Квантовые риски: в Chaincode Labs оценили угрозу для биткоина

Специалисты исследовательской организации Chaincode Labs опубликовали подробный отчет о потенциальных угрозах квантовых компьютеров для биткоина. 55-страничный документ подготовили доктора Энтони Милтон и Клара Шикельман в мае 2025 года.

Сколько биткоинов под угрозой

По оценкам авторов, от 20% до 50% всех биткоинов в обращении (4-10 млн BTC) потенциально уязвимы для атак с использованием криптографически релевантных квантовых компьютеров (Cryptographically relevant quantum computer, CRQC).

Наиболее точная оценка Project Eleven от 17 января 2025 года указывает на 6 262 905 BTC. Средства распределены следующим образом:

• биткоины эпохи Сатоши — от 600 000 до 1,1 млн BTC остаются на адресах типа P2PK с полностью раскрытыми публичными ключами;
• потерянные монеты — от 2 до 3 млн BTC принадлежат пользователям, потерявшим доступ к приватным ключам. Не все из них квантово уязвимы, но значительная часть находится под угрозой;
• адреса с раскрытыми ключами — миллионы биткоинов находятся на адресах, где публичные ключи были раскрыты из-за их повторного использования.

Особое внимание исследователи обратили на концентрацию средств на биржевых адресах. Некоторые из них содержат сотни тысяч биткоинов, что делает их приоритетными целями для потенциальных квантовых атак.

«Что касается активов с открытыми публичными ключами, многие крупные держатели, включая биржи и институциональных кастодианов, исторически управляли своими холодными хранилищами, повторно используя адреса ради операционной простоты. […]

В результате формируется экономически приоритетный список целей для квантовых атак: взлом таких адресов может обеспечить максимальную отдачу за вложенные усилия», — говорится в отчете.

Когда ждать «День Q»

В 2024 году канадская организация Global Risk Institute провела опрос 32 ведущих экспертов из академических кругов. Почти треть опрошенных (10 из 32) считают, что вероятность появления CRQC в ближайшие 10 лет составляет 50% или больше.

Авторы отчета обратили внимание на государственные инициативы, которые подтверждают серьезность угрозы:

• США. Национальная записка по безопасности президента Джо Байдена от мая 2022 года ставит цель «смягчить возможные квантовые риски к 2035 году». NIST установил 2030 год как крайний срок для отказа от RSA-2048 и ECC-256 с полным запретом к 2035 году;
• Великобритания. Национальный центр кибербезопасности выпустил трехэтапный план миграции: идентификация уязвимых систем до 2028 года, приоритетные обновления с 2028 по 2031 год, полная миграция с 2031 по 2035 год;
• Европейский союз. ETSI координирует подход через рабочую группу Quantum-Safe Cryptography, хотя конкретные сроки еще не установлены;
• Китай. Вместо принятия стандартов NIST Китай в феврале 2025 года запустил собственную программу «Криптографические алгоритмы следующего поколения для коммерческого использования» через Институт стандартов коммерческой криптографии. Конкретные сроки реализации программы публично не объявлены.

Также исследователи отметили ускорение прогресса в области квантовых вычислений. В декабре 2024 года Google представил процессор Willow со 105 физическими кубитами, достигший важной вехи в квантовой коррекции ошибок. Microsoft в феврале 2025 года представила Majorana 1 — первый квантовый процессор на топологических кубитах.

Два типа квантовых атак

Квантовые компьютеры угрожают биткоину через взлом эллиптической криптографии с помощью алгоритма Шора. Этот алгоритм может вычислить приватный ключ из публичного за часы или дни вместо квадриллионов лет, необходимых классическим компьютерам.

Долгосрочные атаки нацелены на три типа скриптов с известными публичными ключами:

• Pay to Public Key (P2PK) — старейший тип, используемый для ранних наград за майнинг. Составляет 0,025% UTXO, но содержит 8,68% предложения биткоина;
• Pay to MultiSig (P2MS) — «сырой мультисиг», введенный в 2011 году. Охватывает 1,037% UTXO с примерно 57 BTC;
• Pay to Taproot (P2TR) — введен в 2021 году, составляет 32,5% UTXO с 0,74% предложения (146 715 BTC).

Краткосрочные атаки затрагивают все транзакции, но они происходят в узком временном окне, когда пользователь раскрывает публичный ключ в мемпуле (до подтверждения).

Сжечь или оставить

Вопрос о судьбе квантово уязвимых средств уже разделил сообщество на два лагеря.

Сторонники «сжигания» во главе с Джеймсоном Лоппом утверждают, что удаление уязвимых монет сохранит целостность биткоина. По их мнению, разрешение квантовым компьютерам забирать средства равносильно перераспределению богатства от тех, кто потерял доступ к биткоинам, к тем, кто выиграет технологическую гонку за квантовые компьютеры.

Лопп сравнил квантовую уязвимость с багом на уровне протокола, который нужно исправить. Сжигание обеспечит определенность и ограничит рыночную волатильность.

Противники видят в сжигании конфискацию и нарушение права собственности владельцев монет. По их мнению, биткоин создавался как система, где пользователи сохраняют полный суверенитет над своими средствами с возможностью доступа к ним в любое время.

Изменение, делающее определенные UTXO навсегда недоступными, представляет собой вмешательство третьей стороны, против которого был создан биткоин. Это станет фактической конфискацией для владельцев, которые по каким-то причинам просто не знают о квантовой угрозе или не смогут вовремя перевести монеты на квантово-устойчивые адреса.

Решение повлияет на общее предложение биткоина (в случае сжигания) или приведет к масштабному перераспределению богатства (в случае «квантовой кражи»). Также возникают юридические вопросы о потенциальной ответственности разработчиков и участников сообщества за любое принятое решение.

Предлагаемые решения

Разработчики рассматривают несколько подходов к квантовой защите, каждый со своими преимуществами и компромиссами.

OP_CAT в Tapscript (BIP-347). Итан Хейлман и Армин Сабури предложили вернуть опкод OP_CAT, отключенный Сатоши в 2010 году. Это позволит создавать подписи Лампорта — хэш-основанные подписи, устойчивые к квантовым атакам.

QuBit (BIP-360). Разработчик под псевдонимом Hunter Beast представил наиболее проработанное предложение после месяцев обсуждений. P2QRH вводит новый тип выходов с использованием одобренного NIST алгоритма FALCON, а также CRYSTALS-Dilithium и SPHINCS+.

Квантово-защищенные скрипты Taproot. Мэтт Коралло предложил добавить опкод OP_SPHINCS для проверки постквантовых подписей. Это позволит кошелькам создавать Taproot-выходы с квантово-защищенным путем трат. Люк Дэш ― младший отметил, что кошельки могут начать внедрение сразу после финализации спецификации, не дожидаясь активации софт-форка.

Сжатие подписей через STARK. Итан Хейлман предложил агрегировать постквантовые подписи в единое компактное доказательство STARK. Это может увеличить пропускную способность биткоина при одновременном повышении приватности.

Стратегия перехода

Авторы отчета предложили двухэтапный подход, признавая неопределенность в сроках квантовой угрозы.

• краткосрочные меры (два года) — создание минимально жизнеспособного решения для экстренного применения;
• долгосрочный план (семь лет) — разработка оптимального квантово устойчивого протокола. Основан на исторических прецедентах SegWit (8,5 лет от концепции до принятия) и Taproot (7,5 лет).

По их оценкам, для миграции всех UTXO на квантово устойчивые адреса потребуется от 76 до 568 дней в зависимости от доступного пространства в блоках.

Майнинг под защитой

Квантовые компьютеры вряд ли нарушат майнинг биткоина в обозримом будущем из-за фундаментальных ограничений.

«В отличие от квантовых атак на цифровые подписи, квантовый майнинг вынужден конкурировать с классическим майнингом. В случае с подписями биткоина на основе эллиптических кривых, когда квантовые компьютеры достигнут достаточного уровня развития, одна машина (CRQC) сможет скомпрометировать средства, взломав используемую криптографию. Квантовому майнингу, напротив, потребуется большое количество быстрых квантовых машин, чтобы сравниться по производительности с современными ASIC. В отличие от классического майнинга, квантовый майнинг плохо поддается параллелизации, что значительно затрудняет его масштабирование и делает его гораздо менее эффективным на практике», — говорится в отчете.

Что делать держателям

Исследователи рекомендуют:

• прекратить повторное использование адресов;
• перевести средства с уязвимых типов скриптов (P2PK, P2MS, P2TR) на более защищенные (P2PKH, P2SH, P2WPKH, P2WSH);
• биржам внести изменения в подходы по управлению холодными кошельками для минимизации квантовых рисков.

Отчет подчеркивает: хотя квантовая угроза не является актуальной в данный момент, окно для подготовки будет сужаться по мере развития технологий. Проактивные действия сегодня необходимы для долгосрочного выживания биткоина.

Ранее Project Eleven предложил 1 BTC за квантовый взлом криптографии биткоина.