Квантова загроза для Біткоїна: Що насправді відбувається поза оптимізмом Майкла Сайлора

Майкл Сейлор, співзасновник і генеральний директор MicroStrategy, 16 грудня висловив сміливу тезу: квантові комп’ютери не знищать Біткоїн, а навпаки — посилять його. Це привабливе твердження — міграція на пост-квантові підписи, заморожування вразливих монет, підвищення безпеки, зменшення пропозиції — все це має зробити мережу міцнішою. Однак, аналізуючи технічну реальність і on-chain, картина стає набагато складнішою. Виявляється, понад 1,7 мільйона біткоїнів вже перебувають у безпосередній небезпеці, а успіх міграції зовсім не гарантований.

Що таке квант і чому він становить загрозу для Bitcoin?

Перш ніж розглянути побоювання Сейлора, потрібно зрозуміти, що таке квантова загроза. Квантові комп’ютери, або квантові машини — це пристрої, що використовують закони квантової механіки — суперпозицію і заплутаність — для обробки інформації принципово інакше, ніж класичні комп’ютери. Ця квантова потужність не означає прискорення всіх обчислень; мова йде про прискорення дуже специфічних типів задач — зокрема, факторизації чисел і зломів криптографічних хеш-функцій.

Bitcoin захищає монети за допомогою двох основних механізмів: proof-of-work на базі SHA-256 і цифрових підписів ECDSA та Schnorr на кривій secp256k1. Алгоритм Шора — квантовий алгоритм, здатний зламати криптографію відкритого ключа — становить безпосередню загрозу для другого з них. Коли квантовий комп’ютер з пом’якшеннями досягне близько 2000–4000 логічних кубітів, він зможе отримати приватні ключі з відкритих. Сучасні пристрої працюють значно нижче цього порогу — отже, реальна загроза не з’явиться швидко. Оцінки NIST і галузевих експертів вказують, що це вікно — щонайменше десятиліття.

Існує вікно безпеки — але воно тісне

Сейлор має рацію щодо одного: теоретично є час підготуватися. NIST вже затвердив інструменти захисту, яких потребуватиме Bitcoin. Агентство опублікувало два стандарти цифрових підписів, стійких до квантових атак: ML-DSA (також відомий як Dilithium) і SLH-DSA (SPHINCS+), затвердивши їх як FIPS 204 і 205. Третій кандидат, FN-DSA (Falcon), наразі проходить затвердження як FIPS 206. Ці схеми можна інтегрувати в Bitcoin через нові типи виходів або гібридні підписи, що поєднують класичний і пост-квантовий захист.

Bitcoin Optech наразі слідкує за пропозиціями агрегації пост-квантових підписів і конструкціями на базі Taproot. Експерименти з продуктивністю показують, що SLH-DSA може працювати при навантаженнях, подібних до сучасної мережі Bitcoin. Однак — і це важливе застереження — міграція має приховані витрати, які Сейлор ігнорує. Дослідження вказують, що реалістична міграція означатиме значні компроміси: об’єм блоку може зменшитися приблизно вдвічі, оскільки пост-квантові підписи значно більші. Зростають витрати на верифікацію. Зростають транзакційні збори. Це не безболісне оновлення — це обмін безпеки на пропускну здатність.

Реальна загроза: 1,7 мільйона BTC вже під прицілом атакуючих

Саме тут криється суть проблеми, яку ігнорує Сейлор. Його твердження, що «активні монети мігрують, втрачені залишаються замороженими», значно спрощує реальність блокчейну. Вразливість до квантових атак залежить цілком від типу адреси і того, чи був уже відкритий публічний ключ on-chain.

Монети, збережені у ранніх pay-to-public-key (P2PK), виставляють відкритий ключ безпосередньо в ланцюг з першого дня. Стандартні адреси P2PKH і SegWit P2WPKH приховують ключ за хешем — до моменту витрат. Тоді ключ стає видимим і вразливим до атаки. Нові виходи Taproot P2TR кодують ключ у виході з першого дня, ставлячи ці UTXO під загрозу ще до витрат.

Аналіз даних on-chain, підтверджений дослідженнями Deloitte і останніми роботами, присвяченими Bitcoin, показує страшну реальність: близько 25% усіх біткоїнів вже знаходяться у виходах з публічно відкритими ключами. Оцінки свідчать, що близько 1,7 мільйона BTC — з епохи Сатоші — у таких виходах P2PK, а додатково сотні тисяч — у сучасних Taproot з відкритими ключами. Ці монети не «заморожені» — вони відкриті і чекають першого атакуючого, що матиме відповідну квантову машину.

Деякі з цих «втрачених» монет справді мають невідомих власників і можуть стати здобиччю. Але інші належать неактивним гаманцям, трастовим компаніям або особам, що забули про свої Bitcoin. Коли з’явиться перша квантова машина, здатна до атак, ці власники можуть втратити все — якщо не відбудеться раніше міграція. Це не гіпотетичний сценарій; це математика і реальність on-chain.

Три конкуренти сценарії: чи справді зменшиться пропозиція?

Сейлор стверджує, що «безпека зростає, пропозиція зменшується». Це чиста спекуляція, а не гарантія. Динаміка пропозиції у світі квантових атак не автоматична — існує щонайменше три сценарії, кожен з яких має різні наслідки для ціни.

Перший сценарій — «звуження через знецінення»: Монети у вразливих виходах, яких власники ніколи не оновлять, вважаються втраченими або явно занесеними до чорного списку. У такому разі реальна пропозиція у обігу справді може зменшитися. Це бичачий сценарій, але він вимагає політичного консенсусу у мережі — а досягти його у Bitcoin дуже складно.

Другий сценарій — «зміщення через крадіжки»: Атакуючий з квантовим комп’ютером знаходить уразливі гаманці і краде з них кошти, поки власники не змінять міграцію. Ці монети потрапляють на ринок, пропозиція у обігу не зменшується — відбувається хаотична перерозподіл. Ціна може залишитися без змін або навіть знизитися через масові крадіжки.

Третій сценарій — «паніка перед фізикою»: Саме уявлення про можливості квантових комп’ютерів — ще до їх появи — викликає розпродажі, розколи ланцюга або спроби превентивних «форків» для скидання уразливих адрес. Наслідки будуть непередбачуваними.

Жоден із сценаріїв не гарантує чисте, бичаче зменшення пропозиції. Кожен має політичні, технічні та економічні ускладнення, які ігнорує Сейлор. Реальна пропозиція може зменшитися, але так само може бути і знівельована крадіжками, продажами або внутрішніми конфліктами мережі.

Управління, політика і час: реальні виклики більші за криптографію

Найсильніша сторона оригінальної статті, що часто ігнорується у дискусіях про квантові загрози, — це управління Bitcoin. У мережі немає центральної влади, яка могла б нав’язати міграцію після-квантову. М’який форк вимагатиме більшості згоди розробників, майнерів, бірж і великих власників — усіх одночасно, перш ніж з’явиться криптографічно суттєвий квантовий комп’ютер.

Останній аналіз від A16z підкреслює: координація і час — це більші ризики, ніж сама криптографія. Bitcoin працював понад 15 років завдяки консенсусу, але й через конфлікти (див. війни за розмір блоків). Пост-квантова міграція буде ще складнішою — поєднання технічного консенсусу з економічною стимуляцією і геополітичною стійкістю. Якщо мережа чекатиме занадто довго, частина монет буде вкрадена. Якщо ж спробує швидко — може застрягти у суперечках щодо правил для старих адрес.

Додатково існує менше обговорюване ризик: «sign-and-steal» у mempool. Коли транзакція, що витягує монети з адреси з відкритим ключем, потрапляє до mempool, ключ стає відкритим під час очікування підтвердження. Атакуючий з квантовим комп’ютером, що спостерігає за mempool, може швидко отримати приватний ключ і конкурувати з іншими транзакціями з вищими оплатами. Це не вимагає повністю квантового комп’ютера — достатньо швидкості і здатності спостерігати за мережею.

Що справді показує математика і дані

Математика чітко каже: Bitcoin не зникне раптово — є вікно, можливо, десятиліття, протягом якого мережа може здійснити обдуману пост-квантову міграцію. NIST і Bitcoin Optech вже працюють над рішеннями. Proof-of-work на базі SHA-256 є відносно стійким, оскільки алгоритм Гровера дає лише квадратичне прискорення — його компенсує зростання параметрів.

Однак дані on-chain також ясно показують: близько 25% усіх біткоїнів вже у виходах з відкритими ключами, а 1,7 мільйона BTC — у вразливих адресах епохи Сатоші. Ця пропозиція не «заморожена». Вона чекає.

Сейлор має рацію, що Bitcoin може стати сильнішим після квантових атак — але лише якщо управління працює, власники змінюють міграцію вчасно, а атакуючі ніколи не скористаються цим затриманням. Це не гарантія. Це ставка на політичну координацію у мережі, яка славиться відсутністю централізованої влади.

Чи зміцниться Bitcoin? Це залежить не так від графіка появи квантових комп’ютерів, як від того, чи розробники і великі власники вчасно реагують, координують міграцію і здійснюють її без паніки або масових крадіжок. Впевненість Сейлора базується на припущенні, що мережа зможе провести складне, дороге і політично заплутане оновлення, перш ніж фізика її наздожене. Математика підтримує його оптимізм — але реальність управління Bitcoin ставить його під великий знак питання.