IBM Quantum-hardware kraakt 15-bits ECC-sleutel, maar Bitcoin-ontwikkelaars zeggen dat willekeurige bits overeenkomen met het resultaat

Belangrijkste punten:

• Project Eleven kende onderzoeker Giancarlo Lelli op 24 april 1 BTC ($78.000) toe voor het kraken van een 15-bits ECC-sleutel op IBM-kwantumhardware.
• Bitcoin-ontwikkelaars toonden aan dat het resultaat van Lelli kan worden gerepliceerd met willekeurige ruis, wat aangeeft dat er geen kwantumvoordeel is ten opzichte van klassieke methoden.
• De kloof tussen 15 bits en de 256-bits secp256k1 van Bitcoin blijft een technische kloof van 2^241, waardoor de veiligheid van BTC voorlopig intact blijft.

Project Eleven reikt Giancarlo Lelli 1 BTC uit voor 15-bits ECC-kwantumdoorbraak, maar softwareontwikkelaars noemen het ruis

Project Eleven beschreef de prestatie als een 512-voudige toename in de complexiteit van de zoekruimte ten opzichte van een eerdere 6-bits ECC-breuk die in september 2025 door ingenieur Steve Tippeconnic op IBM-hardware werd voltooid. CEO Alex Pruden beschreef de prestatie als bewijs dat kwantumaanvallen op ECC niet langer nationale laboratoria of eigen hardware vereisen.

De prijs, die op het moment van uitreiking ongeveer 78.000 dollar waard was, was bedoeld om reproduceerbare openbare metingen te bieden van kwantumaanvallen op ECC voor sleutelgroottes tussen 1 en 25 bits. Lelli's inzending, inclusief de volledige code en uitvoeringslogboeken, is openbaar beschikbaar op Github.

Lelli implementeerde een variant met twee registers van het algoritme van Shor op IBM Quantum-cloudhardware, gericht op elliptische krommen van het type dat wordt gebruikt in de secp256k1-standaard van Bitcoin. Het circuit draaide op meerdere IBM Heron r2-processors, waaronder ibm_torino en ibm_fez, en maakte gebruik van technieken die zijn ontworpen voor ruisgevoelige kwantumapparaten op middelgrote schaal.

Bitcoin-ontwikkelaars en cryptografen reageerden snel om het resultaat af te doen, met het argument dat de kwantumhardware geen betekenisvolle waarde toevoegde aan het resultaat. De X-post van Project Eleven waarin de mijlpaal werd aangekondigd, bevat nu een factcheck van Community Notes, waarin wordt gesteld dat de aanpak die werd gebruikt om de 15-bits ECC-sleutel te herstellen, afhankelijk is van klassieke verificatie van outputs die niet te onderscheiden zijn van willekeurige ruis, wat in feite neerkomt op klassiek gissen.

Jonas Schnelli, voormalig Bitcoin Core-beheerder, analyseerde de inzending van Lelli en ontdekte dat het IBM-circuit, dat ongeveer 98.000 poorten draaide met een nauwkeurigheid van ongeveer 99,5% per poort, outputs produceerde die statistisch niet te onderscheiden waren van willekeurige muntworpen.

Schnelli reproduceerde het volledige sleutelherstel in ongeveer 20 regels Python met behulp van puur willekeurige bits, zonder dat er kwantumhardware aan te pas kwam. Zijn conclusie was duidelijk: de kwantumcomputer voegde geen detecteerbaar signaal toe bovenop klassieke willekeur.

Rodolfo Novak, oprichter van Coinkite, hield vol dat Project Eleven het publiek misleidt en noemde de kwantumclaims "theater". Op X betoogde hij dat “de privésleutel klassiek wordt opgelost nog voordat het kwantumcircuit zelfs maar draait” en dat het systeem “niets vindt — het krijgt het antwoord verteld”, waarbij hij toevoegde dat de resultaten berusten op “een klassiek verificatiefilter”. Novak concludeerde dat, hoewel “de kwantumdreiging voor Bitcoin reëel maar ver weg is”, de demo’s van vandaag “klassieke berekeningen in kwantumkostuums” zijn.

Onderzoeker Yuval Adam bevestigde de bevinding onafhankelijk door Lelli's IBM-kwantum-backend te vervangen door /dev/urandom, de klassieke random number generator van Linux, en de doelsleutel op identieke wijze te achterhalen. De 15-bits curve heeft een zoekruimte van slechts 32.767 mogelijke privésleutels, klein genoeg dat een klassieke verifieerder die kandidaten toetst aan de publieke sleutel met hoge waarschijnlijkheid een match vindt via bijna-willekeurige steekproeven.

Bitcoin-voorstander Jimmy Song beschreef de kwantumcomputer als een apparaat dat dezelfde functie vervult als /dev/urandom. Het X-account TFTC merkte in een veelgelezen thread op dat elke openbare demonstratie van het algoritme van Shor op ECC tot nu toe steunt op klassieke voorberekeningen die het antwoord effectief in het circuit coderen voordat de kwantumhardware wordt uitgevoerd.

Critici wezen ook op een belangenconflict in de prijsstructuur. Project Eleven, gesteund door Coinbase Ventures, Castle Island Ventures, Variant en Balaji Srinivasan, stelde de prijs in, beoordeelde inzendingen via drie onafhankelijke natuurkundigen, kende de beloning toe en bracht vervolgens persberichten uit waarin werd gewaarschuwd dat ongeveer 6,9 miljoen BTC in wallets met blootgestelde publieke sleutels een potentieel langetermijnrisico liepen. Het bedrijf verkoopt post-kwantumcryptografietools.

Oprichter van Project Eleven reageert op de kritiek

Pruden erkende in een vervolgthread dat het resultaat geen Q-Day was en dat experimenten in het NISQ-tijdperk routinematig afhankelijk zijn van klassieke ondersteuning. Hij stelde dat de demo nog steeds een incrementele, reproduceerbare vooruitgang vertegenwoordigde op toegankelijke openbare hardware en dat migratieplanning voor post-kwantumcryptografie een redelijke prioriteit op lange termijn blijft. De directeur van Project Eleven voegde hieraan toe:

"Kortom: dit is incrementele vooruitgang in een rumoerig, pril vakgebied — geen Q-Day. Het benadrukt waarom we de afname van middelen bijhouden en waarom planning voor post-kwantummigratie belangrijk is voor de veiligheid op de lange termijn. Scepticisme is gezond; het verplaatsen van doelpalen is dat niet. Ik ben graag bereid om de technische details te bespreken of de feedback van de repo/juryleden te delen."

De kloof tussen het resultaat van Lelli en een praktische bedreiging voor Bitcoin is aanzienlijk. De secp256k1-curve van Bitcoin werkt met 256-bits beveiliging. De afstand van 15 bits naar 256 bits vertegenwoordigt een factor 2 tot de macht 241 in rekenmoeilijkheid. Zelfs optimistisch recent onderzoek, waaronder een Google-paper gepubliceerd in april 2026, schat dat het kraken van 256-bits ECC minder dan 500.000 fysieke qubits zou vereisen, een drempel waar de huidige kwantumhardware ver onder blijft.

De aflevering illustreert een spanning die blijft bestaan in de berichtgeving over quantumcomputing: incrementele mijlpalen op het gebied van hardware halen de krantenkoppen, maar de afstand tussen demonstraties op speelgoedschaal en cryptografische productiesystemen blijft een technische kloof zonder oplossing op korte termijn. Het beveiligingsmodel van Bitcoin is afhankelijk van die kloof, en ontwikkelaars zeggen dat deze intact blijft.