Не потрібно змін консенсусу: головний продукт-менеджер Starkware створює квантово-захищені транзакції з біткойнами на основі існуючих правил

Основні висновки:

• 9 квітня 2026 року головний продукт-менеджер Starkware Авіху Леві опублікував QSB, що забезпечує квантову безпеку транзакцій з біткойнами без жодних змін у протоколі.
• Схема Леві коштує від 75 до 150 доларів на обчислення GPU за транзакцію і забезпечує приблизно 118-бітну стійкість до квантових атак.
• QSB — це перша відома схема, яка захищає поточні транзакції з біткойнами від алгоритму Шора, використовуючи лише існуючі правила скриптів біткойна.

Як керівник Starkware забезпечив квантову стійкість біткойна, не змінюючи протокол

Авіху Леві, головний директор з продуктів у Starkware та співавтор BIP-360, 9 квітня 2026 року опублікував повну наукову роботу та реалізацію з відкритим кодом. Схема називається Quantum Safe Bitcoin, або QSB. Вона не вимагає софтфорку, координації спільноти та нових опкодів. Вона працює повністю в рамках існуючих обмежень скрипту Bitcoin, що складаються з 201 опкоду та 10 000 байтів.

Загроза, на яку реагує QSB, є конкретною. Основна схема підпису Bitcoin, ECDSA над еліптичною кривою secp256k1, повністю піддається злому за допомогою алгоритму Шора на достатньо потужному квантовому комп'ютері. Зловмисник, що володіє такими можливостями, може відновити приватні ключі з будь-якого відкритого публічного ключа, підробити підписи та перенаправити кошти. Виходи P2PK, старі адреси та шляхи витрачання ключів Taproot знаходяться під загрозою в той момент, коли публічний ключ з'являється в ланцюжку.

Схема Леві усуває цю залежність на рівні транзакцій. Замість того, щоб покладатися на складність еліптичної кривої, QSB будує безпеку на стійкості до преображення RIPEMD-160 — хеш-функції, яку квантові комп'ютери можуть атакувати лише за допомогою алгоритму Гровера, що забезпечує квадратичне прискорення, а не повне зламування. 160-бітний хеш зберігає приблизно 80 бітів стійкості до преображення проти квантового супротивника, залишаючи комфортний запас.

Ця конструкція модифікує попередню схему під назвою Binohash, розроблену Робіном Лінусом, та виправляє дві проблеми, які робили Binohash незахищеним від квантових атак. Першою була головоломка розміру підпису (PoW), яка залежала від пошуку малих значень r еліптичної кривої, що легко зламується алгоритмом Шора. Другою була невирішена вразливість прапорця sighash, яка могла дозволити зловмиснику повторно використовувати дійсний підпис головоломки в різних транзакціях.

Заміна головоломки розміру підпису

QSB замінює головоломку розміру підпису на те, що Леві називає головоломкою «hash-to-sig». Витрачач повторює параметри транзакції, доки хеш RIPEMD-160 публічного ключа, отриманого з транзакції, не дасть дійсного підпису ECDSA, закодованого у форматі DER. Імовірність такого випадку становить приблизно 1 до 70 трильйонів. Оскільки головоломка використовує жорстко заданий прапор SIGHASH_ALL, вразливість sighash усувається як побічний ефект.

Потім витрачальник виконує два раунди дайджесту, використовуючи структуру підпису Лампорта у стилі HORS, вибираючи підмножини фіктивних підписів, які змінюють sighash транзакції через застарілий механізм скрипту, який називається FindAndDelete. Кожна підмножина дає різний хеш-вихід. Підмножина, яка дає дійсний підпис, закодований у форматі DER, стає дайджестом для цього раунду. Розкриття відповідних преобразів у свідку завершує квантово-безпечну витрату.

Рекомендована конфігурація, яку Леві називає Config A, вміщується в обмеження 201 операційного коду та забезпечує приблизно 118-бітну стійкість до преобразів і 78-бітну стійкість до колізій. Квантовий зловмисник, що застосовує алгоритм Гровера проти цієї конфігурації, стикається з обсягом роботи приблизно 2 у 69-му ступені для атаки з другим преобразом. Алгоритм Шора не дає жодної переваги, оскільки не залишилося жодних припущень щодо еліптичних кривих, які можна було б зламати.

Обчислення поза ланцюгом коштують від 75 до 150 доларів за час роботи хмарного графічного процесора на транзакцію за поточними спотовими цінами. Робота є надзвичайно паралельною і, за результатами ранніх тестів, виконується за кілька годин на декількох графічних процесорах. Ферма графічних процесорів обробляє лише публічні обчислення, включаючи відновлення ключів та хешування. Приватні преобрази HORS ніколи не залишають захищеного пристрою користувача.

Існують реальні обмеження. Транзакції QSB є консенсусно-дійсними, але нестандартними, що перевищує стандартні політики ретрансляції. Вони вимагають безпосереднього подання до майнінг-пулу, який приймає нестандартні транзакції, наприклад, через сервіс Slipstream від Marathon. Схема ще не охоплює канали Lightning Network. Повне складання та трансляція в ланцюжку все ще очікують на реалізацію в відкритому коді. Леві описує схему як крайній захід, а не загальну заміну стандартного використання Bitcoin.

Співзасновник Starkware Елі Бен-Сассон публічно підтримав цю роботу, заявивши, що Bitcoin може стати квантово-безпечним вже зараз. Він сказав:

«ЦЕ ВЕЛИЧЕЗНО. Біткойн є квантово-безпечним ВЖЕ СЬОГОДНІ. Навіть якщо з’явиться квантовий комп’ютер, здатний зламати звичайні підписи Біткойна, це демонструє практичний спосіб створення безпечних транзакцій з біткойнами. БЕЗ ЗМІН У ПРОТОКОЛІ БІТКОЙНА!»

Леві поділився статтею та репозиторієм на X і висловив вдячність Робіну Лінусу за фундаментальну роботу над Binohash та за ключове виправлення, яке визначило остаточний компроміс між вартістю та безпекою. Спільнота була дуже задоволена білою книгою, яка широко поширювалася в соціальних мережах. Майстер Taproot Ерік Волл написав на X:

«У Starkware працюють одні з найкращих хакерів на планеті. Приємно бачити, коли хакери використовують свої здібності на благо».

Повна стаття, код CUDA з прискоренням на GPU, конвеєр Python та повні скрипти Bitcoin доступні у репозиторії Levy на GitHub. Ця новина з’явилася після недавнього прототипу, призначеного для захисту біткойн-гаманців від квантового ризику. Цей конкретний прототип був створений технічним директором Lightning Labs Олаолувою Осунтокуном.

Що це означає для звичайних власників біткойнів

Для звичайних власників біткойнів (BTC) практичний висновок простий. На сьогодні не існує квантового комп'ютера, здатного зламати криптографію біткойна, і більшість дослідників оцінюють цю загрозу як таку, що з'явиться щонайменше через три роки — десятиліття. Але відлік часу починається в той момент, коли відкритий ключ з'являється в ланцюжку, що відбувається щоразу, коли користувач здійснює витрату з адреси.

Біткойни, що знаходяться в гаманці, з якого ніколи не здійснювалися вихідні транзакції, мають менший ризик. Біткойни, розміщені на повторно використаній або вже використаній адресі, — це інша історія. Коли квантові обчислення досягнуть певного рівня, ці відкриті публічні ключі стануть мішенями. Переміщення коштів до того, як це вікно закриється, має більше значення, ніж переміщення їх після.

QSB ще не інтегровано в жодний споживчий гаманець. Наразі користувачі не можуть відкрити стандартний гаманець і увімкнути налаштування квантової безпеки. Леві надав криптографічний доказ того, що такий шлях існує, побудований на основі правил, які вже є в біткойні, і який коштує приблизно стільки ж, скільки квиток на літак, у обчислювальній потужності графічного процесора.

Решта роботи — це інженерія, впровадження та час. Для власника BTC завдання просте: стежити за появою постквантової підтримки від постачальника гаманця, уникати повторного використання адрес та переказувати кошти на квантово-безпечну адресу, коли ця опція стане доступною в основному програмному забезпеченні. Інструменти для захисту біткойнів створюються саме зараз.