Inga konsensusändringar krävs: Starkwares produktchef skapar kvantsäkra Bitcoin-transaktioner utifrån befintliga regler

Huvudpunkter:

• Starkwares CPO Avihu Levy publicerade QSB den 9 april 2026, vilket möjliggör kvantsäkra bitcoin-transaktioner utan några protokolländringar.
• Levys modell kostar 75 till 150 dollar i GPU-beräkning per transaktion och uppnår ungefär 118-bitars pre-image-motstånd mot kvantattacker.
• QSB är det första kända systemet som säkrar live-bitcointransaktioner mot Shors algoritm med hjälp av endast Bitcoins befintliga äldre Script-regler.

Hur en chef på Starkware byggde in kvantmotstånd i Bitcoin utan att röra protokollet

Avihu Levy, produktchef på Starkware och medförfattare till BIP-360, publicerade en fullständig forskningsrapport och en open source-implementering den 9 april 2026. Systemet kallas Quantum Safe Bitcoin, eller QSB. Det kräver ingen softfork, ingen samordning inom communityn och inga nya opkoder. Det körs helt inom Bitcoins befintliga äldre Script-begränsningar på 201 opkoder och 10 000 byte.

Det hot som QSB hanterar är specifikt. Bitcoins primära signatursystem, ECDSA över den elliptiska kurvan secp256k1, kan helt knäckas av Shors algoritm på en tillräckligt kraftfull kvantdator. En angripare med den kapaciteten skulle kunna återställa privata nycklar från vilken exponerad offentlig nyckel som helst, förfalska signaturer och omdirigera medel. P2PK-utgångar, äldre adresser och Taproot-nyckelutnyttjandevägar är alla i riskzonen så fort en offentlig nyckel dyker upp på kedjan.

Levys schema bryter det beroendet på transaktionsnivå. Istället för att förlita sig på elliptiska kurvors svårighetsgrad bygger QSB säkerheten på pre-image-motståndet hos RIPEMD-160, en hashfunktion som kvantdatorer endast kan attackera med Grovers algoritm, vilket ger en kvadratisk hastighetsökning snarare än en total knäckning. En 160-bitars hash behåller ungefär 80 bitar av pre-image-motstånd mot en kvantmotståndare, vilket ger en bekväm marginal.

Konstruktionen modifierar ett tidigare system kallat Binohash, utvecklat av Robin Linus, och åtgärdar två problem som gjorde Binohash osäkert mot kvantattacker. Det första var ett signaturstorleksbaserat proof-of-work-pussel (PoW) som var beroende av att hitta små r-värden för elliptiska kurvor, något som Shors algoritm enkelt bryter. Det andra var en olöst sårbarhet i sighash-flaggan som kunde göra det möjligt för en angripare att återanvända en giltig pusselsignatur över olika transaktioner.

Ersättning av pusslet för signaturstorlek

QSB ersätter signaturstorlekspusslet med vad Levy kallar ett hash-to-sig-pussel. Betalaren itererar över transaktionsparametrar tills RIPEMD-160-hash av en transaktionshärledd offentlig nyckel producerar en giltig DER-kodad ECDSA-signatur. Den händelsen inträffar med en sannolikhet på ungefär 1 på 70 biljoner. Eftersom pusslet använder en hårdkodad SIGHASH_ALL-flagga elimineras sighash-sårbarheten som en bieffekt.

Betalaren kör sedan två sammanfattningsrundor med en Lamport-signaturstruktur i HORS-stil och väljer delmängder av dummy-signaturer som ändrar transaktionens sighash via en äldre skriptmekanism som kallas FindAndDelete. Varje delmängd ger en annan hash-utdata. Den delmängd som ger en giltig DER-kodad signatur blir sammanfattningen för den rundan. Att avslöja motsvarande pre-images i vittnet fullbordar den kvantsäkra utbetalningen.

Den rekommenderade konfigurationen, som Levy kallar Config A, ryms inom gränsen på 201 opkoder och uppnår ungefär 118-bitars pre-image-motstånd och 78-bitars kollisionsmotstånd. En kvantangripare som kör Grovers algoritm mot denna konfiguration står inför ungefär 2 upphöjt till 69 i arbete för en andra pre-image-attack. Shors algoritm ger ingen fördel alls, eftersom det inte finns några antaganden om elliptiska kurvor kvar att bryta.

Beräkningar utanför kedjan kostar mellan 75 och 150 dollar i moln-GPU-tid per transaktion till nuvarande spotpriser. Arbetet är extremt parallellt och slutfördes på några timmar över flera GPU:er i tidiga tester. GPU-farmen hanterar endast offentliga beräkningar, inklusive nyckelåterställning och hashing. Privata HORS-pre-images lämnar aldrig användarens säkra enhet.

Det finns reella begränsningar. QSB-transaktioner är konsensusvaliderade men icke-standardiserade, vilket överskrider standardpolicyerna för vidarebefordran. De kräver direkt inlämning till en miningpool som accepterar icke-standardiserade transaktioner, till exempel via Marathons Slipstream-tjänst. Systemet täcker ännu inte Lightning Network-kanaler. Fullständig sammanställning och sändning på kedjan väntar fortfarande i open source-implementeringen. Levy beskriver systemet som en sista utväg, inte en allmän ersättning för standardanvändning av Bitcoin.

Starkwares medgrundare Eli Ben-Sasson stödde offentligt arbetet och uppgav att Bitcoin kan bli kvantsäkert omedelbart. Han sa:

"DETTA ÄR ENORMT. Bitcoin är kvantsäkert IDAG. Även om en kvantdator skulle dyka upp, en som bryter de konventionella Bitcoin-signaturerna, visar det ett praktiskt sätt att skapa säkra Bitcoin-transaktioner. UTAN NÅGON ÄNDRING AV BITCOIN-PROTOKOLLET!"

Levy delade rapporten och arkivet på X och tackade Robin Linus för grundläggande arbete med Binohash och för en viktig korrigering som formade den slutliga avvägningen mellan kostnad och säkerhet. Gemenskapen var mycket nöjd med vitboken, som delades flitigt på sociala medier. Taproot Wizard Eric Wall skrev på X:

"Starkware har några av de bästa hackarna på planeten. Det är vackert att se när hackare använder sina krafter för det goda."

Hela dokumentet, GPU-accelererad CUDA-kod, Python-pipeline och kompletta Bitcoin-skript finns tillgängliga i Levys GitHub-arkiv. Nyheten följer på den senaste prototypen som är avsedd att skydda bitcoinplånböcker från kvantrisker. Den specifika prototypen skapades av Lightning Labs CTO Olaoluwa Osuntokun.

Vad detta betyder för vanliga Bitcoin-innehavare

För vanliga bitcoin-innehavare (BTC) är den praktiska slutsatsen enkel. Det finns idag ingen kvantdator som kan knäcka Bitcoins kryptografi, och de flesta forskare anser att det dröjer minst tre år till ett decennium innan det hotet blir verklighet. Men klockan börjar ticka i samma stund som en offentlig nyckel dyker upp på kedjan, vilket sker varje gång en användare gör en utbetalning från en adress.

Bitcoin som ligger i en plånbok som aldrig har gjort en utgående transaktion är mindre utsatt. Bitcoin som ligger på en återanvänd eller redan använd adress är en annan historia. När kvantdatorer når tröskeln blir dessa exponerade publika nycklar mål. Att flytta medel innan det fönstret stängs är viktigare än att flytta dem efteråt.

QSB finns ännu inte i någon konsumentplånbok. Användare kan idag inte öppna en standardplånbok och aktivera en kvantsäker inställning. Vad Levy har levererat är det kryptografiska beviset på att vägen finns, byggd utifrån regler som redan finns i Bitcoin, till en kostnad som ungefär motsvarar priset för en flygbiljett i GPU-beräkning.

Det återstående arbetet handlar om teknik, införande och tid. För en person som innehar BTC är åtgärden enkel: håll utkik efter post-kvantstöd från din plånboksleverantör, undvik att återanvända adresser och flytta medel till en kvantsäker adress när det alternativet blir tillgängligt i vanlig programvara. Verktygen för att skydda den bitcoinen byggs just nu.