La rete Lightning non è affatto spacciata

Un post di Udi Wertheimer pubblicato alcune settimane fa ha attirato l’attenzione dei media crypto sostenendo che il Lightning Network sia «helplessly broken» in un mondo post‑quantum e che gli sviluppatori non possano farci nulla. Il titolo si è diffuso rapidamente e, per le aziende che hanno costruito infrastrutture di pagamento su Lightning o le stanno valutando, le implicazioni sono risultate allarmanti. Questa discussione merita una risposta equilibrata e dettagliata.

Udi Wertheimer ha affermato:

“helplessly broken”

Qual è il nucleo del problema

Il punto centrale sollevato da Wertheimer è valido: computer quantistici con potenza crittograficamente rilevante rappresenterebbero una sfida concreta per i sistemi crittografici su cui si basano Bitcoin e il Lightning Network. In particolare, la possibilità che un attaccante usi l’algoritmo di Shor per derivare chiavi private da chiavi pubbliche è una minaccia teorica reale e a lungo termine.

Cosa è stato rappresentato in modo fuorviante

La rappresentazione per cui «tutti i saldi Lightning possono essere rubati» è però fuorviante: la vulnerabilità descritta è concreta ma molto più circoscritta e condizionata di quanto suggerito dal titolo.

Quando si apre un canale Lightning, i partecipanti scambiano chiavi pubbliche. In uno scenario con computer quantistici crittograficamente rilevanti, un attaccante che ottenga queste chiavi pubbliche potrebbe teoricamente calcolare la corrispondente chiave privata. Tuttavia la struttura del protocollo introduce barriere significative a questa possibilità.

I canali attivi sono protetti da hash e i finanziamenti sono normalmente costruiti con P2WSH (Pay‑to‑Witness‑Script‑Hash), per cui le chiavi raw del multisig 2‑di‑2 rimangono nascoste on‑chain finché il canale è aperto. Le rotte di pagamento su Lightning si basano su HTLC (Hashed Time‑Lock Contracts), che usano la rivelazione di preimmagini di hash piuttosto che chiavi pubbliche esposte: un osservatore passivo della blockchain non vede le chiavi necessarie.

La finestra d’attacco realistica

La reale finestra di rischio è quindi stretta e temporale: si apre quando un canale viene chiuso forzatamente e una transazione di commitment viene trasmessa on‑chain. In quel momento lo script di locking diventa visibile e include la local_delayedpubkey, una chiave pubblica su curva ellittica.

Per progetto, il nodo che pubblica la transazione non può reclamare immediatamente i fondi: è previsto un timelock CSV (CheckSequenceVerify), tipicamente di 144 blocchi (circa 24 ore), prima che la spesa sia possibile. In uno scenario post‑quantum un attaccante che osservi il mempool potrebbe tentare di estrarre la chiave pubblica, eseguire Shor per ricavarne la privata e spendere l’output prima della scadenza del timelock. Alcuni output HTLC a chiusura forzata offrono finestre ancora più strette, dell’ordine di 40 blocchi (6–7 ore).

Questa è dunque una vulnerabilità reale ma va letta come una corsa contro il tempo: l’attaccante deve risolvere un problema matematico estremamente complesso entro una finestra limitata e per ciascun output che intende sottrarre. Non si tratta di un drenaggio passivo e simultaneo di tutti i wallet Lightning.

Lo stato dell’hardware quantistico

Un elemento spesso trascurato nei titoli sensazionalistici è che computer quantistici davvero rilevanti per la crittografia non esistono oggi, e il divario tecnologico è enorme. Per spezzare la crittografia a curva ellittica usata da Bitcoin occorrerebbe risolvere il logaritmo discreto su chiavi a 256 bit con milioni di qubit logici stabili ed error‑corrected che lavorino per periodi prolungati.

I record sperimentali rimangono lontani: il maggior numero fattorizzato con l’algoritmo di Shor su hardware quantistico reale è 21 (3 × 7), ottenuto nel 2012, e recentemente sono stati compiuti progressi ibridi quantistico‑classici su numeri a 90 bit, ancora molteplici ordini di grandezza sotto il necessario per minacciare Bitcoin. I progetti di ricerca di aziende come Google sono da seguire, ma le proiezioni serie variano da stime ottimistiche alla fine degli anni 2020 a scenari più conservativi verso gli anni 2030 o oltre.

La comunità di sviluppo non è inattiva

Contrariamente all’affermazione che gli sviluppatori siano «helpless», la comunità di sviluppo di Bitcoin sta già lavorando intensamente a contromisure post‑quantum. Dall’inizio dell’ultimo periodo sono emerse molte proposte concrete e tecniche di rilievo.

Tra le soluzioni esplorate ci sono firme hash‑based come SHRINCS (stati da 324 byte), SHRIMPS (firme da circa 2,5 KB pensate per dispositivi multipli), il BIP‑360, documenti e proposte di Blockstream su firme hash‑based, oltre a idee per opcode come OP_SPHINCS, OP_XMSS e implementazioni STARK in tapscript. L’attività di ricerca è significativa sia per qualità sia per volume.

La conclusione corretta non è quindi che Lightning sia irrimediabilmente compromesso, ma che l’intero ecosistema crittografico digitale, incluso Bitcoin, necessiterà aggiornamenti di base per diventare resistente ai quantistici, e che tale lavoro è già in corso.

Che cosa significa per le imprese che usano Lightning oggi

Il Lightning Network gestisce oggi volumi reali di pagamenti per aziende concrete: piattaforme di gaming, exchange crypto, neobank e fornitori di servizi di pagamento che movimentano denaro con costi frazioni di centesimo e finalità istantanea. Le decisioni aziendali non dovrebbero basarsi su minacce teoriche di lungo periodo, ma sulla qualità della governance tecnica e sul piano di migrazione verso soluzioni post‑quantum della comunità.

La buona notizia è che, alla luce della mole di ricerca post‑quantum nel mondo Bitcoin, i team che progettano e gestiscono infrastrutture Lightning stanno tenendo conto del problema e pianificando contromisure. Per chi integra pagamenti, il focus pratico è valutare le procedure operative in caso di chiusure forzate, i tempi di timelock adottati e le strategie di monitoraggio del mempool per ridurre la finestra d’esposizione.

In termini di gestione del rischio, è consigliabile che le imprese mantengano aggiornati i loro nodi, partecipino alla discussione tecnica e prendano in considerazione test e audit delle proposte post‑quantum quando diventano disponibili implementazioni mature.

Considerazioni finali

Il caso sollevato da Wertheimer svolge una funzione utile: richiama l’attenzione su un rischio a lungo termine e stimola la ricerca. Tuttavia la narrazione che presenta Lightning come immediatamente e irreparabilmente compromesso non riflette la complessità tecnica né lo sforzo attivo della comunità di sviluppo.

Per le aziende italiane e internazionali che valutano l’adozione di Lightning, la valutazione corretta è multilivello: considerare lo stato attuale dell’hardware quantistico, la specificità della vulnerabilità temporale descritta, e la roadmap di aggiornamento crittografico della base Bitcoin. Adottare misure operative e partecipare alle discussioni tecniche resta la strada più prudente.

In sintesi

• La narrativa sensazionalistica può deprimere la domanda di soluzioni Lightning nel breve termine; tuttavia il rischio tecnico è temporale e specifico, non un collasso immediato dell’infrastruttura di pagamento.
• Per gli investitori e i fornitori di servizi di pagamento italiani, l’importanza è valutare la resilienza operativa e la capacità del team di migrare a firme post‑quantum quando saranno implementabili e standardizzate.
• Lo sviluppo di contromisure post‑quantum crea opportunità per fintech e fornitori di sicurezza: soluzioni di aggiornamento e audit crittografico potrebbero diventare un nuovo segmento di mercato rilevante in Europa e in Italia.