Сатоши Накамото предсказал защиту хэша Bitcoin за 16 лет до появления квантовых опасений

Шестнадцать лет назад Сатоши Накамото ответил скептику на форуме в 2010 году, и этот ответ до сих пор задаёт, как сеть защищает свои деньги сегодня.

Ключевые выводы

  • Сатоши Накамото защитил SHA-256 в сообщении на форуме Bitcointalk от 16 июля 2010 года.
  • Google Quantum AI сократила свою оценку на 2026 год по взлому «кривой» биткоина до 500 000 кубитов.
  • В 2026 году разработчики предложили BIP-360 и другие идеи, чтобы подготовить квантоустойчивые адреса.

Пост на форуме, который задал правила

16 июля 2010 года пользователь по имени bdonlan на форуме Bitcointalk поставил под сомнение двойное хеширование SHA-256 в биткоине. Он спросил, ослабляет ли такая конструкция безопасность.

Сатоши ответил напрямую. Изобретатель биткоина сравнил SHA-256 с переходом с 32-битных вычислений на 64-битные, а не с небольшим ростом длины в битах. Компьютеры, по его словам, упираются в исчерпание адресного пространства 32-бит на уровне 4 гигабайт, но никто не ожидает столкнуться с нехваткой пространства 64-бит в ближайшее время. SHA-256 работает так же, и математика даёт биткоину запас.

Сатоши также заложил сети план выхода. Если когда-либо SHA-256 ослабнет, разработчики смогут сделать софтфорк на новую функцию хеширования на заранее заданной высоте блока. Старые и новые хеши будут работать бок о бок, пока каждый узел не обновится.

С тех пор рыночная капитализация биткоина выросла до более чем триллиона, а сеть ежедневно осваивает сотни миллиардов долларов в стоимости. Каждый доллар от этой активности всё ещё зависит от хеш-функции, которую Сатоши защитил в одном ответе на форуме шестнадцать лет назад.

Почему биткоин делает два хеша вместо одного

Код биткоина хеширует данные дважды: SHA256(SHA256(data)) — подход, который разработчики называют SHA256d. Криптографы Нильс Фергюсон и Брюс Шнайер рекомендовали эту схему для защиты от атак на удлинение длины блока, уязвимости структуры Merkle-Damgard, на которой основан SHA-2.

Майнеры хешируют заголовки блоков дважды, чтобы соответствовать целевому уровню сложности сети, а узлы хешируют транзакции дважды, чтобы построить деревья Меркла. Кошельки добавляют третий слой — RIPEMD-160 поверх SHA-256 — чтобы сжимать публичные ключи в адреса.

Сатоши выбрал SHA-256 по конкретной причине. Национальный институт стандартов и технологий опубликовал этот алгоритм в 2001 году как часть семейства SHA-2, предложив большой скачок прочности по сравнению с SHA-1, в котором к моменту запуска биткоина в январе 2009 года уже были трещины. Для SHA-256 нужно примерно 2^128 операций, чтобы заставить коллизию, и примерно 2^256 — чтобы добиться прообраза.

Шестнадцать лет спустя никто не взломал эту конструкцию. Ни одному исследователю не удалось найти рабочую атаку на коллизию, прообраз или вторичный прообраз против полного SHA-256. Упрощённые версии дошли до криптоанализа, но эти атаки перестают масштабироваться, прежде чем добираются до реального 64-раундового алгоритма. NIST и независимые группы вроде ECRYPT-CSA продолжают оценивать полную функцию как безопасную.

Майнинговое железо рассказывает ту же историю. Производители ASIC под SHA-256d собрали целые продуктовые линейки вокруг этой схемы, а хешрейт сети сейчас работает в диапазоне экзахэшей. Сатоши предсказал, что один только закон Мура никогда не поставит под угрозу эту функцию, а корректировки сложности удерживают время блока около десяти минут, несмотря на экспоненциальный рост мощности майнинга.

Квантовые вычисления меняют разговор

Классический перебор Сатоши никогда не пугал, и он всё ещё не угрожает биткоину. Квантовые вычисления разделяют риск на две отдельные задачи.

Алгоритм Гровера ускоряет поиск при переборе. Если применять его к SHA-256, он сокращает эффективную стойкость со 256 бит примерно до 128 бит — число, которое всё ещё находится далеко за пределами практической достижимости. Исследователи говорят, что атакующему нужна квантовая аппаратура масштаба, которого мир пока не построил, так что пока всё остаётся безопасным.

Алгоритм Шора создаёт более серьёзную проблему и нацелен не на хеши, а на подписи. Квантовый компьютер, работающий с ним, может извлечь приватный ключ из раскрытого публичного ключа на эллиптической кривой, которую использует биткоин. По оценкам, около 7 миллионов bitcoin — это почти 35% предложения — лежат в адресах с раскрытыми публичными ключами и несут риск, если бы такая аппаратура существовала.

Google Quantum AI опубликовала в 2026 году исследования, в которых снизила число кубитов, нужных для взлома «кривой» биткоина, примерно до 500 000 физических кубитов. Текущие квантовые машины работают в диапазоне 1 000–1 500 кубитов. Исследователи всё ещё привязывают рабочую угрозу к периоду где-то между 2029 и 2035 годами — в зависимости от прогресса в коррекции ошибок.

Разработчики возвращаются к вопросу спустя более чем шестнадцать лет

Сатоши не раз возвращался к озабоченностям, связанным с хешами, в 2010 году, в том числе к тому, что произойдёт, если SHA-256 получит частичную коллизию. Его ответ оставался неизменным: зафиксируйте честную цепочку, пока беда не расползлась, затем мигрируйте на новую функцию.

Поздние апгрейды биткоина не трогали базовое хеширование. Segregated Witness активировали в 2017 году, а Taproot — в 2021-м; оба изменения были направлены на эффективность и приватность, а не на хеширование. Тема квантовой устойчивости не стала «горячей» для разработчиков до тех пор, пока в 2020-х в криптографическом сообществе не распространилось понимание алгоритмов Гровера и Шора.

Разработчики предлагают запасные выходы, которые обещал Сатоши

Разработчики биткоина уже предложили путь миграции, который Сатоши описал в 2010 году, только с упором на подписи, а не на хеши. На стол было вынесено несколько идей.

BIP-360 вводит новый формат адресов — pay-to-Merkle-root адреса, начинающиеся с bc1z, построенные вокруг схем квантоустойчивых подписей. Разработчики объединили это предложение в 2026 году. Смежное предложение, BIP-361, описывает, как сеть со временем может «закрыть» более старые типы адресов, где публичные данные были раскрыты. Второй метод вызывает чуть больше споров.

Теперь поставщиков кошельков подталкивают прекратить повторное использование адресов и направлять пользователей на более новые типы выходов ещё до наступления любого квантового дедлайна.

Миграция сталкивается и с препятствиями. Разработчикам всё ещё нужен план для монет, которые заблокированы в старых адресах, чьи владельцы неактивны или недоступны, включая любые bitcoin, связанные с собственными ранними кошельками Сатоши. Квантопост-квантовые подписи также занимают больше места в блоке, чем подписи, которые биткоин использует сегодня, а исследователи тестируют схемы сигнатур на основе хеширования, чтобы сделать эту миграцию управляемой.

Что это значит для держателей биткоина

Сегодня ничего из происходящего с SHA-256 не требует действий. Хеш-функция, которая защищает майнинг и историю транзакций, не затронута ни одним известным атакующим сценарием — ни классическим, ни квантовым.

Стоит следить за раскрытием подписей. Держатели с монетами в старых типах адресов, или любой, кто повторно использовал адрес биткоина, подвергаются большему риску, чем тот, кто использует современные типы выходов с публичными ключами, которые остаются скрытыми до момента расходования.

Сатоши закрыл тред 2010 года предупреждением, которое до сих пор звучит как действующая политика. Любая атака достаточно сильная, чтобы сломать SHA-256, с большой вероятностью повредит и более «сильных кузенов», вроде SHA-512, поэтому полный взлом сам по себе выглядит маловероятным. Защита биткоина никогда не была про постоянство. Её смысл — иметь возможность перемещаться, пока угроза не стала реальной.

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено