Máy tính lượng tử đe dọa an toàn của BTC? Phân tích nghiên cứu mới nhất của Google: 6,9 triệu BTC đang gặp rủi ro

Tháng 3/2026, nhóm AI lượng tử của Google phối hợp với Đại học Stanford và Ethereum Foundation công bố một tài liệu bạch dài 57 trang, phân tích một cách hệ thống các mối đe dọa an ninh của điện toán lượng tử đối với tiền mã hóa. Kết luận cốt lõi là: để bẻ khóa mã hóa đường cong elliptic 256-bit (ECC-256) được dùng để bảo vệ Bitcoin và Ethereum, các tài nguyên điện toán lượng tử cần thiết ít hơn khoảng 20 lần so với ước tính tốt nhất trước đây. Cụ thể, trong kiến trúc máy tính lượng tử siêu dẫn, chỉ cần chưa đến 500.000 qubit vật lý là có thể hoàn tất cuộc tấn công, thời gian chạy được rút ngắn xuống còn khoảng 9 phút.

Ý nghĩa của phát hiện này không nằm ở chỗ máy tính lượng tử đã có thể bẻ khóa Bitcoin—hiện phần cứng vẫn chưa đạt yêu cầu—mà ở chỗ nó thu hẹp lịch trình “Q-Day” (thời điểm máy tính lượng tử có thể bẻ khóa mật mã hiện hành) từ một vấn đề lý thuyết xa xôi thành một khung cửa kỹ thuật có thể tính toán được. Bản thân Google cũng đã đặt thời hạn cho việc chuyển hệ thống nội bộ của họ sang hậu lượng tử (PQC) là năm 2029. Nghiên cứu viên của Ethereum Foundation, đồng tác giả bài báo Justin Drake ước tính rằng đến năm 2032, xác suất để máy tính lượng tử khôi phục private key secp256k1 từ các public key đã bị lộ sẽ ít nhất là 10%.

Thuật toán Shor suy ra private key từ public key công khai như thế nào

Bảo mật của Bitcoin được xây dựng dựa trên Thuật toán chữ ký số đường cong elliptic (ECDSA), sử dụng đường cong secp256k1. Giả định cốt lõi là: trong điều kiện tính toán cổ điển, khi có public key được công khai, không thể suy ra private key tương ứng trong thời gian khả thi. Giả định này tạo thành tiền đề an ninh cốt lõi cho toàn bộ hệ thống blockchain.

Thuật toán Shor chỉ ra rằng, trong mô hình điện toán lượng tử, bài toán logarit rời rạc trên đường cong elliptic có thể được giải hiệu quả. Đóng góp cốt lõi của công trình lần này của Google là biên dịch trực tiếp mạch lượng tử thuật toán Shor nhắm vào secp256k1, đồng thời đưa ra các ước tính tài nguyên cụ thể. Bài báo đưa ra hai phương án: một phương án giữ số lượng qubit logic ở dưới 1,200 và số lượng cổng Toffoli ở dưới 90 triệu; phương án còn lại nâng số lượng qubit logic lên 1,450, nhưng giảm số lượng cổng Toffoli xuống còn 70 triệu. Trên máy tính lượng tử siêu dẫn, điều này tương đương với việc ít hơn 500.000 qubit vật lý.

Điểm đáng chú ý mang tính biểu tượng hơn là việc Google không công bố toàn bộ mạch tấn công hoàn chỉnh, mà sử dụng bằng chứng không kiến thức (zero-knowledge proof) để xác minh sự tồn tại và tính đúng đắn của mạch. Cách làm này mượn theo nguyên tắc “công bố có trách nhiệm” trong lĩnh vực an ninh thông tin truyền thống, cho thấy việc phân tích mật mã lượng tử đã bước vào giai đoạn cần phòng ngừa từ trước thay vì chỉ khắc phục hậu sự cố.

Hai kịch bản tấn công: chặn tức thì và thu hoạch ngoại tuyến

Tài liệu bạch mô tả hai kịch bản tấn công lượng tử, và bản chất rủi ro của chúng hoàn toàn khác nhau.

Loại thứ nhất là “tấn công tức thời”, nhắm vào các giao dịch đang được phát trong mempool. Khi người dùng khởi tạo một giao dịch Bitcoin, public key sẽ tạm thời lộ ra trên mạng trong khoảng 10 phút—đúng là cửa sổ thời gian trung bình để Bitcoin tạo block. Một máy tính lượng tử đủ nhanh có thể, trong khoảng 9 phút, suy ngược public key để lấy private key và phát động giao dịch cạnh tranh để đánh cắp tiền trước khi giao dịch được xác nhận. Theo ước tính của bài báo, trong trạng thái đã được tính toán trước, xác suất một máy lượng tử đơn lẻ thành công chặn giao dịch trong cửa sổ này khoảng 41%.

Loại thứ hai là “tấn công tĩnh”, nhắm vào các ví ngủ (wallet ngủ) nơi public key đã vĩnh viễn lộ trên blockchain. Dạng tấn công này không có giới hạn thời gian; máy tính lượng tử có thể tiến hành bẻ khóa theo nhịp của chính nó. Bài báo ước tính rằng khoảng 6,9 triệu Bitcoin (chiếm khoảng 33% tổng cung) có public key đã ở trạng thái bị lộ, trong đó gồm khoảng 1,7 triệu đồng từ thời kỳ đồng tiền ban đầu của Satoshi Nakamoto, cùng với một lượng lớn các khoản tiền bị lộ do tái sử dụng địa chỉ (address reuse).

Một phát hiện đáng chú ý trong tài liệu bạch là: dù nâng cấp Taproot năm 2021 cải thiện về mặt an ninh và quyền riêng tư theo cách truyền thống, nhưng theo mặc định vẫn khiến public key bị lộ trên blockchain, thực tế đã mở rộng bề mặt cho các cuộc tấn công lượng tử. Taproot đã loại bỏ lớp bảo vệ “hash trước rồi mới lộ” trong định dạng địa chỉ cũ (P2PKH).

Chi phí kỹ thuật và khó khăn về quản trị khi ứng phó với mối đe dọa lượng tử

Con đường ứng phó với mối đe dọa lượng tử đã rõ ràng, nhưng chi phí cũng không kém phần rõ ràng. Hoa Kỳ đã hoàn tất việc tiêu chuẩn hóa đợt đầu tiên các chuẩn hậu lượng tử: Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã hoàn thành vào tháng 8/2024, bao gồm FIPS 203, 204 và 205. Ở góc độ kỹ thuật, các phương án thay thế khả thi gồm các chữ ký hậu lượng tử dựa trên mạng lưới (như ML-DSA, tức nguyên CRYSTALS-Dilithium), chữ ký dựa trên hàm băm (như SLH-DSA, tức nguyên SPHINCS+) và các loại tương tự.

Tuy nhiên, mô hình quản trị phi tập trung của Bitcoin khiến việc di chuyển mật mã trở nên bất thường phức tạp. Việc đưa các sơ đồ chữ ký hậu lượng tử vào cần được thực hiện thông qua soft fork hoặc hard fork, điều này đòi hỏi sự đồng thuận của cộng đồng, sự phối hợp của nhà phát triển, sự đồng bộ nâng cấp của nhà cung cấp dịch vụ ví và sàn giao dịch. Cộng đồng Bitcoin đã đưa ra đề xuất BIP-360, nhằm giới thiệu tùy chọn chữ ký kháng lượng tử, nhưng đề xuất này vẫn đang trong giai đoạn thảo luận. Các quan điểm của nhà phát triển cốt lõi Bitcoin Adam Back và những người khác cho rằng mối đe dọa lượng tử vẫn còn ở “cách vài chục năm”, và việc nâng cấp quy mô lớn quá sớm có thể đưa vào những lỗ hổng mật mã chưa được xác thực đầy đủ.

Vấn đề thực sự nằm sau tranh cãi này là: sự không chắc chắn của mối đe dọa lượng tử khiến bản thân việc “khi nào bắt đầu di chuyển” trở thành một trò chơi chiến lược. Nâng cấp quá sớm có thể lãng phí tài nguyên phát triển, còn nâng cấp quá muộn thì có thể đối mặt với tổn thất tài sản không thể đảo ngược.

Điện toán lượng tử thay đổi logic định giá an ninh của tài sản mã hóa như thế nào

Mối đe dọa từ điện toán lượng tử đã định nghĩa lại “biên an toàn” của tài sản mã hóa. Các giả định an ninh truyền thống—rằng public key không thể bị suy ngược thành private key trong thời gian khả thi—đang được hiệu chỉnh lại. Public key của 6,9 triệu Bitcoin (theo giá trị vốn hóa thị trường hiện tại hơn 4,500 tỷ USD) đã hoàn toàn bị lộ; độ an toàn của các tài sản này giờ chỉ dựa vào một thực tế tạm thời là máy tính lượng tử vẫn chưa trưởng thành.

Thị trường đang phản ứng với rủi ro này theo nhiều cách. Tỷ lệ sử dụng địa chỉ Taproot đã giảm từ 42% năm 2024 xuống còn khoảng 20%, cho thấy một phần người dùng chủ động tránh các định dạng địa chỉ có khả năng làm lộ public key. Chiến lược gia đầu tư của CoinShares, Matthew Kimmell, cho biết việc nghiên cứu này có tác dụng “rút ngắn khung cửa thời gian cần thiết để ngành thực hiện nghiên cứu và đạt kế hoạch hành động”.

Nhìn từ góc độ vĩ mô hơn, ngành công nghiệp mã hóa dễ bị đe dọa lượng tử hơn so với hệ thống tài chính truyền thống, bởi tính công khai và tính không thể đảo ngược của sổ cái blockchain. Các tổ chức tài chính truyền thống có thể chống tấn công lượng tử bằng cách cập nhật hàng loạt chứng chỉ và khóa mật mã, nhưng public key của tài sản trên chuỗi, một khi đã bị lộ, sẽ tồn tại vĩnh viễn, không thể “thu hồi”. Sự khác biệt mang tính cấu trúc này có nghĩa là ngành mã hóa cần không chỉ năng lực “triển khai thuật toán hậu lượng tử”, mà còn là một khung thể chế để “ứng phó với sự tiến hóa liên tục của mật mã”.

Từ ước tính tài nguyên đến khi tấn công thực tế còn xa đến mức nào

Dù ước tính tài nguyên trong tài liệu bạch đã được hạ đáng kể, điều đó không có nghĩa năng lực tấn công thực tế đang ở ngay trước mắt. Hệ thống lượng tử tiên tiến nhất hiện nay—bao gồm chip Willow của Google—chỉ có khoảng 100 qubit vật lý, và chưa thực hiện chạy có dung sai lỗi. Từ phần cứng hiện có đến 500.000 qubit vật lý ổn định và đã được sửa lỗi, vẫn còn rất nhiều thách thức kỹ thuật chưa vượt qua.

Một số chuyên gia cho rằng các lo ngại hiện nay là quá sớm. Adam Back của Blockstream chỉ ra rằng lớp nền của mạng Bitcoin không phụ thuộc vào công nghệ mật mã truyền thống theo cách giống các hệ khác; tác động của mối đe dọa lượng tử không nằm ở việc chặn các giao dịch trong mạng, mà nằm ở việc bẻ khóa private key của người dùng cụ thể. Ngoài ra, hàm băm SHA-256 được sử dụng trong cơ chế Proof of Work (bằng chứng công việc) tương đối bền vững trước các cuộc tấn công lượng tử; thuật toán Grover chỉ có thể nâng hiệu suất bẻ khóa hàm băm lên mức căn bậc hai, xa hơn nhiều so với mối đe dọa “mũ” của Shor đối với mật mã public key.

Tuy nhiên, điều đó không có nghĩa ngành có thể thụ động chờ đợi. Chiến lược “thu thập trước, rồi giải mã sau” trong lĩnh vực an ninh mạng hàm ý rằng kẻ tấn công có thể đang ở giai đoạn hiện tại thu thập dữ liệu blockchain và chờ đến khi máy tính lượng tử trưởng thành rồi mới tiến hành bẻ khóa. Tính không đối xứng về thời gian này đòi hỏi ngành phải hoàn tất triển khai phòng thủ trước khi máy tính lượng tử được xây dựng.

Từ mốc thời gian 2029 của Google đến lộ trình quản lý quốc tế

Google đặt mục tiêu hoàn thành việc chuyển hệ thống nội bộ sang PQC vào năm 2029, và mốc thời gian này không phải là một sự kiện độc lập. Khung CNSA 2.0 của Cơ quan An ninh Quốc gia Hoa Kỳ yêu cầu mọi hệ thống an ninh quốc gia mới được xây dựng phải áp dụng thuật toán an toàn lượng tử trước 2027年1月, việc áp dụng đầy đủ quá trình di chuyển cần hoàn thành trước 2030 và việc di chuyển hoàn chỉnh cơ sở hạ tầng cần hoàn thành trước 2035. Áp lực kép từ lịch trình tiêu chuẩn của NIST và cơ chế giám sát của NSA đang thúc đẩy các doanh nghiệp và tổ chức chuyển việc di chuyển PQC từ chủ đề nghiên cứu sang yêu cầu tuân thủ.

Bối cảnh này đặt ra một thách thức trực tiếp hơn đối với ngành công nghiệp mã hóa. Chu kỳ nâng cấp của các mạng phi tập trung như Bitcoin và Ethereum thường kéo dài nhiều năm. Ethereum Foundation đã dành nhiều năm để nghiên cứu lộ trình hậu lượng tử và triển khai các phương án chữ ký hậu lượng tử trên các mạng thử nghiệm. Ngược lại, Bitcoin vẫn chưa hình thành lộ trình hậu lượng tử rõ ràng và cơ chế phối hợp về tài chính; trong khi quản trị phi tập trung trao cho nó tính chính danh, thì đồng thời khiến việc di chuyển mật mã ở tầng giao thức diễn ra cực kỳ chậm.

Tóm tắt

Tài liệu bạch của nhóm AI lượng tử Google không tuyên bố sự kết thúc của Bitcoin, mà chuyển mối đe dọa lượng tử từ một giả định mơ hồ trong tương lai thành một tập hợp các tham số kỹ thuật có thể định lượng. Việc bẻ khóa cần 500.000 qubit vật lý, cửa sổ tấn công khoảng 9 phút, và 6,9 triệu Bitcoin với public key đã bị lộ—những con số này cùng nhau định nghĩa một khung cửa an ninh có thật và đang dần bị thu hẹp.

Thách thức đối với ngành không chỉ nằm ở tầng kỹ thuật—NIST đã giải quyết bài toán thuật toán—mà cái thực sự khó là sự phối hợp ở tầng quản trị. Trong các mạng phi tập trung, việc hình thành đồng thuận cần thời gian, còn tiến bộ của điện toán lượng tử thì không chờ đồng thuận hình thành. Trong 5 đến 7 năm tới, ngành mã hóa cần cân nhắc sự đánh đổi giữa hai loại rủi ro: nâng cấp quá sớm có thể đưa vào các phương án mật mã chưa được xác thực đầy đủ, còn nâng cấp quá muộn thì có thể phải đối mặt với tổn thất tài sản không thể đảo ngược. Dù cuối cùng đi theo lộ trình nào, điện toán lượng tử đã chuyển từ một khái niệm lý thuyết thành một biến số thực tế cần được đưa vào khuôn khổ an ninh cho tài sản mã hóa.

Câu hỏi thường gặp (FAQ)

Q: Máy tính lượng tử bây giờ có thể bẻ khóa Bitcoin không?

A: Không. Hệ lượng tử tiên tiến hiện nay chỉ có khoảng 100 qubit vật lý, trong khi việc bẻ khóa Bitcoin ECC-256 cần khoảng 500.000 qubit vật lý đã được sửa lỗi, vẫn còn chênh lệch gấp hàng trăm lần.

Q: “Bẻ khóa trong 9 phút” có nghĩa là gì?

A: Đây là kịch bản “tấn công tức thời” được mô tả trong tài liệu bạch—khi máy tính lượng tử ở trạng thái tiền tính toán, từ lúc public key xuất hiện đến khi hoàn tất việc bẻ khóa ước tính mất khoảng 9 phút, ngắn hơn đôi chút so với thời gian tạo block trung bình 10 phút của Bitcoin, và theo lý thuyết có tỷ lệ thành công chặn khoảng 41%.

Q: Những Bitcoin nào nguy hiểm nhất?

A: Rủi ro về địa chỉ mà public key đã bị lộ vĩnh viễn cao nhất, bao gồm các địa chỉ định dạng P2PK cũ (khoảng 1,7 triệu), các địa chỉ bị lộ do tái sử dụng địa chỉ và các địa chỉ Taproot. Bài báo ước tính khoảng 6,9 triệu Bitcoin đang ở trạng thái bị lộ như vậy.

Q: Bitcoin có thể nâng cấp để phòng thủ trước tấn công lượng tử không?

A: Có. NIST đã hoàn tất các tiêu chuẩn mật mã hậu lượng tử (như ML-DSA và SLH-DSA), và Bitcoin có thể thông qua các đề xuất như BIP-360 để đưa vào tùy chọn chữ ký kháng lượng tử. Vấn đề là việc nâng cấp cần có đồng thuận của cộng đồng, và quá trình này có thể kéo dài vài năm.

Q: Người dùng bây giờ nên làm gì?

A: Tránh tái sử dụng địa chỉ, mỗi giao dịch dùng một địa chỉ mới; cất giữ tài sản lớn trong ví lạnh; theo dõi tiến độ của cộng đồng về nâng cấp kháng lượng tử và chủ động chuyển tài sản sang các định dạng địa chỉ an toàn hơn.