Cosa significa davvero che i computer quantistici possano violare Bitcoin in 9 minuti?

Google e il suo gruppo Quantum AI hanno indicato nei giorni scorsi che, con una futura macchina quantistica sufficientemente potente, potrebbe essere possibile ricavare una chiave privata a partire da una chiave pubblica in circa nove minuti. La dichiarazione ha catalizzato l’attenzione sui rischi potenziali per le criptovalute, ma è utile chiarire esattamente cosa comporterebbe nella pratica.

Come funzionano le transazioni di Bitcoin

Quando si inviano Bitcoin, il portafoglio genera una firma con la propria chiave privata per dimostrare il possesso dei fondi; quella firma rende visibile la corrispondente chiave pubblica, che viene poi diffusa alla rete e collocata nel mempool in attesa che un miner la includa in un blocco.

Il tempo medio di conferma di una transazione sulla rete è di circa dieci minuti. La sicurezza si basa sul fatto che la relazione matematica fra chiave privata e chiave pubblica — il cosiddetto problema del logaritmo discreto sulle curve ellittiche — non è risolvibile in tempi utili con i computer classici, mentre un futuro calcolatore quantistico potrebbe risolverla usando l’algoritmo di Shor.

Il meccanismo del presunto attacco in mempool

Lo studio di Google evidenzia che è possibile “pre-calcolare” parti dell’attacco che non dipendono da una specifica chiave pubblica. Questo significa che una macchina quantistica potrebbe essere preparata in anticipo su elementi generali dell’attacco e, una volta che la chiave pubblica compare nel mempool, impiegare soltanto un tempo finale relativamente breve — stimato intorno ai nove minuti — per ricavare la corrispondente chiave privata.

Poiché la conferma media richiede circa dieci minuti, la finestra temporale suggerisce una probabilità non trascurabile che un aggressore possa completare la ricostruzione della chiave privata prima che la transazione sia definitivamente inclusa in un blocco, permettendo così il dirottamento dei fondi.

Un’analogia esplicativa: è come se un ladro costruisse a monte una macchina universale per aprire casseforti; la macchina si prepara in anticipo e, quando compare una nuova cassaforte, richiede solo pochi minuti per gli ultimi adattamenti e l’apertura.

Limitazioni tecnologiche e requisiti

È importante sottolineare che questo tipo di attacco richiede un calcolatore quantistico molto più avanzato di quelli esistenti oggi. Le stime indicate dallo studio suggeriscono la necessità di centinaia di migliaia di qubit fisici; i processori quantistici attualmente più grandi sono dell’ordine di qualche migliaio di qubit logici molto lontani da quella scala.

Le chiavi pubbliche già esposte

Un rischio diverso e più immediato riguarda gli indirizzi la cui chiave pubblica è già permanente e pubblicamente visibile sulla blockchain. Si stima che milioni di unità di Bitcoin si trovino in wallet che hanno esposto la chiave pubblica, per esempio perché appartengono a formati di indirizzo più vecchi o perché è stata riutilizzata una stessa utenza dopo una spesa.

Per questi depositi non è necessario correre contro il tempo in mempool: un eventuale attaccante con una macchina quantistica adeguata potrebbe lavorare con calma per violare chiavi già pubblicate, affrontando un rischio sistemico molto più gravoso rispetto all’attacco rapido su transazioni in transito.

Inoltre, la recente modifica di protocollo conosciuta come Taproot ha reso visibili le chiavi pubbliche in modo più diffuso rispetto ad alcune configurazioni precedenti, ampliando involontariamente l’insieme di indirizzi potenzialmente vulnerabili in futuro.

Conseguenze per la rete e per le istituzioni

La produzione dei blocchi e l’algoritmo di consenso basato su SHA-256 non verrebbero compromessi direttamente da un attacco quantistico di questo tipo: la prova di lavoro continuerebbe a consentire la creazione di blocchi e la persistenza del registro contabile.

Tuttavia, se diventa possibile ricavare chiavi private da chiavi pubbliche, vengono meno le garanzie di proprietà che costituiscono la base di valore della valuta. Ciò impatterebbe non soltanto gli utenti individuali, ma anche istituzioni come exchange, custodi e gestori di fondi, aumentando il rischio operativo e riducendo la fiducia nel modello di sicurezza della rete.

Dal punto di vista regolamentare e politico, un tale scenario metterebbe le autorità e le piattaforme di mercato nella difficile posizione di dover coordinare azioni di emergenza per la protezione dei clienti, decidere regole di migrazione e gestire le potenziali ricadute sui mercati finanziari.

Misure tecniche e percorsi di mitigazione

La soluzione tecnica ritenuta più solida è l’adozione di schemi crittografici resistenti ai calcolatori quantistici, noti collettivamente come crittografia post-quantistica. Questi algoritmi si basano su problemi matematici differenti e allo stato attuale non risultano vulnerabili agli strumenti quantistici noti.

Ethereum e altre piattaforme hanno già intrapreso percorsi di studio e sviluppo per integrare contromisure post-quantistiche; il processo è complesso e richiede tempo per standardizzazione, implementazione nei client, aggiornamenti dei wallet hardware e cooperazione tra operatori.

Nel caso di Bitcoin, la migrazione verso algoritmi resistenti quantisticamente pone sfide particolari dal punto di vista della governance e del consenso: modificare gli schemi di firma a livello di protocollo richiede accordo diffuso tra sviluppatori, miner, provider di servizi e utenti, oltre alla gestione dei rischi connessi a fork o aggiornamenti incompatibili.

Nel breve termine, le pratiche di sicurezza che gli utenti e le istituzioni possono adottare includono evitare il riuso degli indirizzi, trasferire fondi dagli indirizzi più vecchi che mostrano la chiave pubblica, utilizzare wallet aggiornati e prepararsi a processi di migrazione coordinata quando saranno disponibili soluzioni post-quantistiche consolidate.

Cosa attendersi e come prepararsi

La minaccia descritta evidenzia una sfida a medio-lungo termine: la tecnologia quantistica potrebbe in futuro erodere alcune fondamenta della crittografia utilizzata oggi, ma non esistono ancora dispositivi pratici in grado di eseguire questi attacchi su scala reale.

Per ridurre la vulnerabilità sistemica è fondamentale che la comunità tecnica, gli operatori del settore e i decisori politici lavorino in modo proattivo: sviluppare standard post-quantistici, definire piani di migrazione compatibili con le regole di consenso, e organizzare campagne di aggiornamento e comunicazione per utenti e istituzioni.

In definitiva, la notizia serve a ricordare che la sicurezza delle criptovalute non è immutabile: richiede continua attenzione tecnologica e coordinamento istituzionale per adattarsi a minacce emergenti come quelle rappresentate dall’informatica quantistica.