Квантовая угроза Bitcoin: Chaincode Labs предсказывает уязвимость миллионов монет

Эксперты исследовательской компании Chaincode Labs представили исчерпывающий отчет о возможных рисках, связанных с угрозами квантовых компьютеров для биткоина. Этот 55-страничный документ был составлен докторами Энтони Милтоном и Кларой Шикельман в мае 2025 года.

По мнению авторов, от 20% до 50% находящихся в обращении биткойнов (примерно от 4 до 10 миллионов BTC) теоретически могут быть подвержены атакам, использующим квантовые компьютеры, способные проводить криптографически значимые операции (Cryptographically Relevant Quantum Computer, CRQC).

Наиболее точная оценка, полученная от Project Eleven 17 января 2025 года, составила 6 262 905 BTC. Эти средства распределены по следующим категориям:

Исследователи обратили особое внимание на сосредоточение крупных объемов средств на биржевых адресах. Некоторые из них хранят сотни тысяч биткоинов, что делает их наиболее привлекательными целями для возможных квантовых атак.

«Относительно активов, имеющих открытые публичные ключи, многие значительные держатели, такие как биржи и институциональные кастодианы, исторически использовали один и тот же адрес для управления своими холодными хранилищами из соображений удобства. […]

Таким образом, создается экономически оправданный список целей для квантовых атак: взлом таких адресов может принести наибольшую выгоду за затраченные усилия», — отмечается в отчете.

В 2024 году канадская организация Global Risk Institute провела опрос 32 ведущих экспертов в области науки. Почти треть из них (10 из 32) полагают, что вероятность появления CRQC в течение следующих 10 лет составляет 50% или даже больше.

Авторы отчета также упомянули государственные инициативы, подтверждающие серьезность квантовой угрозы:

К тому же, исследователи отметили ускорение прогресса в области квантовых вычислений. В декабре 2024 года Google анонсировал процессор Willow с 105 физическими кубитами, который достиг значительного прогресса в области квантовой коррекции ошибок. В феврале 2025 года Microsoft представила Majorana 1 — первый квантовый процессор, использующий топологические кубиты.

Квантовые компьютеры представляют угрозу для биткоина, поскольку могут взломать эллиптическую криптографию с помощью алгоритма Шора. Этот алгоритм способен вычислить приватный ключ из публичного за считанные часы или дни, в отличие от классических компьютеров, которым на это могут потребоваться квадриллионы лет.

Долгосрочные атаки нацелены на три типа скриптов с известными публичными ключами:

Краткосрочные атаки затрагивают все транзакции, происходящие в маленький временной промежуток, когда пользователь раскрывает публичный ключ в мемпуле (до подтверждения).

Вопрос о будущем квантово уязвимых средств уже разделил сообщество на две противоположные группы.

Сторонники идеи «сжигания» во главе с Джеймсоном Лоппом считают, что уничтожение уязвимых монет поможет сохранить целостность биткоина. Они утверждают, что позволить квантовым компьютерам забирать средства означает перераспределение богатства от тех, кто утратил доступ к биткоинам, к тем, кто выиграет в технологической гонке.

Лопп сравнил квантовую уязвимость с ошибкой на уровне протокола, которую необходимо исправить. Уничтожение приведет к большей уверенности и уменьшит колебания на рынке.

Противники этого подхода рассматривают сжигание как конфискацию, а также нарушение прав собственности владельцев монет. По их мнению, биткоин разрабатывался как система, обеспечивающая пользователям полный контроль над своими средствами с возможностью доступа к ним в любое время.

Изменение, которое делает определенные UTXO недоступными навсегда, будет вмешательством со стороны, что противоречит изначальному принципу биткоина. Это может стать фактической конфискацией для владельцев, которые по различным причинам не знают о квантовой угрозе или не успеют перевести свои монеты на защищенные адреса.

Данное решение также окажет влияние на общее предложение биткоина (в случае сжигания) или приведет к значительному перераспределению богатства (в случае «квантовой кражи»). Остаются открытыми юридические вопросы о возможной ответственности разработчиков за принятое решение.

Разработчики изучают различные подходы к обеспечению квантовой защиты, каждый из которых имеет свои плюсы и минусы.

OP_CAT в Tapscript (BIP-347). Итан Хейлман и Армин Сабури предложили вернуть опкод OP_CAT, отключенный Сатоши в 2010 году. Это позволит создавать подписи, устойчивые к квантовым атакам (подписи Лэмпорта).

QuBit (BIP-360). Разработчик под псевдонимом Hunter Beast представил наиболее детально проработанное предложение после многих обсуждений. P2QRH вводит новый тип выходов с использованием алгоритмов FALCON и CRYSTALS-Dilithium, а также SPHINCS+.

Квантово-защищенные скрипты Taproot. Мэтт Коралло предложил добавить опкод OP_SPHINCS для проверки постквантовых подписей. Это позволит создавать Taproot-выходы, которые будут защищены от квантовых угроз. Люк Дэш — младший отметил, что внедрение может начаться сразу после завершения спецификации, не дожидаясь активации софт-форка.

Сжатие подписей с использованием STARK. Итан Хейлман предложил агрегировать постквантовые подписи в компактное доказательство STARK, что поможет увеличить пропускную способность сети биткоина, одновременно повышая уровень приватности.

Авторы отчета предложили проводить двухэтапный подход, учитывая неопределенность в сроках квантовой угрозы.

По их оценкам, на миграцию всех UTXO на квантово устойчивые адреса может потребоваться от 76 до 568 дней, в зависимости от доступного пространства в блоках.

Квантовые компьютеры вряд ли окажут влияние на майнинг биткоина в ближайшем будущем из-за основных ограничений этого процесса.

«В отличие от квантовых атак на цифровые подписи, квантовый майнинг будет вынужден соперничать с традиционным майнингом. В случае с подписями биткоина, основанными на эллиптических кривых, одна квантовая машина (CRQC) сможет скомпрометировать средства за счет взлома текущей криптографии, когда достигнет необходимого уровня развития. Квантовому майнингу потребуется много мощных квантовых машин, чтобы достичь производительности, сопоставимой с современными ASIC. Кроме того, квантовый майнинг менее эффективно масштабируется из-за сложности параллелизации, что затрудняет его практическое использование», — говорится в отчете.

Исследователи рекомендуют:

Несмотря на то, что очевидная угроза квантовых компьютеров не является актуальной на данный момент, окно возможностей для подготовки будет уменьшаться по мере множества технологий. Необходимы проактивные шаги сегодня для обеспечения долгосрочной устойчивости биткоина.

Ранее Project Elevenпредложил 1 BTC за успешный квантовый взлом криптографии биткоина.