Bitcoin не взорвётся от квантовых вычислений завтра утром, но у него появился неприятный дедлайн: Bernstein считает, что у индустрии есть примерно 3—5 лет, чтобы подготовить постквантовую защиту Bitcoin. Иными словами, это не апокалипсис, а дорогой и нудный апгрейд, который всё равно придётся сделать, пока уязвимости не начали всплывать не только в академических статьях.
Повод для суеты, разумеется, не из воздуха. В Bernstein ссылаются на свежие исследования, включая работу Google, где снизили оценку ресурсов, нужных для взлома современной криптографии. Но между «когда-нибудь возможно» и «сейчас реально» лежит пропасть из инженерных проблем, денег и времени, а квантовый компьютер, способный всерьёз угрожать Bitcoin, всё ещё выглядит как проект с очень длинной дорожной картой.
Самое интересное в этой истории то, что квантовый риск у Bitcoin распределён очень неравномерно. Под ударом в первую очередь старые кошельки и адреса, где публичные ключи уже светятся наружу, а не вся сеть целиком. Современные форматы и простая дисциплина вроде отказа от повторного использования адресов заметно снижают поверхность атаки, что, впрочем, не делает проблему красивее.
Bernstein отдельно выделяет P2PK, P2MS и P2TR как наиболее уязвимые типы адресов. Это важная деталь, потому что паниковать любят про весь Bitcoin сразу, а ломать, если до этого дойдёт, будут прежде всего старые конструкции и наследие ранних лет сети. Майнинг на SHA-256 аналитики при этом считают почти неинтересной целью для квантовых машин, так что разговор идёт не о смерти Bitcoin, а о пересборке его кошельковой инфраструктуры.
Ориентир по срокам выглядит чуть спокойнее, чем звучит в заголовках. Bernstein говорит, что эксперты обычно дают около 10 лет до появления криптографически значимых квантовых компьютеров, а у криптоиндустрии есть 3—5 лет на подготовку перехода к квантово-устойчивым стандартам. Для экосистемы, где даже обычные обновления протокола проходят через долгие споры и консенсус, это не запас времени, а скорее минимальная вменяемая отсрочка.
Переводить Bitcoin на новые стандарты придётся через открытое сообщество разработчиков и основных контрибьюторов. То есть без магии, без централизованного приказа сверху и, скорее всего, без комфортной скорости. И именно поэтому Bernstein называет квантовую угрозу не «экзистенциальным риском», а управляемым циклом обновления. Для отрасли это почти комплимент.
Отдельная неприятная цифра в этой истории уже давно известна: около 1,7 млн Bitcoin хранятся в ранних P2PK-адресах, и примерно 1,1 млн BTC из них приписывают Сатоши Накамото. Эти монеты особенно чувствительны к будущим квантовым атакам, потому что публичные ключи там раскрыты постоянно. Если и есть у Bitcoin уязвимое историческое наследие, то вот оно, аккуратно упакованное в ранние адреса и очень неудобные вопросы о том, кто вообще успеет мигрировать первым.