Một Google Quantum AI whitepaper được công bố ngày 30/03/2026 cho biết khoảng 6,9 triệu Bitcoin (BTC) — tương đương khoảng một phần ba tổng nguồn cung — đang nằm trong các địa chỉ dễ bị tấn công lượng tử “at-rest”, bao gồm ước tính khoảng 1,1 triệu coin gắn với nhà sáng lập ẩn danh của mạng lưới, Satoshi Nakamoto.
TL;DR
- Google Quantum AI phát hiện việc phá vỡ mật mã đường cong elliptic 256-bit của Bitcoin có thể cần ít hơn 500.000 qubit vật lý — giảm 20 lần so với ước tính trước đây.
- Khoảng 6,9 triệu BTC nằm trong các loại địa chỉ nơi khóa công khai bị lộ vĩnh viễn, biến chúng thành mục tiêu cho các cuộc tấn công lượng tử at-rest trong tương lai.
- Các địa chỉ P2PK thời Satoshi không thể được nâng cấp bởi bất kỳ ai, làm dấy lên câu hỏi quản trị nan giải: nên đóng băng coin ngủ yên hay để chúng tiếp tục dễ bị tấn công.
Whitepaper của Google Thực Sự Nói Gì
Bài báo có tiêu đề dài: "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations." Tài liệu dài 57 trang và là đánh giá chi tiết nhất về mối đe dọa mật mã lượng tử từng được một công ty công nghệ lớn công bố.
Sáu nhà nghiên cứu Google Quantum AI — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar và Hartmut Neven — đồng tác giả. Cộng tác bên ngoài gồm Thiago Bergamaschi (UC Berkeley), Justin Drake ( Ethereum Foundation) và Dan Boneh (Stanford).
Đóng góp kỹ thuật cốt lõi là hai mạch lượng tử tối ưu hóa triển khai thuật toán Shor cho bài toán Elliptic Curve Discrete Logarithm trên các đường cong 256-bit.
Đó chính là nguyên thủy mật mã đang bảo vệ Bitcoin.
Một mạch dùng dưới 1.200 qubit logic và 90 triệu cổng Toffoli. Mạch còn lại dùng dưới 1.450 qubit logic và 70 triệu cổng Toffoli.
Google ước tính các mạch này có thể chạy trên máy tính lượng tử siêu dẫn với dưới 500.000 qubit vật lý trong vài phút. Ước tính trước đó đòi hỏi phần cứng lớn hơn rất nhiều. Một bài báo được trích dẫn rộng rãi năm 2022 từ University of Sussex dự đoán cần 317 triệu qubit vật lý cho một cuộc tấn công kéo dài một giờ và 1,9 tỷ qubit cho cửa sổ mười phút. Phát hiện của Google nén yêu cầu này xuống khoảng 20 lần.
Trong một bước khác thường đối với loại bài ước lượng tài nguyên, Google giữ lại chi tiết triển khai mạch. Thay vào đó họ công bố một bằng chứng không tiết lộ (zero-knowledge proof) sử dụng SP1 và Groth16 SNARK. Các nhà nghiên cứu độc lập có thể xác minh tuyên bố mà không tiếp cận được chi tiết tấn công.
Công trình này xây dựng trên các cột mốc lượng tử trước đó của Google.
Chip Willow, công bố tháng 12/2024 và đăng trên Nature, trình diễn 105 qubit siêu dẫn với sửa lỗi lượng tử “dưới ngưỡng” đầu tiên trên bộ xử lý siêu dẫn. Tỷ lệ lỗi giảm một nửa mỗi bước từ lưới qubit 3x3 đến 5x5 và 7x7. Willow hoàn thành một bài benchmark trong chưa đầy năm phút, trong khi siêu máy tính Frontier được ước tính cần 10 septillion năm.
Tuy vậy, Google nhấn mạnh Willow hiện chưa tạo ra mối đe dọa mật mã nào.
Charina Chou, giám đốc kiêm COO của Google Quantum AI, nói với The Verge tháng 12/2024 rằng con chip này không thể phá mật mã hiện đại và cần khoảng 4 triệu qubit vật lý để bẻ khóa RSA.
Đọc thêm: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Vì Sao Coin Của Satoshi Bị Lộ Nhiều Nhất
Lỗ hổng trung tâm trong phân tích của Google bắt nguồn từ một quyết định thiết kế ở những ngày đầu của Bitcoin. Khi Satoshi Nakamoto khởi chạy mạng lưới ngày 03/01/2009, phần mềm đào gửi phần thưởng khối đến các output P2PK (Pay-to-Public-Key). Ở định dạng này, khóa công khai đầy đủ luôn hiện diện trên blockchain từ lúc coin được nhận.
Script khóa chỉ đơn giản là khóa công khai theo sau bởi lệnh OP_CHECKSIG. Điều đó có nghĩa khóa công khai 65 byte (không nén) hoặc 33 byte (nén) bị lộ cho bất kỳ ai đọc chuỗi khối.
Không có lớp băm nào bảo vệ nó.
Satoshi cũng triển khai P2PKH (Pay-to-Public-Key-Hash), chỉ lưu trữ hàm băm của khóa công khai. Địa chỉ P2PKH — loại quen thuộc bắt đầu bằng “1” — xuất hiện trên blockchain trong vòng hai tuần sau khối genesis.
Thiết kế này là có chủ đích. Satoshi nhận ra rằng mật mã đường cong elliptic có thể sụp đổ trước phiên bản biến thể của thuật toán Shor chạy trên máy tính lượng tử trong tương lai.
Dù nhận thức được, phần mềm đào vẫn mặc định P2PK cho phần thưởng coinbase suốt 2009–2010. Nghiên cứu Patoshi nổi tiếng của Sergio Demian Lerner, trình bày lần đầu năm 2013, xác định một thực thể duy nhất đã đào khoảng 22.000 khối từ tháng 01/2009 đến giữa 2010. Thực thể đó tích lũy khoảng 1,0–1,1 triệu BTC.
Hành vi đào này khác với client công khai: dùng quét nonce đa luồng và có vẻ cố tình hạn chế sản lượng để bảo vệ sự ổn định mạng.
Chỉ khoảng 907 BTC trong số đó từng được chi tiêu. Giao dịch nổi tiếng nhất là gửi 10 BTC cho Hal Finney trong lần chuyển Bitcoin giữa người với người đầu tiên ngày 12/01/2009.
Vì những coin này chưa bao giờ di chuyển, khóa công khai của chúng vẫn lộ vĩnh viễn. Một máy tính lượng tử chạy thuật toán Shor có thể suy ra khóa riêng tương ứng mà không chịu áp lực thời gian. Đó là vector tấn công “at-rest” cốt lõi.
Đọc thêm: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Ba Vector Tấn Công Và 6,9 Triệu BTC Bị Lộ
Whitepaper của Google chuẩn hóa một phân loại các cuộc tấn công lượng tử với tiền mã hóa, làm rõ quy mô các vector đe dọa khác nhau.
Tấn công at-rest nhắm vào khóa công khai nằm lộ vĩnh viễn trên blockchain. Kẻ tấn công có thời gian không giới hạn — ngày, tháng hay năm — để suy ra khóa riêng. Danh mục này gồm ba loại địa chỉ chính:
- Địa chỉ P2PK, nơi khóa công khai hiển thị trong script khóa ngay khi coin đến
- Địa chỉ P2PKH tái sử dụng, nơi khóa công khai bị lộ sau giao dịch chi tiêu đầu tiên
- Địa chỉ P2TR/Taproot, theo thiết kế lưu khóa công khai đã “tweak” trực tiếp trên chuỗi
Google xác định Taproot là một bước thụt lùi về bảo mật dưới góc độ lượng tử. Ngay cả kiến trúc lượng tử chậm hơn như hệ nguyên tử trung hòa hoặc bẫy ion cũng có thể thực hiện tấn công at-rest vì không bị giới hạn thời gian. Phân tích on-chain phát hiện khoảng 1,7 triệu BTC trong script P2PK và khoảng 6,9 triệu BTC tổng cộng trên tất cả loại địa chỉ dễ bị tấn công khi tính thêm tái sử dụng và Taproot.
Tấn công on-spend, trước đây gọi là “in-transit”, nhắm vào giao dịch trong mempool.
Khi người dùng phát giao dịch, khóa công khai được tiết lộ trong input. Kẻ tấn công phải suy ra khóa riêng trước khi giao dịch được xác nhận — khoảng 10 phút với Bitcoin.
Bài báo của Google cho thấy một máy tính lượng tử siêu dẫn có xung nhịp nhanh có thể giải ECDLP trong khoảng chín phút, cho xác suất khoảng 41% vượt trước thời gian xác nhận.
Tấn công on-setup nhắm vào các tham số giao thức cố định như các lễ thiết lập tin cậy. Bitcoin miễn nhiễm với vector này. Nhưng Ethereum (ETH) Data Availability Sampling và các giao thức như Tornado Cash có thể dễ tổn thương.
Điểm then chốt là đào proof-of-work không bị đe dọa. Thuật toán Grover chỉ mang lại gia tốc bậc hai chống SHA-256, giảm mức an ninh hiệu dụng từ 256 bit xuống 128 bit — vẫn vượt xa khả năng thực tế. Một bài báo tháng 03/2026 của Dallaire-Demers và cộng sự cho thấy đào lượng tử sẽ cần khoảng 10²³ qubit và 10²⁵ watt điện, gần mức năng lượng toàn nền văn minh.
Đọc thêm: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Q-Day Của Bitcoin Còn Bao Xa?
Khoảng cách giữa phần cứng lượng tử hiện tại và mức đủ sức phá mật mã vẫn lớn nhưng đang thu hẹp nhanh hơn dự kiến.
Các bộ xử lý dẫn đầu hiện nay gồm Willow của Google với 105 qubit siêu dẫn, Nighthawk của IBM với 120 qubit và độ trung thực cải thiện, Helios của Quantinuum với 98 qubit bẫy ion và mảng 6.100 qubit nguyên tử trung hòa lập kỷ lục của Caltech.
Hệ thống đa dụng lớn nhất vẫn là Condor của IBM với 1.121 qubit. So với mục tiêu sửa đổi của Google là dưới 500.000 qubit vật lý, khoảng cách dao động từ khoảng 80 đến 5.000 lần tùy kiến trúc.
Several developments in 2025 và 2026 có các mốc thời gian tăng tốc:
- Microsoft đã giới thiệu Majorana 1 vào tháng 2 năm 2025 — bộ xử lý đầu tiên sử dụng qubit tô-pô, được thiết kế để mở rộng lên 1 triệu qubit trên một con chip cỡ lòng bàn tay, mặc dù các nghiên cứu tái lập độc lập đã đặt câu hỏi liệu các hiệu ứng tô-pô đã được chứng minh một cách thuyết phục hay chưa
- Chip Ocelot của Amazon, cũng từ tháng 2 năm 2025, sử dụng “cat qubits” giúp giảm chi phí cho sửa lỗi tới 90%
- Một bài báo đi kèm phát hành cùng với bản whitepaper của Google cho rằng các kiến trúc nguyên tử trung hòa có thể phá ECC-256 chỉ với khoảng 10.000 qubit vật lý trong những giả định lạc quan
Các ước tính mốc thời gian của chuyên gia trải dài trên một phạm vi rộng. Google đã đặt ra hạn chót nội bộ vào năm 2029 để chuyển đổi các hệ thống của riêng mình sang mật mã hậu lượng tử.
Nhà nghiên cứu Ethereum Justin Drake ước tính ít nhất 10% khả năng rằng đến năm 2032 một máy tính lượng tử có thể khôi phục khóa riêng ECDSA secp256k1. Lộ trình của IonQ đặt mục tiêu 80.000 qubit logic vào năm 2030.
Ở phía hoài nghi, CEO Blockstream Adam Back bác bỏ các mốc 2028 là không đáng tin. CEO NVIDIA Jensen Huang cho rằng máy tính lượng tử hữu ích còn cách 15 đến 30 năm. NIST khuyến nghị hoàn tất việc chuyển đổi sang mật mã hậu lượng tử trước năm 2035.
Xu hướng cải tiến thuật toán khiến vấn đề trở nên cấp bách hơn. Số qubit vật lý cần thiết để phá mật mã đường cong elliptic đã giảm bốn đến năm bậc độ lớn từ năm 2010 đến 2026. Các mạch mới nhất của Google tiếp tục giảm thêm 20 lần so với các ước tính tốt nhất trước đó.
Đọc thêm: Chainalysis Launches AI Bots To Fight Crypto Crime
Cuộc đua khiến giao thức Bitcoin miễn nhiễm lượng tử
Cộng đồng nhà phát triển Bitcoin đã huy động lực lượng xung quanh một số đề xuất, dù các thách thức cốt lõi về quản trị vẫn còn.
BIP-360 (Pay-to-Merkle-Root), do Hunter Beast của MARA/Anduro, Ethan Heilman và Isabel Foxen Duke soạn thảo, đã được sáp nhập vào kho BIP chính thức vào tháng 2 năm 2025. Nó giới thiệu một loại output SegWit phiên bản 2 mới với tiền tố bc1z chỉ cam kết với Merkle root của cây script. Điều đó loại bỏ đường chi tiêu theo khóa (key-path spend) dễ bị tấn công lượng tử khỏi Taproot. BIP-360 tự nó không đưa vào chữ ký hậu lượng tử nhưng tạo ra khung cho chúng.
BTQ Technologies đã triển khai một bản cài đặt BIP-360 hoạt động trên Bitcoin Quantum testnet của họ. Hơn 50 thợ đào và 100.000 khối đã được tạo ra tính đến tháng 3 năm 2026.
Đề xuất của Lopp/Papathanasiou, được giới thiệu tại Hội nghị Quantum Bitcoin Summit tháng 7 năm 2025, phác thảo một soft fork ba giai đoạn.
Giai đoạn A cấm gửi tới các địa chỉ ECDSA cũ ba năm sau khi BIP-360 kích hoạt. Giai đoạn B làm cho mọi chữ ký cũ trở nên vô hiệu, đóng băng vĩnh viễn các đồng coin dễ bị lượng tử tấn công hai năm sau đó. Giai đoạn C cung cấp một con đường khôi phục tùy chọn thông qua bằng chứng không tiết lộ (zero-knowledge proof) về việc sở hữu seed BIP-39.
Đề xuất QRAMP của Agustin Cruz có lập trường cứng rắn hơn. Nó đề xuất một hạn chót di cư bắt buộc thông qua hard fork, sau đó các coin chưa di cư sẽ không thể chi tiêu. Đề xuất Hourglass từ Hunter Beast và Michael Casey tại Marathon Digital đưa ra một con đường trung dung — giới hạn tốc độ di chuyển của các coin đã lộ với lượng tử xuống một UTXO mỗi khối, kéo dài một cuộc tấn công tiềm tàng từ vài giờ lên khoảng tám tháng.
Ở mặt chuẩn hóa, NIST đã hoàn tất ba tiêu chuẩn mật mã hậu lượng tử đầu tiên của mình vào tháng 8 năm 2024: ML-KEM (dựa trên CRYSTALS-Kyber) cho đóng gói khóa, ML-DSA (dựa trên CRYSTALS-Dilithium) cho chữ ký số và SLH-DSA (dựa trên SPHINCS+) như một chuẩn chữ ký dự phòng.
Thuật toán thứ năm, HQC, đã được chọn vào tháng 3 năm 2025 như một cơ chế đóng gói khóa dự phòng.
Thách thức chính cho việc tích hợp với Bitcoin là kích thước chữ ký. Chữ ký Dilithium vào khoảng 2.420 byte so với khoảng 72 byte của ECDSA — tăng 33 lần, sẽ gây áp lực lên dung lượng khối và làm tăng đáng kể chi phí giao dịch.
Vượt ra ngoài Bitcoin, hệ sinh thái rộng lớn hơn đang di chuyển rất nhanh.
Ethereum Foundation đã chỉ định bảo mật hậu lượng tử như một ưu tiên cốt lõi vào tháng 1 năm 2026, khởi động một lộ trình hard fork bốn giai đoạn với mục tiêu trung hạn là đạt khả năng kháng lượng tử vào năm 2029. Coinbase đã thành lập Hội đồng Cố vấn Độc lập về Máy tính Lượng tử với sự tham gia của Scott Aaronson, Dan Boneh và Justin Drake.
Đọc thêm: Cardano Whales Grab $53M In ADA But Price Stays Flat
Người nắm giữ Bitcoin nên làm gì ngay bây giờ
Đối với cá nhân nắm giữ Bitcoin, hướng dẫn thực tế khá đơn giản dù tranh luận ở cấp độ giao thức vẫn tiếp diễn. Coin được lưu trữ trong địa chỉ P2WSH (SegWit witness script hash, bc1q với 62 ký tự) hoặc P2WPKH (SegWit, bc1q với 42 ký tự) chưa từng được dùng để gửi đi mang lại mức bảo vệ mạnh nhất hiện nay.
Chỉ có hash của khóa công khai là hiển thị trên chuỗi.
Địa chỉ P2TR/Taproot (bc1p) nên được tránh sử dụng cho khoản nắm giữ lớn hoặc dài hạn. Chúng phơi bày khóa công khai theo thiết kế.
Thực hành quan trọng nhất là không bao giờ tái sử dụng địa chỉ. Khi Bitcoin được chi tiêu từ bất kỳ địa chỉ nào, khóa công khai được lộ ra và số dư còn lại hoặc các khoản nạp sau này vào địa chỉ đó sẽ trở nên dễ bị tấn công lượng tử. Người dùng có thể kiểm tra mức độ phơi bày của mình bằng danh sách Bitcoin Risq List mã nguồn mở của Project Eleven, danh sách này theo dõi mọi địa chỉ Bitcoin dễ bị lượng tử tấn công trên mạng lưới.
Chuyển tiền từ một địa chỉ đã lộ sang một địa chỉ băm mới, chưa từng được dùng sẽ loại bỏ lỗ hổng “khi lưu trữ”.
Như công ty lưu ký Bitcoin Unchained cảnh báo: hãy cảnh giác với những kẻ lừa đảo có thể lợi dụng nỗi sợ lượng tử để gây áp lực chuyển tiền vội vàng. Không có nhu cầu hành động khẩn cấp ngay lập tức.
Vấn đề sâu xa hơn vẫn là khoảng 1,7 triệu BTC trong các địa chỉ P2PK — bao gồm ước tính 1,1 triệu BTC của Satoshi — có khóa đã bị phơi bày không thể đảo ngược và chủ sở hữu gần như chắc chắn không thể di chuyển chúng. Việc nên đóng băng, giới hạn tốc độ hay để mặc các coin này phơi bày trước nạn trộm cắp lượng tử đang trở thành một trong những cuộc tranh luận quản trị quan trọng nhất trong lịch sử Bitcoin.
Như Jameson Lopp diễn giải, cho phép khôi phục Bitcoin bằng lượng tử đồng nghĩa với việc tái phân phối tài sản cho những người chiến thắng trong cuộc đua công nghệ sở hữu máy tính lượng tử.
Đọc thêm: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Kết luận
Bản whitepaper tháng 3 năm 2026 của Google không tiết lộ một mối đe dọa cận kề. Không có máy tính lượng tử nào hiện nay có thể phá vỡ mật mã của Bitcoin. Điều mà nó đã làm là rút ngắn đáng kể các ước tính về tài nguyên cần thiết và chính thức hóa một mốc thời gian khiến việc chuẩn bị trở nên cấp bách thay vì chỉ là lý thuyết.
Việc giảm xuống dưới 500.000 qubit vật lý, cùng với mức sụt giảm bốn đến năm bậc độ lớn trong các ước tính trong 15 năm qua, có nghĩa là khoảng cách giữa năng lực hiện tại và mức độ liên quan về mặt mật mã đang thu hẹp lại trên một quỹ đạo giao cắt với các lộ trình ngành cho giai đoạn cuối thập niên 2020 đến đầu 2030. Lỗ hổng “khi lưu trữ” của 6,9 triệu BTC là một rủi ro đã được biết và định lượng, không có cách sửa chữa hồi tố cho các địa chỉ P2PK bị mất khóa.
Mối đe dọa lượng tử đối với Bitcoin không chủ yếu là vấn đề phần cứng. Đó là vấn đề quản trị và di cư. Các nâng cấp giao thức và quá trình đồng thuận xã hội cần thiết trong lịch sử đã mất từ năm đến 10 năm trong hệ sinh thái Bitcoin. Đồng hồ đã bắt đầu đếm ngược ngay khi Google công bố những con số đó.
Đọc tiếp: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares