Geen aanpassingen aan de consensus nodig: CPO van Starkware bouwt kwantumveilige Bitcoin-transacties op basis van bestaande regels

Belangrijkste punten:

• Avihu Levy, CPO bij Starkware, publiceerde op 9 april 2026 QSB, waarmee kwantumveilige bitcoin-transacties mogelijk worden zonder enige wijziging in het protocol.
• Het plan van Levy kost $ 75 tot $ 150 aan GPU-rekenkracht per transactie en biedt een pre-image-weerstand van ongeveer 118 bit tegen kwantumaanvallen.
• QSB is het eerste bekende plan om live bitcoin-transacties te beveiligen tegen het algoritme van Shor, waarbij alleen gebruik wordt gemaakt van de bestaande, traditionele Script-regels van Bitcoin.

Hoe een Starkware-directeur kwantumweerstand in Bitcoin inbouwde zonder het protocol aan te raken

Avihu Levy, chief product officer bij Starkware en co-auteur van BIP-360, publiceerde op 9 april 2026 een volledig onderzoeksrapport en een open-source-implementatie. Het schema heet Quantum Safe Bitcoin, of QSB. Het vereist geen softfork, geen coördinatie van de gemeenschap en geen nieuwe opcodes. Het draait volledig binnen de bestaande legacy Script-beperkingen van Bitcoin van 201 opcodes en 10.000 bytes.

De dreiging die QSB aanpakt, is specifiek. Het primaire handtekeningschema van Bitcoin, ECDSA over de secp256k1 elliptische curve, is volledig te kraken met het algoritme van Shor op een voldoende krachtige kwantumcomputer. Een aanvaller met die capaciteit zou privésleutels kunnen achterhalen uit elke blootgestelde openbare sleutel, handtekeningen kunnen vervalsen en geld kunnen omleiden. P2PK-outputs, legacy-adressen en Taproot-keyspend-paden lopen allemaal risico op het moment dat een openbare sleutel op de blockchain verschijnt.

Het schema van Levy verbreekt die afhankelijkheid op transactieniveau. In plaats van te vertrouwen op de hardheid van de elliptische curve, bouwt QSB de beveiliging op de pre-image-weerstand van RIPEMD-160, een hashfunctie die kwantumcomputers alleen kunnen aanvallen met het algoritme van Grover, dat een kwadratische versnelling biedt in plaats van een totale kraak. Een 160-bits hash behoudt ongeveer 80 bits aan pre-image-weerstand tegen een kwantumtegenstander, wat een ruime marge overlaat.

De constructie is een aanpassing van een eerder plan genaamd Binohash, ontwikkeld door Robin Linus, en lost twee problemen op die Binohash kwetsbaar maakten voor kwantumaanvallen. Het eerste was een proof-of-work (PoW)-puzzel van handtekeninggrootte die afhankelijk was van het vinden van kleine r-waarden van elliptische krommen, iets wat het algoritme van Shor eenvoudig kan kraken. Het tweede was een onopgeloste kwetsbaarheid in de sighash-vlag waardoor een aanvaller een geldige puzzelhandtekening bij verschillende transacties kon hergebruiken.

De puzzel met handtekeninggrootte vervangen

QSB vervangt de puzzel met handtekeninggrootte door wat Levy een hash-to-sig-puzzel noemt. De spender doorloopt de transactieparameters totdat de RIPEMD-160-hash van een uit de transactie afgeleide openbare sleutel een geldige, in DER gecodeerde ECDSA-handtekening oplevert. Die gebeurtenis vindt plaats met een kans van ongeveer 1 op 70 biljoen. Omdat de puzzel een hardgecodeerde SIGHASH_ALL-vlag gebruikt, wordt de sighash-kwetsbaarheid als neveneffect geëlimineerd.

De spender voert vervolgens twee digest-rondes uit met behulp van een HORS-achtige Lamport-handtekeningstructuur, waarbij subsets van dummy-handtekeningen worden geselecteerd die de sighash van de transactie wijzigen via een legacy Script-mechanisme genaamd FindAndDelete. Elke subset produceert een andere hash-output. De subset die een geldige DER-gecodeerde handtekening oplevert, wordt de digest voor die ronde. Het onthullen van de bijbehorende pre-images in de witness voltooit de kwantumveilige uitgave.

De aanbevolen configuratie, die Levy Config A noemt, past binnen de limiet van 201 opcodes en bereikt een pre-image-weerstand van ongeveer 118 bit en een botsingsweerstand van 78 bit. Een kwantumaanvaller die het algoritme van Grover tegen deze configuratie uitvoert, staat voor ongeveer 2 tot de 69e macht aan werk voor een tweede pre-image-aanval. Het algoritme van Shor biedt helemaal geen voordeel, aangezien er geen aannames over elliptische krommen meer zijn om te doorbreken.

Off-chain berekeningen kosten tussen de $75 en $150 aan cloud-GPU-tijd per transactie tegen de huidige spotprijzen. Het werk is uiterst parallel en werd in vroege tests binnen enkele uren voltooid op meerdere GPU's. De GPU-farm verwerkt alleen openbare berekeningen, waaronder sleutelherstel en hashing. Privé HORS-pre-images verlaten nooit het beveiligde apparaat van de spender.

Er zijn reële beperkingen. QSB-transacties zijn consensusgeldig maar niet-standaard, en overschrijden de standaard relay-beleidsregels. Ze vereisen directe indiening bij een miningpool die niet-standaard transacties accepteert, zoals via de Slipstream-service van Marathon. Het schema dekt nog geen Lightning Network-kanalen. Volledige on-chain assemblage en uitzending staan nog in de wacht in de open-source-implementatie. Levy beschrijft het schema als een laatste redmiddel, niet als een algemene vervanging voor standaard Bitcoin-gebruik.
Starkware-medeoprichter Eli Ben-Sasson sprak publiekelijk zijn steun uit voor het werk en verklaarde dat Bitcoin onmiddellijk kwantumveilig kan zijn. Hij zei:

"DIT IS ENORM. Bitcoin is VANDAAG al kwantumveilig. Zelfs als er een kwantumcomputer zou verschijnen die de conventionele Bitcoin-handtekeningen kan kraken, toont dit een praktische manier om veilige Bitcoin-transacties te creëren. ZONDER AANPASSINGEN AAN HET BITCOIN-PROTOCOL!"

Levy deelde het document en de repository op X en bedankte Robin Linus voor zijn fundamentele werk aan Binohash en voor een belangrijke correctie die de uiteindelijke afweging tussen kosten en veiligheid heeft bepaald. De gemeenschap was erg tevreden met het whitepaper, dat op grote schaal werd gedeeld op sociale media. Taproot Wizard Eric Wall schreef op X:

"Starkware heeft enkele van de beste hackers ter wereld in dienst. Het is prachtig om te zien wanneer hackers hun krachten voor het goede gebruiken."

Het volledige document, de GPU-versnelde CUDA-code, de Python-pijplijn en de complete Bitcoin-scripts zijn beschikbaar in de GitHub-repository van Levy. Dit nieuws volgt op het recente prototype dat bedoeld is om bitcoin-wallets te beveiligen tegen kwantumrisico's. Dat specifieke prototype is gemaakt door Olaoluwa Osuntokun, CTO van Lightning Labs.

Wat dit betekent voor gewone Bitcoin-houders

Voor gewone bitcoin (BTC)-houders is de praktische conclusie duidelijk. Er bestaat vandaag de dag geen kwantumcomputer die de cryptografie van Bitcoin kan kraken, en de meeste onderzoekers schatten dat die dreiging pas over minstens drie jaar tot een decennium zal plaatsvinden. Maar de klok begint te tikken op het moment dat een publieke sleutel op de blockchain verschijnt, wat gebeurt telkens wanneer een gebruiker geld uitgeeft vanaf een adres.

Bitcoin die in een portemonnee zit die nog nooit een uitgaande transactie heeft gedaan, loopt minder risico. Bitcoin die op een hergebruikt of reeds gebruikt adres staat, is een ander verhaal. Wanneer quantumcomputing de drempel bereikt, worden die blootgestelde openbare sleutels het doelwit. Het verplaatsen van geld voordat dat venster sluit, is belangrijker dan het verplaatsen ervan daarna.

QSB wordt nog niet in consumentenwallets geleverd. Gebruikers kunnen vandaag de dag geen standaard wallet openen en een kwantumveilige instelling inschakelen. Wat Levy heeft geleverd, is het cryptografische bewijs dat de weg bestaat, opgebouwd uit regels die al in Bitcoin aanwezig zijn, en dat kost ongeveer evenveel als een vliegticket aan GPU-rekenkracht.

Het resterende werk betreft engineering, acceptatie en tijd. Voor iemand die BTC bezit, is de te ondernemen actie eenvoudig: let op post-kwantumondersteuning van uw portemonnee-aanbieder, vermijd het hergebruiken van adressen en verplaats fondsen naar een kwantumveilig adres wanneer die optie beschikbaar komt in gangbare software. De tools om die bitcoin te beschermen worden op dit moment ontwikkeld.