La risposta di Lightning Labs alla minaccia quantistica: teoricamente brillante, praticamente lontana

Roasbeef (Olaoluwa Osuntokun), CTO di Lightning Labs, ha presentato una proposta per rendere Bitcoin sicuro Post Quantum.

La soluzione è tecnicamente brillante e risolve un problema reale, ma al momento è solo una dimostrazione di fattibilità.

Per diventare reale serve:

ottimizzazione aggressiva,
un BIP formale,
un soft fork,
supporto da parte dei wallet
e un consenso della community che oggi non c’è perché la minaccia quantistica è ancora considerata lontana.

Roasbeef e i contributor stanno lavorando proprio su queste ottimizzazioni, ma per ora resta un esperimento da sviluppatori per sviluppatori.

Il problema è quello sul quale si stanno moltiplicando gli allarmi (e le soluzioni): Bitcoin oggi funziona alla perfezione: mandi e ricevi soldi in modo sicuro, veloce, incensurabile.

Ma in un futuro, più o meno lontano a seconda di chi te lo racconta, potrebbe arrivare un computer super-potente – il cosidetto computer quantistico – capace di “rompere” la sicurezza di quasi tutti i wallet esistenti.

Non è un film di fantascienza: è una minaccia reale di cui gli sviluppatori di Bitcoin parlano da sempre, a partire dallo stesso Satoshi Nakamoto nei primi anni di attività di Bitcoin.

Per difendersi, la comunità sta pensandoo a diverse soluzioni, in questo caso un piano di emergenza, o meglio un freno di emergenza che, in caso di attacco quantistico, disattiverebbe le firme tradizionali. Il problema è che milioni di wallet moderni (quelli chiamati Taproot) rischierebbero di restare completamente bloccati.

Nessuno potrebbe più spendere i propri soldi, perché servirebbe dimostrare di essere il proprietario senza usare la chiave segreta.

Ora arriva una buona notizia: Roasbeef, uno degli sviluppatori principali di Lightning Labs, ha appena presentato il primo prototipo funzionante di uno strumento che risolve esattamente questo problema.

In pratica, permette di dimostrare di possedere il seed del wallet senza mai rivelarlo a nessuno.

All’inizio il concetto è semplice: il tool crea una “prova matematica” speciale. Questa prova dice alla rete Bitcoin: «Io so la frase segreta di questo portafoglio, ma non te la mostro».

La prova viene salvata sulla blockchain e, quando scatta l’emergenza, chiunque può controllarla in modo rapido e sicuro.

Così i fondi non restano bloccati.

Entrando un po’ più nel dettaglio, il meccanismo si basa su una tecnologia chiamata zk-STARK (Zero-Knowledge Scalable Transparent Argument of Knowledge).

Si tratta di un sistema di prove a conoscenza zero che garantisce che l’utente conosca il seed senza rivelare alcuna informazione.

Roasbeef ha costruito il prototipo usando risc0, un zkVM (virtual machine) che esegue codice RISC-V generico.

Il circuito dimostrativo riproduce per intero l’algoritmo di derivazione BIP-32: parte dal seed master, applica HMAC-SHA512 per generare le chiavi child e arriva fino alla chiave privata usata dal portafoglio Taproot.

Sul suo MacBook normale (con accelerazione Metal della GPU) la generazione della prova richiede circa 55 secondi e consuma fino a 12 GB di RAM.

La dimensione della prova è stata già ottimizzata: da 1,7 MB iniziali è scesa a circa 222 KB.

La verifica, invece, è rapidissima: meno di 2 secondi e solo 32 MB di memoria.

Il commit on-chain include anche un commitment al derivation path (o al suo hash), quindi è necessario prestare attenzione alla privacy: se non si usano percorsi diversi per ogni UTXO, si rischia di collegare più fondi dello stesso utente.

Il prototipo, però, ha ancora dei limiti chiari.

È un progetto parallelo, non integrato in nessun wallet ufficiale.

Funziona solo su computer potenti e non è ottimizzato per batchare più UTXO contemporaneamente. Inoltre, si basa sulla resistenza quantistica di HMAC-SHA512 (che al momento resiste bene agli attacchi di preimage, ma non è invincibile in ogni scenario).

Roasbeef stesso ammette che un circuito custom dedicato – solo HMAC-SHA512 e derivazione semplificata – potrebbe ridurre i tempi di decine o centinaia di volte, ma al momento non è ancora stato implementato.

È presto per farsi prendere dal panico per la minaccia quantistica, è ancora presto anche per dire che abbiamo una soluzione a portata di mano, ma la comunità è in pieno fermento.

2026-04-08 Olaoluwa “Roasbeef” Osuntokun, CTO di Lightning Labs

Post Quantum Bitcoin: Concepts of a Plan - A zk-STARK Escape Hatch for BIP-32 Wallets