Default
Door Remote - 05 Apr 2026
Kwantumcomputers die de Bitcoin-blockchain kunnen doorbreken, bestaan tegenwoordig niet meer. Ontwikkelaars overwegen echter al een golf van upgrades om verdedigingen tegen de potentiële dreiging op te bouwen, en terecht, aangezien de dreiging niet langer hypothetisch is.
Deze week publiceerde Google onderzoek dat suggereerde dat een voldoende krachtige kwantumcomputer de kerncryptografie van Bitcoin in minder dan negen minuten zou kunnen kraken – een minuut sneller dan de gemiddelde afwikkelingstijd van Bitcoin-blokken. Sommige analisten geloven dat een dergelijke dreiging in 2029 werkelijkheid zou kunnen worden.
Er staat veel op het spel: ongeveer 6,5 miljoen bitcoin-tokens, ter waarde van honderden miljarden dollars, zitten op adressen waar een kwantumcomputer zich rechtstreeks op zou kunnen richten. Sommige van deze munten zijn van de pseudonieme maker van Bitcoin, Satoshi Nakamoto. Bovendien zou het potentiële compromis de kernprincipes van Bitcoin beschadigen – ‘vertrouw op de code’ en ‘gezond geld’.
Hier ziet u hoe de dreiging eruit ziet, samen met voorstellen die worden overwogen om deze te verzachten.
Twee manieren waarop een kwantummachine Bitcoin zou kunnen aanvallenLaten we eerst de kwetsbaarheid begrijpen voordat we de voorstellen bespreken.
De veiligheid van Bitcoin is gebaseerd op een wiskundige eenrichtingsrelatie. Wanneer u een portemonnee aanmaakt, worden er een privésleutel en een geheim nummer gegenereerd, waaruit een openbare sleutel wordt afgeleid.
Het uitgeven van bitcoin-tokens vereist het bewijzen van het eigendom van een privésleutel, niet door deze vrij te geven, maar door deze te gebruiken om een cryptografische handtekening te genereren die het netwerk kan verifiëren.
Dit systeem is onfeilbaar omdat het voor moderne computers miljarden jaren zou duren om de elliptische curve-cryptografie te doorbreken – met name het Elliptic Curve Digital Signature Algorithm (ECDSA) – om de private sleutel te reverse-engineeren van de publieke sleutel. Er wordt dus gezegd dat de blockchain computationeel onmogelijk te compromitteren is.
Maar een toekomstige kwantumcomputer kan dit eenrichtingsverkeer veranderen in tweerichtingsverkeer door uw privésleutel af te leiden van de publieke sleutel en uw munten leeg te maken.
De publieke sleutel wordt op twee manieren blootgelegd: van munten die inactief zijn in de keten (de aanval met lange blootstelling) of munten in beweging of transacties die wachten in de geheugenpool (aanval met korte blootstelling).
Pay-to-public key (P2PK)-adressen (gebruikt door Satoshi en vroege mijnwerkers) en Taproot (P2TR), het huidige adresformaat dat in 2021 werd geactiveerd, zijn kwetsbaar voor de long exposure-aanval. Munten op deze adressen hoeven niet te bewegen om hun publieke sleutels te onthullen; de blootstelling heeft al plaatsgevonden en is leesbaar voor iedereen op aarde, inclusief een toekomstige kwantumaanvaller. Ongeveer 1,7 miljoen BTC zit in oude P2PK-adressen – inclusief de munten van Satoshi.
De shortpositie is gekoppeld aan de mempool – de wachtkamer van onbevestigde transacties. Terwijl transacties daar wachten op opname in een blok, zijn uw openbare sleutel en handtekening zichtbaar voor het hele netwerk.
Een kwantumcomputer zou toegang kunnen krijgen tot die gegevens, maar zou slechts een korte periode hebben – voordat de transactie wordt bevestigd en onder extra blokken wordt begraven – om de bijbehorende privésleutel af te leiden en ernaar te handelen.
InitiatievenBIP 360: Het verwijderen van de publieke sleutel Zoals eerder opgemerkt, stelt elk nieuw Bitcoin-adres dat tegenwoordig met Taproot wordt gemaakt permanent een publieke sleutel in de keten bloot, waardoor een toekomstige kwantumcomputer een doelwit wordt dat nooit verdwijnt.
Het Bitcoin Improvement Proposal (BIP) 360 verwijdert de openbare sleutel die permanent in de keten is ingebed en voor iedereen zichtbaar is, door een nieuw uitvoertype te introduceren genaamd Pay-to-Merkle-Root (P2MR).
Bedenk dat een kwantumcomputer de publieke sleutel bestudeert, de exacte vorm van de private sleutel reverse-engineeert en een werkkopie vervalst. Als we de publieke sleutel verwijderen, heeft de aanval niets meer om mee te werken. Ondertussen blijft al het andere, inclusief Lightning-betalingen, instellingen met meerdere handtekeningen en andere Bitcoin-functies, hetzelfde.
Als dit voorstel ten uitvoer wordt gelegd, beschermt dit voorstel in de toekomst echter alleen nieuwe munten. De 1,7 miljoen BTC die al op oude blootgestelde adressen zitten, is een apart probleem, dat wordt aangepakt door andere voorstellen hieronder.
SPHINCS+ / SLH-DSA: Op hash gebaseerde post-kwantum handtekeningenSPHINCS+ is een post-kwantum handtekeningschema dat is gebouwd op hash-functies, waardoor de kwantumrisico's worden vermeden waarmee de door Bitcoin gebruikte elliptische curve-cryptografie wordt geconfronteerd. Hoewel het algoritme van Shor ECDSA bedreigt, worden op hash gebaseerde ontwerpen zoals SPHINCS+ niet als even kwetsbaar gezien.
Het schema werd in augustus 2024 door het National Institute of Standards and Technology (NIST) gestandaardiseerd als FIPS 205 (SLH-DSA) na jaren van openbare beoordeling.
De afweging voor veiligheid is grootte. Terwijl de huidige bitcoin-handtekeningen 64 bytes zijn, is SLH-DSA 8 kilobytes (KB) of meer groot. Als zodanig zou de adoptie van SLH-DSA de vraag naar blokruimte sterk doen toenemen en de transactiekosten verhogen.
Als gevolg hiervan zijn er al voorstellen geïntroduceerd zoals SHRIMPS (een ander op hash gebaseerd post-kwantum handtekeningschema) en SHRINCS om de handtekeninggrootte te verkleinen zonder de post-kwantumbeveiliging op te offeren. Beide bouwen voort op SHPINCS+ en streven ernaar de veiligheidsgaranties te behouden in een meer praktische, ruimte-efficiënte vorm die geschikt is voor blockchain-gebruik.
Tadge Dryja's Commit/Reveal Scheme: een noodrem voor de Mempool Dit voorstel, een zachte vork voorgesteld door Tadge Dryja, mede-maker van Lightning Network, heeft tot doel transacties in de mempool te beschermen tegen een toekomstige kwantumaanvaller. Dit gebeurt door de uitvoering van transacties in twee fasen te verdelen: Commit en Reveal.
Stel je voor dat je een tegenpartij informeert dat je hem een e-mail gaat sturen en vervolgens daadwerkelijk een e-mail stuurt. De eerste is de commit-fase, en de laatste is de onthulling.
Op de blockchain betekent dit dat u eerst een verzegelde vingerafdruk van uw intentie publiceert – slechts een hash, die niets over de transactie onthult. De blockchain geeft die vingerafdruk permanent een tijdstempel. Later, wanneer u de daadwerkelijke transactie uitzendt, wordt uw publieke sleutel zichtbaar – en ja, een kwantumcomputer die het netwerk in de gaten houdt, kan uw privésleutel daaruit afleiden en een concurrerende transactie smeden om uw geld te stelen.
Maar die vervalste transactie wordt onmiddellijk afgewezen. Het netwerk controleert: is er voor deze uitgaven een voorafgaande verplichting geregistreerd in de keten? Die van jou wel. Die van de aanvaller niet, die hebben ze enkele ogenblikken geleden gemaakt. Uw vooraf geregistreerde vingerafdruk is uw alibi.
Het probleem zijn echter de hogere kosten doordat de transactie in twee fasen wordt opgesplitst. Het wordt dus beschreven als een tussenbrug, praktisch om in te zetten terwijl de gemeenschap werkt aan het bouwen van kwantumverdediging.
Hourglass V2: de besteding van oude munten vertragen Zandloper V2, voorgesteld door ontwikkelaar Hunter Beast, richt zich op de kwantumkwetsbaarheid die verbonden is aan ongeveer 1,7 miljoen BTC op oudere, reeds blootgestelde adressen.
Het voorstel aanvaardt dat deze munten kunnen worden gestolen bij een toekomstige kwantumaanval en probeert het bloeden te vertragen door de verkoop te beperken tot één bitcoin per blok, om een catastrofale massaliquidatie van de ene op de andere dag te voorkomen die de markt zou kunnen krateren.
De analogie is een bankrun: je kunt mensen er niet van weerhouden geld op te nemen, maar je kunt wel het tempo van de geldopnames beperken om te voorkomen dat het systeem van de ene op de andere dag instort. Het voorstel is controversieel omdat zelfs deze beperkte beperking door sommigen in de Bitcoin-gemeenschap wordt gezien als een schending van het principe dat geen enkele externe partij zich ooit kan bemoeien met uw recht om uw munten uit te geven.
Conclusie Deze voorstellen zijn nog niet geactiveerd, en het gedecentraliseerde bestuur van Bitcoin, dat ontwikkelaars, mijnwerkers en knooppuntexploitanten omvat, betekent dat het waarschijnlijk enige tijd zal duren voordat een upgrade werkelijkheid wordt.
Toch suggereert de gestage stroom van voorstellen die dateren van vóór het Google-rapport van deze week dat het probleem al lang op de radar van ontwikkelaars staat, wat de zorgen van de markt kan helpen temperen.
Deze week publiceerde Google onderzoek dat suggereerde dat een voldoende krachtige kwantumcomputer de kerncryptografie van Bitcoin in minder dan negen minuten zou kunnen kraken – een minuut sneller dan de gemiddelde afwikkelingstijd van Bitcoin-blokken. Sommige analisten geloven dat een dergelijke dreiging in 2029 werkelijkheid zou kunnen worden.
Er staat veel op het spel: ongeveer 6,5 miljoen bitcoin-tokens, ter waarde van honderden miljarden dollars, zitten op adressen waar een kwantumcomputer zich rechtstreeks op zou kunnen richten. Sommige van deze munten zijn van de pseudonieme maker van Bitcoin, Satoshi Nakamoto. Bovendien zou het potentiële compromis de kernprincipes van Bitcoin beschadigen – ‘vertrouw op de code’ en ‘gezond geld’.
Hier ziet u hoe de dreiging eruit ziet, samen met voorstellen die worden overwogen om deze te verzachten.
Twee manieren waarop een kwantummachine Bitcoin zou kunnen aanvallenLaten we eerst de kwetsbaarheid begrijpen voordat we de voorstellen bespreken.
De veiligheid van Bitcoin is gebaseerd op een wiskundige eenrichtingsrelatie. Wanneer u een portemonnee aanmaakt, worden er een privésleutel en een geheim nummer gegenereerd, waaruit een openbare sleutel wordt afgeleid.
Het uitgeven van bitcoin-tokens vereist het bewijzen van het eigendom van een privésleutel, niet door deze vrij te geven, maar door deze te gebruiken om een cryptografische handtekening te genereren die het netwerk kan verifiëren.
Dit systeem is onfeilbaar omdat het voor moderne computers miljarden jaren zou duren om de elliptische curve-cryptografie te doorbreken – met name het Elliptic Curve Digital Signature Algorithm (ECDSA) – om de private sleutel te reverse-engineeren van de publieke sleutel. Er wordt dus gezegd dat de blockchain computationeel onmogelijk te compromitteren is.
Maar een toekomstige kwantumcomputer kan dit eenrichtingsverkeer veranderen in tweerichtingsverkeer door uw privésleutel af te leiden van de publieke sleutel en uw munten leeg te maken.
De publieke sleutel wordt op twee manieren blootgelegd: van munten die inactief zijn in de keten (de aanval met lange blootstelling) of munten in beweging of transacties die wachten in de geheugenpool (aanval met korte blootstelling).
Pay-to-public key (P2PK)-adressen (gebruikt door Satoshi en vroege mijnwerkers) en Taproot (P2TR), het huidige adresformaat dat in 2021 werd geactiveerd, zijn kwetsbaar voor de long exposure-aanval. Munten op deze adressen hoeven niet te bewegen om hun publieke sleutels te onthullen; de blootstelling heeft al plaatsgevonden en is leesbaar voor iedereen op aarde, inclusief een toekomstige kwantumaanvaller. Ongeveer 1,7 miljoen BTC zit in oude P2PK-adressen – inclusief de munten van Satoshi.
De shortpositie is gekoppeld aan de mempool – de wachtkamer van onbevestigde transacties. Terwijl transacties daar wachten op opname in een blok, zijn uw openbare sleutel en handtekening zichtbaar voor het hele netwerk.
Een kwantumcomputer zou toegang kunnen krijgen tot die gegevens, maar zou slechts een korte periode hebben – voordat de transactie wordt bevestigd en onder extra blokken wordt begraven – om de bijbehorende privésleutel af te leiden en ernaar te handelen.
InitiatievenBIP 360: Het verwijderen van de publieke sleutel Zoals eerder opgemerkt, stelt elk nieuw Bitcoin-adres dat tegenwoordig met Taproot wordt gemaakt permanent een publieke sleutel in de keten bloot, waardoor een toekomstige kwantumcomputer een doelwit wordt dat nooit verdwijnt.
Het Bitcoin Improvement Proposal (BIP) 360 verwijdert de openbare sleutel die permanent in de keten is ingebed en voor iedereen zichtbaar is, door een nieuw uitvoertype te introduceren genaamd Pay-to-Merkle-Root (P2MR).
Bedenk dat een kwantumcomputer de publieke sleutel bestudeert, de exacte vorm van de private sleutel reverse-engineeert en een werkkopie vervalst. Als we de publieke sleutel verwijderen, heeft de aanval niets meer om mee te werken. Ondertussen blijft al het andere, inclusief Lightning-betalingen, instellingen met meerdere handtekeningen en andere Bitcoin-functies, hetzelfde.
Als dit voorstel ten uitvoer wordt gelegd, beschermt dit voorstel in de toekomst echter alleen nieuwe munten. De 1,7 miljoen BTC die al op oude blootgestelde adressen zitten, is een apart probleem, dat wordt aangepakt door andere voorstellen hieronder.
SPHINCS+ / SLH-DSA: Op hash gebaseerde post-kwantum handtekeningenSPHINCS+ is een post-kwantum handtekeningschema dat is gebouwd op hash-functies, waardoor de kwantumrisico's worden vermeden waarmee de door Bitcoin gebruikte elliptische curve-cryptografie wordt geconfronteerd. Hoewel het algoritme van Shor ECDSA bedreigt, worden op hash gebaseerde ontwerpen zoals SPHINCS+ niet als even kwetsbaar gezien.
Het schema werd in augustus 2024 door het National Institute of Standards and Technology (NIST) gestandaardiseerd als FIPS 205 (SLH-DSA) na jaren van openbare beoordeling.
De afweging voor veiligheid is grootte. Terwijl de huidige bitcoin-handtekeningen 64 bytes zijn, is SLH-DSA 8 kilobytes (KB) of meer groot. Als zodanig zou de adoptie van SLH-DSA de vraag naar blokruimte sterk doen toenemen en de transactiekosten verhogen.
Als gevolg hiervan zijn er al voorstellen geïntroduceerd zoals SHRIMPS (een ander op hash gebaseerd post-kwantum handtekeningschema) en SHRINCS om de handtekeninggrootte te verkleinen zonder de post-kwantumbeveiliging op te offeren. Beide bouwen voort op SHPINCS+ en streven ernaar de veiligheidsgaranties te behouden in een meer praktische, ruimte-efficiënte vorm die geschikt is voor blockchain-gebruik.
Tadge Dryja's Commit/Reveal Scheme: een noodrem voor de Mempool Dit voorstel, een zachte vork voorgesteld door Tadge Dryja, mede-maker van Lightning Network, heeft tot doel transacties in de mempool te beschermen tegen een toekomstige kwantumaanvaller. Dit gebeurt door de uitvoering van transacties in twee fasen te verdelen: Commit en Reveal.
Stel je voor dat je een tegenpartij informeert dat je hem een e-mail gaat sturen en vervolgens daadwerkelijk een e-mail stuurt. De eerste is de commit-fase, en de laatste is de onthulling.
Op de blockchain betekent dit dat u eerst een verzegelde vingerafdruk van uw intentie publiceert – slechts een hash, die niets over de transactie onthult. De blockchain geeft die vingerafdruk permanent een tijdstempel. Later, wanneer u de daadwerkelijke transactie uitzendt, wordt uw publieke sleutel zichtbaar – en ja, een kwantumcomputer die het netwerk in de gaten houdt, kan uw privésleutel daaruit afleiden en een concurrerende transactie smeden om uw geld te stelen.
Maar die vervalste transactie wordt onmiddellijk afgewezen. Het netwerk controleert: is er voor deze uitgaven een voorafgaande verplichting geregistreerd in de keten? Die van jou wel. Die van de aanvaller niet, die hebben ze enkele ogenblikken geleden gemaakt. Uw vooraf geregistreerde vingerafdruk is uw alibi.
Het probleem zijn echter de hogere kosten doordat de transactie in twee fasen wordt opgesplitst. Het wordt dus beschreven als een tussenbrug, praktisch om in te zetten terwijl de gemeenschap werkt aan het bouwen van kwantumverdediging.
Hourglass V2: de besteding van oude munten vertragen Zandloper V2, voorgesteld door ontwikkelaar Hunter Beast, richt zich op de kwantumkwetsbaarheid die verbonden is aan ongeveer 1,7 miljoen BTC op oudere, reeds blootgestelde adressen.
Het voorstel aanvaardt dat deze munten kunnen worden gestolen bij een toekomstige kwantumaanval en probeert het bloeden te vertragen door de verkoop te beperken tot één bitcoin per blok, om een catastrofale massaliquidatie van de ene op de andere dag te voorkomen die de markt zou kunnen krateren.
De analogie is een bankrun: je kunt mensen er niet van weerhouden geld op te nemen, maar je kunt wel het tempo van de geldopnames beperken om te voorkomen dat het systeem van de ene op de andere dag instort. Het voorstel is controversieel omdat zelfs deze beperkte beperking door sommigen in de Bitcoin-gemeenschap wordt gezien als een schending van het principe dat geen enkele externe partij zich ooit kan bemoeien met uw recht om uw munten uit te geven.
Conclusie Deze voorstellen zijn nog niet geactiveerd, en het gedecentraliseerde bestuur van Bitcoin, dat ontwikkelaars, mijnwerkers en knooppuntexploitanten omvat, betekent dat het waarschijnlijk enige tijd zal duren voordat een upgrade werkelijkheid wordt.
Toch suggereert de gestage stroom van voorstellen die dateren van vóór het Google-rapport van deze week dat het probleem al lang op de radar van ontwikkelaars staat, wat de zorgen van de markt kan helpen temperen.