לפני שש עשרה שנה, סאטושי נקאמוטו ענה לספקן בפורום ב-2010, והתשובה עדיין מנחה כיצד הרשת מגנה על כספה כיום.
סאטושי נקאמוטו חזה את הגנת ההאש של ביטקוין 16 שנים לפני החששות מקוונטים

נקודות עיקריות
- סאטושי נקאמוטו הגן על SHA-256 בפוסט בפורום Bitcointalk מ-16 ביולי 2010.
- Google Quantum AI קיצצה את הערכתה לשנת 2026 לפריצת העקומה של ביטקוין ל-500,000 קיוביטים.
- מפתחים הציעו את BIP-360 ורעיונות נוספים ב-2026 כדי להיערך לכתובות עמידות לקוונטים.
פוסט בפורום שקבע את הכללים
ב-16 ביולי 2010, משתמש בשם bdonlan הטיל ספק בהאשינג הכפול SHA-256 של ביטקוין בפורום Bitcointalk. הוא שאל האם העיצוב מחליש את האבטחה.
סאטושי ענה באופן ישיר. ממציא הביטקוין השווה את SHA-256 לקפיצה ממחשוב 32-ביט ל-64-ביט — לא צעד קטן באורך הביטים. מחשבים אזלו את מרחב הכתובות של 32-ביט ב-4 ג׳יגה-בייט, אמר, אבל אף אחד לא מצפה להיתקל בקרוב במגבלה של מרחב 64-ביט. SHA-256 פועל באותו אופן, והמתמטיקה נותנת לביטקוין מרווח ביטחון גדול.
סאטושי גם נתן לרשת תוכנית יציאה. אם SHA-256 ייחלש אי פעם, מפתחים יוכלו לבצע soft fork לפונקציית האש חדשה בגובה בלוק מוגדר. ההאשים הישנים והחדשים ירוצו זה לצד זה עד שכל צומת ישדרג.
שווי השוק של ביטקוין צמח מאז מעבר לטריליון, והרשת מסלקת מדי יום מאות מיליארדי דולרים של ערך. כל דולר מהפעילות הזו עדיין תלוי בפונקציית ההאש שעליה סאטושי הגן בתשובת פורום אחת לפני שש עשרה שנה.
מדוע ביטקוין מריץ שני האשים במקום אחד
קוד הביטקוין מבצע האש לנתונים פעמיים: SHA256(SHA256(data)), שיטה שמפתחים מכנים SHA256d. הקריפטוגרפים נילס פרגוסון וברוס שנייר המליצו על הגישה כדי להתמודד עם מתקפות הארכת אורך בלוק (block length extension attacks), פגם במבנה Merkle-Damgard שבו משתמשת SHA-2.
כורים מבצעים האש פעמיים לכותרות בלוקים כדי לעמוד ביעד הקושי של הרשת, וצמתים מבצעים האש פעמיים לעסקאות כדי לבנות עצי מרקל. ארנקים מוסיפים שכבה שלישית, RIPEMD-160 מעל SHA-256, כדי לקצר מפתחות ציבוריים לכתובות.
סאטושי בחר ב-SHA-256 מסיבה. המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם את האלגוריתם ב-2001 כחלק ממשפחת SHA-2, והציע קפיצה גדולה בעוצמה לעומת SHA-1, שכבר הראה סדקים עד שביטקוין הושק בינואר 2009. SHA-256 דורש בערך 2^128 פעולות כדי לכפות התנגשות (collision) ובערך 2^256 כדי לכפות קדם-תמונה (preimage).
שש עשרה שנה אחר כך, ואף אחד לא פרץ את העיצוב הזה. אף חוקר לא מצא מתקפת התנגשות, קדם-תמונה או קדם-תמונה שנייה (second preimage) עובדת נגד SHA-256 המלא. גרסאות עם פחות סבבים נפלו לקריפטואנליזה, אך ההתקפות הללו מפסיקות להתרחב לפני שהן מגיעות לאלגוריתם האמיתי בן 64 הסבבים. NIST וקבוצות עצמאיות כגון ECRYPT-CSA ממשיכות לדרג את הפונקציה המלאה כבטוחה.
חומרת הכרייה מספרת את אותו הסיפור. יצרני מעגלים משולבים ייעודיים (ASIC) בנו קווי מוצרים שלמים סביב SHA-256d, וקצב ההאש של הרשת כבר פועל בטווח האקסה-האש. סאטושי חזה שחוק מור לבדו לעולם לא יאיים על הפונקציה, והתאמות הקושי שמרו על זמני בלוק סביב עשר דקות למרות עליות אקספוננציאליות בעוצמת הכרייה.
מחשוב קוונטי משנה את השיחה
כוח גס קלאסי מעולם לא הדאיג את סאטושי, והוא עדיין לא מאיים על ביטקוין. מחשוב קוונטי מפצל את הסיכון לשתי בעיות נפרדות.

אלגוריתם גרובר מאיץ חיפוש בכוח גס. כשהוא מופעל נגד SHA-256, הוא מוריד את האבטחה האפקטיבית מ-256 ביט לכ-128 ביט — מספר שעדיין רחוק מאוד מהישג יד. חוקרים אומרים שתוקף יזדקק לחומרה קוונטית בקנה מידה שהעולם עדיין לא בנה, כך שלעת עתה הכול נשאר בטוח.
אלגוריתם שור מציב בעיה גדולה יותר, והוא מכוון לחתימות, לא להאשים. מחשב קוונטי שמריץ אותו יוכל לחלץ מפתח פרטי ממפתח ציבורי חשוף על העקומה האליפטית שבה משתמש ביטקוין. לפי הערכות, 7 מיליון ביטקוין — קרוב ל-35% מההיצע — נמצאים בכתובות עם מפתחות ציבוריים חשופים ויישאו סיכון אם חומרה כזו תתקיים.
Google Quantum AI פרסמה מחקר ב-2026 שהפחית את מספר הקיוביטים הנדרש כדי לפרוץ את העקומה של ביטקוין לכ-500,000 קיוביטים פיזיים. מכונות קוונטיות נוכחיות פועלות בטווח של 1,000 עד 1,500 קיוביטים. החוקרים עדיין ממקמים איום מעשי אי שם בין 2029 ל-2035, בהתאם להתקדמות בתיקון שגיאות.
מפתחים חוזרים לשאלה לאורך שש עשרה שנה
סאטושי חזר לחששות הקשורים להאש יותר מפעם אחת במהלך 2010, כולל מה יקרה אם SHA-256 יסבול מהתנגשות חלקית. תשובתו נשארה עקבית: לנעול את השרשרת הכנה לפני שהבעיה מתפשטת, ואז להגר לפונקציה חדשה.

שדרוגי ביטקוין מאוחרים יותר השאירו את ההאשינג הליבתי ללא שינוי. Segregated Witness הופעל ב-2017, ו-Taproot הופעל ב-2021, ושניהם נועדו ליעילות ולפרטיות יותר מאשר להאשינג. עמידות לקוונטים לא הפכה לנושא מרכזי עבור מפתחים עד שהמודעות לאלגוריתמים של גרובר ושור התפשטה בקהילת הקריפטוגרפיה בשנות ה-2020.
מפתחים מציעים רמפות יציאה שסאטושי הבטיח
מפתחי ביטקוין כבר הציעו את נתיב ההגירה שסאטושי תיאר ב-2010, רק שמכוון לחתימות במקום להאשים. מספר רעיונות הועלו לשולחן.
BIP-360 מציג פורמט כתובות חדש, כתובות pay-to-Merkle-root שמתחילות ב-bc1z, הבנויות סביב סכמות חתימה עמידות לקוונטים. המפתחים מיזגו את ההצעה ב-2026. הצעה נלווית, BIP-361, מפרטת כיצד הרשת תוכל בסופו של דבר להוציא משימוש סוגי כתובות ישנים וחשופים. כאשר השיטה האחרונה מעט יותר שנויה במחלוקת.
ספקי ארנקים ניצבים כעת בפני לחץ להפסיק שימוש חוזר בכתובות ולהכווין משתמשים לסוגי הפלט החדשים יותר לפני שמגיע כל דדליין קוונטי.
להגירה יש גם מכשולים משלה. מפתחים עדיין צריכים תוכנית למטבעות הנעולים בכתובות ישנות שבעליהם אינם פעילים או אינם ניתנים להשגה, כולל כל ביטקוין המקושר לארנקים המוקדמים של סאטושי עצמו. חתימות פוסט-קוונטיות גם תופסות יותר מקום בבלוק מאשר החתימות שביטקוין משתמש בהן כיום, וחוקרים בוחנים סכמות חתימה מבוססות-האש כדי לשמור את ההגירה הזו ניתנת לניהול.
מה זה אומר עבור מחזיקי ביטקוין
שום דבר לגבי SHA-256 לא דורש פעולה היום. פונקציית ההאש שמאבטחת את הכרייה ואת היסטוריית העסקאות נותרת ללא פגע מול כל התקפה ידועה, קלאסית או קוונטית.
חשיפת חתימות היא הנושא שכדאי לעקוב אחריו. מחזיקים עם מטבעות בכתובות בסגנון ישן, או כל מי שהשתמש מחדש בכתובת ביטקוין, חשופים יותר ממי שמשתמש בסוגי פלט מודרניים שבהם המפתחות הציבוריים נשארים מוסתרים עד ההוצאה.
סאטושי סיים את השרשור מ-2010 באזהרה שעדיין נקראת כמו מדיניות עדכנית. כל התקפה חזקה מספיק כדי לשבור את SHA-256 תזיק כנראה גם ל״בני דודים״ חזקים יותר כמו SHA-512, כך שפריצה מלאה נראית בלתי סבירה כשלעצמה. ההגנה של ביטקוין מעולם לא הייתה קביעות. זו הייתה היכולת לזוז לפני שאיום הופך למציאותי.
מאמר זה תורגם מאנגלית באמצעות בינה מלאכותית. הגרסה המקורית באנגלית היא המקור הקובע; תרגומים אוטומטיים עשויים להכיל אי-דיוקים, במיוחד במונחים משפטיים ורגולטוריים.















