Сатоші Накамото передбачив захист хешу біткоїна за 16 років до квантових страхів

Шістнадцять років тому Сатоші Накамото відповів скептику на форумі в 2010 році, і ця відповідь досі підказує, як мережа захищає свої гроші сьогодні.

Основні висновки

  • Сатоші Накамото захистив SHA-256 у публікації на Bitcointalk від 16 липня 2010 року.
  • Google Quantum AI скоротила свою оцінку на 2026 рік для зламу кривої Біткоїна до 500,000 кубітів.
  • У 2026 розробники пропонували BIP-360 та інші ідеї, щоб підготувати квантово-стійкі адреси.

Форумна публікація, що встановила правила

16 липня 2010 року користувач на ім’я bdonlan на форумі Bitcointalk поставив під сумнів подвійне хешування SHA-256 у Біткоїні. Він запитав, чи не послаблює такий дизайн безпеку.

Сатоші відповів напряму. Винахідник Біткоїна порівняв SHA-256 із переходом від обчислень на 32 біти до 64 біт, а не з невеликим кроком у довжину біт. За його словами, комп’ютери вичерпали б простір адрес на 32 біти вже при 4 гігабайтах, але ніхто не очікує вичерпати простір на 64 біти найближчим часом. SHA-256 працює так само, і математика дає Біткоїну з запасом.

Сатоші також дав мережі план виходу. Якщо колись SHA-256 послабиться, розробники зможуть зробити софтфорк на нову хеш-функцію на заданій висоті блоку. Старі й нові хеші працюватимуть паралельно, доки кожен вузол не оновиться.

Капіталізація ринку з того часу зросла понад трильйон, а мережа щодня розраховується на сотні мільярдів доларів. Кожен долар цієї активності все ще залежить від хеш-функції, яку Сатоші захистив в одній форумній відповіді шістнадцять років тому.

Чому Біткоїн запускає два хеші замість одного

Код Біткоїна хешує дані двічі: SHA256(SHA256(data)), підхід, який розробники називають SHA256d. Криптографи Ніелс Фергюсон (Niels Ferguson) і Брюс Шнайєр (Bruce Schneier) рекомендували цей підхід для атак із подовженням довжини (length extension) на блоки — вразливість у структурі Merkle-Damgard, яку використовує SHA-2.

Майнери хешують заголовки блоків двічі, щоб відповідати цільовому рівню складності мережі, а вузли хешують транзакції двічі, щоб будувати дерева Merkle. Гаманці додають третій шар — RIPEMD-160 поверх SHA-256, щоб стискати публічні ключі до адрес.

Сатоші обрав SHA-256 з певної причини. Національний інститут стандартів і технологій (NIST) опублікував алгоритм у 2001 році як частину сімейства SHA-2, забезпечивши значний стрибок у міцності порівняно з SHA-1, у якого вже були тріщини до запуску Біткоїна в січні 2009 року. Для SHA-256 потрібно приблизно 2^128 операцій, щоб змусити колізію, і приблизно 2^256 — щоб змусити преображення (preimage).

Шістнадцять років потому ніхто не зламав цей дизайн. Жоден дослідник не знайшов робочої атаки на колізію, преображення або друге преображення проти повного SHA-256. Версії зі скороченими раундами впали під крипаналіз, але ці атаки зупиняються в масштабуванні ще до того, як сягають реального 64-раундового алгоритму. NIST і незалежні групи на кшталт ECRYPT-CSA продовжують оцінювати повну функцію як безпечну.

Майнінг-обладнання розповідає ту саму історію. Виробники ASIC (application-specific integrated circuit) побудували цілі лінійки продуктів навколо SHA-256d, а хешрейт мережі тепер працює в діапазоні exahash. Сатоші прогнозував, що сам лише закон Мура ніколи не поставить під загрозу функцію, а коригування складності утримували час між блоками близько десяти хвилин попри експоненційний приріст майнінгової потужності.

Квантові обчислення змінюють розмову

Класичний перебір ніколи не турбував Сатоші, і він досі не становить загрози для Біткоїна. Квантові обчислення розділяють ризик на дві окремі задачі.

Алгоритм Ґровера пришвидшує пошук перебором. Якщо застосувати його до SHA-256, він зменшує ефективну безпеку з 256 біт до приблизно 128 біт — число, яке все ще далеко за межею досяжності. Дослідники кажуть, що атакуванню потрібне квантове обладнання в масштабі, якого світ ще не збудував, тож наразі все залишається безпечним.

Алгоритм Шора створює більшу проблему і спрямований на підписи, а не на хеші. Квантовий комп’ютер, що працює з ним, може витягнути приватний ключ із розкритого публічного ключа на еліптичній кривій, яку використовує Біткоїн. Приблизно 7 мільйонів біткоїнів, близько 35% від пропозиції, знаходяться в адресах із розкритими публічними ключами, і становили б ризик, якби таке обладнання існувало.

Google Quantum AI опублікувала в 2026 році дослідження, яке знизило кількість кубітів, потрібних для зламу кривої Біткоїна, приблизно до 500,000 фізичних кубітів. Поточні квантові машини працюють у діапазоні 1,000–1,500 кубітів. Дослідники все ще оцінюють реальну загрозу десь між 2029 і 2035 роками — залежно від прогресу в корекції помилок.

Розробники знову піднімають питання через шістнадцять років

Сатоші неодноразово повертався до хеш-загроз у 2010 році, зокрема до того, що станеться, якщо SHA-256 отримає часткову колізію. Його відповідь залишалася послідовною: зафіксувати чесний ланцюг, поки біда не поширилася, а потім перейти на нову функцію.

Пізніші оновлення Біткоїна не чіпали базовий хешинг. Segregated Witness було активовано в 2017 році, а Taproot — у 2021 році; обидва були спрямовані на ефективність і приватність, а не на хешування. Квантова стійкість не стала гарячою темою для розробників, доки обізнаність про алгоритми Ґровера та Шора не поширилася серед криптографічної спільноти в 2020-х.

Розробники пропонують маршрути виходу, які Сатоші пообіцяв

Розробники Біткоїна вже запропонували шлях міграції, який Сатоші описав у 2010 році, лише орієнтований на підписи, а не на хеші. У таблицю було внесено кілька ідей.

BIP-360 вводить новий формат адрес, pay-to-Merkle-root адреси, що починаються з bc1z, і побудовані на схемах квантово-стійких підписів. Розробники об’єднали пропозицію в 2026 році. Дотична пропозиція, BIP-361, описує, як мережа з часом може відмовитися від старіших типів адрес, які піддаються ризику. А за методом останньої пропозиції більше суперечок.

Нині постачальники гаманців стикаються з тиском, щоб припинити повторне використання адрес і спрямувати користувачів до новіших типів виходів, перш ніж настане будь-який квантовий дедлайн.

Міграція має власні перешкоди. Розробникам усе ще потрібен план для монет, зафіксованих у старих адресах, власники яких неактивні або недосяжні, включно з будь-якими біткоїнами, пов’язаними з ранніми гаманцями Сатоші. Квантово-стійкі підписи також займають більше місця в блоці, ніж ті підписи, які Біткоїн використовує сьогодні, і дослідники тестують підписні схеми на основі хешів, щоб зробити цю міграцію керованою.

Що це означає для власників Біткоїна

Немає нічого, що вимагає дій сьогодні щодо SHA-256. Хеш-функція, яка захищає майнінг і історію транзакцій, не зазнала змін жодною відомою атакою — класичною чи квантовою.

Розкриття підписів — це пункт, за яким варто стежити. Власники монет у адресах старого типу або будь-хто, хто повторно використовував адресу Біткоїна, мають більше ризику, ніж той, хто використовує сучасні типи виходів із публічними ключами, які залишаються прихованими, доки не відбудеться витрачання.

Сатоші завершив тред 2010 року попередженням, яке досі читається як чинна політика. Будь-яка атака достатньо сильна, щоб зламати SHA-256, скоріше за все зашкодить і сильнішим «родичам» на кшталт SHA-512, тож повний злам сам по собі виглядає малоймовірним. Захист Біткоїна ніколи не був про незмінність. Це була здатність рухатися, перш ніж загроза стане реальною.

Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено