-
El esquema se basa en un puzzle de funciones de hash con probabilidad de 1 en 70.000 millones.
-
Cada transacción protegida tiene un costo estimado de entre USD 75 y USD 150 en GPU de nube.
Avihu Levy, investigador de StarkWare, publicó esta semana un esquema técnico llamado QSB (Quantum Safe Bitcoin) que permite realizar transacciones Bitcoin resistentes a computadoras cuánticas sin modificar el protocolo, sin esperar una actualización de la red y sin necesidad de consenso entre los participantes de la red.
El esquema fue presentado el 9 de abril de 2026 junto con un repositorio público que incluye el código y el paper académico. Está dirigido a usuarios y desarrolladores que buscan proteger sus transacciones ante un eventual avance relevante en computación cuántica, y opera completamente dentro de las reglas de consenso existentes de Bitcoin para scripts legacy.
El problema que QSB busca resolver va más allá de la discusión habitual sobre wallets y claves privadas. Cuando alguien transmite una transacción Bitcoin, una computadora cuántica equipada con el algoritmo de Shor podría falsificar la firma que la autoriza, redirigir los fondos a otra dirección y transmitir esa versión alterada antes de que la original sea confirmada.
Esto aplica incluso si la condición de gasto original era segura por sí misma. Con Taproot, la situación es más delicada aún: cualquier output puede gastarse con solo conocer la clave privada, que una computadora cuántica podría derivar de la clave pública.
Una solución que opera con las reglas actuales
QSB se construye sobre Binohash, un esquema previo de Robin Linus, pero corrige su principal vulnerabilidad cuántica. Binohash usaba un puzzle (rompecabezas) basado en el tamaño de la firma ECDSA como prueba de trabajo. Ese puzzle puede ser roto por una computadora cuántica porque depende de propiedades de las curvas elípticas, que el algoritmo de Shor compromete completamente.
QSB reemplaza ese puzzle por uno basado en funciones de hash. La idea central es que una cadena aleatoria de 20 bytes tiene aproximadamente una probabilidad de 1 en 70.000 millones de cumplir la estructura exacta de una firma ECDSA válida. Encontrar una transacción que satisfaga esa condición requiere trabajo computacional, pero verificarla dentro del script de Bitcoin es inmediato. Y como las funciones de hash no son vulnerables al algoritmo de Shor, la protección se mantiene incluso frente a un adversario cuántico.
El proceso para gastar una UTXO (transacción no gastada) protegida con QSB tiene tres fases. Primero, el usuario varía parámetros libres de la transacción hasta encontrar una combinación donde se cumpla el puzzle de hash, lo que fija la transacción e impide modificarla sin repetir todo el proceso. Luego, en dos rondas independientes, se busca un subconjunto específico de firmas embebidas en el script cuyo hash también cumpla la condición. Ese subconjunto es el digest de la transacción, y está protegido con un esquema de firma Lamport basado en hashes, que es resistente al cuántico por diseño.
La parte computacionalmente intensiva de este proceso opera solo sobre datos públicos y puede delegarse a hardware no confiable, como GPUs rentadas en servicios de nube. Los secretos del usuario nunca salen de su dispositivo. El costo estimado es de entre USD 75 y USD 150 en GPU de nube, con capacidad de paralelización. En pruebas reportadas en el repositorio, se encontró una solución válida tras aproximadamente seis horas usando ocho GPUs.
El paper reconoce varias limitaciones. Las transacciones generadas con QSB son no estándar bajo las políticas de relay (retransmisión) de Bitcoin Core, por lo que deben enviarse directamente a un pool minero que las acepte, como el servicio Slipstream de Marathon. El costo por transacción no escala para uso masivo, y el esquema no es compatible con casos como los canales de Lightning Network. El propio autor lo describe como una medida de último recurso, útil mientras el protocolo no incorpore una solución nativa mediante una actualización de consenso.
La implementación está aún en desarrollo: el pinning en GPU fue probado con éxito, pero el proceso completo de búsqueda de digest y la transmisión on-chain no han sido ejecutados de extremo a extremo.
