Vào tháng 3 năm 2026, nhóm Quantum AI của Google, phối hợp cùng Đại học Stanford và Ethereum Foundation, đã công bố một báo cáo kỹ thuật dài 57 trang phân tích có hệ thống các mối đe dọa về bảo mật mà máy tính lượng tử đặt ra đối với tiền mã hóa. Phát hiện cốt lõi: tài nguyên máy tính lượng tử cần thiết để phá vỡ thuật toán Mật mã Đường cong Elliptic 256-bit (ECC-256) – nền tảng của Bitcoin và Ethereum – thực tế thấp hơn khoảng 20 lần so với các ước tính tốt nhất trước đây. Cụ thể, dưới kiến trúc máy tính lượng tử siêu dẫn, chưa đến 500.000 qubit vật lý có thể thực hiện cuộc tấn công này, rút ngắn thời gian xử lý xuống còn khoảng 9 phút.
Điều quan trọng ở phát hiện này không phải là máy tính lượng tử hiện đã có thể phá vỡ Bitcoin – phần cứng hiện tại còn cách rất xa khả năng đó – mà là nó đã chuyển "Ngày Q" (thời điểm máy tính lượng tử có thể phá vỡ mật mã hiện tại) từ một mối lo lý thuyết xa vời thành một khung thời gian kỹ thuật có thể tính toán được. Google đã nội bộ đặt ra hạn chót năm 2029 để chuyển đổi hệ thống sang mật mã hậu lượng tử (PQC). Justin Drake, nhà nghiên cứu thuộc Ethereum Foundation và đồng tác giả báo cáo, ước tính đến năm 2032, xác suất máy tính lượng tử khôi phục được khóa riêng secp256k1 từ khóa công khai bị lộ sẽ đạt ít nhất 10%.
Thuật toán Shor giải mã khóa riêng từ khóa công khai như thế nào
Bảo mật của Bitcoin dựa trên thuật toán Chữ ký số Đường cong Elliptic (ECDSA) với đường cong secp256k1. Giả định cốt lõi là với máy tính cổ điển, việc truy xuất khóa riêng từ khóa công khai là bất khả thi trong thời gian thực tế. Đây là nền tảng bảo mật của toàn bộ hệ thống blockchain.
Thuật toán Shor chỉ ra rằng, trên máy tính lượng tử, bài toán logarit rời rạc trên đường cong elliptic có thể được giải quyết hiệu quả. Đóng góp then chốt của Google trong nghiên cứu này là xây dựng một mạch lượng tử cho thuật toán Shor nhắm trực tiếp vào secp256k1 và đưa ra các ước lượng tài nguyên cụ thể. Báo cáo đề xuất hai phương án: một giữ số qubit logic dưới 1.200 và số cổng Toffoli dưới 90 triệu; phương án còn lại tăng số qubit logic lên 1.450 nhưng giảm số cổng Toffoli xuống 70 triệu. Trên máy tính lượng tử siêu dẫn, điều này tương đương với dưới 500.000 qubit vật lý.
Về mặt biểu tượng, Google không công bố toàn bộ mạch tấn công. Thay vào đó, họ sử dụng bằng chứng không tiết lộ (zero-knowledge proof) để xác thực sự tồn tại và tính đúng đắn của mạch. Cách tiếp cận này, kế thừa nguyên tắc "công bố có trách nhiệm" trong an ninh mạng truyền thống, cho thấy phân tích mật mã lượng tử đã bước sang giai đoạn mới – giai đoạn cần phòng thủ chủ động thay vì chỉ khắc phục hậu quả.
Hai kịch bản tấn công: Chặn giao dịch thời gian thực và thu hoạch ngoại tuyến
Báo cáo kỹ thuật mô tả hai kịch bản tấn công lượng tử, mỗi kịch bản mang đặc điểm rủi ro riêng.
Kịch bản đầu tiên là "tấn công thời gian thực", nhắm vào các giao dịch được phát đi trong mempool. Khi người dùng khởi tạo một giao dịch Bitcoin, khóa công khai của họ sẽ bị lộ trên mạng trong thời gian ngắn – khoảng 10 phút, tương ứng với thời gian trung bình tạo một khối Bitcoin. Một máy tính lượng tử đủ nhanh có thể truy xuất khóa riêng từ khóa công khai trong khoảng 9 phút, cho phép kẻ tấn công gửi một giao dịch cạnh tranh và chiếm đoạt tài sản trước khi giao dịch gốc được xác nhận. Báo cáo ước tính một máy lượng tử duy nhất ở trạng thái tiền xử lý sẽ có khoảng 41% khả năng chặn thành công giao dịch trong khoảng thời gian này.
Kịch bản thứ hai là "tấn công tĩnh", nhắm vào các ví không hoạt động có khóa công khai bị lộ vĩnh viễn trên chuỗi. Ở đây không có giới hạn thời gian; máy tính lượng tử có thể xử lý theo tốc độ của mình. Báo cáo ước tính có khoảng 6,9 triệu bitcoin – tương đương 33% tổng nguồn cung – đã lộ khóa công khai, bao gồm khoảng 1,7 triệu đồng từ thời kỳ Satoshi và một lượng lớn tài sản bị lộ do tái sử dụng địa chỉ.
Một phát hiện đáng chú ý trong báo cáo là bản nâng cấp Taproot năm 2021 của Bitcoin, dù cải thiện bảo mật và quyền riêng tư truyền thống, lại vô tình mở rộng bề mặt tấn công lượng tử do mặc định lộ khóa công khai trên chuỗi. Taproot đã loại bỏ lớp bảo vệ "băm rồi mới lộ" vốn có ở định dạng địa chỉ P2PKH cũ.
Chi phí kỹ thuật và bài toán quản trị trong phòng thủ mối đe dọa lượng tử
Lộ trình phòng thủ trước mối đe dọa lượng tử đã rõ ràng, nhưng chi phí cũng không nhỏ. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã hoàn tất tiêu chuẩn hóa lô thuật toán mật mã hậu lượng tử đầu tiên vào tháng 8 năm 2024, bao gồm FIPS 203, 204 và 205. Về mặt kỹ thuật, các lựa chọn thay thế khả thi gồm chữ ký hậu lượng tử dựa trên mạng (như ML-DSA, trước đây là CRYSTALS-Dilithium) và chữ ký dựa trên hàm băm (như SLH-DSA, trước đây là SPHINCS+).
Tuy nhiên, mô hình quản trị phi tập trung của Bitcoin khiến việc chuyển đổi thuật toán mật mã trở nên cực kỳ phức tạp. Việc triển khai các cơ chế chữ ký hậu lượng tử sẽ đòi hỏi một đợt nâng cấp mềm hoặc cứng, cần đạt được đồng thuận cộng đồng, phối hợp phát triển và cập nhật đồng bộ từ các nhà cung cấp ví cũng như sàn giao dịch. Cộng đồng Bitcoin đã đề xuất BIP-360 để bổ sung tùy chọn chữ ký chống lượng tử, nhưng vẫn đang trong quá trình thảo luận. Nhà phát triển lõi Adam Back và một số người khác cho rằng mối đe dọa lượng tử vẫn còn "hàng thập kỷ nữa mới thành hiện thực", và việc nâng cấp quy mô lớn quá sớm có thể làm xuất hiện các lỗ hổng mật mã chưa được kiểm chứng.
Vấn đề thực sự phía sau tranh luận này là sự bất định của mối đe dọa lượng tử biến câu hỏi "khi nào nên chuyển đổi" thành một bài toán lý thuyết trò chơi. Nâng cấp quá sớm có thể lãng phí nguồn lực phát triển, trong khi trì hoãn quá lâu có thể dẫn đến mất mát tài sản không thể đảo ngược.
Mối đe dọa lượng tử đang thay đổi cách định giá bảo mật tài sản số như thế nào
Mối đe dọa từ máy tính lượng tử đang tái định nghĩa "biên độ an toàn" của tài sản số. Giả định truyền thống – rằng khóa công khai không thể bị truy xuất ngược thành khóa riêng trong thời gian khả thi – đang bị điều chỉnh lại. 6,9 triệu bitcoin (trị giá hơn 450 tỷ USD theo giá hiện tại) với khóa công khai bị lộ hoàn toàn hiện chỉ dựa vào thực tế tạm thời là máy tính lượng tử vẫn chưa đủ mạnh.
Thị trường đã bắt đầu phản ứng với rủi ro này theo nhiều cách khác nhau. Tỷ lệ sử dụng địa chỉ Taproot giảm từ 42% năm 2024 xuống còn khoảng 20%, cho thấy một bộ phận người dùng chủ động tránh các định dạng địa chỉ lộ khóa công khai. Nhà chiến lược đầu tư Matthew Kimmell của CoinShares nhận định nghiên cứu này "rút ngắn khoảng thời gian ngành cần để thúc đẩy nghiên cứu và xây dựng kế hoạch hành động".
Ở góc nhìn rộng hơn, ngành tiền mã hóa dễ bị tổn thương trước mối đe dọa lượng tử hơn tài chính truyền thống, chủ yếu vì sổ cái blockchain là công khai và không thể đảo ngược. Các tổ chức tài chính truyền thống có thể cập nhật hàng loạt chứng chỉ và khóa để phòng thủ, nhưng một khi khóa công khai đã bị lộ trên chuỗi, nó sẽ tồn tại vĩnh viễn – không thể "thu hồi". Sự khác biệt cấu trúc này đòi hỏi ngành tiền mã hóa không chỉ cần năng lực "áp dụng thuật toán hậu lượng tử", mà còn phải xây dựng khung thể chế để "thích ứng với tiến hóa mật mã liên tục".
Từ ước lượng tài nguyên đến tấn công thực tế: Còn bao xa?
Dù ước lượng tài nguyên trong báo cáo đã giảm đáng kể, khả năng tấn công thực tế vẫn còn rất xa. Các hệ thống lượng tử tiên tiến nhất hiện nay – bao gồm chip Willow của Google – mới chỉ đạt khoảng 100 qubit vật lý và chưa có khả năng sửa lỗi. Việc thu hẹp khoảng cách từ phần cứng hiện tại lên 500.000 qubit vật lý ổn định, có sửa lỗi đòi hỏi vượt qua nhiều thách thức kỹ thuật lớn.
Một số chuyên gia cho rằng lo ngại hiện tại là quá sớm. Adam Back của Blockstream chỉ ra rằng lớp mạng của Bitcoin không phụ thuộc vào mật mã truyền thống; mối đe dọa lượng tử không phải là chặn dữ liệu mạng, mà là phá khóa riêng của từng người dùng. Thêm vào đó, hàm băm SHA-256 dùng trong cơ chế đồng thuận bằng bằng chứng công việc (proof-of-work) khá vững trước tấn công lượng tử – thuật toán Grover chỉ tăng tốc độ bẻ khóa hàm băm lên căn bậc hai, kém xa tác động "hàm mũ" của thuật toán Shor lên mật mã khóa công khai.
Tuy nhiên, điều này không có nghĩa ngành có thể chờ đợi. Trong an ninh mạng, chiến lược "thu thập trước, giải mã sau" đồng nghĩa kẻ tấn công có thể đã thu thập dữ liệu blockchain, chờ máy tính lượng tử đủ mạnh để giải mã. Sự bất đối xứng về thời gian này buộc ngành phải triển khai phòng thủ trước khi máy tính lượng tử trở thành hiện thực.
Từ lộ trình 2029 của Google đến các mốc quản lý quốc tế
Mục tiêu chuyển đổi toàn bộ hệ thống nội bộ sang PQC vào năm 2029 của Google không phải là động thái đơn lẻ. Khung CNSA 2.0 của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) yêu cầu tất cả hệ thống an ninh quốc gia mới phải sử dụng thuật toán an toàn lượng tử từ tháng 1 năm 2027, hoàn tất chuyển đổi vào năm 2030 và hoàn thiện toàn bộ hạ tầng vào năm 2035. Áp lực kép từ tiêu chuẩn NIST và các mốc quản lý của NSA đang thúc đẩy các doanh nghiệp, tổ chức coi việc chuyển đổi PQC là nghĩa vụ tuân thủ, chứ không chỉ là chủ đề nghiên cứu.
Bối cảnh này đặt ra thách thức trực diện cho ngành tiền mã hóa. Việc nâng cấp các mạng phi tập trung như Bitcoin và Ethereum thường kéo dài nhiều năm. Ethereum Foundation đã mất nhiều năm nghiên cứu lộ trình hậu lượng tử và hiện đang thử nghiệm các cơ chế chữ ký hậu lượng tử trên testnet. Ngược lại, Bitcoin vẫn chưa có lộ trình hậu lượng tử rõ ràng và cơ chế tài trợ phối hợp. Dù quản trị phi tập trung mang lại tính chính danh, nó cũng khiến quá trình chuyển đổi mật mã ở cấp độ giao thức trở nên đặc biệt chậm chạp.
Kết luận
Báo cáo của nhóm Quantum AI Google không phải là hồi kết cho Bitcoin. Thay vào đó, nó biến mối đe dọa lượng tử từ giả thuyết mơ hồ, xa vời thành các tham số kỹ thuật có thể lượng hóa. 500.000 qubit vật lý cần thiết cho một cuộc tấn công, cửa sổ tấn công khoảng 9 phút và 6,9 triệu bitcoin có khóa công khai bị lộ – tất cả đều xác lập một khoảng an toàn thực tế đang dần thu hẹp.
Thách thức của ngành không chỉ nằm ở khía cạnh kỹ thuật – NIST đã giải quyết xong bài toán thuật toán. Khó khăn thực sự là sự phối hợp quản trị. Trong các mạng phi tập trung, việc xây dựng đồng thuận cần thời gian, nhưng tiến bộ của máy tính lượng tử thì không chờ đợi. Trong 5 đến 7 năm tới, ngành tiền mã hóa phải cân bằng giữa hai rủi ro: nâng cấp quá sớm và đưa vào mật mã chưa được kiểm chứng, hoặc nâng cấp quá muộn và đối mặt với mất mát tài sản không thể phục hồi. Dù lựa chọn hướng đi nào, máy tính lượng tử đã chuyển từ khái niệm lý thuyết thành biến số thực tế cần được tích hợp vào khung bảo mật tài sản số.
Câu hỏi thường gặp
Hỏi: Máy tính lượng tử hiện tại có thể phá vỡ Bitcoin không?
Đáp: Chưa thể. Các hệ thống lượng tử tiên tiến nhất hiện nay chỉ có khoảng 100 qubit vật lý. Để phá vỡ ECC-256 của Bitcoin cần khoảng 500.000 qubit vật lý có sửa lỗi – tức còn cách nhau hàng trăm lần.
Hỏi: "Bẻ khóa trong 9 phút" nghĩa là gì?
Đáp: Đây là kịch bản "tấn công thời gian thực" được mô tả trong báo cáo. Nếu máy tính lượng tử đã ở trạng thái tiền xử lý, sẽ mất khoảng 9 phút từ khi khóa công khai bị lộ đến khi bẻ khóa thành công – ngắn hơn một chút so với thời gian trung bình tạo khối Bitcoin là 10 phút. Về lý thuyết, điều này tạo ra khoảng 41% khả năng chặn thành công giao dịch.
Hỏi: Những bitcoin nào rủi ro nhất?
Đáp: Các địa chỉ có khóa công khai bị lộ vĩnh viễn là nhóm chịu rủi ro cao nhất, bao gồm địa chỉ P2PK đời đầu (khoảng 1,7 triệu bitcoin), các địa chỉ bị lộ do tái sử dụng và địa chỉ Taproot. Báo cáo ước tính khoảng 6,9 triệu bitcoin đang ở trạng thái này.
Hỏi: Bitcoin có thể nâng cấp để phòng thủ tấn công lượng tử không?
Đáp: Có thể. NIST đã hoàn thiện các tiêu chuẩn mật mã hậu lượng tử (như ML-DSA và SLH-DSA). Bitcoin có thể bổ sung tùy chọn chữ ký chống lượng tử qua các đề xuất như BIP-360. Thách thức là quá trình nâng cấp cần đạt đồng thuận cộng đồng, thường mất nhiều năm.
Hỏi: Người dùng nên làm gì ngay lúc này?
Đáp: Không nên tái sử dụng địa chỉ – hãy dùng địa chỉ mới cho mỗi giao dịch. Lưu trữ số lượng lớn trong ví lạnh. Theo dõi tiến trình cộng đồng về nâng cấp chống lượng tử và chủ động chuyển tài sản sang các định dạng địa chỉ an toàn hơn.
