Квантова вразливість у Біткоїні: контрольований ризик

Автор | Christopher Bendiksen, CoinShares

Переклад | GaryMa 吴说区块链

Посилання на оригінал:

Майбутні реальні квантові комп’ютери не є нульовою ймовірністю, що викликає постійні дискусії щодо їх потенційного впливу на крипто-безпеку біткоїна. Це, безумовно, є здоровим і необхідним запобіжним заходом для системи зберігання вартості в трильйони доларів. Однак, хоча ця технологія теоретично приносить виклики, її реальні ризики залишаються далекими і можуть бути вирішені за допомогою прямих засобів.

Для інституційних інвесторів розуміння цієї проблеми вимагає відокремлення спекуляцій (а, на жаль, великої кількості самозакоханої спекуляції та комерційної діяльності) від аналізу, основаного на доказах. Квантова вразливість біткоїна не є терміновою кризою, а є передбачуваним інженерним міркуванням, і є достатньо часу для адаптації.

Ключові моменти

Огляд квантової вразливості: Алгоритм Шора теоретично може розкрити ключі в ECDSA/Schnorr, алгоритм Гровера послаблює SHA-256; загроза залишається далекою, обмежена приблизно 1,7 мільйонами BTC у P2PK адресах (8% від загального обсягу), потенційна ймовірність впливу на ринок надзвичайно мала (докладніше див. останній пункт)

Безпека: Залежить від еліптичних кривих для авторизації, залежить від хеш-функцій для захисту; квантові обчислення не можуть змінити обмеження в 21 мільйон монет, і не можуть обійти доказ роботи. Сучасні P2PKH/P2SH приховують публічний ключ перед витратою; так званий 25% ризик вразливості перебільшує тимчасові ризики, які можна зменшити

Таймлайн та здійсненність: Для зламу secp256k1 у прийнятний термін (<1 рік) потрібно 10 до 100 тисяч разів більше логічних квантових бітів, ніж є зараз; відповідні квантові технології потребують принаймні 10 років. Довгострокові атаки можуть бути проведені за кілька років — можливо, стануть реальними через десять років; короткострокові атаки (атаки пам’яті) потребують <10 хвилин обчислювального часу — у жодному часовому масштабі, окрім дуже довгого (десятиліття), це не є здійсненним

Переваги радикального втручання (наприклад, м’який/жорсткий форк для анти-кантних форматів або знищення монет): зміцнення мережі заздалегідь, запобігання випадковим технічним проривам, надання шляхів для міграції, передача сигналів адаптивності, підвищення впевненості інвесторів

Недоліки радикального втручання: Неперевірені криптографічні технології можуть ввести вразливості; можуть витратити дефіцитні ресурси на ще не доведені або неефективні рішення, викликавши більше змін; припускаючи, що сплячі монети були втрачені, призводить до примусового або крадіжки; загроза нейтральності; підриває право власності, децентралізацію, незмінність і довіру

Вплив на ринок: Реально може бути обмежений приблизно 10 тисячами BTC, ці монети можуть раптово, несподівано потрапити на ринок через злом приватного ключа; в результаті виглядатиме більше як звичайна торгівля; власники можуть добровільно мігрувати; решта монет розподілена на 34 тисячах адрес, кожна з яких має приблизно 50 BTC, навіть в найоптимістичніших сценаріях технологічного прориву, знадобиться десятиліття для крадіжки

Правильний аналіз цієї проблеми вимагає глибокого та детального розуміння

Безпека біткоїна ґрунтується на двох основних криптографічних елементах: алгоритмі цифрового підпису з еліптичними кривими (ECDSA або Schnorr на основі secp256k1) для авторизації транзакцій, а також на хеш-функціях, таких як SHA-256, для видобутку та захисту адрес. ECDSA генерує асиметричні ключові пари, з публічного ключа обчислити приватний ключ у класичних обчислювальних системах є обчислювально неможливим. SHA-256 надає односторонній хеш, його зворотнє виведення також є обчислювально неможливим. Квантові алгоритми принесли конкретні занепокоєння. Загальне непорозуміння полягає в тому, що квантові обчислення повністю зламають криптографічну систему, але це не так. Нижче ми підсумовуємо вплив практичних квантових комп’ютерів на звичайні криптографічні функції.

Існуючі типи криптографії — до квантового та після квантового:

Основною проблемою, з якою ми стикаємося, є 256-бітний алгоритм ECDSA (тепер Schnorr, але має ту ж проблему) для авторизації транзакцій біткоїна. Алгоритм Шора теоретично може вирішити проблему дискретного логарифму, яка підтримує еліптичні криві, і як тільки публічний ключ стане видимим, приватний ключ може бути виведений.

Алгоритм Гровера знижує ефективну безпеку симетричних хешів, таких як SHA-256, з 256 біт до 128 біт, але через надзвичайно великі обчислювальні вимоги, брутфорс залишається практично неможливим, тому адреси, захищені хешем, залишаються безпечними. Щодо видобутку, квантові комп’ютери теоретично можуть стати досить швидкими видобувними пристроями, але їх економічність порівняно з ASIC залишається невизначеною (і, враховуючи вбудований механізм автоматичного коригування складності біткоїна, це не є важливим). Важливо, що квантові обчислення не можуть змінити фіксовану пропозицію біткоїна в 21 мільйон монет, і не можуть обійти доказ роботи, необхідний для верифікації блоків.

Ризиковий експозиція обмежена адресами, де публічний ключ видимий, головним чином традиційними виходами Pay-to-Public-Key (P2PK), які містять приблизно 1,6 мільйона BTC, що становить близько 8% від загального обсягу. Однак лише 10,200 BTC зберігаються в UTXO, і, якщо їх зломить квантовий комп’ютер, це може викликати будь-які значні збурення на ринку. Решта приблизно 1,6 мільйона BTC розподілені на 32,607 незалежних UTXO, кожен з яких має близько 50 BTC, навіть у найоптимістичніших сценаріях прогресу квантових технологій, знадобиться тисячі років для розблокування.

Розподіл та кількість вразливих монет

Сучасні формати адрес, такі як Pay-to-Public-Key-Hash (P2PKH) або Pay-to-Script-Hash (P2SH), приховують публічний ключ через хеш, зберігаючи безпеку до витрат. Заяви про 25% вразливість зазвичай містять тимчасові ризики, такі як повторне використання адрес біржами, ці проблеми можна легко зменшити за допомогою кращих практик; і, поки технології не стануть дійсно небезпечними, буде тривалість кількох років для попередження, що залишає достатньо часу для простих коригувань поведінки.

Ми ще далеко від небезпечної зони

Станом на початок 2026 року, квантова загроза не є близькою. Щоб зламати secp256k1, потрібні квантові системи з мільйонами логічних квантових бітів — це далеко за межами нинішніх можливостей. За словами дослідників, щоб за день вивести публічний ключ, зловмиснику потрібен квантовий комп’ютер, здатний на корекцію помилок та управління помилками, а така продуктивність поки не досягнута і потребує 13 мільйонів фізичних квантових бітів — приблизно в 100 тисяч разів більше, ніж максимальний розмір наявного квантового комп’ютера. Щоб завершити злам за годину, його продуктивність має бути в 3 мільйони разів вища за нинішні квантові комп’ютери. Технічний директор компанії Ledger Charles Guillemet сказав CoinShares: «Щоб зламати сучасну асиметричну криптографію, потрібно мати порядку мільйонів квантових бітів. Поточний квантовий комп’ютер Google, Willow, має лише 105 квантових бітів. І з кожним новим квантовим бітом підтримка когерентних систем стає експоненційно важчою.» Тут ми провели більш глибокий аналіз вищеописаного.

Недавні демонстрації, включаючи Google, показали прогрес, але від необхідного масштабу для реальних атак на біткоїн вони ще дуже далекі.

Деякі оцінки вважають, що пов’язані з криптографією (але не обов’язково становлять загрозу на практиці) квантові комп’ютери можуть з’явитися лише в 2030-х роках або навіть пізніше, деякі аналізи прогнозують, що це може зайняти 10-20 років.

Довгострокова ризикова експозиція (такі як адреси P2PK) може в той час піддатися атакам, які потребують років обчислень; тоді як короткострокова ризикова експозиція (такі як публічні ключі, видимі в пам’яті під час транзакції) вимагатиме завершення обчислень менше ніж за 10 хвилин.

Радикальне втручання має свої переваги та недоліки

Пропозиції щодо радикального втручання для вирішення цієї проблеми, наприклад, м’який форк для анти-кантних адресних форматів без достатнього тестування або, що ще гірше, жорсткий форк для знищення вразливих монет, потребують крайньої обережності. Такі дії можуть не лише ненавмисно ввести критичні вразливості, спричинивши технічну катастрофу, але й підривають основні принципи біткоїна щодо прав власності та децентралізації, підриваючи довіру без необхідності.

Введення нових адресних форматів є надзвичайно небезпечним і не варто просувати, поки криптографія, що підтримує їх безпеку, не буде належним чином зрозуміла та перевірена. Ми повинні усвідомити, що до появи практично застосовних квантових комп’ютерів ми не можемо точно знати, чи є анти-квантова криптографія ефективною в доказовому сенсі. Крім того, якщо ми занадто рано оберемо рішення для анти-квантових адрес, ми можемо вкласти дефіцитні ресурси розробки в рішення, які в кінцевому підсумку виявляться неефективними, швидко застарілими або навіть повністю дефектними.

Ми в принципі не можемо визначити, чи ці вразливі монети сплять, чи вже втрачені, як показують іноді перенесені довгостроково неактивні адреси. Власники мають достатню можливість самостійно, добровільно перенести свої кошти, і якщо квантові можливості постійно зростають, непозначені активи можуть природно завершити перехід.

У найближчому майбутньому, вплив на ринку, здається, обмежений. Лише невелика частина вразливих BTC, близько 10,200 монет, знаходиться в деяких категоріях P2PK, і якщо їх швидко та раптово зламати, це може вплинути на ліквідність. Такі події, швидше за все, будуть схожі на звичайні великі угоди, а не викликатимуть системні збурення. Більш важливо зберегти незмінність та нейтральність біткоїна, ці якості можуть бути під загрозою через передчасні зміни в протоколі.

Технічно можливо запобігти квантовим ризикам для біткоїна, не викликаючи руйнівних наслідків. «Біткоїн може впровадити підписи після квантової ери. Підписи Шнора (одна з технічних реалізацій у попередньому оновленні) прокладуть шлях для подальших оновлень, біткоїн може продовжити свою оборонну еволюцію», — сказав доктор криптографії Адам Бек компанії CoinShares. Через м’який форк можна ввести анти-квантові підписи, що забезпечить безперешкодну інтеграцію нових криптографічних стандартів. Деякі з існуючих пропозицій, таких як пропозиції поліпшення біткоїна (BIP), вже окреслили цей шлях еволюції. Користувачі можуть на власний розсуд перенести свої кошти на безпечні адреси, постійно стежачи за розвитком квантових технологій — навіть можуть використовувати старі традиційні адреси як “індикатори” технологічного прогресу.

Для інституційних інвесторів ключове усвідомлення: квантові ризики можна контролювати, і є достатньо часу для вирішення. Архітектура біткоїна сама по собі має вроджену стійкість, що підтримує прогресивну адаптацію. Як здорові гроші в цифрову епоху, біткоїн заслуговує оцінки на основі своїх фундаментальних принципів, а не на основі перебільшених технічних загроз.