Penso che bisogna fare un distinguo.
Supponiamo che si raggiunga la potenza quantistica necessaria per eseguire l'inverso di ECDSA in tempi ragionevoli.
qui esiste una biforcazione
se da un certo address sono gia' state firmate transazioni, allora e' gia' stata esposta la chiave pubblica ECDSA e quindi l'algoritmo puo' venire applicato.
ma se si tratta di address che non hanno mai firmato nessuna transazione, allora la questione si fa molto piu' complessa,
infatti un address bitcoin di vecchio tipo (quelli di satoshi) erano cosi' fatti:
base58(sha256(sha256(add_version(ripemd-160(sha256(chiave pubblica ecdsa))))))
per questi bisogna invertire anche 3 sha256 e un ripmed-160, calcolo che e' ancora ben lontano da essere decodificato dall'ipotetico computer quantistico suddetto.
Quindi riepilogando:
1) per indirizzi che hanno esposto la loro chiave pubblica, il problema sarebbe reale.
2) per indirizzi che non hanno mai esposto la chiave pubblica, ossia mai spesi, il problema non sussiste.
Siccome praticamente tutti gli indirizzi di satoshi ricadono nella seconda categoria, direi che il problema non sussite.
ma anche nel primo caso, se un indirizzo ha già fatto una transazione, gli input che conteneva saranno stati trasferiti in parte su indirizzo/i di destinazione, in parte su un indirizzo di resto. Per cui, a meno di non contravvenire alla buona prassi di non riutilizzare più volte gli stessi indirizzi in ricezione, non ci sarebbe comunque rimasto niente da recuperare