Quantum Computer Cracks Bitcoin's ECC Key for 1 BTC — Why 6.9 Million Bitcoin Are Already in the Crosshairs

On April 24, 2026, the cryptocurrency security initiative Project Eleven awarded its Q-Day Prize to Giancarlo Lelli, an independent researcher who cracked a 15-bit elliptic curve cryptography (ECC) key using publicly accessible quantum hardware. Lelli found the private key corresponding to a given public key by running a variant of Shor’s algorithm on a cloud-accessible quantum computer — not a classified government lab or a university’s private machine. The search space was 32,767 possibilities. The prize was 1 BTC, worth roughly $78,000 at the time of the award.

El 24 de abril de 2026, la iniciativa de seguridad criptográfica Project Eleven otorgó su Premio Q-Day a Giancarlo Lelli, un investigador independiente que rompió una clave de criptografía de curva elíptica (ECC) de 15 bits utilizando hardware cuántico de acceso público. Lelli encontró la clave privada correspondiente a una clave pública dada ejecutando una variante del algoritmo de Shor en una computadora cuántica accesible en la nube — no en un laboratorio gubernamental clasificado ni en una máquina privada universitaria. El espacio de búsqueda era de 32,767 posibilidades. El premio fue 1 BTC, valorado en aproximadamente $78,000 al momento de la concesión.

This is the largest public demonstration of a quantum attack on elliptic curve cryptography to date. And while a 15-bit key is exponentially weaker than Bitcoin’s 256-bit secp256k1 curve, the trajectory matters more than the absolute number. In just seven months, the difficulty of the ECC keys broken on public quantum hardware jumped by a factor of 512x — from 6-bit to 15-bit. The trend line is not linear. It is accelerating.

Esta es la demostración pública más grande de un ataque cuántico a la criptografía de curva elíptica hasta la fecha. Y aunque una clave de 15 bits es exponencialmente más débil que la curva secp256k1 de 256 bits de Bitcoin, la trayectoria importa más que el número absoluto. En solo siete meses, la dificultad de las claves ECC rotas en hardware cuántico público saltó por un factor de 512x — de 6 bits a 15 bits. La línea de tendencia no es lineal. Se está acelerando.

The Achievement: Shor's Algorithm on Public Hardware

El Logro: El Algoritmo de Shor en Hardware Público

Lelli’s approach used a variational implementation of Shor’s algorithm adapted for noisy intermediate-scale quantum (NISQ) devices. Unlike the textbook version of Shor’s algorithm, which requires fault-tolerant logical qubits and deep circuits, variational approaches factor the problem into a hybrid quantum-classical optimization loop. The quantum processor handles the period-finding subroutine — the part that provides exponential speedup — while a classical optimizer iteratively adjusts parameters to maximize the probability of measuring the correct period. This makes them practical for current-generation quantum processors, albeit at small scales. The tradeoff is that variational methods introduce additional classical overhead and do not guarantee the same asymptotic speedup as fault-tolerant Shor, but for small key sizes like 15 bits, the approach is effective.

El enfoque de Lelli utilizó una implementación variacional del algoritmo de Shor adaptada para dispositivos cuánticos de escala intermedia ruidosos (NISQ). A diferencia de la versión tradicional del algoritmo de Shor, que requiere qubits lógicos tolerantes a fallos y circuitos profundos, los enfoques variacionales descomponen el problema en un bucle de optimización híbrido cuántico-clásico. El procesador cuántico maneja la subrutina de búsqueda de período — la parte que proporciona la aceleración exponencial — mientras que un optimizador clásico ajusta iterativamente los parámetros para maximizar la probabilidad de medir el período correcto. Esto los hace prácticos para procesadores cuánticos de generación actual, aunque a escalas pequeñas. La desventaja es que los métodos variacionales introducen sobrecarga clásica adicional y no garantizan la misma aceleración asintótica que Shor tolerante a fallos, pero para tamaños de clave pequeños como 15 bits, el enfoque es efectivo.

The Q-Day Prize, administered by Project Eleven — a Bitcoin-focused security research group named after the block height of the first Bitcoin transaction (block 11, where Hal Finney received the first non-Satoshi Bitcoin transaction) — was designed specifically to track progress toward cryptographically relevant quantum attacks. The prize operates on a structured payout schedule: as researchers crack increasingly difficult ECC key sizes, the bounty increases proportionally. Lelli’s successful 15-bit extraction marks the third consecutive prize payout and the largest jump in difficulty between awards. Project Eleven has indicated that future prize tiers will target 20-bit, 30-bit, and eventually 50-bit key sizes, each representing exponentially harder challenges.

El Premio Q-Day, administrado por Project Eleven — un grupo de investigación en seguridad enfocado en Bitcoin, nombrado así por la altura de bloque de la primera transacción de Bitcoin (bloque 11, donde Hal Finney recibió la primera transacción de Bitcoin no proveniente de Satoshi) — fue diseñado específicamente para rastrear el progreso hacia ataques cuánticos criptográficamente relevantes. El premio opera con un cronograma de pagos estructurado: a medida que los investigadores rompen tamaños de clave ECC cada vez más difíciles, la recompensa aumenta proporcionalmente. La extracción exitosa de 15 bits por Lelli marca el tercer pago consecutivo del premio y el mayor salto en dificultad entre adjudicaciones. Project Eleven ha indicado que los niveles futuros del premio apuntarán a tamaños de clave de 20 bits, 30 bits y eventualmente 50 bits, cada uno representando desafíos exponencialmente más difíciles.

The 512x Progress Jump: From 6 Bits to 15 Bits in Seven Months

El Salto de Progreso de 512x: De 6 Bits a 15 Bits en Siete Meses

The previous record was set in September 2025 by Steve Tippeconnic, who cracked a 6-bit ECC key using IBM’s 133-qubit ibm_torino processor. Tippeconnic’s work, published as arXiv:2507.10592, used a 15-qubit circuit with a circuit depth exceeding 67,000 layers. The computation required careful orchestration of gate decompositions, noise mitigation strategies, and repeated circuit executions to extract the 6-bit private key from its public counterpart.

El récord anterior fue establecido en septiembre de 2025 por Steve Tippeconnic, quien rompió una clave ECC de 6 bits utilizando el procesador ibm_torino de 133 qubits de IBM. El trabajo de Tippeconnic, publicado como arXiv:2507.10592, utilizó un circuito de 15 qubits con una profundidad de circuito que superaba las 67,000 capas. El cómputo requirió una orquestación cuidadosa de descomposiciones de puertas, estrategias de mitigación de ruido y ejecuciones repetidas de circuitos para extraer la clave privada de 6 bits a partir de su contraparte pública.

Lelli’s 15-bit result represents a 512-fold increase in the search space (2^6 = 64 possibilities vs. 2^15 = 32,767 possibilities). That this was achieved in just seven months — and on publicly available cloud quantum hardware rather than a dedicated research machine — is the concerning signal. The rate of progress is not incremental. It is compounding.

El resultado de 15 bits de Lelli representa un aumento de 512 veces en el espacio de búsqueda (2^6 = 64 posibilidades vs. 2^15 = 32,767 posibilidades). Que esto se haya logrado en solo siete meses — y en hardware cuántico en la nube públicamente disponible en lugar de una máquina de investigación dedicada — es la señal preocupante. La tasa de progreso no es incremental. Se está componiendo.

The technical barriers Lelli had to overcome illustrate how rapidly the NISQ computing ecosystem is maturing. Running Shor’s algorithm at 15 bits requires approximately 30 to 45 logical qubits (depending on the specific circuit optimization), which in turn demands careful mapping onto physical qubits with specific connectivity topologies. Gate fidelities must be high enough that the cumulative error across thousands of operations does not drown out the signal. Lelli’s successful execution implies that the underlying quantum hardware has reached a threshold of coherence time, gate fidelity, and connectivity that was not available even six months prior. The specific cloud provider and processor architecture have not been disclosed in full detail, but the fact that a single researcher could orchestrate this without a dedicated team is itself a data point about the accessibility of capable quantum hardware.

Las barreras técnicas que Lelli tuvo que superar ilustran cuán rápidamente está madurando el ecosistema de computación NISQ. Ejecutar el algoritmo de Shor a 15 bits requiere aproximadamente 30 a 45 qubits lógicos (dependiendo de la optimización específica del circuito), lo que a su vez exige un mapeo cuidadoso sobre qubits físicos con topologías de conectividad específicas. Las fidelidades de puerta deben ser suficientemente altas para que el error acumulado a través de miles de operaciones no ahogue la señal. La ejecución exitosa de Lelli implica que el hardware cuántico subyacente ha alcanzado un umbral de tiempo de coherencia, fidelidad de puerta y conectividad que no estaba disponible incluso seis meses antes. El proveedor de nube específico y la arquitectura del procesador no han sido divulgados en detalle, pero el hecho de que un solo investigador pudiera orquestar esto sin un equipo dedicado es en sí mismo un dato sobre la accesibilidad del hardware cuántico capaz.

Why This Matters: The Real Vulnerability

Por Qué Esto Importa: La Vulnerabilidad Real

Bitcoin’s security rests on the secp256k1 elliptic curve, providing 128 bits of quantum security (effectively 256-bit key strength halved by Grover’s algorithm for symmetric operations, but ECC’s discrete log problem is fully broken by Shor’s algorithm at the full key size). A 256-bit ECC key is exponentially harder to crack than a 15-bit key — the search space difference is 2^241, a number with 73 decimal digits. No one is claiming that current quantum hardware can touch a 256-bit key.

La seguridad de Bitcoin descansa en la curva elíptica secp256k1, que proporciona 128 bits de seguridad cuántica (efectivamente una fortaleza de clave de 256 bits reducida a la mitad por el algoritmo de Grover para operaciones simétricas, pero el problema de logaritmo discreto de ECC está completamente roto por el algoritmo de Shor al tamaño completo de clave). Una clave ECC de 256 bits es exponencialmente más difícil de romper que una clave de 15 bits — la diferencia en el espacio de búsqueda es 2^241, un número con 73 dígitos decimales. Nadie afirma que el hardware cuántico actual pueda tocar una clave de 256 bits.

But that is not the full picture. The real vulnerability is not about cracking arbitrary Bitcoin addresses. It is about the 6.9 million BTC — nearly one-third of Bitcoin’s total supply of 21 million — that sit in addresses where the public key is already exposed on the blockchain. This includes Satoshi Nakamoto’s estimated 1 million BTC, early miner rewards, and any address that has ever made a transaction (which reveals the public key in the spending signature).

Pero esa no es la imagen completa. La verdadera vulnerabilidad no se trata de romper direcciones arbitrarias de Bitcoin. Se trata de los 6.9 millones de BTC — casi un tercio del suministro total de Bitcoin de 21 millones — que se encuentran en direcciones donde la clave pública ya está expuesta en la blockchain. Esto incluye los estimados 1 millón de BTC de Satoshi Nakamoto, recompensas tempranas de minería y cualquier dirección que haya realizado alguna vez una transacción (lo que revela la clave pública en la firma de gasto).

For these addresses, no new transaction is needed to expose the public key — it is already on the ledger. An attacker with a sufficiently powerful quantum computer needs only to run Shor’s algorithm on the captured public keys to derive the corresponding private keys and drain the funds. This sets up a “harvest now, decrypt later” scenario specific to cryptocurrency: adversarial actors can archive the entire set of exposed public keys from the blockchain today and wait for quantum capability to catch up.

Para estas direcciones, no se necesita una nueva transacción para exponer la clave pública — ya está en el libro contable. Un atacante con una computadora cuántica suficientemente poderosa solo necesita ejecutar el algoritmo de Shor sobre las claves públicas capturadas para derivar las claves privadas correspondientes y drenar los fondos. Esto establece un escenario de “cosechar ahora, descifrar después” específico para criptomonedas: los actores adversariales pueden archivar el conjunto completo de claves públicas expuestas de la blockchain hoy y esperar a que la capacidad cuántica alcance el nivel necesario.

The breakdown of exposed funds is instructive. Pay-to-Public-Key (P2PK) addresses — the earliest Bitcoin address format, used extensively by Satoshi — have their public keys directly visible in the UTXO set. Pay-to-Witness-Public-Key-Hash (P2WPKH) and Pay-to-Taproot (P2TR) addresses expose the public key when a transaction is spent from them. Any address that has ever broadcast a transaction has its public key visible on the blockchain. Only unused Pay-to-Public-Key-Hash (P2PKH) addresses that have never sent funds remain quantum-safe for now, because only the hash of the public key is visible — but the moment they spend, the key is revealed.

El desglose de los fondos expuestos es ilustrativo. Las direcciones Pago-a-Clave-Pública (P2PK) — el formato de dirección más antiguo de Bitcoin, utilizado extensamente por Satoshi — tienen sus claves públicas directamente visibles en el conjunto UTXO. Las direcciones Pago-a-Testimonio-Clave-Pública-Hash (P2WPKH) y Pago-a-Taproot (P2TR) exponen la clave pública cuando se gasta una transacción desde ellas. Cualquier dirección que haya transmitido alguna vez una transacción tiene su clave pública visible en la blockchain. Solo las direcciones Pago-a-Clave-Pública-Hash (P2PKH) que nunca han enviado fondos permanecen seguras por ahora, porque solo el hash de la clave pública es visible — pero en el momento en que gastan, la clave queda revelada.

This creates a fundamental asymmetry in the threat model. New quantum-resistant address formats can protect future coins, but the 6.9 million BTC already in exposed addresses cannot be retroactively hidden. The only defense is to move those funds to quantum-safe addresses before Q-Day arrives — but that requires the cooperation of owners who may be unreachable, unwilling, or unable to act.

Esto crea una asimetría fundamental en el modelo de amenaza. Los nuevos formatos de dirección resistentes a cuánticos pueden proteger monedas futuras, pero los 6.9 millones de BTC ya en direcciones expuestas no pueden ocultarse retroactivamente. La única defensa es mover esos fondos a direcciones post-cuánticas seguras antes de que llegue el Q-Day — pero eso requiere la cooperación de propietarios que pueden ser inalcanzables, no estar dispuestos o no poder actuar.

The Shrinking Qubit Gap

La Brecha de Qubits que se Reduce

The progression of ECC cracking milestones tells a clear story:

La progresión de los hitos de ruptura de ECC cuenta una historia clara:

• 2023: 1-bit ECC key cracked using 5 qubits -- a proof of concept showing Shor's algorithm works on real hardware
• September 2025 (Tippeconnic): 6-bit key cracked using IBM's 133-qubit ibm_torino processor; 15-qubit circuit at 67,000+ layer depth (arXiv:2507.10592)
• April 2026 (Lelli): 15-bit key cracked on public cloud quantum hardware -- a 512x difficulty jump from the previous record

• 2023: Clave ECC de 1 bit rota usando 5 qubits -- una prueba de concepto que demuestra que el algoritmo de Shor funciona en hardware real
• Septiembre 2025 (Tippeconnic): Clave de 6 bits rota usando el procesador ibm_torino de 133 qubits de IBM; circuito de 15 qubits con profundidad de 67,000+ capas (arXiv:2507.10592)
• Abril 2026 (Lelli): Clave de 15 bits rota en hardware cuántico en la nube público -- un salto de dificultad de 512x desde el récord anterior

The qubit requirement side of the equation is collapsing even faster. In May 2025, Google researcher Craig Gidney published revised estimates showing that RSA-2048 could be broken with fewer than 1 million physical qubits — down from 20 million in his 2019 estimate, a 20x reduction driven by improved circuit designs and gate decompositions. Then in March 2026, a team from Caltech and Oratomic showed that ECC P-256 could be broken with as few as 10,000 to 26,000 neutral atom qubits running for approximately 10 days (arXiv:2603.28627).

El lado de la ecuación de los requisitos de qubits se está colapsando aún más rápido. En mayo de 2025, el investigador de Google Craig Gidney publicó estimaciones revisadas que mostraban que RSA-2048 podría romperse con menos de 1 millón de qubits físicos — desde 20 millones en su estimación de 2019, una reducción de 20x impulsada por mejores diseños de circuitos y descomposiciones de puertas. Luego, en marzo de 2026, un equipo de Caltech y Oratomic demostró que ECC P-256 podría romperse con tan solo 10,000 a 26,000 qubits de átomos neutros ejecutándose durante aproximadamente 10 días (arXiv:2603.28627).

The key insight is that these qubit reductions come from three independent compounding factors: better quantum error correction (qLDPC codes achieving 30% encoding ratios vs. the surface code’s 0.1%), improved Shor’s algorithm circuit decompositions (fewer Toffoli gates, better adders), and hardware-specific optimizations (neutral atom arrays enable the long-range connectivity that qLDPC codes require). None of these advances required fundamentally new physics — they are engineering and mathematical optimizations applied to existing architectures. There is no reason to believe the rate of optimization will slow.

La idea clave es que estas reducciones de qubits provienen de tres factores independientes que se componen: mejor corrección de errores cuánticos (códigos qLDPC que logran tasas de codificación del 30% vs. el 0.1% del código de superficie), mejores descomposiciones de circuitos del algoritmo de Shor (menos puertas Toffoli, mejores sumadores) y optimizaciones específicas de hardware (las matrices de átomos neutros permiten la conectividad de largo alcance que los códigos qLDPC requieren). Ninguno de estos avances requirió física fundamentalmente nueva — son optimizaciones de ingeniería y matemáticas aplicadas a arquitecturas existentes. No hay razón para creer que la tasa de optimización se desacelerará.

The implications for Bitcoin are sobering. Vitalik Buterin has publicly estimated a 20% probability that quantum computers will break modern public-key cryptography by 2030. Alex Pruden, CEO of Project Eleven, put the timeline in starker terms: the worst-case Q-Day scenario is around 2029, with best-case estimates still within the next 10 to 15 years. The compounding collapse of qubit requirements — from 20 million to 10,000 in five years — makes even the conservative estimates look optimistic.

Las implicaciones para Bitcoin son aleccionadoras. Vitalik Buterin ha estimado públicamente una probabilidad del 20% de que las computadoras cuánticas rompan la criptografía de clave pública moderna para 2030. Alex Pruden, CEO de Project Eleven, expresó el cronograma en términos más crudos: el peor escenario de Q-Day es alrededor de 2029, con las estimaciones optimistas aún dentro de los próximos 10 a 15 años. El colapso compuesto de los requisitos de qubits — de 20 millones a 10,000 en cinco años — hace que incluso las estimaciones conservadoras parezcan optimistas.

The Industry Response: BIPs, Standards, and Migration Plans

La Respuesta de la Industria: BIPs, Estándares y Planes de Migración

The cryptocurrency industry is not waiting for Q-Day to arrive before acting. Several parallel tracks are converging on post-quantum security for blockchain systems.

La industria de las criptomonedas no está esperando a que llegue el Q-Day para actuar. Varios frentes paralelos están convergiendo hacia la seguridad post-cuántica para los sistemas blockchain.

Bitcoin Improvement Proposals: BIP-360 and BIP-361

Propuestas de Mejora de Bitcoin: BIP-360 y BIP-361

Two significant BIPs have been proposed to address Bitcoin’s quantum vulnerability. BIP-360 (Pay-to-Merkle-Root / P2MR), authored by Hunter Beast, Ethan Heilman, and Isabel Foxen Duke, introduces a new quantum-resistant output type for Bitcoin. P2MR removes the vulnerable key-path spend (which uses ECDSA signatures) by committing to a Merkle root of possible spending conditions. This means that even if ECDSA is broken, funds sent to P2MR outputs can still be spent through the alternative script paths encoded in the Merkle tree, which can include quantum-resistant hash-based locks.

Dos BIPs significativos han sido propuestos para abordar la vulnerabilidad cuántica de Bitcoin. BIP-360 (Pay-to-Merkle-Root / P2MR), escrito por Hunter Beast, Ethan Heilman e Isabel Foxen Duke, introduce un nuevo tipo de salida resistente a cuánticos para Bitcoin. P2MR elimina el vulnerable gasto por ruta de clave (que usa firmas ECDSA) comprometiéndose a una raíz Merkle de posibles condiciones de gasto. Esto significa que incluso si ECDSA es roto, los fondos enviados a salidas P2MR aún pueden gastarse a través de las rutas de script alternativas codificadas en el árbol Merkle, que pueden incluir bloqueos basados en hash resistentes a cuánticos.

BIP-361 (Post-Quantum Migration and Legacy Signature Sunset), led by Jameson Lopp and collaborators, takes a more aggressive approach. It proposes a two-phase migration:

BIP-361 (Migración Post-Cuántica y Puesta de Sol de Firmas Heredadas), liderado por Jameson Lopp y colaboradores, adopta un enfoque más agresivo. Propone una migración en dos fases:

• Phase A (3 years after activation): Disallow sending to quantum-vulnerable address types (P2PK, P2WPKH, P2TR key-path). All new outputs must use quantum-safe address formats.
• Phase B (2 years after Phase A): Restrict ECDSA and Schnorr spends. A quantum-safe rescue protocol is activated to allow legitimate owners to recover funds from vulnerable addresses before they become permanently frozen.

• Fase A (3 años después de la activación): Desautorizar el envío a tipos de dirección vulnerables a cuánticos (P2PK, P2WPKH, P2TR ruta de clave). Todas las nuevas salidas deben usar formatos de dirección post-cuánticos seguros.
• Fase B (2 años después de la Fase A): Restringir los gastos ECDSA y Schnorr. Se activa un protocolo de rescate post-cuántico para permitir que los propietarios legítimos recuperen fondos de direcciones vulnerables antes de que queden congeladas permanentemente.

Beyond Bitcoin: Broader Industry Moves

Más Allá de Bitcoin: Movimientos de la Industria

The response extends well beyond Bitcoin. The Ethereum Foundation has assembled a dedicated post-quantum security team to research quantum-resistant variants of the Ethereum Virtual Machine and signature schemes. Ripple and Tron have published public transition plans for migrating their validator sets and transaction signing to post-quantum algorithms.

La respuesta se extiende mucho más allá de Bitcoin. La Fundación Ethereum ha reunido un equipo dedicado de seguridad post-cuántica para investigar variantes resistentes a cuánticos de la Máquina Virtual de Ethereum y esquemas de firma. Ripple y Tron han publicado planes de transición públicos para migrar sus conjuntos de validadores y la firma de transacciones a algoritmos post-cuánticos.

Meanwhile, the broader technology ecosystem is moving faster. In March 2026, Google committed to completing its post-quantum cryptography migration by 2029 — a full year ahead of NIST’s deprecation deadline and six years ahead of the hard disallowance date. The company cited the compounding improvements in qubit efficiency from the Willow chip, qLDPC error correction, and algorithmic advances as the driving force behind this accelerated timeline.

Mientras tanto, el ecosistema tecnológico más amplio se está moviendo más rápido. En marzo de 2026, Google se comprometió a completar su migración a la criptografía post-cuántica para 2029 — un año completo antes de la fecha límite de deprecación de NIST y seis años antes de la fecha de desautorización definitiva. La compañía citó las mejoras compuestas en eficiencia de qubits del chip Willow, la corrección de errores qLDPC y los avances algorítmicos como la fuerza impulsora detrás de este cronograma acelerado.

NIST is deprecating RSA and ECDSA by 2030 and disallowing them entirely by 2035, with FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), and FIPS 205 (SLH-DSA) already finalized as replacement standards. The US federal government has mandated a phase-out of ECDSA by 2035 for national security systems. Google Android 17, shipping in June 2026, integrates ML-DSA digital signatures at the platform level for Verified Boot and Remote Attestation.

NIST está deprecando RSA y ECDSA para 2030 y desautorizándolos completamente para 2035, con FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) y FIPS 205 (SLH-DSA) ya finalizados como estándares de reemplazo. El gobierno federal de EE.UU. ha ordenado la eliminación gradual de ECDSA para 2035 en los sistemas de seguridad nacional. Google Android 17, que se lanza en junio de 2026, integra firmas digitales ML-DSA a nivel de plataforma para Verified Boot y Remote Attestation.

Even traditional finance is preparing. HSBC piloted tokenized gold using post-quantum cryptography in 2024, demonstrating that financial institutions are already stress-testing quantum-resistant infrastructure for asset tokenization. The pilot used ML-KEM for key encapsulation and ML-DSA for digital signatures, aligning with the NIST standards that are expected to become the backbone of financial cryptography.

Incluso las finanzas tradicionales se están preparando. HSBC pilotó oro tokenizado utilizando criptografía post-cuántica en 2024, demostrando que las instituciones financieras ya están probando infraestructura resistente a cuánticos para la tokenización de activos. El piloto utilizó ML-KEM para encapsulación de claves y ML-DSA para firmas digitales, alineándose con los estándares NIST que se espera se conviertan en la columna vertebral de la criptografía financiera.

The contrast with previous cryptographic transitions is striking. The migration from SHA-1 to SHA-2 took over a decade and was driven by demonstrated collision attacks. The migration from SSL 3.0 to TLS 1.2 took years and required multiple high-profile vulnerabilities (POODLE, BEAST, CRIME) to motivate action. The post-quantum transition is happening proactively — driven by projected capability rather than demonstrated attack — which is unprecedented in the history of cryptography. The Lelli result adds weight to the argument that waiting for a demonstration at scale is waiting too long.

El contraste con transiciones criptográficas anteriores es sorprendente. La migración de SHA-1 a SHA-2 tomó más de una década y fue impulsada por ataques de colisión demostrados. La migración de SSL 3.0 a TLS 1.2 tomó años y requirió múltiples vulnerabilidades de alto perfil (POODLE, BEAST, CRIME) para motivar la acción. La transición post-cuántica está ocurriendo proactivamente — impulsada por la capacidad proyectada en lugar de un ataque demostrado — lo que no tiene precedentes en la historia de la criptografía. El resultado de Lelli añade peso al argumento de que esperar a una demostración a escala es esperar demasiado.

The Timeline: What the Numbers Say

El Cronograma: Lo Que Dicen los Números

If we project the current rate of ECC cracking progress forward, the picture is sobering. The jump from 1-bit to 6-bit took roughly two years (2023 to 2025). The jump from 6-bit to 15-bit took seven months. If this trend of accelerating progress continues, 30-bit keys could fall within two to three years, and 50-bit keys within five to seven years. The leap from 50-bit to 256-bit is still astronomically large — 2^206 possibilities — but the gap is narrowing on two fronts simultaneously: the size of keys that can be attacked is growing, and the hardware requirements for attacking the full 256-bit key are shrinking.

Si proyectamos la tasa actual de progreso en la ruptura de ECC hacia adelante, el panorama es aleccionador. El salto de 1 bit a 6 bits tomó aproximadamente dos años (2023 a 2025). El salto de 6 bits a 15 bits tomó siete meses. Si esta tendencia de progreso acelerado continúa, las claves de 30 bits podrían caer en dos o tres años, y las claves de 50 bits en cinco a siete años. El salto de 50 bits a 256 bits sigue siendo astronómicamente grande — 2^206 posibilidades — pero la brecha se está estrechando en dos frentes simultáneamente: el tamaño de las claves que pueden ser atacadas está creciendo, y los requisitos de hardware para atacar la clave completa de 256 bits se están reduciendo.

The Broader Picture: Coordination, Not Technology, Is the Bottleneck

El Panorama General: La Coordinación, No la Tecnología, Es el Cuello de Botella

The technical path to post-quantum security is increasingly clear. The standards are published. The hardware roadmaps are accelerating. The qubit requirements are collapsing. What remains uncertain is coordination — the human and economic challenge of migrating hundreds of millions of wallets, exchanges, smart contracts, and blockchain protocols to quantum-resistant cryptography before Q-Day arrives.

El camino técnico hacia la seguridad post-cuántica es cada vez más claro. Los estándares están publicados. Las hojas de ruta de hardware se están acelerando. Los requisitos de qubits se están colapsando. Lo que sigue siendo incierto es la coordinación — el desafío humano y económico de migrar cientos de millones de wallets, exchanges, contratos inteligentes y protocolos blockchain a la criptografía resistente a cuánticos antes de que llegue el Q-Day.

For Bitcoin, the challenge is uniquely difficult. Unlike a technology company that can push an update to its servers, Bitcoin requires consensus across a decentralized network of miners, node operators, and wallet developers. A soft fork to introduce quantum-resistant address formats is feasible — BIP-360 demonstrates one path — but the timeline for adoption depends on community coordination, not technical readiness.

Para Bitcoin, el desafío es particularmente difícil. A diferencia de una empresa de tecnología que puede enviar una actualización a sus servidores, Bitcoin requiere consenso a través de una red descentralizada de mineros, operadores de nodos y desarrolladores de wallets. Un soft fork para introducir formatos de dirección resistentes a cuánticos es factible — BIP-360 demuestra un camino — pero el cronograma de adopción depende de la coordinación de la comunidad, no de la preparación técnica.

The 6.9 million BTC in exposed addresses presents an asymmetric risk. These funds cannot be moved or protected without the cooperation of their owners, and many of those owners may be inactive, deceased, or anonymous (Satoshi’s 1 million BTC being the extreme case). BIP-361’s Phase B rescue protocol attempts to address this, but the window for such rescues is finite and the coordination challenge is immense.

Los 6.9 millones de BTC en direcciones expuestas presentan un riesgo asimétrico. Estos fondos no pueden ser movidos o protegidos sin la cooperación de sus propietarios, y muchos de esos propietarios pueden estar inactivos, fallecidos o ser anónimos (los 1 millón de BTC de Satoshi siendo el caso extremo). El protocolo de rescate de la Fase B de BIP-361 intenta abordar esto, pero la ventana para tales rescates es finita y el desafío de coordinación es inmenso.

The task is made harder by the heterogeneity of the cryptocurrency ecosystem. Bitcoin alone has multiple address formats (P2PK, P2PKH, P2WPKH, P2TR), each with different quantum exposure profiles. Ethereum has its own account model with ECDSA signatures on every transaction. Every ERC-20 token, every DeFi protocol, every NFT contract that uses ECDSA for ownership verification inherits the same vulnerability. The total value at risk across all blockchain ecosystems, not just Bitcoin, is far larger than 6.9 million BTC.

La tarea se ve dificultada por la heterogeneidad del ecosistema de criptomonedas. Solo Bitcoin tiene múltiples formatos de dirección (P2PK, P2PKH, P2WPKH, P2TR), cada uno con diferentes perfiles de exposición cuántica. Ethereum tiene su propio modelo de cuentas con firmas ECDSA en cada transacción. Cada token ERC-20, cada protocolo DeFi, cada contrato NFT que usa ECDSA para verificación de propiedad hereda la misma vulnerabilidad. El valor total en riesgo en todos los ecosistemas blockchain, no solo Bitcoin, es mucho mayor que 6.9 millones de BTC.

As Alex Pruden of Project Eleven put it: “The resource requirements for this type of attack keep dropping, and the barrier to running it in practice is dropping with them.” The trend is unambiguous. The question is not whether quantum computers will break ECC at scale. It is whether the cryptocurrency ecosystem will migrate in time — and what happens to the 6.9 million BTC that cannot be moved.

Como dijo Alex Pruden de Project Eleven: “Los requisitos de recursos para este tipo de ataque siguen disminuyendo, y la barrera para ejecutarlo en la práctica está disminuyendo con ellos.” La tendencia es inequívoca. La pregunta no es si las computadoras cuánticas romperán ECC a escala. Es si el ecosistema de criptomonedas migrará a tiempo — y qué sucederá con los 6.9 millones de BTC que no pueden moverse.

The Lelli result is not a crisis. Bitcoin’s 256-bit keys are safe for now. But it is a signal — one of the clearest signals yet — that the timeline for quantum capability is compressing faster than the industry’s ability to respond. Every month of delay in migration planning makes the window tighter. And for the 6.9 million BTC already in exposed addresses, time is running on a different clock entirely.

El resultado de Lelli no es una crisis. Las claves de 256 bits de Bitcoin están seguras por ahora. Pero es una señal — una de las señales más claras hasta ahora — de que el cronograma para la capacidad cuántica se está comprimiendo más rápido que la capacidad de la industria para responder. Cada mes de retraso en la planificación de la migración hace que la ventana sea más estrecha. Y para los 6.9 millones de BTC ya en direcciones expuestas, el tiempo corre en un reloj completamente diferente.

---

References Referencias