メインコンテンツまでスキップ

Project Eleven の 2,000 万ドルの賭け:Q-Day 前にビットコインの耐量子化を目指す競争の内幕

· 約 20 分
Dora Noda
Dora Noda
Software Engineer

もし量子コンピュータにパワーを与えるのと同じ物理学が、サトシのウォレット、そしてそれと並ぶ推定 4,400 億ドル相当のビットコインを空にできるとしたらどうでしょうか? 2026 年 1 月、ニューヨークの小さなスタートアップである Project Eleven は、防御策がないままその日が到来することのないよう、1 億 2,000 万ドルの評価額で 2,000 万ドルの資金を調達しました。Castle Island Ventures、Coinbase Ventures、Variant、そしてバラジ・スリニヴァサン(Balaji Srinivasan)が支援するこのラウンドは、「耐量子暗号(quantum-safe crypto)」への最初の本格的な資本サイクルであり、ビットコインにとって最も静かな存在に関わるリスクが、投資可能な産業となった瞬間を象徴しています。

長年、「量子リスク」は学術的な脚注の中に存在していました。しかし 2026 年、それはベンチャー企業のタームシート、NIST(米国国立標準技術研究所)標準、そして活発な BIP(ビットコイン改善提案)の議論へと移行しました。その理由と、実際に何が構築されているのかを以下に示します。

量子を現実のものにした資金調達ラウンド

Project Eleven のシリーズ A は 2026 年 1 月 14 日に完了しました。Castle Island Ventures が主導し、Coinbase Ventures、Variant、Fin Capital、Quantonation、Nebular、Formation、Lattice Fund、Satstreet Ventures、Nascent Ventures、そしてバラジ・スリニヴァサンが資本構成表(キャップテーブル)に名を連ねました。この 2,000 万ドルの調達により、Project Eleven のポストマネー評価額は 1 億 2,000 万ドルに達し、16 ヶ月間での総調達額は約 2,600 万ドルとなりました。同社は以前、2025 年半ばに 600 万ドルのシード資金を調達していました。

創設者のアレックス・プルデン(Alex Pruden)氏は、元米陸軍歩兵および特殊作戦将校であり、同社の使命を簡潔に表現しています。デジタル資産には耐量子暗号への構造化された移行が必要であり、誰かがそのための「つるはしとシャベル(インフラツール)」を作らなければならない、ということです。

注目すべきは金額だけではありません。投資家の顔ぶれです。Castle Island や Coinbase Ventures は、投機的な仮説に基づいて 7 桁ドルの小切手を切ることはありません。Variant、Nascent、Lattice はクリプトネイティブなファンドです。Quantonation は量子技術に特化した投資家です。これらは一丸となって、耐量子インフラが研究上の好奇心の対象から予算項目へと境界線を越えたこと、そしてビットコインの 1.4 兆ドルを超える時価総額は、攻撃者が現れる前に防御資金を投じるのに十分な動機であることを示唆しています。

なぜビットコインの暗号技術が突然タイムリミットを迎えたのか

ビットコインは、secp256k1 曲線上の楕円曲線デジタル署名(ECDSA)によって、約 1,970 万枚のコインを保護しています。ECDSA は従来のハードウェアでは解読不可能ですが、1994 年に考案された量子アルゴリズムである「ショアのアルゴリズム(Shor's algorithm)」は、多項式時間で大きな整数の因数分解や離散対数の計算を行うことができます。十分な規模の誤り耐性量子コンピュータが存在した瞬間、公開されているすべてのビットコインの公開鍵は、実質的に秘密鍵を手に入れたも同然の状態になります。

ハードウェアの実現が数十年先に見えていたため、この脅威は何十年も休眠状態にありました。しかし、その猶予期間は 2026 年 3 月に崩壊しました。

3 月 31 日、Google Quantum AI は新しいリソース推定値を発表し、ビットコインの secp256k1 曲線を破るには、1,200 未満の論理量子ビットと約 9,000 万のトフォリゲート(Toffoli gates)が必要であることを示しました。これは、超伝導表面コードアーキテクチャ上の約 50 万個の物理量子ビットに相当します。以前の推定値は約 900 万個の物理量子ビットでした。一つの論文で 20 分の 1 に短縮されたのです。

Google の研究者は、このマイルストーンに確率を付与しました。2032 年までに量子コンピュータが、公開された公開鍵から secp256k1 ECDSA 秘密鍵を復元できる確率は少なくとも 10% あるとしています。Google 自身の企業ガイダンスでは現在、開発者に対して 2029 年までの移行を促しています。

今日のハードウェアは 50 万量子ビットには程遠い状態です。Google の Willow チップは 105 物理量子ビットに留まっています。IBM の Condor は 2023 年に 1,121 量子ビットの閾値を超え、同社の Nighthawk は 2025 年に 120 論理量子ビットに達しました。しかし、「程遠い」と「不快なほど近い」の間のギャップこそが保険料が決定される場所であり、移行に 10 年かかるのであれば、ビットコインの露出は 2035 年の問題ではありません。

実際に脆弱なもの、そうでないもの

すべてのビットコインが等しくリスクにさらされているわけではありません。脆弱性は、そのコインの公開鍵がオンチェーンで放送されたことがあるかどうかに依存します。

  • P2PK(Pay-to-Public-Key): サトシがマイニングした約 100 万 BTC を含む、ビットコイン初期ののアウトプットは、生の公開鍵をスクリプトに直接埋め込んでいます。これらは永久に露出しており、量子攻撃者に対して無防備な長い滑走路を提供しています。
  • アドレスの再利用: あらゆるタイプのアドレスにおいて、最初の送金トランザクションが承認された瞬間に公開鍵が露出します。それ以降、残っている残高はすべて脆弱になります。
  • 現代的なアドレス(P2PKH、P2WPKH、鍵パスを使用する P2TR): 最初の使用時までハッシュのみを公開します。これらはコールドストレージにある間は安全ですが、トランザクションの放送中に保護を失います。これは、量子能力を持つ敵対者がフロントラン(先回り)できる可能性のある窓口となります。

その総計は驚くべきものです。推定では、約 650 万から 700 万 BTC が量子に対して脆弱な UTXO に存在しており、現在の価格で約 4,400 億ドルの価値があります。これはオーダーブックの隅に隠れたテールリスクではありません。それは、まだ姿を現していない攻撃者によって所有されている、クリプト界で 5 番目に大きな「資産クラス」なのです。

現在競い合っている 3 つの緩和策

Project Eleven の 2,000 万ドルは、孤立して展開されているわけではありません。それは、ビットコインが実際にどのように移行するかという三つ巴の議論の真っ只中に投入されており、その答えはそれぞれ大きく異なります。

1. 移行ツール:Project Eleven の Yellowpages

Project Eleven の主力製品である Yellowpages は、耐量子暗号レジストリです。ユーザーは格子ベースのアルゴリズムを使用してハイブリッド鍵ペアを生成し、新しい量子安全な鍵と既存の Bitcoin アドレスを紐付ける暗号学的証明を作成し、その証明を検証可能なオフチェーン台帳にタイムスタンプと共に記録します。Bitcoin が将来、耐量子アドレス標準を採用した際(あるいは採用する場合)、Yellowpages のユーザーは自分のコインを請求できる鍵をすでに事前コミットしていることになります。

極めて重要な点として、Yellowpages は現在 Bitcoin で実際に本番環境にデプロイされている唯一の耐量子暗号ソリューションです。同社はまた、Solana 向けの耐量子テストネットも構築しており、他社がまだホワイトペーパーを草案している間に、クロスチェーン移行ベンダーとしての地位を静かに確立しています。

2. プロトコルレベルのアドレス標準:BIP-360

開発者の Hunter Beast 氏が主導する BIP-360 は、Pay-to-Merkle-Root(P2MR)と呼ばれる新しい Bitcoin 出力タイプを提案しています。P2MR は Pay-to-Taproot のように機能しますが、量子的に脆弱なキーパス・スペンド(key-path spend)を排除し、それを量子耐性があると見なされている格子ベースのスキームである FALCON または CRYSTALS-Dilithium 署名に置き換えます。

ソフトフォークによって有効化されれば、BIP-360 はユーザーに移行先を提供することになります。しかし、これによって露出したコインが自動的に救済されるわけではありません。

3. コインの凍結:BIP-361

2026 年 4 月に提案された BIP-361 は、最も議論を呼んでいる対応策です。サトシ・ナカモトの 100 万コインを含む、約 650 万 BTC の量子的に脆弱なコインをその場に凍結し、攻撃者がフロントランニングできるような移動を一切禁止するというものです。復元は BIP-39 ニーモニックから生成されたウォレットのみが可能となります。P2PK 出力やその他の初期のフォーマットは、事実上バーン(焼却)されることになります。

この提案は、Bitcoin コミュニティをその最も古い対立軸に沿って二分しました。一方の陣営は、たとえ最終的に攻撃者がそれらのコインを手にすることになったとしても、不変性と信認ある中立性は神聖なものであると主張します。もう一方は、4,400 億ドルもの資産がたった一つの週末で敵対的なアクターに流出することを許せば、通貨史上最大の富の移転となり、Bitcoin の固定供給モデルの完全性こそが守るべき特性であると反論しています。

明快な答えはありません。Bitcoin が 650 万コインを黙って盗まれることを受け入れるか、あるいは、ネットワークが 17 年間避けてきた「コインを凍結するためのプロトコルレベルの介入」という前例を作ることを受け入れるかのどちらかです。

NIST FIPS 203/204 が暗号のデフォルトを設定

NIST(米国国立標準技術研究所)が規格を最終決定したことで、技術的な構成要素が整いました。2024 年 8 月 13 日、同機関は 3 つの耐量子暗号標準を公開しました。

  • FIPS 203 (ML-KEM):CRYSTALS-Kyber から派生したモジュール格子ベースの鍵カプセル化メカニズム。鍵交換において RSA と ECDH を置き換えます。
  • FIPS 204 (ML-DSA):CRYSTALS-Dilithium から派生したモジュール格子ベースのデジタル署名アルゴリズム。署名において ECDSA と RSA を置き換えます。
  • FIPS 205 (SLH-DSA):SPHINCS+ から派生したステートレス・ハッシュベース・デジタル署名標準。保守的なハッシュベースの署名代替手段を提供します。

NSA(国家安全保障局)の CNSA 2.0 ロードマップでは、2027 年までに新しい機密システムへの耐量子デプロイを義務付け、2035 年までに完全な移行を求めています。NIST 自体は、重要インフラにおいて 5 〜 10 年の導入サイクルを予測しています。Cloudflare は 2029 年までに完全な耐量子カバレッジを目指しています。

Bitcoin の移行スケジュールも、その枠組みのどこかに収まるはずです。難しいのは、国家機関の IT 部門は期限を強制できるのに対し、パーミッションレスな分散型ネットワークでは、CEO がいない中で何千もの独立したアクターを調整し、納得させなければならないという点です。

Optimism との比較:Ethereum のスーパーチェーンが進める手法

この競争に挑んでいるのは Bitcoin だけではありません。2026 年 1 月下旬、Optimism はスーパーチェーン(Superchain)のための 10 年間の耐量子ロードマップを公開しました。これは有用な対比となります。

OP Stack の計画には 3 つのレイヤーがあります。

  • ユーザーレイヤー:EIP-7702 を使用して、外部所有アカウント(EOA)が、耐量子署名を検証できるスマートコントラクトアカウントに署名権限を委譲できるようにします。これにより、ユーザーはアドレスを捨てる必要がなくなります。
  • コンセンサスレイヤー:L2 シーケンサーとバッチサブミッターを ECDSA から耐量子スキームへ移行させます。
  • 移行期間:2036 年 1 月の期限まで、ECDSA と耐量子署名の両方をデュアルサポートします。

Optimism はまた、バリデーターを BLS 署名や KZG コミットメントから移行させるためのタイムラインを確約するよう、Ethereum メインネットに働きかけています。報告によれば、Ethereum 財団もこれに関与しています。

アーキテクチャの違いは示唆に富んでいます。Ethereum のアカウント抽象化ロードマップ(および Solana のランタイムの柔軟性)により、耐量子移行はスマートコントラクトのアップグレードとして扱えます。一方、Bitcoin の UTXO モデルとミニマリストなスクリプト言語では、開発者、マイナー、経済ノードの間で社会的合意を必要とするソフトフォークの議論になります。同じ問題が、全く異なるガバナンス上の課題を生み出しているのです。

投資家の論理:保険料の価格設定

なぜ、今日時点で Bitcoin を破れる量子コンピュータが存在しないにもかかわらず、1 億 2,000 万ドルのバリュエーションでの 2,000 万ドルのシリーズ A が成立するのでしょうか?

その計算は保険数理的なものです。2032 年より前に「Q-day(量子の日)」が到来する確率を 10% と仮定し、それを Bitcoin と Ethereum の 1.8 兆ドルのエクスポージャーに適用すると、予想損失は 1,800 億ドルを超えます。そのエクスポージャーに対するわずか 1% の保険料であっても、カストディアン、取引所、ウォレット、規制下にあるトークン化プラットフォーム全体で 18 億ドルの経常収益となります。Project Eleven は、数十億ドルの成果を正当化するために、そのごく一部を獲得するだけでよいのです。

競合状況はまだまばらです。Zama は署名の置き換えではなく FHE(完全準同型暗号)のプリミティブを構築しています。Mina は設計上、耐量子フレンドリーですが、移行ベンダーではなく別の L1 です。AWS KMS や Google Cloud HSM も最終的にはターンキーの耐量子署名を提供するでしょうが、汎用的な PQC サービスを急いでリリースするハイパースケーラーと、Bitcoin 向けの実用的な移行ツールを実際にリリースしたドメイン専門家チームとは別物です。

Project Eleven にとってのリスクは、「必然性のためのインフラ」を手掛けるスタートアップが直面する共通のものです。移行に時間がかかりすぎれば顧客は予算を割かず、移行が急速に進みすぎれば Project Eleven が流通網を構築する前にクラウドベンダーに吸収されてしまいます。シリーズ A で調達した資金は、その微妙な中間期においてデフォルトの選択肢であり続けるための滑走路(ランウェイ)を確保するためのものです。

ビルダー、カストディアン、ホルダーが今すべきこと

実践的なステップは地味なものですが、ビットコインのガバナンスを待つ必要はありません。

  1. アドレスの再利用を監査する。一度でも送金を行い、かつ残高が残っているアドレスは、公開鍵を公開している状態にあります。取引履歴のない新しいアドレスに資金を移動(スイープ)してください。
  2. P2PK やレガシー形式を避ける。カストディスタックが依然としてこれらを使用している場合は、使い捨ての最新アドレスタイプへの移行を計画してください。
  3. BIP-360 / BIP-361 の進展を追跡する。長期保有者にとっては、スポット価格よりもアクティベーションのスケジュールの方が重要です。
  4. 機関投資家:今すぐ調査フェーズを開始する。NIST と連邦準備制度(FRB)は、いずれも 2 ~ 4 年以内にインベントリの作成と移行計画を完了することを推奨しています。これには、HSM ベンダーのロードマップ、KYT パイプライン、および財務ポリシーが含まれます。
  5. ビルダー:暗号アジリティ(Crypto-Agility)を考慮して新しいシステムを設計する。現在 ECDSA をハードコードしているプロトコルは、署名スキームをインターフェースの背後に抽象化しているプロトコルよりも、将来的に高い移行コストを支払うことになります。

これらのステップの多くは、たとえ Google の論文が記述するような形で Q-day(量子の日)が到来しなかったとしても有用です。これらは従来の脅威に対する攻撃対象領域を減らすことにもつながります。

大局的な視点:量子移行は新たな Y2K — ただし、現実に起こるもの

Y2K(2000 年問題)の例えは使い古されていますが、構造的には適切です。長く警告され、技術的で、ガバナンスの負担が大きく、外部から課せられた期限があり、成功は目に見えず、失敗は破滅的であるという点です。Y2K の修復には、世界経済で推定 3,000 億 ~ 6,000 億ドルのコストがかかりました。耐量子移行には、インストールベースがより広大であり、アップグレード対象のシステムに単一の企業が制御できないパブリックブロックチェーンが含まれるため、それ以上のコストがかかる可能性があります。

Project Eleven の 2,000 万ドルは、ビットコインがもはやカレンダーを無視できないことを認めた最初の重大な出来事です。Optimism の 10 年間のロードマップは、主要な L2 からの最初の真剣な表明です。3 月 31 日の Google の論文は、量子分野の主要プレーヤーが、タイムラインが業界の想定よりも短いことを認めた最初の重大な指摘です。

2027 年までに、3 つのことを想定すべきです。少なくとも 1 つの耐量子アドレスタイプに関連する BIP がアクティベーションステータスに達すること(BIP-360 が有力候補)、すべての主要な機関投資家向けカストディアンが量子準備状況に関する声明を公開すること、そして Project Eleven のような形態でさらに少なくとも 2 つのスタートアップが資金調達を完了することです。2030 年までには、耐量子署名はあらゆる企業の暗号資産調達における RFP(提案依頼書)の必須チェック項目になるでしょう。

Q-day が Google のスケジュール通りに到来するかどうかは分かりません。しかし、それに備えるための移行はすでに始まっており、先手を打つための期間は急速に短くなっています。

BlockEden.xyz は、15 以上のチェーンにわたってエンタープライズグレードの RPC およびインデックス作成インフラを運用しています。耐量子標準が成熟し、チェーンレベルの移行が展開される中、当社のノードは、新しい署名スキーム、アドレスタイプ、および二重サポート期間が実際に本番環境で機能する必要があるレイヤーとなります。当社の API マーケットプレイスを探索して、暗号技術の長期的な変遷を見据えて設計されたインフラ上で構築を開始してください。

参照元

Share on Twitter