Komputer kwantowy łamie mały klucz w stylu Bitcoin, a branża powinna przestać udawać, że to tylko science-fiction

Mała demonstracja o dużych implikacjach

Komputer kwantowy złamał 15-bitowy klucz kryptografii krzywych eliptycznych — uproszczoną wersję systemu kryptograficznego używanego do zabezpieczania Bitcoina, Ethereum i znacznej części gospodarki aktywów cyfrowych.

Wynik ogłosiła firma zajmująca się bezpieczeństwem kwantowym Project Eleven, która przyznała nagrodę jednego Bitcoina „Q-Day Prize" niezależnemu badaczowi Giancarlo Lelliemu. Lelli użył publicznie dostępnego sprzętu kwantowego, aby wyprowadzić klucz prywatny z odpowiadającego mu klucza publicznego, korzystając z wariantu algorytmu Shora — algorytmu kwantowego od dawna uznawanego za potencjalne zagrożenie dla kryptografii klucza publicznego.

Wynik ogłosiła firma zajmująca się bezpieczeństwem kwantowym Project Eleven, źródło: X

Ważne zastrzeżenie jest jednocześnie oczywiste: Bitcoin nie został złamany. 15-bitowy klucz krzywej eliptycznej jest daleki od 256-bitowej kryptografii secp256k1 Bitcoina. Różnica skali jest ogromna. Klucz 15-bitowy ma 32 768 możliwych wartości. Klucz 256-bitowy ma około 1,16 × 10^77 możliwych wartości. Tych dwóch liczb nie należy umieszczać w tym samym zdaniu bez odpowiedniego ostrzeżenia.

Mimo to wynik ma znaczenie, ponieważ jest publiczną demonstracją klasy ataku, który przy wystarczającej skali zagroziłby podpisom na krzywych eliptycznych. Project Eleven opisał go jako największy publiczny atak kwantowy na kryptografię krzywych eliptycznych w historii i stwierdził, że stanowi 512-krotny skok w porównaniu z poprzednią sześciobitową demonstracją z 2025 roku.

„Wymagania zasobowe dla tego rodzaju ataku stale maleją, a bariera praktycznego przeprowadzenia go maleje razem z nimi" — powiedział Alex Pruden, dyrektor generalny Project Eleven. „Zwycięskie zgłoszenie pochodzi od niezależnego badacza pracującego na sprzęcie dostępnym w chmurze. Żadnego krajowego laboratorium, żadnego prywatnego układu."

To właśnie ten aspekt zasługuje na poważne potraktowanie. Eksperyment nie naraża środków w Bitcoinie na bezpośrednie ryzyko. Pokazuje jednak, że ataki kwantowe na leżącą u podstaw rodzinę kryptograficzną nie są już ograniczone do tablic i paneli konferencyjnych. Są teraz demonstrowane, w miniaturze, na publicznie dostępnych systemach.

Bitcoin nie jest złamany, ale niektóre monety są bardziej narażone niż inne

Ryzyko kwantowe dla Bitcoina jest często źle rozumiane. Głównym zmartwieniem nie jest wydobycie, system proof-of-work ani historyczna księga. Centralną kwestią są podpisy cyfrowe.

Własność Bitcoina jest udowadniana za pomocą podpisów. Gdyby atakujący mógł wyprowadzić klucz prywatny z klucza publicznego, mógłby autoryzować transakcję tak, jakby był właścicielem monet. Klasyczne komputery nie są w stanie tego zrobić przeciwko obecnej kryptografii Bitcoina w żadnym praktycznym przedziale czasowym. Wystarczająco potężny komputer kwantowy uruchamiający algorytm Shora teoretycznie mógłby.

To rozróżnienie tworzy istotny podział w profilu ryzyka Bitcoina. Monety znajdujące się na adresach, gdzie klucz publiczny nie został jeszcze ujawniony, są trudniejsze do ataku. Monety na adresach, gdzie klucz publiczny jest już widoczny w łańcuchu, są bardziej narażone na przyszły atak kwantowy. Obejmuje to stare dane wyjściowe pay-to-public-key, wielokrotnie używane adresy i inne zachowania portfela ujawniające klucze publiczne.

Niedawny dokument Coinbase Quantum Advisory Council oszacował, że około 6,9 miliona BTC należy do tej bardziej narażonej kategorii. Przy cenie Bitcoina w pobliżu 77 500 dolarów oznacza to ponad 530 miliardów dolarów w BTC przechowywanych na adresach, które mogą stać się istotne w przyszłym modelu zagrożenia kwantowego.

Tej liczby nie należy odczytywać jako „530 miliardów dolarów ma zaraz zostać skradzione". Należy ją odczytywać jako mapę tego, gdzie koncentruje się długoterminowa ekspozycja. Bezpośrednie ryzyko pozostaje niskie, ponieważ dzisiejsze komputery kwantowe nie są wystarczająco potężne ani niezawodne, aby złamać 256-bitowe podpisy krzywych eliptycznych Bitcoina. Ale problem narażonych adresów jest realny, mierzalny i nierównomiernie rozłożony w sieci.

Brave New Coin poruszał wcześniej to rozróżnienie w artykule Bitcoin Faces Long-Term Quantum Threat as Researchers Push Post-Quantum Upgrades, zauważając, że ryzyko w mniejszym stopniu dotyczy tego, czy Bitcoin może się technicznie dostosować, a bardziej tego, czy zdecentralizowana sieć może skoordynować migrację na czas.

Badania Google sprawiły, że harmonogram stał się mniej komfortowy

Wynik Project Eleven pojawia się również po bardziej doniosłym ostrzeżeniu ze strony zespołu Google Quantum AI. W marcu badacze Google opublikowali artykuł na temat zabezpieczania kryptowalut opartych na krzywych eliptycznych przed lukami kwantowymi, argumentując, że przyszłe komputery kwantowe mogą wymagać mniej zasobów niż wcześniej szacowano, aby zaatakować kryptografię krzywych eliptycznych używaną w głównych blockchainach.

W artykule oszacowano, że atak na 256-bitową kryptografię krzywych eliptycznych na secp256k1 mógłby zostać przeprowadzony przy użyciu mniej niż pół miliona fizycznych kubitów, przy pewnych założeniach dotyczących architektur nadprzewodnikowych, fizycznych współczynników błędów i łączności planarnej. To wciąż daleko poza zasięgiem obecnego publicznego sprzętu kwantowego. Ale przesuwa dyskusję od mglistego języka „kiedyś" ku konkretnym szacunkom zasobów.

Google stwierdziło również, że zwalidowało wrażliwe wyniki przy użyciu dowodu zerowej wiedzy, nie ujawniając pełnych obwodów ataku. Ten szczegół ma znaczenie. Sygnalizuje, że badacze najwyższego szczebla zaczynają traktować ryzyko kwantowe kryptowalut mniej jak abstrakcyjną spekulację, a bardziej jak problem ujawniania informacji o bezpieczeństwie.

Szerszy świat cyberbezpieczeństwa już zaczął się poruszać. Krajowy Instytut Norm i Technologii USA (NIST) sfinalizował swoje pierwsze standardy kryptografii post-kwantowej w 2024 roku, w tym ML-KEM, ML-DSA i SLH-DSA. NIST stwierdził, że te standardy są gotowe do wdrożenia. Rządy i duże przedsiębiorstwa opracowują teraz harmonogramy migracji, ponieważ przejścia kryptograficzne zajmują lata, a nie miesiące.

Branża kryptowalut powinna zwrócić na to uwagę. Branża dobrze radzi sobie z szybkim działaniem, gdy pojawia się nowa narracja tokenowa. Jest mniej konsekwentna, gdy praca obejmuje powolne, techniczne ulepszenia infrastruktury bez natychmiastowych korzyści marketingowych.

Trudna część to nie matematyka

Bitcoin prawie na pewno może zostać uodporniony na zagrożenia kwantowe. Schematy podpisów post-kwantowych istnieją. Badacze już studiują sposoby wprowadzenia formatów adresów odpornych na ataki kwantowe, nowych kodów opcode podpisów i etapowych ścieżek migracji.

Trudnym pytaniem jest zarządzanie. Bitcoin jest celowo trudny do zmiany. Ten konserwatyzm jest jedną z jego mocnych stron. Zapobiega lekkomyślnym eksperymentom i chroni wiarygodność systemu monetarnego. Oznacza to jednak również, że główne ulepszenia kryptograficzne wymagają długich czasów przygotowania, szerokiego konsensusu, rozległego przeglądu i starannej aktywacji.

Tworzy to niedopasowanie. Postęp sprzętu kwantowego może być nieliniowy. Zarządzanie Bitcoinem jest celowo powolne. Jeśli sieć poczeka, aż zagrożenie będzie wyraźnie widoczne, może okazać się, że dostępne okno reakcji zawęziło się.

Najtrudniejsza kwestia może dotyczyć uśpionych lub utraconych monet. Jeśli część monet pozostaje na narażonych adresach klucza publicznego i nigdy nie zostanie przeniesiona, co powinna zrobić sieć? Zostawić je w spokoju i zaakceptować możliwość, że przyszły atakujący kwantowy mógłby je przejąć? Zachęcać do dobrowolnej migracji i akceptować resztkowe ryzyko? Rozważyć ograniczenia na poziomie protokołu dla podatnych danych wyjściowych? Każda opcja wiąże się z kompromisami i żadna nie będzie politycznie łatwa.

Dlatego debata kwantowa nie powinna być sprowadzana do binarnego argumentu o tym, czy Bitcoin jest dziś bezpieczny. Dziś jest bezpieczny. To nie to samo, co bycie przygotowanym. Wiarygodne stanowisko jest takie, że Bitcoin ma czas, ale czas jest użyteczny tylko wtedy, gdy jest dobrze wykorzystany.

Ethereum i inne sieci stoją przed podobnymi pytaniami

Bitcoin nie jest sam. Ethereum również opiera się na kryptografii krzywych eliptycznych, a sieci proof-of-stake wprowadzają dodatkową ekspozycję poprzez podpisy walidatorów. Dokument Coinbase zauważył, że sieci proof-of-stake mają specyficzne ryzyka związane ze schematami podpisów używanymi przez walidatorów do zabezpieczania sieci.

Ethereum może mieć łatwiejszą ścieżkę pod pewnymi względami, ponieważ jego kultura zarządzania jest bardziej otwarta na zmiany protokołu. Ethereum Foundation umieściło już bezpieczeństwo post-kwantowe wyżej na swoim programie badawczym — zmianę, którą Brave New Coin opisał w artykule Ethereum Goes All-In on Post-Quantum Security. Nie czyni to Ethereum odpornym. Oznacza po prostu, że proces społeczny wokół ulepszeń jest inny.

Kultura ulepszania Bitcoina jest bardziej konserwatywna i z dobrego powodu. Ale ten sam konserwatyzm, który chroni Bitcoina przed zbędnymi zmianami, może również spowalniać niezbędne zmiany. To jest kompromis. Należy go omawiać otwarcie, a nie ukrywać pod hasłami.

Dla giełd, powierników, dostawców portfeli, górników, deweloperów i długoterminowych posiadaczy praktyczny program staje się coraz wyraźniejszy. Zidentyfikować narażone zasoby klucza publicznego. Ograniczyć wielokrotne używanie adresów. Poprawić higienę portfela. Testować schematy podpisów post-kwantowych. Modelować wpływ większych podpisów na rozmiar transakcji, opłaty i przestrzeń blokową. Rozpocząć rozmowę o zarządzaniu, zanim pilność odbierze luksus starannego projektowania.

Nic z tego nie wymaga paniki. Wymaga jednak powagi.

Sygnał staje się coraz trudniejszy do zignorowania

15-bitowa demonstracja kwantowa nie jest bezpośrednim zagrożeniem dla kryptografii Bitcoina. Każdy, kto przedstawia to w ten sposób, wyolbrzymia wynik. Ale całkowite jego odrzucenie byłoby równie niepoważne.

Zagrożenia bezpieczeństwa zazwyczaj stają się niebezpieczne na długo przed tym, zanim staną się pilne. Wczesne oznaki są techniczne, przyrostowe i łatwe do zignorowania. Mały klucz zostaje złamany. Szacunki zasobów maleją. Sprzęt dostępny w chmurze się poprawia. Organy normalizacyjne rozpoczynają prace migracyjne. Duże firmy technologiczne zaczynają publikować ostrożne ostrzeżenia. Każdy indywidualny rozwój można wyjaśnić. Razem tworzą trend.

Propozycja wartości Bitcoina opiera się częściowo na idei, że może on przetrwać przez dekady. Oznacza to, że musi poważnie traktować ryzyka w skali dekad. Planowanie post-kwantowe nie jest atakiem na Bitcoina. Jest częścią utrzymania wiarygodności Bitcoina.

Właściwy wniosek z wyniku Lelliego nie jest taki, że Bitcoin jest złamany. Chodzi o to, że branża otrzymała kolejne przypomnienie, że kryptografia ma termin ważności i że planowanie migracji jest łatwiejsze, zanim termin stanie się widoczny.