Il recente confronto tra sviluppatori e analisti ha riacceso il tema del rischio quantistico per Bitcoin, dividendo la comunità tra chi parla di FUD e chi invoca preparazione immediata.
Summary
Perché Gabor Gurbacs parla di pura FUD sul rischio quantistico?
Nel fine settimana, su X, Gabor Gurbacs, fondatore di Pointsville e advisor strategico di Tether, ha liquidato come allarmismo le crescenti paure sui computer quantistici. In più post, ha definito lo scenario di un “quantum doomsday” per Bitcoin “pura FUD”, sostenendo che le basi crittografiche del protocollo sono già robuste e adattabili a future innovazioni.
“C’è molto FUD sul rischio quantistico di Bitcoin”, ha scritto. Secondo lui, la sicurezza della rete si fonda su un meccanismo di hash proof-of-work, ancora resistente agli attacchi quantistici. “Il quantum non rompe Bitcoin”, ha sintetizzato.
Bitcoin è davvero “quantum-resilient by design”?
Gurbacs distingue nettamente tra il consenso basato su hash e lo schema di firma. Il livello di consenso, protetto da SHA-256, sarebbe già resistente, perché l’algoritmo di Grover offre solo un’accelerazione quadratica, insufficiente a compromettere il proof-of-work. La debolezza teorica principale riguarda invece le firme ECDSA, che potrebbero essere vulnerabili se i computer quantistici raggiungessero la scala per eseguire efficacemente l’algoritmo di Shor.
Tuttavia, a suo avviso, anche questa minaccia è attenuata dalle buone pratiche operative e dal design modulare del protocollo. Il bersaglio principale, le chiavi pubbliche ECDSA, è già parzialmente protetto dal non riutilizzo degli indirizzi e potrà essere sostituito con firme post-quantum.
Il riferimento agli standard NIST e alle firme post-quantum
Per rafforzare la sua tesi, Gurbacs richiama il nuovo standard FIPS-205 del NIST, che formalizza lo Stateless Hash-Based Digital Signature Algorithm (SLH-DSA). Questo schema, e varianti come SPHINCS+, potrebbero essere integrati nel livello delle firme senza toccare le regole monetarie o l’ammontare totale dei BTC.
“Il modello di sicurezza di lungo periodo è stato pensato per aggiornamenti in ambiente ostile”, ha affermato. Il consenso resta basato sugli hash, mentre lo strato delle firme è modulare. Inoltre, secondo lui, questo consente di adottare schemi post-quantum senza distorsioni per l’integrità economica della rete.
Quali dubbi sollevano gli esperti di sicurezza crypto?
Le affermazioni di Gurbacs hanno innescato reazioni immediate da parte di veterani della sicurezza. Tra loro, il cofondatore di Messari Dan McArdle e Graeme Moore di Project Eleven, entrambi convinti che il consulente di Tether stia sottostimando complessità e tempistiche di una transizione post-quantum a livello di rete.
McArdle concorda sul fatto che il mining e il proof-of-work non siano sotto minaccia immediata. Tuttavia, individua tre criticità strutturali: gli output P2PK legacy con chiavi pubbliche già esposte, il rischio di “mempool sniping” (furto durante la propagazione delle transazioni) e la dimensione maggiore delle firme post-quantum, che potrebbe spingere verso un aumento controverso della dimensione dei blocchi.
Perché alcuni chiedono preparazione immediata?
“Considerato tutto ciò”, osserva McArdle, “è meglio prendere sul serio la robustezza quantistica già ora”. A suo giudizio, il tema non può essere rinviato fino a quando la minaccia diventerà evidente. In contrasto, Gurbacs definisce questi rischi “reali ma remoti” e sottolinea che gli indirizzi P2PK ancora esistenti sono “pochi e sparsi”.
Inoltre, ritiene che per attacchi al mempool servirebbero computer quantistici “incredibilmente veloci e stabili”, ben oltre le capacità attuali. Aggiunge che la rete potrebbe gestire firme più pesanti o persino un aumento del blocksize molto prima che si materializzi un pericolo realistico.
Il nodo della migrazione post-quantum e della governance
Nel corso del dibattito, Graeme Moore insiste che la vera minaccia è la compiacenza. Citando le ricerche di Project Eleven, sostiene che una migrazione coordinata a schemi post-quantum richiederebbe almeno sei mesi anche in uno scenario ideale. A suo avviso, potremmo vedere un computer quantistico crittograficamente rilevante (CRQC) “nel giro di un paio d’anni”.
Detto ciò, Moore solleva un altro problema: la capacità della comunità di convergere su standard approvati dal NIST, come SLH-DSA o ML-DSA.
Ricorda infatti che Satoshi Nakamoto evitò deliberatamente le curve NIST per ragioni di sfiducia istituzionale, il che potrebbe complicare un consenso rapido su nuovi algoritmi.
Cosa succede alle coin non migrate e ai wallet perduti?
Moore apre anche il capitolo più delicato: il destino delle monete non migrate o “perdute” in caso di transizione. L’interrogativo comprende anche le prime coin attribuite a Satoshi. “Sei favorevole a congelare le coin di Satoshi? Perché sì o perché no?”, domanda direttamente a Gurbacs.
Quest’ultimo ribatte che le scelte di governance devono essere applicate in modo uniforme a tutte le chiavi non migrate, rifiutando ogni “regola speciale”. Inoltre, ripete che la minaccia non è esistenziale nel breve termine.
A suo dire, saranno prima a cedere i sistemi crittografici più deboli, offrendo anni di preavviso per selezionare gli schemi, implementarli, testarli e consentire una rotazione graduale prima del vero “momento critico”.
Gli indicatori di un vero collasso crittografico
Moore replica sostenendo che “siamo già al momento critico”. Gurbacs non è d’accordo. Se esistesse davvero un CRQC in grado di spezzare secp256k1, argomenta, i primi segnali non apparirebbero su Bitcoin.
Secondo lui, le prime avvisaglie colpirebbero TLS, PGP, le infrastrutture PKI governative e gli schemi ECC più deboli, molto prima di arrivare alla principale criptovaluta. Finora, osserva, non si è visto nulla di simile. Per il momento, considera l’informatica quantistica una sfida di coordinamento di lungo termine, non l’innesco di un collasso imminente.
Il supporto di Adam Back e l’idea del “quantum ready”
Le posizioni di Gurbacs hanno ricevuto l’appoggio di un nome storico come Adam Back. In un post su X, il CEO di Blockstream ha scritto che Bitcoin può semplicemente aggiungere un nuovo tipo di firma e creare un’alternativa “quantum ready” come metodo di spesa in un taproot leaf, sotto taproot/schnorr.
In questo modo, secondo Back, la rete può prepararsi senza pagare subito il costo delle firme di dimensioni maggiori, rinviandolo a quando diventerà davvero rilevante. Ricorda inoltre che il NIST ha standardizzato SLH-DSA soltanto nell’agosto 2024, lasciando intendere che lo spazio post-quantum è ancora in fase di consolidamento.
Aggiunge poi che, se venissero sviluppati computer quantistici effettivamente crittograficamente rilevanti, gli schemi di firma schnorr ed ECDSA verrebbero probabilmente deprecati e resi, di fatto, non spendibili. A suo parere, questa soglia è “molto più lontana del 2030”, lasciando tempo sufficiente agli utenti per migrare con calma verso soluzioni pronte per l’era quantistica.
Uno sguardo ai mercati e alle prossime mosse
Nel complesso, il confronto tra esperti mostra una comunità divisa tra chi teme che la finestra per agire si stia chiudendo e chi ritiene eccessivo il panico. Per i secondi, l’architettura di Bitcoin resta adattabile, conservativa e matematicamente solida, mentre per i primi la sfida è soprattutto organizzativa e di governance.
Al momento della stesura, BTC scambia intorno a 85.984 dollari, segno che i mercati non hanno ancora prezzato un imminente shock quantistico. Detto ciò, gli sviluppatori dovranno continuare a lavorare su standard post-quantum e piani di migrazione, per garantire che il tema resti sotto controllo prima che la tecnologia renda il dibattito più urgente.
