Понимание BIP-361: о чем на самом деле спорит сообщество биткоина?

На этой неделе в сообществе BTC обсуждения и споры по поводу BIP-361 были очень активными, я подготовил их обзор согласно своему пониманию.
BIP-361 — это проект, предложенный Эндрю Пелстром, с глубоким разбором и продвижением со стороны эксперта по безопасности Джеймсона Лоппа. Основная идея этого проекта: до того, как квантовые компьютеры смогут взломать биткоин, нужно заранее принять меры, чтобы заморозить BTC на адресах, где есть открытые публичные ключи, и предусмотреть способы их восстановления. (и есть меры по спасению).
1/ Общая информация
За последние 17 лет биткоин оставался очень безопасным. Его безопасность обеспечивается асимметричной эллиптической цифровой подписью (ECDSA). Эта схема делает практически невозможным для современных компьютеров (включая суперкомпьютеры) в разумные сроки вывести приватный ключ из публичного. Это гарантирует одностороннюю необратимость перехода от приватного ключа к публичному.
Современная угроза, которая стала поворотным моментом: в научных кругах широко считается, что достаточно мощный квантовый компьютер (с миллионами квантовых бит) может с помощью алгоритма Шора взломать ECDSA за очень короткое время.
В начале года команда Google Quantum AI опубликовала некоторые исследования: они не взломали биткоин, но данные показывают, что угроза квантовых вычислений для криптовалют может наступить раньше, чем ожидалось.
Реакция сообщества — не паниковать, но активно реагировать, обсуждать и предпринимать действия.
Именно поэтому сейчас появляются предложения типа BIP-360, BIP-361 и другие, поскольку биткоин — это открытое программное обеспечение без руководителя (CEO), и каждое крупное обновление происходит очень медленно, требует долгого формирования консенсуса в сообществе. Если ждать появления квантовых компьютеров и только после этого реагировать, может быть уже поздно.
2/ Стратегия обновления и противодействия
С логической точки зрения, поскольку биткоин — это открытый софт, достаточно обновить алгоритмы, чтобы противостоять квантовым вычислениям. Реализация этого в коде существует, например, алгоритмы, выбранные NIST, такие как Dilithium, хотя они и имеют некоторые побочные эффекты по сравнению с текущим ECDSA, теоретически реализуемы.
Более сложный вопрос — вне технической сферы: после обновления те, кто обновился, смогут безопасно переводить BTC с старых адресов на новые; а что делать с адресами, где публичный ключ уже раскрыт, или с адресами, владельцы которых умерли или потеряли приватные ключи? Эти BTC без владельца — никто не сможет их тронуть. Они навсегда останутся под угрозой квантового взлома, станут инструментом для атакующих и могут вызвать крах рынка.
А сколько таких адресов?
По оценкам индустрии, примерно 2-4 миллиона BTC (в том числе 1,1 миллиона — с Сатоши); еще 2-3 миллиона — «спящие» — не перемещались более 5 лет, зашифрованы хешами, и пока квантовые компьютеры не могут их взломать напрямую. В любом случае, это очень большое количество. MicroStrategy потратил много усилий, чтобы купить всего 780 тысяч BTC. Если эти миллионы BTC будут взломаны, ущерб для биткоина будет огромным, и говорить об этом не стоит.
3/ Что хочет сделать BIP-361
Эта сложная проблема — то, что пытается решить предложение BIP-361.
Основная идея этого проекта: если не перейти на адреса, устойчивые к квантовым атакам, то средства на таких адресах будут заморожены. Это вынудит всех перейти на адреса с квантовой защитой.
Проект реализуется в три этапа с использованием метода BIP9:
◦ Этап A ( — активация примерно через 160 000 блоков (~3 года): запрещается отправлять BTC на адреса, где публичный ключ раскрыт и уязвим для квантовых атак. Разрешается переводить только на новые адреса с квантовой защитой (PQ). Этот шаг — чтобы остановить дальнейшее использование уязвимых адресов.
◦ Этап B ( — примерно через 2 года после этапа A, всего около 5 лет: узлы начнут отвергать все подписи на эллиптических кривых, включая ECDSA и новые Schnorr. Утраченные или не переведённые вовремя уязвимые UTXO станут замороженными и не смогут быть потрачены. То есть, если за 5 лет не произвести перевод, средства на этих адресах станут недоступными.
◦ Этап C ) — по мере необходимости: для решения этических вопросов «заброшенных» или «мертвых» средств, предусматривается патч. Пользователи, у которых есть мнемоническая фраза, смогут через zero-knowledge proof (ZKP) доказать, что они владеют соответствующими ключами, не раскрывая их, и таким образом разблокировать замороженные средства. — В теории это возможно, но технически очень сложно и находится на стадии проверки.
Объяснение этапа C: текущая проблема — при переводе некоторые адреса раскрывают публичный ключ, и квантовые компьютеры могут их сразу взломать. Поэтому идея — с помощью ZKP пользователь доказывает, что он владеет приватным ключом, не раскрывая его, и может разблокировать замороженные средства, создав новый адрес с квантовой защитой.
Итак, логика BIP-361 — не ждать, пока украдут, а заранее закрыть «дыры» и предотвратить кражи.
4/ Общественные споры
После публикации BIP-361 в сообществе BTC большинство голосов — против.
Adam Back заявил: «Это конфискация, а не защита». Он выступает за мягкий форк и добровольное обновление, категорически против принудительной заморозки.
Мартин Бент также написал длинную ветку с критикой, считая, что это нарушает принцип «ваши ключи — ваши монеты», и выступает за добровольную миграцию и обучение, а не за жесткие сроки.
Чарльз Хоскинсон выразил более резкую позицию: по его мнению, это по сути хард-форк, и в результате биткоин превратится в «shitcoin».
С технической точки зрения, реализовать это как мягкий форк, но на уровне общественного согласия — вызывает споры о том, является ли это хард-форком.
Фил Гейгер остро заметил: «Нам нужно сначала украсть деньги у людей, чтобы защитить их от кражи».
Соавтор предложения Джеймсон Лопп признался: «Мне не нравится это, но я написал его, потому что мне больше не нравится другой сценарий — когда квантовые компьютеры украдут монеты». Взвесив оба варианта, он выбрал менее худший.
Противники опасаются не только «кражи», но и того, что внедрение ZKP в фазе C увеличит сложность кода и появление новых уязвимостей.
Некоторые, напротив, поддерживают.
Например, Ху Йилин @epr510 — считает, что Сатоши, скорее всего, уничтожил приватные ключи, что является его волей. Квантовые компьютеры могут нарушить это и снова использовать монеты. Заморозка «заброшенных» или «забытых» средств — это уважение к принципу «свободы распоряжения имуществом».
Он также опроверг аргумент о «скользкой дорожке»: заморозка уязвимых адресов — это исправление бага, а не цензура. Люди хотят вернуть свои деньги, а не чтобы их украли квантовые компьютеры, поэтому заморозка — это не нарушение их свободы.
Мэтт Корэлло предложил компромисс: разделить обновление для квантовой защиты и заморозку старых адресов на два отдельных этапа. Техническое обновление можно делать без консенсуса, а окончательное решение — через крупный форк и конкуренцию.
5/ Какие последствия это может иметь
По сути, речь идет о миллионах BTC стоимостью в тысячи миллиардов долларов. Если реализовать BIP-361, то на бумаге произойдет резкое сокращение доступных для обращения монет, что можно назвать техническим «сжатием». Но если из-за этого произойдет раскол сообщества и снизится доверие к «фиксированному и неизменному» количеству биткоинов, рыночная стоимость может не только не вырасти, а даже упасть.
Сатоши в ранние годы говорил: «Потерянные монеты делают остальные чуть дороже. Это как пожертвование всем».
В BIP-361 — есть другая формулировка: «Квантовые восстановленные монеты делают остальные монеты менее ценными. Это — кража у всех».
Потерянные монеты — это пожертвование, а украденные квантовыми компьютерами — это грабеж.
Если не замораживать, возможны три сценария: (1( — любой может украсть, кто первым доберется; )2( — ограниченная кража, например, майнеры используют RBF для компенсации потерь; )3( — никто не может украсть. Предложение BIP-361 выбирает третий вариант.
Сам проект в текущей версии вряд ли пройдет, потребуется много доработок. Но его важность в том, что он поднимает на повестку дня проблему, которую многие избегали, и способствует формированию общественного консенсуса для совместной борьбы с квантовыми компьютерами.