完了すれば、私たちが古いアドレスから新しいアドレスへBTCを移すことは安全ですが、すでに公開鍵が露出しているアドレスや、所有者が死亡したり秘密鍵を失った場合はどうなるのでしょうか？これらの無主のBTCは誰も動かせず、量子攻撃の対象となり続け、市場の崩壊を引き起こす可能性があります。
これらの公開鍵が露出しているBTCはどれくらいあるのでしょうか？
現在の業界推定では、公開鍵が露出しているBTCは約200万〜400万枚(（中本聡の110万枚を含む)）、また、200万〜300万枚は休眠状態、つまり「5年以上動かしていない」コインです。これらはハッシュ暗号化されており、量子計算機では一時的に直接解読できません。いずれにせよ、非常に多い量です。MicroStrategyは奮闘して78万枚のBTCを購入しました。これら数百万枚が攻撃されたら、ビットコインに与えるダメージは計り知れません。
3/ BIP-361は何をしようとしているのか
上記の厄介な問題に対処・解決しようとするのが、BIP-361提案です。
この提案の核心は：抗量子性のないウォレットアドレスの資産は凍結される、というものです。これにより、すべての人が抗量子性のアドレスに移行せざるを得なくなる仕組みです。
具体的には、3段階に分けて、BIP9を用いて展開します：
◦ Phase A (アクティベーション後約160,000ブロック（約3年）：危険な従来のアドレス(公開鍵を露出したアドレスへのビットコイン送金を禁止。量子耐性)PQ(の新アドレスへの送金のみ許可。これにより、多くの人が危険なアドレスに送金しないように抑制します。
◦ Phase B )Phase A後約2年、合計約5年：ノードは楕円曲線署名（ECDSAや新しいSchnorr署名を含む）を拒否します。量子脆弱なUTXOは凍結されて使えなくなります。つまり、5年以内に操作しなかった資産は、チェーン上で認められなくなるのです。
◦ Phase C (未定(：死んだコイン・忘れたコインの倫理的問題を解決するために、Phase Bにパッチを当てる。ユーザーが助記詞を持っている限り、ゼロ知識証明を用いて、「私はこれらのコインの所有者である」と証明し、旧公開鍵を露出させずに資産の所有権を証明できる。これにより、凍結された資産を解凍できる仕組みです。
この論理は一見筋が通っていますが、技術的な実現は非常に難しく、理論検証段階にあります。
Phase Cについて解説します。現在の困難は：一部のアドレスは送金時に公開鍵を露出し、量子計算がこれを横取りしてBTCを奪う可能性があることです。したがって、Phase Cの救済・パッチのアイデアは次の通りです：
◦ ユーザーは12/24語の助記詞を持つ
◦ BIP-361で言及されているゼロ知識証明を利用
◦ ユーザーは全ネットワークノードに証明を提出：「私の秘密鍵は教えませんが、この助記詞から派生した旧アドレスの秘密鍵の経路を証明できる」と。
◦ ネットワークはこのゼロ知識証明を検証し、その過程は抗量子性を持つ。検証に成功すれば、凍結された資産を新しい抗量子アドレスに「ミラー」することが許される。
要するに、BIP-361の論理は、「盗まれる前に先手を打つ」ことです。
4/ コミュニティの議論
BIP-361がBTCコミュニティで公開された後、賛成より反対の声が多いです。
Adam Backは「これは没収だ、保護ではない」と述べ、ソフトフォーク＋自発的アップグレードを支持し、強制的な凍結に明確に反対しています。Marty Bentも長いスレッドで批判し、核心は「あなたの鍵、あなたのコイン」原則に反すると考え、自発的な移行と教育を推奨し、強制的な締め切り設定には反対しています。
Charles Hoskinsonはより激しく：これは本質的にハードフォークであり、ビットコインをshitcoinに変えるとまで言っています。
技術的な実現経路はソフトフォークですが、社会的合意の観点からは、その強制性がハードフォークに属するかどうかの激しい議論を引き起こしています。
Phil Geigerの皮肉は的を射ています：「我々はまず人々の金を盗まなければならない、そうすれば彼らの金を守れる」。
提案の共同著者Jameson Loppも「嫌いだけど書いた。なぜなら、量子計算がコインを盗む結果の方が嫌だからだ」と述べています。二つの害のうち、よりマシな方を選んだわけです。
反対派は「盗金」だけでなく、Phase Cでゼロ知識証明を導入することで、ビットコインコードの複雑さが増し、新たなバグや攻撃面を招くことも懸念しています。
一方、支持する意見もあります。
胡翌霖@epr510は支持を表明し、その核心は：中本聡はおそらく秘密鍵を破棄したはずで、それは彼の自由意志の表れだと。量子計算機はこの意志に反し、コインを再び動かすだろう。忘れられた・放棄されたコインを凍結することは、「財産の自由な支配」を尊重する原則だと。
また、「滑り坂リスク」の議論に反論し、凍結はバグの修正であり、検閲ではないと。コインを失った人は、コインを取り戻したいだけであり、量子攻撃者が奪うことを望んでいるわけではない。したがって、凍結案は彼らの自由をより侵害しないとも。
Matt Coralloは折衷案を提案：抗量子アップグレードと旧アドレスの凍結を分離し、二段階で進める。技術的な更新は合意を待たずに行い、最終的には大きな分岐で合意問題を解決する。
5/ もたらす影響
数字的に見ると、数百万枚のBTCは数千億ドルの価値があります。もしBIP-361の提案通りに実施されれば、流通可能な供給量が突然減少し、技術的な縮小をもたらすことになりますが、もし合意が分裂し、市場の「ビットコインの総量は一定で改ざん不可能」という信頼が損なわれると、その市場価値は単純に上昇しない可能性もあります。
中本聡はかつてこう言いました：「失われたコインは、他の全てのコインの価値をわずかに高めるだけだ。これは皆への寄付のようなものだ」。
これに対し、BIP-361では「量子に回収されたコインは、皆のコインの価値を下げるだけだ。これは皆からの窃盗だ」と表現しています。
失われたコインは寄付、量子計算機による盗難は強盗です。
凍結しなければ、三つの可能性があります：)1( だれでも盗める、先着順；)2( 制限的な窃盗、例えばマイナーがRBFを使って量子回収から収入を補填；)3( だれも盗んではならない。BIP-361は三番を選びました。
提案自体は現バージョンでは通らない可能性が高く、多くの修正も必要ですが、その意義は、多くの人が避けてきた問題を表に出し、早期に合意を形成し、量子計算に対抗しようとする点にあります。