Майкл Сэйлор утверждает, что квантовые технологии «укрепят» Bitcoin, но он игнорирует 1,7 миллиона монет, которые уже находятся под угрозой

Майкл Сейлор 16 декабря высказал характерно смелое мнение о Bitcoin и квантовом скачке:

«Квантовый скачок Bitcoin: квантовые вычисления не разрушат Bitcoin — они его укрепят. Сеть обновляется, активные монеты мигрируют, потерянные монеты остаются замороженными. Безопасность возрастает. Предложение уменьшается. Bitcoin становится сильнее».

Это заявление отражает оптимистичный взгляд на постквантовое будущее Bitcoin. Тем не менее, техническая реальность оказывается более сложной: именно физика, управление и время определяют, укрепит ли переход сеть или спровоцирует кризис.

Квантовые вычисления не разрушат Bitcoin (если миграция произойдет вовремя)

Основной тезис Сейлора строится на понятии направленной истины. Главная квантовая уязвимость Bitcoin заключается в его цифровых подписях, а не в proof-of-work.

Сеть использует ECDSA и Schnorr на базе secp256k1. Алгоритм Шора может вычислить приватные ключи по публичным, когда отказоустойчивый квантовый компьютер достигнет примерно 2 000–4 000 логических кубитов.

Современные устройства работают на порядки ниже этого порога, поэтому появление криптографически значимых квантовых компьютеров ожидается не ранее чем через десятилетие.

NIST уже утвердил защитные инструменты, необходимые Bitcoin. Агентство опубликовало два стандарта постквантовых цифровых подписей — ML-DSA (Dilithium) и SLH-DSA (SPHINCS+) как FIPS 204 и 205, а FN-DSA (Falcon) продвигается как FIPS 206.

Эти схемы устойчивы к квантовым атакам и могут быть интегрированы в Bitcoin через новые типы выходов или гибридные подписи. Bitcoin Optech отслеживает актуальные предложения по агрегированию постквантовых подписей и Taproot-основанным конструкциям, а эксперименты с производительностью показывают, что SLH-DSA может работать с нагрузками, подобными Bitcoin.

То, что упускает из виду Сейлор, — это стоимость. Исследование Journal of British Blockchain Association утверждает, что реалистичная миграция — это защитный даунгрейд: безопасность против квантовых угроз повышается, но пропускная способность блока может снизиться примерно вдвое.

Затраты на узлы возрастают, потому что современные постквантовые подписи больше по размеру и дороже в проверке. Транзакционные комиссии растут, поскольку каждая подпись занимает больше места в блоке.

Самое сложное — это управление. У Bitcoin нет центрального органа, который мог бы обязать к обновлениям. Постквантовый soft fork потребует подавляющего консенсуса среди разработчиков, майнеров, бирж и крупных держателей, причём все должны действовать до появления криптографически значимого квантового компьютера.

Недавний анализ A16z подчеркивает, что координация и тайминг представляют больший риск, чем сама криптография.

Открытые монеты становятся целями, а не замороженными активами

Утверждение Сейлора, что «активные монеты мигрируют, потерянные монеты остаются замороженными», чрезмерно упрощает реальность on-chain. Уязвимость полностью зависит от типа адреса и того, виден ли уже публичный ключ.

Ранние выходы pay-to-public-key размещают открытый публичный ключ непосредственно в блокчейне и делают его навсегда доступным.

Стандартные адреса P2PKH и SegWit P2WPKH скрывают публичный ключ за хешем до момента траты монет, после чего ключ становится видимым и уязвимым для квантовой кражи.

Taproot P2TR-выходы кодируют публичный ключ в выходе с первого дня, делая такие UTXO открытыми даже до их перемещения.

Аналитики оценивают, что примерно 25% всех Bitcoin уже находятся в выходах с публично раскрытыми ключами. Анализ Deloitte и недавние исследования, посвящённые Bitcoin, сходятся на этой цифре, включая крупные ранние P2PK-балансы, деятельность кастодианов и современное использование Taproot.

On-chain исследования показывают, что примерно 1,7 миллиона BTC находятся в «сатоши-эры» P2PK-выходах и ещё сотни тысяч — в Taproot-выходах с раскрытыми ключами.

Некоторые «потерянные» монеты не заморожены, а попросту бесхозны и могут стать наградой для первого атакующего с подходящей машиной.

Монеты, публичный ключ которых никогда не раскрывался (одноразовые P2PKH или P2WPKH), защищены хешированными адресами, для которых алгоритм Гровера даёт лишь квадратичное ускорение, что можно компенсировать изменением параметров.

Наиболее уязвимая часть предложения — это именно неактивные монеты, привязанные к уже раскрытым публичным ключам.

Эффекты на предложение неочевидны и не автоматичны

Утверждение Сейлора, что «безопасность возрастает, предложение уменьшается», чётко разделяется на механику и спекуляции.

Постквантовые подписи, такие как ML-DSA и SLH-DSA, разработаны для устойчивости к большим, отказоустойчивым квантовым компьютерам и теперь входят в официальные стандарты.

Идеи миграции, специфичные для Bitcoin, включают гибридные выходы, требующие как классических, так и постквантовых подписей, а также предложения по агрегированию подписей для снижения нагрузки на цепь.

Однако динамика предложения не автоматична, и существует три конкурирующих сценария.

Первый — «сокращение предложения через забвение», когда монеты на уязвимых выходах, владельцы которых никогда не обновятся, считаются потерянными или явно заносятся в черный список. Второй — «искажение предложения через кражу», когда квантовые атакующие опустошают открытые кошельки.

Оставшийся сценарий — «паника до физики», когда ожидание скорой квантовой угрозы вызывает распродажи или форки цепи ещё до появления реальной машины.

Ни один из этих сценариев не гарантирует чистого сокращения обращения, что было бы однозначно бычьим сигналом. Они могут привести к хаотичной переоценке, спорным форкам и единовременной волне атак на старые кошельки.

Будет ли предложение действительно «снижаться», зависит от политических решений, скорости перехода и возможностей атакующих.
Proof-of-work на базе SHA-256 относительно устойчив, поскольку алгоритм Гровера даёт только квадратичное ускорение.

Более тонкий риск кроется в mempool, где транзакция, расходующая средства с адреса с хешированным ключом, раскрывает публичный ключ, пока ожидает включения в блок.

Недавние анализы описывают гипотетическую атаку «sign-and-steal», при которой квантовый атакующий наблюдает за mempool, быстро восстанавливает приватный ключ и отправляет конкурирующую транзакцию с более высокой комиссией.

Что на самом деле говорит математика

Физика и дорожная карта стандартов сходятся во мнении, что квантовые вычисления не разрушат Bitcoin мгновенно.

Существует окно, возможно, в десятилетие или более, для осознанной постквантовой миграции. Однако эта миграция затратна и политически сложна, а немалая часть сегодняшнего предложения уже находится в квантово-уязвимых выходах.

Сейлор в целом прав, что Bitcoin может стать крепче. Сеть может внедрить постквантовые подписи, обновить уязвимые выходы и получить более сильные криптографические гарантии.

Однако утверждение, что «потерянные монеты остаются замороженными» и «предложение уменьшается», подразумевает чистый переход, при котором управление срабатывает, владельцы мигрируют со временем, а атакующие не используют задержку.

Bitcoin действительно может выйти из этого сильнее — с обновлёнными подписями и, возможно, с частью эффективно сожжённого предложения, но только если разработчики и крупные держатели начнут действовать заранее, координируют управление и проведут переход без паники и масштабных краж.

Станет ли Bitcoin сильнее, зависит не столько от сроков появления квантовых возможностей, сколько от того, сможет ли сеть провести сложное, дорогостоящее и политически напряжённое обновление до того, как физика догонит. Уверенность Сейлора — это ставка на координацию, а не на криптографию.

Публикация Michael Saylor says quantum will “harden” Bitcoin, but he’s ignoring the 1.7 million coins already at risk впервые появилась на CryptoSlate.