BIP-360 Глубокий анализ: как Bitcoin делает первый шаг к противостоянию квантовым вычислениям?

Каждый технологический прорыв в квантовых вычислениях заставляет заново оценивать график долгосрочной безопасности Биткойна. Когда Google перенес дедлайн миграции на постквантовую криптографию на 2029 год, а академическое сообщество показало квантовую схему, которой достаточно 9 минут, чтобы вывести приватный ключ из открытого ключа, биткойн-разработческое сообщество также дало свой ответ. В феврале 2026 года BIP-360 «Pay-to-Merkle-Root (P2MR)» официально вошел в репозиторий bitcoin/bips, что стало первой фиксацией того, что анти-квантовые возможности включаются в официальный маршрут обновления Биткойна. Это не революция в криптографии «с размахом», а аккуратная, постепенная структурная линия обороны.

Почему квантовая угроза сейчас становится структурной переменной?

За прошедшую неделю в сфере квантовых вычислений произошел фундаментальный сдвиг парадигмы. Публикация совместной работы квантовой команды Google и профессора Стэнфорда Дэна Бонеа подтверждает, что для взлома алгоритма эллиптических кривых цифровых подписей (ECDSA), защищающего Биткойн, достаточно 1,200-1,400 логических квантовых бит — примерно за 9 минут. Эта цифра по сравнению с прежними оценками отрасли в 1万 логических квантовых бит снизилась почти на порядок. Более того, нейтрально-атомная архитектура от компании Oratomic показывает, что добиться этой цели можно всего с 1万 физическими квантовыми битами, а Калифорнийский технологический институт уже построил нейтрально-атомный массив, включающий 6,100 квантовых битов. Это означает, что квантовая угроза в лабораториях переходит от теории к инженерной проверяемости. Для Биткойна риск направлен не на алгоритм SHA-256, а сосредоточен на открытых ключах, которые оказываются в цепочке при совершении транзакций. Как только квантовый компьютер сможет обращенно вывести приватный ключ из открытого ключа, все повторно используемые адреса, унаследованные выходы P2PK и траты по ключевому пути Taproot окажутся под угрозой. По оценке ARK Invest, примерно 34.6% предложения Биткойна (около 690万 BTC) могут оказаться под влиянием этого риска.

Как BIP-360 механически снижает экспозицию открытого ключа?

Суть BIP-360 заключается во введении нового типа выходов под названием «Pay to Merkle Root» (P2MR). В структурном плане решение опирается на обновление Taproot 2021 года, но вносит одно ключевое изменение: полностью убирается опция траты по ключевому пути. В традиционных транзакциях Taproot трафик можно тратить либо по ключевому пути (с демонстрацией скорректированного открытого ключа), либо по скриптовому пути (предоставляя меркл-доказательство). Ключевой путь эффективен, но цена — запись открытого ключа в блокчейн. P2MR же принуждает все расходы UTXO осуществлять исключительно через скриптовый путь. В частности, выходы P2MR лишь фиксируют меркл-корень дерева скриптов и не фиксируют никаких внутренних открытых ключей. Когда пользователю нужно потратить средства, достаточно раскрыть конкретный скриптовый лист и предоставить меркл-доказательство — при этом весь процесс не приводит к ончейн-экспозиции эллиптических криптографических открытых ключей. Этот механизм напрямую обрывает самый главный канал квантовой атаки — экспонированный открытый ключ.

Какие структурные издержки требуются ради повышения безопасности?

Любое обновление безопасности связано с компромиссами, и P2MR не исключение. Самая очевидная цена проявляется в комиссиях за транзакции. Поскольку вместо компактного ключевого пути используется скриптовый путь, транзакции P2MR должны нести больше данных свидетеля (включая меркл-доказательство и содержимое скрипта), из-за чего увеличивается размер транзакции и, следовательно, растет плата за проведение. Для обычных пользователей это выраженное увеличение затрат. Более глубокий компромисс заключается в выборе между пользовательским опытом и безопасностью. Ключевой путь был предусмотрен как раз для обеспечения более экономичного и быстрого способа тратить. Убрав эту опцию, все транзакции возвращаются в режим скриптовых путей: это усиливает устойчивость к квантовым атакам, но в некоторой степени жертвует частью эффективности. Кроме того, P2MR — это не полноценное решение в терминах постквантовых подписей. Он не вводит подписи Dilithium на основе решеток или SPHINCS+ на основе хэшей вместо текущих подписей ECDSA и Schnorr. Он просто закрывает уязвимость, связанную с экспозицией открытых ключей, а не перестраивает криптографическую основу Биткойна «с нуля».

Что это означает для расстановки сил в криптоиндустрии?

Продвижение BIP-360 незаметно перестраивает направление эволюции отраслевой инфраструктуры. Для провайдеров кошельков поддержка адресов P2MR (ожидается, что они будут начинаться с bc1z) станет новым измерением для различения уровней безопасности продуктов. Долгосрочные держатели смогут выбирать перенос активов на такие анти-квантовые адреса, сознательно снижая будущие риски. Для торговых платформ и кастодианов это означает необходимость оценить уровень экспозиции открытых ключей в существующих пользовательских активах и подготовить механизмы наведения на соответствующую миграцию. Более глубокий эффект — в классификации активов. В будущем рынок может естественным образом разделиться на два типа Биткойна: один — «надежный резерв», хранящийся на анти-квантовых адресах длительное время; другой — активы «в обращении», которые остаются на традиционных адресах, часто торгуются и потому экспонируют открытые ключи. Такое разделение способно повлиять на предпочтения по ликвидности и логику оценки активов. С точки зрения траектории техразвития появление BIP-360 также дает ориентир для других публичных сетей — как снизить риск «утечки наружу» на уровне протокола, не переходя полностью к постквантовым подписям.

По каким путям может развиваться будущее?

Техническая траектория BIP-360 уже относительно ясна, но социальный путь внедрения по-прежнему остается с высокой неопределенностью. С технологической точки зрения наиболее вероятный сценарий — поэтапный мягкий форк: сначала активировать новый тип выходов P2MR, чтобы пользователи могли осознанно выбирать его использование; затем кошельки, торговые платформы и кастодианы постепенно наращивают поддержку; наконец, пользователи в течение ближайших лет будут постепенно мигрировать активы. Этот процесс похож на путь распространения SegWit и Taproot. Однако формирование социального консенсуса может оказаться сложнее, чем техническая реализация. BTQ Technologies уже развернула работающую реализацию BIP-360 на квантовом тестнете Биткойна, привлекая более 50 майнеров и сформировав свыше 10万 блоков. Но этот тестнет работает независимо от основного теста Биткойна и обходит управленческие процессы основной цепочки. Чтобы BIP-360 действительно вошел в кодовую базу Bitcoin Core, все еще нужен широкий консенсус между майнерами, разработчиками и пользователями. Президент BTQ Christopher Tam прямо говорит: «Это социальная проблема. В сообществе Биткойна есть некоторые „высшие иерархи“, которых нужно убедить».

Какие потенциальные риски нужно заранее предупредить?

Хотя BIP-360 — важное превентивное обновление, его ограничения также нельзя игнорировать. Во-первых, существующие активы не получают защиту автоматически. До того как пользователь сам переведет все старые UTXO в выходы P2MR, риск экспозиции их открытых ключей остается. Это означает, что даже после завершения апгрейда в сети в течение долгого времени сохранится большое количество уязвимых активов, особенно адреса, полученные при раннем майнинге Сатоши, и долгие годы не тронутые «спящие монеты». Во-вторых, BIP-360 — не конечная точка. Когда появится реально доступный для использования квантовый компьютер, связанный с криптографией (CRQC), одного лишь уменьшения экспозиции открытых ключей будет недостаточно для противодействия угрозам — тогда потребуется миграция на полноценное решение постквантовых подписей. В-третьих, между тестнетом и мейннетом есть существенные различия. BTQ-тестнет использует целевое время формирования блока 1 минута, чтобы ускорить итерационные тесты; это отличается от механики формирования блока мейннета Биткойна в 10 минут. Даже решения, прошедшие проверку на тестнете, при переносе на мейннет все равно придется заново оценивать с точки зрения границ безопасности. Наконец, прогресс квантовых технологий продолжает ускоряться. Дедлайн миграции на 2029 год, заданный Google, и срок миграции постквантовой криптографии после апреля 2026 года в рамках директивы NSM-10 федерального правительства США, одновременно сжимают окно времени, в котором отрасль может отреагировать.

Итог

Предложение BIP-360 знаменует переход Биткойна от пассивного реагирования на квантовую угрозу к активному построению уровней обороны. Оно достигает этого за счет удаления ключевого пути Taproot и обязательного использования скриптового пути, что существенно снижает риск экспозиции открытого ключа в цепочке. Но это одновременно не конечная точка и не универсальное лекарство. Это аккуратная, постепенная техподготовка, которая выигрывает окно времени для будущей полной миграции на постквантовые подписи. Для криптоиндустрии смысл BIP-360 заключается не в том, чтобы считать его окончательным решением, а в том, чтобы понять: на критической развилке смены криптографических парадигм заблаговременная подготовка и системное планирование важнее, чем аварийное реагирование. Обратный отсчет квантовых вычислений уже начался, а разработчики Биткойна и участники экосистемы отвечают на теоретический вызов, который существует уже более тридцати лет, с помощью структурного изменения кода.

FAQ

В: Может ли BIP-360 сделать Биткойн полностью невосприимчивым к квантовым атакам?

Нет. BIP-360 лишь снижает риск экспозиции открытого ключа и не заменяет существующие алгоритмы подписей на основе эллиптических кривых. Как только появится действительно применимый квантовый компьютер, связанный с криптографией, все равно потребуется миграция на полноценное решение постквантовых подписей.

В: Что должны делать обычные пользователи сейчас?

На данный момент квантовая угроза не является неотложной, пользователям не нужно паниковать. Но можно уже начать вырабатывать привычку не повторно использовать адреса, следить за тем, когда кошельковые приложения начнут поддерживать тип адресов P2MR, и продолжать отслеживать обновления динамики протокола Биткойна.

В: Чем адреса P2MR отличаются от существующих?

Ожидается, что адреса P2MR будут начинаться с bc1z и относятся к типу выходов SegWit version 2. Главная разница в том, что все траты принудительно проходят через скриптовый путь, предотвращая прямую экспозицию открытого ключа в цепочке.

В: Когда BIP-360 будет активирован в основной сети Биткойна?

На данный момент BIP-360 все еще находится в статусе Draft и еще не вошел в кодовую базу Bitcoin Core. Конкретное время активации зависит от прогресса достижения консенсуса в сообществе; четкого графика пока нет.

В: Почему не перейти напрямую к постквантовым подписям?

Постквантовые схемы подписей (например, подписи на основе решеток) имеют больший размер, что создает существенное давление на пространство блоков Биткойна и производительность нод. BIP-360 — это поэтапное решение: снижая риски, оно сохраняет сеть действующей и эффективной, оставляя время для более полного обновления.