Ринок стежить за ризиком квантового Біткойна, оскільки дослідники планують поетапну та обережну підготовку

Інституційні інвестори дедалі частіше питають, як квантовий наратив про Bitcoin впливає на припущення щодо довгострокової безпеки, навіть якщо практична загроза все ще виглядає далекою.

Реальні масштаби квантової загрози

Публічні обговорення часто натякають, що квантові обчислення можуть дуже скоро зламати Bitcoin. Однак машини достатньої потужності, щоб зробити це за допомогою алгоритму Шора, імовірно, все ще будуть за десятиліттями, а реальний ризик вужчий, ніж натякають драматичні заголовки.

Bitcoin покладається на цифрові підписи для захисту володіння: історично це були ECDSA і, з Taproot, також підписи Schnorr згідно з BIP340. Обидві схеми використовують ту саму еліптичну криву secp256k1, щоб виводити публічні ключі з приватних у спосіб, який наразі неможливо інвертувати класичним обладнанням.

Квантовий комп’ютер з відмовостійкістю, здатний запустити алгоритм Шора на криптографічно значущому масштабі, теоретично міг би розв’язати задачу еліптичнокривої дискретної елементарної логарифмізації. Це дозволило б зловмисникові підробити дійсні підписи та напряму вкрасти кошти, тому цей вектор атаки привертає найбільше уваги.

Другорядне занепокоєння викликає алгоритм Гровера, який дає квадратичне пришвидшення для задач перебору (brute-force). Він не зламав би напряму SHA-256, але міг би зменшити обсяг роботи, необхідний для знаходження дійсного хешу proof-of-work; потенційно це могло б зрушити економіку майнінгу та ризики централізації, якщо квантовий майнер міг би випереджати наявні сьогодні флотилії ASIC.

Крім того, будь-яка така перевага в proof-of-work усе одно залежала б від реального інженерного виконання: розробка та експлуатація квантового майнера, кращого за спеціалізовані ASIC, — це окремий, величезний виклик, додатковий до простого запуску алгоритму Гровера в лабораторних умовах.

Де Bitcoin насправді піддається впливу

Атаки на основі Шора стають релевантними лише тоді, коли публічний ключ стає видимим у мережі on-chain. Цей профіль експозиції суттєво відрізняється залежно від типів виходів і практик гаманців, через що квантовий ризик для Bitcoin не є однорідним.

Монети з довгостроковою експозицією — це ті, де публічний ключ розкривається під час створення UTXO або залишається видимим протягом тривалого часу. До цієї групи входять ранні виходи P2PK, повторно використані адреси, чиї кошти прив’язані до ключів, розкритих під час попередніх витрат (spends), а також виходи Taproot P2TR, які фіксують (commit) змінений ключ безпосередньо в UTXO.

У таких випадках публічні ключі можна зібрати значно раніше, ніж станеться будь-яка витрата. Це створює потенційний сценарій “зібрати зараз, атакувати пізніше”: якщо в майбутньому існуватимуть потужні квантові машини, вони могли б масово націлюватися на ключі з тривалою експозицією.

Натомість сучасні типи гаманців на кшталт P2PKH (legacy) і P2WPKH (SegWit) використовують хешовані публічні ключі, розкриваючи реальний ключ лише під час витрати. Однак це різко звужує вікно для атакувальника: йому потрібно вивести приватний ключ і опублікувати конфліктуючу транзакцію впродовж кількох блоків до того, як легітимна витрата підтвердиться.

Оцінки того, скільки монет експоновано, різняться. Деякі аналізи припускають, що 20–50% від загального обсягу пропозиції можуть бути вразливими за широкими припущеннями. Інші вважають, що це перебільшує практичну експлуатованість, особливо коли багато експонованих монет роздроблені на невеликі UTXO або видимі лише короткочасно під час перегонів у mempool.

Один широко цитований звіт звужує матеріально експоновану, концентровану підмножину до близько 10,200 BTC — це суттєво, але аж ніяк не сценарій системного “вимітання” (wipe-out). Ба більше, це розрізнення між теоретичною й практичною поверхнею атаки є критично важливим для достовірної оцінки ризиків.

Квантова вузька горловина з відмовостійкістю

Усі ці сценарії передбачають наявність великих квантових комп’ютерів з відмовостійкістю, що працюють на масштабах, значно далеких від нинішніх пристроїв. Сьогодні публічно відомі системи все ще шумні, невеликі й не здатні на криптографічно значущі атаки.

Злам підписів Bitcoin на основі еліптичної кривої, ймовірно, потребуватиме мільйонів фізичних кубітів із сильною корекцією помилок, щоб отримати достатньо стабільні логічні кубіти. Один нещодавній дослідження оцінює, що машинам може знадобитися приблизно у 100,000× більша потужність, ніж будь-який квантовий процесор, доступний сьогодні.

Мнения різняться щодо того, чи встигне таке обладнання з’явитися вчасно, щоб мати значення для Bitcoin. Тим не менш, багато серйозних прогнозів групуються навколо періоду з середини 2030-х до середини 2040-х як найранішого правдоподібного вікна — це дає екосистемі час, але не є виправданням для самозаспокоєння.

Ключове: якщо колись з’явиться осмислена здатність (capability), відповідь має бути спланована, протестована та скоординована за роки наперед. Саме тому обговорення змістилося з царини наукової фантастики в царину інженерії та управління (governance).

Постквантові стандарти та шляхи міграції

Головний виклик — як Bitcoin міг би мігрувати до квантово-стійкої криптографії за жорстких обмежень пропускної здатності (throughput), консервативного governance та неоднакових стимулів у власників і сервіс-провайдерів.

У 2024 році NIST завершив перший набір стандартів постквантової криптографії, включно з решітчастими (lattice-based) ML-DSA (Dilithium) та SLH-DSA (SPHINCS+). Ці схеми стають стандартними кандидатами для великих систем, яким потрібно готуватися до квантово-безпечних операцій.

Для Bitcoin будь-яка реалістична міграція, ймовірно, відбуватиметься поетапно. З’являтимуться нові типи виходів і налаштування гаманців за замовчуванням, можливо разом із гібридними транзакціями, що вимагатимуть і класичних, і постквантових доказів протягом тривалого перехідного періоду.

Однак постквантові підписи зазвичай мають компроміси: вони часто більші та обчислювально важчі для перевірки, збільшуючи використання blockspace, вимоги до пропускної здатності (bandwidth) та витрати на валідацію для повних нод. Потрібен ретельний дизайн, щоб уникнути навантаження на масштабованість мережі та децентралізацію.

Є кілька правдоподібних напрямів поза будь-яким єдиним “блакитним планом” (blueprint). Варіанти включають квантоздатні типи виходів, гібридні політики для визначеного перехідного вікна та налаштування гаманців за замовчуванням, які поступово зменшують довгоживчу експозицію публічних ключів. М’який форк (soft fork) — найімовірніший механізм для впровадження нових типів скриптів, тоді як жорсткий форк (hard fork) залишається сценарієм високого ризику в крайньому випадку через потенційні розколи ланцюга.

BIP 360 та P2MR як поступове посилення безпеки

BIP 360, нещодавно приєднаний до офіційного репозиторію BIPs, є найбільш конкретною спробою на сьогодні перетворити високорівневе занепокоєння на поступову, “native” для Bitcoin контрміру, сфокусовану на патернах довгої експозиції.

Пропозиція вводить новий тип виходу під назвою Pay-to-Merkle-Root (P2MR), який задуманий бути функціонально подібним до script-дерев Taproot, але навмисно прибирає витрати за key-path. Натомість усі витрати мають розкривати шлях до скрипта (script path) і Merkle proof.

Концептуально, P2MR — це “script-дерева, схожі на Taproot, але без key-path”. Цей дизайн прямо націлюється на довгоіснуючі вбудовані публічні ключі, які найбільш уразливі до сценаріїв “зібрати зараз, атакувати пізніше”, пов’язаних із алгоритмом Шора, не примушуючи одразу зобов’язувати Bitcoin до важких постквантових схем підписів.

Основний компроміс — розмір: spends P2MR несуть більші свідчення (witnesses) порівняно з компактними витратами Taproot за key-path. Втім, прихильники стверджують, що прийняття трохи більших скриптів виправдане, якщо це суттєво знижує тривалу експозицію публічних ключів.

BIP 360 подає P2MR як фундаментальний будівельний блок, а не як остаточну відповідь. Він закриває частину проблеми — виходи з довгою експозицією — тоді як ризики короткочасних перегонів у mempool і перехід до повних постквантових підписів вимагатимуть додаткових пропозицій і консенсусу.

Legacy UTXOs та дилеми управління (governance)

Пропозиція також підкреслює більш неприємну реальність: навіть із новими типами виходів і кращими налаштуваннями гаманців за замовчуванням, значна частка множини UTXO, ймовірно, залишатиметься на legacy-скриптах нескінченно довго, створюючи кишені структурної вразливості.

Деякі зберігання просто “сплять” або втрачені, з власниками, які ніколи не підпишуть нову транзакцію. Інші лежать в інституційних схемах кастоді або в спеціально налаштованих рішеннях, які рухаються повільно. Крім того, проста людська інерція означає, що частина користувачів не мігрує добровільно, доки загроза не відчуватиметься як невідкладна.

Якщо колись з’явиться квантова здатність, релевантна криптографії, деякі монети з довгою експозицією, чиї власники недосяжні, теоретично можуть бути “підмітані” (swept) тим, хто першим зможе вивести їхні приватні ключі. Навіть якщо це трактувати як крадіжку, а не як збій протоколу, ринковий вплив може бути дуже серйозним.

Раптова ліквідація великих “мертвих” кластерів може зламати довіру, спричинити дебати щодо екстрених політик та підживити страхи про прихований надлишок пропозиції (supply overhang). Однак пропозиції заморожувати, “відкликати” (claw back) або іншим чином по-іншому трактувати немігрувавші монети піднімають вибухонебезпечні питання щодо незмінності, нейтральності та прав власності, які торкаються самої суті соціального контракту Bitcoin.

Можливість тупика в управлінні (governance deadlock) — одна з причин, чому так важливе раннє, виважене планування. Коли переконлива квантова атака вже розпочалася, може залишитися мало часу або консенсусу, щоб імпровізувати радикальні виправлення.

Ризики, таймлайни та реалістична готовність

У межах ширших дебатів щодо квантового ризику для bitcoin більшість серйозних аналітиків зараз погоджуються з кількома пунктами: виклик реальний, таймлайни невизначені, а поверхня атаки сильно неоднорідна між різними типами виходів та практиками гаманців.

Важливо: екосистема не стартує з нуля. Розробники вже досліджують вдосконалення, які можна впровадити через soft-fork, нові дизайни виходів на кшталт P2MR, а також стратегії міграції, натхненні стандартами, що з’являються в інших індустріях. Саме таку роботу хочуть бачити інституційні власники з довгим горизонтом.

Найскладніша частина — координація. Будь-яка суттєва зміна може тривати роками, бути політично контроверсійною та ускладнюватися монетами, які ніколи не рухаються. Водночас консервативна культура оновлень Bitcoin є також силою: вона дає можливість опціонального (opt-in), поетапного переходу без примусу всієї мережі до поспішного дедлайну для hard-fork.

У цьому контексті профіль квантового ризику для bitcoin виглядає менш як неминучий екзистенційний обрив, і більше як виклик з тривалої інженерії. За наявності триваючих досліджень, продуманого дизайну гаманців і поступового посилення протоколу мережа все ще має час підготуватися.

Зрештою, раціональна позиція зрозуміла: підготовка краща за паніку. Розглядаючи квантові технології як серйозну, але керовану загрозу, Bitcoin може продовжувати розвивати свою модель безпеки, не жертвуючи властивостями, які зробили її цінною насамперед.