Квантовая слепая зона Биткоина: почему уже раскрытые 1,7 млн BTC важнее, чем обещания по срокам

Оптимизм вокруг пост-квантового будущего Биткоина часто игнорирует важную деталь: примерно 1,7 миллиона BTC уже находятся в уязвимых к квантовым атакам выводах. В то время как мейнстримовые комментаторы указывают на теоретические сроки, измеряемые десятилетиями, фактическое раскрытие на цепочке показывает более запутанную картину, где немедленная координация могла бы предотвратить катастрофические потери.

Угроза квантов реальна, но важна не только временная перспектива

Уязвимость Биткоина заключается не в proof-of-work, а в схемах цифровых подписей. В настоящее время сеть использует подписи ECDSA и Schnorr на базе secp256k1 — криптографию, которая становится взламываемой, как только квантовый компьютер с отказоустойчивой архитектурой достигнет примерно 2000–4000 логических кубитов. Современные устройства значительно уступают этому порогу, что предполагает окно как минимум в десятилетие до появления криптографически значимых квантовых компьютеров.

Защитная инфраструктура уже существует. NIST завершил стандартизацию ML-DSA (Dilithium) и SLH-DSA (SPHINCS+), утвердив их в рамках FIPS 204 и 205, а Falcon продвигается через FIPS 206. Bitcoin Optech отслеживает несколько предложений по интеграции этих пост-квантовых схем через новые типы выводов и гибридные конструкции подписей. Тестирование показывает, что пост-квантовые подписи могут работать на вычислительных задачах, похожих на Bitcoin.

Но именно здесь возникает проблема: внедрение не происходит автоматически, а криптография — лишь половина дела.

Настоящая проблема: уже 25% Bitcoin под угрозой

Различие между «квантобезопасным» и «уязвимым к квантам» полностью зависит от типа адреса и того, виден ли публичный ключ в цепочке. Именно здесь цифры становятся тревожными.

Ранние выводы pay-to-public-key (P2PK) размещают открытые ключи прямо в блокчейне. После раскрытия они остаются навсегда доступными и уязвимыми для квантового злоумышленника с достаточной вычислительной мощностью. Выводы эпохи Сатоши из этого периода представляют собой значительную историческую концентрацию, по оценкам, около 1,7 миллиона BTC именно в этих ранних выводах.

Выводы Taproot P2TR создали другую проблему: они кодируют публичные ключи прямо в вывод с момента создания. В отличие от традиционных адресов P2PKH или P2WPKH, которые скрывают ключи за хэшами до момента расходования, Taproot UTXO раскрывают свои ключи даже до их перемещения. Современные исследования показывают, что сотни тысяч BTC сейчас находятся в Taproot-выводах с публично видимыми ключами.

Стандартные P2PKH и SegWit P2WPKH обеспечивают временную защиту: публичный ключ остается скрытым до момента расходования, после чего он становится видимым и уязвимым для квантовых атак. Это создает определенное окно уязвимости — период между транзакцией и ее подтверждением. В этот момент квантовый злоумышленник теоретически может мониторить мемпул, восстановить приватный ключ и выполнить атаку «подпись и кража» с помощью транзакции с более высокой комиссией.

Во всех категориях примерно 25% общего объема Bitcoin находится в выводах с уже раскрытыми или немедленно раскрываемыми публичными ключами. Эта цифра включает анализ Deloitte, исследования в цепочке и паттерны хранения у кастодианов. Следовательно, значительная часть циркулирующих сегодня активов может стать мишенью, а не замороженными активами.

Миграция — не бесплатна, она требует места в блоке и комиссий

Фрейм Сейлора предполагает простое обновление: «безопасность повышается, предложение уменьшается». Но техническая реальность гораздо сложнее. Пост-квантовые подписи больше по размеру и требуют больше вычислительных ресурсов для проверки, чем текущие ECDSA. Исследование Journal of British Blockchain Association показывает, что реалистичная миграция может снизить пропускную способность блока примерно на 50%, увеличить издержки узлов и значительно повысить комиссии за транзакции.

Это создает проблему координации. Bitcoin работает без центрального органа. Мягкий форк с пост-квантовой подписью потребует абсолютного согласия разработчиков, майнеров, бирж и крупных держателей — все должны действовать синхронно до появления квантовой угрозы. Недавние исследования команд, поддерживаемых венчурными фондами, подчеркивают, что риски больше связаны с координацией и управлением, чем с криптографией.

Временной прессинг — это не только технический аспект, но и психологический. Если восприятие надвигающейся квантовой угрозы распространится раньше, чем квантовые машины реально появятся, рынки могут начать панические распродажи, делить цепочку или инициировать спорные форки — и все это не приведет к более чистому и сильному Биткоину.

Динамика предложения: три конкурирующих сценария, ни один из которых не автоматичен

Утверждение, что предложение Bitcoin «сократится», объединяет три различных сценария, каждый из которых имеет свои последствия:

Сценарий 1: сокращение предложения за счет отказа. Монеты в уязвимых выводах, владельцы которых не обновляются, считаются потерянными или явно занесены в черный список. Это предполагает высокое соблюдение правил и принятие сокращения предложения как политики.

Сценарий 2: искажение предложения за счет кражи. Квантовые злоумышленники используют окно обновления, чтобы вывести из строя уязвимые кошельки до того, как владельцы смогут мигрировать. Это не сокращает циркулирующее предложение чисто — оно концентрируется в руках злоумышленников, вызывая хаос с переоценкой.

Сценарий 3: паника до наступления физики. Участники рынка заранее ожидают квантовые угрозы, что вызывает распродажи или спорные хардфорки до появления квантовых машин. Предложение «сокращается» за счет временного рыночного давления, а не за счет криптографического укрепления.

Ни один из сценариев не гарантирует чистое и бычье сокращение предложения. Они могут привести к временной волатильности, кризисам с хранением активов и однократной волне атак на устаревшие кошельки.

Proof-of-Work держится лучше, чем ожидалось

Одно из недооцененных преимуществ: proof-of-work в Bitcoin не так уязвим к квантам, как схемы подписей. Алгоритм Гровера дает только квадратичное ускорение против SHA-256, что означает, что квантовым злоумышленникам потребуется примерно в 2–3 раза больше вычислительных ресурсов для взлома майнинга. Регулировка сложности может в значительной степени нейтрализовать это преимущество. Безопасность майнинга, следовательно, — не главный кризис.

Истинное испытание: выполнение под давлением

Bitcoin способен укрепиться против квантовых угроз. Криптография уже существует, стандарты завершены, а технические предложения находятся в активной разработке. Сеть может принять пост-квантовые подписи, мигрировать уязвимые выводы и выйти с более надежными гарантиями.

Но все зависит от одного: сможет ли управление Bitcoin реализовать дорогостоящие, спорные и технически сложные обновления до того, как квантовые машины станут реальностью. Это ставка на координацию, а не только на криптографию. Уже 1,7 миллиона BTC под угрозой, риски мемпула во время перехода, компромиссы по пропускной способности блока и отсутствие централизованного принуждения показывают, что сроки могут быть короче, чем десятилетний прогноз.

Bitcoin не сталкивается с бинарным криптографическим сбоем. Он сталкивается с испытанием координации. Успех или неудача зависит скорее от того, смогут ли разработчики, майнеры и держатели вовремя обновить уязвимый запас, сохраняя консенсус. Эта ставка менее определена, чем сама физика.