Michael Saylor afferma che il quantum “rafforzerà” Bitcoin, ma ignora i 1,7 milioni di monete già a rischio

Michael Saylor ha espresso una posizione tipicamente audace il 16 dicembre riguardo a Bitcoin e al quantum leap:

“Il Quantum Leap di Bitcoin: Il quantum computing non romperà Bitcoin—lo rafforzerà. Gli aggiornamenti della rete, le monete attive migrano, le monete perse restano congelate. La sicurezza aumenta. L’offerta diminuisce. Bitcoin diventa più forte.”

Questa affermazione cattura la visione ottimistica per il futuro post-quantum di Bitcoin. Tuttavia, la documentazione tecnica rivela un quadro più complesso, dove fisica, governance e tempistiche determinano se la transizione rafforzerà la rete o scatenerà una crisi.

Il quantum non romperà Bitcoin (se la migrazione avviene in tempo)

L’affermazione centrale di Saylor si basa sull’idea di una verità direzionale. La principale vulnerabilità quantistica di Bitcoin risiede nelle sue firme digitali, non nel proof-of-work.

La rete utilizza ECDSA e Schnorr su secp256k1. L’algoritmo di Shor può derivare le chiavi private dalle chiavi pubbliche una volta che un computer quantistico tollerante agli errori raggiunge circa 2.000-4.000 qubit logici.

I dispositivi attuali operano ordini di grandezza al di sotto di questa soglia, il che pone i computer quantistici rilevanti dal punto di vista crittografico ad almeno un decennio di distanza.

NIST ha già finalizzato gli strumenti difensivi di cui Bitcoin avrebbe bisogno. L’agenzia ha pubblicato due standard di firme digitali post-quantum, ML-DSA (Dilithium) e SLH-DSA (SPHINCS+), come FIPS 204 e 205, mentre FN-DSA (Falcon) sta progredendo come FIPS 206.

Questi schemi resistono agli attacchi quantistici e potrebbero essere integrati in Bitcoin tramite nuovi tipi di output o firme ibride. Bitcoin Optech monitora proposte attive per l’aggregazione di firme post-quantum e costruzioni basate su Taproot, con esperimenti sulle prestazioni che dimostrano che SLH-DSA può funzionare su carichi di lavoro simili a quelli di Bitcoin.

Ciò che manca nell’inquadramento di Saylor è il costo. Una ricerca del Journal of British Blockchain Association sostiene che una migrazione realistica rappresenta un downgrade difensivo: la sicurezza migliora contro le minacce quantistiche, ma la capacità dei blocchi potrebbe ridursi di circa la metà.

I costi dei nodi aumentano perché le firme post-quantum attuali sono più grandi e più costose da verificare. Le commissioni di transazione aumentano poiché ogni firma consuma più spazio nel blocco.

La parte difficile è la governance. Bitcoin non ha un’autorità centrale che possa imporre aggiornamenti. Un soft fork post-quantum richiederebbe un consenso schiacciante tra sviluppatori, miner, exchange e grandi detentori, tutti pronti ad agire prima che appaia un computer quantistico rilevante dal punto di vista crittografico.

L’analisi recente di a16z sottolinea che il coordinamento e le tempistiche rappresentano rischi maggiori rispetto alla crittografia stessa.

Le monete esposte diventano bersagli, non asset congelati

L’affermazione di Saylor secondo cui “le monete attive migrano, le monete perse restano congelate” semplifica eccessivamente la realtà on-chain. La vulnerabilità dipende interamente dal tipo di indirizzo e dal fatto che la chiave pubblica sia già visibile.

I primi output pay-to-public-key collocano direttamente la chiave pubblica sulla blockchain, esponendola in modo permanente.

Gli indirizzi standard P2PKH e SegWit P2WPKH nascondono la chiave pubblica dietro hash fino a quando le monete non vengono spese, momento in cui la chiave diventa visibile e vulnerabile agli attacchi quantistici.

Gli output Taproot P2TR codificano una chiave pubblica nell’output fin dal primo giorno, rendendo quegli UTXO esposti anche prima che vengano mossi.

Le analisi stimano che circa il 25% di tutti i Bitcoin sia già in output con chiavi pubbliche rivelate. Le analisi di Deloitte e recenti studi focalizzati su Bitcoin convergono su questa cifra, includendo grandi saldi P2PK iniziali, attività di custodi e l’uso moderno di Taproot.

La ricerca on-chain suggerisce che circa 1,7 milioni di BTC in output P2PK dell’“era Satoshi” e centinaia di migliaia in output Taproot con chiavi esposte siano a rischio.

Alcune monete “perse” non sono congelate, ma semplicemente senza proprietario e potrebbero diventare una ricompensa per il primo attaccante dotato di una macchina adeguata.

Le monete che non hanno mai rivelato una chiave pubblica (P2PKH o P2WPKH monouso) sono protette da indirizzi hashati, per i quali l’algoritmo di Grover offre solo un’accelerazione quadratica, che può essere compensata con aggiustamenti dei parametri.

La parte più a rischio dell’offerta è costituita proprio dalle monete dormienti bloccate a chiavi pubbliche già esposte.

Gli effetti sull’offerta sono incerti, non automatici

L’affermazione di Saylor secondo cui “la sicurezza aumenta, l’offerta diminuisce” si divide nettamente tra meccanica e speculazione.

Le firme post-quantum, come ML-DSA e SLH-DSA, sono progettate per rimanere sicure contro grandi computer quantistici tolleranti agli errori e ora fanno parte degli standard ufficiali.

Le idee di migrazione specifiche per Bitcoin includono output ibridi che richiedono sia firme classiche che post-quantum, oltre a proposte di aggregazione delle firme per ridurre la congestione della catena.

Ma le dinamiche dell’offerta non sono automatiche, ed esistono tre scenari concorrenti.

Il primo è la “riduzione dell’offerta tramite abbandono”, dove le monete in output vulnerabili i cui proprietari non aggiornano mai vengono considerate perse o esplicitamente inserite in una blacklist. Il secondo è la “distorsione dell’offerta tramite furto”, dove attaccanti quantistici svuotano i wallet esposti.

Lo scenario rimanente è il “panico prima della fisica”, dove la percezione di una capacità quantistica imminente scatena vendite o fork della catena prima che esista una macchina reale.

Nessuno di questi garantisce una riduzione netta dell’offerta circolante che sia chiaramente rialzista. Potrebbero altrettanto facilmente produrre una rivalutazione caotica, fork controversi e un’ondata una tantum di attacchi ai wallet legacy.

Se l’offerta “diminuisce” dipende da scelte politiche, tassi di adozione e capacità degli attaccanti.
Il proof-of-work basato su SHA-256 è relativamente robusto perché l’algoritmo di Grover offre solo un’accelerazione quadratica.

Il rischio più sottile si trova nel mempool, dove una transazione che spende da un indirizzo con chiave hashata rivela la sua chiave pubblica mentre attende di essere minata.

Analisi recenti descrivono un ipotetico attacco “sign-and-steal” in cui un attaccante quantistico osserva il mempool, recupera rapidamente una chiave privata e compete con una transazione conflittuale offrendo una commissione più alta.

Cosa dice effettivamente la matematica

La fisica e la roadmap degli standard concordano sul fatto che il quantum non romperà automaticamente Bitcoin da un giorno all’altro.

Esiste una finestra, forse di un decennio o più, per una migrazione post-quantum deliberata. Tuttavia, quella migrazione è costosa e politicamente difficile, e una quota non trascurabile dell’offerta attuale è già in output esposti al quantum.

Saylor ha ragione in linea di principio nel dire che Bitcoin può rafforzarsi. La rete può adottare firme post-quantum, aggiornare gli output vulnerabili ed emergere con garanzie crittografiche più forti.

Tuttavia, l’affermazione che “le monete perse restano congelate” e “l’offerta diminuisce” presuppone una transizione pulita in cui la governance collabora, i proprietari migrano nel tempo e gli attaccanti non sfruttano il ritardo.

Bitcoin può uscirne più forte, con firme aggiornate e forse una parte dell’offerta effettivamente bruciata, ma solo se sviluppatori e grandi detentori si muovono presto, coordinano la governance e gestiscono la transizione senza scatenare panico o furti su larga scala.

Se Bitcoin diventerà più forte dipende meno dalle tempistiche delle capacità quantistiche che dalla capacità della rete di eseguire un aggiornamento disordinato, costoso e politicamente complesso prima che la fisica raggiunga la tecnologia. La fiducia di Saylor è una scommessa sul coordinamento, non sulla crittografia.

L’articolo Michael Saylor says quantum will “harden” Bitcoin, but he’s ignoring the 1.7 million coins already at risk è apparso per la prima volta su CryptoSlate.