אין צורך בשינויים בהסכמה: מנהל המוצר הראשי של Starkware בונה עסקאות ביטקוין עמידות-קוונטית מתוך הכללים הקיימים

עיקרי הדברים:

• אביהו לוי, מנהל המוצר הראשי (CPO) של Starkware, פרסם את QSB ב-9 באפריל 2026, ומאפשר עסקאות ביטקוין בטוחות מפני קוונטים ללא שינויי פרוטוקול כלל.
• המתווה של לוי עולה 75 עד 150 דולר בחישוב GPU לכל עסקה ומשיג בערך 118 ביט של עמידות לפרה-אימג’ (pre-image) מול מתקפה קוונטית.
• QSB היא התוכנית הראשונה הידועה שמאבטחת עסקאות ביטקוין חיות מול אלגוריתם שור (Shor) תוך שימוש אך ורק בכללי ה-Script הוותיקים הקיימים של ביטקוין.

איך מנהל בכיר ב-Starkware בנה עמידות קוונטית לתוך ביטקוין בלי לגעת בפרוטוקול

אביהו לוי, מנהל המוצר הראשי ב-Starkware ומחבר-שותף של BIP-360, פרסם מאמר מחקר מלא ומימוש קוד פתוח ב-9 באפריל 2026. התוכנית נקראת Quantum Safe Bitcoin, או QSB. היא אינה דורשת softfork, אין צורך בתיאום קהילתי, ואין צורך ב-opcodes חדשים. היא פועלת לחלוטין במסגרת מגבלות ה-Script הוותיק הקיימות של ביטקוין: 201 opcodes ו-10,000 בתים.

האיום ש-QSB מתמודדת איתו הוא ספציפי. סכמת החתימה המרכזית של ביטקוין, ECDSA על עקומת האליפטית secp256k1, ניתנת לשבירה מלאה באמצעות אלגוריתם שור על מחשב קוונטי חזק מספיק. תוקף בעל יכולת כזו יכול לשחזר מפתחות פרטיים מכל מפתח ציבורי שנחשף, לזייף חתימות ולהסיט כספים. פלטי P2PK, כתובות Legacy, ונתיבי keyspend של Taproot—כולם בסיכון ברגע שמפתח ציבורי מופיע על השרשרת (onchain).

התוכנית של לוי מנתקת את התלות הזו ברמת העסקה. במקום להסתמך על קשיחות של עקומות אליפטיות, QSB מבססת את האבטחה על עמידות פרה-אימג’ של RIPEMD-160, פונקציית גיבוב שמחשבים קוונטיים יכולים לתקוף רק באמצעות אלגוריתם גרובר (Grover), שמעניק האצה ריבועית ולא שבירה מוחלטת. גיבוב של 160 ביט שומר על בערך 80 ביט של עמידות פרה-אימג’ מול יריב קוונטי, ומשאיר מרווח נוח.

הבנייה משנה תוכנית מוקדמת יותר בשם Binohash, שפותחה על ידי Robin Linus, ומתקנת שתי בעיות שהפכו את Binohash ללא בטוחה מול מתקפה קוונטית. הראשונה הייתה חידת הוכחת עבודה (PoW) בגודל חתימה שהתבססה על מציאת ערכי r קטנים בעקומה אליפטית—משהו שאלגוריתם שור שובר בקלות. השנייה הייתה חולשת דגל sighash שלא נפתרה, שיכולה לאפשר לתוקף לעשות שימוש חוזר בחתימת חידה תקפה על פני עסקאות שונות.

החלפת חידת גודל-החתימה

QSB מחליפה את חידת גודל-החתימה במה שלוי מכנה חידת hash-to-sig. המוציא (spender) מבצע איטרציה על פרמטרים של העסקה עד שגיבוב RIPEMD-160 של מפתח ציבורי שנגזר מהעסקה מפיק חתימת ECDSA תקפה בקידוד DER. האירוע הזה מתרחש בהסתברות של בערך 1 ל-70 טריליון. מאחר שהחידה משתמשת בדגל SIGHASH_ALL מקובע (hardcoded), חולשת ה-sighash נעלמת כתוצאת לוואי.

לאחר מכן המוציא מבצע שני סבבי digest באמצעות מבנה חתימה בסגנון HORS Lamport, ובוחר תתי-קבוצות של חתימות דמה שמשנות את ה-sighash של העסקה דרך מנגנון Script ותיק בשם FindAndDelete. כל תת-קבוצה מפיקה פלט גיבוב שונה. תת-הקבוצה שמניבה חתימה תקפה בקידוד DER הופכת ל-digest עבור אותו סבב. חשיפת הפרה-אימג’ים המתאימים ב-witness משלימה את ההוצאה הבטוחה מפני קוונטים.

התצורה המומלצת, שלוי מכנה Config A, נכנסת בתוך מגבלת 201 ה-opcodes ומשיגה בערך 118 ביט של עמידות פרה-אימג’ ו-78 ביט של עמידות להתנגשות (collision). תוקף קוונטי שמריץ את אלגוריתם גרובר נגד תצורה זו ניצב מול בערך 2 בחזקת 69 עבודה עבור מתקפת second pre-image. אלגוריתם שור אינו מעניק יתרון כלל, שכן אין עוד הנחות של עקומות אליפטיות שניתן לשבור.

עלות החישוב מחוץ לשרשרת נעה בין 75 ל-150 דולר בזמן GPU בענן לכל עסקה במחירי spot הנוכחיים. העבודה מקבילית באופן מביך (embarrassingly parallel) ומושלמת בתוך שעות על פני כמה GPUs בבדיקות הראשוניות. חוות ה-GPU מטפלת רק בחישובים ציבוריים, כולל שחזור מפתחות וגיבוב. פרה-אימג’ים פרטיים של HORS לעולם אינם עוזבים את המכשיר המאובטח של המוציא.

יש מגבלות אמיתיות. עסקאות QSB תקפות בקונצנזוס אך אינן סטנדרטיות, וחורגות ממדיניות ההפצה (relay) ברירת המחדל. הן דורשות שליחה ישירה לבריכת כרייה שמקבלת עסקאות לא-סטנדרטיות, למשל דרך שירות Slipstream של Marathon. התוכנית עדיין לא מכסה ערוצי Lightning Network. הרכבה ושידור מלאים על השרשרת עדיין בהמתנה במימוש הקוד הפתוח. לוי מתאר את התוכנית כאמצעי מוצא אחרון, ולא כהחלפה כללית לשימוש סטנדרטי בביטקוין.

מייסד-שותף של Starkware, אלי בן-ששון, אישר פומבית את העבודה, באומרו שביטקוין יכול להיות בטוח מפני קוונטים מיד. הוא אמר:

“THIS IS HUGE. Bitcoin is Quantum-Safe TODAY. Even if a quantum computer appeared, one that breaks the conventional Bitcion signatures, it shows a practical way to create safe Bitcoin transactions. WITH NO CHANGE TO BITCOIN PROTOCOL!”

לוי שיתף את המאמר ואת המאגר ב-X ונתן קרדיט ל-Robin Linus על עבודה יסודית על Binohash ועל תיקון מרכזי שעיצב את הטרייד-אוף הסופי בין עלות לאבטחה. הקהילה הייתה מרוצה מאוד מהמסמך הלבן והוא שותף בהרחבה ברשתות החברתיות. Taproot Wizard אריק וול כתב ב-X:

“ל-Starkware יש כמה מההאקרים הטובים ביותר על פני כדור הארץ. יפה לראות כשאקרים משתמשים בכוחות שלהם לטובה.”

המאמר המלא, קוד CUDA מואץ-ב-GPU, צנרת Python, ותסריטי ביטקוין מלאים זמינים במאגר ה-GitHub של לוי. הידיעה מגיעה בעקבות אב-טיפוס אחרון שנועד לאבטח ארנקי ביטקוין מפני סיכון קוונטי. אותו אב-טיפוס ספציפי נוצר על ידי CTO של Lightning Labs, Olaoluwa Osuntokun.

מה זה אומר עבור מחזיקי ביטקוין יומיומיים

עבור מחזיקי ביטקוין (BTC) יומיומיים, המסקנה המעשית היא פשוטה. כיום לא קיים מחשב קוונטי שמסוגל לשבור את הקריפטוגרפיה של ביטקוין, ורוב החוקרים מציבים את האיום הזה לפחות בטווח של שלוש שנים ועד עשור. אבל השעון מתחיל ברגע שמפתח ציבורי מופיע על השרשרת, וזה קורה בכל פעם שמשתמש מוציא מ-כתובת.

ביטקוין שיושב בארנק שמעולם לא ביצע עסקת יציאה נחשף פחות. ביטקוין שחונה בכתובת שנעשה בה שימוש חוזר או שכבר הוצאה ממנה הוא סיפור אחר. כשמחשוב קוונטי יגיע לסף, אותם מפתחות ציבוריים חשופים יהפכו למטרות. העברת כספים לפני שהחלון הזה נסגר חשובה יותר מהעברתן לאחר מכן.

QSB עדיין לא מגיע משולב באף ארנק צרכני. משתמשים לא יכולים לפתוח היום ארנק סטנדרטי ולהדליק מצב בטוח-לקוונטים. מה שלוי סיפק הוא הוכחה קריפטוגרפית לכך שהמסלול קיים, בנויה מכללים שכבר נמצאים בתוך ביטקוין, בעלות שמוערכת בערך במחיר של כרטיס טיסה בחישוב GPU.

העבודה שנותרה היא הנדסה, אימוץ וזמן. עבור אדם שמחזיק BTC, משימת הפעולה פשוטה: עקבו אחר תמיכה פוסט-קוונטית מספק הארנק שלכם, הימנעו משימוש חוזר בכתובות, והעבירו כספים לכתובת בטוחה מפני קוונטים כאשר אפשרות זו תהיה זמינה בתוכנה נפוצה. הכלים להגן על אותו ביטקוין נבנים ממש עכשיו.