BIP-360 Глибокий аналіз: як Bitcoin робить перший крок у протидію квантовим обчисленням?

Кожне технічне проривання у квантових обчисленнях змушує переоцінювати часові рамки довгострокової безпеки біткоїна. Коли Google переніс дедлайн міграції на постквантову криптографію на 2029 рік, а академічна спільнота показала, що квантова схема, якій потрібно лише 9 хвилин, здатна вивести приватний ключ із публічного, біткоїн-розробницька спільнота також дала свою відповідь. У лютому 2026 року BIP-360 «Pay-to-Merkle-Root (P2MR)» офіційно інтегрували до репозиторію bitcoin/bips, що означає перший випадок, коли біткоїн включив анти-квантову стійкість у формально визначений маршрут майбутнього оновлення. Це не революція у криптографії, а обережний, поступовий підхід до структурного захисту.

Чому квантова загроза саме зараз стала структурною змінною?

За минулий тиждень у сфері квантових обчислень відбувся докорінний зсув парадигми. У статті, спільно опублікованій квантовою командою Google та професором Стенфорда Dan Boneh, підтверджено, що достатньо 1 200–1 400 логічних квантових бітів, щоб за приблизно 9 хвилин зламати еліптичнокриву цифрову підписну схему (ECDSA), яка захищає біткоїн. Це наводиться на рівень, який менший за попередні ринкові оцінки «1 000» логічних квантових бітів — тобто приблизно на порядок. Ще важливіше те, що запропонована компанією Oratomic нейтрально-атомна архітектура показує: для досягнення цієї мети достатньо 10 000 фізичних квантових бітів, а Каліфорнійський технологічний інститут уже створив нейтрально-атомний масив із 6 100 квантових бітів. Це означає, що квантова загроза у лабораторіях рухається від теорії до інженерної верифікації. Для біткоїна ризик полягає не в SHA-256 хеш-алгоритмі, а в тому, що під час транзакції публічні ключі стають видимими у ланцюжку. Коли квантовий комп’ютер зможе вивести приватний ключ із публічного, ризику піддаються всі адреси з повторним використанням, застарілі виходи P2PK та витрати за ключовим шляхом Taproot. За оцінками ARK Invest, приблизно 34,6% пропозиції біткоїна (близько 6,9 мільйонів BTC) можуть опинитися під впливом цього ризику.

Як BIP-360 знижує оголення публічного ключа на рівні механізму?

Головна ідея BIP-360 полягає у запровадженні нового типу виходу під назвою «Pay-to-Merkle-Root» (P2MR). Ця пропозиція структурно спирається на апгрейд Taproot 2021 року, але має одну ключову зміну: повністю видаляється опція витрати через ключовий шлях. У традиційних Taproot-транзакціях витрачальник може обрати, як витрачати UTXO: через ключовий шлях (оголюючи скоригований публічний ключ) або через скриптовий шлях (надаючи меркл-доказ). Ключовий шлях є ефективним, але ціною є запис публічного ключа у ланцюжок. P2MR натомість примушує виконувати всі витрати будь-яких UTXO лише через скриптовий шлях. Зокрема, вихід P2MR зобов’язується лише меркл-коренем скриптового дерева, але не зобов’язується жодним внутрішнім публічним ключем. Коли користувачеві потрібно витратити кошти, достатньо розкрити конкретний скриптовий листовий вузол і надати меркл-доказ — весь процес не передбачає оголення у ланцюжку еліптичнокривого публічного ключа. Цей механізм напряму відтинає найголовніший вхід для квантових атак — оголений публічний ключ.

Які структурні витрати потрібно понести за підвищення безпеки?

Будь-яке підвищення безпеки завжди йде з компромісами, і P2MR не є винятком. Найбільш очевидна ціна проявляється у комісії за транзакції. Оскільки використовується скриптовий шлях замість компактного ключового шляху, транзакції P2MR мають містити більше даних свідоцтва (зокрема меркл-доказ і вміст скрипта), що збільшує розмір транзакції та, відповідно, підвищує комісію. Для звичайних користувачів це є видимою додатковою вартістю. Глибший компроміс стосується балансу між користувацьким досвідом і безпекою. Ключовий шлях був задуманий саме для того, щоб забезпечити більш економний і швидкий спосіб витрачання. При його усуненні всі транзакції повертаються до скриптового шляху — це, безумовно, зміцнює анти-квантову стійкість, але певною мірою жертвує частиною ефективності. Крім того, P2MR — це не повноцінна схема постквантових підписів. Вона не вводить підписи на основі решіток Dilithium чи підписи на основі хешів SPHINCS+ як заміну наявним підписам ECDSA та Schnorr. Вона лише закриває вразливість, пов’язану з оголенням публічного ключа, а не перетворює криптографічну основу біткоїна.

Що це означає для розстановки сил у криптографічній галузі?

Просування BIP-360 непомітно перебудовує напрям еволюції інфраструктури галузі. Для провайдерів гаманців підтримка адрес P2MR (очікується, що вони починатимуться з bc1z) стане новим виміром для розрізнення рівнів безпеки продуктів. Довгострокові власники зможуть обрати міграцію активів на такі анти-квантові адреси, активно знижуючи майбутні ризики. Для бірж і кастодіальних установ це означає необхідність оцінити ступінь оголення публічних ключів у наявних активах користувачів та підготувати відповідні механізми супроводу міграції. Більш далекоглядна зміна стосується класифікації активів. У майбутньому ринок може природно розділитися на два типи біткоїна: один — для довготривалого зберігання на анти-квантових адресах «безпечний резерв», а другий — той, що залишається на традиційних адресах, часто використовується в торгівлі та має оголені публічні ключі, тобто «оборотний актив». Таке розмежування потенційно вплине на уподобання щодо ліквідності активів і логіку їх оцінювання. З погляду технічного шляху розвитку поява BIP-360 також дає референсний підхід для інших публічних мереж: як, перш ніж повністю перейти до постквантових підписів, зменшити поле ризику через точкові налаштування на рівні протоколу.

Якими шляхами може піти майбутня еволюція?

Технічний шлях BIP-360 уже відносно зрозумілий, але соціальний шлях його впровадження все ще має значну невизначеність. З точки зору технічної еволюції найімовірніший сценарій — поетапне просування через софтфорк: спочатку активувати новий тип виходу P2MR, дозволивши користувачам добровільно обирати його використання; далі гаманці, торгові платформи та кастодіальні установи поступово збільшуватимуть підтримку; і, нарешті, користувачі протягом кількох наступних років здійснюватимуть поетапну міграцію активів. Цей процес подібний до шляхів поширення SegWit і Taproot. Однак формування соціального консенсусу може виявитися складнішим, ніж реалізація техніки. BTQ Technologies уже розгорнула робочу реалізацію BIP-360 на біткоїн-квантовій тестовій мережі, залучивши понад 50 майнерів і видобувши понад 100 000 блоків. Але ця тестова мережа працює незалежно від основної мережі біткоїна та обходить процеси управління головного ланцюга. Щоб BIP-360 справді увійшов до коду ядра біткоїна, усе ще потрібно досягти широкого консенсусу між майнерами, розробниками та користувачами. Президент BTQ Christopher Tam прямо сказав: «Це соціальна проблема. У спільноті біткоїна є деякі ‘високі жерці’, яких потрібно переконати».

Які потенційні ризики потрібно завчасно попередити?

Хоча BIP-360 є важливим превентивним оновленням, його обмеження також не можна ігнорувати. По-перше, наявні активи не отримають захист автоматично. Усі старі UTXO залишаються під ризиком оголення публічного ключа до того моменту, поки користувач не ініціює їхню добровільну передачу у виходи P2MR. Це означає, що навіть після завершення оновлення в мережі тривалий час залишатиметься велика кількість вразливих активів — особливо адреси майнінгу на ранній стадії Сатоші Накомото та «сплячі монети», які довго не рухалися. По-друге, BIP-360 не є кінцевою точкою. Як тільки з’явиться справді придатний для використання квантовий комп’ютер, пов’язаний із криптографією (CRQC), однієї лише меншої експозиції публічного ключа буде недостатньо для протидії загрозі — тоді все одно потрібно буде мігрувати на повну схему постквантових підписів. По-третє, існують значні відмінності між тестовою мережею і основною. BTQ-тестова мережа використовує цільовий час генерації блока 1 хвилина, щоб прискорити ітерації тестування; це відрізняється від 10-хвилинного механізму генерації блоків у основній мережі біткоїна. Рішення, які пройшли перевірку на тестовій мережі, при перенесенні на основну мережу все одно потребуватимуть повторної оцінки меж безпеки. Нарешті, прогрес у квантових технологіях продовжує прискорюватися. Дедлайн Google на 2029 рік для міграції та, відповідно, строки постквантової міграції на квітень 2026 року згідно з директивою NSM-10 уряду США стискають вікно часу для реакції галузі.

Підсумок

Запровадження BIP-360 означає, що біткоїн переходить від пасивного реагування на квантові загрози до активного створення рівня захисту. Шляхом видалення ключового шляху Taproot і примусу використовувати скриптовий шлях вона суттєво знижує ризик експозиції публічного ключа в ланцюжку. Але це ні не кінець, ні панацея. Це обережна, поступова технічна підготовка, яка виграє вікно часу для майбутньої повної міграції на постквантові підписи. Для криптовалютної галузі важливість BIP-360 полягає не в тому, щоб вважати його кінцевим рішенням, а в тому, щоб усвідомити: на критичній точці зміни криптографічної парадигми попереднє планування та системне керування значно важливіші за реагування «в моменті». Квантовий зворотний відлік уже запущено, а розробники біткоїна та учасники екосистеми відповідають на це теоретичне випробування, що триває понад тридцять років, за допомогою структурної зміни коду.

FAQ

Запитання: Чи може BIP-360 зробити біткоїн повністю невразливим до квантових атак?

Ні. BIP-360 лише зменшує ризик експозиції публічного ключа й не замінює наявні еліптичнокриві алгоритми підписів. Якщо з’явиться справді придатний для використання криптографічно пов’язаний квантовий комп’ютер, усе одно потрібно буде перейти на повну схему постквантових підписів.

Запитання: Що мають робити звичайні користувачі зараз?

Наразі квантова загроза не є негайною, тож користувачам не варто панікувати. Але можна почати виробляти звичку не повторювати використання адрес, стежити за тим, коли в застосунках гаманців почнуть підтримувати тип адрес P2MR, і постійно стежити за оновленнями протоколу біткоїна.

Запитання: Чим адреси P2MR відрізняються від наявних адрес?

Адреси P2MR, як очікується, починатимуться з bc1z і належатимуть до типу виходу SegWit версії 2. Їхня ключова різниця в тому, що всі витрати примусово проходять через скриптовий шлях, уникаючи прямого оголення публічного ключа в ланцюжку.

Запитання: Коли BIP-360 буде активовано в основній мережі біткоїна?

Наразі BIP-360 все ще перебуває у статусі Draft і ще не інтегровано до репозиторію ядра біткоїна. Конкретний час активації залежить від прогресу досягнення консенсусу спільнотою, тож чіткого графіка немає.

Запитання: Чому не перейти одразу до постквантових підписів?

Рішення постквантових підписів (наприклад, підписи на основі решіток) мають значний розмір, що створює суттєвий тиск на простір блоків і продуктивність вузлів біткоїна. BIP-360 — це поступова схема: знижуючи ризик, вона зберігає ефективність мережі та залишає час для більш радикального оновлення.