Thị trường chú ý đến rủi ro của Bitcoin lượng tử khi các nhà nghiên cứu lên kế hoạch chuẩn bị từng bước, thận trọng

Các nhà đầu tư tổ chức ngày càng hỏi rằng câu chuyện Bitcoin lượng tử ảnh hưởng thế nào đến các giả định về an ninh dài hạn, dù mối đe doạ thực tiễn vẫn dường như còn ở rất xa.

Quy mô thực sự của mối đe doạ lượng tử

Các thảo luận công khai thường gợi ý rằng điện toán lượng tử có thể sớm phá vỡ Bitcoin. Tuy nhiên, các máy đủ mạnh để làm điều đó bằng thuật toán của Shor có lẽ vẫn còn cách đây hàng chục năm, và mức phơi nhiễm thực tế hẹp hơn nhiều so với những tiêu đề giật gân.

Bitcoin dựa vào chữ ký số để bảo đảm quyền sở hữu, trước đây là ECDSA và, từ khi Taproot ra đời, cũng sử dụng chữ ký Schnorr theo BIP340. Cả hai lược đồ đều dùng cùng đường cong elliptic, secp256k1, để suy ra khoá công khai từ khoá riêng theo cách hiện tại không thể đảo ngược bằng phần cứng cổ điển.

Một máy tính lượng tử chịu lỗi có khả năng chạy thuật toán Shor ở quy mô mang ý nghĩa mật mã về mặt lý thuyết có thể giải được bài toán logarithm rời rạc trên đường cong elliptic. Việc đó sẽ cho phép kẻ tấn công giả mạo chữ ký hợp lệ và đánh cắp trực tiếp tiền, đó là lý do vectơ tấn công này thu hút nhiều sự chú ý nhất.

Mối quan tâm thứ cấp là thuật toán Grover, cung cấp mức tăng tốc độ bậc hai cho các bài toán tìm kiếm vét cạn. Nó sẽ không phá vỡ trực tiếp SHA-256, nhưng có thể giảm công cần thiết để tìm một hash cho proof-of-work hợp lệ, từ đó tiềm năng thay đổi kinh tế khai thác và các rủi ro tập trung hoá nếu một thợ khai thác lượng tử có thể vượt tốc các dàn ASIC hiện nay.

Hơn nữa, bất kỳ lợi thế proof-of-work nào như vậy vẫn sẽ phụ thuộc vào kỹ thuật ngoài đời thực: thiết kế và vận hành một thợ khai thác lượng tử vượt trội so với các ASIC chuyên dụng là một thách thức khổng lồ riêng biệt, ngoài việc chỉ đơn thuần chạy Grover’s algorithm trong phòng thí nghiệm.

Bitcoin thực sự đang bị phơi nhiễm ở đâu

Các cuộc tấn công dựa trên Shor chỉ trở nên liên quan khi một khoá công khai được nhìn thấy trên chuỗi. Hồ sơ phơi nhiễm này thay đổi đáng kể giữa các loại output và các thực hành ví, đó là lý do rủi ro lượng tử đối với Bitcoin không đồng đều.

Các đồng tiền có phơi nhiễm dài hạn là những đồng mà khoá công khai được tiết lộ khi UTXO được tạo ra hoặc vẫn hiển thị trong thời gian dài. Nhóm này bao gồm các output P2PK ban đầu, các địa chỉ tái sử dụng mà tiền của chúng gắn với các khoá được tiết lộ trong các lần chi tiêu trước đó, và các output Taproot P2TR, trong đó cam kết đến một khoá được tinh chỉnh trực tiếp trong UTXO.

Trong các trường hợp đó, khoá công khai có thể bị thu hoạch từ rất lâu trước khi bất kỳ lần chi tiêu nào xảy ra. Điều này tạo ra một kịch bản tiềm năng “thu hoạch ngay, tấn công sau”: nếu trong tương lai tồn tại các máy lượng tử đủ mạnh, chúng có thể nhắm mục tiêu hàng loạt các khoá đã bị phơi nhiễm lâu.

Ngược lại, các loại ví hiện đại như P2PKH (legacy) và P2WPKH (SegWit) dùng các khoá công khai được băm, chỉ tiết lộ khoá thực sự tại thời điểm chi tiêu. Tuy nhiên, điều này giới hạn mạnh mẽ “khoảng cửa” cho kẻ tấn công: kẻ đó sẽ cần suy ra khoá riêng và phát tán một giao dịch xung đột trong vài khối ngay trước khi giao dịch chi tiêu hợp lệ được xác nhận.

Các ước tính về số lượng đồng tiền bị phơi nhiễm khác nhau. Một số phân tích cho rằng 20–50% tổng nguồn cung có thể gặp rủi ro theo các giả định rộng. Những người khác lại cho rằng điều đó phóng đại tính khai thác được trong thực tế, đặc biệt khi nhiều đồng bị phơi nhiễm bị phân mảnh thành các UTXO nhỏ hoặc chỉ hiển thị trong thời gian ngắn trong các cuộc đua mempool.

Một báo cáo thường được trích dẫn thu hẹp phần tập trung “bị phơi nhiễm một cách vật chất” còn khoảng 10,200 BTC, đây là con số đáng kể nhưng vẫn xa kịch bản xoá sạch mang tính hệ thống. Hơn nữa, sự khác biệt giữa bề mặt tấn công mang tính lý thuyết và thực tiễn này là then chốt để đánh giá rủi ro một cách đáng tin cậy.

Nút thắt cổ chai lượng tử chịu lỗi

Tất cả các kịch bản này đều giả định sự tồn tại của các máy tính lượng tử lớn, chịu lỗi, hoạt động ở quy mô vượt xa các thiết bị hiện tại. Ngày nay, các hệ thống đã được biết đến công khai vẫn còn ồn, nhỏ, và không đủ khả năng để thực hiện các cuộc tấn công mang ý nghĩa mật mã.

Việc phá vỡ các chữ ký trên đường cong elliptic của Bitcoin có lẽ sẽ cần hàng triệu qubit vật lý với cơ chế sửa lỗi mạnh để tạo ra đủ các qubit logic ổn định. Một nghiên cứu gần đây ước tính rằng máy móc có thể cần phải mạnh hơn khoảng 100,000× so với bất kỳ bộ xử lý lượng tử nào sẵn có hiện nay.

Quan điểm khác nhau về việc liệu phần cứng như vậy có đến kịp thời để có tác động đến Bitcoin hay không. Dù vậy, nhiều dự báo nghiêm túc lại hội tụ quanh giai đoạn giữa những năm 2030 đến giữa những năm 2040 như là “cửa sổ” khả dĩ sớm nhất, điều này cho hệ sinh thái thời gian nhưng không phải là lý do để chủ quan.

Điểm mấu chốt là: nếu năng lực đủ mạnh từng xuất hiện, phản ứng sẽ phải được lên kế hoạch, thử nghiệm và phối hợp từ nhiều năm trước. Vì vậy, cuộc thảo luận đã chuyển từ khoa học viễn tưởng sang một bài toán về kỹ thuật và quản trị.

Chuẩn hậu-lượng tử và lộ trình di chuyển

Thách thức cốt lõi là làm thế nào Bitcoin có thể di chuyển sang mật mã có khả năng chống chịu với lượng tử trong các giới hạn thông lượng nghiêm ngặt, quản trị thận trọng, và động lực không đồng đều giữa những người nắm giữ và các nhà cung cấp dịch vụ.

Năm 2024, NIST đã hoàn tất bộ chuẩn đầu tiên về mật mã hậu-lượng tử, bao gồm ML-DSA dựa trên lattice (Dilithium) và SLH-DSA (SPHINCS+). Các lược đồ này đang trở thành ứng viên mặc định cho các hệ thống lớn cần chuẩn bị cho các thao tác an toàn trước lượng tử.

Đối với Bitcoin, mọi di chuyển thực tế có thể sẽ được triển khai theo từng giai đoạn. Các loại output mới và cấu hình mặc định của ví sẽ được đưa vào, có thể kèm theo các giao dịch lai cần cả bằng chứng cổ điển và hậu-lượng tử trong một giai đoạn chuyển đổi dài.

Tuy nhiên, các chữ ký hậu-lượng tử nhìn chung đi kèm các đánh đổi: chúng thường lớn hơn và nặng hơn về tính toán để xác minh, làm tăng mức sử dụng blockspace, yêu cầu băng thông và chi phí xác thực đối với các full node. Cần thiết kế cẩn trọng để tránh gây căng thẳng lên khả năng mở rộng của mạng và mức độ phi tập trung hoá.

Có một số hướng khả dĩ ngoài bất kỳ bản thiết kế đơn lẻ nào. Các lựa chọn bao gồm các loại output có khả năng tương thích với lượng tử, các chính sách lai cho một cửa sổ chuyển đổi được xác định, và các mặc định ví giảm dần mức phơi nhiễm khoá công khai kéo dài. Một soft fork là cơ chế khả dĩ nhất để đưa vào các kiểu script mới, trong khi một hard fork vẫn là phương án cuối cùng có rủi ro cao do khả năng tách chuỗi.

BIP 360 và P2MR như sự gia cố gia tăng

BIP 360, mới đây đã được sáp nhập vào kho lưu trữ chính thức của các BIP, là nỗ lực cụ thể nhất cho đến nay nhằm chuyển mối quan ngại cấp cao thành một biện pháp giảm thiểu gia tăng, mang tính “native” đối với Bitcoin, tập trung vào các mẫu phơi nhiễm kéo dài.

Đề xuất này giới thiệu một loại output mới gọi là Pay-to-Merkle-Root (P2MR), được thiết kế để có chức năng tương tự các script trees của Taproot nhưng cố ý loại bỏ chi tiêu theo key-path. Thay vào đó, mọi lần chi tiêu đều phải tiết lộ một script path và một Merkle proof.

Về mặt khái niệm, P2MR là “các script trees kiểu Taproot, nhưng không có key-path.” Thiết kế này nhắm trực tiếp vào các khoá công khai nhúng tồn tại lâu dài—những thứ dễ bị tổn thương nhất với các kịch bản “thu hoạch ngay, tấn công sau” liên quan đến thuật toán Shor—mà không cam kết ngay lập tức Bitcoin vào các lược đồ chữ ký hậu-lượng tử nặng nề.

Đánh đổi chính nằm ở kích thước: các lần chi tiêu bằng P2MR mang các witness lớn hơn so với các lần chi tiêu theo Taproot key-path nhỏ gọn. Tuy nhiên, những người ủng hộ lập luận rằng việc chấp nhận các script lớn hơn một chút là hợp lý nếu nó làm giảm đáng kể mức phơi nhiễm khoá công khai kéo dài.

BIP 360 trình bày P2MR như một khối xây dựng nền tảng thay vì câu trả lời cuối cùng. Nó giải quyết một phần vấn đề — các output có phơi nhiễm kéo dài — trong khi các rủi ro kiểu đua tranh mempool chỉ tồn tại ngắn và việc chuyển sang các chữ ký hậu-lượng tử đầy đủ sẽ cần thêm các đề xuất và sự đồng thuận.

UTXO legacy và các tình huống khó xử về quản trị

Đề xuất cũng nhấn mạnh một thực tế khó chịu hơn: dù có các loại output mới và các mặc định ví tốt hơn, một phần không nhỏ của tập UTXO có lẽ sẽ vẫn nằm trên các script legacy trong một thời gian dài vô hạn, tạo ra các “khoang” dễ tổn thương mang tính cấu trúc.

Một số khoản nắm giữ chỉ đơn giản là “đứng yên” hoặc bị mất, với những chủ sở hữu sẽ không bao giờ ký một giao dịch mới. Những phần khác nằm trong các thỏa thuận lưu ký tổ chức hoặc các thiết lập riêng biệt chuyển động chậm. Hơn nữa, quán tính con người đơn giản nghĩa là một số người dùng sẽ không tự nguyện di chuyển cho đến khi mối đe doạ trở nên cảm thấy ngay lập tức.

Nếu từng xuất hiện năng lực lượng tử có ý nghĩa mật mã, một số đồng tiền có phơi nhiễm dài với chủ sở hữu không thể liên lạc có thể, về nguyên tắc, bị quét bởi bất kỳ ai có thể suy ra khoá riêng của chúng trước. Dù việc đó được coi là trộm cắp thay vì thất bại giao thức, tác động lên thị trường vẫn có thể rất nghiêm trọng.

Việc thanh lý đột ngột các cụm dormant quy mô lớn có thể làm vỡ niềm tin, kích hoạt các cuộc tranh luận chính sách khẩn cấp, và tiếp thêm nỗi sợ về tình trạng cung bị che giấu dư thừa. Tuy nhiên, các đề xuất để đóng băng, thu hồi lại, hoặc xử lý các đồng tiền chưa di chuyển khác đi lại đặt ra những câu hỏi bùng nổ xoay quanh tính bất biến, tính trung lập và quyền sở hữu—những vấn đề chạm đến cốt lõi của “khế ước xã hội” của Bitcoin.

Khả năng xảy ra bế tắc quản trị là một lý do khiến việc lập kế hoạch sớm và thận trọng lại quan trọng đến vậy. Khi một cuộc tấn công lượng tử có độ tin cậy cao đã bắt đầu, có thể sẽ không còn nhiều thời gian hoặc sự đồng thuận để bày ra các bản vá mang tính ứng biến.

Rủi ro, mốc thời gian và mức sẵn sàng thực tế

Trong cuộc tranh luận rộng hơn về rủi ro lượng tử của bitcoin, đa số nhà phân tích nghiêm túc hiện nay đồng ý với một vài điểm: thách thức là có thật, các mốc thời gian không chắc chắn, và bề mặt tấn công không đồng đều một cách đáng kể giữa các loại output và các thực hành ví khác nhau.

Điều quan trọng là hệ sinh thái không bắt đầu từ con số không. Các nhà phát triển đã và đang khám phá các cải tiến có thể triển khai bằng soft-fork, các thiết kế output mới như P2MR, và các chiến lược di chuyển dựa trên các chuẩn mực đang nổi lên trong các ngành công nghiệp khác. Chính xác là kiểu công việc mà các nhà nắm giữ tổ chức có tầm nhìn dài hạn muốn thấy.

Phần khó nhất là phối hợp. Bất kỳ quá trình chuyển đổi đáng kể nào cũng có thể kéo dài hàng năm, gây tranh cãi về mặt chính trị, và bị làm phức tạp bởi các đồng tiền không bao giờ di chuyển. Tuy vậy, văn hoá nâng cấp thận trọng của Bitcoin cũng là một thế mạnh, cho phép thay đổi theo cơ chế opt-in và theo giai đoạn mà không ép toàn bộ mạng phải chạy theo một hạn chót hard-fork gấp gáp.

Trong bối cảnh đó, hồ sơ rủi ro của “bitcoin lượng tử” trông ít giống như một vách đá sinh tồn sắp diễn ra và nhiều hơn như một bài toán kỹ thuật kéo dài. Với nghiên cứu đang tiếp diễn, thiết kế ví thận trọng và việc gia cố dần dần giao thức, mạng vẫn còn thời gian để chuẩn bị.

Cuối cùng, lập trường hợp lý là rõ ràng: chuẩn bị tốt hơn hoảng loạn. Bằng cách coi lượng tử là một mối đe doạ nghiêm túc nhưng có thể quản lý, Bitcoin có thể tiếp tục tiến hoá mô hình bảo mật của mình mà không phải hy sinh những thuộc tính đã khiến nó có giá trị ngay từ đầu.