マイケル・セイラーは量子コンピュータがBitcoinを「強化する」と述べているが、すでにリスクにさらされている170万枚のコインを無視している。

Michael Saylorは12月16日、Bitcoinと量子飛躍について、彼らしい大胆な見解を示しました：

「The Bitcoin Quantum Leap: Quantum computing won't break Bitcoin—it will harden it. The network upgrades, active coins migrate, lost coins stay frozen. Security goes up. Supply comes down. Bitcoin grows stronger.」

この発言は、Bitcoinのポスト量子時代に対する楽観的な見方を表現しています。しかし、技術的な記録を見ると、物理学、ガバナンス、タイミングがネットワークの強化か危機の引き金になるかを左右する、より複雑な現実が浮かび上がります。

量子コンピュータは（移行が間に合えば）Bitcoinを壊さない

Saylorの主張の核心は、方向性のある真実という概念に基づいています。Bitcoinの主な量子的脆弱性はデジタル署名にあり、proof-of-workにはありません。

ネットワークはsecp256k1上のECDSAおよびSchnorrを使用しています。Shorのアルゴリズムは、フォールトトレラントな量子コンピュータが約2,000～4,000論理量子ビットに到達した時点で公開鍵から秘密鍵を導出できます。

現在のデバイスはこの閾値よりも桁違いに低い性能で動作しており、暗号的に意味のある量子コンピュータの登場は少なくとも10年先と見られています。

NISTはすでにBitcoinが必要とする防御ツールを確定しています。同機関は、ML-DSA（Dilithium）およびSLH-DSA（SPHINCS+）をFIPS 204および205として、FN-DSA（Falcon）をFIPS 206として進行中の、2つのポスト量子デジタル署名標準を発表しました。

これらの方式は量子攻撃に耐性があり、新しい出力タイプやハイブリッド署名を通じてBitcoinに統合可能です。Bitcoin Optechは、ポスト量子署名集約やTaprootベースの構成に関する提案を追跡しており、パフォーマンス実験ではSLH-DSAがBitcoinのようなワークロードで機能することが示されています。

Saylorの枠組みが省略しているのはコストです。Journal of British Blockchain Associationの研究によれば、現実的な移行は防御力の低下を意味します：量子脅威に対するセキュリティは向上しますが、ブロック容量は約半分に減少する可能性があります。

ノードのコストは、現在のポスト量子署名が大きく、検証コストも高いため上昇します。各署名がより多くのブロックスペースを消費するため、トランザクション手数料も上昇します。

最も難しいのはガバナンスです。Bitcoinにはアップグレードを義務付ける中央権限がありません。ポスト量子ソフトフォークには、開発者、マイナー、取引所、大口保有者の圧倒的な合意が必要であり、暗号的に意味のある量子コンピュータが現れる前に全員が動く必要があります。

A16zの最近の分析は、調整とタイミングが暗号技術そのものよりも大きなリスクであることを強調しています。

公開済みコインは凍結資産ではなく標的となる

Saylorの「アクティブなコインは移行し、失われたコインは凍結される」という主張は、オンチェーンの現実を単純化しすぎています。脆弱性は完全にアドレスタイプと公開鍵がすでに可視化されているかどうかに依存します。

初期のpay-to-public-key出力は、生の公開鍵を直接オンチェーンに配置し、永久に公開状態にします。

標準のP2PKHおよびSegWit P2WPKHアドレスは、コインが使用されるまで公開鍵をハッシュの背後に隠しますが、使用時には鍵が可視化され、量子的に盗まれる可能性があります。

Taproot P2TR出力は、初日から出力に公開鍵をエンコードしており、これらのUTXOは移動前から公開状態です。

分析によると、全Bitcoinの約25%がすでに公開鍵が公開された出力に存在しています。Deloitteの内訳や最近のBitcoin関連の研究もこの数字で一致しており、大量の初期P2PK残高、カストディアンの活動、現代のTaproot利用を含みます。

オンチェーン調査によれば、「Satoshi時代」のP2PK出力に約170万BTC、さらに数十万BTCが公開鍵が公開されたTaproot出力に存在します。

一部の「失われた」コインは凍結されているのではなく、所有者不在であり、最初に能力のあるマシンを持つ攻撃者の賞金となる可能性があります。

一度も公開鍵を公開していないコイン（単回使用のP2PKHまたはP2WPKH）は、Groverのアルゴリズムが平方根的な高速化しか提供しないハッシュアドレスによって保護されており、パラメータ調整で補うことができます。

最もリスクが高い供給部分は、すでに公開された公開鍵にロックされた休眠コインです。

供給への影響は自動的ではなく、不確実

Saylorの「セキュリティが向上し、供給が減少する」という主張は、メカニズムと推測に明確に分かれます。

ML-DSAやSLH-DSAなどのポスト量子署名は、大規模でフォールトトレラントな量子コンピュータに対して安全であるよう設計されており、現在は公式標準の一部です。

Bitcoin特有の移行案には、古典的署名とポスト量子署名の両方を必要とするハイブリッド出力や、チェーンの膨張を抑える署名集約提案などがあります。

しかし、供給のダイナミクスは自動的ではなく、3つの競合するシナリオが存在します。

1つ目は「放棄による供給縮小」で、脆弱な出力にあるコインの所有者がアップグレードしない場合、それらが失われたものとして扱われるか、明示的にブロックリストに載せられるケースです。2つ目は「盗難による供給歪み」で、量子攻撃者が公開ウォレットから資金を抜き取るケースです。

残るシナリオは「物理学より先のパニック」で、量子能力の出現が迫っているという認識が、実際にマシンが存在する前に売りやチェーン分岐を引き起こすケースです。

これらのいずれも、循環供給の純減を保証するものではなく、むしろ混乱した再価格付け、対立的なフォーク、レガシーウォレットへの一時的な攻撃の波を引き起こす可能性があります。

供給が「減少する」かどうかは、政策選択、普及率、攻撃者の能力にかかっています。
SHA-256ベースのproof-of-workは、Groverのアルゴリズムが二次的な高速化しかもたらさないため、比較的堅牢です。

より微妙なリスクはメンプールにあります。ハッシュキーアドレスから支出するトランザクションは、マイニングされるまでの間に公開鍵を公開します。

最近の分析では、量子攻撃者がメンプールを監視し、素早く秘密鍵を回収し、より高い手数料で競合トランザクションを競争させるという仮想的な「sign-and-steal」攻撃が記述されています。

実際に数学が示すもの

物理学と標準化のロードマップは、量子コンピュータが一夜にして自動的にBitcoinを壊すことはないと一致しています。

意図的なポスト量子移行のためのウィンドウは、おそらく10年以上存在します。しかし、その移行はコストが高く、政治的にも困難であり、現在の供給の無視できない割合がすでに量子的に公開された出力にあります。

Saylorは、Bitcoinが強化できるという方向性では正しいです。ネットワークはポスト量子署名を採用し、脆弱な出力をアップグレードし、より強力な暗号保証を持って生まれ変わることができます。

しかし、「失われたコインは凍結される」「供給が減少する」という主張は、ガバナンスが協力し、所有者が時間をかけて移行し、攻撃者が遅れを悪用しないというクリーンな移行を前提としています。

Bitcoinは、署名のアップグレードと、場合によっては実質的に焼却された供給によって、より強くなる可能性がありますが、それは開発者と大口保有者が早期に動き、ガバナンスを調整し、パニックや大規模な盗難を引き起こさずに移行を管理できた場合に限られます。

Bitcoinが強くなるかどうかは、量子能力のタイムラインよりも、ネットワークが物理学が追いつく前に混乱し高コストで政治的に困難なアップグレードを実行できるかどうかにかかっています。Saylorの自信は暗号技術ではなく、調整への賭けです。

この記事「Michael Saylor says quantum will “harden” Bitcoin, but he’s ignoring the 1.7 million coins already at risk」はCryptoSlateに最初に掲載されました。