Квантовий захист Bitcoin тримається міцніше, ніж свідчить паніка на ринку

Криптоспільнота розділена між двома таборами щодо квантового ризику для Bitcoin: ті, хто вважає його неминучою загрозою, що вимагає термінових дій, і ті, хто стверджує, що маркетинговий FUD значно перевищує реальну технічну небезпеку. Останні дебати за участю галузевих фігур, таких як Gabor Gurbacs, стратегічний радник Tether, окреслили фундаментальне розбіжність щодо термінів, серйозності загрози та доцільності підготовки або паніки.

Архітектура, що протистоїть квантовим атакам сьогодні

Захист Bitcoin від квантових обчислень базується на важливій різниці: його механізм консенсусу кардинально відрізняється від рівня валідації транзакцій. Безпека мережі на основі proof-of-work базується на SHA-256, хеш-алгоритмі, що витримує квантовий напад набагато краще, ніж публічно-ключова криптографія. Навіть алгоритм Гровера, квантовий прорив, що пропонує швидкісні переваги над класичними обчисленнями, дає лише квадратичне покращення — недостатньо для зламу економічної мотиваційної структури, що захищає мережу.

Реальна вразливість полягає у підписах ECDSA, які забезпечують безпеку окремих транзакцій. Якщо колись з’явиться достатньо потужний квантовий комп’ютер, Shor’s algorithm теоретично може зламати ці ключі. Однак тут Bitcoin демонструє передбачливість: повторне використання адрес економічно недоцільне, тому більшість публічних ключів приховані в мережі, поки транзакція не буде витрачена. Це значно зменшує ризик.

Чому “квантові судний день” наративи сприяють зайвому страху

Gurbacs відкрито критикує ідею квантової катастрофи, називаючи її перебільшеною, і вказує на три конкретні факти, що руйнують цей наратив. По-перше, квантовий апарат для зламу ECDSA має бути “неймовірно швидким і стабільним” — можливості, що залишаються далеко за межами сучасних прототипів. По-друге, інші криптографічні системи зруйнуються раніше за Bitcoin, якщо такі машини з’являться: TLS, PGP та урядові PKI-інфраструктури зруйнуються першими. На 2024 рік жоден із цих систем не був зламаний, що свідчить про те, що квантові обчислення залишаються більше теоретичною загрозою, ніж практичною.

По-третє, модульна архітектура Bitcoin дозволяє оновлювати рівень підписів без порушення монетарної політики або правил емісії. Остання нормативна стандартизація NIST FIPS-205, що формалізує SLH-DSA (Статeless Hash-Based Digital Signature Algorithm), демонструє, що альтернативи пост-квантовій криптографії з’являються від авторитетних інституцій. Це усуває один із аргументів бездіяльності: стандарти вже існують.

Технічний аргумент за поступовий перехід

Adam Back, один із засновників криптоспільноти, запропонував елегантне рішення, яке набуло популярності: Bitcoin може ввести нові типи підписів у рамках існуючої Taproot/Schnorr без негайних глобальних збоїв. Користувачі можуть обирати квантовіростійкі методи — наприклад, зберігаючи цінності у новому типі листя — тоді як застаріла інфраструктура залишається функціональною. Такий поетапний підхід дозволяє розробникам готувати інфраструктуру та тестувати стандарти задовго до появи реальної загрози.

Терміни тут важливі. NIST лише у серпні 2024 року офіційно затвердив SLH-DSA, тому криптоспільнота ще досліджує ці альтернативи. Розробникам потрібно роки, а не місяці, щоб провести аудит реалізацій, зрозуміти компроміси та дійти згоди щодо вибору схем. Back оцінює, що “методи підпису Schnorr та ECDSA стануть застарілими”, якщо з’являться криптографічно релевантні квантові комп’ютери (CRQCs), але прогнозує, що це буде “набагато далі, ніж 2030 рік”.

Де протистоять досвідчені фахівці: управління та координація

Не всі переконані, що поступова підготовка достатня. Dan McArdle з Messari і Graeme Moore з Project Eleven підкреслюють три структурні ускладнення, які Gurbacs може недооцінювати.

Застарілі P2PK виходи — перша проблема. Деякі дуже старі транзакції Bitcoin використовують формати pay-to-pubkey, що одразу розкривають публічні ключі без захисту від повторного використання адрес сучасних стандартів. Хоча вони розкидані по мережі, ці ключі можуть стати цілями, якщо квантові комп’ютери раптово прискоряться.

Мемпул-скаутинг — друга, більш екзотична загроза: потужний квантовий зловмисник може викрасти кошти під час короткого вікна, коли транзакція поширюється мережею, але ще не підтверджена. Зловмисник витягне публічний ключ відправника з очікуваної транзакції, обчислить приватний ключ і перенаправить кошти — все до підтвердження. Однак McArdle визнає, що для цього потрібне квантове обладнання у мільйони разів швидше за будь-яке, що зараз розробляється.

Збільшення розміру підписів пост-квантової криптографії — третя, найконкретніша проблема. Алгоритми, такі як SLH-DSA, створюють більші підписи, ніж secp256k1 — можливо, доведеться збільшити розмір блоку для збереження пропускної здатності транзакцій. Це управлінське питання вже турбувало Bitcoin у період масштабування 2015-2017 років, і повторне його обговорення може розколоти спільноту.

Moore наголошує, що повний перехід на пост-квантові підписи може зайняти шість місяців або більше навіть за ідеальних умов, тому підготовка має початися зараз, а не коли загрози стануть очевидними. Він також ставить під сумнів, чи спільнота Bitcoin прийме алгоритми, стандартизовані NIST, враховуючи, що Satoshi Nakamoto навмисне обрав некоректні для стандарту secp256k1 через недовіру до централізованих органів стандартизації.

Питання про незміщені монети: етика і технології

Moore запропонував провокаційний експеримент: що станеться з “загубленими” Bitcoin під час квантового оновлення, включно з активами, що належать Сатоші Накомото? Чи слід їх заморожувати, чи дозволити стати вразливими? Gurbacs відкидає будь-які особливі винятки, стверджуючи, що правила управління мають однаково застосовуватися до всіх незміщених ключів. Його позиція: слабкіші криптосистеми зламаються першими, і це дасть роки попереджень перед тим, як Bitcoin опиниться під серйозним тиском.

Ігнорування ринком і реальні терміни

На момент публікації Bitcoin (BTC) торгується на рівні $95.20K, що свідчить про те, що ринок залишився байдужим до квантових наративів. Обидва табори не заперечують, що підготовка потрібна — лише терміни та термінологія залишаються предметом суперечок. В кінцевому підсумку, розбіжність полягає у тому, чи з’являться квантові комп’ютери, здатні зламати ECDSA, за п’ять, п’ятнадцять років або пізніше за поточний план.

Що очевидно — архітектура Bitcoin, хоча і зріла, не є застиглою. Мережа може адаптуватися через м’які форки, що вводять нові типи підписів, через поступовий перехід користувачів до квантовіростійких методів і через подальші дослідження у галузі пост-квантової криптографії. Тепер дебати зводяться до того, чи ця адаптація відбуватиметься проактивно, чи лише коли квантові загрози стануть беззаперечними.

Наступні роки стандартизаційних досліджень, управлінських дискусій і технічних тестів визначать, наскільки серйозно спільнота ставитиметься до цих ризиків — чи підготовка буде розумною обережністю, чи перебільшеною реакцією на спекулятивний FUD.