Se non spendi non riveli la chiave pubblica, ti rimane "solamente" la questione privacy. Ma nel momento in cui spendi almeno uno degli output ricevuti all'indirizzo X, la chiave pubblica associata viene scritta su blockchain.


Il discorso deriva dal fatto che bitcoin usa 2 algoritmi per generare un indirizzo: ECDSA per ottenere la coppia chiave pubblica/privata e RIPEMD160 per generare l'indirizzo a partire dalla chiave pubblica.
Ora, sia ECDSA che RIPEMD160 sono sicuri al momento, ma se io volessi provare a "forzare" la cosa, devo prima "rompere" RIPEMD e ricavare la chiave pubblica, e poi devo "rompere" ECDSA per recuperare la chiave privata e rubare i fondi. Se la chiave pubblica è già pubblica (eheh) il primo passaggio non è necessario e posso dedicarmi solo a ECDSA.
Questa cosa non è ancora un problema, ma potrebbe diventarlo in futuro se/quando i computer quantistici saranno più performanti ed ECDSA risulterà vulnerabile, a quel punto tutti i bitcoin che risiedono in indirizzi già utilizzati (con degli output spesi) saranno a rischio. Tra l'altro, è già noto che ECDSA è vulnerabile ai computer quantistici, devono "solo" riuscire a farne uno abbastanza potente e funzionante, fortunatamente non sarà un processo immediato secondo me.