Points clés :
- Avihu Levy, CPO de Starkware, a publié QSB le 9 avril 2026, permettant des transactions Bitcoin résistantes aux attaques quantiques sans aucune modification du protocole.
- Le schéma de Levy coûte entre 75 $ et 150 $ en calcul GPU par transaction et atteint environ 118 bits de résistance à la pré-image contre les attaques quantiques.
- QSB est le premier schéma connu pour sécuriser les transactions Bitcoin en direct contre l'algorithme de Shor en utilisant uniquement les règles Script existantes de Bitcoin.
Comment un dirigeant de Starkware a intégré la résistance quantique dans Bitcoin sans toucher au protocole
Avihu Levy, directeur produit chez Starkware et co-auteur du BIP-360, a publié un document de recherche complet et une implémentation open-source le 9 avril 2026. Le schéma s'appelle Quantum Safe Bitcoin, ou QSB. Il ne nécessite aucun softfork, aucune coordination communautaire et aucun nouvel opcode. Il fonctionne entièrement dans les contraintes Script héritées existantes de Bitcoin de 201 opcodes et 10 000 octets.
La menace que QSB adresse est spécifique. Le schéma de signature principal de Bitcoin, ECDSA sur la courbe elliptique secp256k1, est entièrement cassable par l'algorithme de Shor sur un ordinateur quantique suffisamment puissant. Un attaquant possédant cette capacité pourrait récupérer les clés privées de n'importe quelle clé publique exposée, falsifier des signatures et rediriger des fonds. Les sorties P2PK, les adresses héritées et les chemins de dépense de clés Taproot sont tous à risque dès qu'une clé publique apparaît on-chain.
Image source : X.Le schéma de Levy rompt cette dépendance au niveau de la transaction. Au lieu de s'appuyer sur la difficulté des courbes elliptiques, QSB construit la sécurité sur la résistance à la pré-image de RIPEMD-160, une fonction de hachage que les ordinateurs quantiques ne peuvent attaquer qu'avec l'algorithme de Grover, qui fournit une accélération quadratique plutôt qu'une rupture totale. Un hachage de 160 bits conserve environ 80 bits de résistance à la pré-image contre un adversaire quantique, laissant une marge confortable.
La construction modifie un schéma antérieur appelé Binohash, développé par Robin Linus, et corrige deux problèmes qui rendaient Binohash non sûr contre les attaques quantiques. Le premier était un puzzle de preuve de travail (PoW) de taille de signature qui dépendait de la recherche de petites valeurs r de courbe elliptique, quelque chose que l'algorithme de Shor casse trivialement. Le second était une vulnérabilité de drapeau sighash non résolue qui pourrait permettre à un attaquant de réutiliser une signature de puzzle valide sur différentes transactions.
Remplacement du puzzle de taille de signature
QSB remplace le puzzle de taille de signature par ce que Levy appelle un puzzle hash-to-sig. Le dépensier itère sur les paramètres de transaction jusqu'à ce que le hachage RIPEMD-160 d'une clé publique dérivée de la transaction produise une signature ECDSA valide encodée en DER. Cet événement se produit avec une probabilité d'environ 1 sur 70 billions. Parce que le puzzle utilise un drapeau SIGHASH_ALL codé en dur, la vulnérabilité sighash est éliminée comme effet secondaire.
Le dépensier exécute ensuite deux tours de digest en utilisant une structure de signature Lamport de style HORS, sélectionnant des sous-ensembles de signatures factices qui modifient le sighash de la transaction via un mécanisme Script hérité appelé FindAndDelete. Chaque sous-ensemble produit une sortie de hachage différente. Le sous-ensemble qui produit une signature valide encodée en DER devient le digest pour ce tour. La révélation des pré-images correspondantes dans le témoin complète la dépense résistante aux attaques quantiques.
La configuration recommandée, que Levy appelle Config A, s'inscrit dans la limite de 201 opcodes et atteint environ 118 bits de résistance à la pré-image et 78 bits de résistance aux collisions. Un attaquant quantique exécutant l'algorithme de Grover contre cette configuration fait face à environ 2 puissance 69 de travail pour une attaque de seconde pré-image. L'algorithme de Shor ne fournit aucun avantage, car il n'y a plus d'hypothèses de courbe elliptique à casser.
Le calcul off-chain coûte entre 75 $ et 150 $ en temps GPU cloud par transaction aux prix actuels. Le travail est embarrassingly parallel et complété en heures sur plusieurs GPU lors des premiers tests. La ferme GPU ne gère que les calculs publics, y compris la récupération de clés et le hachage. Les pré-images HORS privées ne quittent jamais l'appareil sécurisé du dépensier.
Il existe de réelles limitations. Les transactions QSB sont valides au niveau du consensus mais non standard, dépassant les politiques de relais par défaut. Elles nécessitent une soumission directe à un pool de minage qui accepte les transactions non standard, comme par le service Slipstream de Marathon. Le schéma ne couvre pas encore les canaux Lightning Network. L'assemblage et la diffusion on-chain complets sont toujours en attente dans l'implémentation open-source. Levy décrit le schéma comme une mesure de dernier recours, pas un remplacement général pour l'utilisation standard de Bitcoin.
Le co-fondateur de Starkware, Eli Ben-Sasson, a publiquement approuvé le travail, déclarant que Bitcoin peut être résistant aux attaques quantiques immédiatement. Il a dit :
Levy a partagé le document et le dépôt sur X et a crédité Robin Linus pour son travail fondamental sur Binohash et pour une correction clé qui a façonné le compromis coût-sécurité final. La communauté a été très satisfaite du livre blanc car il a été largement partagé sur les réseaux sociaux. Eric Wall de Taproot Wizard a écrit sur X :
Le document complet, le code CUDA accéléré par GPU, le pipeline Python et les Scripts Bitcoin complets sont disponibles sur le dépôt GitHub de Levy. La nouvelle fait suite au récent prototype destiné à sécuriser les portefeuilles Bitcoin contre le risque quantique. Ce prototype spécifique a été créé par le CTO de Lightning Labs, Olaoluwa Osuntokun.
Ce que cela signifie pour les détenteurs quotidiens de Bitcoin
Pour les détenteurs quotidiens de Bitcoin (BTC), la conclusion pratique est simple. Aucun ordinateur quantique capable de casser la cryptographie de Bitcoin n'existe aujourd'hui, et la plupart des chercheurs situent cette menace à au moins trois ans à une décennie. Mais l'horloge commence dès qu'une clé publique apparaît on-chain, ce qui se produit chaque fois qu'un utilisateur dépense à partir d'une adresse.
Le Bitcoin se trouvant dans un portefeuille qui n'a jamais effectué de transaction sortante présente moins d'exposition. Le Bitcoin parqué à une adresse réutilisée ou déjà dépensée est une histoire différente. Lorsque l'informatique quantique atteint le seuil, ces clés publiques exposées deviennent des cibles. Déplacer les fonds avant que cette fenêtre ne se ferme importe plus que de les déplacer après.
QSB n'est pas encore intégré dans aucun portefeuille grand public. Les utilisateurs ne peuvent pas ouvrir un portefeuille standard aujourd'hui et activer un paramètre résistant aux attaques quantiques. Ce que Levy a livré est la preuve cryptographique que le chemin existe, construit à partir de règles déjà présentes dans Bitcoin, coûtant environ le prix d'un billet d'avion en calcul GPU.
Le travail restant est l'ingénierie, l'adoption et le temps. Pour une personne détenant du BTC, l'action à entreprendre est simple : surveiller le support post-quantique de votre fournisseur de portefeuille, éviter de réutiliser les adresses et déplacer les fonds vers une adresse résistante aux attaques quantiques lorsque cette option devient disponible dans les logiciels grand public. Les outils pour protéger ce Bitcoin sont en cours de construction en ce moment même.
Source : https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
