Каждое новое технологическое достижение в области квантовых вычислений заставляет пересматривать долгосрочные горизонты безопасности биткоина. Когда Google перенес крайний срок перехода на постквантовую криптографию на 2029 год, а академическое сообщество продемонстрировало квантовую схему, способную получить приватный ключ по открытому всего за девять минут, сообщество разработчиков биткоина отреагировало соответствующим образом. В феврале 2026 года BIP-360, «Pay-to-Merkle-Root (P2MR)», был официально добавлен в репозиторий bitcoin/bips. Это первый случай, когда квантовая устойчивость включена в формальный план обновления биткоина. Речь идет не о радикальной криптографической революции, а об осторожной и поэтапной структурной защите.
Почему квантовая угроза стала структурным фактором именно сейчас?
За прошедшую неделю в сфере квантовых вычислений произошел фундаментальный сдвиг. В совместной статье команды Google по квантовым технологиям и профессора Стэнфорда Дэна Боне было подтверждено, что для взлома алгоритма цифровой подписи на эллиптических кривых биткоина (ECDSA) достаточно всего 1 200–1 400 логических кубитов. Это почти на порядок меньше, чем прежние оценки отрасли — 10 000 логических кубитов. Еще важнее, что архитектура нейтральных атомов Oratomic предполагает, что для этого потребуется всего 10 000 физических кубитов, а Калифорнийский технологический институт уже построил массив из 6 100 нейтральных атомов. Это означает, что квантовые угрозы в лаборатории переходят от теории к инженерной проверке.
Для биткоина риск связан не с алгоритмом хеширования SHA-256, а с открытыми на блокчейне публичными ключами, используемыми при транзакциях. Как только квантовые компьютеры смогут восстанавливать приватные ключи по публичным, все повторно используемые адреса, устаревшие выходы P2PK и траты по ключевому пути Taproot окажутся под угрозой. По оценкам ARK Invest, примерно 34,6% предложения биткоина — около 6,9 миллиона BTC — могут быть подвержены этому риску.
Как BIP-360 технически снижает экспозицию публичных ключей?
В основе BIP-360 лежит внедрение нового типа выхода — Pay-to-Merkle-Root (P2MR). По структуре он опирается на обновление Taproot 2021 года, но с ключевым отличием: полностью исключается возможность трат по ключевому пути.
В традиционных транзакциях Taproot отправитель может выбрать трату UTXO через ключевой путь (при этом открытый ключ записывается в блокчейн) или через скриптовый путь (с предоставлением доказательства по дереву Меркля). Ключевой путь эффективен, но требует публикации публичного ключа в блокчейне. В P2MR все траты UTXO осуществляются исключительно по скриптовому пути. Конкретно, выходы P2MR фиксируют только корень Меркля скриптового дерева, не привязываясь к какому-либо внутреннему публичному ключу. При трате пользователь раскрывает конкретный лист скрипта и предоставляет доказательство по дереву Меркля — публичный ключ на протяжении всего процесса не публикуется в блокчейне. Эта схема напрямую устраняет основной вектор квантовой атаки — экспозицию публичных ключей.
Какие структурные компромиссы требуются для повышения безопасности?
Любое усиление безопасности связано с издержками, и P2MR не исключение. Самая очевидная плата — рост комиссий за транзакции. Из-за использования скриптового пути вместо более простого ключевого, транзакции P2MR содержат больше данных свидетеля (включая доказательства Меркля и содержимое скрипта), что увеличивает размер транзакции и, соответственно, комиссию. Для обычных пользователей это означает заметный рост затрат.
Более глубокий компромисс — баланс между удобством и безопасностью. Ключевой путь был создан для более экономичных и быстрых трат. Его удаление приводит к тому, что все транзакции идут по скриптовому пути, что усиливает квантовую устойчивость, но снижает эффективность. Кроме того, P2MR — это не полноценная постквантовая схема подписей. Она не внедряет решеточные подписи Dilithium или хешевые подписи SPHINCS+ вместо ECDSA и Schnorr. Решается только текущая уязвимость, связанная с публикацией публичных ключей, без радикального изменения криптографической базы биткоина.
Какое значение это имеет для криптоиндустрии?
Внедрение BIP-360 незаметно меняет эволюцию отраслевой инфраструктуры. Для разработчиков кошельков поддержка адресов P2MR (ожидается, что они будут начинаться с bc1z) станет новым критерием дифференциации по уровню безопасности. Долгосрочные держатели смогут переводить активы на такие квантово-устойчивые адреса, снижая будущие риски. Для бирж и кастодианов это означает необходимость оценки экспозиции публичных ключей у текущих активов пользователей и подготовку механизмов миграции.
В более широком смысле это влияет на классификацию активов. В будущем рынок может естественным образом разделить биткоины на две категории: «резервные активы» для долгосрочного хранения на квантово-устойчивых адресах и «оборотные активы» на традиционных адресах с открытыми публичными ключами, используемые для частых операций. Это разделение способно повлиять на предпочтения по ликвидности и логику оценки. С технической точки зрения BIP-360 также предоставляет другим блокчейнам референтную модель — как снизить риски на уровне протокола до полного перехода на постквантовые подписи.
Как может развиваться ситуация дальше?
Технический путь внедрения BIP-360 достаточно прозрачен, но его общественное принятие пока не определено. Скорее всего, будет реализован поэтапный софтфорк: сначала активируется новый тип выхода P2MR, пользователи получают возможность выбора; затем кошельки, биржи и кастодианы постепенно добавляют поддержку; в итоге пользователи переводят активы в течение нескольких лет. Такой процесс напоминает внедрение SegWit и Taproot.
Однако достижение общественного консенсуса может оказаться сложнее технической реализации. BTQ Technologies уже внедрила рабочую реализацию BIP-360 на биткоин-квантовом тестнете, где участвуют более 50 майнеров и добыто свыше 100 000 блоков. Но этот тестнет работает независимо от основной сети биткоина, минуя главное управление сетью. Для включения BIP-360 в основной код биткоина потребуется широкий консенсус между майнерами, разработчиками и пользователями. Президент BTQ Кристофер Там выразился прямо: «Это социальный вопрос. В сообществе биткоина есть свои „верховные жрецы", которых предстоит убедить».
Какие потенциальные риски стоит отметить?
Несмотря на важность BIP-360 как превентивного обновления, его ограничения нельзя игнорировать. Во-первых, существующие активы не будут автоматически защищены. Все старые UTXO останутся под угрозой экспозиции публичных ключей, пока пользователи сами не переведут их на выходы P2MR. Это означает, что даже после обновления в сети долгое время будут оставаться уязвимые активы — особенно ранние адреса, добытые Сатоши, и давно неактивные «спящие монеты».
Во-вторых, BIP-360 — это не конечная точка. Как только появятся действительно рабочие квантовые компьютеры, способные угрожать криптографии (CRQC), простого снижения экспозиции публичных ключей будет недостаточно — потребуется полный переход на постквантовые схемы подписей.
В-третьих, между тестнетом и основной сетью есть существенные различия. В тестовой сети BTQ целевой интервал блока составляет одну минуту для ускорения тестирования, тогда как в основной сети биткоина — десять минут. Решения, проверенные на тестнете, потребуют пересмотра границ безопасности при переходе в основную сеть.
Наконец, квантовые технологии развиваются стремительно. Крайний срок миграции, установленный Google на 2029 год, и директива NSM-10 правительства США, предписывающая переход на постквантовую криптографию к апрелю 2026 года, сокращают время на реакцию для всей индустрии.
Итоги
Внедрение BIP-360 знаменует переход биткоина от пассивного реагирования на квантовые угрозы к активной защите. Удаление ключевого пути Taproot и обязательное использование скриптового пути значительно снижают риск экспозиции публичных ключей в блокчейне. Но это не финальное решение и не универсальное средство. Это осторожная, поэтапная техническая подготовка, которая дает время для будущего полного перехода на постквантовые подписи.
Для криптоиндустрии понимание значения BIP-360 заключается не в том, чтобы считать его окончательным решением, а в осознании: на пороге криптографической парадигмы раннее планирование и системная подготовка гораздо важнее экстренных мер. Обратный отсчет до эры квантовых вычислений уже начался, и разработчики биткоина вместе с участниками экосистемы встречают этот тридцатилетний теоретический вызов структурным изменением кода.
FAQ
В: Сделает ли BIP-360 биткоин полностью невосприимчивым к квантовым атакам?
Нет. BIP-360 только снижает риск экспозиции публичных ключей, но не заменяет текущий алгоритм подписей на эллиптических кривых. После появления действительно рабочих квантовых компьютеров потребуется полный переход на постквантовые схемы подписей.
В: Что делать обычным пользователям уже сейчас?
Квантовые угрозы пока не являются непосредственными, поэтому паниковать не стоит. Однако пользователям рекомендуется избегать повторного использования адресов, следить за поддержкой адресов P2MR в кошельках и быть в курсе новостей о развитии протокола биткоина.
В: Чем адреса P2MR отличаются от существующих?
Ожидается, что адреса P2MR будут начинаться с bc1z и относиться к выходам SegWit версии 2. Главное отличие — все траты осуществляются только по скриптовому пути, что предотвращает прямое раскрытие публичного ключа в блокчейне.
В: Когда BIP-360 будет активирован в основной сети биткоина?
На данный момент BIP-360 находится в статусе Draft и не включен в основной код биткоина. Сроки активации зависят от достижения консенсуса в сообществе и пока не определены.
В: Почему не перейти сразу на постквантовые подписи?
Постквантовые схемы подписей (например, на решетках) значительно больше по размеру и предъявляют высокие требования к блочному пространству и производительности узлов биткоина. BIP-360 — это постепенное решение, позволяющее снизить риски при сохранении эффективности сети и выиграть время для более масштабных обновлений.
