Квантовая угроза для биткоина: Chaincode Labs выделяет уязвимости и меры защиты

Эксперты из исследовательской организации Chaincode Labs выпустили обстоятельный отчет о возможных угрозах, которые квантовые компьютеры могут представлять для биткоина. Документ на 55 страниц был подготовлен докторами Энтони Милтоном и Кларой Шикельман в мае 2025 года.

Исследование показывает, что от 20% до 50% всех существующих биткоинов (от 4 до 10 миллионов BTC) могут оказаться под угрозой атак с использованием криптографически релевантных квантовых компьютеров (CRQC).

Наиболее точная цифра, представляемая Project Eleven по состоянию на 17 января 2025 года, составляет 6 262 905 BTC. Распределение средств выглядит следующим образом:

Авторы отчета уделили особое внимание средствам, хранящимся на биржевых адресах, которые содержат значительные объемы биткоинов. Это делает такие адреса особенно привлекательными для возможных квантовых атак.

«Что касается активов с открытыми публичными ключами, многие крупные держатели, включая биржи и институциональных кастодианов, исторически использовали повторно адреса в своих холодных кошельках для упрощения операций. […]

«Таким образом, формируется список экономически приоритетных целей для квантовых атак: взлом таких адресов может принести максимальную выгоду от затраченных усилий», — говорится в отчете.

В 2024 году канадская организация Global Risk Institute провела опрос среди 32 ведущих экспертов из академической среды. Почти треть респондентов (10 из 32) считает, что вероятность появления CRQC в следующие 10 лет составляет 50% или выше.

Исследователи отметили также наличие государственной активности, подчеркивающей серьезность угрозы, и акцентировали внимание на ускоряющемся прогрессе в области квантовых вычислений. В декабре 2024 года Google представил процессор Willow с 105 физическими кубитами, который достиг важной вехи в области квантовой коррекции ошибок. В феврале 2025 года Microsoft анонсировала Majorana 1 — первый квантовый процессор на базе топологических кубитов.

Квантовые компьютеры представляют угрозу для биткоина, позволяя взломать эллиптическую криптографию с помощью алгоритма Шора. Этот алгоритм способен вычислить приватный ключ за часы или дни, в то время как классическим компьютерам для этого понадобились бы квадриллионы лет.

Долгосрочные атаки фокусируются на трех типах скриптов с известными публичными ключами, в то время как краткосрочные охватывают все транзакции в определенное временное окно, когда публичный ключ становится доступным в мемпуле (до его подтверждения).

Споры о судьбе средств, уязвимых к квантовым угрозам, разделили сообщество на два лагеря.

Сторонники идеи «сжигания» под руководством Джеймсона Лоппа утверждают, что уничтожение уязвимых монет сохранит целостность биткоина. Они полагают, что позволить квантовым компьютерам забирать средства — значит перераспределить богатство от тех, кто утратил доступ к биткоинам, к тем, кто победит в технологической гонке за квантовые компьютеры.

Лопп сравнивает квантовую уязвимость с ошибкой на уровне протокола, требующей исправления. Сжигание обеспечит ясность и снизит рыночную волатильность.

Противники сжигания рассматривают его как конфискацию и нарушение прав собственности владельцев монет. По их мнению, биткоин создавался как система, в которой пользователи имеют полный контроль над своими средствами и могут их использовать в любое время.

Изменение, которое делает некоторые UTXO недоступными навсегда, является вмешательством третьей стороны, против чего и был создан биткоин. Это приведет к фактической конфискации для владельцев, которые, возможно, не знают о квантовой угрозе или не успеют перевести свои средства на квантово-устойчивые адреса.

Это решение скажется на общем предложении биткоина (в случае сжигания) или приведет к значительному перераспределению богатства (в случае «квантовой кражи»). Также встают юридические вопросы касательно возможной ответственности разработчиков за принятые решения.

Разработчики рассматривают несколько вариантов защиты от квантовых угроз, каждый из которых имеет свои плюсы и минусы.

OP_CAT в Tapscript (BIP-347). Итан Хейлман и Армин Сабури предложили восстановить опкод OP_CAT, который был отключен Сатоши в 2010 году. Это позволит создавать подписи Лэмпорта, защищенные от квантовых атак.

QuBit (BIP-360). Разработчик Hunter Beast представил наиболее детально проработанное предложение после длительных обсуждений. P2QRH представляет новый тип выходов с использованием одобренного NIST алгоритма FALCON и таких алгоритмов, как CRYSTALS-Dilithium и SPHINCS+.

Квантово-защищенные скрипты Taproot. Мэтт Коралло предложил добавить опкод OP_SPHINCS для проверки постквантовых подписей, что позволит кошелькам создавать Taproot-выходы с защищенным от квантовых атак путем трат. Люк Дэш — младший заметил, что кошельки могут начать внедрение сразу после финализации спецификации, не дожидаясь активации софт-форка.

Сжатие подписей через STARK. Итан Хейлман предложил объединять постквантовые подписи в одно компактное доказательство STARK, что может увеличить пропускную способность биткоина и одновременно улучшить его приватность.

Авторы отчета предлагают двухступенчатый подход, принимая во внимание неопределенность в сроках появления квантовой угрозы.

По их оценкам, на миграцию всех UTXO на квантово устойчивые адреса потребуется от 76 до 568 дней, в зависимости от доступного блока в сети.

Квантовые компьютеры вряд ли смогут повлиять на добычу биткоинов в ближайшем будущем из-за своих фундаментальных ограничений.

«В отличие от квантовых атак на цифровые подписи, квантовый майнинг должен будет конкурировать с классическим. Что касается биткоин-подписей на основе эллиптических кривых, то когда квантовые машины достигнут необходимого уровня, одна CRQC сможет скомпрометировать средства, взломав криптографию. Однако для квантового майнинга понадобится множество быстрых квантовых машин, чтобы достичь сопоставимой с современными ASIC производительности. В отличие от классического майнинга, квантовый майнинг плохо поддается параллелизации, что сильно затрудняет его масштабирование и делает менее эффективным на практике», — отмечает отчет.

Исследователи выражают необходимость предпринимать меры:

Отчет подчеркивает, что хотя квантовая угроза пока не является актуальной, окно возможности для подготовки будет сужаться по мере развития технологий. Необходимы проактивные действия сегодня для долгосрочной устойчивости биткоина.

Ранее Project Eleven предлагал 1 BTC в качестве вознаграждения за успешный квантовый взлом криптографии биткоина.