量子コンピュータでBitcoinブロックチェーンの暗号を破るのに必要な計算資源は、これまで想定されていたより小さい可能性がある。Google Quantum AIは、BitcoinやEthereumで使われる暗号方式の解読に必要な物理キュービット数が、数百万個ではなく50万個未満に収まる可能性があるとの試算を示した。

この内容をCoinDeskが3月31日（現地時間）に報じた。Google Quantum AIはブログと新たなホワイトペーパーで、量子攻撃に必要な規模を再評価した結果を公表した。Googleはこれまで、実用的な量子システムが現実味を帯びる時期を2029年の「Q-Day」と位置付け、それまでに暗号移行を進める必要があるとしてきた。今回の研究は、攻撃に必要な資源がさらに小さくなる可能性を示した点で、量子リスクの現実化時期を巡る警戒感を一段と強める内容となっている。

研究チームは2つの攻撃シナリオを提示し、いずれも約1200〜1450個の高品質キュービットを必要とするとした。従来の推定より小さい規模で成立し得ることから、現在の技術水準と実際の攻撃可能性との隔たりが、市場の想定より早く縮まる可能性もあるとみられる。

ホワイトペーパーが特に重視したのは、古いウォレットを狙うケースではなく、送金発生時を突く「リアルタイム攻撃」だ。Bitcoinでは送金時に公開鍵が一時的に露出する。この間に高速な量子コンピュータで秘密鍵を導出できれば、資金を奪われる可能性があるという。

Googleのモデルでは、攻撃者が事前に一部の計算を済ませていれば、取引発生から約9分で攻撃を完了できるとしている。Bitcoinは通常、取引承認まで約10分かかるため、この条件では攻撃側の取引が元の送金より先に処理される確率は約41%になるという。一方、Ethereumなどは取引確定がより速く、この特定シナリオに対するリスクは相対的に小さい可能性があると説明した。

影響範囲の試算も示した。公開鍵が何らかの形で露出したウォレットには、すでに約690万BTCが存在し、総供給量の約3分の1に相当する可能性があるという。これには、ネットワーク初期の約170万BTCに加え、アドレス再利用による分も含まれる。CoinSharesが過去に、市場を大きく揺るがしかねない規模として示した約1万200BTCを大きく上回る水準だ。

研究チームは、Bitcoinが2021年に実施したTaprootアップグレードにも言及した。Taprootはプライバシーと効率を改善した一方で、公開鍵がブロックチェーン上に（従来より）現れやすくなる仕様となり、従来のアドレス形式が持っていた保護層の1つが失われたと説明している。その結果、将来的に量子攻撃にさらされるウォレットが増える可能性があるとしている。

一方でGoogleは、機微なセキュリティ研究の公表方法も見直しているとした。攻撃手順を段階的に公開する代わりに、ゼロ知識証明を活用し、具体的な手法を明かさずに結果の正確性を示したという。Googleが今回示したのは、「量子コンピュータが今すぐ暗号資産を破る」という話ではない。想定より短い時間軸で量子リスクが現実味を帯び、影響範囲も広がる可能性があるという点だ。