חומרת הקוונטים של IBM מפענחת מפתח ECC בן 15 ביטים, אך מפתחי ביטקוין אומרים שביטים אקראיים תואמים את התוצאה

עיקרי הדברים:

• Project Eleven העניק לחוקר ג’אנקרלו ללי 1 BTC (78,000 דולר) על פיצוח מפתח ECC בגודל 15 ביט על חומרת קוונטים של IBM ב-24 באפריל.
• מפתחי ביטקוין הראו שתוצאתו של ללי ניתנת לשחזור באמצעות רעש אקראי, מה שמאותת שאין יתרון קוונטי על פני שיטות קלאסיות.
• הפער מ-15 ביט ל-secp256k1 של ביטקוין בגודל 256 ביט נותר תהום הנדסית של 2^241, כך שאבטחת ה-BTC נשארת שלמה לעת עתה.

Project Eleven מעניקה לג’אנקרלו ללי 1 Btc על פריצה קוונטית של ECC בגודל 15 ביט, אבל מפתחי תוכנה קוראים לזה רעש

Project Eleven תיארה את ההישג כעלייה פי 512 במורכבות מרחב החיפוש לעומת פריצת ECC קודמת בגודל 6 ביט שביצע המהנדס סטיב טיפקוניק על חומרת IBM בספטמבר 2025. המנכ”ל אלכס פרודן מסגר את ההישג כראיה לכך שמתקפות קוונטיות על ECC כבר אינן דורשות מעבדות לאומיות או חומרה קניינית.

הפרס, שהוערך בכ-78,000 דולר בזמן ההענקה, נועד להציע מדידות ציבוריות ניתנות לשחזור של מתקפות קוונטיות על ECC עבור גדלי מפתח בין 1 ל-25 ביט. ההגשה של ללי, כולל כל הקוד ולוגי ההרצה, זמינה לציבור ב-Github.

ללי יישם וריאנט דו-אוגר של אלגוריתם שור על חומרת הענן של IBM Quantum, תוך מיקוד בעקומות אליפטיות מהסוג שמשמש בתקן secp256k1 של ביטקוין. המעגל רץ על פני מספר מעבדי IBM Heron r2, כולל ibm_torino ו-ibm_fez, והסתמך על טכניקות שנועדו למכשירים קוונטיים רועשים בקנה מידה ביניים.

מפתחי ביטקוין וקריפטוגרפים מיהרו לדחות את התוצאה, בטענה שחומרת הקוונטים לא הוסיפה שום ערך משמעותי לתוצאה. פוסט ה-X של Project Eleven שהכריז על אבן הדרך נושא כעת בדיקת עובדות של Community Notes fact check, הקובעת שהגישה ששימשה לשחזור מפתח ה-ECC בגודל 15 ביט תלויה באימות קלאסי של פלטים שאינם ניתנים להבחנה מרעש אקראי, ובפועל מסתכמת בניחוש קלאסי.

מתחזק Bitcoin Core לשעבר יונאס שנלי ניתח את ההגשה של ללי ומצא שמעגל ה-IBM, שרץ כ-98,000 שערים ברמת נאמנות של כ-99.5% לכל שער, הפיק פלטים שאינם ניתנים להבחנה סטטיסטית מהטלות מטבע אקראיות.

שנלי שחזר את שחזור המפתח המלא בכ-20 שורות פייתון באמצעות ביטים אקראיים בלבד, ללא מעורבות של חומרה קוונטית. מסקנתו הייתה ישירה: המחשב הקוונטי לא הוסיף שום אות שניתן לזהות מעל אקראיות קלאסית.

מייסד Coinkite, רודולפו נובאק, התעקש ש-Project Eleven מטעה את הציבור, וכינה את הטענות הקוונטיות שלה “תיאטרון”. ב-X הוא טען ש“המפתח הפרטי נפתר קלאסית עוד לפני שהמעגל הקוונטי בכלל רץ” וש“המערכת לא מוצאת כלום — אומרים לה מה התשובה”, והוסיף שהתוצאות נשענות על “מסנן אימות קלאסי”. נובאק סיכם כי אף ש“האיום הקוונטי על ביטקוין אמיתי אך רחוק”, ההדגמות של היום הן “חישובים קלאסיים הלובשים תחפושות קוונטיות”.

החוקר יובל אדם אישר את הממצא באופן עצמאי באמצעות החלפת ה-backend הקוונטי של IBM של ללי ב-/dev/urandom, מחולל המספרים האקראיים הקלאסי של לינוקס, ושחזור המפתח היעד באופן זהה. העקומה בגודל 15 ביט כוללת מרחב חיפוש של 32,767 מפתחות פרטיים אפשריים בלבד, קטן מספיק כדי שמאמת קלאסי שבודק מועמדים מול המפתח הציבורי ימצא התאמה באמצעות דגימה כמעט אקראית בהסתברות גבוהה.

תומך הביטקוין ג’ימי סונג תיאר את המחשב הקוונטי ככזה שמבצע את אותה פונקציה כמו /dev/urandom. חשבון ה-X TFTC ציין בשרשור שנקרא רבות שכל הדגמה ציבורית של אלגוריתם שור על ECC עד היום נשענת על קדם-חישוב קלאסי שבפועל מקודד את התשובה לתוך המעגל עוד לפני שחומרת הקוונטים רצה.

מבקרים הצביעו גם על ניגוד עניינים במבנה הפרס. Project Eleven, הנתמכת על ידי Coinbase Ventures, Castle Island Ventures, Variant ובלאג’י סריניוואסן, יצרה את הפרס, שפטה את ההגשות באמצעות שלושה פיזיקאים עצמאיים, העניקה את הפרס, ולאחר מכן פרסמה הודעות לעיתונות שהזהירו שכ-6.9 מיליון BTC המוחזקים בארנקים עם מפתחות ציבוריים חשופים עומדים בפני סיכון פוטנציאלי לטווח ארוך. החברה מוכרת כלי קריפטוגרפיה פוסט-קוונטיים.

מייסד Project Eleven מתייחס לביקורת

פרודן הודה בשרשור המשך שהתוצאה אינה Q-Day ושניסויים בעידן NISQ נשענים באופן שגרתי על סיוע קלאסי. הוא טען שהדמו עדיין מייצג התקדמות הדרגתית, ניתנת לשחזור, על חומרה ציבורית נגישה, ושגם תכנון ההגירה לקריפטוגרפיה פוסט-קוונטית נותר עדיפות סבירה לטווח ארוך. מנהל ב-Project Eleven הוסיף:

“בשורה התחתונה: זו התקדמות הדרגתית בתחום רועש ומוקדם — לא Q-Day. זה מדגיש מדוע אנחנו עוקבים אחר הפחתות במשאבים ומדוע תכנון הגירה לפוסט-קוונטום חשוב לאבטחה לטווח ארוך. ספקנות היא בריאה; הזזת שערים אינה. אשמח לדון בפרטים הטכניים או לשתף את ה-repo/משוב השופטים.”

הפער בין תוצאתו של ללי לבין כל איום מעשי על ביטקוין משמעותי. עקומת secp256k1 של ביטקוין פועלת באבטחה של 256 ביט. המרחק מ-15 ביט ל-256 ביט מייצג גורם של 2 בחזקת 241 בקושי החישובי. אפילו מחקר אופטימי עדכני, כולל מאמר של Google שפורסם באפריל 2026, מעריך שפריצת ECC בגודל 256 ביט תדרוש פחות מ-500,000 קיוביטים פיזיים — סף שחומרת הקוונטים הנוכחית רחוקה ממנו מאוד.

הפרשה ממחישה מתח שנמשך לאורך סיקור המחשוב הקוונטי: אבני דרך הדרגתיות בחומרה מייצרות כותרות, אך המרחק בין הדגמות בקנה מידה של צעצוע לבין מערכות קריפטוגרפיות בייצור נותר פער הנדסי ללא פתרון בטווח הקרוב. מודל האבטחה של ביטקוין תלוי בפער הזה, ומפתחים אומרים שהוא נותר שלם.