Не требуется изменений консенсуса: директор по продуктам Starkware создает квантово-безопасные транзакции Bitcoin на основе существующих правил

Основные выводы:

• 9 апреля 2026 года главный продукт-директор Starkware Авиху Леви опубликовал QSB, позволяющий осуществлять квантово-безопасные транзакции с биткойнами без каких-либо изменений в протоколе.
• Схема Леви требует от 75 до 150 долларов на вычисления GPU за транзакцию и обеспечивает сопротивление квантовым атакам на уровне примерно 118 бит.
• QSB — первая известная схема, обеспечивающая защиту действующих транзакций с биткойнами от алгоритма Шора, используя только существующие устаревшие правила скриптов Биткойна.

Как руководитель Starkware обеспечил квантовую защиту Биткойна, не затрагивая протокол

Авиху Леви, директор по продуктам Starkware и соавтор BIP-360, 9 апреля 2026 года опубликовал полную исследовательскую статью и реализацию с открытым исходным кодом. Схема называется Quantum Safe Bitcoin, или QSB. Она не требует софтфорка, координации сообщества и новых опкодов. Она работает полностью в рамках существующих ограничений сценария Bitcoin: 201 опкод и 10 000 байт.

Угроза, на которую реагирует QSB, носит конкретный характер. Основная схема подписи Биткойна, ECDSA над эллиптической кривой secp256k1, полностью взламывается алгоритмом Шора на достаточно мощном квантовом компьютере. Злоумышленник, обладающий такими возможностями, может восстановить закрытые ключи из любого открытого ключа, подделать подписи и перенаправить средства. Выходы P2PK, устаревшие адреса и пути расходования ключей Taproot подвергаются риску в тот момент, когда открытый ключ появляется в цепочке.

Схема Леви устраняет эту зависимость на уровне транзакций. Вместо того чтобы полагаться на сложность эллиптической кривой, QSB строит безопасность на устойчивости к преображению RIPEMD-160 — хеш-функции, которую квантовые компьютеры могут атаковать только с помощью алгоритма Гровера, который обеспечивает квадратичное ускорение, а не полное взлома. 160-битный хеш сохраняет примерно 80 бит устойчивости к преобразуемости против квантового злоумышленника, оставляя комфортный запас.

Эта конструкция модифицирует более раннюю схему под названием Binohash, разработанную Робином Линусом, и устраняет две проблемы, которые делали Binohash уязвимой для квантовых атак. Первой из них была головоломка «доказательство работы» (PoW) с размером подписи, которая зависела от нахождения небольших значений r эллиптической кривой, что алгоритм Шора легко взламывает. Второй была нерешенная уязвимость флага sighash, которая могла позволить злоумышленнику повторно использовать действительную подпись головоломки в разных транзакциях.

Замена головоломки размера подписи

QSB заменяет головоломку размера подписи на то, что Леви называет головоломкой «hash-to-sig». Пользователь, осуществляющий расход средств, итерирует по параметрам транзакции до тех пор, пока хеш RIPEMD-160 открытого ключа, полученного из транзакции, не сгенерирует действительную подпись ECDSA, закодированную в формате DER. Вероятность такого события составляет примерно 1 к 70 триллионам. Поскольку в головоломке используется жестко запрограммированный флаг SIGHASH_ALL, уязвимость sighash устраняется как побочный эффект.

Затем расходующий выполняет два раунда дайджеста, используя структуру подписи Лампорта в стиле HORS, выбирая подмножества фиктивных подписей, которые изменяют sighash транзакции через устаревший механизм скрипта, называемый FindAndDelete. Каждое подмножество дает другой хеш-выход. Подмножество, которое дает действительную подпись в кодировке DER, становится дайджестом для этого раунда. Раскрытие соответствующих преобразов в свидетеле завершает квантово-безопасную трату.

Рекомендуемая конфигурация, которую Леви называет Config A, укладывается в ограничение в 201 операционный код и обеспечивает сопротивление преображениям примерно 118 бит и сопротивление коллизиям 78 бит. Квантовый злоумышленник, запускающий алгоритм Гровера против этой конфигурации, сталкивается с работой примерно в 2 в 69-й степени для атаки второго преображения. Алгоритм Шора не дает никакого преимущества, поскольку не осталось никаких предположений об эллиптических кривых, которые можно было бы нарушить.

Внецепочечные вычисления стоят от 75 до 150 долларов в виде времени облачного GPU на транзакцию по текущим спотовым ценам. Работа является чрезвычайно параллельной и в ранних тестах выполнялась за несколько часов на нескольких GPU. Ферма GPU обрабатывает только публичные вычисления, включая восстановление ключей и хеширование. Частные преображения HORS никогда не покидают защищенное устройство плательщика.
Существуют реальные ограничения. Транзакции QSB являются консенсусно-валидными, но нестандартными, выходящими за рамки стандартных политик ретрансляции. Они требуют прямой отправки в майнинговый пул, который принимает нестандартные транзакции, например, через сервис Slipstream от Marathon. Схема пока не охватывает каналы Lightning Network. Полная сборка и трансляция в цепочке все еще находятся в стадии разработки в реализации с открытым исходным кодом. Леви описывает эту схему как меру последней инстанции, а не как общую замену стандартного использования Биткойна.
Соучредитель Starkware Эли Бен-Сассон публично поддержал эту работу, заявив, что Биткойн может стать квантово-безопасным немедленно. Он сказал:

«ЭТО ОГРОМНО. Биткойн квантово-безопасен УЖЕ СЕГОДНЯ. Даже если появится квантовый компьютер, способный взломать обычные подписи Биткойна, эта схема демонстрирует практический способ создания безопасных транзакций Биткойна. БЕЗ ИЗМЕНЕНИЙ В ПРОТОКОЛЕ БИТКОЙНА!»

Леви поделился документом и репозиторием на X и поблагодарил Робина Линуса за основополагающую работу над Binohash и за ключевую поправку, которая определила окончательный компромисс между стоимостью и безопасностью. Сообщество было весьма довольно белой книгой, и она широко распространилась в социальных сетях. Мастер Taproot Эрик Уолл написал на X:

«В Starkware работают одни из лучших хакеров на планете. Приятно видеть, когда хакеры используют свои способности во благо».

Полная версия статьи, код CUDA с GPU-ускорением, конвейер Python и полные скрипты Bitcoin доступны в репозитории Levy на GitHub. Эта новость появилась вслед за недавним прототипом, предназначенным для защиты биткойн-кошельков от квантовых рисков. Этот конкретный прототип был создан техническим директором Lightning Labs Олаолува Осунтокуном.

Что это значит для обычных держателей биткойнов

Для обычных держателей биткойнов (BTC) практический вывод прост. На сегодняшний день не существует квантового компьютера, способного взломать криптографию Биткойна, и большинство исследователей оценивают эту угрозу как по крайней мере от трех лет до десятилетия. Но отсчет времени начинается в тот момент, когда открытый ключ появляется в цепочке, что происходит каждый раз, когда пользователь тратит средства с адреса.

Биткойны, хранящиеся в кошельке, с которого никогда не совершались исходящие транзакции, подвержены меньшему риску. Совсем другое дело — биткойны, хранящиеся на повторно используемом или уже использованном адресе. Когда квантовые вычисления достигнут определенного уровня, эти открытые публичные ключи станут мишенями. Перемещение средств до того, как это окно закроется, имеет большее значение, чем перемещение их после.

QSB пока не реализовано ни в одном потребительском кошельке. Сегодня пользователи не могут открыть стандартный кошелек и включить настройку квантовой безопасности. То, что предоставил Леви, — это криптографическое доказательство того, что путь существует, построенное на основе правил, уже заложенных в Биткойне, и требующее вычислительных ресурсов графического процессора примерно за стоимость авиабилета.

Остается решить вопросы инженерии, внедрения и времени. Для владельца BTC действия просты: следить за появлением поддержки постквантовых технологий у поставщика кошелька, избегать повторного использования адресов и переводить средства на квантово-безопасный адрес, когда эта опция станет доступна в основном программном обеспечении. Инструменты для защиты биткойнов создаются прямо сейчас.