Квантовий виклик Bitcoin: оптимізм Сейлора зустрічається з проблемою 1.7М відкритих монет

Майкл Сейлор намалював оптимістичну картину 16 грудня, подаючи квантові обчислення як чисто позитивний фактор для Біткоїна. Його теза була простою: мережа оновиться, активи мігрують у безпечне місце, сплячі монети залишаться заблокованими, і Біткоїн стане сильнішим. Логіка звучить переконливо, поки не подивитися, що насправді знаходиться в мережі сьогодні.

Реальний часовий вікно, але реалізація — хаотична

Обґрунтування Сейлора базується на міцних технічних засадах. Вразливість Біткоїна до криптографії зосереджена на цифрових підписах — зокрема, алгоритмах ECDSA та Schnorr над secp256k1, а не на proof-of-work. Досить просунутий квантовий комп’ютер, що виконує алгоритм Шора, теоретично міг би витягти приватні ключі з публічних, коли досягне 2000–4000 логічних кубітів. Поточні квантові пристрої працюють значно нижче цього порогу, що свідчить про реальний часовий вікно загрози щонайменше на десятиліття.

NIST вже опублікував інструментарій захисту. Стандарти, такі як ML-DSA (Dilithium) та SLH-DSA (SPHINCS+), тепер є офіційними стандартами FIPS і протистоять квантовим атакам. Розробники Біткоїна досліджують пост-квантові схеми агрегації підписів і гібридні схеми верифікації. Саме криптографія цілком вирішувана.

Що ігнорується — це вартість. Пост-квантові підписи більші за розміром і вимагають більше обчислювальних ресурсів для перевірки. Реалістичні оцінки свідчать, що пропускна здатність блоку може зменшитися приблизно вдвічі. Операторам вузлів доведеться платити більше. Комісії за транзакції зростуть, оскільки кожен підпис займає більше місця у блоці. Останній аналіз A16z вказує на більш фундаментальну проблему: у Біткоїна немає центрального органу, який міг би зобов’язати оновлення. Пост-квантовий форк вимагає надзвичайної згоди між розробниками, майнерами, біржами та великими власниками — усіма, хто координується перед появою криптографічно релевантного квантового комп’ютера.

1,7 мільйонів Біткоїнів вже сьогодні під квантовою загрозою

Тут позиція Сейлора різко відрізняється від реальності в мережі. Він стверджує, що «втрачені монети залишаються замороженими», але це припускає чітку категоризацію, яка не відповідає тому, як насправді працюють виходи Біткоїна.

Ранні pay-to-public-key (P2PK) виходи відкривали публічні ключі безпосередньо в мережі — назавжди видимі та сьогодні вразливі до квантових крадіжок. Стандартні адреси P2PKH і SegWit P2WPKH приховують публічний ключ за криптографічними хешами до моменту витрат; після переміщення ключ стає видимим. Виходи Taproot P2TR кодують публічний ключ у вихід з моменту створення, роблячи ці UTXO відкритими ще до будь-якої транзакції.

Аналіз Deloitte та подальші дослідження мережі оцінюють, що приблизно 25% усіх Біткоїнів — близько 1,7 мільйонів BTC з ранніх виходів P2PK часів Сатоші, а також сотні тисяч у Taproot — вже мають публічно відкриті ключі. Це не безпечна спляча монета. Це саме ті монети, які найбільше під ризиком, якщо з’явиться квантовий зловмисник.

Монети, які ніколи не відкривали публічний ключ (один раз з хешованими ключами), мають перевагу слабшої моделі загрози алгоритму Гровера. Алгоритм Гровера дає лише квадратичне прискорення проти хешованих адрес, але цей недолік можна компенсувати налаштуваннями параметрів. Але відкритий сегмент — старі баланси P2PK, сучасні UTXO Taproot з видимими ключами та сплячі гаманці, що ніколи не рухалися — справжня зона атаки, яка не просто «залишиться замороженою».

Динаміка пропозиції — політична, а не автоматична

Сейлор стверджує, що міграція після-квантова зменшить обіг і підвищить безпеку. Механізми оновлення підписів реальні. Але ефект на пропозицію залежить цілком від управлінських рішень і рівня прийняття, а не лише від фізики.

Можуть розгорнутися три сценарії. По-перше, сплячі монети у вразливих виходах, власники яких ніколи не оновлювалися, можуть вважатися втраченими і, можливо, бути внесеними до чорних списків — спірне політичне рішення, що зменшить пропозицію. По-друге, квантові зловмисники можуть зняти відкриті гаманці до завершення міграції, замінивши цю пропозицію на свої активи і викликавши паніку. По-третє, сама ідея неминучої квантової здатності може спричинити продажі, розкол мережі або каскад витрат legacy-гаманців ще до появи квантового комп’ютера.

Жоден із цих сценаріїв не гарантує чисте зменшення пропозиції або автоматичний бичачий тренд. Proof-of-work залишається відносно стійким, оскільки алгоритм Гровера дає лише квадратичне прискорення, але мемпул вводить більш тонкий ризик. Транзакція, що витрачає з хешованого адреси, розкриває публічний ключ під час очікування включення. Квантовий зловмисник може спостерігати за мемпулом, швидко відновити приватний ключ і змагатися з транзакцією з вищими комісіями — так званий «підписати і вкрасти», що дозволяє отримати цінність під час трансляції.

Математика каже, що Біткоїн може зміцнитися, але важливіше — координація, ніж криптографія

Фізика і криптографічні стандарти погоджуються: квант не руйнує Біткоїн миттєво. Є вікно — ймовірно, на десятиліття — для цілеспрямованої, обдуманої пост-квантової міграції. Біткоїн може застосувати стійкі схеми підписів, оновити вразливі виходи і отримати більш сильні криптографічні гарантії.

Але впевненість Сейлора базується на припущенні, яке зовсім не гарантоване: що розробники, майнери, великі власники і кастодіани успішно координуватимуться, вчасно мігрують і виконають оновлення без паніки, крадіжок або суперечливих форків. 1,7 мільйонів Біткоїнів, вже відкритих у квантовій зоні, нагадують, що мережа не рухається як єдина цілісність. Деякі власники оновляться рано. Інші затримаються або ігноруватимуть загрозу. Частина втратить доступ до приватних ключів ще до завершення оновлення.

Майбутнє Біткоїна у пост-квантовій епосі можливе. Це не криптографічна неминучість. Це виклик управління, обгорнутий у фізику. Сейлор правильно орієнтується, що мережа може зміцнитися. Але він недооцінює, наскільки дорогою, політично складною і залежною від обставин є ця зміцнення.

Різниця між тим, щоб стати сильнішим і викликати кризу, залежить не так від того, коли з’являться квантові комп’ютери, як від того, чи зможе децентралізована екосистема Біткоїна рухатися швидко, координуватися широко і керувати переходом достатньо обережно, перш ніж фізика наздожене. Це ставка на людську координацію, а не на криптографію.