Hardware IBM Quantum prolomil 15bitový klíč ECC, vývojáři bitcoinu však tvrdí, že náhodné bity odpovídají výsledku

Hlavní body:

• Společnost Project Eleven udělila 24. dubna výzkumníkovi Giancarlovi Lellimu cenu ve výši 1 BTC (78 000 USD) za prolomení 15bitového klíče ECC na kvantovém hardwaru IBM.
• Vývojáři bitcoinu ukázali, že Lelliho výsledek lze replikovat pomocí náhodného šumu, což signalizuje nulovou kvantovou výhodu oproti klasickým metodám.
• Rozdíl mezi 15 bity a 256bitovým secp256k1 bitcoinu zůstává technickou propastí 2^241, takže bezpečnost BTC je prozatím nedotčena.

Projekt Eleven předal Giancarlovi Lellimu 1 BTC za prolomení 15bitového ECC kvantového kódu, ale softwaroví vývojáři to označují za šum

Projekt Eleven popsal tento úspěch jako 512násobné zvýšení složitosti vyhledávacího prostoru oproti předchozímu prolomení 6bitového ECC, které v září 2025 provedl inženýr Steve Tippeconnic na hardwaru IBM. Generální ředitel Alex Pruden označil tento úspěch za důkaz, že kvantové útoky na ECC již nevyžadují národní laboratoře ani proprietární hardware.

Cena, jejíž hodnota v době udělení činila přibližně 78 000 dolarů, byla navržena tak, aby poskytovala reprodukovatelná veřejná měření kvantových útoků na ECC pro klíče o délce 1 až 25 bitů. Lelliho příspěvek, včetně úplného kódu a protokolů o provedení, je veřejně dostupný na Githubu.

Lelli implementoval dvouregistrovou variantu Shorova algoritmu na cloudovém hardwaru IBM Quantum, zaměřenou na eliptické křivky ve formě používané ve standardu secp256k1 bitcoinu. Obvod běžel na několika procesorech IBM Heron r2, včetně ibm_torino a ibm_fez, a spoléhal se na techniky určené pro hlučná kvantová zařízení středního rozsahu.

Vývojáři bitcoinu a kryptografové výsledek rychle odmítli s tvrzením, že kvantový hardware k výsledku nepřidal žádnou významnou hodnotu. Příspěvek projektu Eleven na X oznamující tento milník nyní obsahuje ověření faktů v sekci Community Notes, které uvádí, že přístup použitý k obnovení 15bitového klíče ECC závisí na klasickém ověření výstupů nerozeznatelných od náhodného šumu, což v podstatě představuje klasické hádání.

Bývalý správce Bitcoin Core Jonas Schnelli analyzoval Lelliho příspěvek a zjistil, že obvod IBM, který zpracovává zhruba 98 000 bran s přibližně 99,5% věrností na bránu, produkoval výstupy statisticky nerozeznatelné od náhodného házení mincí.

Schnelli reprodukoval úplné obnovení klíče v asi 20 řádcích kódu v Pythonu pomocí čistě náhodných bitů, bez zapojení kvantového hardwaru. Jeho závěr byl jednoznačný: kvantový počítač nepřidal žádný detekovatelný signál nad rámec klasické náhodnosti.

Zakladatel Coinkite, Rodolfo Novak, trval na tom, že Project Eleven zavádí veřejnost v omyl, a označil jeho tvrzení o kvantové technologii za „divadlo“. Na X argumentoval, že „soukromý klíč je klasicky vyřešen ještě předtím, než se kvantový obvod vůbec spustí“, a že systém „nic nenachází – je mu sdělena odpověď“, přičemž dodal, že výsledky se opírají o „klasický ověřovací filtr“. Novak dospěl k závěru, že zatímco „kvantová hrozba pro Bitcoin je reálná, ale vzdálená“, dnešní ukázky jsou „klasické výpočty v kvantových kostýmech“.

Výzkumník Yuval Adam tento závěr nezávisle potvrdil tím, že vyměnil Lelliho kvantový backend IBM za /dev/urandom, klasický generátor náhodných čísel v Linuxu, a identicky obnovil cílový klíč. 15bitová křivka má vyhledávací prostor pouze 32 767 možných soukromých klíčů, což je natolik malé číslo, že klasický ověřovatel porovnávající kandidáty s veřejným klíčem najde shodu s vysokou pravděpodobností prostřednictvím téměř náhodného vzorkování.

Zastánce bitcoinu Jimmy Song popsal kvantový počítač jako zařízení, které plní stejnou funkci jako /dev/urandom. Účet TFTC na platformě X v široce čteném vlákně poznamenal, že každá dosud veřejná demonstrace Shorova algoritmu na ECC se opírá o klasický předběžný výpočet, který efektivně zakóduje odpověď do obvodu před spuštěním kvantového hardwaru.

Kritici také poukázali na střet zájmů ve struktuře odměny. Projekt Eleven, podporovaný společnostmi Coinbase Ventures, Castle Island Ventures, Variant a Balaji Srinivasan, vytvořil odměnu, posoudil příspěvky prostřednictvím tří nezávislých fyziků, udělil odměnu a poté vydal tiskové zprávy varující, že přibližně 6,9 milionu BTC držených v peněženkách s odhalenými veřejnými klíči čelí potenciálnímu dlouhodobému riziku. Společnost prodává nástroje pro postkvantovou kryptografii.

Zakladatel Project Eleven reaguje na kritiku

Pruden v následujícím vlákně uznal, že výsledek nebyl Q-Day a že experimenty v éře NISQ běžně závisí na klasické pomoci. Argumentoval, že demo stále představuje postupný, reprodukovatelný pokrok na dostupném veřejném hardwaru a že plánování migrace na postkvantovou kryptografii zůstává rozumnou dlouhodobou prioritou. Vedoucí pracovník Project Eleven dodal:

„Závěr: Jedná se o postupný pokrok v rušném, raném oboru – ne o Q-Day. Ukazuje to, proč sledujeme snižování zdrojů a proč je plánování migrace na postkvantovou kryptografii důležité pro dlouhodobou bezpečnost. Skepticismus je zdravý; posouvání cílů nikoli. Rád diskutuji o technických detailech nebo sdílím zpětnou vazbu od repo/porotců.“

Rozdíl mezi Lelliho výsledkem a jakoukoli praktickou hrozbou pro Bitcoin je značný. Křivka secp256k1 Bitcoinu funguje s 256bitovou bezpečností. Rozdíl mezi 15 a 256 bity představuje faktor 2 na 241. v výpočetní obtížnosti. I optimistické nedávné výzkumy, včetně článku Googlu publikovaného v dubnu 2026, odhadují, že prolomení 256bitového ECC by vyžadovalo méně než 500 000 fyzických kubitů, což je hranice, na kterou současný kvantový hardware zdaleka nedosahuje.

Tato epizoda ilustruje napětí, které přetrvává v mediálním pokrytí kvantového počítání: postupné milníky v oblasti hardwaru generují titulky, ale vzdálenost mezi demonstracemi v měřítku hraček a produkčními kryptografickými systémy zůstává technickou propastí bez řešení v blízké budoucnosti. Bezpečnostní model bitcoinu závisí na této propasti a vývojáři tvrdí, že zůstává neporušená.