У березні 2026 року команда Quantum AI компанії Google у співпраці зі Стенфордським університетом і Ethereum Foundation опублікувала 57-сторінковий аналітичний документ, у якому системно розглянуто загрози безпеці криптовалют з боку квантових обчислень. Основний висновок: для злому 256-бітної еліптичної криптографії (ECC-256), яка лежить в основі Bitcoin та Ethereum, потрібно приблизно у 20 разів менше квантових ресурсів, ніж вважалося раніше. Зокрема, у надпровідниковій квантовій архітектурі для такого злому достатньо менш ніж 500 000 фізичних кубітів, а час виконання атаки скорочується до приблизно 9 хвилин.
Значущість цього відкриття полягає не в тому, що квантові комп’ютери вже здатні зламати Bitcoin — сучасне обладнання ще дуже далеке від цього. Йдеться про те, що момент «Q-Day» (час, коли квантові комп’ютери зможуть зламати сучасну криптографію) переходить зі сфери віддалених теоретичних ризиків у площину конкретного інженерного планування. В Google внутрішньо визначили крайній термін переходу своїх систем на постквантову криптографію (PQC) — 2029 рік. Дослідник Ethereum Foundation і співавтор статті Джастін Дрейк оцінює, що до 2032 року ймовірність того, що квантовий комп’ютер відновить приватний ключ secp256k1 за відкритим ключем, становитиме щонайменше 10 %.
Як алгоритм Шора отримує приватний ключ із відкритого
Безпека Bitcoin базується на алгоритмі цифрового підпису на еліптичних кривих (ECDSA) із використанням кривої secp256k1. Основна передумова: для класичних комп’ютерів обчислити приватний ключ за відкритим у прийнятний час неможливо. Це є фундаментом безпеки всієї блокчейн-системи.
Алгоритм Шора доводить, що на квантовому комп’ютері задача дискретного логарифму на еліптичних кривих розв’язується ефективно. Ключовий внесок Google — складання квантового кола для алгоритму Шора саме під secp256k1 та надання конкретних оцінок ресурсів. У статті розглянуто два підходи: перший обмежує кількість логічних кубітів 1 200 і використовує до 90 мільйонів вентилів Тоффолі; другий збільшує кількість логічних кубітів до 1 450, але зменшує кількість вентилів до 70 мільйонів. У надпровідниковій квантовій архітектурі це відповідає менш ніж 500 000 фізичних кубітів.
Символічно Google не оприлюднив повне коло атаки. Натомість було використано докази з нульовим розголошенням для підтвердження існування та коректності кола. Такий підхід, запозичений із принципу «відповідального розкриття» у класичній кібербезпеці, свідчить, що квантова криптоаналіз перейшла на новий рівень — від реактивного захисту до проактивної оборони.
Два сценарії атаки: перехоплення в реальному часі та офлайн-збір
У статті описано два сценарії квантових атак із різними профілями ризику.
Перший — «атака в реальному часі», яка націлена на транзакції, що транслюються в мемпул. Коли користувач ініціює транзакцію Bitcoin, його відкритий ключ короткочасно з’являється в мережі — приблизно на 10 хвилин, що відповідає середньому часу блоку. Достатньо швидкий квантовий комп’ютер може за 9 хвилин обчислити приватний ключ за відкритим і подати конкуруючу транзакцію, викравши кошти до підтвердження. У статті оцінюється, що ймовірність перехоплення транзакції одним квантовим пристроєм у попередньо підготовленому стані становить близько 41 %.
Другий — «статична атака», яка спрямована на гаманці з постійно відкритими публічними ключами у ланцюгу. Тут часових обмежень немає: квантовий комп’ютер може працювати у власному темпі. За оцінками, близько 6,9 млн біткоїнів — приблизно 33 % від загальної емісії — мають відкриті публічні ключі. Сюди входить близько 1,7 млн монет раннього періоду (епоха Сатоші) та значні суми, відкриті через повторне використання адрес.
Важливий висновок статті: оновлення Taproot у Bitcoin у 2021 році, хоч і підвищило класичну безпеку та приватність, фактично розширило поверхню квантових атак, оскільки за замовчуванням відкриває публічний ключ у ланцюгу. Taproot прибрав захисний шар «спочатку хеш, потім розкриття», який був у старому форматі адрес P2PKH.
Технічна вартість і проблема управління у протидії квантовим загрозам
Шлях протидії квантовим загрозам зрозумілий, але й витрати очевидні. Національний інститут стандартів і технологій США (NIST) завершив стандартизацію першої хвилі постквантових криптографічних стандартів у серпні 2024 року: FIPS 203, 204 і 205. З технічного боку серед реальних альтернатив — ґраткові постквантові підписи (наприклад, ML-DSA, раніше CRYSTALS-Dilithium) та гешовані підписи (наприклад, SLH-DSA, раніше SPHINCS+).
Однак децентралізована модель управління Bitcoin робить міграцію криптографії вкрай складною. Впровадження постквантових схем підпису вимагатиме софт- або хардфорку, досягнення консенсусу в спільноті, координації розробників і синхронізованого оновлення гаманців та бірж. У спільноті Bitcoin запропоновано BIP-360 для додавання квантостійких підписів, але обговорення триває. Ключовий розробник Адам Бек та інші вважають, що квантова загроза ще «десятиліття попереду», а передчасні масштабні оновлення можуть призвести до появи неперевірених криптографічних вразливостей.
Справжня суть дискусії — у невизначеності квантової загрози: питання «коли мігрувати» стає ігровою задачею. Надто раннє оновлення може призвести до марних витрат, а надто пізнє — до незворотних втрат активів.
Як квантові загрози змінюють оцінку безпеки криптоактивів
Загроза квантових обчислень змінює уявлення про «запас безпеки» криптоактивів. Традиційна аксіома — неможливість відновлення приватного ключа за відкритим у прийнятний час — переглядається. Тепер 6,9 млн біткоїнів (вартістю понад 450 млрд доларів за поточним курсом) із повністю відкритими публічними ключами спираються лише на тимчасову відсутність зрілих квантових комп’ютерів.
Ринки вже реагують на цей ризик. Частка використання адрес Taproot знизилася з 42 % у 2024 році до близько 20 %, що свідчить: частина користувачів свідомо уникає форматів із відкритими публічними ключами. Інвестиційний стратег CoinShares Метью Кіммел зазначає, що це дослідження «скорочує час для індустрії на розробку плану дій».
У ширшому контексті криптоіндустрія більш вразлива до квантових загроз, ніж традиційні фінанси. Причина — публічність і незворотність блокчейнів. Традиційні фінансові установи можуть масово оновлювати сертифікати й ключі для захисту від квантових атак, але якщо публічний ключ потрапив у блокчейн, це назавжди — його не можна «відкликати». Така структурна різниця означає, що криптоіндустрія має не лише «запроваджувати постквантові алгоритми», а й створити інституційні механізми для «постійної адаптації криптографії».
Наскільки близькі реальні атаки до оцінок ресурсів?
Попри суттєве зниження оцінок ресурсів у статті, до реальних атак ще далеко. Сучасні квантові системи, зокрема чип Willow компанії Google, мають лише близько 100 фізичних кубітів і не забезпечують корекції помилок. Щоб перейти від поточного рівня до 500 000 стабільних, коригованих фізичних кубітів, потрібно подолати значні інженерні бар’єри.
Деякі експерти вважають ці побоювання передчасними. Адам Бек із Blockstream наголошує, що мережевий рівень Bitcoin не залежить від класичної криптографії: квантова загроза стосується не перехоплення трафіку, а злому приватних ключів окремих користувачів. Крім того, геш-функція SHA-256, яка використовується у proof-of-work, досить стійка до квантових атак — алгоритм Ґровера лише підвищує ефективність підбору до квадратного кореня, що набагато менш загрозливо, ніж «експоненційний» вплив алгоритму Шора на криптографію з відкритим ключем.
Однак це не означає, що індустрія може зволікати. У сфері кібербезпеки застосовується стратегія «збирай зараз — розшифровуй потім»: зловмисники можуть уже накопичувати блокчейн-дані, чекаючи на зрілість квантових комп’ютерів для їх злому. Така асиметрія у часі вимагає впровадження захисту ще до появи реальних квантових загроз.
Від плану Google на 2029 рік до міжнародних регуляторних термінів
Мета Google — перевести свої внутрішні системи на PQC до 2029 року — не є унікальною. Агентство національної безпеки США (NSA) у рамках CNSA 2.0 вимагає, щоб усі нові системи національної безпеки використовували квантостійкі алгоритми з січня 2027 року, повний перехід — до 2030 року, а завершення міграції інфраструктури — до 2035 року. Сумарний тиск стандартів NIST і регуляторних термінів NSA змушує компанії та установи розглядати міграцію на PQC як обов’язкову вимогу, а не лише дослідницьку тему.
Для криптоіндустрії це створює особливий виклик. Оновлення децентралізованих мереж на кшталт Bitcoin і Ethereum часто триває роками. Ethereum Foundation уже багато років розробляє постквантові дорожні карти і тестує відповідні схеми підпису на тестнетах. Натомість у Bitcoin досі немає чіткої постквантової стратегії та координованого механізму фінансування. Децентралізоване управління забезпечує легітимність, але й значно сповільнює міграцію криптографії на рівні протоколу.
Висновок
Стаття команди Quantum AI компанії Google не означає кінець Bitcoin. Вона перетворює квантову загрозу з розмитої гіпотези на набір конкретних інженерних параметрів. 500 000 фізичних кубітів, необхідних для атаки, приблизно 9-хвилинне вікно для злому та 6,9 млн біткоїнів із відкритими публічними ключами — усе це формує реальне й звужене вікно безпеки.
Виклик для індустрії — не лише технічний: NIST уже вирішив алгоритмічну проблему. Основна складність — у координації управління. У децентралізованих мережах досягнення консенсусу потребує часу, а прогрес квантових обчислень не чекатиме. Протягом наступних п’яти-семи років криптоіндустрія має балансувати між двома ризиками: оновити занадто рано й отримати неперевірену криптографію або оновити занадто пізно й втратити активи безповоротно. Який би шлях не обрали, квантові обчислення вже стали не теоретичним, а практичним чинником, який необхідно інтегрувати у механізми безпеки криптоактивів.
FAQ
Q: Чи можуть квантові комп’ютери вже зараз зламати Bitcoin?
A: Ні. Найсучасніші квантові системи мають лише близько 100 фізичних кубітів. Для злому ECC-256 у Bitcoin потрібно близько 500 000 фізичних кубітів із корекцією помилок — це розрив у сотні разів.
Q: Що означає «злам за 9 хвилин»?
A: Йдеться про сценарій «атаки в реальному часі», описаний у статті. Якщо квантовий комп’ютер перебуває у підготовленому стані, від моменту відкриття публічного ключа до його злому мине близько 9 хвилин — трохи менше, ніж середній час блоку в Bitcoin (10 хвилин). Теоретично це дає приблизно 41 % ймовірності перехоплення транзакції.
Q: Які біткоїни під найбільшою загрозою?
A: Найбільший ризик мають адреси з постійно відкритими публічними ключами: ранні P2PK-адреси (близько 1,7 млн монет), адреси з повторним використанням, а також Taproot-адреси. У статті оцінюється, що близько 6,9 млн біткоїнів перебувають у такому стані.
Q: Чи можна оновити Bitcoin для захисту від квантових атак?
A: Так. NIST затвердив стандарти постквантової криптографії (наприклад, ML-DSA і SLH-DSA). У Bitcoin можна впровадити квантостійкі підписи через такі пропозиції, як BIP-360. Основна складність у тому, що для оновлення потрібен консенсус спільноти, а це може тривати роками.
Q: Що робити користувачам уже зараз?
A: Не використовуйте одну й ту саму адресу повторно — створюйте нову для кожної транзакції. Зберігайте великі суми у холодних гаманцях. Слідкуйте за прогресом спільноти щодо квантостійких оновлень і заздалегідь переводьте активи на більш захищені адреси.
