Nie sú potrebné žiadne zmeny konsenzu: CPO spoločnosti Starkware vytvára kvantovo odolné bitcoinové transakcie na základe existujúcich pravidiel

Kľúčové body:

• CPO spoločnosti Starkware Avihu Levy zverejnil 9. apríla 2026 QSB, ktorý umožňuje kvantovo bezpečné bitcoinové transakcie bez akýchkoľvek zmien protokolu.
• Levyho schéma stojí 75 až 150 USD na výpočtový výkon GPU na transakciu a dosahuje približne 118-bitovú odolnosť proti kvantovým útokom.
• QSB je prvý známy systém, ktorý zabezpečuje živé bitcoinové transakcie proti Shorovmu algoritmu s využitím iba existujúcich pravidiel skriptu bitcoinu.

Ako vedúci pracovník spoločnosti Starkware zabudoval kvantovú odolnosť do bitcoinu bez zásahu do protokolu

Avihu Levy, produktový riaditeľ spoločnosti Starkware a spoluautor BIP-360, zverejnil 9. apríla 2026 kompletnú výskumnú štúdiu a implementáciu s otvoreným zdrojovým kódom. Schéma sa nazýva Quantum Safe Bitcoin, alebo QSB. Nevyžaduje žiadny softfork, žiadnu koordináciu komunity ani nové opkódy. Beží úplne v rámci existujúcich obmedzení skriptu Bitcoinu, ktoré pozostávajú z 201 opkódov a 10 000 bajtov.

Hrozba, na ktorú QSB reaguje, je špecifická. Primárny podpisový systém Bitcoinu, ECDSA nad eliptickou krivkou secp256k1, je plne prelomiteľný Shorovým algoritmom na dostatočne výkonnom kvantovom počítači. Útočník s takouto schopnosťou by mohol získať súkromné kľúče z akéhokoľvek odhaleného verejného kľúča, falšovať podpisy a presmerovať finančné prostriedky. Výstupy P2PK, staršie adresy a cesty kľúčov Taproot sú všetky ohrozené v momente, keď sa verejný kľúč objaví v reťazci.

Levyho schéma túto závislosť odstraňuje na úrovni transakcie. Namiesto toho, aby sa spoliehala na odolnosť eliptickej krivky, QSB buduje bezpečnosť na odolnosti proti predobrazu RIPEMD-160, hašovacej funkcie, ktorú kvantové počítače môžu napadnúť iba Groverovým algoritmom, ktorý poskytuje kvadratické zrýchlenie namiesto úplného prelomenia. 160-bitový hash si zachováva približne 80 bitov odolnosti proti predobrazu voči kvantovému útočníkovi, čo ponecháva dostatočnú rezervu.

Táto konštrukcia modifikuje skorší systém nazývaný Binohash, vyvinutý Robinom Linusom, a rieši dva problémy, ktoré robili Binohash neistým voči kvantovému útoku. Prvým bol hádanka typu proof-of-work (PoW) s veľkosťou podpisu, ktorá závisela od nájdenia malých hodnôt r eliptickej krivky, čo Shorov algoritmus triviálne prelomí. Druhým bola nevyriešená zraniteľnosť vlajky sighash, ktorá mohla útočníkovi umožniť opätovné použitie platného podpisu hádanky v rôznych transakciách.

Nahradenie hádanky veľkosti podpisu

QSB nahrádza hádanku veľkosti podpisu tým, čo Levy nazýva hádankou typu hash-to-sig. Platiaci iteruje nad parametrami transakcie, kým hash RIPEMD-160 verejného kľúča odvodeného z transakcie nevytvorí platný podpis ECDSA zakódovaný v DER. Táto udalosť nastáva s pravdepodobnosťou približne 1 ku 70 biliónom. Keďže hádanka používa pevne zakódovanú vlajku SIGHASH_ALL, zraniteľnosť sighash je eliminovaná ako vedľajší účinok.

Platiteľ potom spustí dve kolesá digestu pomocou štruktúry podpisu Lamport v štýle HORS, pričom vyberá podmnožiny fiktívnych podpisov, ktoré menia sighash transakcie prostredníctvom staršieho mechanizmu skriptu nazývaného FindAndDelete. Každá podmnožina produkuje iný výstup hashovania. Podmnožina, ktorá poskytuje platný podpis kódovaný v DER, sa stáva digestom pre dané kolo. Odhalenie zodpovedajúcich predobrazov vo svedkovi dokončí kvantovo bezpečné vynaloženie.

Odporúčaná konfigurácia, ktorú Levy nazýva Config A, spadá do limitu 201 opkódov a dosahuje približne 118-bitovú odolnosť voči predobrazom a 78-bitovú odolnosť voči kolíziám. Kvantový útočník, ktorý spustí Groverov algoritmus proti tejto konfigurácii, čelí približne práci 2 na 69. mocninu pri druhom útoku na predobraz. Shorov algoritmus neposkytuje žiadnu výhodu, keďže neexistujú žiadne predpoklady eliptickej krivky, ktoré by bolo možné prelomiť.

Mimoreťazové výpočty stoja pri súčasných spotových cenách medzi 75 a 150 USD za čas cloudového GPU na transakciu. Práca je mimoriadne paralelná a v počiatočných testoch bola dokončená za niekoľko hodín na viacerých GPU. GPU farma spracováva iba verejné výpočty, vrátane obnovy kľúčov a hashovania. Súkromné predobrazy HORS nikdy neopúšťajú zabezpečené zariadenie platiteľa.
Existujú reálne obmedzenia. Transakcie QSB sú platné z hľadiska konsenzu, ale sú neštandardné a prekračujú predvolené zásady relé. Vyžadujú priame odoslanie do ťažobného poola, ktorý akceptuje neštandardné transakcie, napríklad prostredníctvom služby Slipstream od Marathonu. Schéma zatiaľ nezahŕňa kanály Lightning Network. Úplné zostavenie a vysielanie v reťazci stále čaká na implementáciu v open-source. Levy opisuje tento systém ako opatrenie poslednej inštancie, nie ako všeobecné nahradenie štandardného používania Bitcoinu.
Spoluzakladateľ Starkware Eli Ben-Sasson verejne podporil túto prácu a uviedol, že Bitcoin môže byť okamžite kvantovo bezpečný. Povedal:

„TO JE OBROVSKÉ. Bitcoin je kvantovo bezpečný UŽ DNES. Aj keby sa objavil kvantový počítač, ktorý by prelomil konvenčné bitcoinové podpisy, ukazuje to praktický spôsob, ako vytvoriť bezpečné bitcoinové transakcie. BEZ ZMENY PROTOKOLU BITCOINU!“

Levy zdieľal dokument a repozitár na X a poďakoval Robinovi Linusovi za základnú prácu na Binohash a za kľúčovú opravu, ktorá ovplyvnila konečný kompromis medzi nákladmi a bezpečnosťou. Komunita bola s bielou knihou veľmi spokojná, čo sa prejavilo jej širokým zdieľaním na sociálnych médiách. Eric Wall z Taproot Wizard napísal na X:

„Starkware má niektorých z najlepších hackerov na svete. Je krásne vidieť, keď hackeri využívajú svoje schopnosti na dobré účely.“

Celý dokument, kód CUDA akcelerovaný GPU, pipeline v Pythone a kompletné skripty Bitcoin sú k dispozícii v Levyho repozitári GitHub. Táto správa nadväzuje na nedávny prototyp určený na zabezpečenie bitcoinových peňaženiek pred kvantovým rizikom. Tento konkrétny prototyp vytvoril technický riaditeľ Lightning Labs Olaoluwa Osuntokun.

Čo to znamená pre bežných držiteľov bitcoinu

Pre bežných držiteľov bitcoinov (BTC) je praktický záver jasný. V súčasnosti neexistuje žiadny kvantový počítač schopný prelomiť kryptografiu bitcoinu a väčšina výskumníkov odhaduje, že táto hrozba nastane najskôr o tri roky až desať rokov. Odpočítavanie však začína v okamihu, keď sa verejný kľúč objaví v reťazci, čo sa stane vždy, keď používateľ vykoná výdavok z adresy.

Bitcoin uložený v peňaženke, z ktorej nikdy nebola vykonaná odchádzajúca transakcia, je menej vystavený riziku. Bitcoin uložený na opätovne použitej alebo už použitej adrese je iný prípad. Keď kvantové výpočty dosiahnu prah, tieto vystavené verejné kľúče sa stanú cieľmi. Presun prostriedkov predtým, ako sa toto okno uzavrie, je dôležitejší ako ich presun po ňom.

QSB sa zatiaľ nedodáva v žiadnej peňaženke pre spotrebiteľov. Používatelia dnes nemôžu otvoriť štandardnú peňaženku a prepnúť nastavenie na kvantovú bezpečnosť. Levy priniesol kryptografický dôkaz, že táto cesta existuje, postavený na pravidlách, ktoré sú už v Bitcoine, a stojí približne toľko, čo letenka, pokiaľ ide o výpočtový výkon GPU.

Zostáva už len technická realizácia, prijatie a čas. Pre držiteľa BTC je postup jednoduchý: sledovať podporu postkvantovej bezpečnosti od poskytovateľa peňaženky, vyhnúť sa opätovnému použitiu adries a presunúť prostriedky na kvantovo bezpečnú adresu, keď bude táto možnosť k dispozícii v bežnom softvéri. Nástroje na ochranu bitcoinu sa práve teraz vyvíjajú.