Tiada Perubahan Konsensus Diperlukan: CPO Starkware Membina Transaksi Bitcoin Selamat-Kuantum Daripada Peraturan Sedia Ada

Intipati Utama:

• CPO Starkware Avihu Levy menerbitkan QSB pada 9 April 2026, membolehkan transaksi bitcoin selamat-kuantum tanpa sebarang perubahan protokol.
• Skim Levy menelan kos $75 hingga $150 bagi pengiraan GPU setiap transaksi dan mencapai kira-kira rintangan pra-imej 118-bit terhadap serangan kuantum.
• QSB ialah skim pertama yang diketahui untuk melindungi transaksi bitcoin langsung daripada algoritma Shor hanya menggunakan peraturan Script legasi sedia ada Bitcoin.

Bagaimana Seorang Eksekutif Starkware Membina Rintangan Kuantum ke Dalam Bitcoin Tanpa Menyentuh Protokol

Avihu Levy, ketua pegawai produk di Starkware dan pengarang bersama BIP-360, mengeluarkan kertas penyelidikan penuh serta pelaksanaan sumber terbuka pada 9 April 2026. Skim itu dipanggil Quantum Safe Bitcoin, atau QSB. Ia tidak memerlukan softfork, tiada penyelarasan komuniti, dan tiada opcode baharu. Ia berjalan sepenuhnya dalam kekangan Script legasi sedia ada Bitcoin iaitu 201 opcode dan 10,000 bait.

Ancaman yang ditangani QSB adalah khusus. Skim tandatangan utama Bitcoin, ECDSA pada lengkung eliptik secp256k1, boleh dipecahkan sepenuhnya oleh algoritma Shor pada komputer kuantum yang cukup berkuasa. Penyerang dengan keupayaan itu boleh mendapatkan semula kunci peribadi daripada mana-mana kunci awam yang terdedah, memalsukan tandatangan, dan mengalihkan dana. Output P2PK, alamat legasi, dan laluan keyspend Taproot semuanya berisiko sebaik sahaja kunci awam muncul di rantaian (onchain).

Skim Levy memutuskan kebergantungan itu pada peringkat transaksi. Daripada bergantung pada kekerasan lengkung eliptik, QSB membina keselamatan berasaskan rintangan pra-imej RIPEMD-160, satu fungsi hash yang komputer kuantum hanya boleh serang dengan algoritma Grover, yang memberikan pecutan kuadratik dan bukannya pemecahan menyeluruh. Hash 160-bit mengekalkan kira-kira 80 bit rintangan pra-imej terhadap musuh kuantum, memberikan margin yang selesa.

Binaannya mengubah suai skim terdahulu yang dipanggil Binohash, dibangunkan oleh Robin Linus, dan membetulkan dua masalah yang menjadikan Binohash tidak selamat terhadap serangan kuantum. Yang pertama ialah teka-teki bukti kerja (PoW) bersaiz tandatangan yang bergantung pada mencari nilai r lengkung eliptik yang kecil, sesuatu yang algoritma Shor pecahkan dengan mudah. Yang kedua ialah kelemahan bendera sighash yang belum diselesaikan yang boleh membolehkan penyerang menggunakan semula tandatangan teka-teki yang sah merentas transaksi berbeza.

Menggantikan Teka-teki Berskala Saiz Tandatangan

QSB menggantikan teka-teki berskala saiz tandatangan dengan apa yang Levy panggil teka-teki hash-to-sig. Pembelanja mengulangi parameter transaksi sehingga hash RIPEMD-160 bagi kunci awam terbitan transaksi menghasilkan tandatangan ECDSA berkod DER yang sah. Peristiwa itu berlaku dengan kebarangkalian kira-kira 1 dalam 70 trilion. Oleh sebab teka-teki menggunakan bendera SIGHASH_ALL yang dikodkan keras, kelemahan sighash dihapuskan sebagai kesan sampingan.

Pembelanja kemudian menjalankan dua pusingan ringkasan menggunakan struktur tandatangan Lamport gaya HORS, memilih subset tandatangan palsu yang mengubah sighash transaksi melalui mekanisme Script legasi yang dipanggil FindAndDelete. Setiap subset menghasilkan output hash yang berbeza. Subset yang menghasilkan tandatangan berkod DER yang sah menjadi ringkasan untuk pusingan tersebut. Pendedahan pra-imej yang sepadan dalam witness melengkapkan perbelanjaan yang selamat-kuantum.

Konfigurasi yang disyorkan, yang Levy panggil Config A, muat dalam had 201-opcode dan mencapai kira-kira rintangan pra-imej 118-bit serta rintangan perlanggaran 78-bit. Penyerang kuantum yang menjalankan algoritma Grover terhadap konfigurasi ini menghadapi kerja kira-kira 2 kuasa ke-69 untuk serangan pra-imej kedua. Algoritma Shor tidak memberikan sebarang kelebihan langsung, kerana tiada lagi andaian lengkung eliptik untuk dipecahkan.

Kos pengiraan luar rantaian berada antara $75 dan $150 dalam masa GPU awan bagi setiap transaksi pada harga spot semasa. Kerja itu sangat mudah diparalelkan dan diselesaikan dalam beberapa jam merentas berbilang GPU dalam ujian awal. Ladang GPU hanya mengendalikan pengiraan awam, termasuk pemulihan kunci dan penghashan. Pra-imej HORS peribadi tidak pernah meninggalkan peranti selamat pembelanja.

Terdapat batasan nyata. Transaksi QSB adalah sah dari segi konsensus tetapi tidak standard, melebihi dasar relay lalai. Ia memerlukan penyerahan terus kepada kolam perlombongan yang menerima transaksi tidak standard, seperti melalui perkhidmatan Slipstream Marathon. Skim ini belum meliputi saluran Lightning Network. Penyusunan penuh di rantaian dan siaran (broadcast) masih belum tersedia dalam pelaksanaan sumber terbuka. Levy menyifatkan skim ini sebagai langkah pilihan terakhir, bukan pengganti umum untuk penggunaan Bitcoin standard.

Pengasas bersama Starkware Eli Ben-Sasson secara terbuka menyokong kerja tersebut, menyatakan Bitcoin boleh menjadi selamat-kuantum serta-merta. Beliau berkata:

“INI BESAR. Bitcoin adalah Selamat-Kuantum HARI INI. Walaupun sebuah komputer kuantum muncul, yang memecahkan tandatangan Bitcion konvensional, ia menunjukkan cara praktikal untuk mencipta transaksi Bitcoin yang selamat. TANPA SEBARANG PERUBAHAN PADA PROTOKOL BITCOIN!”

Levy berkongsi kertas dan repositori di X dan memberi kredit kepada Robin Linus atas kerja asas pada Binohash serta atas satu pembetulan penting yang membentuk pertukaran kos-keselamatan akhir. Komuniti agak berpuas hati dengan kertas putih itu kerana ia dikongsi secara meluas di media sosial. Taproot Wizard Eric Wall menulis di X:

“Starkware mempunyai antara penggodam terbaik di planet ini. Indah untuk dilihat apabila penggodam menggunakan kuasa mereka untuk kebaikan.”

Kertas penuh, kod CUDA dipercepat GPU, saluran paip Python, dan Script Bitcoin lengkap tersedia di repositori GitHub Levy. Berita ini menyusul prototaip terkini yang bertujuan melindungi dompet bitcoin daripada risiko kuantum. Prototaip khusus itu dicipta oleh CTO Lightning Labs Olaoluwa Osuntokun.

Apa Maknanya untuk Pemegang Bitcoin Harian

Bagi pemegang bitcoin (BTC) harian, rumusan praktikalnya adalah mudah. Tiada komputer kuantum yang mampu memecahkan kriptografi Bitcoin wujud hari ini, dan kebanyakan penyelidik meletakkan ancaman itu sekurang-kurangnya antara tiga tahun hingga sedekad lagi. Namun, jam bermula sebaik sahaja kunci awam muncul di rantaian, yang berlaku setiap kali pengguna membelanjakan daripada sesuatu alamat.

Bitcoin yang tersimpan dalam dompet yang belum pernah membuat transaksi keluar mempunyai pendedahan yang lebih rendah. Bitcoin yang diletakkan pada alamat yang digunakan semula atau sudah pernah dibelanjakan adalah cerita yang berbeza. Apabila pengkomputeran kuantum mencapai ambang tersebut, kunci awam yang terdedah itu menjadi sasaran. Memindahkan dana sebelum tetingkap itu tertutup lebih penting daripada memindahkannya selepasnya.

QSB masih belum tersedia dalam mana-mana dompet pengguna. Pengguna tidak boleh membuka dompet standard hari ini dan menukar tetapan selamat-kuantum. Apa yang Levy hasilkan ialah bukti kriptografi bahawa laluan itu wujud, dibina daripada peraturan yang sudah ada dalam Bitcoin, dengan kos kira-kira harga tiket kapal terbang dalam pengiraan GPU.

Kerja yang tinggal ialah kejuruteraan, penerimaan, dan masa. Bagi seseorang yang memegang BTC, tindakan yang perlu dibuat adalah mudah: perhatikan sokongan pasca-kuantum daripada penyedia dompet anda, elakkan menggunakan semula alamat, dan pindahkan dana ke alamat selamat-kuantum apabila pilihan itu tersedia dalam perisian arus perdana. Alat untuk melindungi bitcoin itu sedang dibangunkan sekarang.