コンセンサスの変更は不要：StarkwareのCPOが既存のルールから量子耐性のあるビットコイン取引を構築しました

• StarkwareのCPOであるAvihu Levy氏は2026年4月9日、プロトコルを一切変更することなく量子耐性のあるビットコイン取引を可能にする「QSB」を公開しました。
• レヴィ氏のスキームは、1トランザクションあたり75～150ドルのGPU演算コストを要し、量子攻撃に対して約118ビットのプリイメージ耐性を実現します。
• QSBは、ビットコインの既存のレガシーScriptルールのみを用いて、稼働中のビットコイン取引をショアアルゴリズムから保護する、現在知られている最初のスキームです。

Starkware幹部がプロトコルに変更を加えることなくビットコインに量子耐性を組み込んだ方法

Starkwareの最高製品責任者でBIP-360の共著者であるAvihu Levy氏は、2026年4月9日に研究論文とオープンソースの実装を公開しました。 このスキームは「Quantum Safe Bitcoin（QSB）」と呼ばれる。ソフトフォークもコミュニティの調整も新しいオペコードも必要とせず、201個のオペコードと10,000バイトというビットコインの既存のレガシースクリプトの制約範囲内で完全に動作する。

QSBが対処する脅威は特定のものです。 ビットコインの主要な署名方式であるsecp256k1楕円曲線上のECDSAは、十分に強力な量子コンピュータを用いればショアのアルゴリズムによって完全に破られる可能性があります。そのような能力を持つ攻撃者は、公開された公開鍵から秘密鍵を復元し、署名を偽造して資金を横流しすることが可能です。P2PK出力、レガシーアドレス、Taprootのkeyspendパスはすべて、公開鍵がオンチェーンに現れた瞬間にリスクにさらされます。

Levyのスキームはトランザクションレベルでその依存関係を断ちます。楕円曲線の難解性に依存する代わりに、QSBはRIPEMD-160のプリイメージ耐性に基づいてセキュリティを構築します。RIPEMD-160は量子コンピュータがGroverのアルゴリズムでしか攻撃できないハッシュ関数であり、完全な破綻ではなく二次的な速度向上しか提供しません。 160ビットのハッシュは、量子攻撃者に対して約80ビットのプリイメージ耐性を維持し、十分な余裕を残します。この構成は、ロビン・ライナス氏が開発した「Binohash」と呼ばれる以前のスキームを改良したものであり、Binohashを量子攻撃に対して安全でないものにしてしまった二つの問題を修正しています。 1つ目は、小さな楕円曲線のr値を見つけることに依存する署名サイズのプルーフ・オブ・ワーク（PoW）パズルであり、これはショアのアルゴリズムによって容易に破られるものでした。2つ目は、未解決のsighashフラグの脆弱性であり、これにより攻撃者が異なるトランザクション間で有効なパズル署名を再利用できてしまう可能性がありました。

署名サイズパズルの置き換え

QSBは署名サイズパズルを、レヴィが「ハッシュ・トゥ・シグ（hash-to-sig）パズル」と呼ぶものに置き換えます。支出者はトランザクションから導出された公開鍵のRIPEMD-160ハッシュが有効なDERエンコードされたECDSA署名を生成するまで、トランザクションパラメータを反復処理します。この事象が発生する確率は約70兆分の1です。このパズルはハードコードされたSIGHASH_ALLフラグを使用するため、副次的な効果としてsighashの脆弱性が排除されます。

その後、支出者はHORSスタイルのラムポート署名構造を用いて2回のダイジェストラウンドを実行し、FindAndDeleteと呼ばれるレガシーなスクリプト機構を介してトランザクションのsighashを変更するダミー署名のサブセットを選択します。各サブセットは異なるハッシュ出力を生成します。有効なDERエンコードされた署名を生成するサブセットが、そのラウンドのダイジェストとなります。ウィットネス内に対応するプリイメージを公開することで、量子安全な支出が完了します。

Levyが「Config A」と呼ぶ推奨構成は201オペコードの制限内に収まり、約118ビットのプリイメージ耐性と78ビットの衝突耐性を実現します。この構成に対してGroverのアルゴリズムを実行する量子攻撃者は、2回目のプリイメージ攻撃を行うために約2の69乗の計算量に直面します。 ショアアルゴリズムは破るべき楕円曲線の仮定が残っていないため、全く有利ではありません。 現在のスポット価格では、オフチェーン計算のコストは1トランザクションあたりクラウドGPU時間として75ドルから150ドルです。この作業は並列処理に適しており、初期テストでは複数のGPUを使用して数時間で完了しました。 GPUファームが処理するのは、鍵の復元やハッシュ化を含む公開計算のみである。プライベートなHORSプリイメージは、決して支出者のセキュアデバイスから外部へ流出することはない。
実際の制限も存在する。QSBトランザクションはコンセンサス上有効ではあるが非標準であり、デフォルトのリレーポリシーを超えている。MarathonのSlipstreamサービスなどを通じて、非標準トランザクションを受け入れるマイニングプールへ直接送信する必要がある。このスキームは、現時点ではライトニングネットワークのチャネルをカバーしていない。 オープンソース実装では、完全なオンチェーンでのアセンブリとブロードキャストはまだ未実装です。Levy氏は、このスキームを標準的なビットコイン利用の一般的な代替手段ではなく、最後の手段と位置づけています。Starkwareの共同創業者であるEli Ben-Sasson氏は、この取り組みを公に支持し、ビットコインは即座に量子安全にできると述べました。彼は次のように語っています：

「これは画期的です。ビットコインは今日この瞬間から量子安全です。たとえ従来のビットコイン署名を破る量子コンピュータが現れたとしても、ビットコインプロトコルを一切変更することなく、安全なビットコイン取引を実現する実用的な方法が示されています！」

レヴィ氏はX上でこの論文とリポジトリを共有し、Binohashの基礎的研究と最終的なコスト・セキュリティトレードオフを決定づけた重要な修正を行ったロビン・ライナス氏に謝意を表しました。このホワイトペーパーはソーシャルメディア上で広く共有され、コミュニティから高い評価を得ました。Taproot Wizardことエリック・ウォール氏はXに次のように投稿しました：

「Starkwareには世界最高レベルのハッカーが集まっています。彼らがその力を善のために使う姿を見るのは素晴らしいことです」と述べています。

論文の全文、GPU加速CUDAコード、Pythonパイプライン、および完全なBitcoinスクリプトは、レヴィのGitHubリポジトリで公開されています。このニュースは、量子リスクからビットコインウォレットを保護することを目的とした最近のプロトタイプに続くものです。そのプロトタイプは、Lightning LabsのCTOであるオラオルワ・オスントクンによって作成されました。

一般ビットコイン保有者への影響

一般のビットコイン（BTC）保有者にとって、実用的な教訓は単純明快です。現在、ビットコインの暗号技術を破る能力を持つ量子コンピュータは存在せず、多くの研究者はその脅威が現実化するまで少なくとも3年から10年はかかると見ています。しかし、公開鍵がオンチェーンに現れた瞬間からカウントダウンは始まります。これはユーザーがアドレスから送金するたびに発生します。

一度も送金に使用したことがないウォレットに保管されているビットコインは、リスクへの曝露が少なくなります。しかし、再利用されたアドレスや既に送金済みのアドレスに保管されているビットコインは事情が異なります。量子コンピューティングが閾値に達した際、そうした公開鍵は標的となります。その「窓」が閉じる前に資金を移動させることは、閉じた後に移動させることよりも重要です。

QSBは現時点ではどの一般向けウォレットにも実装されていません。ユーザーは今日、標準的なウォレットを開いて量子耐性設定を切り替えることはできません。レヴィ氏が提示したのは、その道筋が存在するという暗号学的証明であり、これはビットコイン内部に既に存在するルールに基づいて構築され、GPU計算コストは航空券1枚分程度でした。

残されたのは、技術開発と普及、そして時間です。BTC保有者にとっての行動指針はシンプルです。ウォレットプロバイダーのポスト量子対応を注視し、アドレスの再利用を避け、主流のソフトウェアでそのオプションが利用可能になった時点で、資金を量子安全なアドレスに移すことです。そのビットコインを守るためのツールは、まさに今、構築されつつあります。