Криптографически релевантные квантовые компьютеры (CRQC) могут появиться уже к 2030 году, создавая угрозу хищения до 10 млн BTC, из которых наиболее критично уязвимыми считаются 6,26 млн BTC. На этом фоне Bitcoin-сообщество рассматривает варианты противодействия потенциальной угрозе.
По данным отчета Chaincode, CRQC в обозримом будущем позволят разрушить основы криптографии Bitcoin. Особенно уязвимыми являются средства с повторным использованием адресов и средства с открытыми публичными ключами, такие как P2PK, P2MS и Taproot (P2TR). Потенциально под угрозой находятся от 4 до 10 млн BTC, включая институциональные холдинги, старые адреса и предположительно утерянные монеты.
При этом, хотя квантовая угроза для майнинга менее остра из-за ограничений Grover-алгоритма и невозможности эффективного параллелизма, существует риск централизации майнинга и нестабильности сети в случае появления доминирующих квантовых майнеров.
В качестве ответа сообщество Bitcoin обсуждает внедрение постквантовой криптографии (PQC) с использованием алгоритмов SPHINCS+, FALCON и CRYSTALS-Dilithium. Наиболее продвинутые предложения:
- BIP-360 (P2QRH) — гибридная модель, в которой используется хэш от PQC-ключей вместо открытого ключа, снижая уязвимость.
- BIP-347 (OP_CAT) — поддержка Lamport-подписей через возврат ранее отключенной инструкции OP_CAT.
- Опция OP_SPHINCS — внедрение специального опкода для SPHINCS-подписей.
Однако все решения остаются на ранней стадии, и требуют как минимум одного, а иногда и двух софтфорков.
В отчете представлен график внедрения двух стратегий:
- Краткосрочная стратегия (~2 года) включает исследование, реализацию минимальной защиты и миграцию уязвимых UTXO.
- Долгосрочная (~7 лет) — полноценная перестройка архитектуры с масштабной миграцией и внедрением оптимизированных PQC-схем.
В наилучшем сценарии, миграция 190 млн UTXO может занять около 76 дней при полном использовании блокового пространства, но реалистичные оценки при 25% загрузке варьируются от 305 до 568 дней.
Один из главных нерешенных вопросов — что делать с уязвимыми средствами, если их владельцы недоступны. Два сценария:
- Сжечь (burn) — сделать средства недоступными, защищая сеть от перехвата.
- Позволить украсть (steal) — не вмешиваться, соблюдая идею невмешательства, но рискуя массовыми кражами.
Сторонники сжигания указывают на защиту прав собственности и недопущение произвольного перераспределения богатства, противники считают это актом конфискации.
Напомним, в 2024 году Массимилиано Сала, профессор кафедры математики Трентского университета, опубликовал доклад, в котором отметил, что все блокчейн-сети, использующие в своей работе шифрование с помощью открытого ключа, будут потенциально уязвимы для квантовых компьютеров, которые позволят их взламывать, используя математический перебор.
