Квантовый скачок Биткоина: почему видение Сейлора игнорирует 1,7 миллиона BTC в криптографической опасности

Майкл Сэйлор 16 декабря сделал заявление о квантовых вычислениях и Биткойне, в котором выражает оптимизм относительно будущей устойчивости сети. Его тезис — что квантовые достижения в конечном итоге укрепят безопасность Биткойна, а не поставят под угрозу — создает убедительный нарратив. Однако за этим оптимистичным рамочным изложением скрывается более сложная техническая реальность, в которой временные рамки, координация управления и уязвимости наследуемых выходов ставят под сомнение чистоту перехода, который Сэйлор представляет.

Окно возможностей в физике: десятилетие на действия, но реализация остается под вопросом

Утверждение Сэйлора содержит существенную долю правды. Уязвимость Биткойна к квантовым компьютерам в первую очередь связана с его схемой цифровой подписи — конкретно, ECDSA и Schnorr-подписями на базе secp256k1, а не с механизмом proof-of-work. Алгоритм Шора теоретически угрожает получению приватных ключей, когда квантовые системы достигнут примерно 2000–4000 логических кубитов, что в разы превышает возможности современных устройств. Криптографически значимые квантовые компьютеры, вероятно, останутся недосягаемы еще на десятилетия.

Недавние усилия NIST по стандартизации подтверждают этот временной горизонт. Агентство завершило работу над стандартами постквантовых подписей, включая ML-DSA (Dilithium) и SLH-DSA (SPHINCS+) в рамках стандартов FIPS — с ссылками внутри § 204 bgb нормативных рамок — при этом FN-DSA (Falcon) продвигается через FIPS 206. Проекты Bitcoin Optech уже отслеживают предложения по интеграции постквантовых схем подписи и конструкций, совместимых с Taproot, при этом экспериментальные работы подтверждают, что такие алгоритмы, как SLH-DSA, могут работать в рамках операционных ограничений Bitcoin.

Однако рамочное изложение Сэйлора удобно избегает вопроса стоимости реализации. Исследования миграции показывают, что реалистичные переходы на постквантовые схемы требуют значительных защитных компромиссов: хотя квантовая устойчивость улучшается, пропускная способность блоков может сократиться примерно на 50%. Более крупные подписи требуют большего времени проверки, что увеличивает транзакционные сборы, поскольку каждая подпись занимает пропорционально больше места в блоке. Узловым операторам придется сталкиваться с более высокими вычислительными требованиями. Самая сложная проблема — управление, поскольку Биткойн функционирует без централизованного мандатного органа. Достижение подавляющего консенсуса среди разработчиков, майнеров, бирж и крупных держателей до появления способного квантового компьютера — это политическая и координационная задача, которая может превзойти криптографическую сложность.

Проблема уязвимого предложения: почему “замороженные” монеты уже могут быть под угрозой

Утверждение Сэйлора, что «потерянные монеты остаются замороженными», искажает реальность on-chain в контексте квантовой уязвимости. Уязвимость монет полностью зависит от типа выхода и видимости публичного ключа.

Ранние выходы pay-to-public-key (P2PK) хранят публичные ключи прямо в блокчейне с постоянной видимостью. Стандартные адреса P2PKH и SegWit P2WPKH изначально скрывают ключи за криптографическими хэшами, но уязвимость возникает в момент расходования монет, когда публичный ключ попадает в мемпул. Современные конструкции Taproot P2TR кодируют публичные ключи с самого начала, делая эти UTXO уязвимыми еще до совершения любой транзакции.

По оценкам Deloitte и недавних исследований, примерно 25% всех Биткойнов находятся в выходах с публично раскрытыми ключами. Анализы on-chain показывают, что около 1,7 миллиона BTC заблокированы в выходах P2PK эпохи Сатоши, а также сотни тысяч в адресах Taproot с раскрытыми ключами. Многие из этих неактивных активов технически не считаются «потерянными» — это безхозяинский капитал, который может стать добычей первого атакующего с достаточно мощным квантовым устройством.

Единственные надежно защищенные монеты — те, что никогда не раскрывали публичный ключ: одноразовые адреса P2PKH или P2WPKH, использующие хэш-защиту, где алгоритм Гровера дает только квадратичное ускорение — его можно нейтрализовать настройками параметров. Самая уязвимая часть предложения — именно неактивные, раскрытые монеты: те, что заблокированы с уже видимыми ключами, владельцы которых остаются неактивными в течение любого цикла обновлений.

Динамика предложения: автоматическое сокращение не гарантировано

Утверждение Сэйлора, что «безопасность растет, предложение сокращается», разделяет криптографические механизмы и спекулятивные сценарии. Механизмы работают правильно: постквантовые подписи созданы для сопротивления крупным, отказоустойчивым квантовым системам и уже входят в официальные стандарты. Предложения по миграции в Биткойне включают гибридные выходы, требующие как классические, так и постквантовые подписи, а также идеи агрегирования подписей для минимизации роста цепи.

Однако сокращение предложения не является автоматическим или гарантированным. Могут развиться три конкурирующих сценария:

Сценарий первый: потеря из-за отказа. Монеты в уязвимых выходах, владельцы которых не обновляются, станут фактически заблокированными или явно внесены в черный список по мере развития правил сети.

Сценарий второй: перераспределение через кражу. Квантовые злоумышленники опустошают раскрытые кошельки, передавая предложение новым держателям, а не удаляя его из обращения.

Сценарий третий: паника до достижения физики. Само восприятие приближающейся квантовой угрозы вызывает панические распродажи, разделения цепи или спорные форки до того, как машина достигнет криптографической актуальности.

Ни один из этих сценариев не гарантирует чистого сокращения циркулирующего предложения, которое надежно поддерживает цену Биткойна. Скорее всего, произойдет хаотичное переоценивание, споры по управлению и однократная волна атак на наследуемые кошельки. Значимость сокращения предложения зависит скорее от политических решений, скорости миграции пользователей и возможностей злоумышленников — а не обязательно от криптографии.

Сам proof-of-work остается относительно устойчивым. Алгоритм Гровера дает только квадратичное ускорение против SHA-256, что можно компенсировать настройками параметров. Более тонкая опасность — в мемпуле: когда транзакция расходует адрес с хэшированным ключом, публичный ключ становится видимым в ожидании включения в блок. Недавние исследования описывают атаку «подпиши-и укради», при которой квантовый злоумышленник мониторит мемпул, быстро восстанавливает приватный ключ и транслирует конфликтующую транзакцию с более высокими комиссиями.

Настоящий вызов: координация, а не криптография

Физика и дорожная карта стандартов сходятся во мнении: квантовые вычисления не взламывают Биткойн мгновенно. Реалистичный сценарий миграции на постквантовые схемы — это десятилетия, что дает время на осознанные обновления до того, как криптографическая актуальность станет реальностью.

Но эта миграция сопряжена с высокими затратами — вычислительными, управленческими и финансовыми. Значительная часть текущего предложения Биткойна уже находится в уязвимых к квантовым атакам выходах, уязвимых не к будущим машинам, а к скоординированным злоумышленникам, которые смогут использовать сложное оборудование, как только появится возможность.

Сэйлор правильно указывает, что Биткойн может укрепиться. Сеть может принять постквантовые подписи, обновить уязвимые выходы и выйти с более сильными криптографическими гарантиями. Но это предполагает чистый переход: управление должно работать без сбоев, владельцы должны своевременно мигрировать, а злоумышленники — никогда не использовать задержки в переходе. При текущей цене около $90.57K и рыночной капитализации свыше $1.8 трлн, риск неудачи в реализации стал чрезвычайно высоким.

Биткойн может стать сильнее — с обновленными подписями и, возможно, с частью предложения, фактически сгоревшей из-за отказа. Но успех зависит скорее не от сроков появления квантовых возможностей, а от того, смогут ли разработчики и крупные держатели выполнить дорогостоящий, политически сложный переход раньше, чем физика догонит. Уверенность Сэйлора в конечном итоге отражает ставку на координацию, а не на криптографию.