Ni potrebnih sprememb konsenza: CPO podjetja Starkware razvija kvantno varne bitcoin transakcije na podlagi obstoječih pravil

Ključne ugotovitve:

• Avihu Levy, direktor za izdelke pri podjetju Starkware, je 9. aprila 2026 objavil QSB, ki omogoča kvantno varne bitcoin transakcije brez kakršnih koli sprememb protokola.
• Levyjev načrt stane od 75 do 150 dolarjev računske moči GPU na transakcijo in doseže približno 118-bitno odpornost proti kvantnim napadom.
• QSB je prvi znani sistem, ki varuje trenutne bitcoin transakcije pred Shorjevim algoritmom, pri čemer uporablja le obstoječa pravila skripta Bitcoina.

Kako je vodstveni delavec podjetja Starkware vgradil kvantno odpornost v Bitcoin, ne da bi posegel v protokol

Avihu Levy, direktor za izdelke pri Starkware in soavtor BIP-360, je 9. aprila 2026 objavil celoten raziskovalni članek in odprtokodno implementacijo. Shema se imenuje Quantum Safe Bitcoin ali QSB. Ne zahteva softfork, usklajevanja skupnosti niti novih opkodov. Deluje v celoti znotraj obstoječih omejitev skripta Bitcoina, ki obsega 201 opkodov in 10.000 bajtov.

Grožnja, na katero se QSB nanaša, je specifična. Glavni sistem podpisovanja Bitcoina, ECDSA nad eliptično krivuljo secp256k1, je mogoče v celoti prelomiti s Shorjevim algoritmom na dovolj zmogljivem kvantnem računalniku. Napadalec s takšno zmogljivostjo bi lahko iz katerega koli izpostavljenega javnega ključa pridobil zasebne ključe, ponaredil podpise in preusmeril sredstva. Izhodi P2PK, stare naslove in poti porabe ključev Taproot so vsi ogroženi v trenutku, ko se javni ključ pojavi v verigi.

Levyjev sistem prekine to odvisnost na ravni transakcij. Namesto da bi se zanašal na trdnost eliptične krivulje, QSB gradi varnost na odpornosti proti predobrazu RIPEMD-160, hash funkcije, ki jo kvantni računalniki lahko napadejo le z Groverjevim algoritmom, ki zagotavlja kvadratno pospešitev namesto popolnega preloma. 160-bitni hash ohranja približno 80 bitov odpornosti proti predobrazu proti kvantnemu nasprotniku, kar pušča udoben razpon.

Konstrukcija spreminja prejšnji sistem, imenovan Binohash, ki ga je razvil Robin Linus, in odpravlja dve težavi, zaradi katerih je bil Binohash negotov proti kvantnemu napadu. Prva je bila uganka dokaza dela (PoW) velikosti podpisa, ki je bila odvisna od iskanja majhnih r-vrednosti eliptične krivulje, kar Shorov algoritem zlahka prelomi. Druga je bila nerešena ranljivost zastavice sighash, ki bi napadalcu omogočila ponovno uporabo veljavnega podpisa uganke v različnih transakcijah.

Zamenjava uganke velikosti podpisa

QSB zamenja uganko velikosti podpisa s tistim, kar Levy imenuje uganka hash-to-sig. Porabnik ponavlja transakcijske parametre, dokler hash RIPEMD-160 javnega ključa, izpeljanega iz transakcije, ne ustvari veljavnega podpisa ECDSA, kodiranega v DER. Ta dogodek se zgodi s verjetnostjo približno 1 na 70 bilijonov. Ker uganka uporablja trdno zakodirano zastavico SIGHASH_ALL, se ranljivost sighash kot stranski učinek odpravi.

Porabnik nato izvede dva kroga povzetkov z uporabo strukture podpisa Lamport v slogu HORS, pri čemer izbere podmnožice lažnih podpisov, ki spremenijo sighash transakcije prek starejšega mehanizma skripta, imenovanega FindAndDelete. Vsaka podmnožica ustvari drugačen izhodni hash. Podmnožica, ki da veljaven podpis, kodiran v DER, postane povzetek za ta krog. Razkritje ustreznih predoblik v pričevalcu zaključi kvantno varno porabo.

Priporočena konfiguracija, ki jo Levy imenuje Config A, ustreza omejitvi 201 opkod in doseže približno 118-bitno odpornost proti predoblikam ter 78-bitno odpornost proti kolizijam. Kvantni napadalec, ki proti tej konfiguraciji izvaja Groverjev algoritem, se za drugi napad s predoblikami sooča s približno 2 na 69. potenco dela. Shorov algoritem ne prinaša nobene prednosti, saj ni več nobenih predpostavk o eliptičnih krivuljah, ki bi jih bilo mogoče prelomiti.

Izračuni zunaj verige stanejo med 75 in 150 dolarjev v času oblačnega GPU-ja na transakcijo po trenutnih spot cenah. Delo je izjemno vzporedno in je bilo v zgodnjih testih zaključeno v nekaj urah na več GPU-jih. GPU-kmetija obdeluje le javna izračunavanja, vključno z obnovitvijo ključev in hashiranjem. Zasebne predobrazbe HORS nikoli ne zapustijo varne naprave porabnika.
Obstajajo resnične omejitve. Transakcije QSB so konsenzno veljavne, vendar nestandardne in presegajo privzete politike posredovanja. Zahtevajo neposredno predložitev rudarskemu bazenu, ki sprejema nestandardne transakcije, na primer prek storitve Slipstream podjetja Marathon. Shema še ne zajema kanalov omrežja Lightning Network. Celotna sestava in oddaja v verigi sta v odprtokodni implementaciji še v teku. Levy opisuje shemo kot ukrep zadnje možnosti, ne pa kot splošno zamenjavo za standardno uporabo Bitcoina.
Soustanovitelj Starkware Eli Ben-Sasson je javno podprl delo in izjavil, da je Bitcoin lahko takoj kvantno varen. Dejal je:

"TO JE OGROMNO. Bitcoin je KVANTNO VAREN ŽE DANES. Tudi če bi se pojavil kvantni računalnik, ki bi prelomil konvencionalne podpisne sheme Bitcoina, to kaže praktičen način za ustvarjanje varnih Bitcoin transakcij. BREZ SPREMEMB PROTOKOLA BITCOINA!"

Levy je delil članek in repozitorij na X ter se zahvalil Robinu Linusu za temeljno delo na Binohashu in za ključno popravko, ki je oblikovala končno ravnovesje med stroški in varnostjo. Skupnost je bila z belo knjigo precej zadovoljna, saj je bila široko deljena na družbenih omrežjih. Eric Wall, čarovnik Taproot, je na X napisal:

"Starkware ima nekatere najboljše hekerje na planetu. Lepo je videti, ko hekerji uporabijo svoje moči za dobro."

Celoten dokument, GPU-pospešena koda CUDA, Pythonov pipeline in popolni Bitcoin skripti so na voljo v Levyjevem repozitoriju GitHub. Novica sledi nedavnemu prototipu, namenjenemu zaščiti bitcoin denarnic pred kvantnim tveganjem. Ta prototip je ustvaril CTO podjetja Lightning Labs, Olaoluwa Osuntokun.

Kaj to pomeni za vsakodnevne imetnike bitcoina

Za vsakodnevne imetnike bitcoinov (BTC) je praktični zaključek jasen. Danes ne obstaja noben kvantni računalnik, ki bi bil sposoben razvozlati kriptografijo bitcoina, in večina raziskovalcev ocenjuje, da bo do te grožnje prišlo šele čez vsaj tri do deset let. A ura se začne tiktakati v trenutku, ko se javni ključ pojavi v verigi, kar se zgodi vsakič, ko uporabnik porabi sredstva z naslova.

Bitcoin, ki leži v denarnici, iz katere še ni bila opravljena nobena transakcija, je manj izpostavljen. Bitcoin, shranjen na ponovno uporabljenem ali že porabljenem naslovu, pa je druga zgodba. Ko bo kvantno računalništvo doseglo prag, bodo ti izpostavljeni javni ključi postali tarče. Premikanje sredstev pred zaprtjem tega okna je pomembnejše kot premikanje po njem.

QSB še ni vključen v nobenem potrošniškem denarniku. Uporabniki danes ne morejo odpreti standardnega denarnika in vklopiti nastavitve za kvantno varnost. Levy je zagotovil kriptografski dokaz, da pot obstaja, zgrajeno iz pravil, ki so že vgrajena v Bitcoin, kar stane približno toliko kot letalska vozovnica v računalniški zmogljivosti GPU.

Preostalo delo je inženiring, sprejetje in čas. Za osebo, ki ima BTC, je ukrep preprost: pazite na podporo za post-kvantno varstvo pri ponudniku denarnice, izogibajte se ponovni uporabi naslovov in prenesite sredstva na kvantno varen naslov, ko bo ta možnost na voljo v glavni programski opremi. Orodja za zaščito tega bitcoina se razvijajo prav zdaj.