Рынок обращает внимание на риск квантового Биткоина, поскольку исследователи планируют поэтапную и осторожную подготовку

Институциональные инвесторы все чаще спрашивают, как квантовый нарратив про Bitcoin влияет на предположения о долгосрочной безопасности, даже если практическая угроза все еще выглядит далекой.

Реальный масштаб квантовой угрозы

Публичные обсуждения нередко создают впечатление, будто квантовые вычисления уже вот-вот смогут взломать Bitcoin. Однако машины, достаточно мощные, чтобы сделать это с помощью алгоритма Шора, вероятно, все еще находятся на десятилетия впереди, а реальная уязвимость уже, чем подразумевают драматичные заголовки.

Bitcoin опирается на цифровые подписи для обеспечения владения: исторически — ECDSA, а с Taproot — также подписи Schnorr в соответствии с BIP340. В обеих схемах используется одна и та же эллиптическая кривая secp256k1, которая позволяет выводить публичные ключи из приватных таким образом, что в настоящее время это практически невозможно обратить вспять с помощью классического оборудования.

Отказоустойчивая квантовая вычислительная машина, способная запускать алгоритм Шора на криптографически значимом масштабе, в теории могла бы решить задачу дискретного логарифмирования для эллиптических кривых. Это позволило бы злоумышленнику подделывать корректные подписи и напрямую красть средства, поэтому именно этот вектор атак привлекает максимум внимания.

Второй по важности — алгоритм Гровера, который дает квадратичное ускорение для задач перебора с целью грубого поиска. Он не сломает SHA-256 напрямую, но может сократить объем работы, требуемый для поиска корректного хеша proof-of-work, потенциально меняя экономику майнинга и риски централизации, если квантовый майнер сможет обгонять сегодняшние парки ASIC.

Кроме того, любое такое преимущество в proof-of-work все равно будет зависеть от реального инженерного исполнения: разработка и эксплуатация квантового майнера, превосходящего специализированные ASIC, — отдельная огромная задача, помимо простого запуска алгоритма Гровера в лаборатории.

Где Bitcoin действительно уязвим

Атаки на основе Шора становятся релевантными только после того, как публичный ключ виден в on-chain. Характер этой экспозиции существенно различается в зависимости от типов output и практик работы с кошельками, поэтому квантовый риск для Bitcoin не одинаков.

Монеты с долгосрочной экспозицией — это те, где публичный ключ раскрывается при создании UTXO или остается видимым в течение длительных периодов. Эта группа включает ранние выходы P2PK, повторно используемые адреса, средства с которых привязаны к ключам, раскрытым в более ранних spends, а также выходы Taproot P2TR, которые фиксируют измененный (tweaked) ключ непосредственно в UTXO.

В таких случаях публичные ключи можно собирать задолго до того, как произойдет любой spend. Это создает потенциальный сценарий “собирать сейчас, атаковать позже”: если в будущем существовали бы мощные квантовые машины, они могли бы нацелиться на длительно экспонированные ключи массированно.

В отличие от этого, современные типы кошельков, такие как P2PKH (legacy) и P2WPKH (SegWit), используют захешированные публичные ключи, раскрывая фактический ключ только во время spend. Однако это резко сужает окно для атакующего: ему нужно вывести приватный ключ и передать конфликтующую транзакцию в течение считанных блоков до того, как подтвердится легитимный spend.

Оценки того, сколько монет оказывается под экспозицией, различаются. Некоторые анализы предполагают, что 20–50% общего предложения могут быть уязвимы при широких допущениях. Другие считают, что это преувеличивает практическую взламываемость, особенно когда многие экспонированные монеты раздроблены на небольшие UTXO или видны лишь кратковременно во время гонок в mempool.

Один широко цитируемый отчет сужает материально экспонированную концентрированную подвыборку примерно до 10,200 BTC — это значимо, но далеко от сценария системного полного уничтожения. Более того, такое различие между теоретической и практической поверхностью атак критично для достоверной оценки риска.

Квантовый “узкий бутылочный горлышко”

Все эти сценарии предполагают наличие крупных отказоустойчивых квантовых компьютеров, работающих на масштабах значительно больших, чем у текущих устройств. Сегодня публично известные системы все еще шумные, небольшие и не способны к криптографически значимым атакам.

Для взлома эллиптических-курвенных подписей Bitcoin, вероятно, потребуются миллионы физических qubits с сильной коррекцией ошибок, чтобы получить достаточно стабильные логические qubits. Один недавний обзор оценивает, что машинам может понадобиться примерно в 100,000× больше мощности, чем любому квантовому процессору, доступному сегодня.

Мнения расходятся относительно того, появится ли такое оборудование вовремя, чтобы иметь значение для Bitcoin. Тем не менее, многие серьезные прогнозы группируются вокруг середины 2030-х — середины 2040-х как самого раннего правдоподобного окна, что дает экосистеме время, но не является оправданием для самоуспокоенности.

Ключевым образом: если когда-либо проявятся значимые возможности, на ответ потребуется планировать, тестировать и координировать его заранее — за годы. Именно поэтому обсуждение сместилось от научной фантастики к задаче инженерии и управления.

Постквантовые стандарты и пути миграции

Главная задача — как Bitcoin может мигрировать к квантово-устойчивой криптографии при строгих ограничениях по пропускной способности, консервативном управлении и неодинаковых стимулах у держателей и поставщиков сервисов.

В 2024 году NIST завершил первую серию стандартов постквантовой криптографии, включая решетчатые ML-DSA (Dilithium) и SLH-DSA (SPHINCS+). Эти схемы становятся стандартными кандидатами для крупных систем, которым нужно готовиться к квантово-безопасным операциям.

Для Bitcoin любая реалистичная миграция, вероятно, будет внедряться поэтапно. Появятся новые типы output и значения по умолчанию для кошельков, возможно, вместе с гибридными транзакциями, которым в течение длительного переходного периода требуются как классические, так и постквантовые доказательства.

Однако постквантовые подписи обычно несут компромиссы: они часто больше по размеру и требуют больше вычислений для верификации, увеличивая использование blockspace, требования к пропускной способности (bandwidth) и затраты на валидацию для full nodes. Нужен аккуратный дизайн, чтобы не нагружать масштабируемость сети и децентрализацию.

Есть несколько правдоподобных направлений, выходящих за рамки любой единственной схемы. Варианты включают типы output, способные к квантовым операциям, гибридные политики для заданного переходного окна, а также значения по умолчанию в кошельках, постепенно уменьшающие длительное раскрытие публичных ключей. Soft fork — самая правдоподобная механика для введения новых типов script, тогда как hard fork остается высокорисковым крайнем решением из‑за возможных расколов цепочки.

BIP 360 и P2MR как инкрементальное ужесточение

BIP 360, недавно объединенный в официальное репозиторий BIPs, — это самая конкретная попытка на данный момент перевести высокоуровневую обеспокоенность в инкрементальное, “native для Bitcoin” смягчение, сфокусированное на паттернах долгой экспозиции.

Предложение вводит новый тип output под названием Pay-to-Merkle-Root (P2MR), который по сути предназначен быть функционально похожим на script trees Taproot, но при этом намеренно удаляет spending по key-path. Вместо этого все spends должны раскрывать script path и Merkle proof.

Концептуально P2MR — “Taproot-подобные script trees, но без key-path.” Этот дизайн напрямую нацелен на долго живущие встроенные публичные ключи, которые наиболее уязвимы в сценариях “собирать сейчас, атаковать позже”, связанных с алгоритмом Шора, не заставляя Bitcoin немедленно переходить к тяжелым схемам постквантовых подписей.

Главный компромисс — размер: расходы P2MR несут более крупные witnesses по сравнению с компактными spends Taproot по key-path. Однако сторонники утверждают, что принять немного более крупные script оправдано, если это существенно снижает экспозицию публичных ключей на долгую длительность.

BIP 360 представляет P2MR как базовый строительный блок, а не как окончательный ответ. Он закрывает часть проблемы — output с долгой экспозицией — но риски краткоживущих гонок в mempool и переход к полностью постквантовым подписям потребуют дополнительных предложений и консенсуса.

Legacy UTXO и дилеммы управления

Предложение также подчеркивает более неприятную реальность: даже с новыми типами output и улучшенными значениями по умолчанию кошельков, существенная доля набора UTXO, вероятно, останется на legacy script в течение неопределенно долгого времени, создавая карманы структурной уязвимости.

Часть активов просто простаивает или утеряна — у владельцев, которые никогда не подпишут новую транзакцию. Другое лежит в институциональном кастодиальном хранении или в индивидуальных (bespoke) конфигурациях, которые движутся медленно. Кроме того, простая человеческая инерция означает, что некоторые пользователи не будут добровольно мигрировать, пока угроза не покажется немедленной.

Если когда-либо появится криптографически релевантная квантовая способность, некоторые долго экспонированные монеты, чьи владельцы недостижимы, в принципе могли бы быть “подметены” тем, кто сможет быстрее вывести их приватные ключи. Даже если это рассматривать как кражу, а не как сбой протокола, рыночное воздействие может быть сильным.

Внезапная ликвидация крупных “спящих” кластеров может разрушить доверие, вызвать дебаты по экстренной политике и подогреть страхи о скрытом навесе предложения. Однако предложения заморозить, отозвать (claw back) или иным образом по-другому трактовать немигрировавшие монеты поднимают взрывные вопросы о неизменяемости, нейтральности и правах собственности, которые затрагивают самую суть общественного договора Bitcoin.

Возможность управленческого тупика — одна из причин, почему раннее, взвешенное планирование так важно. Когда начнется уже убедительная квантовая атака, может остаться мало времени или консенсуса, чтобы импровизировать радикальные исправления.

Риски, сроки и реалистичная готовность

В рамках более широких дебатов о квантовом риске для bitcoin, большинство самых серьезных аналитиков сейчас сходятся на нескольких пунктах: проблема реальна, временные рамки неопределенны, а поверхность атак крайне неоднородна для разных типов output и практик работы с кошельками.

Важно: экосистема не начинает с нуля. Разработчики уже изучают улучшения, которые можно внедрить через soft fork, новые дизайны output вроде P2MR, а также стратегии миграции, вдохновленные появляющимися стандартами в других отраслях. Именно такой работы и ждут долгосрочные институциональные держатели.

Самое сложное — координация. Любой значимый переход может занять годы, оказаться политически спорным и осложняться монетами, которые никогда не перемещаются. Тем не менее, консервативная культура обновлений Bitcoin — это также сила: она позволяет выбирать участие (opt-in), внедрять изменения поэтапно, не заставляя всю сеть в спешке перейти на жесткий дедлайн hard-fork.

В таком контексте профиль квантового риска для bitcoin выглядит менее как неминуемый экзистенциальный обрыв и больше как задача инженерии на длительный срок. При продолжающемся исследовании, разумном дизайне кошельков и инкрементальном ужесточении протокола сети все еще есть время подготовиться.

В конечном счете рациональная позиция ясна: подготовка важнее паники. Рассматривая квантовые технологии как серьезную, но управляемую угрозу, Bitcoin может продолжать развивать свою модель безопасности, не жертвуя теми свойствами, которые сделали ее ценной изначально.