ビットコイン開発者は夢遊病のように破綻に向かっている

著者：Nic Carter Compiled by LlamaC

「推奨メッセージ：対象者は知っておく必要がある：ニック・カーター（Castle Island Venturesのパートナー、暗号コミュニティの有名なオピニオンリーダー、この記事はBitcoin Core開発者のガバナンスの惰性と戦略的誤算に対する直接攻撃である）。この記事は、量子コンピューティングによるBitcoinのセキュリティへの潜在的な脅威と、Bitcoin開発者が量子コンピュータの脅威の潜在的な影響について保守的であるように見えるが、実際には今後10年以内に来る可能性のある量子クラッキングのリスクに対して今すぐ準備を始める必要があることに焦点を当てている。"

本文

最近、ビットコインの量子リスクについて多くの話題があります。私は長文の記事で自分の見解を示したが、ほとんどの人はそれを読んでおらず、Xから議論の断片を拾ったに過ぎない。そこで、この短い記事に私の意見を凝縮した。この記事で多くの参考文献や詳細を積み重ねるつもりはない。

ビットコインのセキュリティ、つまり公開鍵から秘密鍵を逆推理することの難しさは、楕円曲線暗号に依存しています。量子コンピューティング（QC）は、1990年代にデビッド・ショーが発明したアルゴリズムのおかげで、理論的にはこれを破ることができることが知られている。サトシ・ナカモトはビットコインを発明したときにこのことに気づき、量子コンピューティングが十分に強力になった場合のアップグレードを提案した。量子コンピューターがこのアルゴリズムを実際に実行するためには、いわゆる「論理量子ビット」が1,000～2,000個、「物理量子ビット」が数十万～100万個必要だ。参考までに、現在の最先端の量子コンピューターの物理量子ビットはせいぜい1000ビット程度で、論理量子ビットは数十ビットである。従って、この能力の実現には3桁ほど遠い。これは長い道のりのように思えるかもしれないが、著名な量子理論家であり学者であるスコット・アーロンソンは、新たな基礎物理学的発見を必要とする問題ではなく、単なる「極めて困難な」工学的問題に過ぎないと述べている。言い換えれば、量子コンピュータは1939年の核分裂に匹敵する段階にある。理論的な障害はなく、実現可能であることは知られているが、それでも莫大な工学的投資が必要なのだ。さらに例えるなら、量子コンピューティングは戦略的に非常に有用であるため、技術の初期所有者はその能力を隠したり、公開を遅らせたりする可能性がある。利益追求のために、量子コンピューティングは突然、何の前触れもなく出現する可能性がある。これは、十分な警告とリードタイムがあると思っていたビットコイン保有者にとっては悪いニュースだ。AIに見られるように、スケーリング法則が開発され、LLMが強力になったときにAIコミュニティが示した驚きのレベルは、非線形成長はテクノロジーで起こる。私は、量子技術の発展が私たちの予想を超える驚きをもたらさないという単なる希望に、ビットコインの未来を賭けるつもりはない。

今後10年間に量子クラッキングが起こる確率はわからない。しかし、2025年は量子コンピューティングの歴史の中で最も活発な年である。技術的なレベルでは、今年はイオンキュー とMIT は、「忠実度」（すなわち、量子ビットが意図した操作を実行する頻度）においてブレークスルーを成し遂げている。量子エラー訂正は、純粋な論理量子ビットを作成するために物理量子ビットによってもたらされるエラーを捕捉し、解決することを目的とし、2025年に実質的な進歩を始める。これらのエラーは量子コンピュータのサイズが大きくなるほど増加する傾向があるため、大規模なエラー訂正を達成することは、量子コンピューティングの1つになっています。span text="">重要な進歩です。グーグル と<

クォンタム・スタートアップは今年、少なくとも60億ドルを調達した。これらの新興企業のひとつであるPsiQuantum社は、100万量子ビットを持つマシンを作るために10億ドルを調達した。量子コンピュータに取り組んでいる企業の多くは、2020年代後半から2030年代半ばまでには、完全に機能するスケールアップした量子コンピュータを構築できると明確に予測している。メタキュラス メタキュラスの専門家は平均して、量子コンピューターは2033年頃に利用可能になると予想しています。ECC256のような量子攻撃に脆弱な暗号化方式は2030年までに廃止し、2035年までにすべての依存を終了する。EUや英国など他の大国も同様のスケジュールで動いている。これから説明するように、これらの日付はビットコイン保有者が今日行動を起こす動機付けとなるはずだ。

十分に強力な「暗号相関量子コンピュータ」（QC）が構築された場合、攻撃者に露出した量子コンピュータから秘密鍵を盗み出させることで、使用できるようになるかもしれません。攻撃者は公開された公開鍵から秘密鍵を盗むことができ、ビットコインに脅威をもたらす。現在、すべてのトークンが暴露されているわけではないが（一部の公開鍵はハッシュ化されたアドレスにあり、SHA-256は量子攻撃に対して脆弱ではないと考えられている）、本稿執筆時点で670万BTCが危険にさらされており、これは6040億ドルの価値がある。さらに、トークンが使用されてからブロックに含まれるまでの短い期間に、十分に強力な量子コンピューターが秘密鍵をリバースエンジニアリングし、使用をリダイレクトすることも理論的には可能である。これは、ハッシュ化されているかどうかにかかわらず、どのタイプのアドレスのトークンにも当てはまります。

理論的には、ビットコインはソフトフォークによって「ポスト量子」（PQ）署名スキームを採用することができます。提案されているいくつかの反量子暗号署名は存在する。データ要件の大幅な増加（より大きなブロックを必要とする、またはスループットが低下する）などの技術的な問題はさておき、主な問題は、特定のポスト量子スキームを特定し、ソフトフォークを組織し、残高のある何千万ものアドレスを苦労して移行することであろう。新しい暗号技術の採用にはリスクが伴う。パニックに陥ってPQ暗号に移行し、後になってそれが古典的なコンピュータでも解読可能であることが判明するような事態は避けたい。ビットコインシステムの心臓部である暗号を取り除くのは大変な作業であり、慎重に行わなければならない。ビットコインコミュニティがコンセンサスに達し、（比較的議論の余地のない）SegWitとTaprootのソフトフォークを実装することがいかに困難であったかを思い出せば、ビットコインが機敏ではなかったことがわかるだろう。

ビットコインのポスト量子フォーク（より正確には、複数回のフォークが必要になる可能性があるため、複数回のフォーク）は、プロトコルのこれまでの更新よりも侵入的で複雑になるでしょう。暗号はプロトコルの心臓部であり、これを置き換えることは、システムのほとんどすべての側面と、ユーザーがプロトコルとやりとりする方法に変更を強いることになる。明らかに、このようなフォークは、SegWit（提案から有効化まで2年）やTaproot（3年）よりも議論、開発、テストに時間がかかるだろう。

実際、フォーク後にビットコインを安全な状態にするのはより難しいでしょう。量子の影響を受けやすいアドレスにあるトークンは、ローテーションされ、新しい量子抵抗性のアドレスタイプに送られなければならない。最終的には、すべてのアドレスタイプを破棄し、ローテーションしなければならない。すべてのビットコイン保有者がこのことを認識し、ウォレットと秘密鍵にアクセスできる状態であったとしても、この移行には最良のケースでも数カ月かかる。より現実的には、ビットコイン保有者にトークンをローテーションするよう数年前に通知する必要があるでしょう。

状況はさらに悪化します。一部のビットコインが紛失したり、放棄されたりしている。その大部分-170万BTC-はサトシ・ナカモトと他の初期のマイナーのもので、「公開鍵への支払い」として知られる古いアドレスタイプに保管されていた。鍵である。これらのビットコインが紛失した場合、セキュリティのために反量子アドレスタイプに移動することはできない。それは難破船の底に散らばった古代の金貨のようなもので、誰かがより優れた潜水艦を建造するまでは、回収不可能と考えられていた。ビットコインコミュニティはそれをどうするか決めなければならない。ビットコインを凍結し、組織的な窃盗に手を染めるか、あるいは手放し、未知の、潜在的に敵対的な量子エージェントが最大のビットコイン保有者になるのを許すか。どちらの選択肢も理想的ではなく、現在のところコミュニティ内のコンセンサスは得られていない。ビットコインコミュニティは、誰であれのビットコインを凍結または固定化することに投票したことはありません。実際、初期のビットコイン信者の多くがイーサを軽蔑した理由は、まさにこの集団窃盗（たとえ正当化されたとしても）にある。そうすることで、ビットコイン信者は自分たちが憎むべきライバルよりも優れていないことを示すことになる。また、将来の保有者に対して、集団没収が緊急時の選択肢であることを示すことになる。没収は危険な前例となる。したがって、放棄されたP2PKビットコインの運命について議論し、解決策を実施・展開しなければならない（例えば、凍結やフォークによる収奪など）。これは容易なことではなく、ビットコインの歴史において完全に前例のないことでしょう。

計算すれば、必要な緩和のスケジュールは10年近くに及ぶ可能性があることは明らかだ。戦略を議論し、意見の相違を解決し、プロトコルや脅威となるトークンのロードマップに合意し、コードを書き、暗号をテストし、実際に移行を実行するには時間がかかる。つまり、量子審判の日（いわゆる「Qの日」）が今から10年後に来たとしても、私たちは今日今日から始めなければならないということです。span leaf="">準備を始めよう。Qデーが早まったり、予期せぬ事態になれば、悲惨なことになる。脅かされたトークンを凍結するかどうか、ポスト量子署名スキームの実装についてパニックに陥るかどうか、スキームが安全でシステムの信頼が回復できることを願うかどうかについて、私たちは急いで決断を下さなければならないでしょう。ビットコイン開発の大手企業であるChaincodeは、「短期的な」不測の事態であっても、実装には2年かかると見積もっています。span text="">時間。ビットコインを変えることは、空母を操縦するようなものだ。=また、このような脆弱なトークンを破棄すべきか、それとも主張すべきかについて対立する見解が、ブロックサイズ戦争で見られたように、フォークの引き金となる可能性があります。ビットコインの名前をめぐって競合するフォークは、ビットコインが成熟からほど遠く、賭け金が低かった2017年にはかろうじて持ちこたえていたかもしれないが、今日、このような状況は、ビットコインが依存している大規模な機関投資家の資本源から、プロトコルに対する信頼を失うことにつながりかねない。量子コンピューティングは、ビットコインの不可侵性の約束に穴をあける。ほとんどのビットコイン保有者が、それを認めることさえ恐れているのも不思議ではない。リスクを認めることは、ビットコインの核心である「不可侵性」という物語に疑念を投げかけることだとわかっているからだ。資本配分の観点からは、究極の安全資産である価値貯蔵品にテールリスクは避けたい。その結果、ビットコインの保有者たちは、誰もが口をつぐんで互いに言いふらさないという、囚人のジレンマの巨大なゲームを選択した。しかし、たとえそれが自分たちの不利益になるとしても、歓迎されない真実を世界に明らかにしようとする知的で正直なビットコインホルダーが数人いるとは、彼らは予想していなかった。

一部のビットコイン支持者は、米国の法律はCRQCを持つ者がそれを使ってビットコインを攻撃することを防ぐだろうと主張している。しかし、ビットコインの安全性を、敵対者が法のルールを守るだろうという希望だけに安住させることは、ほとんど安心できない。量子技術の舵取りをする初期の人物が慈悲深いとは期待できない。公には認めないが、さまざまな量子コンピューター企業がビットコイン会議の周辺で逢引きをベールに包んでいるのには理由がある。その富にアクセスするのに十分強力なハードウェアを作ることができれば、数千億ドルという莫大な報奨金が待っているのだ。中国は量子コンピューティングに莫大な国家資源を投入しており、ビットコインにも米国の法律にも忠誠心はない。さらに、米国政府が中国が行動を起こそうとしていると考えれば、リスクの高いビットコインを先制的に没収する可能性もないとは言えない。

私の論理を理解していただければ、今日から準備を始めるべきだということに気づいていただけると思います。専門家と政府のコンセンサスは、量子の問題が2030年から2035年の間に出現する可能性があることを示唆している。対応するためのタイムテーブルを考えると、私たちは今日今日準備を始めなければならないことを意味する。span text="">準備を始める。もし準備を怠れば、量子力学的崩壊によって引き起こされる可能性のある損害は壊滅的なものとなり、システム全体に対する信頼は完全に失われてしまうだろう。その結果、ビットコインに対する量子リスクの期待値は大幅にマイナスとなる。この脅威を無視している投資家やデベロッパーに問いたい。完全崩壊の確率は10％か、5％か、1％か？人々は、壊滅的な損失をもたらす可能性のある小さな確率の出来事に対して保険を購入する。たとえ危険な洪水のリスクが年間わずか1％であったとしても、おそらく洪水保険に加入したことだろう。実際、量的リスクに対する保険料が安いのは、開発者がほとんど無意味な自己反省をしているからである。過去10年間、開発者の主な関心はライトニング・ネットワークに基づくスケーリング・モデルにあったが、これは失敗であることが証明されている。フィルターに関する内部議論や、ビットコインが任意のデータを運ぶべきかどうかが開発者の注目を集めた。ビットコインのプロトコルは過去10年間で2回しか更新されていない。いずれは更新されるだろうが、開発者たちは、他の重要な事柄で忙しく、この増大する存亡の危機を心配する余裕がないと正当化することはできない。

ビットコインコミュニティはそれに対して何をしてきたのか？悲しいことに、ほとんどありません。いくつかの散発的な取り組みポスト量子署名スキームといくつかの初期の緩和アイデアを探ることはありましたが、実際の具体的な提案という点ではほとんどありませんでした。唯一リストアップされているビットコイン改善提案（BIP） - BIP360。BIP360は、ビットコインの主要な更新において決定的な発言力を持つ「高僧」の一人ではなく、比較的部外者によって率いられている。BIP360が現段階で実際に行っていることは、量子攻撃に対して脆弱なTaprootアドレスタイプを2021年に導入することによって、ビットコインの開発者が犯した大きな過ちを修正することである。これは、当時リード開発者であったPieter Wuille氏が、Taprootアドレスが量子のリスクにさらされていることを公に認めていたにもかかわらず、とにかく実行したのです。しかし、彼らはとにかくそれを行った。2025年になっても、Wuille氏はまだビットコインの量子化防止を主張している。「緊急性はない」。

私が最も腹立たしいのは、ビットコインの開発者が量子コンピューティングの迫り来るリスクに対して示した異常な無関心だ。通常、ビットコインの開発文化は極めて慎重で、ほとんど不条理なまでに慎重だ。開発者たちは、脆弱性の導入を避け、サードパーティのライブラリへの依存を最小限にするために多大な労力を費やす。ビットコインは、業界標準の楕円曲線スタックを拒否し、OpenSSLのECC実装を避け、代わりにsecp256k1を標準として選択し、独自のカスタムコードを維持していることで知られている。そして、これはほんの一例に過ぎない。ブロック・サイズのわずかな増加でさえ、潜在的な存亡の危機として何年も議論されていたことを思い出す人も多いだろう。開発者たちは、わずか数メガバイトを追加するだけで、ネットワークがクラッシュしたり、分散化が損なわれたりする可能性があると警告していた。システムのスクリプト言語も意図的に制限された。想像力の欠如のためではなく、サービス拒否攻撃や不意打ちを恐れてのことだ。これらの選択はイデオロギーに基づくもので、極端な自己信頼、現在および将来の脅威への抵抗、蔓延するパラノイアの文化に根ざしている。しかし信じられないことに、ビットコインが現代の公開鍵暗号から完全に陳腐化に直面している今、開発者たちは自己満足で反応している。

量子計算がもたらすリスクに直面したとき、ビットコイナー（Bitcoiners）は通常、こう答えました。この脅威は、すべての金融技術（および暗号化に依存するその他のシステム）に等しく適用されます。どうせ世界は終わりを迎えるのだから、心配する価値はないという意味合いだ。しかし、これは馬鹿げているだけでなく（明らかに、カオスな状況でもビットコインが機能することを望んでいる）、真実ではない。"量子の日"（Q-day）は、それが起こったときに政府や主要な金融機関が普遍的に準備されていると仮定すると、Y2K問題のようなもの、つまり、十分に準備されていたために落ち着いたものになるだろう。ポスト量子署名はすでに存在し、中央集権的な機関であれば簡単に実装できる。クラウドフレアはすでに、そのトラフィックの多くにポストクォンタム暗号による保護を提供している。インフラのアップグレードは骨の折れる作業だが、金融機関、ソフトウェア会社、政府機関はすべて高度に中央集権化されているため、アップグレードを直接発注するだけだ。(アップグレードできないシステムもごく一部存在する。しかし、これは寿命が非常に長いハードウェアのことであり、いずれにせよ段階的に廃止されるべきものである。例外は人工衛星で、クォンタムデイに対処する上でも不利である）。

ビットコインのような非中央集権型ブロックチェーンは、中央集権型データベース運用者のような機敏な自己更新ができません。ビットコインは2017年以降、わずか2回のアップデートを行っただけで、それも甚大な憤慨と内紛の末に行われた。さらに、脆弱なトークンの大部分は放棄されたアドレスに保管されており、それらのアドレスの所有者はトークンの移転を一切強制できないため、仮にビットコインがポスト量子署名にアップグレードしたとしても、170万トークンが量子攻撃者によって突然押収される危険性がある。ビットコインは秩序だったタイムリーな方法でアップグレードされる必要があるだけでなく、ビットコイン保有者はこのリスクを軽減するために、この170万トークンを没収することに集団で合意しなければならない。

ビットコインは他のブロックチェーンよりも脆弱でもある。供給量に占めるトークンの紛失や放棄の割合が高いと推測される。イーサも同じようなリスクに直面しているが、アカウントの抽象化とスマートコントラクトの機能により、いくつかのトリックを使えば、イーサはポスト量子（PQ）署名をフォークなしで実装することもできる。最終的にはポストクォンタムフォークが必要になるだろうが、イーサのより積極的なガバナンスプロセスの下では可能性が高い。イーサはまた、量子の脅威を認識し、それに対抗するための提案をすでに行っているリーダーを持つというメリットもある。もうひとつの競争相手であるソラナ社は、ポスト量子シグネチャーのテストを開始している。Starkwareのようなセカンドレイヤーのネットワークは、量子への耐性をコアバリューの提案としている。ビットコイン信者はこれらの比較に悩まされるだろうが、Qデーがやってくる頃には、ビットコインがリスクにさらされる唯一のブロックチェーンになっている可能性が高い。

ここに厳しい真実があります。ビットコイン信者の中で、それを認めようとする人はほとんどいません。ブロックチェーンは、公開鍵暗号に依存する他のシステムと比べて、量子コンピューティングに対して特に脆弱であり、ビットコインはブロックチェーンの中で最も脆弱である。量子コンピューティングは、遠い理論上の可能性から、10年以内に実現するかもしれない純粋な工学的課題へと変化している。もしそうなら、ビットコインの支持者は今すぐ準備を始める必要がある。