Квантовая защита биткоина: как уберечь биткоин-кошельки

Технический директор Lightning Labs Олаолува Осунтокун показал прототип инструмента, который должен снизить квантовые риски для Bitcoin и решить прикладную задачу защиты биткоин-кошельков на случай появления квантового противника. Суть предложения — заранее подготовить путь, при котором экстренная «квантовая защита биткоина» не потребует ломать совместимость сети, а будет опираться на ограничение наиболее обсуждаемого вектора риска в Taproot.

На практике речь идет о сценарии софт-форка, который отключает траты Taproot через ключевой путь (key path spend). Именно этот режим в P2TR делает публичный ключ видимым при расходовании, а значит, при гипотетически достаточном квантовом компьютере становится уязвимым местом: алгоритм Шора теоретически позволяет восстановить приватный ключ по раскрытому публичному. Предложение Осунтокуна укладывается в логику обсуждаемого BIP-360: вместо ключевого пути сеть смещается к модели, где траты идут через скриптовый путь Merkle-дерева (Tapscript), а новый тип вывода Pay-to-Merkle-Root (P2MR) фактически убирает саму возможность key-path spend. Это меняет архитектуру риска: публичный ключ не «торчит» как постоянная цель, а раскрывается только в момент конкретной траты через скрипт.

Контекст здесь важнее самого прототипа. Bitcoin сегодня опирается на ECDSA и Schnorr-подписи, завязанные на эллиптические кривые, и именно этот класс криптографии считается чувствительным к полноценным квантовым атакам. Обсуждение BIP-360 встраивается в более широкий «квантовый апгрейд» Биткоина, но с оговорками: такой шаг сам по себе не делает сеть постквантовой в смысле замены подписи на новые алгоритмы, а лишь сужает поверхность атаки и дает инфраструктуре время. Кроме того, BIP-360 не «спасает» старые UTXO автоматически — уязвимые монеты в исторических типах адресов остаются проблемой до ручной миграции. На масштабы возможного ущерба указывают оценки Human Rights Foundation: около 1,72 млн BTC относят к зоне «долговременных квантовых атак», еще примерно 4,49 млн BTC — к промежуточной группе, где риск можно снизить переходом на адреса, не раскрывающие публичный ключ заранее.

Значение новости в том, что обсуждение квантовой угрозы для биткоина выходит из теории в плоскость инженерных компромиссов: как обновлять протокол через soft-fork и какие функции Taproot сохранять, не оставляя ключевой путь в качестве базового. Для пользователей и провайдеров кошельков это напрямую связано с практикой «защиты биткоин-кошельков»: какие типы адресов используются, раскрывается ли публичный ключ при расходовании, и готов ли софт поддерживать новые сценарии вроде P2MR, когда они появятся в основных реализациях. Для рынка в целом это сигнал, что «инструкция защиты биткоина» в привычном бытовом смысле не решит проблему — ключевое зависит от того, как быстро экосистема договорится о стандарте, проведет софт-форк и обеспечит массовую миграцию средств в схемы с минимизацией раскрытия ключей. Одновременно за дискуссией стоит отдельный тайминг: оценки появления квантовых машин, способных атаковать ECC, звучат в диапазоне 5–10 лет, а в США обозначен ориентир вывода ECDSA к 2035 году, поэтому решения, подобные BIP-360, рассматриваются как заранее подготовленный «аварийный выход», а не реакция в последний момент.