Квантовий зсув Bitcoin: чому бачення Сейлора ігнорує 1,7 мільйонів BTC у криптографічній небезпеці

Заява Майкла Сейлора від 16 грудня щодо квантових обчислень і Bitcoin відображає оптимізм щодо майбутньої стійкості мережі. Його теза — що квантові досягнення в кінцевому підсумку зміцнять безпеку Bitcoin, а не поставлять її під загрозу — передає переконливий наратив. Однак під цим оптимістичним ракурсом прихована більш складна технічна реальність, де час, координація управління та вразливості спадкових виходів ускладнюють чистий перехід, який Сейлор уявляє.

Вікно фізики: Десять років на дії, але реалізація залишається під питанням

Заява Сейлора щодо напрямку має справжній сенс. Вразливість Bitcoin до квантових комп’ютерів зумовлена переважно його схемою цифрового підпису — зокрема, ECDSA та Schnorr-підписами над secp256k1, а не доказом роботи. Алгоритм Шора теоретично загрожує отриманню приватних ключів, коли квантові системи досягнуть приблизно 2000–4000 логічних кубітів, що наразі є за межами досяжності сучасних пристроїв. Криптографчно релевантні квантові комп’ютери ймовірно залишаться за десятиліття.

Недавні зусилля NIST щодо стандартизації підтверджують цю часову рамку. Агентство завершило стандарти постквантових підписів, включаючи ML-DSA (Dilithium) та SLH-DSA (SPHINCS+) у рамках стандартів FIPS — з посиланнями у § 204 bgb регуляторних рамок — з FN-DSA (Falcon), що просувається через FIPS 206. Bitcoin Optech вже відстежує пропозиції щодо інтеграції для постквантової агрегації підписів і конструкцій, сумісних із Taproot, з експериментальними роботами, що підтверджують можливість виконання алгоритмів, таких як SLH-DSA, у межах операційних обмежень Bitcoin.

Однак рафіноване уявлення Сейлора ігнорує вартість впровадження. Дослідження міграції показують, що реалістичний перехід до постквантової безпеки передбачає значні захисні компроміси: хоча квантова стійкість покращується, пропускна здатність блоків може скоротитися приблизно на 50%. Більші розміри постквантових підписів вимагають вищих витрат на перевірку, що підвищує комісії за транзакції, оскільки кожен підпис займає пропорційно більше місця у блоці. Вузли стикаються з більш високими обчислювальними вимогами. Найскладнішою проблемою залишається управління — Bitcoin функціонує без централізованого органу управління. Досягнення широкої згоди серед розробників, майнерів, бірж і великих власників перед появою квантового комп’ютера, здатного досягти криптографічної релевантності, є політичною та координаційною проблемою, що може перевищувати саму криптографічну складність.

Проблема вразливого пропозиції: Чому “заморожені” монети вже можуть бути під загрозою

Заява Сейлора, що “втрачені монети залишаються замороженими”, неправильно характеризує реальність на ланцюгу щодо квантової вразливості. Вразливість монет залежить цілком від типу виходу та видимості публічного ключа.

Ранні виходи pay-to-public-key (P2PK) зберігають необроблені публічні ключі безпосередньо в ланцюгу з постійною видимістю. Стандартні адреси P2PKH і SegWit P2WPKH спочатку приховують ключі за криптографічними хешами, але вразливість виникає в момент витрат монет і входу публічного ключа до мемпулю. Виходи Taproot P2TR — сучасна конструкція — закодовані з дня їх створення, тому ці UTXO вже вразливі до моменту будь-якої транзакції.

Приблизно 25% усіх Bitcoin належать виходам з публічно розкритими ключами, згідно з аналізами Deloitte та недавніми дослідженнями, специфічними для Bitcoin. На ланцюгу дослідження виявляють близько 1,7 мільйонів BTC, заблокованих у виходах P2PK епохи Сатоші, а також сотні тисяч у Taproot-адресах з відкритими ключами. Багато з цих нерухомих активів не є технічно “втраченими” — вони представляють власність без власника, яка може стати здобиччю першого атакуючого з достатньо потужним квантовим пристроєм.

Єдині надійно захищені монети — ті, що ніколи не розкривали публічний ключ: одноразові адреси P2PKH або P2WPKH, що мають захист на основі хешу, де алгоритм Гровера дає лише квадратичне прискорення — параметри можна налаштувати, щоб нейтралізувати цю перевагу. Найбільш під загрозою — саме нерухомі, відкриті монети: активи, заблоковані вже видимими ключами, власники яких залишаються неактивними протягом будь-якого циклу оновлення.

Динаміка пропозиції: Автоматичне зменшення не гарантоване

Заява Сейлора, що “безпека зростає, пропозиція зменшується”, чітко розділяє криптографічний механізм і спекулятивні наслідки. Механізми є обґрунтованими: постквантові підписи розроблені для опору великим, ф fault-tolerant квантовим системам і вже входять до офіційних стандартів. Пропозиції щодо міграції Bitcoin включають гібридні виходи, що вимагають як класичних, так і постквантових підписів, а також ідеї агрегації підписів для мінімізації розміру ланцюга.

Однак зменшення пропозиції не є автоматичним і гарантованим. Можуть розгорнутися три конкуренційні сценарії:

Сценарій один: Втрати через залишення. Монети у вразливих виходах, власники яких ніколи не оновлюють, стають фактично застряглими або явно внесеними до чорного списку у міру розвитку мережі.

Сценарій два: Перерозподіл через крадіжки. Квантові зловмисники зливають відкриті гаманці, перерозподіляючи пропозицію новим власникам, а не вилучаючи її з обігу.

Сценарій три: Паніка перед фізикою. Саме уявлення про наближення квантової здатності викликає панічний продаж, розділення ланцюга або суперечливі форки до того, як будь-яка машина досягне криптографічної релевантності.

Жоден із цих сценаріїв не гарантує чистого зменшення обігової пропозиції, яке надійно підтримувало б ціну Bitcoin. Наслідком, швидше за все, стане хаотичне переоцінювання, суперечливі управлінські суперечки і одностороння хвиля атак на спадкові гаманці. Чи зменшиться пропозиція суттєво — залежить від політичних рішень, рівня міграції користувачів і можливостей атакуючих — не обов’язково від криптографії.

Сам доказ роботи залишається відносно стійким. Алгоритм Гровера дає лише квадратичне прискорення щодо SHA-256, що можна компенсувати параметрами. Менш очевидна загроза — у мемпулі: коли транзакція витрачає з хешованого адреси, публічний ключ стає видимим у очікуванні включення у блок. Останні аналізи описують атаку “підписати і вкрасти”, коли квантовий зловмисник моніторить мемпул, швидко відновлює приватний ключ і транслює конфліктну транзакцію з вищими комісіями.

Основна ставка: Координація понад криптографію

Дорожня карта фізики та стандартів погоджується: квантові обчислення не зламають Bitcoin миттєво. Реалістичне вікно для міграції до постквантової безпеки триває десятиліття або більше, дозволяючи цілеспрямовано оновлювати мережу до появи криптографічної релевантності.

Але ця міграція має високі витрати — обчислювальні, управлінські та фінансові. Значна частина сьогоднішніх Bitcoin вже знаходиться у вразливих до квантових атак виходах, які не будуть загрожувати майбутнім машинами, а координованим зловмисникам, що мають складне обладнання, коли здатність з’явиться.

Сейлор правильно зазначає, що Bitcoin може зміцнитися. Мережа може прийняти постквантові підписи, оновити вразливі виходи і отримати більш сильні криптографічні гарантії. Однак цей результат передбачає ідеальний перехід: управління бездоганно співпрацює, власники вчасно мігрують, а зловмисники ніколи не використовують затримки у переході. За нинішньою ціною BTC близько $90.57K і ринковою капіталізацією понад $1.8 трлн, ризики невдачі у реалізації зросли до неймовірних масштабів.

Bitcoin може стати сильнішим — з оновленими підписами і, можливо, частиною пропозиції, яка фактично згоріла через залишення. Але успіх залежить не так від часових рамок квантової здатності, як від здатності розробників і великих власників виконати дорогий і політично складний перехід до того, як фізика наздожене. Впевненість Сейлора — це, в кінцевому підсумку, ставка на координацію, а не на криптографію.