Taproot di Bitcoin aumenta rischio di furto quantistico, dice Google

Paragrafo introduttivo

L'aggiornamento Taproot di Bitcoin è tornato sotto la lente dopo che i ricercatori di Google hanno pubblicato i loro risultati il 31 marzo 2026, suggerendo che un vettore d'attacco quantistico pratico potrebbe essere più realizzabile di quanto si credesse in precedenza (Coindesk, 31 mar 2026). Il paper mette in evidenza una vulnerabilità legata alla logica degli script di Taproot e alla meccanica delle firme Schnorr che, in specifici flussi di esecuzione, potrebbe esporre materiale chiave a metà transazione e creare una finestra sfruttabile da un avversario dotato di un dispositivo quantistico sufficientemente potente. Questa affermazione mette in discussione l'assunto diffuso nel settore secondo cui le minacce quantistiche a Bitcoin siano lontane decenni, e ha causato rivalutazioni immediate dei modelli di rischio tecnico presso custodi, exchange e grandi detentori. Sebbene lo studio non dimostri un exploit immediato in natura, ricalibra il dibattito sui tempi spostandolo da una sfera puramente speculativa a una ingegneristica: quali capacità quantistiche e quali modelli di transazione potrebbero abilitare furti reali. I partecipanti istituzionali dovrebbero quindi considerare i risultati come un catalizzatore per accelerare la pianificazione delle contingenze piuttosto che come uno shock di mercato immediato.

Contesto

Taproot, attivato il 14 novembre 2021 con BIP341, è stato progettato per migliorare la privacy di Bitcoin e la flessibilità dei contratti intelligenti attraverso le firme Schnorr e un Merklized Alternative Script Tree (MAST). L'upgrade è stato ampiamente adottato da sviluppatori e molti wallet perché riduce l'impronta on-chain per script complessi e abilita firme aggregate. I ricercatori di Google sostengono ora che alcune di queste stesse caratteristiche — in particolare l'esposizione di chiavi pubbliche durante la valutazione di script a rami multipli — possono generare finestre strette in cui una chiave privata potrebbe essere ricostruita o altrimenti sfruttata se un attaccante è in grado di accelerare la crittoanalisi con risorse quantistiche (Coindesk, 31 mar 2026).

Storicamente, le valutazioni sulla sicurezza di Bitcoin hanno sottolineato che l'algoritmo di Shor richiederebbe computer quantistici fault-tolerant con stime di risorse nell'ordine di migliaia o milioni di qubit logici, mantenendo gli attacchi pratici oltre un orizzonte di molte decadi per la maggior parte delle previsioni. La letteratura accademica spesso colloca il numero di qubit-logici necessari nell'intervallo 10^5–10^7 per spezzare la crittografia a curva ellittica ampiamente usata su scala Bitcoin, a condizione di correzione degli errori quantistici; tali cifre hanno alimentato la compiacenza precedente del settore. Il contributo di Google non cambia l'aritmetica delle risorse quantistiche sottostante, ma individua interazioni a livello di protocollo che possono ridurre la barriera effettiva creando finestre sfruttabili durante l'esecuzione delle transazioni, quando il materiale delle firme diventa temporaneamente recuperabile.

Le implicazioni commerciali sono acute perché Bitcoin rimane l'asset crittografico più detenuto dalle istituzioni. Le società che riportano posizioni — incluse le corporation pubbliche che dichiarano quantità significative di bitcoin a bilancio — ora si trovano ad affrontare una nuova serie di questioni operative sulla durata della custodia delle chiavi, sulla frequenza di rinnovo del calcolo multipartitico (MPC) e sulla potenziale necessità di mitigazioni a livello di protocollo. Dato lo stato poco trasparente delle roadmap dell'hardware quantistico, passare dalla gestione del rischio teorico a quella pratica richiede pianificazione basata su scenari legati a milestone misurabili nelle capacità quantistiche.

Analisi dei dati

La ricerca di Google, riportata da Coindesk il 31 mar 2026, si concentra su una classe di script abilitati da Taproot che rivelano chiavi pubbliche in diverse fasi della valutazione dello script, offrendo potenzialmente a un attaccante un bersaglio temporaneo per la crittoanalisi (Coindesk, 31 mar 2026). Il rapporto non afferma che i formati di indirizzo base-58 o altri formati siano direttamente compromessi oggi; individua piuttosto pattern di script specifici e comportamenti dei wallet che ampliano la superficie d'attacco rispetto ai precedenti schemi di firma. Per esempio, l'aggregazione Schnorr e i rami di script che espongono punti pubblici intermedi possono — in teoria — permettere a un osservatore del mempool di ottenere informazioni parziali che riducono la complessità di un compito di recupero della chiave.

Quantificare la variazione pratica nello sforzo richiesto è complesso. Stime accademiche conservative per il recupero di chiavi basato su Shor restano nell'ordine di 10^5–10^7 qubit logici e numeri corrispondenti di qubit fisici una volta considerata la correzione degli errori e i tempi di coerenza (stime accademiche, fonti multiple). Nonostante ciò, la nota di Google ricadra il problema: se la semantica del protocollo espone le chiavi anche solo transitoriamente, la finestra d'attacco potrebbe richiedere meno operazioni quantistiche o consentire l'amortamento delle risorse su più transazioni. Questo è un vettore diverso rispetto al modello classico — che presume che un avversario debba violare chiavi statiche conservate off-chain — ed è proprio per questo che i custodi stanno rivalutando i flussi di gestione delle firme.

Per ancorare il dibattito a numeri osservabili, l'attivazione di Taproot è avvenuta il 14 novembre 2021 (Bitcoin Core/BIP341). Il report di Google è stato reso pubblico il 31 marzo 2026 (Coindesk). Telemetria di settore come i tassi di aggiornamento dei wallet e la percentuale di output Taproot nell'insieme UTXO avranno un peso materiale; i custodi possono misurare questi parametri internamente e gestire le esposizioni in base ai tipi di script specifici. Per i partecipanti di mercato che monitorano i progressi dell'hardware quantistico, due segnali concreti da osservare sono: (1) annunci pubblici da parte dei principali fornitori quantistici su milestone di qubit-logici fault-tolerant, e (2) risultati di benchmarking che spostano la capacità dei dispositivi dalle dimostrazioni rumorose a scala intermedia al funzionamento con correzione degli errori.

Implicazioni per il settore

I servizi di custodia, gli exchange e i fondi regolamentati affrontano le conseguenze operative più immediate perché gestiscono flussi di firma su larga scala e spesso utilizzano pattern di smart contract abilitati da Taproot. Una singola debolezza strutturale in un flusso di custodia ampiamente utilizzato potrebbe creare un'esposizione concentrata: un furto eseguito durante la propagazione in mempool potrebbe, in principio, essere profittevole per un attaccante ben finanziato con capacità quantistiche avanzate.

Le contromisure pratiche che le organizzazioni stanno prendendo in considerazione includono l'accelerazione dei rinnovi delle chiavi, l'aumento della frequenza di refresh nelle implementazioni MPC, la riduzione dell'esposizione temporanea delle chiavi nelle transazioni complesse e l'analisi attiva dei pattern di script in uso per prioritizzare gli interventi. A livello di protocollo, la comunità può esplorare mitigazioni che limitino l'esposizione di punti pubblici intermedi o che rendano meno probabili i percorsi di script che generano finestre sfruttabili.

Sebbene la ricerca non implichi un rischio immediato per tutte le istanze di Bitcoin, ha spostato il focus verso mitigazioni ingegneristiche e pianificazione proattiva. Le istituzioni con esposizione significativa dovrebbero valutare scenari pragmatici e metriche di soglia per le azioni operative, monitorando sia l'adozione di Taproot nei loro flussi sia i progressi misurabili nell'hardware quantistico.

(Le citazioni a Coindesk nel testo si riferiscono alla copertura pubblicata il 31 marzo 2026.)