Чому квантові комп'ютери загрожують приватності біткоїна

# Збирач секретів. Чому квантові комп'ютери загрожують приватності біткоїна

У вересні 2025 року Федеральна резервна система США (ФРС) опублікувала аналітичний документ про стратегію Harvest Now, Decrypt Later (HNDL). Цей підхід передбачає, що злочинці заздалегідь збирають зашифровані дані, щоб у майбутньому розшифрувати їх за допомогою достатньо потужних квантових комп'ютерів.

Автори звіту використовують біткойн як приклад і вивчають, які наслідки може мати стратегія HNDL для блокчейнів, основаних на традиційних методах криптографії.

Дослідники прийшли до висновку, що навіть своєчасне впровадження постквантової криптографії не захистить приватність історичних даних через незмінність блокчейну. Разом з представниками біткоїн-міксера Mixer.Money розповідаємо, які проактивні дії можуть вжити користувачі, щоб підвищити приватність навіть після настання «Дня Q».

Як працює HNDL

Принцип атаки прост: злоумышленник копіює бази даних та інші захищені відомості. Миттєвого зиску немає, але коли з'явиться криптоаналітично релевантний квантовий комп'ютер (Cryptoanalytically-Relevant Quantum Computer, CRQC), він зможе отримати доступ до приватних ключів/інформації, пов'язаної з історією транзакцій.

Для біткоїна квантова загроза означає потенційний злом цифрових підписів. Досить потужний квантовий комп'ютер зможе обчислити приватний ключ за публічним, що відкриває можливість компрометації гаманців і історії транзакцій.

«На перший погляд у такій ситуації питання приватності — найменша з проблем. Однак дослідження ФРС саме звертає увагу на те, що своєчасне впровадження постквантової криптографії не захистить історичні дані. Навіть якщо користувачі переведуть кошти на квантово стійкі адреси, зловмисники потенційно зможуть розкрити раніше недоступні дані про транзакції та зв'язки між адресами», — зазначають представники Mixer.Money.

В дослідженні ФРС підкреслюється, що, на відміну від питань безпеки, проблема конфіденційності не має простого рішення. Історичні дані біткоїна беззахисні перед ретроспективним злом.

Вразливість біткойн-адресів

Існують різні типи біткойн-адрес. Ступінь їхньої уразливості перед квантовим зломом залежить від того, коли і в якому вигляді публічний ключ стає видимим.

• Pay-to-Public-Key (P2PK). Сам відкритий ключ слугує адресою отримувача. Монети Сатоші Накамото ( близько 1 млн BTC) знаходяться на подібних UTXO. Публічні ключі цих монет відомі всім прямо зараз. Вони потрапляють до категорії long-range атак: у зловмисників необмежений час для підбору приватних ключів;
• Pay-to-Public-Key-Hash (P2PKH). У блокчейн записується тільки хеш відкритого ключа. Сам ключ не видно, поки з адреси не було вихідних переказів.

Вразливість виникає при першій витраті. Власник публікує повний відкритий ключ у скрипті, доводячи право власності. З цього моменту адреса перестає бути квантово стійкою. Якщо зловмисник у майбутньому отримає квантовий комп'ютер, він зможе обчислити приватний ключ.

SegWit-адреси з префіксом bc1q працюють за тим же принципом, що й P2PKH. До першої витрати UTXO безпечні, але після цього публічний ключ стає надбанням блокчейну.

Taproot-адреси (P2TR) з префіксом bc1p містять коротку версію публічного ключа (ситуація схожа на старий P2PK). За даними Chaincode Labs, на січень 2025 року на Taproot припадало 32,5% всіх виходів UTXO, але всього 0,74% загальної пропозиції першої криптовалюти.

Квантовий комп'ютер зможе масово відновити приватні ключі та визначити, які адреси належать одній людині. Аналітики Deloitte оцінили, що вже сьогодні приблизно 25% усіх біткоїнів потенційно знаходяться під загрозою квантового аналізу. Дослідження Chaincode Labs розширює діапазон до 20–50% монет в обігу (4–10 млн BTC). У цю категорію потрапляють:

• старі UTXO з відкритими ключами (P2PK);
• втрачені монети на відомих адресах;
• сотні тисяч біткоїнів на адресах з відкритими ключами через повторне використання.

Великі тримачі — біржі та кастодіальні сервіси — історично часто зберігали кошти на одних і тих же адресах. Це означає концентрацію величезних сум на окремих ключах, що робить їх пріоритетними цілями для квантових атак.

Як захистити приватність вже зараз

Квантовий злочин загрожує ретроспективно розкрити всю історію біткоїна, тому користувачам варто подумати про приватність транзакцій заздалегідь. Повністю усунути загрозу HNDL без переходу на нові алгоритми неможливо. Однак зниження ончейн-зв'язків ускладнить аналіз. Для цього потрібно:

• не використовувати адреси повторно. Для кожного отримання платежу генеруйте нову адресу. Повторний прийом коштів призводить до того, що різні вхідні об'єднуються і їх простіше зв'язати з вами. Також при повторному витрачанні відкритий ключ буде розкритий і стане потенційно вразливим для квантових атак;
• розривати транзакційні зв'язки. Уникайте ситуацій, коли вся ланцюг «відправник-одержувач»‎ очевидна сторонньому спостерігачеві. Якщо ви переводите кошти між власними гаманцями або здійснюєте платіж, який хотілося б зберегти анонімним, розгляньте можливість використання біткоїн-міксерів.

Наприклад, Mixer.Money дозволяє отримати біткоїни на нові адреси, не пов'язані між собою ончейн і без необхідності проходити KYC. Сервіс розділяє монети користувача на частини та відправляє на біржі. Через випадково обраний проміжок часу (щоб уникнути аналізу за часовими мітками) користувач отримує таку ж кількість монет (за вирахуванням комісії), але з інших бірж і від різних інвесторів.

Завдяки цьому розриваються зв'язки між вихідною транзакцією та кінцевим отримувачем. Сторонній аналітик бачить у блокчейні, що кошти надійшли від безлічі адрес, які не мають явного зв'язку з відправником. По суті, Mixer.Money ускладнить як класичний ончейн-аналіз, так і потенційний майбутній квантовий аналіз історії транзакцій.

«Старайтеся не розкривати свою особистість, прив'язуючи її до адрес. Не надсилайте безпосередньо біткоїни з анонімного гаманця на біржу, де пройдена верифікація особистості. Краще виводити кошти через міксер. Не публікуйте публічно адреси, якими ви користуєтеся. Не діліться розширеним публічним ключем вашого гаманця (xpub) — ці дані можуть бути проаналізовані як зараз, так і ретроспективно»‎, — додають у Mixer.Money.

Чим менше інформації про ваші транзакції прив'язано до вас або об'єднано між собою, тим складніше її зібрати воєдино під час настання квантової ери.

Квантовий перехід без KYC

Дослідження ФРС показує неочевидні аспекти приватності, на які варто звернути увагу тим, хто хоче зберігати анонімність у блокчейні біткоїна в довгостроковій перспективі.

Екосистема поступово готується до постквантової криптографії. З'являються пропозиції на кшталт BIP-360 для переходу на нові адреси. Експерти обговорюють терміни настання «Дня Q»‎ та шляхи міграції.

Звичайному користувачу важливо розуміти: квантова загроза — це не теоретичний сценарій, а практичний ризик, який з часом лише зростає. Чим раніше вжити заходів для захисту приватності в мережі біткоїна, тим краще.