В марте 2026 года команда Quantum AI компании Google совместно со Стэнфордским университетом и Ethereum Foundation опубликовала 57-страничный доклад, в котором системно проанализированы угрозы безопасности, связанные с квантовыми вычислениями для криптовалют. Ключевой вывод: ресурсы квантовых компьютеров, необходимые для взлома 256-битной эллиптической криптографии (ECC-256), лежащей в основе биткоина и эфириума, примерно в 20 раз меньше, чем считалось ранее. В частности, при использовании архитектуры сверхпроводящих квантовых компьютеров для такой атаки потребуется менее 500 000 физических кубитов, а время взлома составит около 9 минут.
Значимость этого открытия заключается не в том, что квантовые компьютеры уже способны взломать биткоин — современное оборудование пока далеко от этого, — а в том, что «Q-день» (момент, когда квантовые компьютеры смогут взламывать существующую криптографию) перестал быть абстрактной угрозой и превратился в конкретный инженерный горизонт. Внутри Google установлен дедлайн на переход собственных систем на постквантовую криптографию (PQC) к 2029 году. Джастин Дрейк, исследователь Ethereum Foundation и соавтор доклада, оценивает вероятность того, что к 2032 году квантовый компьютер сможет восстановить приватный ключ secp256k1 по открытому ключу, как не менее 10%.
Как алгоритм Шора восстанавливает приватные ключи по открытым
Безопасность биткоина основана на использовании алгоритма цифровой подписи на эллиптических кривых (ECDSA) с кривой secp256k1. Основное предположение: для классических компьютеров задача восстановления приватного ключа по открытому за разумное время неразрешима. Это фундаментальный принцип безопасности всей блокчейн-системы.
Алгоритм Шора показывает, что на квантовом компьютере задача дискретного логарифмирования на эллиптических кривых решается эффективно. Ключевой вклад Google — компиляция квантовой схемы алгоритма Шора, специально оптимизированной под secp256k1, и предоставление конкретных оценок необходимых ресурсов. В докладе описаны два подхода: первый ограничивает число логических кубитов 1 200 и использует до 90 миллионов вентилей Тоффоли; второй увеличивает число логических кубитов до 1 450, но снижает число вентилей до 70 миллионов. На сверхпроводящем квантовом компьютере это соответствует менее чем 500 000 физических кубитов.
Символически Google не опубликовала полную схему атаки. Вместо этого использовались доказательства с нулевым разглашением для проверки существования и корректности схемы. Такой подход, заимствованный из принципа «ответственного раскрытия» в традиционной кибербезопасности, сигнализирует о переходе квантового криптоанализа на новый этап — от реактивной защиты к необходимости проактивных мер.
Два сценария атаки: перехват в реальном времени и офлайн-взлом
В докладе описаны два сценария квантовой атаки, каждый из которых несет свои риски.
Первый — «атака в реальном времени», нацеленная на транзакции, находящиеся в мемпуле. Когда пользователь инициирует транзакцию биткоина, его открытый ключ кратковременно появляется в сети — примерно на 10 минут, что соответствует среднему времени блока. Достаточно быстрый квантовый компьютер может за 9 минут вычислить приватный ключ по открытому, что позволит злоумышленнику отправить конкурирующую транзакцию и украсть средства до подтверждения. В докладе оценивается, что одна квантовая машина, находящаяся в предварительно подготовленном состоянии, имеет около 41% шанса перехватить транзакцию в этом окне.
Второй — «статическая атака», нацеленная на неактивные кошельки, чьи открытые ключи навсегда записаны в блокчейне. Здесь нет ограничения по времени: квантовый компьютер может работать в своем темпе. По оценкам, около 6,9 млн биткоинов — примерно 33% от общего объема — имеют открытые ключи в открытом доступе. В эту группу входят примерно 1,7 млн ранних монет эпохи Сатоши, а также крупные суммы, подверженные риску из-за повторного использования адресов.
Важный вывод доклада: обновление Taproot, внедренное в биткоине в 2021 году, хотя и повысило традиционную безопасность и приватность, по умолчанию расширило поверхность квантовой атаки, поскольку теперь открытый ключ адреса чаще всего сразу записывается в блокчейн. Taproot убрал защитный слой «сначала хеш — потом раскрытие», который был в старом формате адресов P2PKH.
Техническая цена и управленческая дилемма противодействия квантовым угрозам
Путь к противодействию квантовым угрозам понятен, но сопряжен с издержками. Национальный институт стандартов и технологий США (NIST) завершил стандартизацию первой волны постквантовых криптографических стандартов в августе 2024 года (FIPS 203, 204 и 205). Технически возможны альтернативы: подписи на решетках (например, ML-DSA, ранее CRYSTALS-Dilithium) и подписи на хешах (например, SLH-DSA, ранее SPHINCS+).
Однако децентрализованная модель управления биткоином делает криптографическую миграцию крайне сложной. Внедрение постквантовых схем подписей потребует мягкого или жесткого форка, что подразумевает достижение консенсуса в сообществе, координацию разработчиков и синхронизированные обновления со стороны кошельков и бирж. Сообщество биткоина предложило BIP-360 для добавления квантоустойчивых вариантов подписей, но обсуждение продолжается. Ведущий разработчик ядра Адам Бэк и другие считают, что угроза квантовых атак еще «десятилетия впереди», а преждевременные масштабные обновления могут привести к невыявленным уязвимостям.
Суть спора в том, что неопределенность квантовой угрозы превращает вопрос «когда переходить» в теоретико-игровую задачу. Слишком раннее обновление может привести к неэффективному расходу ресурсов, а промедление — к необратимой потере активов.
Как квантовые угрозы меняют оценку безопасности криптоактивов
Квантовые вычисления пересматривают понятие «запас безопасности» криптоактивов. Традиционное предположение — что по открытому ключу невозможно восстановить приватный за разумное время — теперь требует корректировки. 6,9 млн биткоинов (стоимостью более $450 млрд по текущим ценам) с полностью раскрытыми открытыми ключами зависят только от того, что квантовые компьютеры пока не достигли нужной зрелости.
Рынки уже реагируют на этот риск разными способами. Доля транзакций с адресами Taproot снизилась с 42% в 2024 году примерно до 20% — часть пользователей сознательно избегает форматов, раскрывающих открытые ключи. Инвестиционный стратег CoinShares Мэтью Киммел отметил, что это исследование «сокращает окно для индустрии, чтобы продвинуть исследования и выработать план действий».
В более широком контексте криптоиндустрия уязвимее к квантовым угрозам, чем традиционные финансы, прежде всего потому, что блокчейны публичны и необратимы. Традиционные финансовые институты могут централизованно обновлять сертификаты и ключи для защиты от квантовых атак, а в блокчейне, если открытый ключ оказался в сети, это навсегда — его нельзя «отозвать». Эта структурная разница означает, что криптоотрасли необходимы не только технические возможности внедрения постквантовых алгоритмов, но и институциональные механизмы для постоянной криптографической эволюции.
Как далеко мы от реальных атак: от оценки ресурсов к практике
Хотя оценки ресурсов в докладе существенно снизились, до реальных атак еще далеко. Самые продвинутые квантовые системы сегодня — включая чип Willow от Google — содержат около 100 физических кубитов и пока не реализуют коррекцию ошибок. Преодоление разрыва между текущим уровнем и 500 000 стабильных, коррегированных физических кубитов потребует решения крупных инженерных задач.
Некоторые эксперты считают, что опасения преждевременны. Адам Бэк из Blockstream отмечает, что сетевой уровень биткоина не зависит от традиционной криптографии: квантовая угроза связана не с перехватом трафика, а с возможностью взлома приватных ключей отдельных пользователей. Кроме того, хеш-функция SHA-256, используемая в proof-of-work, относительно устойчива к квантовым атакам — алгоритм Гровера лишь ускоряет подбор хеша до квадратного корня, что гораздо менее опасно, чем экспоненциальное ускорение алгоритма Шора для криптографии с открытым ключом.
Однако это не означает, что индустрия может позволить себе ждать. В кибербезопасности стратегия «собери сейчас, расшифруй потом» подразумевает, что злоумышленники уже могут собирать данные блокчейна, чтобы взломать их, когда квантовые компьютеры станут доступны. Такая асимметрия во времени требует, чтобы защита внедрялась заранее.
От дорожной карты Google до международных регуляторных сроков
План Google по переходу внутренних систем на PQC к 2029 году — не единичная инициатива. По стандарту CNSA 2.0 Агентства национальной безопасности США (NSA), все новые системы национальной безопасности должны использовать квантово-устойчивые алгоритмы с января 2027 года, полный переход — к 2030 году, а завершение миграции инфраструктуры — к 2035 году. Давление стандартов NIST и сроки регуляторов заставляют компании и организации рассматривать переход на PQC как обязательное требование, а не просто исследовательскую задачу.
Для криптоиндустрии это создает дополнительные сложности. Обновление децентрализованных сетей, таких как биткоин и эфириум, занимает годы. Ethereum Foundation уже несколько лет разрабатывает постквантовые дорожные карты и тестирует квантоустойчивые схемы подписей в тестовой сети. В то же время у биткоина нет четкой дорожной карты по постквантовой криптографии и координированного механизма финансирования. Децентрализованное управление придает системе легитимность, но делает миграцию на уровне протокола особенно медленной.
Заключение
Доклад команды Quantum AI Google не означает конца для биткоина. Он переводит квантовую угрозу из разряда абстрактных гипотез в систему конкретных инженерных параметров. 500 000 физических кубитов, необходимых для атаки, окно атаки в 9 минут и 6,9 млн биткоинов с раскрытыми ключами — все это очерчивает реальное и сужающееся окно безопасности.
Главная задача отрасли — не только техническая: NIST уже решил проблему алгоритмов. Основная сложность — в координации управления. В децентрализованных сетях достижение консенсуса занимает время, а прогресс квантовых вычислений ждать не будет. В ближайшие пять-семь лет криптоиндустрии предстоит балансировать между двумя рисками: слишком ранним внедрением и неоттестированной криптографией или слишком поздним обновлением и необратимой потерей активов. Какой бы путь ни был выбран, квантовые вычисления уже перестали быть теорией и стали практическим фактором, который необходимо учитывать в системах безопасности криптоактивов.
FAQ
В: Могут ли квантовые компьютеры взломать биткоин уже сейчас?
О: Нет. Самые продвинутые квантовые системы сегодня имеют всего около 100 физических кубитов. Для взлома ECC-256 биткоина потребуется примерно 500 000 коррегированных физических кубитов — разрыв в несколько сотен раз.
В: Что означает «взлом за 9 минут»?
О: Это относится к сценарию «атаки в реальном времени», описанному в докладе. Если квантовый компьютер уже подготовлен, на взлом приватного ключа по открытому потребуется около 9 минут — чуть меньше, чем среднее время блока биткоина (10 минут). Теоретически это дает примерно 41% шанс перехватить транзакцию.
В: Какие биткоины находятся в наибольшей зоне риска?
О: Наибольшему риску подвержены адреса с постоянно раскрытыми открытыми ключами: ранние адреса P2PK (около 1,7 млн монет), адреса с повторным использованием и Taproot-адреса. По оценкам, около 6,9 млн биткоинов находятся в такой уязвимой позиции.
В: Можно ли обновить биткоин для защиты от квантовых атак?
О: Да. NIST утвердил стандарты постквантовой криптографии (например, ML-DSA и SLH-DSA). В биткоин можно добавить квантоустойчивые подписи через предложения вроде BIP-360. Основная проблема — необходимость консенсуса сообщества, на что могут уйти годы.
В: Что пользователи могут сделать уже сейчас?
О: Не используйте повторно адреса — создавайте новый адрес для каждой транзакции. Храните крупные суммы на холодных кошельках. Следите за прогрессом сообщества по внедрению квантоустойчивых обновлений и заранее переводите активы на более защищенные форматы адресов.
