Quantum Horizon: An evaluation of quantum computing as a threat to Bitcoin and Ethereum

Il documento sostiene che, sebbene il calcolo quantistico rappresenti una minaccia significativa ma gestibile per Bitcoin ed Ethereum, principalmente attraverso l'algoritmo di Shor che rompe le firme digitali piuttosto che il mining, la sfida critica risiede nella tempestiva migrazione guidata dalla governance verso la crittografia post-quantistica piuttosto che nella tecnologia stessa, con una probabilità proiettata del 60% che emerga un computer quantistico crittograficamente rilevante entro il 2050.

L'essenziale

Il quadro generale: Una tempesta imminente, ma gestibile

Immaginate Bitcoin ed Ethereum come due enormi casseforti ad alta sicurezza. Per anni, le persone hanno temuto che un "computer quantistico" super intelligente possa un giorno scassinare le serrature di queste casseforti.

Questo documento sostiene che, sebbene la minaccia sia reale, non è un disastro imminente per domani. Gli autori affermano che abbiamo una visione chiara delle nuvole temporalesche, sappiamo esattamente quali serrature sono deboli e abbiamo i progetti per sostituirle. L'unica cosa che potrebbe causare un crollo è se le persone al comando (i team di "governance") fossero troppo lente ad agire.

Ecco la suddivisione dei punti principali del documento:

---

1. I due diversi "superpoteri" (Shor vs. Grover)

Le persone spesso confondono due diversi tipi di attacchi da computer quantistico. Il documento dice che dobbiamo smettere di confonderli.

• La vera minaccia (Algoritmo di Shor): La Chiave Maestra.
  • L'analogia: Immaginate che il vostro conto bancario abbia una firma digitale (un sigillo unico) che prova che i soldi sono vostri. L'algoritmo di Shor è come un dispositivo magico capace di guardare il vostro sigillo pubblico e scoprire istantaneamente la vostra chiave privata segreta.
  • Il risultato: Se un computer quantistico ottiene questo, può falsificare la vostra firma e rubare le vostre monete. Questo è il pericolo.
• La falsa minaccia (Algoritmo di Grover): Il tentativo veloce.
  • L'analogia: Il mining di Bitcoin è come una gigantesca lotteria dove i computer indovinano numeri per vincere. L'algoritmo di Grover è come un potenziamento della velocità per indovinare. Rende il computer capace di indovinare il doppio più velocemente (o meglio, alla radice quadrata del tempo).
  • Il risultato: Il documento dice che questo non è un problema. È come dare a un essere umano una calcolatrice leggermente più veloce in una gara contro una Ferrari. La rete si limiterebbe ad aggiustare la difficoltà (rendendo la lotteria più difficile), e il computer quantistico sarebbe comunque troppo lento per prendere il controllo. Il mining è al sicuro.

2. La cronologia: "Presto", ma non "Ora"

Quando esisterà questa macchina con la "Chiave Maestra" magica?

• Oggi: Non ce l'abbiamo. Le migliori macchine che abbiamo oggi sono come una singola bicicletta rispetto al super-tank necessario per scassinare le serrature. Siamo circa 400 o 500 volte lontani dall'avere abbastanza potenza.
• Le previsioni: Gli autori hanno eseguito una complessa simulazione (come un bollettino meteo) combinando le ipotesi degli esperti e il progresso dell'hardware.
  • Entro il 2035: C'è circa 1 possibilità su 6 che la macchina esista.
  • Entro il 2040: La probabilità sale al 30%.
  • Entro il 2050: La probabilità è di circa il 60%.
• La conclusione: Non è il momento di farsi prendere dal panico, ma è sicuramente il momento di "iniziare a fare le valigie". Abbiamo una finestra di forse 10 o 15 anni per sistemare le cose prima che la macchina arrivi.

3. Chi è realmente in pericolo? (Le monete "esposte")

Non ogni Bitcoin o Ethereum è a rischio. Dipende da dove il "sigillo" (la chiave pubblica) è visibile.

• La Zona Sicura (Indirizzi nuovi): Se mettete i vostri soldi in un indirizzo nuovo e mai utilizzato, la vostra chiave segreta è nascosta dietro uno specchio unidirezionale. Nemmeno un computer quantistico può vederla finché non provate a spendere i soldi.
• La Zona di Pericolo (Indirizzi riutilizzati): Se avete già utilizzato un indirizzo in precedenza, il vostro "sigillo" è ora pubblico sulla blockchain per sempre. Un computer quantistico potrebbe rubare qualsiasi denaro depositato lì.
• La Zona "Persa" (Rischio irreducibile):
  • Bitcoin: Circa 2,3 milioni di monete sono "dormienti" (chiavi perse o provenienti dai primissimi tempi come quelle di Satoshi). I proprietari non potranno mai spostarle. Se arriva il computer quantistico, queste monete andranno perse per sempre. Questa è una perdita permanente, ma è un importo fisso (circa il 12% di tutti i Bitcoin).
  • Ethereum: Poiché Ethereum funziona come un conto bancario (dove si riutilizza lo stesso indirizzo), circa il 50–65% di tutti gli Ether è attualmente "esposto". Tuttavia, a differenza dei Bitcoin persi, questi proprietari possono comunque spostare i loro soldi in sicurezza.

4. La corsa: Possiamo ripararlo in tempo?

Il documento confronta il tempo necessario per aggiornare il software (migrazione) rispetto al tempo necessario affinché arrivi il computer quantistico.

• Il piano di aggiornamento: Abbiamo già le nuove serrature "a prova di quantum" (standard finalizzati nel 2024).
  • Ethereum ha una strada facile: può permettere ai singoli account di aggiornare le proprie serrature uno alla volta senza spegnere l'intera rete.
  • Bitcoin ha una strada più difficile: richiede un enorme accordo della comunità per cambiare le regole, il che è politicamente difficile.
• Il risultato della corsa: Se iniziamo l'aggiornamento ora (nel 2026), finiremo il lavoro entro il 2029–2031. Questo batte anche la previsione più ottimistica di quando arriverà il computer quantistico (2035) di diversi anni.
• Il vero pericolo: L'unico modo in cui perdiamo è se ritardiamo. Se la comunità discute troppo a lungo e non inizia prima del 2033, potremmo trovarci con la porta aperta.

5. Il quadro generale (Altre criptovalute)

Gli autori hanno esaminato le prime 20 criptovalute.

• Le cattive notizie: Nessuna di esse è ancora completamente sicura. Tutte utilizzano lo stesso tipo di "serrature" che i computer quantistici possono rompere.
• Le buone notizie: Alcune (come XRP e Solana) stanno già testando nuove serrature. Altre (come Dogecoin) sono rimaste indietro.
• La lezione: Non importa quale matematica utilizzino; ciò che conta è se hanno un piano di aggiornamento e se nascondono le loro chiavi fino al momento della spesa.

Riassunto: Cosa dovresti fare?

Il documento conclude con un atteggiamento di "Urgenza Preparatoria", non di Panico.

1. Per gli utenti: Smettete di riutilizzare vecchi indirizzi. Se avete dei soldi in un vecchio indirizzo riutilizzato, spostateli in uno nuovo. Pianificate di passare a wallet "quantum-safe" quando saranno disponibili.
2. Per le reti: Iniziate il processo di aggiornamento immediatamente. Non aspettate un'emergenza.
3. Il punto fondamentale: La minaccia è reale e la tabella di marcia si sta accorciando, ma il problema è risolvibile. L'unica cosa che può rompere il sistema è se siamo troppo lenti a ripararlo. La perdita "irreducibile" (le monete perse) è piccola e nota, ma il resto della rete può essere salvato.

Sommario tecnico

Sintesi Tecnica: Quantum Horizon

Problematica
Il documento affronta la minaccia posta dal calcolo quantistico alla sicurezza crittografica di Bitcoin ed Ethereum. Si concentra specificamente sulla confusione tra due distinti algoritmi quantistici: l'algoritmo di Shor, che minaccia le firme digitali a curva ellittica (ECDSA su secp256k1 e BLS su BLS12-381), e l'algoritmo di Grover, che accelera la ricerca non strutturata. La questione centrale è se emergerà un Computer Quantistico Correntemente Rilevante (CRQC) prima che queste reti possano migrare verso standard post-quantistici, e quale sia l'entità dell'esposizione per gli asset esistenti.

Metodologia
Gli autori impiegano un approccio multifasettico che combina stima delle risorse, modellazione dell'hardware e analisi della blockchain:

• Stima delle Risorse: Il documento sintetizza i progressi algoritmici (specificamente la riduzione dei conteggi delle porte Toffoli nel periodo 2025–2026 per la fattorizzazione) con modelli di scalabilità dell'hardware. Distingue tra qubit logici (corretti dagli errori) e qubit fisici, applicando un "ritardo di prontezza alla tolleranza ai guasti" (fault-tolerance readiness lag) per tenere conto del divario ingegneristico tra il numero di qubit grezzi e le macchine funzionali.
• Forecasting Monte-Carlo: Per prevedere l'arrivo di un CRQC, gli autori integrano quattro segnali: (1) la riduzione dei requisiti di risorse dovuta ai miglioramenti algoritmici, (2) i tassi di scalabilità dell'hardware (raddoppio dei qubit fisici), (3) il ritardo di prontezza alla tolleranza ai guasti, e (4) sondaggi tra esperti (Global Risk Institute, Mosca). Invece di mediare questi segnali divergenti, il modello ne preserva il disaccordo, risultando in una distribuzione di probabilità bimodale.
• Analisi dell'Esposizione: Il documento conduce un'analisi granulare on-chain di Bitcoin ed Ethereum per distinguere tra rischio "irreducibile" (monete dormienti/perse) e rischio "migrabile" (monete attive). Utilizza scansioni della catena per quantificare la percentuale di offerta in cui le chiavi pubbliche sono permanentemente rivelate rispetto a quelle nascoste dietro indirizzi basati su hash.
• Modellazione della Competitività del Mining: Un modello calibrato valuta l'impatto dell'algoritmo di Grover sulla Proof-of-Work (PoW), tenendo conto dei costi per operazione in regime di tolleranza ai guasti, dei limiti di parallelizzazione e degli aggiustamenti della difficoltà di rete.

Contributi Chiave

1. Decoupling delle Minacce: Il documento separa rigorosamente la minaccia alle firme (Shor) dalla minaccia al mining (Grover). Conclude che, sebbene le firme siano vulnerabili, il mining PoW non è significativamente minacciato dagli accelerazioni quantistiche a causa delle limitazioni quadratiche, degli elevati costi di tolleranza ai guasti e del muro di parallelizzazione della radice quadrata.
2. Forecast Temporale Bimodale: Inve la di una stima puntuale, il documento presenta una distribuzione bimodale per l'arrivo di un CRQC. Un modulo riflette i sondaggi tra esperti (centrato intorno al 2038–2040), e l'altro riflette i modelli fisici bottom-up (centrato intorno al 2052). Il forecast combinato assegna una probabilità di circa 1 su 6 per un CRQC entro il 2035, che sale a circa il 60% entro il 2050.
3. Stratificazione dell'Esposizione: Gli autori quantificano il pavimento del rischio "irreducibile". Per Bitcoin, stimano che ~2,3 milioni di BTC (12% dell'offerta) siano irreducibilmente a rischio (dormenti/persi), mentre ~3,7 milioni di BTC sono migrabili. Per Ethereum, stimano che il 50–65% dell'offerta si trovi in account "utilizzati" con chiavi rivelate, ma notano che ciò è ampiamente migrabile tramite l'account abstraction.
4. La Governance come Vincolo Determinante: Il documento sostiene che il collo di bottiglia primario non è la fattibilità tecnologica, ma la governance. Una migrazione tempestiva iniziando nel 2026 è proiettata per concludersi entro il 2029–2031, superando anche un 2035 ottimistico per l'arrivo di un CRQC. Il rischio di fallimento risiede nella paralisi della governance, non nell'incapacità di implementare la crittografia post-quantistica.

Risultati

• Gap dell'Hardware: Ad giugno 2026, il miglior hardware possiede ~1.000–1.200 qubit fisici e al massimo ~100 qubit logici. Rompere secp256k1 richiede ~1.200–2.330 qubit logici, implicando un divario di 400–500× anche contro le stime più aggressive, e ordini di grandezza superiori contro quelle più conservative.
• Sicurezza del Mining: Una singola macchina quantistica con una velocità di gate ottimistica di 100 GHz raggiungerebbe ~21 TH/s, ovvero circa un decimo di un singolo ASIC moderno. L'aggiustamento della difficoltà di rete neutralizzerebbe qualsiasi vantaggio di mining quantistico, rendendo trascurabile la minaccia del "miner quantistico".
• Distribuzione della Vulnerabilità:
  • Bitcoin: ~30% dell'offerta è quantisticamente esposta a riposo. Di questa, ~12% è irreducibile (dormente/persa), e ~19% è migrabile.
  • Ethereum: ~50–65% dell'offerta è esposta a riposo a causa del riutilizzo degli account, ma l'esposizione è strutturalmente più facile da risolvere tramite l'account abstraction (EIP-7702/8141) rispetto al modello UTXO di Bitcoin.
• Prontezza del Mercato: Un sondaggio sulle prime 20 criptovalute rivela che nessuna è pienamente post-quantistica. La prontezza è determinata dal progresso della migrazione e dai modelli di esposizione (UTXO vs. Account) piuttosto che dalla specifica curva utilizzata. Bitcoin ed Ethereum si trovano vicino all'estremità meno pronta delle principali chain, nonostante abbiano percorsi di migrazione concreti, a causa della complessità della governance.

Significatività e Rivendicazioni
Il documento afferma che la minaccia quantistica a Bitcoin ed Ethereum è reale, diffusa, ma limitata e sostanzialmente mitigabile.

• Mitigabilità: La minaccia è confinata alle firme digitali; i meccanismi di consenso sottostanti (PoW/PoS) e le funzioni hash rimangono sicuri.
• Azionabilità: Il "vincolo determinante" è la velocità della governance. Gli autori asseriscono che una migrazione tempestiva iniziando nel 2026 permette alle reti di completare gli upgrade anni prima che un CRQC sia probabilmente arrivato.
• Rischio Residuo: L'unica perdita non riparabile è il "core irreducibile" delle monete dormienti (es. Bitcoin dell'era di Satoshi), che costituisce una perdita limitata e caratterizzabile piuttosto che un collasso sistemico.
• Postura: Il documento sostiene una "urgenza preparatoria" piuttosto che un allarmismo. Conclude che, sebbene la tempistica si sia compressa a causa dei progressi algoritmici, la finestra per la migrazione rimane aperta, a condizione che le comunità decentralizzate coordinino efficacemente l'attivazione degli standard post-quantistici (come ML-DSA e SLH-DSA del NIST) prima che emerga un CRQC.