量子物理学对比特币构成威胁：为什么迈克尔·赛勒的乐观低估了实际风险

16 грудня Майкл Сейлор озвучив позицію щодо квантових обчислень та їх впливу на Bitcoin, заявивши, що мережа не лише вистоїть перед цією загрозою, а навіть стане сильнішою. Однак його аналіз упускає критичні деталі: сьогодні понад 1,7 мільйона Bitcoin знаходяться у вразливих виходах, які вже можуть бути скомпрометовані за наявності достатньо потужного квантового обладнання.

Математика проти оптимізму: як насправді працює квантова загроза

Основна вразливість Bitcoin криється не в алгоритмі proof-of-work, а в цифрових підписах. Мережа використовує криптографію на основі ECDSA та Schnorr, побудовану на кривій secp256k1. Алгоритм Шора здатен вивести приватні ключі з публічних за допомогою квантового комп’ютера з приблизно 2000–4000 логічних кубітів без помилок.

Сьогоднішні квантові пристрої перебувають на порядки нижче цього порогу. За експертними оцінками, криптографічно релевантні машини виникнуть щонайменше через десятиліття. Це дає часовий діапазон для адаптації.

Тим часом NIST уже затвердив постквантові стандарти, які можуть бути інтегровані у Bitcoin:

• ML-DSA (Dilithium) та SLH-DSA (SPHINCS+) як FIPS 204 та 205
• FN-DSA (Falcon) як майбутній FIPS 206

Технічна можливість захисту існує. Проблема — у масштабі та координації.

1,7 мільйона Bitcoin вже під загрозою: деталі адресації

Твердження Сейлора, що “втрачені монети залишаються замороженими”, ігнорує складність адресної архітектури Bitcoin.

Ранні транзакції використовували pay-to-public-key (P2PK) формат, розміщуючи публічний ключ безпосередньо в ланцюзі. Ці ключі видимі постійно й вразливі до квантових атак. За даними аналізів, приблизно 1,7 мільйона BTC залишаються в таких “сатошівських” виходах.

Сучасні адреси P2PKH та SegWit P2WPKH приховують ключ за хешем до витрати. Однак у момент витрати ключ розкривається й стає мішенню.

Taproot (P2TR) виходи кодують публічний ключ із першого дня, роблячи мільйони нових UTXO потенційно вразливими з моменту створення.

Дослідження Deloitte та на базі аналітики блокчейна оцінюють, що 25% всіх Bitcoin вже знаходяться у виходах з відкритими публічними ключами. Це не замерзлі активи — це безхазяйні монети, що чекають на першого атакуючого з відповідною квантовою машиною.

Витрати міграції: від пропускної здатності до комісій

Постквантова адаптація не буде безболісною. Дослідження Journal of British Blockchain Association показує, що реалістична міграція передбачає:

• Зменшення пропускної здатності блоку приблизно вдвічі, оскільки нові постквантові підписи займають більше місця
• Збільшення вартості верифікації для кожного вузла
• Зростання комісій за транзакції через конкуренцію за блоковий простір

Сейлор згадує “зростання безпеки”, але не розраховує на екологічні й економічні наслідки масштабної переходу.

Три сценарії пропозиції: від скорочення до хаосу

Твердження, що “пропозиція зменшується”, передбачає упорядковану міграцію. Насправді існує три можливих шляхи:

Сценарій 1: Скорочення через відмову від оновлення
Власники, які ніколи не модифікують вразливі гаманці, втрачають кошти. Монети остаточно виводяться з обігу. Це сумарно скорочує циркулюючу пропозицію.

Сценарій 2: Крадіжка через квантові атаки
Якщо квантові атакуючі починають масовані операції до спеціалізованої захисту мережі, мільйони BTC переходять у нові руки в хаотичному порядку. Пропозиція залишається тією ж, але розподіл змінюється кардинально.

Сценарій 3: Паніка перед фізикою
Очікування наближення квантових загроз провокує панічні продажі, утворення альтернативних fork’ів або конкуруючих мереж. Вартість Bitcoin падає незалежно від реальної загрози.

Жоден із цих сценаріїв не гарантує чистого зменшення пропозиції, яке було б позитивним для ціни.

Криза координації: політика замість криптографії

Bitcoin не має центрального органу управління. Постквантовий soft fork вимагатиме консенсусу розробників, майнерів, бірж, великих власників й інших заінтересованих сторін.

Останні дослідження від a16z підкреслюють: координаційний ризик перевищує криптографічний.

Мережа повинна:

1. Досягти консенсусу щодо постквантових стандартів
2. Впровадити оновлення у клієнти й вузли
3. Скоординувати масову міграцію користувачів
4. Зробити все це до появи криптографічно релевантного квантового комп’ютера

Затримки, розбіжності думок й спроба політичного впливу можуть розтягнути цей процес на роки, залишаючи вразливі монети видимими для квантових атакуючих.

Атака “sign-and-steal”: мов-ловлююча в mempool

Ризик стає ще гострішим, коли транзакція витрачає з адреси з хешованим ключем. У момент публікації в mempool публічний ключ розкривається, поки чекає на підтвердження. Квантовий атакуючий може:

1. Відслідкувати mempool
2. Миттєво відновити приватний ключ
3. Створити конкуруючу транзакцію з вищою комісією
4. Змагатися з оригіналом в блоці

Цей сценарій перетворює кожну видиму витрату на гонку між законним власником і потенційним зловмисником.

Що робити: координація замість впевненості

Майкл Сейлор по суті правий, що Bitcoin може вийти сильнішим. Мережа здатна впровадити постквантові підписи, оновити вразливі виходи й отримати надійніші криптографічні гарантії.

Однак цей результат залежить менше від термінів появи квантових обчислень, ніж від здатності мережі здійснити складне, дороге й політично напружене оновлення до того, як фізика наздожене.

Потрібно:

• Розробити стандарти для гібридних постквантових виходів
• Створити інструменти для зручної міграції користувачів
• Забезпечити вузли й майнерів резервами для технічного обслуговування
• Почати превентивні оновлення уже сьогодні

Впевненість Сейлора — це, по суті, ставка на те, що Bitcoin спільнота виявиться достатньо організованою й передбачливою. Математика й фізика готові. Залишається перевірити, чи готова управління.