Купить Bitcoin: почему оптимизм Сайлора может быть преждевременным

Майкл Сэйлор, руководитель MicroStrategy, в последние месяцы 2024 года представил видение будущего Биткоина в эпоху квантовых компьютеров, которое звучало обнадеживающе: сеть будет не сломана, а укреплена. Эта перспектива вызвала энтузиазм среди части криптосообщества. Однако, если взглянуть на реальный технический и экономический ландшафт, картина становится гораздо более сложной. В чем именно заключается угроза, с которой столкнется Биткоин? И действительно ли миграция к пост- квантовой безопасности пройдет так гладко, как предполагает оптимистичная нарратив? Технический анализ выявляет пробелы в этом сценарии, особенно в отношении 1,7 миллиона уже уязвимых монет Биткоина.

Что такое квантовая угроза для Биткоина и как она развивается?

Квант — в контексте безопасности криптовалют — относится к потенциалу квантовых компьютеров, использующих свойства квантовой механики для выполнения вычислений, невозможных для классических компьютеров. Для Биткоина главной угрозой являются не атаки на механизм proof-of-work, а на цифровые подписи, защищающие приватные ключи.

Сеть Биткоин основана на алгоритмах ECDSA и Schnorr в стандарте secp256k1. Алгоритм Шора, известный из теории квантовых вычислений, потенциально может извлечь приватные ключи из публичных, когда квантовый компьютер достигнет достаточной мощности. Текущие оценки показывают, что потребуется около 2000–4000 логических кубитов, чтобы создать реальную угрозу. Современные устройства значительно ниже этого порога, что означает, что криптографически значимые квантовые компьютеры далеки минимум на 10–15 лет.

Что важно, NIST (Национальный институт стандартов и технологий) уже разработал и утвердил защитные инструменты. Агентство опубликовало стандарты квантоустойчивых цифровых подписей: ML-DSA (Dilithium) и SLH-DSA (SPHINCS+) как FIPS 204 и 205, в то время как FN-DSA (Falcon) ожидает утверждения как FIPS 206. Теоретически эти системы могут быть интегрированы в Биткоин через новые типы выходов или гибридные подписи. Проект Bitcoin Optech уже отслеживает такие предложения.

1,7 миллиона BTC уже под угрозой квантовых атак

Однако здесь возникает ключевая проблема, которую Сэйлор недооценил. Уязвимость к квантовым атакам полностью зависит от типа адреса Биткоина и того, раскрыт ли уже публичный ключ в блокчейне.

Ранние выходы pay-to-public-key (P2PK) из ранней эпохи Сатоши содержали прямой публичный ключ в цепочке. Эти адреса остаются неотвратимо уязвимыми. Стандартные адреса P2PKH и современные SegWit P2WPKH скрывают ключ за хешем, но только до момента расходования монет — тогда ключ становится видимым. С ростом популярности Taproot появилась новая категория риска: выходы P2TR кодируют публичный ключ с первого дня, подвергая UTXO риску еще до их расходования.

Последние исследования, включая анализ Deloitte, показывают, что около 25% всей эмиссии Биткоина уже находится в выходах с публичными ключами, раскрытыми в цепочке. Это примерно 1,7 миллиона BTC из ранних времен, плюс сотни тысяч в современных Taproot-выходах. Некоторые из этих монет долго не использовались — их владельцы могут быть недоступны, умерли или просто забыли о доступе. Эти «потерянные» монеты не останутся навсегда замороженными, но могут стать добычей первого атакующего с достаточно мощным квантовым компьютером.

Монеты, которые никогда не раскрывали публичный ключ (принадлежащие однозначным адресам P2PKH или P2WPKH), защищены за счет хешированных адресов. Для них алгоритм Гровера обеспечивает лишь квадратичное ускорение, которое теоретически можно нейтрализовать соответствующими изменениями в параметрах безопасности. Однако эта часть эмиссии составляет меньшинство.

Технологическая миграция — не только вопрос криптографии

Сэйлор утверждает, что «безопасность повысится, предложение сократится». Это упрощает сложную реальность. Миграция на пост- квантовые схемы подписей — не чистая победа — связана с реальными затратами.

Исследования, опубликованные в рецензируемых источниках, показывают, что реалистичная миграция означала бы значительные компромиссы. Пост- квантовые подписи значительно больше текущих ECDSA. Это означает, что размер блока мог бы снизиться примерно на 50%. Операционные издержки узлов выросли бы, поскольку проверка таких подписей требует больше вычислительных ресурсов. Вероятно, выросли бы и транзакционные сборы, так как каждый подпись занимает больше места в блоке.

Еще более сложный вопрос — управление. У Биткоина нет центральной власти, которая могла бы навязать изменения. Любой soft fork, связанный с пост- квантовой безопасностью, потребовал бы подавляющего консенсуса между разработчиками, майнерами, биржами и крупными держателями. Все должны были бы действовать согласованно и достаточно рано — до появления реально опасного квантового компьютера. Последний анализ A16z подчеркивает, что координация и сроки представляют больший риск, чем сама криптография.

Три сценария: сокращение, кража или паника?

Динамика предложения в сценарии пост- квантовой эпохи не является автоматической. Есть три конкурирующих варианта, каждый с разными последствиями для рынка.

Первый сценарий — «сокращение за счет отказа»: Монеты в уязвимых выходах, владельцы которых никогда не обновляют свои кошельки (по причине смерти, неспособности или забывчивости), считаются навсегда утерянными. Предложение фактически сокращается, но хаотично — не через безопасную миграцию, а через бездействие.

Второй сценарий — «искажение через кражу»: Атакующие с мощными квантовыми компьютерами начинают опустошать старые кошельки с раскрытыми ключами. Тогда монеты не исчезают из обращения — они переходят в руки злоумышленников. Так называемая атака «подпись и кража» — когда злоумышленник наблюдает мемпул, быстро восстанавливает приватный ключ и конкурирует за транзакцию с более высоким сбором.

Третий сценарий — «паника перед физикой»: Само ожидание появления квантовых компьютеров может вызвать распродажи или даже разделение блокчейна на конкурирующие форки, еще до появления реальной машины. История показывает, что рыночный страх так же опасен, как и техническая угроза.

Ни один из этих сценариев не гарантирует чистого снижения предложения, которое было бы однозначно бычьим для цены. Они могут привести к хаотичным изменениям стоимости и социальным конфликтам.

Может ли Биткоин действительно стать сильнее?

Сэйлор прав в одном ключевом моменте: технически может укрепиться. Сеть располагает достаточным временем для внедрения пост- квантовых схем подписей, уже одобренных стандартами NIST. Она может обновить уязвимые выходы и обеспечить минимальную криптографическую безопасность, при которой квантовые компьютеры станут малой угрозой.

Однако эта оптимистичная картина основана на ряде предположений, которые вовсе не гарантированы. Предполагается, что:

• Разработчики и владельцы монет будут действовать согласованно и достаточно рано
• Миграция пройдет без паники и раскола сообщества
• Злонамеренные квантовые атакующие не воспользуются временным окном между обнаружением и внедрением
• Сообщество решит принять более высокие сборы и меньшую емкость ради безопасности

Уверенность Майкла Сайлора — в значительной степени ставка на способность сети к координации, а не на силу самой криптографии. Биткоин действительно может выйти из эпохи квантов более сильным — с улучшенными подписями и, возможно, частично сожженными монетами. Но только если сеть сможет провести дорогостоящие, политически сложные и технически запутанные обновления до того, как квантовая угроза станет реальной. В эпоху, когда даже soft fork вызывает споры внутри сообщества, эта перспектива требует веры не в физику, а в искусство управления децентрализованной сетью.