セイラーの方向性の根拠は堅固な技術的土台にあります。ビットコインの暗号的脆弱性は、Proof of Workではなく、デジタル署名—特にsecp256k1上のECDSAとSchnorrアルゴリズム—に集中しています。十分に進んだ量子コンピュータがShorのアルゴリズムを動かすと、理論的には公開鍵から秘密鍵を抽出できるようになります。現在の量子デバイスはその閾値からは遥かに下で動作しており、現実的な脅威のウィンドウは少なくとも10年は先と見られています。
これらのシナリオは、クリーンな供給削減や自動的な強気相場を保証するものではありません。Proof of Workは、Groverのアルゴリズムが二乗根の高速化しかもたらさないため、比較的堅牢です。しかし、メインメモリプールには微妙なリスクも潜んでいます。ハッシュ化された鍵のアドレスからの取引は、その公開鍵を公開しながら待機します。量子攻撃者はメモリプールを監視し、迅速に秘密鍵を回復し、より高い手数料の取引と競合させて価値を盗み出す「サインして盗む」攻撃を仕掛けることが可能です。
ビットコインの量子の挑戦:セイラーの楽観主義と170万の露出したコイン問題
マイケル・セイラーは12月16日に楽観的な見通しを示し、量子コンピューティングをビットコインにとって純粋なプラスと位置付けました。彼の主張はシンプルです:ネットワークはアップグレードされ、アクティブな保有は安全な場所へ移行し、休眠コインはロックされたまま、ビットコインはより強固に生まれ変わる。論理は説得力がありますが、実際にオンチェーンに何が存在しているかを詳しく見てみると、その真実味は揺らぎます。
タイミングのウィンドウは現実的だが、実行は混乱している
セイラーの方向性の根拠は堅固な技術的土台にあります。ビットコインの暗号的脆弱性は、Proof of Workではなく、デジタル署名—特にsecp256k1上のECDSAとSchnorrアルゴリズム—に集中しています。十分に進んだ量子コンピュータがShorのアルゴリズムを動かすと、理論的には公開鍵から秘密鍵を抽出できるようになります。現在の量子デバイスはその閾値からは遥かに下で動作しており、現実的な脅威のウィンドウは少なくとも10年は先と見られています。
NISTはすでに防御ツールキットを公開しています。ML-DSA (Dilithium)やSLH-DSA (SPHINCS+)などの標準は、現在のFIPS標準として採用されており、量子攻撃に耐性があります。ビットコインの開発者たちは、ポスト量子署名の集約やハイブリッド検証スキームの検討も進めています。暗号技術自体は解決可能です。
しかし見落とされがちなのはコストです。ポスト量子署名は従来よりも大きく、検証に多くの計算資源を必要とします。現実的な見積もりでは、ブロック容量は約半分に縮小する可能性があります。ノード運営者はより高いコストに直面します。各署名がより多くのブロックスペースを消費するため、取引手数料も上昇します。A16zの最近の分析は、より根本的な問題を指摘しています:ビットコインにはアップグレードを義務付ける中央権限が存在しません。ポスト量子フォークには、開発者、マイナー、取引所、大口保有者などの圧倒的な合意が必要であり、暗号学的に重要な量子コンピュータが出現する前に調整を完了させる必要があります。
既に170万ビットコインが量子リスクにさらされている
ここでセイラーの見解は、オンチェーンの現実と大きく乖離しています。彼は「失われたコインは凍結されたまま」と主張しますが、それはビットコインの出力の実態と合致しない単純な分類に過ぎません。
初期のpay-to-public-key (P2PK)出力は、生の公開鍵を直接オンチェーンに露出させており、今日でも量子に盗まれるリスクがあります。標準的なP2PKHやSegWitのP2WPKHアドレスは、コインが使われるまで公開鍵を暗号ハッシュの背後に隠していますが、一度移動されると公開鍵が露出します。Taproot P2TR出力は、作成時に公開鍵をエンコードしており、トランザクションが行われる前からUTXOが露出している状態です。
デロイトの分析とその後のチェーン調査によると、全ビットコインの約25%、つまり約170万BTC(初期のサトシ時代のP2PK出力と、数十万のTaproot出力を含む)はすでに公開鍵が明らかになっています。これらは安全に休眠しているわけではありません。むしろ、量子攻撃者が出現した場合に最も危険にさらされるコインです。
公開鍵を一度も露出させていないコイン (ハッシュ化された鍵のシングルユースアドレス) は、Groverのアルゴリズムの脅威モデルの弱さから免れます。Groverのアルゴリズムはハッシュアドレスに対して二乗根の高速化をもたらすだけであり、パラメータ調整によって対処可能です。しかし、露出している部分—古いP2PKバランス、現代のTaproot UTXOで見える鍵、そして一度も動かされていない休眠ウォレット—は、単に「凍結されたまま」では済まない、実際の攻撃対象となる表面積です。
供給のダイナミクスは政治的であり、自動的ではない
セイラーは、ポスト量子移行によって流通供給が縮小し、セキュリティが向上すると主張します。署名のアップグレードの仕組みは確かに存在しますが、供給への影響は、物理学だけでなくガバナンスの選択と採用率に完全に依存しています。
三つのシナリオが考えられます。第一に、脆弱な出力にある休眠コインの所有者がアップグレードしない場合、それらは失われたものとみなされ、ブロックリストに登録される可能性があります—これは議論の余地のある政治的決定であり、供給を縮小させることになります。第二に、量子攻撃者が移行完了前に露出したウォレットから資金を吸い上げ、その供給を攻撃者の保有に置き換え、パニックを引き起こす可能性があります。第三に、差し迫る量子能力の認識だけで売りが加速し、チェーン分裂やレガシーウォレットの大量流出を引き起こすこともあり得ます。
これらのシナリオは、クリーンな供給削減や自動的な強気相場を保証するものではありません。Proof of Workは、Groverのアルゴリズムが二乗根の高速化しかもたらさないため、比較的堅牢です。しかし、メインメモリプールには微妙なリスクも潜んでいます。ハッシュ化された鍵のアドレスからの取引は、その公開鍵を公開しながら待機します。量子攻撃者はメモリプールを監視し、迅速に秘密鍵を回復し、より高い手数料の取引と競合させて価値を盗み出す「サインして盗む」攻撃を仕掛けることが可能です。
数学的にはビットコインは堅牢化できるが、調整と協調の方が暗号より重要
物理学と暗号標準は一致しています:量子はビットコインを一夜にして破壊しません。意図的な計画的なポスト量子移行のためのウィンドウ—おそらく10年以上の時間—が存在します。ビットコインは耐性のある署名スキームを採用し、脆弱な出力をアップグレードし、より強固な暗号的保証を持つ状態に進化させることが可能です。
しかし、セイラーの自信は、成功するかどうか保証されていない前提に依存しています。それは、開発者、マイナー、大口保有者、カストディアンが協調して、期限内に移行し、パニックや盗難、争われるフォークを引き起こさずにアップグレードを完了させるというものです。すでに量子リスクにさらされている170万ビットコインは、ネットワークが一つの統一体のように動いていないことを思い知らされる例です。早期に移行する保有者もいれば、遅らせたり無視したりする者もいます。アップグレード前に秘密鍵を失う者も出てくるでしょう。
ビットコインのポスト量子未来は実現可能です。それは暗号学的な必然性ではありません。物理学に包まれたガバナンスの課題です。セイラーは、ネットワークが堅牢化できる方向に向かっていると正しい方向性を示していますが、その堅牢化がいかにコスト高で政治的に複雑であり、依存的であるかを過小評価しています。
新たに強化されることと危機を引き起こすことの違いは、量子コンピュータの到来時期よりも、ビットコインの分散型エコシステムがどれだけ迅速に動き、広範囲に調整し、物理学の進展に追いつく前に意図的に移行できるかにかかっています。その賭けは暗号学ではなく、人間の協調にかかっているのです。