Startup quantistica paga 1 BTC per un 'attacco' che non sfrutta la computazione quantistica

Una startup specializzata in cybersecurity quantistica, Project Eleven, ha recentemente assegnato un premio di 1 bitcoin (BTC) a un ricercatore che avrebbe dimostrato la violazione di una chiave crittografica a 15 bit su hardware IBM Quantum. L’azienda, sostenuta da investitori come Coinbase Ventures, Balaji Srinivasan, Castle Island Ventures e Variant, aveva presentato l’evento come il più grande attacco pubblico alla crittografia che protegge Bitcoin, Ethereum e oltre 2,5 trilioni di dollari in asset digitali basati su Elliptic Curve Cryptography (ECC).

Tuttavia, la presunta scoperta è stata rapidamente smentita da sviluppatori indipendenti, che hanno replicato il risultato utilizzando metodi classici, senza ricorrere a computer quantistici. In poche ore, alcuni sviluppatori di Bitcoin sono riusciti a riprodurre l’esperimento su normali computer domestici, dimostrando che il premio era stato assegnato per una soluzione che non sfruttava affatto la computazione quantistica.

Uno di questi sviluppatori, Jonas Schnelli, ha commentato su X (ex Twitter):

«Il computer quantistico non ha contribuito a nulla (solo rumore)! La risposta è stata ottenuta da un controllo classico che ha setacciato il rumore casuale. Ho riprodotto tutto in 20 righe di Python senza usare un computer quantistico».

Un altro esperimento di replica è stato condotto dal ricercatore Yuval Adam, che ha sostituito il backend di IBM Quantum con una semplice fonte di numeri casuali, /dev/urandom di Linux. Adam ha mantenuto invariato il resto del setup e ha documentato il risultato aprendo una pull request nel repository di Giancarlo Lelli, il vincitore del premio. Il risultato? Anche un computer classico, utilizzando dati casuali, è riuscito a recuperare la chiave crittografica con un numero di tentativi paragonabile a quello dell’hardware quantistico.

Adam ha pubblicato su X:

«Ho sostituito il computer quantistico con /dev/urandom. La chiave viene comunque recuperata».

Anche NVK, fondatore di Coldcard, ha analizzato il codice e ha concluso che si trattava di «calcoli classici mascherati da soluzioni quantistiche». Lo stesso Lelli, nel file README del suo progetto, ha ammesso che «con un numero sufficiente di tentativi, il rumore casuale da solo può recuperare la chiave privata con alta probabilità».

Nonostante queste evidenze, la giuria di Project Eleven ha comunque assegnato il premio in BTC al ricercatore. La vicenda ha sollevato dubbi sulla reale efficacia delle dimostrazioni di attacchi quantistici e sulla trasparenza delle valutazioni in ambito crittografico.

La notizia ha anche riacceso il dibattito sulla necessità di adottare soluzioni post-quantum, soprattutto dopo che Cloudflare ha annunciato un’iniziativa per testare la resilienza delle infrastrutture crittografiche entro il 2029. Alcuni esperti, come Alex Bergeron di Ark Labs, hanno criticato l’operato di Project Eleven, definendo l’episodio come «un trucco da quattro soldi senza alcuna responsabilità».