31 марта 2026 года Google Quantum AI, дочерняя компания Google, опубликовала белую книгу, вызвавшую широкий интерес, в которой утверждалось, что ресурсы, необходимые для взлома криптографии биткоина с помощью квантового компьютера в будущем, снизились примерно в 20 раз по сравнению с предыдущими оценками. Это исследование быстро вызвало оживленные обсуждения в отрасли, и заголовки вроде «Квантовый компьютер взломает биткоин за 9 минут» начали распространяться на рынке. Но честно говоря, такой панический настрой возникает каждый год два-три раза; просто на этот раз он звучит особенно убедительно благодаря имени Google.
Мы систематически проанализировали эту 57-страничную статью и ряд ключевых исследований, опубликованных одновременно с ней, чтобы разобрать степень достоверности соответствующих утверждений, оценить реальное влияние современного развития квантовых вычислений на криптовалютную и майнинговую отрасли, а также определить, на какой стадии находятся связанные риски и действительно ли они являются срочными.
Пересмотренный технический риск
Традиционно безопасность биткоина основана на одностороннем математическом соотношении. При создании кошелька система генерирует приватный ключ, а публичный ключ выводится из приватного. При использовании биткоина пользователь должен доказать владение приватным ключом, не раскрывая его напрямую, а вместо этого создавая криптографическую подпись, которую сеть может проверить. Эта система безопасна, потому что современным компьютерам потребовалось бы несколько миллиардов лет, чтобы вычислить приватный ключ по публичному — точнее, время, необходимое для взлома алгоритма цифровой подписи на эллиптических кривых (ECDSA), значительно превышает текущие практические возможности, поэтому с криптографической точки зрения блокчейн считался неуязвимым.
Однако появление квантовых компьютеров нарушило это правило. Они работают иначе: вместо того чтобы перебирать ключи по одному, они одновременно исследуют все возможные варианты и используют эффект квантовой интерференции для нахождения правильного ключа. По аналогии, традиционный компьютер — это человек в темной комнате, который пробует ключи по одному, а квантовый компьютер — как несколько универсальных ключей, которые одновременно подходят ко всем замкам, более эффективно приближаясь к правильному ответу. Как только квантовый компьютер станет достаточно мощным, злоумышленник сможет быстро вычислить ваш приватный ключ на основе вашего открытого ключа, подделать транзакцию и перевести ваши биткоины на свой счет. Поскольку транзакции в блокчейне необратимы, после такого нападения вернуть активы будет крайне сложно.
31 марта 2026 года Google Quantum AI в сотрудничестве со Стэнфордским университетом и Фондом Ethereum опубликовала белую книгу объемом 57 страниц. Основной целью этой статьи является оценка конкретной угрозы, которую квантовые вычисления представляют для алгоритма цифровой подписи на эллиптических кривых (ECDSA). Большинство блокчейнов и криптовалют используют 256-битную криптографию на эллиптических кривых, основанную на проблеме дискретного логарифма (ECDLP-256), для защиты кошельков и транзакций. Исследовательская группа обнаружила, что квантовые ресурсы, необходимые для взлома ECDLP-256, значительно сократились.
Они разработали квантовую схему, реализующую алгоритм Шора, специально предназначенную для восстановления закрытого ключа из открытого. Эта схема требует для работы определенного типа квантового компьютера — сверхпроводящей архитектуры квантовых вычислений. Это основное направление разработок компаний, таких как Google и IBM, характеризующееся высокой скоростью вычислений, но требующее крайне низких температур для поддержания стабильности кубитов. При предположении, что производительность оборудования соответствует стандарту флагманского квантового процессора Google, такая атака может быть выполнена за несколько минут с использованием менее 500 000 физических кубитов. Это число на порядка в 20 раз меньше, чем предыдущие оценки.
Для более наглядной оценки этой угрозы исследовательская команда провела моделирование взлома. Подставив описанную конфигурацию схемы в реальную среду транзакций Bitcoin, они обнаружили, что теоретический квантовый компьютер может за примерно 9 минут выполнить обратное вычисление от открытого публичного ключа к частному ключу с вероятностью успеха около 41%. Среднее время создания блока в Bitcoin составляет 10 минут. Это означает, что не только примерно 32–35% предложения Bitcoin подвержены риску статического взлома из-за того, что их публичные ключи уже раскрыты в цепочке, но и злоумышленники теоретически могут перехватить транзакцию до её подтверждения и перенаправить средства себе. Хотя квантовый компьютер с такими возможностями пока не существует, это открытие расширило диапазон квантовых атак от «статического извлечения активов» до «перехвата транзакций в реальном времени», вызвав значительную тревогу на рынке.
Google в то же время предоставил еще одну ключевую информацию: компания перенесла внутренний срок перехода на постквантовую криптографию (PQC) на 2029 год. Проще говоря, переход на постквантовую криптографию означает замену «замков» всех сегодняшних систем, зависящих от RSA и эллиптической кривой, на такие, которые трудно взломать с помощью квантовых компьютеров. До публикации Google этого белого документа этот переход планировался как долгосрочный проект. Ранее Национальный институт стандартов и технологий США (NIST) установил график: отказаться от старых алгоритмов до 2030 года и полностью запретить их до 2035 года; отрасль считала, что у нее есть около десяти лет на подготовку. Однако Google на основе последних достижений в трех направлениях — квантовом оборудовании, квантовой коррекции ошибок и оценке ресурсов квантового факторизации — пришел к выводу, что угроза квантовых компьютеров ближе, чем предполагалось ранее, и значительно ускорил свой внутренний срок перехода до 2029 года. Это объективно сократило срок подготовки всей отрасли и передало криптоиндустрии сигнал: прогресс в области квантовых компьютеров идет быстрее ожидаемого, и обновление безопасности необходимо вывести на первый план. Это, безусловно, является важнейшим исследованием, однако в процессе освещения в СМИ тревога была преувеличена. Как нам следует рационально воспринимать этот импульс?
Нужно ли действительно беспокоиться
Сломает ли квантовый компьютер всю сеть Bitcoin?
Существует угроза, но она сосредоточена на безопасности подписей. Квантовые вычисления не оказывают прямого влияния на базовую структуру блокчейна и не делают механизм добычи неэффективным. На самом деле они нацелены на процесс цифровой подписи. Каждая транзакция биткоина требует подписи частным ключом для подтверждения принадлежности средств. Сеть проверяет, правильна ли подпись. Потенциальная способность квантовых вычислений заключается в том, чтобы по открытому публичному ключу восстановить частный ключ и подделать подпись.
Это создает два реальных риска. Один возникает в процессе совершения транзакции: когда транзакция инициирована, информация попала в сеть, но еще не включена в блок, теоретически существует возможность ее опережающей замены; такие атаки называются «on-spend attack». Другой — направлен на адреса, чьи открытые ключи уже были раскрыты в прошлом, например, кошельки с долгое время неиспользуемыми или многократно используемыми адресами; такие атаки предоставляют больше времени и легче понимаются.
Однако важно подчеркнуть, что эти риски не являются универсальными для всех биткоинов или всех пользователей. Угроза существует только в течение нескольких минутного окна, когда вы инициируете транзакцию, или если ваш адрес ранее уже раскрыл свой открытый ключ. Это не представляет собой немедленного подрыва всей системы.
Будет ли угроза наступать так быстро?
Предпосылкой для «взлома за 9 минут» является создание отказоустойчивого квантового компьютера с 500 000 физических кубитов. В настоящее время самый передовой чип Google — Willow — имеет всего 105 физических кубитов, а процессор IBM Condor — около 1 121, что на несколько сотен раз меньше порога в 500 000. Согласно оценке исследователя Ethereum Foundation Джастин Дрейка, вероятность наступления «Квантового дня» (Q-Day) к 2032 году составляет всего 10%. Таким образом, это не срочная угроза, но и не полностью игнорируемый хвостовой риск.
What is the biggest threat of quantum computing?
Биткойн не является наиболее подверженным влиянию системой; он просто наиболее очевиден и легко воспринимаем общественностью с точки зрения стоимости. Вызов, связанный с квантовыми вычислениями, представляет собой более широкую системную проблему. Вся интернет-инфраструктура, основанная на криптографии с открытым ключом — включая банковские системы, государственную связь, защищенную электронную почту, цифровые подписи программ и системы аутентификации личности — столкнется с той же угрозой. Именно поэтому такие организации, как Google, Агентство национальной безопасности США (NSA) и Национальный институт стандартов и технологий США (NIST), на протяжении последнего десятилетия активно продвигают переход на постквантовую криптографию. Как только появится квантовый компьютер с реальной атакующей способностью, под ударом окажется не только криптовалюта, но и вся система доверия цифрового мира. Следовательно, это не единичный риск, связанный только с биткойном, а системное обновление всей глобальной информационной инфраструктуры.
Представления и осуществимость квантовой добычи
В тот же день, когда Google опубликовала статью, BTQ Technologies выпустила исследовательскую работу под названием «Kardashev Scale Quantum Computing for Bitcoin Mining», количественно оценивавшую жизнеспособность квантовой добычи с физической и экономической точек зрения. Автор статьи Пьер-Люк Даллэйр-Демерс создал полную модель всех технологических аспектов квантовой добычи — от базового оборудования до верхнеуровневых алгоритмов — и на этой основе оценил реальную стоимость добычи биткоинов с использованием квантовых компьютеров.
Исследования показывают, что даже при самых благоприятных предположениях для добычи с использованием квантовых компьютеров требуется примерно 10⁸ физических кубитов и 10⁴ мегаватт мощности, что примерно эквивалентно общему выходу крупной национальной электросети. При сложности главной сети Bitcoin в январе 2025 года необходимые ресурсы резко возрастают до примерно 10²³ физических кубитов и 10²⁵ ватт — уровень, приближающийся к энергетическому выходу звезды. Для сравнения, текущее энергопотребление всей сети Bitcoin составляет около 13–25 гигаватт, что на порядки меньше энергетических масштабов, необходимых для квантовой добычи.
Дальнейшие исследования показывают, что теоретическое ускорение, предоставляемое алгоритмом Гровера, в реальной инженерной практике компенсируется различными накладными расходами и не может быть реально преобразовано в прибыль от добычи. Квантовая добыча неосуществима как с физической, так и с экономической точки зрения.
Google并非唯一在讨论这一问题的机构。Coinbase、以太坊基金会以及斯坦福区块链研究中心等机构均已开展相关研究。以太坊基金会研究员Justin Drake评价称:“到2032年,量子计算机从暴露的公钥中恢复secp256k1 ECDSA私钥的概率至少为10%。尽管在2030年前出现具有密码学意义的量子计算机仍显得不太可能,但现在无疑是开始做好准备的时候。”
Таким образом, на данный момент нам не нужно беспокоиться о том, что квантовые вычисления нанесут смертельный удар майнингу, поскольку объем необходимых ресурсов значительно превышает любые рамки рационального экономического решения. Никто не потратит столько энергии, чтобы захватить 3,125 биткойна из одного блока.
Криптовалюты не исчезнут, но им нужна модернизация
Если квантовые вычисления поставили вопрос, то отрасль уже давно имеет ответ — это постквантовая криптография (Post-Quantum Cryptography, PQC), то есть криптографические алгоритмы, устойчивые к квантовым компьютерам. Конкретные технические подходы включают внедрение квантово-устойчивых алгоритмов цифровой подписи, оптимизацию структуры адресов для снижения раскрытия открытых ключей, а также постепенный переход через обновления протоколов. В настоящее время NIST завершила стандартизацию постквантовой криптографии, причем ML-DSA (алгоритм цифровой подписи на основе модулярных решеток, FIPS 204) и SLH-DSA (безсостоятельный алгоритм цифровой подписи на основе хеширования, FIPS 205) являются двумя основными постквантовыми схемами цифровой подписи.
На уровне сети Bitcoin BIP 360 (Pay-to-Merkle-Root, сокращенно P2MR) был официально принят в базу предложений по улучшению Bitcoin в начале 2026 года. Он направлен на устранение типа транзакций, введенного в результате обновления Taproot, активированного в 2021 году. Taproot был разработан для повышения конфиденциальности и эффективности Bitcoin, но его функция «проведения через ключевой путь» раскрывает публичный ключ при совершении транзакций, что в будущем может сделать его целью квантовых атак. Основная идея BIP 360 заключается в удалении этого пути раскрытия публичного ключа и изменении структуры транзакции, чтобы перевод средств больше не требовал раскрытия публичного ключа, тем самым снижая уязвимость перед квантовыми угрозами на корневом уровне.
Для криптовалютной индустрии обновление блокчейна связано с рядом вопросов, включая совместимость на цепочке, инфраструктуру кошельков, систему адресов, стоимость миграции пользователей и координацию сообщества, и требует участия протокольного уровня, клиентов, кошельков, бирж, депозитарных учреждений и даже обычных пользователей для обновления всей экосистемы. Однако по крайней мере вся индустрия уже достигла консенсуса по этому вопросу, и дальнейшее продвижение — это лишь вопрос исполнения и временных рамок.
Заголовок впечатляет, но на деле не так срочно
После детального анализа этих последних достижений становится ясно, что ситуация не така тревожна, как может показаться. Хотя исследования в области квантовых вычислений ускоряются и приближаются к реальности, у нас все еще достаточно времени для подготовки. Сегодняшний Bitcoin — это не статичная система, а сеть, которая на протяжении последних десяти лет постоянно развивалась. От обновлений скриптов до Taproot, от улучшений приватности до решений для масштабирования — он постоянно ищет баланс между безопасностью и эффективностью.
Вызовы, связанные с квантовыми вычислениями, возможно, являются лишь поводом для следующего обновления. Часы квантовых вычислений тикают. Хорошая новость в том, что все мы слышим их звук и успеваем отреагировать. В эпоху постоянных прорывов в вычислительных мощностях нам нужно только обеспечить, чтобы механизмы доверия в криптомире всегда опережали технологические угрозы.