量子コンピュータによるBTC秘密鍵解読はROIが低すぎるのでは？

最近量子コンピュータ関係の話題が増えている気がする。

少し前はTaprootだと量子コンピュータに弱いから危険なのでは？？とか思っていたりしてたんだけど、o4 mini highと話していたらそもそもROI低すぎて攻撃される訳ないのでは？？って思い直した。（私はにわかなのでこういう話は既出なのかもしれないけど。）

北朝鮮のラザルスの場合でも盗んだBTCを現金化するのは難しくて結構時間をかけてるみたいだけど、ハッキングと違って量子コンピュータによる攻撃の場合はBTC価格も少なくとも一時的には暴落するだろうし、取引所で売れなくなるかもしれないし、現金化は余計に難しくなりそう。

莫大な計算コストをかけて秘密鍵解読して盗んで急いで現金化みたいなことをやるんだったらラザルスみたいにソーシャルエンジニアリングとかマルウェアみたいなので盗んだほうがROIは圧倒的に高いはずで、わざわざそんなことをやるようには思えないような。

BTCをどうしても破壊したい動機があるとかなら別かもしれないけど、少なくとも個人では自分のBTCが量子コンピュータで盗まれるかも？みたいな心配は杞憂だと思った。

以下、理解できないから合っているのか検証できないけどo4 mini highの出力です。

概要

本ドキュメントでは、量子コンピュータでビットコイン秘密鍵（secp256k1）を解読するために必要な計算コストと構築費用を以下のようにまとめています。

• 必要な論理量子ビット数：約2,330個[2]

• フォールトトレラント実装の物理量子ビット数：約2.33×10^6個（論理1個あたり約1,000個）[3]

• 物理量子ビット単価：約10,000米ドル[1]

• ハードウェア構築費用：約23.3億米ドル（2.33×10^6個×10,000米ドル）

1. 必要な物理量子ビット数 1.1. 論理量子ビット要件 Shorのアルゴリズムで256ビットECDSAを解読するには約2,330論理量子ビットが必要と試算されています[2]。 1.2. フォールトトレラント実装 surface codeなどの誤り訂正を用いると論理1量子ビットあたり約1,000物理量子ビットが必要となり、総計で約2.33×10^6物理量子ビットになります[3]。

2. 物理量子ビットあたりのコスト GAO報告（GAO‑22‑104422）によると、物理量子ビット1個の構築コストは約10,000米ドルと見積もられています[1]。

3. ハードウェア構築総コスト 3.1. ベースケース（1,000,000物理qubit） 1,000,000個 × 10,000米ドル/qubit ＝ 約10億米ドル[1] 3.2. 解読向け（約2.33×10^6物理qubit） 2.33×10^6個 × 10,000米ドル/qubit ＝ 約23.3億米ドル

4. 追加的コスト要素

   • R&D投資：大規模量子機器開発には数億～数十億米ドルが必要とされます。

   • 冷却・制御・運用保守：希釈冷凍機や制御装置の導入・維持に加え、年間1～2百万米ドル程度の運用費が見込まれます。

5. 結論 単一のビットコイン秘密鍵を解読する目的で量子コンピュータを構築する場合、最低でも数十億ドル規模のハードウェア投資が必要であり、攻撃対象アドレス数や市場流動性を考慮するとROIは著しく低く、経済的に非現実的です。

参考文献

[1] U.S. Government Accountability Office, “Quantum Computing and Communications: Status and Prospects (GAO‑22‑104422)”, March 2021. [2] Martin Roetteler, Michael Naehrig, Krysta M. Svore, Kristin Lauter, “Quantum resource estimates for computing elliptic curve discrete logarithms”, arXiv:1706.06752 (2017). [3] Alice & Bob, “More Quantum Computing with Fewer Qubits? Meet our New Error Correction Code!”, alice‑bob.com/blog (2023).