La discussione sulla sicurezza quantistica di Bitcoin ha appena acquisito un nuovo artefatto concreto nella pipeline di codice e specifiche: una bozza aggiornata di BIP-360 è stata unita al repository ufficiale delle proposte di miglioramento di Bitcoin, proponendo un tipo di output adiacente a Taproot progettato per limitare l'esposizione a futuri attacchi di recupero di chiavi quantistiche.
Il cambiamento è meno importante perché "risolve" il rischio quantistico oggi e più perché formalizza un percorso specifico e opt-in che preserva la funzionalità script-tree di Taproot, rimuovendo al contempo il percorso di spesa considerato più problematico in un modello di minaccia quantistica.
Gli sviluppatori di Bitcoin fanno la prima mossa formale sulla resistenza quantistica
Anduro, una piattaforma focalizzata sulla ricerca incubata da Marathon Digital (MARA), ha affermato su X che l'aggiornamento unificato "introduce Pay-to-Merkle-Root (P2MR), un nuovo tipo di output proposto che omette la spesa del percorso chiave vulnerabile ai quanti di Taproot, preservando al contempo la compatibilità con Tapscript e gli alberi di script".
In termini BIP, la proposta ha come ambito "Consenso (soft fork)" e definisce P2MR come un nuovo output SegWit v2 che si impegna direttamente alla radice Merkle di un albero di script, anziché a una chiave pubblica modificata come in Pay-to-Taproot (P2TR). L'implicazione pratica è semplice: gli output P2MR possono essere spesi solo tramite la logica script-path; la spesa key-path viene completamente rimossa.
L'abstract del BIP definisce l'obiettivo in termini di riduzione al minimo delle modifiche, offrendo al contempo una serie di opzioni per gli utenti che desiderano una protezione aggiuntiva:
"Questo documento propone un nuovo tipo di output: Pay-to-Merkle-Root (P2MR), tramite un soft fork. Gli output P2MR operano con funzionalità pressoché identiche a quelle P2TR (Pay-to-Taproot), ma con la rimozione della spesa per il percorso della chiave." Aggiunge che la protezione prevista è contro "attacchi a lunga esposizione da parte di Computer Quantistici Crittograficamente Rilevanti (CRQC)", nonché "futuri approcci crittoanalitici che potrebbero compromettere la crittografia a curva ellittica (ECC) utilizzata da Bitcoin".
Un elemento chiave del BIP è la disciplina definitoria: distingue gli attacchi a "lunga esposizione" (in cui le chiavi pubbliche sono disponibili on-chain per periodi prolungati) dagli attacchi a "breve esposizione", che prenderebbero di mira le chiavi pubbliche rivelate brevemente nel mempool durante una spesa non confermata.
Il documento afferma esplicitamente che P2MR non è uno scudo quantistico completo. "Vale la pena notare che gli output P2MR proposti sono resistenti solo agli 'attacchi a lunga esposizione' sulla crittografia a curva ellittica; ovvero, attacchi a chiavi esposte per periodi di tempo più lunghi del necessario per confermare una transazione di spesa", afferma il BIP.
"La protezione contro attacchi quantistici più sofisticati, inclusa la protezione contro il recupero della chiave privata dalle chiavi pubbliche esposte nel mempool mentre una transazione è in attesa di conferma (noti anche come 'attacchi a breve esposizione'), potrebbe richiedere l'introduzione di firme post-quantistiche in Bitcoin". Gli autori aggiungono che "intendono presentare una proposta separata a questo scopo dopo ulteriori ricerche".
Questa divisione è anche il motivo per cui la proposta enfatizza la compatibilità con tapscript. Posiziona P2MR come un tipo di output script-tree che potrebbe, se Bitcoin adottasse opcode di firma post-quantistica, fornire una pista di aggiornamento più pulita rispetto ai vecchi meccanismi di script che non supportano il percorso evolutivo di tapscript.
Anduro ha sottolineato che la modifica è concepita come un soft fork e "non influisce sugli output Taproot esistenti". P2MR sarebbe un nuovo tipo di output (con indirizzi bech32m che iniziano con bc1z) anziché un retrofit degli UTXO Taproot bc1p esistenti.
La proposta, inoltre, non pretende che lo swap sia gratuito. Rimuovendo le spese per il key-path, P2MR rinuncia al witness path più compatto di Taproot (una singola firma Schnorr). Il BIP stima che una spesa minima per il witness di P2MR sia di 37 byte più grande di una spesa per il key-path di Taproot, sebbene possa essere inferiore a una spesa equivalente per lo script-path di Taproot, poiché il blocco di controllo di P2MR omette una chiave pubblica interna.
Anche la privacy cambia. Poiché ogni spesa è basata su script-path, gli utenti P2MR rivelano necessariamente di star spendendo da un albero di script, un aspetto che le spese basate su key-path di Taproot possono evitare di segnalare.
Anduro ha affermato che l'aggiornamento "affronta anche le critiche agli sviluppatori di Bitcoin che non prendono sul serio la minaccia quantistica" e ha sottolineato l'aggiunta di Isabel Foxen Duke come co-autrice per rendere il BIP più chiaro "al grande pubblico, non solo alla comunità degli sviluppatori di Bitcoin".
BIP-360 rimane allo stato di "Bozza". Ma la sua integrazione nel repository canonico è comunque un indicatore significativo del processo: sposta il dibattito sulla sicurezza quantistica da preoccupazioni astratte e ipotesi da mailing list a una proposta di modifica consensuale specifica che wallet, biblioteche e revisori possono ora analizzare riga per riga.
Se il dibattito dovesse avere una fase successiva, probabilmente si concentrerà sul fatto che le opzioni di partecipazione "preparati, non spaventati" come P2MR siano sufficienti o se Bitcoin alla fine dovrà confrontarsi direttamente con le firme post-quantistiche e le realtà operative della migrazione del valore su larga scala.
Al momento della stampa, il BTC veniva scambiato a 66.558 $.
