Шістнадцять років тому, у 2010 році, Сатоші Накамото відповів скептику на форумі, і ця відповідь досі визначає, як мережа захищає свої кошти.
Сатоші Накамото передбачив захист біткойна за допомогою хеш-функцій за 16 років до появи побоювань щодо квантових обчислень

Основні висновки
- Сатоші Накамото виступив на захист алгоритму SHA-256 у дописі на форумі Bitcointalk від 16 липня 2010 року.
- Google Quantum AI знизила свій прогноз на 2026 рік щодо зламу кривої безпеки біткойна до 500 000 кубітів.
- Розробники запропонували BIP-360 та інші ідеї на 2026 рік для підготовки квантовостійких адрес.
Пост на форумі, який встановив правила
16 липня 2010 року користувач під ніком bdonlan поставив під сумнів подвійне хешування SHA-256 у Bitcoin на форумі Bitcointalk. Він запитав, чи не послаблює така конструкція безпеку.
Сатоші відповів безпосередньо. Винахідник біткойна порівняв SHA-256 із переходом від 32-бітних до 64-бітних обчислень, а не з незначним збільшенням довжини в бітах. Він зазначив, що 32-бітний адресний простір вичерпався на позначці 4 гігабайтів, але ніхто не очікує, що 64-бітний простір вичерпається найближчим часом. SHA-256 працює за тим самим принципом, і математичні розрахунки дають біткойну значний запас міцності.
Сатоші також передбачив для мережі план виходу. Якщо SHA-256 коли-небудь ослабне, розробники зможуть здійснити м’який форк на нову хеш-функцію на заданій висоті блоку. Старі та нові хеші працюватимуть паралельно, доки кожен вузол не оновиться.
З того часу ринкова капіталізація біткойна перевищила трильйон, а мережа щодня обробляє транзакції на суму в сотні мільярдів доларів. Кожен долар цієї діяльності досі залежить від хеш-функції, яку Сатоші відстояв у єдиному дописі на форумі шістнадцять років тому.
Чому біткойн використовує два хеші замість одного
Код біткойна хешує дані двічі: SHA256(SHA256(дані)), метод, який розробники називають SHA256d. Криптографи Нільс Фергюсон і Брюс Шнайер рекомендували цей підхід для захисту від атак на подовження довжини блоку — вразливості в структурі Меркла-Дамгарда, яку використовує SHA-2.
Майнери хешують заголовки блоків двічі, щоб досягти цільового рівня складності мережі, а вузли хешують транзакції двічі для побудови дерев Меркла. Гаманці додають третій рівень — RIPEMD-160 поверх SHA-256 — щоб скоротити відкриті ключі до адрес.
Сатоші обрав SHA-256 не випадково. Національний інститут стандартів і технологій опублікував цей алгоритм у 2001 році як частину сімейства SHA-2, що забезпечило значне підвищення надійності порівняно з SHA-1, у якого вже були виявлені вразливості на момент запуску біткойна в січні 2009 року. Для того щоб викликати колізію в SHA-256, потрібно приблизно 2^128 операцій, а для отримання преображення — приблизно 2^256.
Минуло шістнадцять років, і ніхто не зміг зламати цю конструкцію. Жоден дослідник не знайшов дієвої атаки на колізію, преображення або друге преображення проти повного SHA-256. Версії зі скороченою кількістю раундів піддалися криптоаналізу, але ці атаки не можуть масштабуватися до рівня справжнього 64-раундового алгоритму. NIST та незалежні групи, такі як ECRYPT-CSA, продовжують оцінювати повну функцію як безпечну.
Апаратне забезпечення для майнінгу підтверджує це. Виробники спеціалізованих інтегральних схем (ASIC) створили цілі лінійки продуктів на базі SHA-256d, а хешрейт мережі зараз сягає ексахешів. Сатоші передбачав, що сам по собі закон Мура ніколи не загрожуватиме цій функції, а коригування складності підтримують час формування блоку на рівні близько десяти хвилин, незважаючи на експоненціальне зростання потужності майнінгу.
Квантові обчислення змінюють ситуацію
Класичний метод грубої сили ніколи не турбував Сатоші, і він досі не становить загрози для біткойна. Квантові обчислення розділяють ризик на дві окремі проблеми.
Алгоритм Гровера прискорює пошук методом грубої сили. Застосований до SHA-256, він знижує ефективний рівень безпеки з 256 бітів до приблизно 128 бітів — цифри, яка все ще залишається недосяжною. Дослідники стверджують, що зловмиснику знадобилося б квантове обладнання такого масштабу, якого світ ще не створив, тож наразі ситуація залишається безпечною.
Алгоритм Шора становить більшу проблему, оскільки він націлений на підписи, а не на хеші. Квантовий комп’ютер, що виконує цей алгоритм, міг би витягнути приватний ключ із відкритого публічного ключа на еліптичній кривій, яку використовує біткойн. За оцінками, 7 мільйонів біткойнів, що становить близько 35 % від загального обсягу, зберігаються на адресах із відкритими відкритими ключами, і в разі існування такого обладнання вони були б під загрозою.
У 2026 році Google Quantum AI опублікувало дослідження, яке знизило кількість кубітів, необхідних для злому кривої біткойна, до приблизно 500 000 фізичних кубітів. Сучасні квантові машини працюють у діапазоні від 1 000 до 1 500 кубітів. Дослідники все ще оцінюють реальну загрозу десь у період між 2029 і 2035 роками, залежно від прогресу в галузі корекції помилок.
Розробники повертаються до цього питання через шістнадцять років
Протягом 2010 року Сатоші не раз повертався до питань, пов’язаних із хешуванням, зокрема до того, що станеться, якщо SHA-256 зазнає часткової колізії. Його відповідь залишалася незмінною: зафіксувати чесний ланцюг, перш ніж проблема пошириться, а потім перейти на нову функцію.
Пізніші оновлення Bitcoin не торкнулися основного хешування. У 2017 році було активовано Segregated Witness, а у 2021 році — Taproot; обидва оновлення були спрямовані на підвищення ефективності та конфіденційності, а не на хешування. Квантова стійкість не стала пріоритетною темою для розробників, доки у 2020-х роках у криптографічній спільноті не поширилася інформація про алгоритми Гровера та Шора.
Розробники пропонують шляхи виходу, обіцяні Сатоші
Розробники Bitcoin вже запропонували шлях міграції, описаний Сатоші у 2010 році, тільки спрямований на підписи, а не на хеші. Було висунуто кілька ідей.
BIP-360 запроваджує новий формат адрес — адреси типу «pay-to-Merkle-root», що починаються з bc1z, побудовані на основі схем підписів, стійких до квантових атак. Розробники включили цю пропозицію до репозиторію у 2026 році. Супутня пропозиція, BIP-361, визначає, як мережа зможе з часом вивести з обігу старі, вразливі типи адрес. Останній метод є дещо більш суперечливим.
Наразі постачальники гаманців відчувають тиск, щоб припинити повторне використання адрес і переорієнтувати користувачів на новіші типи виходів до настання будь-якого квантового терміну.
Міграція має свої перешкоди. Розробникам все ще потрібен план щодо монет, заблокованих на старих адресах, власники яких неактивні або недоступні, включаючи будь-які біткойни, пов’язані з ранніми гаманцями самого Сатоші. Постквантові підписи також займають більше місця в блоці, ніж підписи, які Bitcoin використовує сьогодні, і дослідники тестують схеми підписів на основі хеш-функцій, щоб зробити цю міграцію керованою.
Що це означає для власників біткойнів
Наразі SHA-256 не вимагає жодних дій. Хеш-функція, яка забезпечує безпеку майнінгу та історії транзакцій, залишається недоторканною для будь-яких відомих атак — як класичних, так і квантових.
Варто звернути увагу саме на вразливість підписів. Власники монет на адресах старого типу або ті, хто повторно використовував біткойн-адресу, наражаються на більший ризик, ніж ті, хто використовує сучасні типи виходів з відкритими ключами, що залишаються прихованими до моменту витрачання.
Сатоші завершив обговорення 2010 року попередженням, яке й досі є актуальною політикою. Будь-яка атака, достатньо потужна, щоб зламати SHA-256, ймовірно, пошкодила б і більш міцні аналоги, такі як SHA-512, тому повне зламування само по собі виглядає малоймовірним. Захист біткойна ніколи не полягав у незмінності. Він полягав у здатності вжити заходів до того, як загроза стане реальною.
Цю статтю перекладено з англійської мови за допомогою штучного інтелекту. Оригінальна англомовна версія є авторитетним джерелом; автоматичні переклади можуть містити неточності, особливо в юридичній та нормативній термінології.















