На этой неделе крипто-сообщество ведёт ожесточённые споры вокруг BIP‑0361 — предложения, которое может изменить фундаментальные правила владения биткоином. Поводом для обсуждения стала публикация в конце марта технической белой книги Google Quantum AI, которая радикально сдвинула оценку сроков появления квантовой угрозы.
Мы изучили техническую документацию, историю разработки и позиции ключевых фигур, чтобы разобраться в сути происходящего.
BIP‑0360 и технология P2MR: технический фундамент
Угроза: атаки длительной экспозиции
Согласно анализу исследователей, под угрозой атаки со стороны квантовых вычислений сегодня находятся около трети циркулирующего предложения биткоина. Речь идёт о монетах, которые хранятся в адресах, у которых публичный ключ раскрыт прямо в блокчейне — в устаревших адресах P2PK (применявшихся на этапе тестирования блокчейна), либо при их повторном использовании. При этом обновление Taproot, предназначенное для повышения приватности и эффективности, теперь делает публичные ключи видимыми по умолчанию в выходах транзакций, что расширяет список потенциальных жертв потенциальной квантовой атаки.
BIP‑0360 вводит понятие для постоянно присутствующего вектора атак — long‑exposure attack. Так охарактеризовали атаки, при которой злоумышленник с криптографически значимым квантовым компьютером (CRQC) восстанавливает приватный ключ из публичного ключа, уже находящегося в блокчейне. В отличие от short‑exposure угроз, когда атака на транзакцию происходит на этапе нахождения её в мемпуле и требует срабатывания за несколько минут, long‑exposure угрозы не ограничены по времени и является более желанной целью злоумышленников.
Как работает P2MR
P2MR (Pay‑to‑Merkle‑Root) — это новый тип выхода, предложенный в BIP‑0360. Ключевое отличие от P2TR (Taproot) это полное удаление информации из транзакции о ключевом пути (key‑path spend).
В P2TR выход коммитится к tweaked public key Q = P + H(P || m)G, где P — внутренний публичный ключ, m — корень дерева скриптов. Key‑path позволяет потратить выход простой подписью Шнорра, не раскрывая существования скриптового дерева. Однако сам публичный ключ Q остаётся в блокчейне — и именно он становится мишенью для квантовой атаки.
P2MR заменяет эту конструкцию: выход коммитится напрямую к корню дерева скриптов, без включения публичного ключа. При трате пользователь обязан:
-
Раскрыть один из скриптов дерева (например, условие мультиподписи или временной блокировки).
-
Предоставить доказательство Меркла (Merkle proof) — хеши соседних ветвей, подтверждающие, что скрипт действительно является частью закоммиченного дерева.
-
Выполнить условия скрипта (например, предоставить подпись, соответствующую публичному ключу, указанному внутри скрипта).
Критически важно: публичный ключ, используемый для проверки подписи, никогда не появляется в самом выходе. Он раскрывается только в момент траты — и только для того скрипта, который реально исполняется. Это устраняет возможность проведения атаки с длительной экспозицией.
Ключевое отличие BIP‑0341 и BIP‑0360
Техническая реализация различия
В BIP‑0341 (Taproot) выходной скрипт определяется как OP_1 <32-byte push>, где 32‑байтовое значение — это output_key (tweaked public key). Правила траты допускают два пути:
-
Key‑path: предоставить действительную подпись Шнорра дляoutput_key. -
Script‑path: раскрыть скрипт, доказать его принадлежность дереву через доказательство Меркла (Merkle proof) и выполнить скрипт.
В BIP‑0360 (P2MR) выходной скрипт также использует SegWit первой версии, но 32‑байтовое значение — это исключительно корень дерева скриптов. Валидация key‑path полностью исключена из консенсусных правил для этого типа выхода.
Почему разработчики BIP‑0341 сразу не применили тот же приём?
Taproot разрабатывался в 2019–2020 годах, когда квантовая угроза воспринималась скорее как гипотетическая, а приоритетами были приватность (транзакции не раскрывающие структуру) и эффективность (небольшой размер подписи).
Сокрытие key‑path в 2020 году лишило бы Taproot его главных преимуществ, и создало бы проблемы на пути массового принятия технологии.
Компромиссы P2MR
|
Параметр |
P2TR (key‑path) |
P2MR |
|
Размер |
66 байт |
103 байта |
|
Приватность |
Высокая ( |
Снижена (раскрывается факт использования скриптового дерева) |
|
Уязвимость перед long‑exposure attack |
Да |
Нет |
Разработчики сознательно пошли на увеличение размера транзакций, а следовательно и комиссий, чтобы устранить опасность атак с длительной экспозицией.
BIP‑0361: трёхфазная миграция
И если возможное внедрение P2MR не вызвало серьёзных опасений со стороны сообщества, то предложенный в BIP‑0361 принудительный график отказа от квантово‑уязвимых типов выходов уже вызвал бурные обсуждения.
|
Фаза |
Что происходит |
Актор |
Срок |
|
A |
Разрешены переводы со старых (legacy) адресов только на квантово-устойчивые адреса |
Все, кто владеет или принимает BTC |
160 000 блоков после активации BIP-0361 (~3 года) |
|
B |
На заранее определённой высоте блока узлы отклоняют транзакции, использующие ключи ECDSA/Schnorr |
Все, кто владеет или принимает BTC |
Через 2 года после активации Фазы A |
|
C |
Пользователи с «замороженными» средствами, уязвимыми для квантовых атак, и seed-фразой HD-кошелька могут создать квантово-устойчивое доказательство для восстановления |
Пользователи, не успевшие перевести средства до Фазы B |
Будет определено в зависимости от исследований, спроса и консенсуса |
Источник: BIP‑0361
Фаза C описана как «требующая дальнейших исследований», ведь без неё предложенное улучшение в некоторых случаях превращается в безвозвратную конфискацию средств.
Стоит заметить, что на момент публикации этого материала предложение BIP‑0361 находится в статусе Draft (черновик). Никаких решений о его реализации не принято, а сроки активации пока не установлены. Как охарактеризовал предложение один из его разработчиков Джеймсон Лопп, сегодня это «грубый набросок плана на случай непредвиденных обстоятельств».
Хронология событий:
|
Дата |
Событие |
Документ |
|
19 января 2020 |
Представлен BIP‑0341 (Taproot), авторы: Pieter Wuille, Jonas Nick, Anthony Towns |
|
|
12 ноября 2021 |
Taproot активирован в основной сети Bitcoin (блок 709 632) |
— |
|
18 декабря 2024 |
Создан BIP‑0360 (первоначально P2QRH, позже переименован в P2MR), автор: Hunter Beast |
|
|
11 февраля 2026 |
BIP‑0360 объединён с официальным репозиторием |
|
|
14 апреля 2026 |
Представлен BIP‑0361, авторы: Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers |
после добавления соавторов Ethan Heilman и Isabel Foxen DukeАльтернативные взгляды на риски и мнения экспертов
Известный биткоин‑евангелист Джимми Сонг выразил свой скептицизм в соцсети X:
А основатель TFTC Марти Бент в более жёсткой форме назвал предложение «абсурдным».
Тогда как основатель Cardano Чарльз Хоскинсон в более конструктивной форме выдвинул два фундаментальных технических возражения:
-
BIP‑0361 — это хард‑форк, а не софт‑форк
Хоскинсон утверждает, что инвалидация существующих схем подписи (ECDSA/Schnorr) заставляет старые узлы прекращать работу, если они не обновятся. Это противоречит определению софт‑форка: «чтобы реально сделать это, нужен хард‑форк».
Авторы BIP‑0361 действительно признают эту проблему, отмечая, что если Фаза C не будет активирована вместе с Фазой B, то, вероятно, потребуется хард‑форк блокчейна.
-
ZK‑восстановление не спасёт ранние монеты
Примерно 1,7 млн BTC (включая ~1,1 млн BTC, приписываемых Сатоши) были созданы до появления BIP‑32 (иерархические детерминированные кошельки) и BIP‑39 (мнемонические фразы). Раннее программное обеспечение Bitcoin использовало локальный пул ключей без детерминированного seed. Как следствие, будет невозможно создать подтверждение владения с нулевым разглашением seed‑фразой для таких монет.
В тексте улучшения также упоминается это принципиальное ограничение: «невозможно построить доказательство владения HD‑кошельком для UTXO, созданных до появления BIP‑32».
Примечательно и то, что активный разработчик Bitcoin core Марк Эрхардт (известный как Murch), который ранее закоммитил улучшение BIP‑0360, назвал план по его внедрению (BIP‑0361) «авторитарным и конфискационным».
Вице-президент по маркетингу продукта в Unchained (предоставляют финансовые услуги для биткоин-инвесторов) и по совместительству член совета директоров и консультантов фонда Bitcoin Scholars Fund Фил Гейгер лаконично сформулировал всю суть большей части критики фразой:
«Мы украдём деньги людей, чтобы предотвратить кражу их денег»
Генеральный директор Blockstream Адам Бэк 16 апреля 2026 года также выступил на Paris Blockchain Week с альтернативной позицией.
Он подчеркнул, что текущие квантовые компьютеры остаются «по сути лабораторными экспериментами», а прогресс в этой области за 25 лет его наблюдений был «постепенным». Бэк считает, что Taproot (BIP‑0341) уже спроектирован достаточно гибко для добавления новых методов подписи без нарушения работы существующих пользователей.
Ключевой контраргумент Бэка касается способности сообщества к оперативной координации, когда любые обнаруженные баги исправляются сообществом в течение нескольких часов. Он считает, что разработчики смогут быстро решить проблему при возникновении реальной угрозы.
В качестве дополнения к озвученному Бэком стоит упомянуть план BitMEX Research, который описывает создание «канареечной» системы. Принцип работы которой заключается в размещении небольшого количества биткоинов на специальном адресе «signal vault», который может быть взломан только злоумышленником, обладающим квантовыми способностями. Любые траты с этого адреса будут являться публичным доказательством того, что угроза уже существует, и автоматически запустят блокировку старых кошельков в сети.
Такой механизм призван заменить фиксированную по времени заморозку, сохраняя устойчивость блокчейна биткоина к цензуре и снижая потенциальные системные сбои, хотя это и сопряжено с повышением сложности реализации.
Заключение
Нашумевшее улучшение поднимает фундаментальный вопрос: может ли протокол ограничить право на трату средств ради коллективной безопасности? Технически P2MR (BIP‑0360) предлагает довольно элегантное, хоть и не самое лучшее, но решение для будущих переводов, но принудительная миграция создаёт вопиющий прецедент по ограничению доступа для ряда пользователей к своим монетам.
Столь спорное обновление может привести к хард-форку — разделению блокчейна на две независимые ветки, что подорвёт доверие к сети и создаст временный хаос на рынке.
Кроме того, принудительное замораживание средств может противоречить законам о собственности в ряде юрисдикций, создавая риски исков к майнерам, а в некоторых случаях к любым владельцам полных нод и даже крипто-биржам.
Учитывая поляризацию сообщества, вероятность принятия BIP‑0361 в текущем виде крайне низка. Поэтому вопреки поднятой в СМИ шумихе нет необходимости срочно бежать и спасать свои биткоины от квантовых компьютеров. Скорее всего, мы увидим целую серию компромиссных контрпредложений в ближайшие месяцы.
ссылка на оригинал статьи https://habr.com/ru/articles/1024840/