شانزده سال پیش، ساتوشی ناکاموتو در سال ۲۰۱۰ به یک تردیدکننده در یک انجمن پاسخ داد و آن پاسخ هنوز هم راهنمای نحوه دفاع شبکه از پولش در امروز است.
ساتوشی ناکاموتو ۱۶ سال پیش از نگرانیهای کوانتومی، دفاع هشِ بیتکوین را پیشبینی کرده بود

نکات کلیدی
- ساتوشی ناکاموتو در پست ۱۶ ژوئیه ۲۰۱۰ در انجمن Bitcointalk از SHA-256 دفاع کرد.
- Google Quantum AI برآورد خود برای شکستن منحنی بیتکوین تا سال ۲۰۲۶ را به ۵۰۰٬۰۰۰ کیوبیت کاهش داد.
- توسعهدهندگان در سال ۲۰۲۶، BIP-360 و ایدههای دیگری را برای آمادهسازی آدرسهای مقاوم در برابر کوانتوم پیشنهاد کردهاند.
پستی در انجمن که قواعد را تعیین کرد
در ۱۶ ژوئیه ۲۰۱۰، کاربری به نام bdonlan در انجمن Bitcointalk پرسشی درباره هشکردن دوگانه SHA-256 در بیتکوین مطرح کرد. او پرسید آیا این طراحی امنیت را تضعیف میکند یا نه.
ساتوشی مستقیم پاسخ داد. مخترع بیتکوین SHA-256 را با گذار از محاسبات ۳۲ بیتی به ۶۴ بیتی مقایسه کرد؛ نه صرفاً یک افزایش کوچک در طول بیت. او گفت کامپیوترها در فضای آدرسدهی ۳۲ بیتی در ۴ گیگابایت به بنبست رسیدند، اما هیچکس انتظار ندارد به این زودیها فضای ۶۴ بیتی تمام شود. SHA-256 هم به همین شکل کار میکند و ریاضیات به بیتکوین حاشیه امن زیادی میدهد.
ساتوشی همچنین برای شبکه یک راه خروج ارائه کرد. اگر SHA-256 روزی تضعیف شود، توسعهدهندگان میتوانند با یک سافتفورک در ارتفاع بلاک مشخص به یک تابع هش جدید مهاجرت کنند. هشهای قدیمی و جدید بهصورت موازی اجرا میشوند تا زمانی که همه نودها ارتقا پیدا کنند.
از آن زمان ارزش بازار بیتکوین از یک تریلیون گذشته و شبکه روزانه صدها میلیارد دلار ارزش را تسویه میکند. هر دلار از آن فعالیت هنوز به همان تابع هشی وابسته است که ساتوشی شانزده سال پیش در یک پاسخِ واحد در انجمن از آن دفاع کرد.
چرا بیتکوین بهجای یک هش از دو هش استفاده میکند
کد بیتکوین دادهها را دو بار هش میکند: SHA256(SHA256(data))، روشی که توسعهدهندگان آن را SHA256d مینامند. رمزنگاران نیلز فرگوسن و بروس اشنایر این رویکرد را در برابر حملات «افزونهکردن طول» (length extension) توصیه کردند؛ نقصی در ساختار مرکل-دامگارد که SHA-2 از آن استفاده میکند.
ماینرها سرآیند بلاک را دو بار هش میکنند تا به هدف سختی شبکه برسند و نودها تراکنشها را دو بار هش میکنند تا درختهای مرکل ساخته شوند. کیفپولها یک لایه سوم هم اضافه میکنند: RIPEMD-160 روی SHA-256، تا کلیدهای عمومی را کوتاه کرده و به آدرس تبدیل کنند.
ساتوشی بهدلیلی SHA-256 را انتخاب کرد. مؤسسه ملی استاندارد و فناوری (NIST) این الگوریتم را در سال ۲۰۰۱ بهعنوان بخشی از خانواده SHA-2 منتشر کرد و جهش بزرگی در قدرت نسبت به SHA-1 ارائه داد؛ الگوریتمی که تا زمان راهاندازی بیتکوین در ژانویه ۲۰۰۹ نشانههایی از ضعف در آن دیده میشد. SHA-256 برای وادار کردن به یک برخورد (collision) تقریباً به 2^128 عملیات نیاز دارد و برای وادار کردن به یک پیشتصویر (preimage) تقریباً 2^256.
شانزده سال بعد، و هیچکس این طراحی را نشکسته است. هیچ پژوهشگری حمله عملیِ برخورد، پیشتصویر یا پیشتصویر دوم علیه SHA-256 کامل پیدا نکرده است. نسخههای با دورِ کمتر (reduced-round) هدف رمزکاوی قرار گرفتهاند، اما این حملات پیش از رسیدن به الگوریتم واقعیِ ۶۴ دوری از مقیاسپذیری بازمیمانند. NIST و گروههای مستقلی مانند ECRYPT-CSA همچنان این تابع کامل را امن ارزیابی میکنند.
سختافزار استخراج هم همین داستان را میگوید. سازندگان مدارهای مجتمع با کاربرد ویژه (ASIC) تمام خطوط محصولی را حول SHA-256d ساختهاند و نرخ هش شبکه اکنون در محدوده اگزاهش اجرا میشود. ساتوشی پیشبینی کرده بود که قانون مور بهتنهایی هرگز این تابع را تهدید نمیکند و تنظیمات سختی، با وجود رشد نمایی توان استخراج، زمان بلاکها را نزدیک به ده دقیقه نگه داشته است.
رایانش کوانتومی گفتوگو را تغییر میدهد
جستوجوی کورِ کلاسیک هرگز ساتوشی را نگران نکرد و هنوز هم بیتکوین را تهدید نمیکند. رایانش کوانتومی ریسک را به دو مسئله جداگانه تقسیم میکند.

الگوریتم گروور (Grover) جستوجوی brute-force را سریعتر میکند. اگر علیه SHA-256 اجرا شود، امنیت مؤثر را از ۲۵۶ بیت به حدود ۱۲۸ بیت کاهش میدهد؛ عددی که همچنان بسیار دور از دسترس است. پژوهشگران میگویند مهاجم به سختافزار کوانتومی در مقیاسی نیاز دارد که جهان هنوز نساخته است، پس فعلاً اوضاع امن میماند.
الگوریتم شور (Shor) مشکل بزرگتری ایجاد میکند و هدفش امضاهاست، نه هشها. یک کامپیوتر کوانتومی که آن را اجرا کند میتواند از روی یک کلید عمومیِ افشا شده، کلید خصوصی را روی منحنی بیضویای که بیتکوین استفاده میکند استخراج کند. برآورد میشود ۷ میلیون بیتکوین، نزدیک به ۳۵٪ از عرضه، در آدرسهایی قرار دارند که کلید عمومیشان افشا شده و اگر چنین سختافزاری وجود داشته باشد، در معرض ریسک خواهند بود.
Google Quantum AI در سال ۲۰۲۶ پژوهشی منتشر کرد که تعداد کیوبیت لازم برای شکستن منحنی بیتکوین را به حدود ۵۰۰٬۰۰۰ کیوبیت فیزیکی کاهش داد. ماشینهای کوانتومی فعلی در محدوده ۱٬۰۰۰ تا ۱٬۵۰۰ کیوبیت کار میکنند. پژوهشگران همچنان یک تهدید عملی را جایی بین ۲۰۲۹ تا ۲۰۳۵، بسته به پیشرفت در تصحیح خطا، محتمل میدانند.
توسعهدهندگان پس از شانزده سال دوباره به پرسش برمیگردند
ساتوشی در طول سال ۲۰۱۰ بیش از یک بار به نگرانیهای مرتبط با هش بازگشت، از جمله اینکه اگر SHA-256 دچار یک برخورد جزئی شود چه اتفاقی میافتد. پاسخ او ثابت ماند: پیش از آنکه مشکل گسترش یابد، زنجیره درستکار را تثبیت کنید، سپس به یک تابع جدید مهاجرت کنید.

ارتقاهای بعدی بیتکوین، هشکردن هسته را دستنخورده گذاشتند. سگویت (Segregated Witness) در ۲۰۱۷ فعال شد و تپروت (Taproot) در ۲۰۲۱؛ هر دو بیشتر برای کارایی و حریم خصوصی بودند تا هشکردن. «مقاومت در برابر کوانتوم» تا زمانی که آگاهی از الگوریتمهای گروور و شور در دهه ۲۰۲۰ در جامعه رمزنگاری گسترش یافت، به موضوع داغ و فوری برای توسعهدهندگان تبدیل نشد.
توسعهدهندگان رمپهای خروجی را که ساتوشی وعده داده بود پیشنهاد میکنند
توسعهدهندگان بیتکوین از پیش همان مسیر مهاجرتی را که ساتوشی در ۲۰۱۰ توصیف کرده بود پیشنهاد دادهاند، با این تفاوت که این بار بهجای هشها، روی امضاها متمرکز است. چندین ایده مطرح شدهاند.
BIP-360 یک قالب آدرس جدید معرفی میکند: آدرسهای pay-to-Merkle-root که با bc1z شروع میشوند و بر پایه طرحهای امضای مقاوم در برابر کوانتوم ساخته شدهاند. توسعهدهندگان این پیشنهاد را در سال ۲۰۲۶ ادغام کردند. یک پیشنهاد همراه، BIP-361، توضیح میدهد شبکه چگونه میتواند در نهایت انواع آدرسهای قدیمی و در معرض افشا را بازنشسته کند. البته روش دوم کمی بحثبرانگیزتر است.
اکنون ارائهدهندگان کیفپول تحت فشار هستند تا استفاده مجدد از آدرس را متوقف کنند و کاربران را پیش از رسیدن هر ضربالاجل کوانتومی، به سمت انواع خروجی جدیدتر هدایت کنند.
مهاجرت موانع خودش را هم دارد. توسعهدهندگان هنوز برای سکههایی که در آدرسهای قدیمی قفل شدهاند و مالکانشان غیرفعال یا غیرقابل دسترساند، به یک برنامه نیاز دارند؛ از جمله هر بیتکوینی که به کیفپولهای اولیه خود ساتوشی مربوط است. امضاهای پساکوانتومی همچنین فضای بلاک بیشتری نسبت به امضاهای امروزی بیتکوین اشغال میکنند و پژوهشگران در حال آزمایش طرحهای امضای مبتنی بر هش هستند تا این مهاجرت قابل مدیریت بماند.
این موضوع برای دارندگان بیتکوین چه معنایی دارد
هیچ چیز درباره SHA-256 امروز نیازمند اقدام نیست. تابع هشی که استخراج و تاریخچه تراکنشها را امن میکند، در برابر هر حمله شناختهشده—کلاسیک یا کوانتومی—دستنخورده باقی مانده است.
افشای امضا موردی است که ارزش زیر نظر داشتن دارد. دارندگانی که سکههایشان در آدرسهای سبک قدیمی است، یا هر کسی که یک آدرس بیتکوین را دوباره استفاده کرده، نسبت به کسی که از انواع خروجی مدرن استفاده میکند (که در آنها کلیدهای عمومی تا زمان خرجکردن پنهان میمانند) در معرض ریسک بیشتری قرار دارد.
ساتوشی رشته بحث ۲۰۱۰ را با هشداری بست که هنوز هم مانند سیاست جاری به نظر میرسد. هر حملهای که آنقدر قوی باشد که SHA-256 را بشکند، احتمالاً به خویشاوندان قویترش مثل SHA-512 هم آسیب میزند؛ پس یک شکست کامل بهتنهایی بعید به نظر میرسد. دفاع بیتکوین هرگز «ماندگاری همیشگی» نبود؛ توانایی حرکت کردن پیش از آنکه تهدید واقعی شود بود.
این مقاله با استفاده از هوش مصنوعی از انگلیسی ترجمه شده است. نسخه اصلی انگلیسی منبع معتبر است؛ ترجمههای خودکار ممکن است حاوی نادرستیهایی باشند، بهویژه در اصطلاحات حقوقی و قانونی.















