Bitcoin & Máy tính lượng tử: Đây là việc cần làm trước 2030
Tuần trước, một người bạn nhắn tôi qua Zalo: "Anh ơi, em đọc bài máy tính lượng tử sẽ giết Bitcoin trong 5 năm. Em có nên bán hết không?"
Câu hỏi đó làm tôi ngồi xuống. Tôi đã biết đến và đã từng mua, từng bán Bitcoin từ 2017, qua 2 chu kỳ tăng và 2 chu kỳ giảm. Tôi đã trả lời câu hỏi của vợ về crypto cả trăm lần. Nhưng khi câu hỏi này đến, tôi nhận ra một điều khá ngượng: tôi chưa từng viết về mối đe dọa mang tên “máy tính lượng tử” (dù tôi cũng khá hiểu). Tôi chưa từng mở ví ra để xem chính xác Bitcoin của tôi đang nằm ở loại địa chỉ nào. Liệu ó có nguy cơ bị tấn công bởi máy tính lượng tử hay không?
Và hôm nay tôi viết. Tôi thử check. Tôi audit ví.
Bài viết này là quá trình tôi đi tìm câu trả lời, để nếu bạn cũng đang giữ BTC trong Ledger, Trust Wallet… hay trên sàn, bạn có một bản đồ rõ ràng. Không hù dọa. Không bảo bạn bán. Cũng không nói "yên tâm đi, ngủ ngon đi".
Chỉ là: đây là sự thật, đây là việc cần làm trong 30 phút.
1. Vì sao câu hỏi này đang quay lại
Tôi để ý từ cuối 2024, mỗi vài tháng lại có một làn sóng tin tức làm cộng đồng crypto rúng động:
Cho ai chưa quen thuật ngữ: máy tính thường xử lý từng "bit", giống công tắc đèn, hoặc bật (1) hoặc tắt (0). Qubit là đơn vị tính toán của máy tính lượng tử, có thể vừa bật vừa tắt cùng lúc, giống đồng xu đang xoay trên không. Khi có nhiều qubit phối hợp, máy tính lượng tử tính song song hàng triệu khả năng cùng lúc. Nó đặc biệt giỏi giải các bài toán dạng "dò mật khẩu trong đống mật khẩu khổng lồ", và đó chính là cách Bitcoin đang bảo vệ tài sản của bạn.
Mỗi tin lượng tử mới đều có ít nhất một KOL viết: "Bitcoin có thể bị phá trong 5 năm tới". Người không có nền tảng kỹ thuật đọc được sẽ hoảng. Người có BTC dài hạn lại càng hoảng hơn vì họ có nhiều thứ để mất.
Trở về với câu hỏi đầu bài viết thì câu trả lời ngắn của tôi cho bạn ấy hôm đó: "Em không cần bán. Nhưng em cần biết em đang giữ cái gì."
Phần còn lại của bài viết này giải thích vì sao.
2. Máy tính lượng tử đe dọa cái gì của Bitcoin
Tôi phải nói rõ phần này, vì hầu hết các tin tức bỏ qua. Bitcoin có hai lớp mã hóa, và máy tính lượng tử không đe dọa cả hai một cách giống nhau.
Trước khi vào kỹ thuật, ta cần một hình dung đời thường. Hãy nghĩ ví Bitcoin của bạn như một két sắt ở ngân hàng:
Public key (khóa công khai) giống số tài khoản. Ai cũng có thể biết và chuyển tiền vào két cho bạn.
Private key (khóa riêng tư) giống mật khẩu rút tiền. Chỉ bạn biết, dùng để mở két và lấy tiền ra.
Khi bạn để công khai số tài khoản (public key), kẻ xấu gần như không thể suy ngược ra mật khẩu (private key) bằng máy tính hiện nay. Về lý thuyết, một máy tính lượng tử đủ lớn chạy thuật toán Shor có thể rút ngắn quá trình này xuống mức khả thi hơn rất nhiều. Đó là toàn bộ vấn đề.
Bây giờ vào hai lớp:
Lớp 1: SHA-256, hàm băm. Đây là lớp tạo ra địa chỉ ví và cố định lịch sử blockchain.
Bạn hình dung hash giống cối xay thịt: bỏ miếng thịt nguyên (dữ liệu) vào, ra thịt xay (chuỗi ký tự ngẫu nhiên). Không ai ghép thịt đã xay lại thành thịt nguyên được, kể cả máy lượng tử. Thuật toán Grover chỉ giúp máy lượng tử dò nhanh hơn gấp đôi, giống giảm thời gian tìm một cái tên trong danh bạ điện thoại từ 10 phút xuống 5 phút. Vẫn rất chậm. Hash của Bitcoin gần như không bị đe dọa.
Lớp 2: ECDSA trên đường cong secp256k1, chữ ký số. Đây là lớp ký giao dịch khi bạn gửi BTC.
Chữ ký số ECDSA giống chữ ký tay của bạn trên hợp đồng: chỉ bạn ký được (vì bạn có private key), nhưng ai cũng kiểm tra được chữ ký đúng (qua public key). Thuật toán Shor trên máy lượng tử là cái nguy hiểm thật sự, nó giống một máy chuyên nghiên cứu chữ ký mẫu của bạn rồi làm giả y hệt. Nếu kẻ tấn công thấy public key của bạn đã lộ trên blockchain, và có máy tính lượng tử đủ mạnh, họ có thể suy ngược ra private key và ký giao dịch giả. Tiền bạn sẽ bay.
→ Tóm gọn: vấn đề nằm ở chỗ public key có lộ hay không, chứ không phải Bitcoin sẽ "chết".
Theo các nghiên cứu mới nhất (tổng hợp từ báo cáo MIT Sloan Quantum Index và phân tích của Deloitte), cần khoảng hàng triệu qubit vật lý ổn định, tương đương vài nghìn qubit logic sau khi sửa lỗi, để chạy Shor trên ECC của Bitcoin. Hiện tại các hệ thống tốt nhất có khoảng 1.000 qubit vật lý, chưa kèm sửa lỗi sâu. Khoảng cách: 10–15 năm theo phần lớn chuyên gia, có người nói 20 năm trở lên.
Vì thế nguy cơ bay Bitcoin trong ví là có. Nhưng.. không phải tomorrow. Nhưng cũng không phải fake.
3. Không phải ví Bitcoin nào cũng có cùng rủi ro
Đây là phần gần như không ai nói, vì nó khá kỹ thuật. Nhưng nó là phần quan trọng nhất.
Để dễ hình dung trước khi xem bảng: hãy tưởng tượng nhà bạn có một bộ chìa khóa độc bản, không ai chép được. Bitcoin có 4 cách "trưng" chìa khóa đó ra cho hàng xóm:
Bây giờ chi tiết cho từng loại:
🔴 P2PK (Pay-to-Public-Key) - rủi ro cao nhất
- Không có địa chỉ riêng, pubkey để thô trên blockchain
- Public key lộ vĩnh viễn từ ngày đầu
🟡 P2PKH (Legacy) - an toàn nếu chưa chi tiêu (chưa gửi đi)
- Địa chỉ bắt đầu bằng 1...
- Public key chỉ lộ khi chi tiêu lần đầu
🟡 P2WPKH (SegWit Native) - an toàn nếu chưa chi tiêu
- Địa chỉ bắt đầu bằng bc1q...
- Public key chỉ lộ khi chi tiêu lần đầu
🟠 P2TR (Taproot) - rủi ro cao
- Địa chỉ bắt đầu bằng bc1p...
- “Public key lộ vĩnh viễn từ ngày đầu” - Taproot đưa nhiều dữ liệu khóa công khai lên blockchain sớm hơn so với P2WPKH truyền thống. Một số nhà nghiên cứu cho rằng điều này có thể làm tăng mức phơi nhiễm quantum trong tương lai, dù đây vẫn là chủ đề đang được phân tích kỹ thuật.
Nếu bạn đọc lại bảng trên một lần nữa. Sẽ có một điều phản trực giác:
Taproot, loại địa chỉ mới nhất, được khen "hiện đại nhất", lại lộ public key vĩnh viễn, giống P2PK của thời Satoshi.
Cụ thể loại ví P2TR Taproot, loại địa chỉ mới nhất của Bitcoin, có cách xử lý khóa công khai khác với SegWit truyền thống. Điều này tạo ra nhiều tranh luận trong cộng đồng về mức độ phơi nhiễm quantum dài hạn.
Điều này có nghĩa: bất cứ ai chuyển BTC sang địa chỉ bc1p... để cảm thấy "mình đang dùng công nghệ mới nhất" có thể đang chấp nhận rủi ro quantum cao hơn người vẫn dùng bc1q... cũ.
"Mới hơn không có nghĩa là an toàn hơn."
Còn một con số đáng chú ý từ báo cáo của QRL Foundation: khoảng 25% Bitcoin đang nằm ở các địa chỉ đã lộ public key, gồm:
- Toàn bộ BTC ở dạng P2PK từ giai đoạn 2009–2010 (chủ yếu ví của Satoshi)
- Các địa chỉ P2PKH/P2WPKH đã chi tiêu một phần, nghĩa là pubkey đã lộ
- Các địa chỉ P2TR
Như vậy hiện nay, một phần tư tổng cung Bitcoin đang ở vùng có rủi ro. Phần còn lại, bao gồm BTC chưa từng được chi tiêu trong ví hiện đại, vẫn ở vùng tương đối an toàn.
4. Cách audit ví Bitcoin của bạn (30 phút)
Phần này là hướng dẫn chung. Bạn có thể làm theo dù đang dùng ví cứng (Ledger, Trezor, SafePal), ví phần mềm (Trust Wallet, Electrum, Sparrow, MetaMask), hay để BTC trên sàn (Binance, Coinbase, MEXC, …).
Cốt lõi: bạn cần biết 2 điều.
- (a) Ví của bạn sinh ra loại địa chỉ nào (loại 1, 2, 3 hay 4 ở mục 3 phía trên)
- (b) Địa chỉ đó đã từng "chi tiêu - gửi đi" (spend) lần nào chưa
Bước 1: Xác định loại địa chỉ ví bạn đang dùng
Nếu bạn dùng ví cứng, ví lạnh (Ledger, Trezor...): mở app quản lý ví trên máy tính (Ledger Live, Trezor Suite), vào tài khoản Bitcoin, tìm phần "derivation path" hoặc "loại tài khoản". Tra cứu nhanh loại ví.
Nếu bạn dùng ví phần mềm, ví nóng (Trust Wallet, Electrum, Sparrow...): mở app, vào Settings hoặc Receive, xem địa chỉ nhận bắt đầu bằng gì. So với bảng trên là biết loại.
Nếu bạn để BTC trên sàn: vào mục Deposit Bitcoin, nhìn địa chỉ nhận hệ thống cấp cho bạn. Sàn quốc tế lớn thường dùng bc1q... (SegWit). Một số sàn nhỏ vẫn dùng 3... (Nested SegWit).
Ghi xuống loại địa chỉ của ví bạn. Đây là thông tin đầu tiên cần có trên bản đồ.
Bước 2: Kiểm tra lịch sử địa chỉ
Mở trình duyệt, vào mempool.space (miễn phí, không cần đăng ký, không cần khai báo gì cả). Dán địa chỉ nhận BTC của bạn vào ô tìm kiếm trên cùng.
Trang sẽ hiện ra:
- Total received: tổng BTC từng nhận
- Total sent: tổng BTC từng gửi đi
- Lịch sử từng giao dịch theo thời gian
Bạn cần nhìn vào con số Total sent:
- Nếu = 0: với các loại địa chỉ như P2PKH/P2WPKH, public key thường chưa lộ trực tiếp trên blockchain, nên mức phơi nhiễm quantum hiện thấp hơn đáng kể.
- Nếu ≥ 1: public key đã lộ, vĩnh viễn nằm trên blockchain. Đây là vùng rủi ro quantum.
Bước 3: Lặp lại nếu có nhiều ví
Nhiều người 35–55 có BTC ở 2–3 chỗ. Ví cứng cho phần lớn (cold storage). Ví mềm trên điện thoại để giao dịch nhanh. Một ít trên sàn để mua bán. Audit từng cái. Mỗi cái thêm 5 phút.
Sau audit, bạn sẽ có 1 trong 4 nhóm sau
📊 Một ví dụ thật từ mempool.space
Để bạn dễ hình dung, đây là chân dung audit của một ví SegWit Native (bc1q...) tôi check ngẫu nhiên trên mempool: Có 21 giao dịch
Ví này có 13 lần chi tiêu & 18 lần nhận.
Tới đây nhiều bạn sẽ dừng lại hỏi: "13 lần chi tiêu" nghĩa là gì? Khác gì với 18 lần nhận? Đây là chỗ dễ bị rối, nên tôi giải thích kỹ.
Mỗi giao dịch Bitcoin có hai chiều khác nhau:
Trở lại ví dụ: 13 lần chi tiêu nghĩa là người chủ ví này đã gửi BTC đi 13 lần khác nhau. Public key của họ đã lộ trên blockchain từ lần đầu tiên. 12 lần sau không thêm rủi ro mới, vì public key đã có sẵn từ giao dịch đầu rồi.
Theo phân loại ngay phía trên, ví này thuộc Nhóm 2 (đã spend, pubkey đã lộ). Khi BIP-360 chính thức và Bitcoin upgrade, đây là loại ví cần được move BTC sang địa chỉ mới sớm.
Bây giờ áp dụng ngược lại cho bạn: nếu vào mempool và thấy Total sent = 0, bạn đang ở Nhóm 1 (vùng an toàn nhất). Nếu thấy bất kỳ con số nào lớn hơn 0 ở Total sent - dù bạn dùng SegWit, Legacy, hay Taproot thì.. pubkey đã lộ.
Bây giờ, bạn biết mình đang ở đâu.
Sau khi audit xong, bạn đã có bản đồ. Đó là thứ phần lớn người giữ BTC ở Việt Nam đang không có.
Viết thêm: Bài toán 1 triệu Bitcoin của Satoshi
Có một phần của câu chuyện ít người dám nói thẳng, vì nó không có lời giải sạch. (trừ khi Satoshi xuất hiện)
Khoảng 1 triệu Bitcoin được tin là do Satoshi Nakamoto khai thác trong những tháng đầu của mạng lưới (2009–2010). Hầu hết số này nằm ở các địa chỉ P2PK, loại địa chỉ duy nhất tồn tại thời đó, và lộ public key vĩnh viễn ngay từ giây phút đầu.
Quay lại ví dụ ngôi nhà: Satoshi đã dán hình cả chìa khóa lên cửa từ ngày đầu tiên, và không quay lại nhà nữa.
Theo giá hiện tại (~80.000 USD/BTC), đó là 80 tỷ USD đang đứng yên trong các địa chỉ mà bất cứ ai có máy tính lượng tử đủ mạnh đều có thể derive private key (truy xuất khóa riêng tư) Satoshi không động đến chúng suốt 16 năm, và phần lớn cộng đồng tin Satoshi sẽ không bao giờ.
Câu hỏi đáng sợ: điều gì xảy ra vào ngày một ai đó, chính phủ, công ty, hoặc một “con AI” nào đó, thực sự có máy tính lượng tử đủ mạnh và quyết định "tỉnh dậy" số coin đó?
Có vài kịch bản đã được thảo luận trong cộng đồng (bạn có thể xem chi tiết trên postquantumcryptography.de và blog Google Research).
Tôi không có câu trả lời. Không ai có. Nhưng tôi nghĩ đây là rủi ro hệ thống lớn nhất mà phần lớn nhà đầu tư BTC ở Việt Nam chưa từng nghe đến.
Việc bạn cần làm: theo dõi xem cộng đồng Bitcoin chọn kịch bản nào trong 5–10 năm tới. Vì quyết định đó sẽ ảnh hưởng đến giá BTC & danh mục đầu tư của bạn, dù bạn để BTC trong ví nóng, ví lạnh hay để trên sàn.
5. Ba việc cần làm trước 2030, không phải ngày mai, nhưng nên…
Sau khi audit xong, tôi tự rút ra 3 việc. Tôi viết ra đây để bạn không phải tìm lại:
Một: Audit ví bạn, 30 phút cuối tuần này.
Bạn không cần đợi quantum tới mới biết mình đang ở đâu. Mở Ledger Live (hoặc app ví bạn dùng), tìm derivation path, copy địa chỉ lên mempool.space, check lịch sử spend. Nếu lười, ít nhất hãy ghi xuống một câu: "Tôi đang dùng loại địa chỉ… và nó đã spend (gửi đi)… lần." Câu đó đáng giá hơn bất kỳ bài blog nào bạn đọc về quantum.
Hai: Không tái sử dụng địa chỉ nhận tiền.
Đây là việc tôi đánh giá còn quan trọng hơn cả việc đổi loại ví.
Lý do: nếu một địa chỉ chưa từng spend, public key chưa lộ. Mỗi lần bạn nhận BTC, ví cứng (Ledger, Trust, Sparrow, Electrum) sinh ra một địa chỉ mới, đó là tính năng mặc định, không phải gì cao siêu. Nhưng nhiều người tay click chuột nhanh quá, copy mãi một địa chỉ cũ để nhận. Đừng làm thế nữa.
Ba: Self-custody (tự quản lý/tự lưu ký), không để hết trên sàn.
Khi Bitcoin trong tương lai có proposal hoặc soft fork chính thức cho chữ ký post-quantum (BIP-360 đang propose, NIST đã chuẩn hóa Dilithium từ 2024), người dùng sẽ phải chủ động move coin sang địa chỉ mới có chữ ký PQC. Quá trình này cần private key của bạn. Nếu BTC của bạn đang trên Binance, Coinbase, hay sàn nhỏ, bạn phụ thuộc hoàn toàn vào sàn có upgrade kịp và không mất tiền của bạn trong quá trình đó.
Quantum không phải lý do duy nhất cho self-custody. Ngay cả trước bài toán lượng tử, việc nắm private key của chính mình vẫn là nguyên tắc cốt lõi với tài sản dài hạn.
6. Nếu bạn để BTC trên sàn, cách suy nghĩ
Tôi biết nhiều bạn đọc CHẠM có BTC ở Binance, Coinbase, MEXC, OKX… hoặc các sàn VN sắp tới. Đây là bài toán khác:
Câu hỏi bạn cần tự trả lời, không phải để chuẩn bị cho quantum mà cho cả 100 lý do khác (sàn hack, sàn phá sản, sàn bị cấm): "Tôi có chấp nhận phụ thuộc vào sàn cho phần BTC dài hạn của mình không?"
Nếu câu trả lời là "không thực sự thoải mái", bạn biết phải làm gì. Tôi không nói "rút hết". Tôi chỉ nhắc bạn "đọc lại câu hỏi và thành thật với chính mình".
7. Vậy bao giờ cần có cần lo?
Câu trả lời là: Hiện tại không!
Tôi viết bài này không phải để bạn hoảng. Tôi viết để bạn có bản đồ.
Theo các báo cáo cập nhật từ MIT, Deloitte và Google Research, mốc thời gian quantum thực sự đe dọa Bitcoin là 10–15 năm, có thể hơn. Trong khung đó, đây là những gì cộng đồng đang làm: - NIST đã chuẩn hóa PQC từ 2024 (Kyber, Dilithium, SPHINCS+) - Đã có fork thử nghiệm pqcBitcoin (QBlock) trên GitHub - Đã có blockchain post-quantum riêng (QRL) - Bitcoin core devs đang thảo luận BIP-360
Cách so sánh tôi thấy đúng nhất: Quantum & Bitcoin giống sự kiện Y2K. Có rủi ro thật. Có thời gian chuẩn bị. Khi tới ngày, nếu cộng đồng làm việc tử tế, đó sẽ là "sự kiện kỹ thuật lớn nhưng có kiểm soát", không phải tận thế.
Kết cái nhỉ
15 phút đọc bài này. 30 phút check ví để hiểu mình đang giữ cái gì. Tôi kết thúc bài viết này với một câu hỏi tôi sẽ hỏi lại bạn:
Bạn đã biết Bitcoin của mình thực sự nằm ở loại địa chỉ nào chưa?
Nếu chưa, đây là gợi ý: bookmark bài này, để vào checklist cuối tuần. Cầm cốc cà phê, mở app ví bạn dùng, làm 3 bước ở Mục 4. Sau 30 phút bạn sẽ có thứ phần lớn người giữ BTC không có: bản đồ thật.
Trong nửa sau cuộc đời, có những thứ bạn không cần phải hiểu sâu, bạn để chuyên gia làm. Nhưng có những thứ chỉ bạn mới làm được vì chỉ bạn cầm chìa khóa. Bitcoin là một trong số đó.
Điều quan trọng nhất tôi học được sau khi audit ví không phải “Bitcoin sắp gặp nguy”, mà là: phần lớn rủi ro đến từ việc chúng ta không hiểu mình đang giữ cái gì
Tôi sẽ cập nhật bài khi có thông tin mới về BIP-360 và mốc Bitcoin core devs chốt PQC. Nếu bạn audit xong và muốn chia sẻ kết quả, reply email này, để lại bình luận tôi đọc hết.
Nguồn tham khảo
MIT Sloan - Quantum Index Report: tình trạng phần cứng lượng tử và sửa lỗi (2025–2026). https://mitsloan.mit.edu/ideas-made-to-matter/new-mit-report-captures-state-quantum-computing
Deloitte - Quantum computers and the Bitcoin blockchain: phân tích chi tiết rủi ro của BTC trước máy tính lượng tử. https://www.deloitte.com/nl/en/services/risk-advisory/perspectives/quantum-computers-and-the-bitcoin-blockchain.html
Google Research - Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly: whitepaper của Google về timeline và lỗ hổng ECC. https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly
QRL Foundation - The Definitive Guide to Post-Quantum Blockchain Security: tổng quan post-quantum cho blockchain; nguồn số “25% BTC ở địa chỉ đã lộ public key”. https://www.theqrl.org/the-definitive-guide-to-post-quantum-blockchain-security/
Quantum Threat to Blockchain: Will Bitcoin Survive?: phân tích rủi ro “lost coins” của Satoshi và lý do P2PK đặc biệt nguy hiểm. https://www.postquantumcryptography.de/publications/bitcoin_quantumcomputer_pqc.html
NIST Post-Quantum Cryptography: trang chính thức về các chuẩn Kyber, Dilithium, SPHINCS+ (đã công bố 2024). https://csrc.nist.gov/projects/post-quantum-cryptography
mempool.space: block explorer Bitcoin để bạn tự audit địa chỉ của mình. https://mempool.space