メインコンテンツまでスキップ

BIP-361: SegWit 以来、最も物議を醸しているビットコインの提案

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

少数のビットコイン開発者グループが、5 年前であれば考えられなかったような提案を行いました。将来的に量子コンピュータが市場を一掃してしまう前に、サトシ時代の隠し資産を含む約 650 万 BTC を意図的に凍結するというものです。

BIP-361 へようこそ。これは、ビットコインに 2 つの最も神聖な価値観、すなわち「不変性」と「生存」のどちらかを選択させる提案です。

740 億ドルの防御体制

2026 年 2 月 11 日、Bitcoin Improvement Proposal(BIP)リポジトリは、Casa の CTO である Jameson Lopp と他の 5 人の研究者によるドラフトに、静かに番号を割り当てました。4 月までに、そのドラフトである BIP-361 は、2017 年の SegWit 内戦以来、ビットコインにおいて最も意見が分かれる技術文書となりました。

この提案は、10 年間にわたって公然と隠されてきた戦略的リスクに対処するものです。約 650 万 ビットコインが、十分に強力な量子コンピュータによって侵害される可能性のあるアドレスに存在しています。これには、初期の Pay-to-Public-Key(P2PK)アウトプット、アドレスを再利用した Pay-to-Public-Key-Hash(P2PKH)ウォレット、および公開鍵がすでにチェーンにブロードキャストされているすべての UTXO が含まれます。今日の価格で、これは低く見積もっても約 740 億ドルのリスクにさらされており、一部の分析では、休眠状態の全供給量に広げると、リスクにさらされている範囲は 4,000 億ドルから 5,000 億ドルに近づくとされています。

これらの脆弱なコインの中には、22,000 以上のウォレットに分散され、特徴的な「Patoshi パターン」のマイニング署名によって識別された、サトシ・ナカモトのものとされる推定 110 万 BTC が含まれています。これらのコインは 10 年以上動いていません。それら自ら動くことはできません。そして、暗号学的に意味のある量子コンピュータ(CRQC)が稼働する世界では、それらは一方向にしか動きません。つまり、サトシのウォレットから誰か他の人のウォレットへと。

凍結の実際の仕組み

BIP-361 は単一のスイッチではありません。これは、コンセンサス層が強制的に選択を行う前に、すべてのアクティブなビットコイン保有者が自発的にオプトインできる時間を与えるように設計された、3 つの連続したフェーズによる 5 年間の計画的な移行プロセスです。

フェーズ A は、アクティベーションから約 3 年後に開始されます。ネットワークは、レガシーな量子的に脆弱なアドレスタイプへの BTC の「送信」を拒否するようになります。既存の保有者は、それらのアドレスからコインを「使う」ことは引き続き可能です。つまり、ドアは外側に向かってのみ開きます。その目的は、ウォレット、取引所、およびカストディプロバイダーに対し、期限までにデフォルトで量子耐性のあるフォーマットへ移行するよう促すことです。

フェーズ B は、その 2 年後に到来します。この時点で、レガシー署名はコンセンサスレベルで無効になります。量子耐性のあるアウトプットに移行されていない UTXO は、定義上、使用不可能になります。コインは依然としてオンチェーンに存在しますが、ネットワークによって認識される署名では動かすことができなくなります。それらは意図的に、永続的に凍結されます。

フェーズ C は「道徳的なリリーフバルブ」であり、現在も活発に研究されています。これにより、凍結された UTXO の所有者が、BIP-39 シードフレーズに紐付けられたゼロ知識証明を介して、監視している量子敵対者に基礎となる秘密鍵を公開することなく、資金を回収できるようになります。もし実装されれば、フェーズ C は、長期間紛失していた保有者が、秘密を明かすことなく自分の持ち分を復活させられることを意味します。実装されなければ、「凍結」は文字通り永久的な凍結を意味します。

この提案は、単独で登場したわけではありません。これは、2026 年初頭に BTQ Technologies を通じてテストネットに導入された BIP-360 を明示的に基盤としています。BIP-360 は、Pay-to-Merkle-Root(P2MR)と呼ばれる新しいアウトプットタイプを導入します。P2MR は Pay-to-Taproot と同様に機能しますが、キーパス・スペンド(key-path spend)を削除し、量子コンピュータが悪用する可能性のある長期的な露出リスクを排除します。注目すべきは、BIP-360 はまだ ECDSA や Schnorr を ML-DSA のような格子ベースの方式に置き換えるものではないという点です。その戦いはまだ先にあります。BIP-360 は単に、使用時までハッシュの背後に公開鍵を隠すだけです。そして BIP-361 は、5 年後もまだ公開されたままの者はロックアウトされる、と宣言しています。

アダム・バックによる反対の立場

この提案は、公開された瞬間に壁に突き当たりました。Paris Blockchain Week において、25 年間にわたり量子分野を追跡してきた暗号学者であり、Blockstream の CEO である Adam Back(アダム・バック)氏は、BIP-361 は間違ったツールで間違った問題を解決しようとしていると主張しました。

バック氏の主張は 3 つの点に基づいています。第一に、現在の量子コンピュータは依然として「本質的に実験室レベルの代物」であり、進歩は「漸進的」であるということ。第二に、ビットコインの文化は、真の脅威が現れた際に迅速に動員できることを繰り返し証明してきたこと。リスクが明確であれば、バグは数時間以内に特定され修正されます。第三に、保有者がオプトインできるオプションの量子耐性アップグレードを構築することは、ビットコインの「主権的制御」の約束を守る一方で、強制的な凍結は、これまでのソフトフォークが一度も踏み越えたことのないガバナンスの先例を作ってしまうということです。

Lopp 陣営はその逆を確信しています。彼らの主張は、価格が暴落し、量子敵対者がチェーンを積極的に枯渇させているような圧力下での調整こそが、コンセンサスが崩壊する瞬間であるということです。ネットワークの耐久性に対する信頼がすでに損なわれ始めている危機の中で試みるよりも、海が穏やかな今のうちに移行をスケジュールしておく方が賢明だという考えです。

レトリックを排除した真の争点はこれです。ビットコインは緊急事態下で調整できるのか、それとも平時に事前調整しておく必要があるのか? サトシの中立性、650 万 BTC が「本当に」放棄されたものなのか、凍結が没収に等しいのかといった他のすべての議論は、この問いから派生したものに過ぎません。

脅威が仮定の話ではなくなった理由

この議論が 2026年に単なる周辺的な話題から番号付きの BIP にまで発展した理由は単純です。タイムラインが短縮されたからです。

2026年 3月、Google の量子 AI チームは、50万個未満の物理量子ビット(約 1,200 個の論理量子ビットに相当)を持つ量子コンピュータが楕円曲線暗号を破ることができるという研究結果を発表しました。以前の予測では 1,000 万個の物理量子ビットが必要とされていました。Google 自体の製品全体におけるポスト量子対応の目標は 2029年です。BIP-361 内で引用されている McKinsey やアカデミックなロードマップでは、CRQC(暗号解読可能な量子コンピュータ)の出現時期を 2027年から 2030年の間と予測しています。

わずか 3年。移行作業が容易ではない 1.3兆ドルのネットワークにとって、これは決して十分な猶予期間ではありません。ある学術的な分析によると、すべての ECDSA ベースの UTXO をポスト量子対応のものに完全に置き換えるには、コミュニティ全体が協力することに同意したとしても、累積で約 1,828 時間(76日以上)のネットワークスループットを移行トランザクションに費やす必要があります。量子的な攻撃者がネットワークと並行して競い合っている場合、この計算は劇的に悪化します。

脅威を単なる技術的なものではなく戦略的なものにしているのは、その非対称性です。世界の他の地域より 6ヶ月早く CRQC 機能を獲得した国家レベルの攻撃者は、現在活発に使用されているウォレットを攻撃する必要はありません。それらのコインは定期的に移動し、ハッシュ化された公開鍵の背後に再固定されるからです。攻撃者は、チェーン上に公開されたままになっている数百万の長期間放置された P2PK や使い回されたアドレスの公開鍵から、体系的に秘密鍵を導き出し、静かにそれらを使い果たすだけでよいのです。誰かが気づく頃には、供給ショックがすでに発生しています。

プロトコルの硬直化 vs 自己防衛の断層線

ビットコインの文化は歴史的に、選択を拒否することで困難なトレードオフを解決してきました。「硬直化(Ossification)」、つまりプロトコルの変更を可能な限り少なく、かつ遅くすべきであるという原則は、バグではなく機能として扱われています。SegWit (2017) は、アクティベーション前に激しく争われ、BCH チェーンがフォークする原因となりました。Taproot (2021) は、厳密にオプトイン方式であり、既存の機能を削除することなく新しい機能を追加したため、スムーズにアクティベートされました。OP_CTV カバナントは、長年の議論を経て、ようやく 2025年にアクティベートされました。

BIP-361 は、これら 3つの前例とは構造的に異なります。これはオプトインではありません。既存の権利を保持するものでもありません。特定の UTXO タイプの保有者は、期限を過ぎると自分のコインを使う能力を失うと明示的に述べています。最も意見が分かれた SegWit でさえ、既存の機能を削除することはありませんでした。新しい機能を追加し、古い機能を使用する際の経済的な計算を変えただけでした。

批判派は、これがマイナーのシグナリングによって、OFAC コンプライアンス、盗難資金の回収、裁判所命令による差し押さえ、制裁の執行など、十分に普及した理由があれば、いかなる UTXO でも凍結できるという前例を作ってしまうと主張しています。この「滑り坂」への懸念は妄想ではありません。ネットワークが特定のカテゴリーのコインを凍結できることを一度示してしまえば、残る問題はそのカテゴリーへの編入を正当化するものは何か、という点だけであるという構造的な観察に基づいています。

推進派は、代替案はさらに悪いと反論しています。何もしないということは、供給ショックが不可避であることを受け入れるということであり、サトシのコイン(および数百万の他のコイン)が凍結されるのではなく盗まれることを許し、その過程でのネットワークの価格形成が、10年かけて獲得した機関投資家資金の目から見てビットコインを非正当化するほど壊滅的なものになることを意味します。この枠組みにおいて、凍結は「より小さな罪」なのです。

現実的な結末はおそらくフォークでしょう。かなりの数の少数派が、有効な署名を遡及的に無効にするいかなるコンセンサスルールも受け入れることを拒否するはずです。彼らはフェーズ B 以前のクライアントを実行し続けるでしょう。チェーンは分岐します。その分岐が Bitcoin Cash(衰退していく低時価総額のフォーク)のようになるのか、それとも真の分裂(2つのほぼ同等のチェーンがビットコインの名を懸けて競い合う)になるのかは、取引所、カストディアン、および機関投資家の ETF 複合体がアクティベーションをどのように扱うかにかかっています。

スタックの残りの部分へのインフラへの影響

アクティベーションの前であっても、BIP-361 はビットコインインフラを運用するすべての人にとっての運用状況を変化させます。ウォレットプロバイダーは、今すぐポスト量子耐性のあるアドレス生成をロードマップに追加しなければなりません。移行期間に入ってから、自分たちの鍵派生ライブラリが P2MR 出力を生成できないことに気づくのでは遅すぎるからです。取引所は、フェーズ A 期間中に脆弱なアドレスタイプへの入金をどのように扱うかを決定する必要があります。コールドストレージを管理するカストディプロバイダーは、特に深刻な問題に直面します。何年もエアギャップ状態にあった秘密鍵を、移行トランザクションに署名するためにオンラインにする必要があり、コールドストレージが回避するために設計された運用リスクにさらされることになるからです。

RPC プロバイダーやノードオペレーターにとって、多段階のアクティベーションは新しいカテゴリーのエッジケースを生み出します。フェーズ A の間、メムプールはレガシータイプへのトランザクションを拒否しなければなりませんが、それらからの支出トランザクションは引き続きリレーする必要があります。フェーズ B の間、同じノードは、1ビットの誤差も許されない精度で、有効なポスト量子署名と無効なレガシー署名を区別するコンセンサスロジックを実装しなければなりません。アクティベーション期間中に機関投資家のクライアントにサービスを提供するインフラプロバイダーは、初日からそのコンセンサス境界の正しい側にいる必要があります。

ライトニングネットワークはさらなる層を追加します。チャネル状態の証明は署名に依存しており、その有効性は決済時(チャネル開設から数年後になる可能性もあります)に強制力を持つ必要があります。今日開設された ECDSA 署名で保護されたチャネルは、2031年にも依然として強制力を持たなければなりません。さもなければ、この提案には進行中のチャネルコミットメントに対する明示的な既得権条項(グランドファーザリング)が必要です。BIP-361 のドラフトは、まだこの点について詳細には触れていません。

ビットコインが先送りにできない決断

BIP-361 がこれまでの議論を呼んだどのソフトフォークとも異なる点は、そのタイムラインがビットコインの開発者ではなく、世界の量子コンピューティング研究所によって設定されているという点です。ビットコインは決断を遅らせることはできますが、その決断自体が自らを遅らせることはありません。

コミュニティには、Google の研究者たちが自らに課したのとほぼ同じ、約 3 年という道を選ぶための猶予期間があります。Adam Back 氏が提唱する「オプション(任意)のアップグレード」という道は、保有者が能動的に移行することを前提としています。これは、無視できない一定の割合の人々が移行せず、最終的には量子攻撃者が彼らの残した資産を奪うことを受け入れることになります。一方、Lopp 氏の「強制移行」という道は、行動できない、あるいは行動しようとしない保有者に代わってネットワークが選択を下すことを要求します。これはジェネシスブロック以来維持されてきた原則に違反することを認めるものです。

どちらの道も、ビットコインが本来あるべき姿のすべてを維持できるわけではありません。しかし、第 3 の道、つまり期限など存在しないふりをすることは、そのすべてを失うことになります。

BIP-361 が実際に示しているのは、ビットコインの「何もしない」というデフォルト設定がもはや通用しなくなったということです。プロトコルは、不作為そのものが結果を伴う選択となるほどの規模、歴史、そして戦略的重要性に達しました。ネットワークが分裂することなくこの事実を消化できるかどうかが、今後 5 年間のビットコインを定義する問いとなるでしょう。

SegWit 以来、最も議論を呼んでいるこの提案は、最終的には最も物事を明確にするものになるかもしれません。

BlockEden.xyz は、ビットコインおよび 25 以上のチェーンにおいて本番環境グレードの RPC インフラストラクチャを運用しており、ウォレット、カストディシステム、機関向けアプリケーションを構築する開発者を支援しています。ビットコインの量子移行に関する議論がフォーラムからコンセンサスルールへと進展する中、レガシーアドレスと耐量子アドレスの両方のタイプを(停止することなく)サポートするインフラプロバイダーこそが、アクティベーションの日にその存在感を示し続けるでしょう。当社の API マーケットプレイスを探索 して、長期的な未来を見据えて設計されたインフラストラクチャを活用してください。

出典

Share on Twitter