No Consensus Changes Needed: Starkware CPO Builds Quantum-Safe Bitcoin Transactions From Existing Rules

• Il 9 aprile 2026, Avihu Levy, CPO di Starkware, ha pubblicato QSB, consentendo transazioni Bitcoin sicure dal punto di vista quantistico senza alcuna modifica al protocollo.
• Lo schema di Levy costa da 75 a 150 dollari in termini di potenza di calcolo della GPU per transazione e raggiunge una resistenza alla pre-immagine di circa 118 bit contro gli attacchi quantistici.
• QSB è lo schema noto per primo a proteggere le transazioni Bitcoin in tempo reale dall'algoritmo di Shor utilizzando soltanto le regole Script legacy esistenti di Bitcoin.

Come un dirigente di Starkware ha integrato la resistenza quantistica in Bitcoin senza modificare il protocollo

Avihu Levy, chief product officer di Starkware e coautore del BIP-360, ha pubblicato un documento di ricerca completo e un'implementazione open-source il 9 aprile 2026. Lo schema si chiama Quantum Safe Bitcoin, o QSB. Non richiede soft fork, coordinamento della comunità né nuovi codici operativi. Funziona interamente entro i limiti dello Script legacy esistente di Bitcoin di 201 codici operativi e 10.000 byte.

La minaccia a cui si rivolge QSB è specifica. Lo schema di firma principale di Bitcoin, ECDSA sulla curva ellittica secp256k1, è completamente violabile dall'algoritmo di Shor su un computer quantistico sufficientemente potente. Un aggressore con tale capacità potrebbe recuperare le chiavi private da qualsiasi chiave pubblica esposta, falsificare le firme e reindirizzare i fondi. Gli output P2PK, gli indirizzi legacy e i percorsi di spesa delle chiavi Taproot sono tutti a rischio nel momento in cui una chiave pubblica appare sulla blockchain.

Lo schema di Levy elimina tale dipendenza a livello di transazione. Invece di fare affidamento sulla difficoltà della curva ellittica, QSB basa la sicurezza sulla resistenza alla preimmagine di RIPEMD-160, una funzione hash che i computer quantistici possono attaccare solo con l'algoritmo di Grover, il quale fornisce un'accelerazione quadratica piuttosto che una violazione totale. Un hash a 160 bit mantiene circa 80 bit di resistenza alla pre-immagine contro un avversario quantistico, lasciando un margine di sicurezza considerevole. La struttura modifica uno schema precedente chiamato Binohash, sviluppato da Robin Linus, e risolve due problemi che rendevano Binohash vulnerabile agli attacchi quantistici. Il primo era un puzzle proof-of-work (PoW) della dimensione della firma che dipendeva dalla ricerca di piccoli valori r della curva ellittica, qualcosa che l'algoritmo di Shor rompe banalmente. Il secondo era una vulnerabilità irrisolta del flag sighash che poteva consentire a un aggressore di riutilizzare una firma puzzle valida su transazioni diverse.

Sostituzione del puzzle relativo alla dimensione della firma

QSB sostituisce il puzzle della dimensione della firma con quello che Levy chiama un puzzle hash-to-sig. Il spenditore itera sui parametri della transazione fino a quando l'hash RIPEMD-160 di una chiave pubblica derivata dalla transazione produce una firma ECDSA valida codificata in DER. Tale evento si verifica con una probabilità di circa 1 su 70 trilioni. Poiché il puzzle utilizza un flag SIGHASH_ALL hardcoded, la vulnerabilità sighash viene eliminata come effetto collaterale.

Lo spenditore esegue quindi due round di digest utilizzando una struttura di firma Lamport in stile HORS, selezionando sottoinsiemi di firme fittizie che alterano il sighash della transazione tramite un meccanismo Script legacy chiamato FindAndDelete. Ogni sottoinsieme produce un output hash diverso. Il sottoinsieme che produce una firma valida codificata in DER diventa il digest per quel round. Rivelare le pre-immagini corrispondenti nel witness completa la spesa quantum-safe.

La configurazione raccomandata, che Levy chiama Config A, rientra nel limite di 201 opcode e raggiunge una resistenza alle pre-immagini di circa 118 bit e una resistenza alle collisioni di 78 bit. Un attaccante quantistico che esegue l'algoritmo di Grover contro questa configurazione deve affrontare un carico di lavoro di circa 2 alla potenza di 69 per un secondo attacco di pre-immagine. L'algoritmo di Shor non offre alcun vantaggio, poiché non ci sono più ipotesi sulle curve ellittiche da violare. Il calcolo off-chain costa tra i 75 e i 150 dollari in tempo GPU cloud per transazione ai prezzi spot attuali. Il lavoro è incredibilmente parallelo e nei primi test è stato completato in poche ore su più GPU. La farm di GPU gestisce solo calcoli pubblici, inclusi il recupero delle chiavi e l'hashing. Le pre-immagini HORS private non lasciano mai il dispositivo sicuro dello spenditore. Esistono limiti reali. Le transazioni QSB sono valide dal punto di vista del consenso ma non standard, superando le politiche di inoltro predefinite. Richiedono l'invio diretto a un mining pool che accetta transazioni non standard, come ad esempio tramite il servizio Slipstream di Marathon. Lo schema non copre ancora i canali della Lightning Network. L'assemblaggio e la trasmissione completi on-chain sono ancora in sospeso nell'implementazione open-source. Levy descrive lo schema come una misura di ultima istanza, non come un sostituto generale dell'uso standard di Bitcoin. Il co-fondatore di Starkware, Eli Ben-Sasson, ha pubblicamente appoggiato il lavoro, affermando che Bitcoin può essere immediatamente quantum-safe. Ha detto:

"QUESTO È ENORME. Bitcoin è quantum-safe OGGI. Anche se dovesse apparire un computer quantistico in grado di violare le firme Bitcoin convenzionali, questo dimostra un modo pratico per creare transazioni Bitcoin sicure. SENZA ALCUN CAMBIAMENTO AL PROTOCOLLO BITCOIN!"

Levy ha condiviso il documento e il repository su X e ha dato credito a Robin Linus per il lavoro fondamentale su Binohash e per una correzione chiave che ha determinato il compromesso finale tra costo e sicurezza. La comunità è rimasta piuttosto soddisfatta del white paper, che è stato ampiamente condiviso sui social media. Il Taproot Wizard Eric Wall ha scritto su X:

"Starkware ha alcuni dei migliori hacker del pianeta. È bellissimo vedere quando gli hacker usano i loro poteri per il bene."

Il documento completo, il codice CUDA accelerato da GPU, la pipeline Python e gli script Bitcoin completi sono disponibili nel repository GitHub di Levy. La notizia segue il recente prototipo destinato a proteggere i portafogli Bitcoin dal rischio quantistico. Quel prototipo specifico è stato creato dal CTO di Lightning Labs, Olaoluwa Osuntokun.

Cosa significa questo per i possessori di Bitcoin comuni

Per i possessori di Bitcoin (BTC) comuni, la conclusione pratica è semplice. Oggi non esiste alcun computer quantistico in grado di violare la crittografia di Bitcoin, e la maggior parte dei ricercatori ritiene che tale minaccia sia lontana almeno da tre anni a un decennio. Ma il conto alla rovescia inizia nel momento in cui una chiave pubblica appare sulla blockchain, cosa che accade ogni volta che un utente effettua una spesa da un indirizzo.

I Bitcoin conservati in un portafoglio che non ha mai effettuato una transazione in uscita sono meno esposti. I Bitcoin depositati in un indirizzo riutilizzato o già utilizzato sono un'altra storia. Quando l'informatica quantistica raggiungerà la soglia, quelle chiavi pubbliche esposte diventeranno bersagli. Spostare i fondi prima che quella finestra si chiuda è più importante che spostarli dopo.

QSB non è ancora integrato in nessun portafoglio consumer. Gli utenti non possono aprire un portafoglio standard oggi e attivare un'impostazione quantum-safe. Ciò che Levy ha fornito è la prova crittografica che il percorso esiste, costruita a partire da regole già presenti all'interno di Bitcoin, con un costo in termini di calcolo GPU pari all'incirca al prezzo di un biglietto aereo.

Il lavoro rimanente riguarda l'ingegneria, l'adozione e il tempo. Per chi detiene BTC, l'azione da intraprendere è semplice: attendere il supporto post-quantistico dal proprio fornitore di portafogli, evitare di riutilizzare gli indirizzi e trasferire i fondi a un indirizzo quantum-safe quando tale opzione sarà disponibile nel software mainstream. Gli strumenti per proteggere quei bitcoin sono in fase di sviluppo proprio in questo momento.