Iniziative chiave per salvaguardare la più grande blockchain al mondo dal calcolo quantistico

Negli attuali sistemi non esistono computer quantistici in grado di violare la catena di blocchi di Bitcoin, ma gli sviluppatori stanno già valutando un insieme di aggiornamenti per difendersi da una minaccia che sta diventando sempre meno teorica.

Questa settimana Google ha pubblicato uno studio che suggerisce che un computer quantistico sufficientemente potente potrebbe rompere la crittografia centrale di Bitcoin in meno di nove minuti — un tempo inferiore alla media richiesta per la conferma di un blocco. Alcuni analisti stimano che una tale capacità potrebbe concretizzarsi entro il 2029.

Le poste in gioco sono elevate: circa 6,5 milioni di bitcoin, per un valore di centinaia di miliardi di dollari, sono allocati in indirizzi che un futuro computer quantistico potrebbe prendere direttamente di mira. Una parte di questi fondi è attribuita al creatore pseudonimo di Bitcoin, Satoshi Nakamoto. Oltre al valore finanziario, una compromissione metterebbe in discussione principi fondanti come “fidarsi del codice” e la nozione di “denaro solido”.

Come si presenta la vulnerabilità

La sicurezza di Bitcoin si basa su una relazione matematica unidirezionale: alla creazione di un portafoglio viene generata una chiave privata, da cui si ricava una chiave pubblica. Per spendere i token non si rivela la chiave privata, ma la si usa per creare una firma crittografica che la rete può verificare.

Questo meccanismo è considerato sicuro perché i computer classici impiegherebbero miliardi di anni per invertire la crittografia su curve ellittiche, in particolare l’algoritmo di firma ECDSA, e ricavare la chiave privata dalla chiave pubblica. Tuttavia, un futuro computer quantistico potrebbe ribaltare la situazione e derivare la chiave privata a partire dalla chiave pubblica, permettendo lo svuotamento degli indirizzi.

Due modalità di attacco

Il rischio si manifesta in due forme principali a seconda di come la chiave pubblica è esposta sulla catena di blocchi: esposizione prolungata (long-exposure) ed esposizione breve (short-exposure).

L’esposizione prolungata riguarda indirizzi che hanno già reso visibile la chiave pubblica in modo permanente: è il caso degli indirizzi P2PK, usati dai primi miner e dallo stesso Satoshi Nakamoto, e del formato attuale Taproot (P2TR) introdotto nel 2021. In questi casi la chiave pubblica è leggibile da chiunque e rimane un bersaglio persistente per un attaccante quantistico; si stima che circa 1,7 milioni di BTC siano ancora in indirizzi di questo tipo.

L’esposizione breve è legata alla mempool, la “sala d’attesa” delle transazioni non confermate. Durante il periodo in cui una transazione è in attesa di essere inclusa in un blocco, sia la chiave pubblica sia la firma sono visibili alla rete. Un computer quantistico potrebbe sfruttare questa breve finestra temporale per derivare la corrispondente chiave privata e inviare una transazione concorrente per sottrarre i fondi prima che la prima venga consolidata.

Iniziative proposte

Per contrastare i rischi identificati sono già state avanzate diverse proposte tecniche, alcune mirate a proteggere i nuovi indirizzi e altre pensate per mitigare il rischio sugli indirizzi già esposti.

BIP 360: rimuovere la chiave pubblica on-chain

La proposta BIP 360 elimina la chiave pubblica permanentemente visibile su catena per i nuovi output introducendo un nuovo tipo di uscita denominato Pay-to-Merkle-Root (P2MR).

L’idea è semplice: se un computer quantistico non ha accesso alla chiave pubblica pubblicata, non ha materiale dal quale ricostruire la chiave privata. L’adozione di P2MR preserverebbe le funzionalità esistenti — come pagamenti layer-2, multisignature e altri strumenti — mantenendo però la chiave pubblica nascosta fino al momento del bisogno. Questa soluzione, però, protegge soltanto le nuove monete emesse dopo l’eventuale attivazione; il problema dei circa 1,7 milioni di BTC già esposti resta aperto.

SPHINCS+ e SLH-DSA: firme post-quantistiche basate su hash

Un’altra linea di difesa consiste nel sostituire l’algoritmo di firma attuale con schemi resistenti agli attacchi quantistici. SPHINCS+ è uno schema di firma post-quantistica che si fonda su funzioni di hash anziché su strutture algebriche vulnerabili agli algoritmi quantistici come quello di Shor.

Dopo un lungo processo di valutazione pubblica, il NIST ha standardizzato una variante nota come SLH-DSA come FIPS 205 nell’agosto 2024. Il vantaggio è la robustezza contro gli attacchi quantistici; lo svantaggio principale è la dimensione delle firme: dove oggi una firma ECDSA occupa circa 64 byte, le firme SLH-DSA possono arrivare a diversi kilobyte, aumentando significativamente l’uso di spazio nei blocchi e quindi i costi di transazione.

Per contenere questo problema sono state proposte varianti e lavori successivi (ad esempio proposte che cercano di comprimere o ottimizzare SPHINCS+) con l’obiettivo di offrire sicurezza post-quantistica mantenendo una dimensione delle firme più praticabile per la blockchain.

Tadge Dryja e lo schema Commit/Reveal per la mempool

Un approccio suggerito come soft fork dal co-creatore della Lightning Network, Tadge Dryja, intende proteggere le transazioni presenti nella mempool separando l’esecuzione in due fasi: Commit e Reveal.

Nel primo passo si pubblica sull’insieme di regole della blockchain un’impronta sigillata dell’intenzione di spendere (un hash): questa impronta non rivela nulla sulla transazione. Il timestamp on-chain funge da prova dell’impegno. Nel secondo passo si trasmette la transazione vera e propria: se un attaccante quantistico tenta di creare una transazione contraffatta dopo aver visto la chiave pubblica, il protocollo verifica che esista un impegno precedentemente registrato. La transazione legittima avrà l’alibi dell’impronta preesistente; la transazione dell’attaccante verrà respinta.

La contropartita è un aumento dei costi, perché ogni operazione richiede due passaggi on-chain. Per questo motivo lo schema viene visto come un freno temporaneo utile a proteggere la fase di transizione mentre si sviluppano soluzioni più permanenti e scalabili.

Hourglass V2: rallentare la spesa degli indirizzi già esposti

Per mitigare il rischio legato agli indirizzi che hanno già esposto la chiave pubblica, lo sviluppatore Hunter Beast ha proposto Hourglass V2, un meccanismo volto a limitare la velocità con cui quei fondi possono essere spostati.

La proposta ammette che, in uno scenario di attacco quantistico, quei bitcoin potrebbero essere sottratti; l’obiettivo è però evitare una liquidazione massiccia e rapida che potrebbe produrre un crollo di mercato. Per farlo propone restrizioni come il limite di una moneta per blocco per gli spostamenti provenienti da indirizzi vulnerabili, analogamente a una misura volta a rallentare una corsa agli sportelli. Tale soluzione è controversa perché introduce vincoli sul diritto di spesa degli utenti e alcuni critici la ritengono in contrasto con i principi di non intervento della rete.

Implicazioni istituzionali e di governance

Qualunque cambiamento sostanziale nella crittografia o nelle regole di consenso richiede un ampio consenso nella comunità di Bitcoin, che coinvolge sviluppatori, operatori di nodi, miner e fornitori di servizi. Per attivare aggiornamenti come soft fork o hard fork è necessaria una fase di discussione tecnica, test, implementazione e, in molti casi, un processo di attivazione graduale per minimizzare rischi operativi.

Inoltre, decisioni su misure come limiti temporanei alle transazioni sollevano questioni legali, economiche e di fiducia: autorità di regolamentazione, mercati e utenti istituzionali osservano attentamente perché le scelte tecniche potrebbero avere effetti sistemici sul funzionamento delle piattaforme e sulla stabilità dei prezzi.

Conclusioni

Le proposte presentate non sono state ancora attivate e il percorso di aggiornamento sarà condizionato dalla natura decentralizzata della governance di Bitcoin. Tuttavia, l’esistenza stessa di molteplici soluzioni tecniche indica che la comunità e gli sviluppatori considerano la minaccia quantistica come un tema concreto e stanno lavorando per ridurne l’impatto.

Nel medio termine è probabile che si adotti una strategia mista: proteggere i nuovi indirizzi con schemi che non espongano la chiave pubblica, studiare firme post-quantistiche praticabili e introdurre misure di emergenza per limitare i danni sugli indirizzi già esposti. Il processo richiederà tempo, test e consenso, ma l’attività preventiva è considerata essenziale per preservare la sicurezza e la fiducia nell’ecosistema.