Il premio Q-Day da 1 BTC di Project Eleven era stato concepito per alimentare il dibattito sul rischio quantistico per Bitcoin e altre criptovalute protette da ECC. Invece, una dura critica da parte del ricercatore quantistico di Google, Craig Gidney, ha trasformato la competizione stessa nel fulcro della notizia.
In un post del blog del 25 aprile intitolato "Il prevedibile fallimento del QDay Prize", Gidney, ricercatore scientifico del team di calcolo quantistico di Google, ha sostenuto che la soluzione vincitrice non dimostrava in modo significativo progressi verso un attacco quantistico crittograficamente rilevante. La sua affermazione centrale era diretta: il concorso era strutturato attorno a un parametro di riferimento che gli attuali computer quantistici sono inadatti a misurare.
Il dibattito sulla minaccia quantistica di Bitcoin esplode
Il giorno precedente, Project Eleven aveva annunciato di aver assegnato il premio Q-Day a Giancarlo Lelli per aver decifrato una chiave a curva ellittica a 15 bit su hardware quantistico accessibile al pubblico. Il gruppo ha descritto il risultato come "il più grande attacco quantistico alla crittografia a curva ellittica fino ad oggi" e ha affermato che rappresentava un salto di 512 volte rispetto a una precedente dimostrazione pubblica a 6 bit.
Per i mercati delle criptovalute, il modo in cui i dati sono stati presentati era fondamentale. Project Eleven ha esplicitamente collegato il risultato alle ipotesi di sicurezza a lungo termine alla base di Bitcoin, Ethereum e di oltre 2.500 miliardi di dollari in asset digitali protetti da ECC.
Gidney ha però sostenuto che il test potrebbe aver rivelato risultati ben meno significativi di quanto promesso. Gidney ha affermato di essere stato invitato l'anno scorso a partecipare al Q-Day Prize, ma di aver rifiutato perché riteneva che la premessa fosse errata. La sua prima obiezione riguardava il fatto che l'algoritmo di Shor richiede la correzione degli errori quantistici per le istanze crittograficamente significative.
"Gli attuali computer quantistici presentano un errore dell'ordine di uno ogni mille porte logiche, ma le applicazioni crittograficamente rilevanti dell'algoritmo di Shor richiedono miliardi di porte", ha scritto. "L'unico modo conosciuto per superare questo divario è la correzione degli errori quantistici. Sono in corso promettenti esperimenti di correzione degli errori quantistici, ma in definitiva la correzione degli errori quantistici è ancora un lavoro in corso."
Tale distinzione è al centro della controversia. Secondo Gidney, l'utilizzo di piccoli circuiti non a correzione d'errore non fornisce un valido strumento per violare le chiavi ECC reali , poiché il comportamento di scalabilità è fondamentalmente diverso dai sistemi che sarebbero necessari per minacciare la crittografia su scala Bitcoin.
La sua seconda obiezione fu più dannosa per il risultato del premio. Gidney sostenne che piccoli problemi in stile Shor possono sembrare risolti con successo anche quando l'hardware quantistico non contribuisce in modo significativo al valore computazionale. La questione, disse, ricorda un articolo scherzoso che aveva pubblicato per SIGBOVIK 2025, in cui affermava di aver fattorizzato tutti i numeri fino a 255 usando un computer quantistico, per poi dimostrare che lo stesso successo poteva essere riprodotto con la casualità. Chiamò questo il problema del "fallimento con stile".
"Nel prossimo futuro, il contributo della fortuna supererà di gran lunga qualsiasi contributo legittimo del computer quantistico", ha scritto Gidney, citando l'avvertimento che, a suo dire, aveva dato quando aveva rifiutato di partecipare. "Quindi sospetto che il vincitore nel 2026 sarà chiunque sarà riuscito a nascondere meglio come si è reso inevitabilmente fortunato. Ci si ritroverà in un dibattito filosofico, con 100.000 dollari in palio, su dove esattamente si trovi il confine oltre il quale un computer quantistico 'decifra' davvero una chiave."
Secondo Gidney, è proprio quello che è successo.
Ha fatto riferimento al lavoro dell'utente GitHub Yuval Adam, il quale avrebbe sostituito le chiamate quantistiche nella soluzione vincente con chiamate casuali, scoprendo che i risultati erano "indistinguibili" dalla versione quantistica. Gidney ha affermato che la costruzione del circuito in sé sembrava valida, inclusa l'implementazione del circuito ELDPC di Roetteler et al. 2017, ma che ciò rendeva il problema più subdolo anziché meno grave.
"Realizzi un circuito corretto, ottieni il risultato atteso, festeggi… ma hai ottenuto la risposta giusta per il motivo sbagliato", ha scritto. "Questa è una paura che ogni sperimentatore competente conosce nel profondo. È per questo che non si limitano a verificare che qualcosa funzioni quando dovrebbe funzionare, ma controllano che si rompa quando dovrebbe rompersi."
Il Progetto Undici difende l'obiettivo più ampio
Project Eleven ha presentato il risultato vincente come una dimostrazione pratica della classe di attacchi che potrebbero potenzialmente minacciare Bitcoin ed Ethereum. In una reazione, il CEO Alex Pruden ha affermato che la presentazione dimostrava che "i requisiti di risorse per questo tipo di attacco continuano a diminuire" e che la barriera all'esecuzione di tali esperimenti si stava abbassando perché il lavoro si basava su hardware pubblico accessibile tramite cloud, anziché su sistemi privati o di laboratori nazionali.
Il gruppo ha anche citato recenti stime teoriche sulle risorse, tra cui la stima di Google dell'aprile 2026 di meno di 500.000 qubit fisici per un attacco completo a 256 bit e un successivo articolo del Caltech e di Oratomic che stimava la cifra a soli 10.000 qubit in un'architettura ad atomi neutri. Project Eleven ha sostenuto che, sebbene la distanza tra 15 e 256 bit rimanga considerevole, il divario rappresenta sempre più un problema ingegneristico piuttosto che un problema di fisica fondamentale.
In seguito, Pruden riconobbe la critica di Gidney su X, scrivendo che "i piccoli problemi di fattorizzazione sono un parametro di valutazione molto imperfetto per il Q-Day". Ciononostante, difese lo scopo della competizione come tentativo di colmare il divario tra i ricercatori quantistici che vedono una rapida accelerazione e i crittografi o gli sviluppatori di Bitcoin che desiderano prove più solide prima di considerare i sistemi attuali vulnerabili nel breve termine.
"Quindi, visto che i piccoli problemi di factoring non sono un buon parametro di riferimento per il Q-Day, qual è allora?" ha scritto Pruden. "Accetto volentieri suggerimenti su come possiamo incentivare meglio il benchmarking aperto in relazione al rischio del Q-Day."
Un problema di credibilità per la comunicazione del rischio quantistico
Gidney non ha escluso categoricamente il rischio quantistico per le criptovalute. Anzi, ha scritto che esistono "legittime preoccupazioni" sul fatto che i computer quantistici possano diventare rilevanti dal punto di vista crittografico entro la fine del decennio, citando gli sforzi di migrazione post-quantistica intrapresi da aziende come Google e Cloudflare.
La sua argomentazione era più circoscritta, ma comunque rilevante: un parametro di riferimento debole può minare la validità della tesi che si propone di sostenere. Se una competizione ideata per sensibilizzare l'opinione pubblica produce un risultato che i critici possono riprodurre in modo casuale, rischia di diventare un'arma per gli scettici anziché un segnale di allarme per il settore.
Al momento della stesura di questo articolo, il Bitcoin (BTC) veniva scambiato a 77.750 dollari.
