Introduction
The quantum threat to Bitcoin is one of the oldest open problems in the protocol’s risk surface, and one of the most misunderstood. It is routinely framed as a binary: either a sufficiently powerful quantum computer arrives and every coin is vulnerable, or it does not and the question can be deferred indefinitely. Neither framing survives contact with the cryptographic detail.
Bitcoin’s signature scheme — ECDSA over the secp256k1 curve — is theoretically broken by Shor’s algorithm running on a fault-tolerant quantum computer of sufficient scale. But the threat does not apply uniformly across the UTXO set. It depends on whether the public key associated with a coin has ever been revealed on-chain. For the substantial fraction of bitcoin that sits behind addresses where the public key has been exposed — through address reuse, through legacy Pay-to-Public-Key outputs, or through the brief window between broadcasting a transaction and its confirmation — the cryptographic protection is weaker than for coins whose public keys remain hashed.
A recent Coinbase research note has pushed this distinction back into mainstream discussion by quantifying the exposure: a meaningful slice of circulating supply, including coins in some exchange cold wallets and a large share of dormant Satoshi-era UTXOs, sits in this exposed category. Around the same period, public disagreement among cryptographers over how Bitcoin should respond — migrate, freeze, or wait — has surfaced governance tensions that the protocol has not had to confront before.
We examine the mechanics of the exposure, the size and composition of the at-risk set, the candidate post-quantum signature schemes, and the migration and freezing proposals that the community will eventually have to choose between.
Why public-key exposure is the actual threat surface
Bitcoin addresses are not public keys. They are hashes of public keys, or hashes of scripts that contain public keys. The distinction matters because the cryptographic problem a quantum adversary needs to solve is different in each case.
When a user receives bitcoin to a standard Pay-to-Public-Key-Hash (P2PKH) or Pay-to-Witness-Public-Key-Hash (P2WPKH) address, what appears on-chain is the output of SHA-256 followed by RIPEMD-160 applied to the public key. The public key itself is not revealed until the user spends from that address — at which point the spending transaction must include the public key so that network nodes can verify the signature.
A quantum adversary running Shor’s algorithm can recover a private key from a public key in polynomial time, assuming a fault-tolerant machine of the right scale. Shor’s algorithm does not, however, invert the SHA-256 + RIPEMD-160 hash composition. The best known quantum attack against a generic hash is Grover’s algorithm, which gives a quadratic speedup — turning a 160-bit preimage search into roughly 2^80 quantum operations. That is still computationally extreme and far harder than the ECDSA break.
The practical consequence: a coin sitting in a P2PKH address that has never been spent from is, in a quantum world, protected by hash preimage resistance, not by the discrete log problem on secp256k1. A coin in an address whose public key has been published — because it was once spent from, because it was a P2PK output, or because it is currently in the mempool — is protected only by the discrete log problem, which Shor’s algorithm directly attacks.
The three exposure categories
Three categories of bitcoin have their public keys visible on-chain:
- Pay-to-Public-Key (P2PK) outputs. The earliest Bitcoin output format, used heavily in 2009 and early 2010, encodes the public key directly in the locking script. Most coinbase rewards from the first year of mining — including the bulk of UTXOs attributed to Satoshi — are P2PK outputs.
- Reused addresses. Any P2PKH or P2WPKH address from which a transaction has been spent has had its public key revealed. If the owner left a balance at that same address, or returned funds to it later, those funds sit behind a public key that is fully visible to any observer indexing the chain.
- In-flight transactions. During the window between broadcast and confirmation — typically minutes, but longer under congestion — the public key is in the mempool. A quantum adversary capable of breaking ECDSA inside that window could, in principle, derive the private key, construct a higher-fee replacement transaction, and steal the funds before they confirm.
The first two categories represent static exposure that grows with chain history. The third is a flow problem that affects every transaction made under the legacy scheme, regardless of how the address was generated.
How much bitcoin is actually exposed
Quantifying the at-risk set requires distinguishing between coins that are demonstrably exposed today and coins that would become exposed the moment their owners attempt to move them. The Coinbase analysis and parallel academic work converge on figures in the range of several million BTC for the first category — a meaningful share of circulating supply, though the precise number depends on classification choices.
The exposed set decomposes roughly into three buckets.
Satoshi-era P2PK coins
The largest and most cryptographically clean component is the corpus of P2PK coinbase outputs from 2009 and early 2010. Estimates of coins likely mined by Satoshi cluster around the well-known Patoshi-pattern figure of roughly 1.1 million BTC, with the broader set of early P2PK coinbase outputs reaching higher still. These coins have never moved. Their public keys are written directly into the locking scripts. Under a quantum break of ECDSA, every one of these UTXOs becomes spendable by whoever runs Shor’s algorithm first.
This bucket is the one that generates the sharpest governance tension. The coins are economically abandoned in the strongest possible sense — many predate the existence of an exchange ecosystem and have never been touched — but they remain legitimately owned by whoever holds the corresponding private keys. A freezing rule designed to protect them is also a rule that deprives their owners of access.
Reused P2PKH addresses
The second bucket is the long tail of P2PKH and P2WPKH addresses that have been used as a static deposit address by exchanges, custodians, and individual users. Each time such an address is spent from, the public key becomes a permanent part of chain history; any residual balance, or any future deposit to the same address, sits behind exposed material.
The Coinbase research highlights that this category is not limited to careless individual users. Cold-wallet schemes at several exchanges have historically routed deposits to addresses that had already produced spends, often because the operational model treated a hot address as a long-lived destination. The exposure here is not measured in handfuls of coins; institutional reuse can encompass holdings in the tens or hundreds of thousands of BTC at a single venue.
Lost and dormant exposed coins
A subset of the first two buckets overlaps with coins that are likely lost — keys discarded, hardware destroyed, holders deceased. Lost exposed coins are the bluntest version of the quantum problem: under a successful break, they are not so much stolen as repossessed by an adversary, with no rightful owner left to compete for them. Estimates of lost bitcoin span a wide range, with figures around 3–4 million BTC frequently cited; the portion of that which sits in exposed scripts is smaller but non-trivial.
The cryptographic timeline that matters
The question of when a fault-tolerant quantum computer capable of breaking secp256k1 ECDSA will exist is genuinely open, and the range of credible expert estimates is wide. We will not improve on those estimates here. What is more useful is to identify the structural milestones along which Bitcoin’s exposure changes shape.
What Shor’s algorithm actually requires
Shor’s algorithm reduces both integer factorization and the discrete logarithm problem to polynomial-time quantum routines. The relevant variant for Bitcoin is the elliptic-curve version, which operates on the group of points on secp256k1. Published resource estimates place the requirement for breaking a 256-bit elliptic-curve key in the rough range of millions of physical qubits, assuming current surface-code error-correction overheads, to support several thousand logical qubits running a circuit of considerable depth.
Today’s announced quantum processors operate at scales orders of magnitude smaller, and the gap between physical and logical qubits remains the binding constraint. Progress is real but not uniform: gains in qubit count, gate fidelity, and error-correction efficiency each contribute, and a breakthrough in any one — particularly in error-correction overhead — can compress the timeline by years.
The “harvest now, decrypt later” frame does not apply cleanly
In the broader post-quantum discussion, the standard adversary model is “harvest now, decrypt later”: an attacker records encrypted traffic today and decrypts it once quantum capability arrives. Bitcoin’s situation is different and, in some respects, worse. There is nothing to harvest — the exposed public keys are already on a public ledger and will remain there indefinitely. The adversary does not need to anticipate or store anything; they need only wait.
The corollary is that the migration window is not the period between now and a quantum capability — it is the period between now and the earliest moment that capability becomes plausible to a well-resourced actor. The protocol must complete migration before that earlier date, not after.
The “Q-Day window” and in-flight risk
Even after migration to a post-quantum scheme, legacy outputs remain on-chain. A useful frame is the Q-Day window: the period bracketing the point at which a quantum adversary first becomes capable of breaking ECDSA, during which legacy UTXOs that have not been migrated, frozen, or burned are at acute risk. In-flight transactions broadcast in legacy format during that window are similarly exposed.
The duration of the window is what protocol design choices can influence. A migration that begins early and offers a long transition can move most economic value off the exposed surface before Q-Day; a migration that begins late, or that fails to provide a credible path for inactive holders, leaves a larger residual.
Migration paths and their tradeoffs
There is no consensus on what Bitcoin should do, and the public disagreement among cryptographers is structural rather than tactical. The candidate paths sit on a spectrum from minimal intervention to aggressive ledger modification, and each carries a different distribution of harm.
Opt-in migration with no deadline
The most conservative path is to introduce a post-quantum signature scheme as a new address type via soft fork, and leave migration entirely to coin holders. Active wallets would adopt the new scheme as they upgrade; inactive UTXOs would remain in their current scripts.
The advantage of this path is that it preserves Bitcoin’s strong norm against modifying existing balances. The disadvantage is that it does nothing about the exposed P2PK and reused-address coins. Under a Q-Day event, those coins are taken. The chain experiences a sudden, large unauthorized movement of coins that the protocol cannot distinguish from legitimate spending — because the signatures are cryptographically valid.
Migration with a hard deadline
A more interventionist path adds a deadline. After a published block height, the protocol refuses to validate signatures against legacy scripts; coins held in those scripts become unspendable. This is sometimes framed as a soft freeze: the coins are not confiscated, but they cannot be moved.
The effect is to convert exposed coins into burned coins by a date certain. Active holders are given a long migration window — typically several years in published proposals — during which they can move funds from legacy to post-quantum scripts. Holders who do not act, either because they cannot or because they no longer hold the keys, lose access.
The case for the deadline is that it eliminates the windfall: a quantum adversary cannot harvest coins that the protocol itself has rendered unspendable. The case against is that it imposes a centralized decision — by a particular date, on a particular set of UTXOs — that is in tension with the property-rights model Bitcoin has historically defended.
Selective freezing of exposed scripts only
A narrower variant is to freeze only the scripts where public keys are already on-chain — P2PK outputs and addresses with prior spends — while leaving unspent, unrevealed P2PKH addresses alone. The argument is that hashed addresses retain meaningful protection from Grover’s algorithm and do not need to be migrated on a quantum-driven schedule; only the exposed subset is at risk.
This narrows the population of coins affected but does not resolve the underlying tension. Selecting the criterion still requires a protocol-level decision about which UTXOs to disable. And the boundary is not entirely clean: a holder of a reused address may still have legitimate control of the private key and a legitimate intent to spend.
Recovery mechanisms via proof of prior ownership
A more elaborate proposal layers a recovery mechanism on top of any freezing rule. Holders of frozen coins could later prove ownership through some mechanism that is not vulnerable to quantum attack — for example, by demonstrating knowledge of a seed phrase via a post-quantum zero-knowledge proof, or by referencing an earlier non-ECDSA commitment.
The mechanics are not trivial. Most current Bitcoin wallets do not produce any artifact, beyond the ECDSA key itself, that could later be used to prove ownership in a quantum-safe way. A recovery scheme would either need to be retrofitted — requiring active users to commit to a post-quantum proof before the deadline, which collapses back into ordinary migration — or rely on out-of-band information such as hardware-bound attestations, which most early Bitcoin users do not have.
The post-quantum signature scheme question
Choosing a replacement for ECDSA is an engineering decision with significant on-chain consequences. The candidates that have emerged in the broader NIST post-quantum standardization process each carry distinct tradeoffs in signature size, verification cost, and assumed cryptographic hardness.
Hash-based signatures
Hash-based schemes such as Lamport signatures and their stateful variants (XMSS, LMS) and stateless variants (SPHINCS+) rely on the security of the underlying hash function rather than on any number-theoretic problem. They are widely regarded as the most cryptographically conservative post-quantum option: if the hash function holds, the signature holds.
The cost is size. A single SPHINCS+ signature runs to several kilobytes — orders of magnitude larger than the 64–72 bytes of an ECDSA signature. Stateful Lamport-family schemes are smaller per signature but require careful state management to avoid key reuse, which is poorly suited to the loose, multi-device wallet model that Bitcoin users have come to expect.
For Bitcoin, the implication is direct: a transition to hash-based signatures would meaningfully expand transaction sizes, reduce block throughput in terms of transactions per block, and raise on-chain fees for equivalent operations. Block weight discounting could mitigate this, but the tradeoff is structural.
Lattice-based signatures
Lattice-based schemes such as CRYSTALS-Dilithium, selected by NIST as the primary post-quantum signature standard, are based on the hardness of structured lattice problems. Their signatures are larger than ECDSA — typically a few kilobytes — but smaller than SPHINCS+, and verification is fast.
The conservatism question is sharper here. Lattice cryptography is younger than hash-based cryptography, and the structured-lattice assumptions underlying Dilithium have a shorter history of public cryptanalysis than the hardness assumptions behind ECDSA at a comparable point in its lifecycle. The cryptographer disagreements that have surfaced in public discussion this year center substantially on how much confidence to place in these assumptions for an asset class where a single break is catastrophic and irreversible.
Other candidates
Isogeny-based schemes were once considered promising but suffered serious breaks in 2022. Code-based and multivariate schemes have other tradeoffs that make them poor fits for Bitcoin’s on-chain footprint. The practical choice for Bitcoin is between hash-based conservatism and lattice-based efficiency, and the protocol does not have to make this choice in isolation — it can adopt a hybrid scheme that requires both signatures to validate, accepting the size cost in exchange for surviving a break in either family.
The hybrid case
A hybrid construction — for example, requiring both a SPHINCS+ signature and a Dilithium signature, or pairing one of those with a retained ECDSA signature during a transition period — offers a meaningful defense-in-depth posture. The cost is additive in signature size, and the engineering complexity is higher, but the security argument is the strongest: an adversary needs to break both schemes, or both the post-quantum scheme and ECDSA, to forge a transaction.
For a system where the worst case is a chain-wide loss of confidence in the validity of historical balances, the conservatism case for hybrids is unusually strong.
Implications and open questions
The cryptographic substance of the quantum question is well understood. The governance substance is not, and that is where the more interesting tensions lie.
The first open question is whether Bitcoin can execute any deadline-based migration without fracturing. The protocol’s social contract has historically treated UTXOs as durable property: a coin sent in 2010 should remain spendable in 2030 by whoever holds the key. A deadline that converts unspent coins into unspendable coins is a deliberate departure from that contract, even if the rationale is to deny an external adversary a windfall rather than to confiscate value. The cryptographer community is openly split on whether the departure is justified, and the split does not map cleanly onto familiar Bitcoin political camps.
The second open question is informational. Even with a deadline in place, holders need to know that one exists, that their coins are affected, and how to migrate. The substantial fraction of bitcoin held by inactive users — recipients who set up a wallet years ago and never returned to it — is by construction the hardest population to reach. A deadline announcement that reaches active wallets through routine software upgrades will not reach holders who have not opened their wallets in a decade.
The third question is operational, and it falls disproportionately on custodians. Exchanges and institutional holders that have historically reused deposit addresses face a migration that is not just a software update but a re-architecture of their cold-storage model. The Coinbase analysis frames this as a near-term hygiene issue: rotating to fresh addresses, ending the practice of reusing static deposit destinations, and structuring cold wallets so that no public key is unnecessarily revealed. None of this requires consensus changes, and all of it reduces exposure now.
The fourth question is about the legitimacy of dormant coins as a special category. If a future migration treats Satoshi-era P2PK outputs differently — for instance, by accepting them as the canonical lost-coin class and freezing them on a separate schedule — that is itself a precedent. It establishes that the protocol can identify a subset of holders and apply distinct rules to their UTXOs. Once that capability is exercised, it is harder to argue that it cannot be exercised again under different motivations.
What we are watching for, in order of immediacy: the pace at which large custodians publicly commit to ending address reuse and migrating cold wallets to non-revealing schemes; the emergence of a credible BIP or set of BIPs proposing concrete deadlines and signature schemes, with public review from cryptographers outside the immediate Bitcoin development circle; the response of the mining and node operator base to those proposals, which is the population that ultimately enforces any consensus change; and the trajectory of fault-tolerant quantum hardware, particularly improvements in error-correction overhead, which is the variable most likely to compress the available migration window.
The quantum question is not urgent in the sense that something must happen this quarter. It is urgent in the sense that the decisions that determine how Bitcoin handles its exposed coins will be made over years, not months, and the cost of starting late is asymmetric: a migration begun early and never needed is a modest waste; a migration begun late and overtaken by hardware progress is a loss the protocol cannot fully recover from.
서론
비트코인에 대한 양자 컴퓨터의 위협은 프로토콜 리스크 표면에서 가장 오래된 미해결 문제 중 하나이며, 동시에 가장 많이 오해받는 문제이기도 하다. 이 문제는 흔히 이분법적으로 프레이밍된다. 충분한 성능의 양자 컴퓨터가 등장하면 모든 코인이 취약해지거나, 그렇지 않으면 이 문제는 무기한 유예될 수 있다는 식이다. 그러나 두 프레이밍 모두 암호학적 세부사항 앞에서는 설득력을 잃는다.
비트코인의 서명 방식인 secp256k1 곡선 위의 ECDSA는, 이론적으로 충분한 규모의 오류 허용(fault-tolerant) 양자 컴퓨터에서 실행되는 쇼어(Shor) 알고리즘에 의해 해독될 수 있다. 하지만 이 위협은 UTXO 집합 전체에 균일하게 적용되지 않는다. 핵심은 해당 코인과 연결된 공개키가 온체인에 공개된 적 있는지 여부다. 주소 재사용, 레거시 Pay-to-Public-Key 출력, 또는 트랜잭션 브로드캐스트와 컨펌 사이의 짧은 창 등을 통해 공개키가 노출된 비트코인은, 공개키가 해시 뒤에 여전히 숨겨진 코인보다 암호학적 보호 수준이 현저히 낮다.
최근 Coinbase의 리서치 노트는 이 구분을 다시 주류 논의의 중심으로 끌어올리며 위험 노출 규모를 수치화했다. 일부 거래소 콜드월렛과 상당수의 사토시 시대 휴면 UTXO를 포함하여, 유통 공급량의 상당 부분이 이 노출 범주에 속한다는 것이다. 비슷한 시기, 비트코인이 어떻게 대응해야 하는지를 두고 암호학자들 사이에서 공개적인 이견이 표출되었다. 마이그레이션, 동결, 아니면 대기 중 어느 방향이 맞는지를 놓고 벌어진 이 논쟁은, 프로토콜이 지금껏 직면한 적 없던 거버넌스 긴장을 수면 위로 드러냈다.
이 글에서는 위험 노출의 메커니즘, 위험 집합의 규모와 구성, 포스트 양자 서명 방식의 후보들, 그리고 커뮤니티가 결국 선택해야 할 마이그레이션 및 동결 제안을 살펴본다.
공개키 노출이 실제 위협 표면인 이유
비트코인 주소는 공개키가 아니다. 공개키의 해시이거나, 공개키를 포함하는 스크립트의 해시다. 이 구분은 중요하다. 양자 공격자가 풀어야 하는 암호학적 문제가 각 경우마다 다르기 때문이다.
사용자가 표준 Pay-to-Public-Key-Hash(P2PKH) 또는 Pay-to-Witness-Public-Key-Hash(P2WPKH) 주소로 비트코인을 수신할 때, 온체인에 기록되는 것은 공개키에 SHA-256을 적용한 뒤 RIPEMD-160을 적용한 결과값이다. 공개키 자체는 사용자가 해당 주소에서 비트코인을 지출할 때까지 공개되지 않는다. 지출 트랜잭션에는 네트워크 노드가 서명을 검증할 수 있도록 공개키가 포함되어야 한다.
쇼어 알고리즘을 실행하는 양자 공격자는 공개키로부터 비밀키를 다항 시간 내에 복원할 수 있다. 단, 적절한 규모의 오류 허용 머신이 전제된다. 그러나 쇼어 알고리즘은 SHA-256 + RIPEMD-160 해시 조합을 역산하지는 못한다. 범용 해시에 대한 알려진 최선의 양자 공격은 그로버(Grover) 알고리즘으로, 이차적(quadratic) 속도 향상을 제공하여 160비트 프리이미지 탐색을 약 2^80번의 양자 연산으로 줄여준다. 이는 여전히 계산적으로 극단적인 수준이며, ECDSA 해독보다 훨씬 어렵다.
실질적인 결론은 이렇다. 한 번도 지출된 적 없는 P2PKH 주소에 있는 코인은, 양자 세계에서도 해시 프리이미지 저항성으로 보호된다. secp256k1의 이산 로그 문제가 아니다. 반면, 이미 지출된 적 있거나, P2PK 출력이거나, 현재 멤풀에 있어 공개키가 공개된 주소의 코인은 오직 이산 로그 문제에만 의존하며, 이것이 바로 쇼어 알고리즘이 직접 공격하는 대상이다.
세 가지 노출 범주
온체인에 공개키가 드러난 비트코인은 세 가지 범주로 나뉜다.
- Pay-to-Public-Key(P2PK) 출력. 가장 초기의 비트코인 출력 형식으로, 2009년과 2010년 초에 집중적으로 사용되었으며 잠금 스크립트에 공개키를 직접 인코딩한다. 채굴 첫 해의 코인베이스 보상 대부분, 사토시에게 귀속되는 UTXO의 상당수가 P2PK 출력에 해당한다.
- 재사용 주소. 한 번이라도 지출 트랜잭션이 발생한 P2PKH 또는 P2WPKH 주소는 공개키가 공개된 상태다. 해당 주소에 잔액이 남아 있거나, 이후 다시 자금이 입금되었다면, 그 코인들은 체인을 인덱싱하는 누구에게나 완전히 보이는 공개키 뒤에 놓여 있다.
- 전송 중인 트랜잭션. 브로드캐스트에서 컨펌까지의 창, 보통 수 분이지만 네트워크 혼잡 시에는 더 길어지는 이 구간 동안 공개키는 멤풀에 노출된다. 이 창 안에서 ECDSA를 해독할 수 있는 양자 공격자는 이론적으로 비밀키를 추출하고, 더 높은 수수료의 대체 트랜잭션을 생성하여 컨펌 이전에 자금을 탈취할 수 있다.
첫 두 범주는 체인 히스토리가 누적될수록 커지는 정적 노출이다. 세 번째는 주소 생성 방식과 무관하게 레거시 방식으로 이루어지는 모든 트랜잭션에 영향을 미치는 흐름의 문제다.
실제로 노출된 비트코인의 규모
위험 집합을 수치화하려면 현재 명백하게 노출된 코인과, 소유자가 이동을 시도하는 순간 노출될 코인을 구분해야 한다. Coinbase의 분석과 병행 학술 연구 모두 첫 번째 범주에 대해 수백만 BTC 규모라는 수치로 수렴한다. 정확한 수치는 분류 기준에 따라 달라지지만, 유통 공급량 중 의미 있는 비중임은 분명하다.
노출 집합은 크게 세 버킷으로 나뉜다.
사토시 시대 P2PK 코인
가장 크고 암호학적으로 가장 명확한 구성 요소는 2009년과 2010년 초의 P2PK 코인베이스 출력 덩어리다. 사토시가 채굴했을 것으로 추정되는 코인은 잘 알려진 파토시(Patoshi) 패턴 기반 추정치인 약 110만 BTC 수준이며, 초기 P2PK 코인베이스 출력 전체로 범위를 넓히면 그보다 더 많다. 이 코인들은 단 한 번도 이동한 적이 없으며, 공개키가 잠금 스크립트에 직접 기록되어 있다. ECDSA에 대한 양자 해독이 성공한다면, 이 UTXO들은 쇼어 알고리즘을 먼저 실행하는 누구든 지출 가능한 상태가 된다.
이 버킷이 가장 날카로운 거버넌스 긴장을 유발한다. 이 코인들은 경제적으로 가장 강력한 의미에서 방기된 것들이다. 많은 코인이 거래소 생태계가 존재하기 전에 채굴되어 한 번도 거래된 적이 없다. 하지만 대응하는 비밀키를 보유한 사람에게는 여전히 합법적 소유권이 있다. 이 코인들을 보호하기 위한 동결 규칙은 곧 소유자의 접근권을 박탈하는 규칙이기도 하다.
재사용된 P2PKH 주소
두 번째 버킷은 거래소, 커스터디 업체, 개인 사용자들이 고정 입금 주소로 사용해온 P2PKH 및 P2WPKH 주소들의 긴 꼬리다. 해당 주소에서 한 번이라도 지출이 발생하면 공개키는 체인 히스토리의 영구적인 일부가 된다. 이후 그 주소에 남아 있는 잔액이나 추가 입금된 자금은 모두 노출된 공개키 뒤에 놓인다.
Coinbase의 리서치는 이 범주가 부주의한 개인 사용자에만 국한되지 않는다는 점을 강조한다. 여러 거래소의 콜드월렛 구조가 역사적으로 이미 지출이 발생한 주소로 입금을 라우팅했으며, 운영 모델상 핫 주소를 장기적인 목적지로 취급한 경우가 많았기 때문이다. 이 범주의 노출은 소수의 코인에 그치지 않는다. 단일 거래소에서 수만 내지 수십만 BTC에 달하는 기관 수준의 재사용 사례가 존재한다.
분실되거나 휴면 상태인 노출 코인
앞의 두 버킷 중 일부는 분실된 코인, 즉 키가 폐기되거나, 하드웨어가 파괴되거나, 소유자가 사망한 코인과 겹친다. 분실된 노출 코인은 양자 문제의 가장 단순한 형태다. 성공적인 양자 해독이 이루어진다면, 이 코인들은 탈취되는 것이 아니라 경쟁할 정당한 소유자도 없이 공격자에게 귀속되는 셈이다. 분실된 비트코인 추정치는 매우 다양하며 약 300만~400만 BTC라는 수치가 자주 인용된다. 그 중 노출된 스크립트에 해당하는 부분은 더 작지만 무시할 수준은 아니다.
중요한 암호학적 타임라인
secp256k1 ECDSA를 해독할 수 있는 오류 허용 양자 컴퓨터가 언제 등장할지는 진정으로 열려 있는 질문이며, 전문가들의 신뢰할 수 있는 추정치 범위도 넓다. 이 글에서 그 추정치를 개선하려는 것은 아니다. 더 유용한 것은 비트코인의 노출 양태가 변화하는 구조적 이정표들을 파악하는 일이다.
쇼어 알고리즘이 실제로 요구하는 것
쇼어 알고리즘은 정수 인수분해와 이산 로그 문제 모두를 다항 시간 양자 루틴으로 환원한다. 비트코인에 관련된 변형은 타원 곡선 버전으로, secp256k1 위의 점들의 군에서 동작한다. 256비트 타원 곡선 키를 해독하는 데 필요한 자원 추정치는, 현재의 표면 코드(surface-code) 오류 정정 오버헤드를 가정할 때 수백만 개의 물리적 큐비트 규모이며, 상당한 깊이의 회로를 실행하는 수천 개의 논리적 큐비트를 지원해야 한다.
현재 발표된 양자 프로세서들은 이보다 몇 자릿수 작은 규모에서 동작하며, 물리적 큐비트와 논리적 큐비트 사이의 격차가 여전히 핵심 제약이다. 큐비트 수, 게이트 충실도, 오류 정정 효율 각각의 개선이 모두 기여하며, 그 중 하나에서, 특히 오류 정정 오버헤드에서 돌파구가 생긴다면 타임라인은 수년 단위로 앞당겨질 수 있다.
”지금 수집, 나중에 복호화” 프레임은 그대로 적용되지 않는다
더 넓은 포스트 양자 논의에서 표준적인 공격자 모델은 “지금 수집, 나중에 복호화(harvest now, decrypt later)“다. 공격자가 오늘 암호화된 트래픽을 저장해두고 양자 능력이 갖춰지면 복호화하는 방식이다. 비트코인의 상황은 다르며, 어떤 면에서는 더 나쁘다. 수집할 것이 없다. 노출된 공개키는 이미 공개 장부에 있으며 영구적으로 남는다. 공격자는 아무것도 예측하거나 저장할 필요 없이 기다리기만 하면 된다.
그 함의는 이렇다. 마이그레이션 창은 현재부터 양자 능력이 갖춰지는 시점까지가 아니다. 현재부터 그 능력이 충분한 자원을 가진 행위자에게 현실적으로 가능해지는 가장 이른 시점까지다. 프로토콜은 그 이후가 아니라 그 이전에 마이그레이션을 완료해야 한다.
”Q-Day 창”과 전송 중 위험
포스트 양자 방식으로 마이그레이션된 이후에도 레거시 출력은 온체인에 남는다. 유용한 프레임은 Q-Day 창이다. 양자 공격자가 처음으로 ECDSA를 해독할 능력을 갖추는 시점을 전후한 구간으로, 이 동안 마이그레이션, 동결, 또는 소각되지 않은 레거시 UTXO들이 급박한 위험에 처한다. 이 창 안에서 레거시 형식으로 브로드캐스트된 전송 중인 트랜잭션도 마찬가지로 노출된다.
이 창의 지속 기간은 프로토콜 설계 선택이 영향을 미칠 수 있는 부분이다. 일찍 시작하고 긴 전환 기간을 제공하는 마이그레이션은 Q-Day 이전에 대부분의 경제적 가치를 노출 표면 밖으로 이동시킬 수 있다. 늦게 시작하거나 비활성 보유자를 위한 신뢰할 수 있는 경로를 제공하지 못하는 마이그레이션은 더 큰 잔여 위험을 남긴다.
마이그레이션 경로와 트레이드오프
비트코인이 무엇을 해야 하는지에 대한 합의는 없다. 암호학자들 사이의 공개적 이견은 전술적 차이가 아닌 구조적 차이다. 후보 경로들은 최소 개입에서 적극적인 장부 수정까지 스펙트럼을 이루며, 각각 피해의 분배 방식이 다르다.
기한 없는 선택적 마이그레이션
가장 보수적인 경로는 소프트 포크를 통해 포스트 양자 서명 방식을 새 주소 유형으로 도입하고, 마이그레이션을 전적으로 코인 보유자에게 맡기는 것이다. 활성 지갑은 업그레이드 과정에서 새 방식을 채택하고, 비활성 UTXO는 기존 스크립트에 그대로 남는다.
이 경로의 장점은 기존 잔액을 수정하지 않는다는 비트코인의 강한 규범을 지킨다는 것이다. 단점은 노출된 P2PK 및 재사용 주소 코인에 대해 아무것도 하지 않는다는 것이다. Q-Day 이벤트 발생 시 그 코인들은 탈취된다. 체인은 프로토콜이 합법적 지출과 구분할 수 없는 대규모의 갑작스러운 무단 코인 이동을 경험하게 된다. 서명이 암호학적으로 유효하기 때문이다.
하드 기한이 있는 마이그레이션
더 개입적인 경로는 기한을 추가한다. 공표된 블록 높이 이후, 프로토콜이 레거시 스크립트에 대한 서명 검증을 거부하고, 해당 스크립트의 코인은 지출 불가능해진다. 이것은 때때로 소프트 동결로 표현된다. 코인이 몰수되는 것은 아니지만 이동할 수 없다.
효과는 특정 날짜를 기준으로 노출된 코인을 소각된 코인으로 전환하는 것이다. 활성 보유자에게는 장기 마이그레이션 창, 보통 공개된 제안에서는 수년이 주어지며, 이 기간에 레거시 스크립트에서 포스트 양자 스크립트로 자금을 이전할 수 있다. 행동하지 않은 보유자, 이유야 어떻든 간에, 또는 더 이상 키를 보유하지 않은 보유자는 접근권을 잃는다.
기한의 근거는 횡재를 없앤다는 것이다. 프로토콜 자체가 지출 불가능하게 만든 코인은 양자 공격자가 탈취할 수 없다. 반대 논거는 특정 날짜에 특정 UTXO 집합에 대해 중앙화된 결정을 내리는 것이며, 이는 비트코인이 역사적으로 수호해온 재산권 모델과 충돌한다는 것이다.
노출된 스크립트만의 선택적 동결
더 좁은 변형은 공개키가 이미 온체인에 있는 스크립트, 즉 P2PK 출력과 이전 지출 이력이 있는 주소만 동결하고, 미사용이고 공개되지 않은 P2PKH 주소는 그대로 두는 것이다. 해시된 주소는 그로버 알고리즘에 대해 의미 있는 보호를 유지하므로 양자 주도의 스케줄로 마이그레이션할 필요가 없으며, 노출된 하위 집합만 위험에 처해 있다는 주장이다.
이는 영향받는 코인의 모집단을 좁히지만 근본적인 긴장을 해결하지는 못한다. 기준을 선택하는 것 자체가 어떤 UTXO를 비활성화할지에 대한 프로토콜 수준의 결정을 요구한다. 또한 경계가 완전히 명확하지도 않다. 재사용 주소의 보유자는 여전히 비밀키에 대한 합법적 통제권과 지출 의도를 가질 수 있다.
사전 소유권 증명을 통한 복구 메커니즘
보다 정교한 제안은 동결 규칙 위에 복구 메커니즘을 추가한다. 동결된 코인의 보유자는 양자 공격에 취약하지 않은 어떤 메커니즘을 통해 소유권을 나중에 증명할 수 있다. 예를 들어, 포스트 양자 영지식 증명을 통해 시드 문구에 대한 지식을 증명하거나, 이전의 비-ECDSA 커밋먼트를 참조하는 방식이다.
메커니즘이 간단하지는 않다. 현재 대부분의 비트코인 지갑은 ECDSA 키 자체 외에, 나중에 양자 안전 방식으로 소유권을 증명하는 데 사용할 수 있는 어떤 아티팩트도 생성하지 않는다. 복구 방식은 사용자가 기한 전에 포스트 양자 증명을 커밋하도록 요구하거나, 즉 일반적인 마이그레이션으로 되돌아가거나, 대부분의 초기 비트코인 사용자는 보유하지 않는 하드웨어 기반 증명 같은 대역 외 정보에 의존해야 한다.
포스트 양자 서명 방식 문제
ECDSA를 대체할 방식을 선택하는 것은 온체인에 중요한 결과를 가져오는 엔지니어링 결정이다. NIST 포스트 양자 표준화 과정에서 부상한 후보들은 서명 크기, 검증 비용, 가정된 암호학적 강도에서 각각 뚜렷한 트레이드오프를 지닌다.
해시 기반 서명
Lamport 서명 및 상태 기반 변형(XMSS, LMS)과 상태 비저장 변형(SPHINCS+) 같은 해시 기반 방식은 어떤 정수론적 문제가 아닌 기반 해시 함수의 안전성에 의존한다. 해시 함수가 버텨준다면 서명도 버텨준다는 의미에서, 포스트 양자 옵션 중 암호학적으로 가장 보수적인 선택으로 널리 인정받는다.
비용은 크기다. SPHINCS+ 서명 하나는 수 킬로바이트에 달하며, 이는 ECDSA 서명의 64~72바이트보다 몇 자릿수 크다. 상태 기반 Lamport 계열 방식은 서명당 크기가 더 작지만, 키 재사용을 방지하기 위한 세심한 상태 관리가 필요하다. 이는 비트코인 사용자들이 익숙한 느슨하고 다중 기기 지원 지갑 모델에 잘 맞지 않는다.
비트코인에 주는 함의는 직접적이다. 해시 기반 서명으로의 전환은 트랜잭션 크기를 의미 있게 늘리고, 블록당 트랜잭션 처리량을 줄이며, 동일한 작업에 대한 온체인 수수료를 높인다. 블록 가중치 할인으로 완화할 수 있지만, 트레이드오프 자체는 구조적이다.
격자 기반 서명
NIST의 주요 포스트 양자 서명 표준으로 선정된 CRYSTALS-Dilithium 같은 격자 기반 방식은 구조화된 격자 문제의 난이도에 기반한다. 서명이 ECDSA보다 크고, 보통 수 킬로바이트이지만, SPHINCS+보다는 작으며 검증이 빠르다.
보수성 문제는 여기서 더 날카롭다. 격자 암호학은 해시 기반 암호학보다 역사가 짧으며, Dilithium의 기반이 되는 구조화된 격자 가정은 비교 가능한 시점의 ECDSA 강도 가정보다 공개 암호 분석의 역사가 짧다. 올해 공개 논의에서 표출된 암호학자들의 이견은 단 하나의 해독이 파국적이고 돌이킬 수 없는 자산 클래스에서 이 가정에 얼마나 신뢰를 두어야 하는지를 중심으로 실질적으로 전개된다.
기타 후보
이소제니 기반 방식은 한때 유망하게 여겨졌으나 2022년 심각한 해독 사례가 발생했다. 코드 기반 및 다변수 방식은 비트코인의 온체인 공간 효율 측면에서 부적합한 다른 트레이드오프를 가진다. 비트코인의 실질적 선택은 해시 기반의 보수성과 격자 기반의 효율성 사이에 있으며, 프로토콜이 이 선택을 단독으로 할 필요는 없다. 두 서명 모두 검증을 요구하는 하이브리드 방식을 채택하여, 어느 한 계열이 해독되더라도 생존할 수 있는 대신 크기 비용을 감수할 수 있다.
하이브리드의 근거
예를 들어 SPHINCS+ 서명과 Dilithium 서명 모두를 요구하거나, 전환 기간 동안 그 중 하나를 기존 ECDSA 서명과 결합하는 하이브리드 구조는 의미 있는 심층 방어(defense-in-depth) 자세를 제공한다. 비용은 서명 크기에 합산되고 엔지니어링 복잡성도 높아지지만, 보안 논거는 가장 강력하다. 공격자는 트랜잭션을 위조하기 위해 두 방식 모두, 또는 포스트 양자 방식과 ECDSA 모두를 해독해야 한다.
최악의 경우가 역사적 잔액의 유효성에 대한 체인 전반의 신뢰 상실인 시스템에서, 하이브리드에 대한 보수성 논거는 이례적으로 강력하다.
함의와 미해결 과제
양자 문제의 암호학적 실체는 잘 이해되어 있다. 거버넌스의 실체는 그렇지 않으며, 더 흥미로운 긴장이 놓여 있는 곳도 바로 거기다.
첫 번째 미해결 과제는 비트코인이 분열 없이 기한 기반 마이그레이션을 실행할 수 있는지 여부다. 프로토콜의 사회적 계약은 역사적으로 UTXO를 내구적인 재산으로 취급해왔다. 2010년에 보낸 코인은 키를 보유한 누구든 2030년에도 지출할 수 있어야 한다. 미사용 코인을 지출 불가능하게 만드는 기한은, 외부 공격자의 횡재를 막기 위한 것이라 해도, 그 계약으로부터 의도적인 이탈이다. 암호학자 커뮤니티는 이 이탈이 정당화되는지에 대해 공개적으로 분열되어 있으며, 그 분열은 익숙한 비트코인 정치적 진영과 명확히 일치하지 않는다.
두 번째 미해결 과제는 정보다. 기한이 설정되더라도 보유자들은 기한이 존재한다는 것, 자신의 코인이 영향을 받는다는 것, 그리고 마이그레이션 방법을 알아야 한다. 비활성 사용자들, 수년 전에 지갑을 설정하고 이후 돌아오지 않은 수령자들이 보유한 비트코인의 상당 부분은 구조적으로 가장 도달하기 어려운 집단이다. 일상적인 소프트웨어 업그레이드를 통해 활성 지갑에 닿는 기한 공지는 10년간 지갑을 열지 않은 보유자에게는 닿지 않는다.
세 번째 과제는 운영적이며, 커스터디 업체에 불균형적으로 떨어진다. 역사적으로 입금 주소를 재사용해온 거래소와 기관 보유자들은 단순한 소프트웨어 업데이트가 아닌 콜드 스토리지 모델의 재설계가 필요한 마이그레이션에 직면한다. Coinbase 분석은 이를 단기 위생 문제로 프레이밍한다. 새 주소로 교체하고, 고정 입금처 재사용 관행을 종료하고, 공개키가 불필요하게 노출되지 않도록 콜드월렛을 구조화하는 것이다. 이 중 어느 것도 합의 변경을 요구하지 않으며, 모두가 지금 당장 노출을 줄인다.
네 번째 과제는 휴면 코인을 특별 범주로 다루는 것의 정당성에 관한 것이다. 미래의 마이그레이션이 사토시 시대 P2PK 출력을 다르게 취급한다면, 예를 들어 그것들을 표준적인 분실 코인 범주로 받아들이고 별도 일정으로 동결한다면, 그 자체가 선례가 된다. 프로토콜이 보유자의 하위 집합을 식별하고 그들의 UTXO에 별도의 규칙을 적용할 수 있다는 것이 확립된다. 그 능력이 한 번 행사되면, 다른 동기 하에 다시 행사될 수 없다고 주장하기 어려워진다.
우리가 시급성의 순서로 주목하는 것들이 있다. 대형 커스터디 업체들이 주소 재사용 종료와 콜드월렛의 비공개 방식 마이그레이션을 공개적으로 약속하는 속도, 구체적인 기한과 서명 방식을 제안하는 신뢰할 만한 BIP 또는 BIP 집합의 등장과 비트코인 개발 핵심 서클 외부 암호학자들의 공개 검토, 결국 합의 변경을 강제하는 주체인 채굴자 및 노드 운영자 집단의 반응, 그리고 가용한 마이그레이션 창을 압축할 가능성이 가장 높은 변수인 오류 허용 양자 하드웨어의 궤적, 특히 오류 정정 오버헤드 개선이다.
양자 문제는 이번 분기에 무언가 반드시 일어나야 한다는 의미에서는 시급하지 않다. 하지만 비트코인이 노출된 코인을 처리하는 방식을 결정하는 선택들이 수개월이 아닌 수년에 걸쳐 이루어진다는 의미에서, 그리고 늦게 시작하는 비용이 비대칭적이라는 의미에서는 시급하다. 일찍 시작했지만 결국 필요하지 않았던 마이그레이션은 소박한 낭비에 그친다. 늦게 시작했다가 하드웨어 발전에 추월당한 마이그레이션은 프로토콜이 완전히 회복할 수 없는 손실이다.
はじめに
ビットコインにとっての量子脅威は、プロトコルのリスク面において最も古くから議論されてきた未解決問題のひとつであり、同時に最も誤解されている問題でもある。この議論はしばしば二択として提示される——十分な能力を持つ量子コンピュータが登場すればすべてのコインが危険にさらされる、さもなければ問題は無期限に先送りできる、という構図だ。しかしどちらの見方も、暗号学的な詳細を精査すれば成り立たない。
ビットコインの署名方式——secp256k1曲線上のECDSA——は、十分な規模のフォールトトレラント量子コンピュータ上で動作するショアのアルゴリズムによって、理論上は破られる。しかしその脅威はUTXOセット全体に一様には及ばない。コインに関連する公開鍵がチェーン上に公開済みかどうかによって、リスクの大きさは異なる。アドレスの使い回し、レガシーのPay-to-Public-Key方式の出力、あるいはトランザクションをブロードキャストしてから承認されるまでのわずかな時間帯——こうした経緯で公開鍵が露出したコインは、公開鍵がハッシュされたまま秘匿されているコインと比べ、暗号学的な保護が弱い。
Coinbaseが最近発表したリサーチノートは、この違いを定量化することで再び主流の議論に押し上げた。流通供給量の中でも相当な割合——一部の取引所コールドウォレットのコインや、休眠状態のサトシ時代UTXOの大部分を含む——がこの「露出済み」カテゴリに分類される。同時期には、ビットコインがどう対応すべきかをめぐる暗号学者間の公開論争が表面化した——移行すべきか、凍結すべきか、それとも待つべきか——という議論は、プロトコルがこれまで直面したことのないガバナンス上の緊張を浮き彫りにしている。
本稿では、露出のメカニズム、リスクにさらされているセットの規模と構成、ポスト量子署名方式の候補、そしてコミュニティがいずれ選択を迫られる移行・凍結提案の各オプションを検討する。
公開鍵の露出こそが実際の脅威面である
ビットコインのアドレスは公開鍵ではない。公開鍵のハッシュ、あるいは公開鍵を含むスクリプトのハッシュである。この区別が重要なのは、量子的な攻撃者が解くべき暗号学的問題が、ケースによって異なるからだ。
ユーザーが標準的なPay-to-Public-Key-Hash(P2PKH)またはPay-to-Witness-Public-Key-Hash(P2WPKH)アドレスにビットコインを受け取る場合、チェーン上に記録されるのは公開鍵にSHA-256とRIPEMD-160を順に適用したハッシュ値だ。公開鍵そのものがチェーン上に現れるのは、ユーザーがそのアドレスから送金する際——ネットワークノードが署名を検証できるよう、送金トランザクションに公開鍵を含める必要があるときだ。
ショアのアルゴリズムを実行する量子的な攻撃者は、適切な規模のフォールトトレラントマシンがあれば、公開鍵から秘密鍵を多項式時間で復元できる。ただしショアのアルゴリズムは、SHA-256とRIPEMD-160を組み合わせたハッシュを逆算することはできない。汎用ハッシュ関数に対する最も知られた量子攻撃はグローバーのアルゴリズムで、二次的な高速化をもたらすに過ぎない——160ビットの原像探索をおよそ2^80回の量子演算に帰着させるだけだ。これは依然として計算量的に極めて困難であり、ECDSAの破り方よりはるかに難しい。
実際的な帰結として、一度も支出されていないP2PKHアドレスに置かれているコインは、量子の世界においてもハッシュ原像抵抗によって守られており、secp256k1上の離散対数問題に依存していない。一方、公開鍵が公開済みのアドレス——過去に支出されたか、P2PK方式の出力であるか、あるいは現在メンプールに存在するトランザクション——に置かれているコインは、離散対数問題のみによって保護されており、これはショアのアルゴリズムが直接攻撃する問題だ。
露出の3つのカテゴリ
公開鍵がチェーン上に可視状態にあるビットコインは、大きく3つのカテゴリに分類される。
- Pay-to-Public-Key(P2PK)出力。 最初期のビットコイン出力フォーマットで、2009年から2010年初頭にかけて広く使われた。公開鍵がロッキングスクリプトに直接エンコードされている。マイニング最初の1年間のコインベース報酬の大部分——サトシに帰属するとされるUTXOの大半を含む——はP2PK出力だ。
- アドレスの使い回し。 支出トランザクションが発生したP2PKHまたはP2WPKHアドレスはすべて、その公開鍵がすでに公開されている。そのアドレスに残高が残っていたり、後から送金が行われたりした場合、それらの資金はチェーンを索引する誰もが確認できる公開鍵の後ろに置かれることになる。
- 送信中のトランザクション。 ブロードキャストから承認までの時間帯——通常は数分だが、ネットワーク混雑時にはより長くなる——において、公開鍵はメンプール上に存在する。この時間帯内にECDSAを破れる量子的な攻撃者は、理論上、秘密鍵を導出し、より高い手数料を付けた代替トランザクションを構築して、資金が承認される前に奪い取ることができる。
最初の2つのカテゴリは、チェーンの歴史とともに積み上がる静的な露出を表す。3つ目はフローの問題であり、アドレスの生成方法に関わらず、レガシー方式でのすべてのトランザクションに影響する。
実際にリスクにさらされているビットコインの量
リスクにさらされているセットを定量化するには、現時点ですでに露出していることが明らかなコインと、保有者が移動を試みた瞬間に露出するコインを区別する必要がある。Coinbaseの分析と独立した学術研究はいずれも、前者のカテゴリについて数百万BTCという数字に収束している——流通供給量の中で意味のある割合であることは確かだが、正確な数字は分類基準によって変わる。
露出セットはおおむね3つのバケツに分解できる。
サトシ時代のP2PKコイン
最大かつ暗号学的に最も明確なコンポーネントは、2009年から2010年初頭にかけてのP2PKコインベース出力の集合だ。サトシがマイニングしたと推定されるコインは、よく知られたPatoshiパターンの分析によるおよそ110万BTC前後に集中しており、初期のP2PKコインベース出力全体の集合はそれをさらに上回る。これらのコインは一度も動いていない。公開鍵はロッキングスクリプトに直接書き込まれている。ECDSAが量子的に破られた場合、これらのUTXOは一つ残らず、最初にショアのアルゴリズムを実行した者が使えるようになってしまう。
このバケツがガバナンス上の最も鋭い緊張を生み出している。これらのコインは経済的に放棄されていると見なす根拠が極めて強い——多くは取引所エコシステムが存在する以前にさかのぼり、一度も動かされたことがない——しかし対応する秘密鍵を持つ者が正当な所有者であることに変わりはない。これらのコインを保護するための凍結ルールは、同時に所有者のアクセスを奪うルールでもある。
使い回されたP2PKHアドレス
2つ目のバケツは、取引所、カストディアン、個人ユーザーが静的な送金先アドレスとして使い続けてきたP2PKHおよびP2WPKHアドレスの長い尾だ。そのようなアドレスから一度でも支出が行われれば、公開鍵はチェーンの永続的な記録の一部となる。残高が残っていたり、将来同じアドレスに入金があったりすれば、それらの資金は露出済みの公開鍵の後ろに置かれることになる。
Coinbaseのリサーチが強調するように、このカテゴリは不注意な個人ユーザーに限らない。複数の取引所のコールドウォレット運用において、過去に支出が発生したアドレスへ入金をルーティングする慣行が存在していた——その多くは、運用上、ホットアドレスを長期的な送金先として扱う方式に起因する。ここでの露出はわずかな量ではない。機関投資家による使い回しが、単一の取引所で数万〜数十万BTCの保有分を包含している場合もある。
消失・休眠状態の露出コイン
最初の2つのバケツの一部は、消失したと考えられるコイン——鍵が廃棄され、ハードウェアが壊れ、保有者が死去した——と重複する。露出した消失コインは量子問題の最も極端なケースだ。量子的な攻撃が成功した場合、それは盗まれるというより、競合する正当な所有者が存在しないまま攻撃者に接収される。消失ビットコインの推定値は幅広く、よく引用される数字は300〜400万BTC程度だが、その中で露出したスクリプトに置かれている割合はより小さいとはいえ、無視できる量ではない。
注目すべき暗号学的タイムライン
secp256k1 ECDSAを破れるフォールトトレラント量子コンピュータがいつ登場するかという問いは、現時点で本当に開かれており、信頼できる専門家の見解の幅も広い。本稿でその予測を改善しようとは思わない。より有用なのは、ビットコインの露出の性質が変化する構造的なマイルストーンを特定することだ。
ショアのアルゴリズムが実際に必要とするもの
ショアのアルゴリズムは、整数の素因数分解と離散対数問題のいずれをも多項式時間の量子ルーチンに帰着させる。ビットコインに関連するのは楕円曲線版であり、secp256k1上の点群に作用する。公開されているリソース推計によれば、256ビット楕円曲線鍵を破るには——現在のサーフェスコードによる誤り訂正のオーバーヘッドを前提にすると——数千の論理量子ビットと相当な深さの回路を支えるために、数百万の物理量子ビットが必要とされる。
現時点で発表されている量子プロセッサの規模はこれより桁違いに小さく、物理量子ビットと論理量子ビットの間のギャップが依然として制約となっている。進歩は確かだが均一ではない——量子ビット数、ゲート忠実度、誤り訂正効率のそれぞれの向上が複合的に寄与しており、特に誤り訂正オーバーヘッドでのブレークスルーは、タイムラインを数年単位で縮める可能性がある。
「今収集して後で復号する」という枠組みは当てはまらない
より広いポスト量子の議論では、標準的な攻撃者モデルとして「今収集して後で復号する(harvest now, decrypt later)」が用いられる——攻撃者は今日暗号化されたトラフィックを記録し、量子能力が整い次第復号する、という想定だ。ビットコインの状況はこれとは異なり、ある意味でより深刻だ。収集すべきものはそもそも存在しない——露出した公開鍵はすでに公開台帳の上に存在し、そのまま永遠に残り続ける。攻撃者は何かを予測して保存する必要すらなく、ただ待てばよい。
この帰結として、移行のウィンドウは「現在から量子能力が実現するまでの期間」ではなく、「現在から、潤沢なリソースを持つ攻撃者にとってその能力が現実的になる最も早い時点まで」である。プロトコルはその早い期日よりも前に移行を完了しなければならない。
「Qデイウィンドウ」と送信中のリスク
ポスト量子方式への移行後も、レガシーの出力はチェーン上に残り続ける。Qデイウィンドウという概念が有用だ——量子的な攻撃者が初めてECDSAを破れるようになる時点を挟んだ期間であり、この時間帯に移行・凍結・焼却されていないレガシーUTXOは急激なリスクにさらされる。この時間帯にレガシー形式でブロードキャストされた送信中のトランザクションも同様だ。
このウィンドウの長さはプロトコルの設計選択によって変えられる。早期に始まり長い移行期間を設けた移行は、Qデイ以前に経済的価値の大部分を露出面から移動させられる。開始が遅れた移行、あるいは不活動な保有者に明確な移行経路を提供できない移行は、より大きな残余リスクを残すことになる。
移行の選択肢とそのトレードオフ
ビットコインが何をすべきかについてコンセンサスは存在せず、暗号学者間の公開論争は戦術的なものではなく構造的なものだ。候補となる移行パスは、最小限の介入から積極的な台帳変更まで幅広く、それぞれが異なる形で害のコストを配分する。
期限なしのオプトイン移行
最も保守的な選択肢は、ソフトフォークによって新しいアドレスタイプとしてポスト量子署名方式を導入し、移行をコイン保有者に完全に委ねることだ。アクティブなウォレットはアップグレードに伴い新方式に移行し、非活動のUTXOは現在のスクリプトのまま残る。
このパスの利点は、既存の残高を変更しないというビットコインの強固な規範を維持できることだ。欠点は、露出したP2PKコインや使い回しアドレスのコインに対して何も手を打てないことだ。Qデイが到来すれば、これらのコインは奪われる。プロトコルは合法的な支出と区別できない大量の不正なコイン移動を目撃することになる——署名は暗号学的に有効だからだ。
期限付き移行
より介入的な選択肢には期限を設ける。特定のブロック高以降、プロトコルはレガシースクリプトに対する署名の検証を拒否し、そのスクリプトに置かれたコインは使用不能となる。これは「ソフト凍結」と呼ばれることもある——コインは没収されないが、移動できない。
効果は、特定の期日を境に露出コインを焼却コインへと変換することだ。アクティブな保有者には——公表されている提案では一般的に数年の——移行ウィンドウが与えられ、その間にレガシースクリプトからポスト量子スクリプトへ資金を移せる。行動しない保有者は——移動できないか、鍵をもはや保有しないかのいずれかで——アクセスを失う。
期限を設ける論拠は、思わぬ利得を排除できることだ——プロトコル自体が使用不能にしたコインを量子的な攻撃者は奪えない。反論は、特定の期日に特定のUTXOセットに対して中央集権的な決定を課すことになり、ビットコインがこれまで守ってきた財産権モデルと緊張関係に立つという点だ。
露出スクリプトのみの選択的凍結
より狭い変形として、公開鍵がすでにチェーン上にあるスクリプトのみ——P2PK出力と過去に支出が発生したアドレス——を凍結し、未使用で公開鍵が未公開のP2PKHアドレスはそのままにする案がある。ハッシュ済みアドレスはグローバーのアルゴリズムに対して相応の保護を持ち、量子を動機とした移行スケジュールを必要としない——リスクにさらされているのは露出したサブセットだけだ、という論拠だ。
これにより影響を受けるコインの対象は絞られるが、根本的な緊張は解消されない。基準の選択はどれも、どのUTXOを無効化するかというプロトコルレベルの決定を必要とする。また境界は完全にクリーンではない——使い回しアドレスの保有者は、秘密鍵を正当に管理し、正当な使用意図を持っている場合もある。
以前の所有権の証明による回収メカニズム
より複雑な提案は、どのような凍結ルールにも回収メカニズムを重ねる。凍結されたコインの保有者は後に、量子攻撃に脆弱でない何らかのメカニズムによって所有権を証明できるようにする——たとえば、ポスト量子のゼロ知識証明によるシードフレーズの知識証明、あるいはそれ以前の非ECDSA的なコミットメントへの参照などだ。
その仕組みは簡単ではない。現在のほとんどのビットコインウォレットは、ECDSAの鍵以外に、後から量子安全な方法で所有権を証明できるアーティファクトを生成しない。回収スキームは、事後的にフィットさせるか——期限前にアクティブなユーザーがポスト量子証明をコミットすることを要求するか、これは通常の移行に戻ることになる——あるいは多くの初期ビットコインユーザーが持っていないハードウェア固有の証明などのオフチェーン情報に依存するかのどちらかだ。
ポスト量子署名方式の選択問題
ECDSAの代替を選ぶことは、チェーン上に重大な影響を及ぼすエンジニアリング上の決断だ。NISTのポスト量子標準化プロセスで浮上した候補は、署名サイズ、検証コスト、想定される暗号学的難しさという点でそれぞれ異なるトレードオフを持つ。
ハッシュベース署名
ランポート署名とその状態付きバリアント(XMSS、LMS)および状態なしバリアント(SPHINCS+)などのハッシュベース方式は、数論的な問題ではなく、基礎となるハッシュ関数のセキュリティに依拠する。これらは暗号学的に最も保守的なポスト量子オプションとして広く認められており、ハッシュ関数が持ちこたえれば署名も持ちこたえる。
コストはサイズだ。SPHINCS+の単一署名は数キロバイトに及ぶ——ECDSAの64〜72バイトと比べて桁違いに大きい。状態付きのランポート系方式は1回あたりの署名がより小さいが、鍵の再使用を避けるための慎重な状態管理が必要であり、ビットコインユーザーが慣れ親しんだ、ゆるやかなマルチデバイスウォレットモデルには不向きだ。
ビットコインにとって、この含意は明確だ——ハッシュベース署名への移行は、トランザクションサイズを大幅に拡大し、ブロックあたりのトランザクション処理能力を低下させ、同等の操作に対するオンチェーン手数料を上昇させる。ブロックウェイトの割引によってある程度緩和できるが、トレードオフは構造的なものだ。
格子ベース署名
NISTが主要なポスト量子署名標準として選定したCRYSTALS-Dilithiumなどの格子ベース方式は、構造化格子問題の困難さに基づく。署名はECDSAより大きく——通常は数キロバイト——だがSPHINCS+より小さく、検証は高速だ。
保守性の問いはここで鋭くなる。格子暗号はハッシュベース暗号より歴史が浅く、Dilithiumの基礎にある構造化格子の仮定は、ECDSAが同等のライフサイクルの時点で受けたのと比べて、公開された暗号解析の歴史が短い。今年の公開討論に浮上した暗号学者間の対立は、一度の破綻が壊滅的かつ不可逆的な結果をもたらす資産クラスにおいて、これらの仮定にどれほどの確信を置くべきかという問いを中心に展開されている。
その他の候補
同種写像ベースの方式はかつて有望視されていたが、2022年に深刻な破綻を経た。符号ベースおよび多変数方式には、ビットコインのオンチェーンフットプリントに対して不向きな別のトレードオフがある。ビットコインにとって実際的な選択は、ハッシュベースの保守性と格子ベースの効率性のどちらかであり、プロトコルはこの選択を単独でする必要はない——両方の署名による検証を要求するハイブリッド方式を採用し、どちらかのファミリーが破られた場合でも生き残れるよう、サイズコストと引き換えにすることができる。
ハイブリッド方式の根拠
ハイブリッド構成——たとえばSPHINCS+署名とDilithium署名の両方を要求する、あるいは移行期間中にどちらかをECDSA署名と組み合わせる——は、意味のある多層防御の姿勢を提供する。コストは署名サイズにおいて加算的であり、エンジニアリングの複雑さも高まるが、セキュリティの論拠は最も強い——攻撃者は両方の方式を、あるいはポスト量子方式とECDSAの両方を破らない限り、トランザクションを偽造できない。
過去の残高の正当性に対するチェーン全体の信頼崩壊が最悪のケースとなるシステムにおいて、ハイブリッドを支持する保守性の論拠は特に強力だ。
示唆と未解決の問い
量子問題の暗号学的な実質は十分に理解されている。理解されていないのはガバナンスの実質であり、より興味深い緊張が潜んでいるのもそこだ。
第一の未解決問題は、ビットコインが分裂を起こすことなく期限付き移行を実行できるかどうかだ。プロトコルの社会契約は歴史的に、UTXOを永続的な財産として扱ってきた——2010年に送られたコインは2030年にも、鍵を持つ者が使えるべきだという考え方だ。未使用のコインを使用不能にする期限は、たとえ外部の攻撃者への利得を否定するためとはいえ、その契約からの意図的な逸脱だ。暗号学者コミュニティはその逸脱が正当化されるかどうかで明確に割れており、その対立はビットコインの馴染みある政治的陣営には綺麗にマッピングされない。
第二の未解決問題は情報面だ。期限が設定されたとしても、保有者はその存在を知り、自分のコインが対象であることを知り、移行方法を理解する必要がある。ソフトウェアの定期アップデートを通じてアクティブなウォレットに周知できる内容は、10年間ウォレットを開いていない保有者には届かない。不活動ユーザーが保有するビットコインの相当な割合は、構造的に最も連絡の難しい層にある。
第三の問いは運用面であり、カストディアンに不均衡な重みがかかる。過去に入金アドレスを使い回してきた取引所や機関投資家にとって、移行はソフトウェアのアップデートにとどまらず、コールドストレージモデルの再設計を意味する。Coinbaseの分析はこれを近期の衛生上の問題として提示している——新しいアドレスへのローテーション、静的な入金先の使い回し慣行の廃止、公開鍵が不必要に露出しないコールドウォレット構造の整備——これらはいずれもコンセンサスの変更を必要とせず、すべてが今すぐ露出を低減する。
第四の問いは、休眠コインを特別なカテゴリとして扱うことの正当性についてだ。将来の移行においてサトシ時代のP2PK出力を異なる形で扱うならば——たとえば正式な消失コインのクラスとして受け入れ、別のスケジュールで凍結するならば——それ自体が前例となる。プロトコルが特定の保有者のサブセットを識別し、そのUTXOに別のルールを適用できると確立することになる。その能力が一度行使されれば、異なる動機のもとで再度行使できないと主張することはより難しくなる。
我々が注視しているのは、緊急度の高い順に次のとおりだ——大規模カストディアンがアドレスの使い回し廃止と非公開鍵露出型スキームへのコールドウォレット移行を公式に表明するペース;具体的な期限と署名方式を提案する信頼に足るBIPまたはBIPセットの出現と、ビットコイン開発の直接の輪の外にいる暗号学者たちによる公開レビュー;そのような提案に対するマイニングおよびノードオペレータの反応——彼らこそコンセンサス変更を最終的に執行する層である;そしてフォールトトレラント量子ハードウェアの推移、特に誤り訂正オーバーヘッドの改善——これが利用可能な移行ウィンドウを最も圧縮しやすい変数だ。
量子問題はこの四半期に何かをしなければならないという意味では緊急ではない。しかし、ビットコインが露出したコインをどう扱うかを決定する意思決定が、数ヶ月ではなく数年にわたって形成されるという意味では緊急だ。開始が早すぎて結局不要だった移行は取るに足らない無駄だが、開始が遅すぎてハードウェアの進歩に追い抜かれた移行は、プロトコルが完全には回復できない損失をもたらす。
引言
量子威胁是比特币协议风险面上最古老的未解难题之一,也是被误解最深的问题之一。这个问题通常被简化为一个非此即彼的命题:要么足够强大的量子计算机出现,所有币都将面临攻击;要么它不出现,问题便可以无限期搁置。然而,这两种框架都经不起密码学细节的推敲。
比特币的签名方案——基于 secp256k1 曲线的 ECDSA——在理论上会被运行在足够规模的容错量子计算机上的 Shor 算法所攻破。但这一威胁并非均匀分布于整个 UTXO 集合。它取决于与某枚币关联的公钥是否曾经在链上被披露过。对于相当一部分比特币而言,由于地址复用、早期的 Pay-to-Public-Key 输出,或广播交易与确认之间短暂的时间窗口,其公钥已经暴露在外,这类币的密码学保护远弱于那些公钥仍处于哈希状态的币。
Coinbase 近期发布的一篇研究报告通过量化暴露程度,将这一区别重新带入主流讨论:在流通供应量中,相当一部分——包括某些交易所冷钱包中的资产以及大量休眠的中本聪时代 UTXO——都属于此类暴露类别。与此同时,密码学家就比特币应如何应对的公开分歧——迁移、冻结或等待——也浮出水面,揭示了该协议此前从未面对过的治理张力。
本文将深入探讨暴露的机制、风险集合的规模与构成、候选的后量子签名方案,以及社区最终必须在其中做出选择的迁移与冻结提案。
为何公钥暴露才是真正的威胁面
比特币地址并非公钥本身,而是公钥的哈希值,或者是包含公钥的脚本的哈希值。这一区别至关重要,因为量子对手需要解决的密码学问题在两种情况下截然不同。
当用户通过标准的 Pay-to-Public-Key-Hash(P2PKH)或 Pay-to-Witness-Public-Key-Hash(P2WPKH)地址接收比特币时,链上呈现的是对公钥依次应用 SHA-256 和 RIPEMD-160 所得到的输出。公钥本身直到用户从该地址花费时才会被披露——彼时,花费交易必须包含公钥,以便网络节点验证签名。
运行 Shor 算法的量子对手可以在多项式时间内从公钥还原出私钥,前提是拥有适当规模的容错量子机器。然而,Shor 算法并不能逆转 SHA-256 与 RIPEMD-160 的哈希组合。针对通用哈希函数,目前已知最佳的量子攻击是 Grover 算法,它提供二次方加速——将 160 位原像搜索转化为约 2^80 次量子操作。这在计算上依然极为困难,远比破解 ECDSA 要难得多。
实际后果如下:在量子计算时代,存放于从未被花费过的 P2PKH 地址中的币,受到的是哈希原像抗性的保护,而非 secp256k1 上的离散对数问题。而存放于公钥已经公开的地址中的币——无论是因为曾被花费过、因为是 P2PK 输出,还是因为当前正在内存池中——则仅受离散对数问题的保护,而这正是 Shor 算法直接攻击的目标。
三类暴露情形
链上公钥可见的比特币分为三类:
- Pay-to-Public-Key(P2PK)输出。 这是最早期的比特币输出格式,在 2009 年至 2010 年初被大量使用,其锁定脚本中直接编码了公钥。最初一年挖矿产出的大部分区块奖励——包括绝大部分被归因于中本聪的 UTXO——均为 P2PK 输出。
- 复用地址。 任何曾经产生过花费交易的 P2PKH 或 P2WPKH 地址,其公钥均已被披露。若持有人在该地址留有余额,或事后向其转入资金,这些资金便置于任何观察者都能从链上索引到的公钥之后。
- 在途交易。 在广播与确认之间的时间窗口内——通常为数分钟,但在拥堵时更长——公钥暴露于内存池中。具备在此窗口内破解 ECDSA 能力的量子对手,原则上可以推导出私钥,构造一笔更高手续费的替换交易,并在原交易被确认之前窃取资金。
前两类代表着随链上历史不断扩大的静态暴露。第三类则是一个流量问题,影响所有使用旧方案发起的交易,与地址的生成方式无关。
实际上有多少比特币处于风险之中
量化风险集合,需要区分两类币:一类是目前已明确暴露的,另一类是一旦持有人尝试转移便会即刻暴露的。Coinbase 的分析与平行开展的学术研究在第一类的数量上趋于一致,估算在数百万 BTC 量级——占流通供应量的相当一部分,尽管确切数字因分类标准不同而有所差异。
暴露集合大致分解为三个子集。
中本聪时代的 P2PK 币
最大且密码学意义最清晰的部分,是 2009 年至 2010 年初 P2PK 区块奖励的集合。据估算,中本聪可能挖出的币数量集中在广为人知的 Patoshi 模式图示,约为 110 万 BTC,而早期 P2PK 区块奖励的更广泛集合数量则更高。这些币从未被移动过,其公钥直接写入锁定脚本中。一旦 ECDSA 遭到量子破解,这些 UTXO 将全部可被率先运行 Shor 算法的人所花费。
这一子集是治理张力最为尖锐的所在。这些币在最强意义上属于被经济遗弃的资产——许多在交易所生态系统出现之前便已存在,从未被触碰过——但它们在法律意义上仍属于掌握对应私钥的人所有。任何旨在保护这些币的冻结规则,同时也是一条剥夺其所有者访问权限的规则。
复用 P2PKH 地址
第二个子集是 P2PKH 和 P2WPKH 地址的长尾,这些地址被交易所、托管机构和个人用户用作固定收款地址。每当此类地址产生花费,其公钥便成为链上历史的永久组成部分;任何残余余额或此后存入该地址的资金,均置于已暴露的材料之后。
Coinbase 的研究强调,这一类别并不局限于粗心的个人用户。多家交易所的冷钱包历史上曾将存款路由至已产生过花费的地址,通常是因为其运营模式将某个热钱包地址视为长期固定目的地。此处的暴露绝非寥寥数枚币的问题;机构层面的地址复用,可能涉及单一平台数以万计乃至数十万枚 BTC 的持仓。
丢失与休眠的暴露币
前两个子集的部分内容与可能已丢失的币相互重叠——私钥被销毁、硬件损毁、持有人离世。丢失的暴露币是量子问题最为直白的体现:一旦攻破成功,它们与其说是被盗窃,不如说是被对手”收回”,而不再有合法所有者与之争夺。对于已丢失比特币的估算范围很宽,常被引用的数字在 300 至 400 万 BTC 左右;其中位于暴露脚本中的部分虽然更小,但也不可忽视。
真正重要的密码学时间线
能够破解 secp256k1 ECDSA 的容错量子计算机何时出现,这一问题目前确实悬而未决,可信专家的估算区间相当宽泛。我们不打算在此改进这些估算。更有价值的,是梳理比特币暴露形态随之演变的几个结构性里程碑。
Shor 算法的实际要求
Shor 算法将整数分解与离散对数问题均归约为多项式时间量子程序。与比特币相关的是其椭圆曲线变体,运行在 secp256k1 的点群上。已发表的资源估算显示,破解一个 256 位椭圆曲线密钥,在当前表面码纠错开销的假设下,大约需要数百万物理量子比特,以支撑数千个逻辑量子比特运行相当深度的电路。
当今已公布的量子处理器规模仍比这小几个数量级,而物理量子比特与逻辑量子比特之间的差距依然是核心约束。进展是真实存在的,但并不均匀:量子比特数量、门保真度和纠错效率的提升各自贡献力量,其中任何一项的突破——尤其是纠错开销的突破——都可能将时间线压缩数年。
“先收割,后解密”的框架并不完全适用
在更广泛的后量子讨论中,标准的对手模型是”先收割,后解密”:攻击者今日记录加密流量,待量子能力到来后再解密。比特币的情况有所不同,某种程度上甚至更为严峻。不存在任何需要”收割”的内容——暴露的公钥已经存在于公开账本上,并将永久留存。对手无需预判或储存任何东西,只需等待即可。
由此推论:迁移窗口并非从现在到量子能力实现之间的那段时间,而是从现在到某个资源充裕的行为者使该能力成为可能的最早时刻之间的那段时间。协议必须在这个更早的日期之前完成迁移,而非之后。
“量子日窗口”与在途风险
即便迁移到后量子方案完成,旧有输出仍将留存于链上。一个实用的框架是量子日窗口:围绕量子对手首次具备破解 ECDSA 能力这一时间点的前后阶段,在此期间,未迁移、未冻结或未销毁的遗留 UTXO 面临急迫风险。在此窗口内以旧有格式广播的在途交易同样处于暴露状态。
协议设计选择能够影响的,正是这一窗口的持续时长。一场早期启动、并给予充分过渡时间的迁移,可以在量子日到来之前将大部分经济价值从暴露面上撤离;而一场启动过晚、或未能为非活跃持有人提供可信路径的迁移,则会留下更大的残余风险。
迁移路径及其权衡
比特币应该采取什么行动,目前尚无共识,密码学家之间的公开分歧是结构性的,而非战术性的。候选路径沿着一个谱系排布,从最小干预到激进的账本修改,每一种都带来不同的伤害分布。
无截止日期的自愿迁移
最保守的路径是通过软分叉引入后量子签名方案作为新的地址类型,将迁移完全交由币持有人自主决定。活跃钱包会在升级时采用新方案;非活跃 UTXO 则继续保留在其当前脚本中。
这条路径的优势在于保留了比特币不修改现有余额的强烈规范。劣势在于它对暴露的 P2PK 和复用地址币毫无作为。一旦发生量子日事件,这些币将被取走。链上会出现大量未经授权的突发币移动,而协议无法将其与合法花费区分——因为这些签名在密码学上是有效的。
带有硬性截止日期的迁移
更具干预性的路径增加了一个截止日期。在某一已公布的区块高度之后,协议拒绝验证针对旧有脚本的签名;存放于这些脚本中的币变得无法花费。这有时被描述为软冻结:币未被没收,但无法转移。
其效果是在确定日期之前,将暴露的币转化为已销毁的币。活跃持有人将获得一段较长的迁移窗口——已发布提案中通常为数年——在此期间可以将资金从旧有脚本转移到后量子脚本。不采取行动的持有人——无论是无法行动还是已不再持有私钥——将失去访问权限。
支持截止日期的理由是它消除了意外之财:协议本身已将这些币渲染为无法花费,量子对手便无从收割。反对的理由是它施加了一个中心化决定——在某个特定日期针对某个特定 UTXO 集合——这与比特币历来所捍卫的产权模型存在张力。
仅针对暴露脚本的选择性冻结
一种更窄的变体是仅冻结公钥已在链上可见的脚本——P2PK 输出以及有过花费记录的地址——而对未花费、公钥未披露的 P2PKH 地址不作处理。其论点是:哈希地址受 Grover 算法的原像抗性提供了有意义的保护,无需按量子驱动的时间表进行迁移;只有暴露的子集才真正处于风险之中。
这缩小了受影响的币的范围,但并未解决根本性的张力。选定标准本身仍然需要在协议层面对哪些 UTXO 予以停用作出决定。而且边界并不完全清晰:复用地址的持有人可能仍然合法地掌握私钥,并有合法的花费意图。
基于先前所有权证明的恢复机制
一种更为复杂的提案是在任何冻结规则之上叠加一套恢复机制。被冻结币的持有人此后可以通过某种不受量子攻击影响的机制来证明所有权——例如,通过后量子零知识证明展示对助记词的知识,或通过引用此前的非 ECDSA 承诺。
这套机制的实现并不简单。目前大多数比特币钱包所产生的任何制品,除 ECDSA 密钥本身之外,都无法在事后以量子安全的方式用于证明所有权。恢复方案要么需要事后补救——要求活跃用户在截止日期前提交后量子证明,这实际上又回归到普通迁移——要么依赖带外信息,如硬件绑定的证明,而大多数早期比特币用户并不具备这些。
后量子签名方案的选择
选择 ECDSA 的替代方案是一个具有重大链上影响的工程决策。在更广泛的 NIST 后量子标准化进程中涌现出的候选方案,在签名大小、验证成本和所依赖的密码学困难性假设方面各有不同的权衡。
基于哈希的签名
Lamport 签名及其有状态变体(XMSS、LMS)和无状态变体(SPHINCS+)等基于哈希的方案,其安全性依赖底层哈希函数,而非任何数论问题。它们被普遍认为是密码学上最为保守的后量子选项:只要哈希函数成立,签名就成立。
代价是大小。单个 SPHINCS+ 签名达到数千字节,比 ECDSA 签名的 64 至 72 字节大出几个数量级。有状态的 Lamport 家族方案每个签名更小,但需要谨慎的状态管理以避免密钥复用,而这与比特币用户已习以为常的宽松多设备钱包模型并不相容。
对比特币而言,影响是直接的:迁移到基于哈希的签名将显著扩大交易体积,降低每个区块可容纳的交易数量,并提高等量操作的链上手续费。区块权重折扣可以一定程度上缓解这一问题,但权衡是结构性的。
基于格的签名
CRYSTALS-Dilithium 等基于格的方案已被 NIST 选定为主要的后量子签名标准,其安全性基于结构化格问题的困难性。这类方案的签名通常为数千字节,大于 ECDSA 但小于 SPHINCS+,且验证速度较快。
保守性问题在这里更为突出。格密码学比基于哈希的密码学年轻,Dilithium 所依赖的结构化格假设,与 ECDSA 在其生命周期的可比阶段相比,所经历的公开密码分析历史更短。今年公开讨论中浮现的密码学家分歧,很大程度上集中于对这些假设应该给予多大的信心——毕竟对于一类单次攻破即为灾难性且不可逆的资产而言,这个问题尤为重要。
其他候选方案
基于等基的方案曾一度被认为前景可期,但在 2022 年遭受了严重的攻击。基于编码和多变量的方案则有其他局限,使其不适合比特币的链上占用脚印。比特币的实际选择介于基于哈希的保守性与基于格的高效性之间,而且协议无需孤立地做出这一选择——它可以采用混合方案,同时要求两种签名均有效,以增加体积为代价,换取在任一方案遭到攻破时仍能幸存。
混合方案的理由
混合构造——例如,同时要求一个 SPHINCS+ 签名和一个 Dilithium 签名,或将其中之一与过渡期内保留的 ECDSA 签名配对——提供了有意义的纵深防御姿态。代价是签名体积的叠加,工程复杂度也更高,但安全论证最为有力:对手需要同时攻破两个方案,或同时攻破后量子方案与 ECDSA,才能伪造交易。
对于一个最坏情况是全链范围内对历史余额有效性失去信心的系统而言,支持混合方案的保守性理由格外充分。
影响与开放性问题
量子问题的密码学实质已经得到充分理解。治理实质则尚未明朗,而那里才是更有意思的张力所在。
第一个开放性问题是:比特币能否在不引发分裂的情况下执行任何基于截止日期的迁移。该协议的社会契约历来将 UTXO 视为持久财产:2010 年发出的币应该在 2030 年仍可由持有私钥者花费。一条将未花费的币转化为无法花费的币的截止规则,即便其出发点是为了阻止外部对手从中渔利而非没收价值,也是对这一契约的蓄意偏离。密码学家群体在这一偏离是否合理的问题上明显分裂,且这种分裂并不与比特币圈内熟悉的政治阵营清晰对应。
第二个开放性问题是信息传递。即便截止日期已经确立,持有人也需要知道截止日期的存在、自己的币是否受到影响,以及如何进行迁移。比特币中由非活跃用户持有的相当一部分——多年前设置钱包后便再未使用的接收方——在结构上是最难触达的人群。一则通过常规软件升级触达活跃钱包的截止公告,对那些十年来未曾打开钱包的持有人而言毫无意义。
第三个问题是操作层面的,且不成比例地落在托管机构身上。历史上曾复用存款地址的交易所和机构持有人,面临的迁移不仅仅是一次软件更新,而是对其冷存储模式的全面重构。Coinbase 的分析将此定性为近期的安全卫生问题:轮换至全新地址,终止复用静态存款目的地的做法,并重构冷钱包结构,使任何公钥都不被不必要地披露。这些措施无需共识层修改,且都能立即降低当前的暴露程度。
第四个问题关乎休眠币作为特殊类别的合法性。如果未来的迁移方案对中本聪时代的 P2PK 输出区别对待——例如,将其接受为典范的丢失币类别并按单独时间表予以冻结——这本身就是一个先例。它确立了协议有能力识别某一持有人子集并对其 UTXO 适用不同规则这一事实。一旦这一能力被行使过,便更难论证它不会在不同动机下再度被行使。
我们按紧迫程度重点关注以下几点:大型托管机构公开承诺终止地址复用、将冷钱包迁移至非披露方案的速度;能够提出具体截止日期与签名方案的可信 BIP 或系列 BIP 的出现,并接受比特币核心开发圈以外密码学家的公开审阅;矿工与节点运营者群体对这些提案的回应,因为这一群体最终负责执行任何共识变更;以及容错量子硬件的发展轨迹,尤其是纠错开销方面的进展,这是最可能压缩可用迁移窗口的变量。
量子问题在本季度必须采取行动的意义上并不紧迫。但在另一种意义上它极为紧迫:决定比特币如何处理其暴露币的那些抉择,将在数年而非数月的时间跨度上作出,而起步过晚的代价是不对称的:一场早早启动却从未被需要的迁移不过是小小的资源浪费;而一场起步过晚、被硬件进展所超越的迁移,则是协议无法完全从中恢复的损失。
Introducción
La amenaza cuántica para Bitcoin es uno de los problemas abiertos más antiguos en la superficie de riesgo del protocolo, y uno de los más mal comprendidos. Se suele plantear como una dicotomía: o bien llega una computadora cuántica suficientemente potente y cada moneda queda expuesta, o no llega y el asunto puede postergarse indefinidamente. Ninguna de las dos posturas resiste el contacto con el detalle criptográfico.
El esquema de firma de Bitcoin — ECDSA sobre la curva secp256k1 — es teóricamente vulnerable al algoritmo de Shor ejecutado en una computadora cuántica tolerante a fallos de escala suficiente. Pero la amenaza no se aplica de manera uniforme sobre el conjunto de UTXOs. Depende de si la clave pública asociada a una moneda ha sido revelada alguna vez en la cadena. Para la fracción considerable de bitcoin que reside en direcciones donde la clave pública ha quedado expuesta — ya sea por reutilización de direcciones, por salidas Pay-to-Public-Key heredadas, o durante la breve ventana entre la difusión de una transacción y su confirmación — la protección criptográfica es más débil que la de las monedas cuyas claves públicas permanecen en forma de hash.
Una nota de investigación reciente de Coinbase ha devuelto esta distinción al debate general al cuantificar la exposición: una porción significativa del suministro circulante, que incluye monedas en algunos monederos fríos de exchanges y una gran parte de UTXOs de la era Satoshi inactivos desde hace tiempo, pertenece a esta categoría expuesta. Aproximadamente en el mismo período, el desacuerdo público entre criptógrafos sobre cómo debería responder Bitcoin — migrar, congelar o esperar — ha sacado a la superficie tensiones de gobernanza que el protocolo nunca había tenido que afrontar.
Examinamos la mecánica de la exposición, el tamaño y la composición del conjunto en riesgo, los esquemas de firma post-cuánticos candidatos, y las propuestas de migración y congelamiento entre las que la comunidad deberá eventualmente elegir.
Por qué la exposición de la clave pública es la verdadera superficie de amenaza
Las direcciones de Bitcoin no son claves públicas. Son hashes de claves públicas, o hashes de scripts que contienen claves públicas. La distinción importa porque el problema criptográfico que un adversario cuántico necesita resolver es diferente en cada caso.
Cuando un usuario recibe bitcoin en una dirección estándar Pay-to-Public-Key-Hash (P2PKH) o Pay-to-Witness-Public-Key-Hash (P2WPKH), lo que aparece en la cadena es el resultado de SHA-256 seguido de RIPEMD-160 aplicado a la clave pública. La clave pública en sí no se revela hasta que el usuario gasta desde esa dirección — momento en que la transacción de gasto debe incluir la clave pública para que los nodos de la red puedan verificar la firma.
Un adversario cuántico que ejecute el algoritmo de Shor puede recuperar una clave privada a partir de una clave pública en tiempo polinomial, asumiendo una máquina tolerante a fallos de la escala adecuada. Sin embargo, el algoritmo de Shor no invierte la composición de hash SHA-256 + RIPEMD-160. El mejor ataque cuántico conocido contra un hash genérico es el algoritmo de Grover, que ofrece una aceleración cuadrática — convirtiendo una búsqueda de preimagen de 160 bits en aproximadamente 2^80 operaciones cuánticas. Eso sigue siendo computacionalmente extremo y considerablemente más difícil que romper ECDSA.
La consecuencia práctica: una moneda en una dirección P2PKH desde la que nunca se ha gastado está, en un mundo cuántico, protegida por la resistencia a preimagen del hash, no por el problema del logaritmo discreto en secp256k1. Una moneda en una dirección cuya clave pública ha sido publicada — porque alguna vez se gastó desde ella, porque era una salida P2PK, o porque actualmente está en el mempool — solo está protegida por el problema del logaritmo discreto, que el algoritmo de Shor ataca directamente.
Las tres categorías de exposición
Existen tres categorías de bitcoin con sus claves públicas visibles en la cadena:
- Salidas Pay-to-Public-Key (P2PK). El formato de salida más antiguo de Bitcoin, usado intensivamente en 2009 y principios de 2010, codifica la clave pública directamente en el script de bloqueo. La mayoría de las recompensas de coinbase del primer año de minería — incluyendo la mayor parte de los UTXOs atribuidos a Satoshi — son salidas P2PK.
- Direcciones reutilizadas. Cualquier dirección P2PKH o P2WPKH desde la que se haya realizado una transacción de gasto ha tenido su clave pública revelada. Si el propietario dejó un saldo en esa misma dirección, o depositó fondos en ella posteriormente, esos fondos se encuentran detrás de una clave pública completamente visible para cualquier observador que indexe la cadena.
- Transacciones en tránsito. Durante la ventana entre la difusión y la confirmación — normalmente unos minutos, pero más larga bajo congestión — la clave pública se encuentra en el mempool. Un adversario cuántico capaz de romper ECDSA dentro de esa ventana podría, en principio, derivar la clave privada, construir una transacción de reemplazo con mayor comisión y robar los fondos antes de que se confirmen.
Las dos primeras categorías representan una exposición estática que crece con el historial de la cadena. La tercera es un problema de flujo que afecta a cada transacción realizada bajo el esquema heredado, independientemente de cómo se haya generado la dirección.
Cuánto bitcoin está realmente expuesto
Cuantificar el conjunto en riesgo requiere distinguir entre monedas que están demostrablemente expuestas hoy y monedas que quedarían expuestas en el momento en que sus propietarios intenten moverlas. El análisis de Coinbase y el trabajo académico paralelo convergen en cifras del orden de varios millones de BTC para la primera categoría — una proporción significativa del suministro circulante, aunque el número preciso depende de las decisiones de clasificación.
El conjunto expuesto se descompone aproximadamente en tres grupos.
Monedas P2PK de la era Satoshi
El componente más grande y criptográficamente más claro es el corpus de salidas de coinbase P2PK de 2009 y principios de 2010. Las estimaciones de las monedas probablemente minadas por Satoshi se agrupan en torno a la conocida cifra del patrón Patoshi, de aproximadamente 1,1 millones de BTC, mientras que el conjunto más amplio de salidas de coinbase P2PK tempranas alcanza una cifra aún mayor. Estas monedas nunca se han movido. Sus claves públicas están escritas directamente en los scripts de bloqueo. Ante una ruptura cuántica de ECDSA, cada uno de estos UTXOs se volvería gastable por quien ejecute primero el algoritmo de Shor.
Este grupo es el que genera la tensión de gobernanza más aguda. Las monedas están económicamente abandonadas en el sentido más fuerte posible — muchas son anteriores a la existencia de un ecosistema de exchanges y nunca han sido tocadas — pero siguen siendo legítimamente propiedad de quien tenga las claves privadas correspondientes. Una regla de congelamiento diseñada para protegerlas es también una regla que priva a sus propietarios del acceso.
Direcciones P2PKH reutilizadas
El segundo grupo es la larga cola de direcciones P2PKH y P2WPKH que exchanges, custodios y usuarios individuales han utilizado como direcciones de depósito estáticas. Cada vez que se gasta desde una de esas direcciones, la clave pública pasa a formar parte permanente del historial de la cadena; cualquier saldo residual, o cualquier depósito futuro a la misma dirección, queda detrás de material expuesto.
La investigación de Coinbase subraya que esta categoría no se limita a usuarios individuales descuidados. Los esquemas de monedero frío en varios exchanges han enrutado históricamente depósitos hacia direcciones que ya habían producido gastos, a menudo porque el modelo operativo trataba una dirección activa como destino de larga duración. La exposición aquí no se mide en un puñado de monedas; la reutilización institucional puede abarcar tenencias de decenas o cientos de miles de BTC en un solo lugar.
Monedas expuestas perdidas y latentes
Un subconjunto de los dos primeros grupos se superpone con monedas que probablemente están perdidas — claves descartadas, hardware destruido, titulares fallecidos. Las monedas expuestas perdidas son la versión más cruda del problema cuántico: ante una ruptura exitosa, no se roban tanto como se recuperan por un adversario, sin que quede ningún propietario legítimo para competir por ellas. Las estimaciones de bitcoin perdido abarcan un rango amplio, con cifras alrededor de 3–4 millones de BTC citadas con frecuencia; la porción de ese total que reside en scripts expuestos es menor, pero no trivial.
La cronología criptográfica que importa
La pregunta de cuándo existirá una computadora cuántica tolerante a fallos capaz de romper ECDSA en secp256k1 está genuinamente abierta, y el rango de estimaciones creíbles de los expertos es amplio. No mejoraremos esas estimaciones aquí. Lo que resulta más útil es identificar los hitos estructurales a lo largo de los cuales cambia la forma de la exposición de Bitcoin.
Lo que el algoritmo de Shor realmente requiere
El algoritmo de Shor reduce tanto la factorización de enteros como el problema del logaritmo discreto a rutinas cuánticas de tiempo polinomial. La variante relevante para Bitcoin es la versión de curva elíptica, que opera sobre el grupo de puntos en secp256k1. Las estimaciones de recursos publicadas sitúan el requisito para romper una clave de curva elíptica de 256 bits en el rango aproximado de millones de qubits físicos, asumiendo las sobrecargas actuales de corrección de errores mediante surface codes, para soportar varios miles de qubits lógicos ejecutando un circuito de profundidad considerable.
Los procesadores cuánticos anunciados hoy operan a escalas órdenes de magnitud inferiores, y la brecha entre qubits físicos y lógicos sigue siendo la restricción determinante. El progreso es real pero no uniforme: los avances en número de qubits, fidelidad de compuertas y eficiencia de corrección de errores contribuyen por igual, y un avance en cualquiera de ellos — particularmente en la sobrecarga de corrección de errores — puede comprimir el calendario en años.
El marco de “capturar ahora, descifrar después” no aplica de forma limpia
En el debate post-cuántico más amplio, el modelo de adversario estándar es el de “capturar ahora, descifrar después”: un atacante registra tráfico cifrado hoy y lo descifra una vez que llegue la capacidad cuántica. La situación de Bitcoin es diferente y, en algunos aspectos, peor. No hay nada que capturar — las claves públicas expuestas ya están en un libro mayor público y permanecerán allí indefinidamente. El adversario no necesita anticipar ni almacenar nada; solo necesita esperar.
El corolario es que la ventana de migración no es el período entre ahora y el momento en que se logre una capacidad cuántica — sino el período entre ahora y el momento más temprano en que esa capacidad resulte plausible para un actor con recursos suficientes. El protocolo debe completar la migración antes de esa fecha anterior, no después.
La “ventana Q-Day” y el riesgo de las transacciones en tránsito
Incluso tras la migración a un esquema post-cuántico, los outputs heredados permanecen en la cadena. Un marco útil es el de la ventana Q-Day: el período que rodea el momento en que un adversario cuántico es por primera vez capaz de romper ECDSA, durante el cual los UTXOs heredados que no hayan sido migrados, congelados o quemados están en riesgo agudo. Las transacciones en tránsito difundidas en formato heredado durante esa ventana quedan igualmente expuestas.
La duración de la ventana es lo que las decisiones de diseño del protocolo pueden influir. Una migración que comience temprano y ofrezca una transición larga puede mover la mayor parte del valor económico fuera de la superficie expuesta antes del Q-Day; una migración que comience tarde, o que no ofrezca un camino creíble para los titulares inactivos, deja un residuo mayor.
Caminos de migración y sus compromisos
No existe consenso sobre qué debe hacer Bitcoin, y el desacuerdo público entre criptógrafos es estructural más que táctico. Los caminos candidatos se sitúan en un espectro que va desde la intervención mínima hasta la modificación agresiva del libro mayor, y cada uno conlleva una distribución diferente del daño.
Migración voluntaria sin plazo
El camino más conservador es introducir un esquema de firma post-cuántico como un nuevo tipo de dirección mediante un soft fork, y dejar la migración completamente en manos de los titulares de monedas. Los monederos activos adoptarían el nuevo esquema a medida que se actualicen; los UTXOs inactivos permanecerían en sus scripts actuales.
La ventaja de este camino es que preserva la sólida norma de Bitcoin contra la modificación de saldos existentes. La desventaja es que no hace nada respecto a las monedas P2PK expuestas y las de direcciones reutilizadas. Ante un evento Q-Day, esas monedas son tomadas. La cadena experimenta un movimiento repentino y masivo de monedas no autorizado que el protocolo no puede distinguir del gasto legítimo — porque las firmas son criptográficamente válidas.
Migración con plazo límite
Un camino más intervencionista añade un plazo. Después de una altura de bloque publicada, el protocolo se niega a validar firmas contra scripts heredados; las monedas mantenidas en esos scripts se vuelven imposibles de gastar. Esto se describe a veces como una congelación suave: las monedas no se confiscan, pero no pueden moverse.
El efecto es convertir las monedas expuestas en monedas quemadas en una fecha determinada. Los titulares activos reciben una larga ventana de migración — típicamente varios años en las propuestas publicadas — durante la cual pueden mover fondos de scripts heredados a scripts post-cuánticos. Los titulares que no actúen, ya sea porque no puedan o porque ya no tengan las claves, pierden el acceso.
El argumento a favor del plazo es que elimina el beneficio inesperado: un adversario cuántico no puede apropiarse de monedas que el propio protocolo ha vuelto imposibles de gastar. El argumento en contra es que impone una decisión centralizada — en una fecha concreta, sobre un conjunto determinado de UTXOs — que está en tensión con el modelo de derechos de propiedad que Bitcoin ha defendido históricamente.
Congelamiento selectivo solo de los scripts expuestos
Una variante más acotada es congelar únicamente los scripts donde las claves públicas ya están en la cadena — salidas P2PK y direcciones con gastos previos — mientras se dejan intactas las direcciones P2PKH sin gastar y con clave no revelada. El argumento es que las direcciones con hash conservan una protección significativa gracias al algoritmo de Grover y no necesitan migrarse según un calendario impulsado por consideraciones cuánticas; solo el subconjunto expuesto está en riesgo.
Esto reduce el número de monedas afectadas, pero no resuelve la tensión subyacente. Seleccionar el criterio sigue requiriendo una decisión a nivel de protocolo sobre qué UTXOs deshabilitar. Y el límite no es del todo nítido: un titular de una dirección reutilizada puede seguir teniendo control legítimo de la clave privada e intención legítima de gastar.
Mecanismos de recuperación mediante prueba de propiedad previa
Una propuesta más elaborada añade un mecanismo de recuperación sobre cualquier regla de congelamiento. Los titulares de monedas congeladas podrían probar posteriormente su propiedad mediante algún mecanismo no vulnerable a un ataque cuántico — por ejemplo, demostrando conocimiento de una frase semilla mediante una prueba de conocimiento cero post-cuántica, o haciendo referencia a un compromiso anterior no basado en ECDSA.
La mecánica no es trivial. La mayoría de los monederos de Bitcoin actuales no producen ningún artefacto, más allá de la propia clave ECDSA, que pudiera utilizarse posteriormente para demostrar la propiedad de forma cuánticamente segura. Un esquema de recuperación necesitaría o bien ser añadido de manera retroactiva — requiriendo que los usuarios activos se comprometan con una prueba post-cuántica antes del plazo, lo que colapsa de vuelta en una migración ordinaria — o bien depender de información fuera de la cadena, como certificaciones vinculadas al hardware, que la mayoría de los primeros usuarios de Bitcoin no poseen.
La cuestión del esquema de firma post-cuántico
Elegir un reemplazo para ECDSA es una decisión de ingeniería con consecuencias significativas en la cadena. Los candidatos surgidos del proceso de estandarización post-cuántica del NIST presentan compromisos distintos en cuanto a tamaño de firma, coste de verificación y dureza criptográfica asumida.
Firmas basadas en hash
Los esquemas basados en hash como las firmas Lamport y sus variantes con estado (XMSS, LMS) y sin estado (SPHINCS+) se apoyan en la seguridad de la función hash subyacente en lugar de en cualquier problema de teoría de números. Se consideran ampliamente como la opción post-cuántica criptográficamente más conservadora: si la función hash se sostiene, la firma se sostiene.
El coste es el tamaño. Una única firma SPHINCS+ ocupa varios kilobytes — órdenes de magnitud mayor que los 64–72 bytes de una firma ECDSA. Los esquemas de la familia Lamport con estado son más pequeños por firma, pero requieren una gestión cuidadosa del estado para evitar la reutilización de claves, lo que se adapta mal al modelo de monedero flexible y multi-dispositivo al que los usuarios de Bitcoin se han acostumbrado.
Para Bitcoin, la implicación es directa: una transición a firmas basadas en hash expandiría de manera notable el tamaño de las transacciones, reduciría el rendimiento de bloques en términos de transacciones por bloque y elevaría las comisiones en cadena para operaciones equivalentes. Aplicar descuentos en el peso de los bloques podría mitigar esto, pero el compromiso es estructural.
Firmas basadas en retículos
Los esquemas basados en retículos como CRYSTALS-Dilithium, seleccionado por el NIST como el estándar primario de firma post-cuántico, se basan en la dureza de los problemas de retículos estructurados. Sus firmas son más grandes que las de ECDSA — típicamente unos pocos kilobytes — pero más pequeñas que SPHINCS+, y la verificación es rápida.
La cuestión del conservadurismo es más aguda aquí. La criptografía de retículos es más joven que la criptografía basada en hash, y los supuestos de retículos estructurados que subyacen a Dilithium tienen un historial más corto de criptoanálisis público que los supuestos de dureza detrás de ECDSA en un punto comparable de su ciclo de vida. Los desacuerdos entre criptógrafos que han aflorado en la discusión pública este año se centran sustancialmente en cuánta confianza depositar en estos supuestos para una clase de activos donde una única ruptura es catastrófica e irreversible.
Otros candidatos
Los esquemas basados en isogenias fueron considerados prometedores en su momento, pero sufrieron rupturas graves en 2022. Los esquemas basados en códigos y multivariables tienen otros compromisos que los convierten en malas opciones para la huella en cadena de Bitcoin. La elección práctica para Bitcoin es entre el conservadurismo basado en hash y la eficiencia basada en retículos, y el protocolo no tiene que tomar esta decisión de forma aislada — puede adoptar un esquema híbrido que requiera ambas firmas para validar, aceptando el coste en tamaño a cambio de sobrevivir a una ruptura en cualquiera de las dos familias.
El caso híbrido
Una construcción híbrida — por ejemplo, requerir tanto una firma SPHINCS+ como una firma Dilithium, o combinar una de ellas con una firma ECDSA retenida durante un período de transición — ofrece una postura de defensa en profundidad significativa. El coste es aditivo en tamaño de firma, y la complejidad de ingeniería es mayor, pero el argumento de seguridad es el más sólido: un adversario necesita romper ambos esquemas, o tanto el esquema post-cuántico como ECDSA, para falsificar una transacción.
Para un sistema donde el peor caso es una pérdida generalizada de confianza en la validez de los saldos históricos, el argumento conservador a favor de los híbridos es inusualmente sólido.
Implicaciones y preguntas abiertas
La sustancia criptográfica de la cuestión cuántica está bien comprendida. La sustancia de gobernanza no lo está, y es ahí donde residen las tensiones más interesantes.
La primera pregunta abierta es si Bitcoin puede ejecutar cualquier migración con plazo límite sin fracturarse. El contrato social del protocolo ha tratado históricamente los UTXOs como propiedad duradera: una moneda enviada en 2010 debería seguir siendo gastable en 2030 por quien tenga la clave. Un plazo que convierte monedas sin gastar en monedas imposibles de gastar es una ruptura deliberada de ese contrato, aunque la justificación sea privar a un adversario externo de un beneficio inesperado en lugar de confiscar valor. La comunidad de criptógrafos está abiertamente dividida sobre si la ruptura está justificada, y la división no se corresponde claramente con las facciones políticas habituales de Bitcoin.
La segunda pregunta abierta es informacional. Incluso con un plazo en vigor, los titulares necesitan saber que existe, que sus monedas se ven afectadas y cómo migrar. La fracción sustancial de bitcoin en manos de usuarios inactivos — destinatarios que configuraron un monedero hace años y nunca volvieron a él — es por construcción la población más difícil de alcanzar. Un anuncio de plazo que llega a los monederos activos a través de actualizaciones de software rutinarias no llegará a los titulares que no han abierto su monedero en una década.
La tercera pregunta es operacional y recae desproporcionadamente sobre los custodios. Los exchanges e instituciones que han reutilizado históricamente direcciones de depósito se enfrentan a una migración que no es solo una actualización de software, sino una re-arquitectura de su modelo de almacenamiento en frío. El análisis de Coinbase enmarca esto como una cuestión de higiene a corto plazo: rotar hacia direcciones nuevas, poner fin a la práctica de reutilizar destinos de depósito estáticos y estructurar los monederos fríos de manera que ninguna clave pública quede innecesariamente revelada. Nada de esto requiere cambios de consenso, y todo ello reduce la exposición de inmediato.
La cuarta pregunta versa sobre la legitimidad de las monedas latentes como categoría especial. Si una futura migración trata las salidas P2PK de la era Satoshi de manera diferente — por ejemplo, aceptándolas como la clase canónica de monedas perdidas y congelándolas en un calendario separado — eso constituye en sí mismo un precedente. Establece que el protocolo puede identificar un subconjunto de titulares y aplicarles reglas distintas sobre sus UTXOs. Una vez que esa capacidad se ejerce, es más difícil argumentar que no puede volver a ejercerse bajo motivaciones diferentes.
Lo que estamos observando, en orden de inmediatez: el ritmo al que los grandes custodios se comprometen públicamente a dejar de reutilizar direcciones y a migrar los monederos fríos hacia esquemas que no revelen claves; la aparición de un BIP creíble o conjunto de BIPs que propongan plazos concretos y esquemas de firma, con revisión pública de criptógrafos ajenos al círculo inmediato de desarrollo de Bitcoin; la respuesta de la base de mineros y operadores de nodos a esas propuestas, que es la población que en última instancia hace cumplir cualquier cambio de consenso; y la trayectoria del hardware cuántico tolerante a fallos, en particular las mejoras en la sobrecarga de corrección de errores, que es la variable con mayor probabilidad de comprimir la ventana de migración disponible.
La cuestión cuántica no es urgente en el sentido de que algo deba ocurrir este trimestre. Es urgente en el sentido de que las decisiones que determinen cómo gestiona Bitcoin sus monedas expuestas se tomarán a lo largo de años, no de meses, y el coste de empezar tarde es asimétrico: una migración comenzada pronto y que nunca resulte necesaria es un desperdicio modesto; una migración comenzada tarde y superada por el avance del hardware es una pérdida de la que el protocolo no puede recuperarse plenamente.