31 марта 2026 года Google Quantum AI, дочерняя компания Google, опубликовала белую книгу, вызвавшую широкий интерес, в которой утверждалось, что ресурсы, необходимые для взлома биткоин-шифрования с помощью будущих квантовых компьютеров, снизились примерно в 20 раз по сравнению с предыдущими оценками. Это исследование быстро вызвало оживленные обсуждения в отрасли, и заголовки вроде «Квантовый компьютер взломал биткоин за 9 минут» начали распространяться на рынке. Но честно говоря, такой паники бывает раз в год-два, просто на этот раз она звучит особенно убедительно благодаря имени Google.
Мы систематически проанализировали эту 57-страничную статью и ряд ключевых исследований, опубликованных одновременно с ней, чтобы разобрать достоверность соответствующих утверждений, оценить реальное влияние современного развития квантовых вычислений на криптовалютную и майнинговую отрасли, а также определить, на какой стадии находятся связанные риски и действительно ли они являются срочными.
Переоценка технических рисков
Традиционно безопасность биткоина основана на одностороннем математическом соотношении. При создании кошелька система генерирует закрытый ключ, а открытый ключ выводится из закрытого. При использовании биткоина пользователь должен доказать владение закрытым ключом, не раскрывая его напрямую, а вместо этого создавая криптографическую подпись, которую сеть может проверить. Эта система безопасна, потому что современным компьютерам потребовалось бы несколько миллиардов лет, чтобы вычислить закрытый ключ по открытому — точнее, время, необходимое для взлома алгоритма цифровой подписи на эллиптических кривых (ECDSA), значительно превышает текущие практические возможности, поэтому с криптографической точки зрения блокчейн считался неуязвимым.
Однако появление квантовых компьютеров нарушило это правило. Они работают иначе: вместо того чтобы перебирать ключи по одному, они одновременно исследуют все возможные варианты и используют эффект квантовой интерференции, чтобы найти правильный ключ. По аналогии, традиционный компьютер — это человек в темной комнате, который пробует ключи один за другим, а квантовый компьютер — как несколько универсальных ключей, которые одновременно подходят ко всем замкам, более эффективно приближаясь к правильному ответу. Как только квантовый компьютер станет достаточно мощным, злоумышленник сможет быстро вычислить ваш приватный ключ по вашему публичному ключу, а затем подделать транзакцию и перевести ваши биткойны на свой счет. Поскольку транзакции в блокчейне необратимы, в случае такого нападения восстановить активы будет крайне сложно.
31 марта 2026 года Google Quantum AI в сотрудничестве со Стэнфордским университетом и Фондом Ethereum опубликовала белую книгу объемом 57 страниц. Основной фокус статьи — оценка конкретной угрозы квантовых вычислений для алгоритма цифровой подписи на эллиптических кривых (ECDSA). Большинство блокчейнов и криптовалют используют 256-битную криптографию на эллиптических кривых, основанную на проблеме дискретного логарифма (ECDLP-256), для защиты кошельков и транзакций. Исследовательская группа обнаружила, что квантовые ресурсы, необходимые для взлома ECDLP-256, значительно сократились.
Они разработали квантовую схему для выполнения алгоритма Шора, специально предназначенную для обратного вывода закрытого ключа из открытого ключа. Эта схема требует работы на определенном типе квантового компьютера — сверхпроводящей архитектуре квантовых вычислений. Это основная технологическая линия, которую разрабатывают такие компании, как Google и IBM, и ее особенностью является высокая скорость вычислений, но для стабильности кубитов требуется крайне низкая температура. При предположении, что производительность оборудования соответствует стандарту флагманского квантового процессора Google, такая атака может быть выполнена за несколько минут с использованием менее 500 000 физических кубитов. Это число снижено примерно в 20 раз по сравнению с предыдущими оценками.
Для более наглядной оценки этой угрозы исследовательская команда провела моделирование взлома. Подставив описанную конфигурацию схемы в реальную среду транзакций Bitcoin, они обнаружили, что теоретический квантовый компьютер может за примерно 9 минут выполнить обратное вычисление от открытого ключа к закрытому с вероятностью успеха около 41%. Среднее время создания блока в Bitcoin составляет 10 минут. Это означает, что не только примерно 32–35% предложения Bitcoin находятся под угрозой статического взлома из-за того, что их открытые ключи уже опубликованы в блокчейне, но и злоумышленники теоретически могут перехватить транзакцию до её подтверждения и перенаправить средства. Хотя квантовый компьютер с такими возможностями пока не существует, это открытие расширяет квантовую угрозу от «статического извлечения активов» до «перехвата транзакций в реальном времени» и вызвало значительную тревогу на рынке.
Google в то же время предоставила еще одну ключевую информацию: компания перенесла внутренний срок перехода на постквантовую криптографию (PQC) на 2029 год. Проще говоря, переход на постквантовую криптографию означает «смену замков» всех сегодняшних систем, зависящих от RSA и эллиптической кривой, на такие, которые трудно взломать с помощью квантовых компьютеров. До публикации Google этого белого документа это был проект с длительным планом. Ранее Национальный институт стандартов и технологий США (NIST) установил график: отказаться от старых алгоритмов до 2030 года и полностью запретить их до 2035 года; отрасль считала, что у нее есть около десяти лет на подготовку. Однако Google, основываясь на последних достижениях в трех направлениях — квантовом оборудовании, квантовой коррекции ошибок и оценке ресурсов квантового факторизации — пришла к выводу, что квантовая угроза ближе, чем предполагалось ранее, и значительно ускорила свой внутренний срок перехода до 2029 года. Это объективно сократило срок подготовки всей отрасли и передало криптоиндустрии сигнал: прогресс в области квантовых компьютеров идет быстрее ожидаемого, и обновление безопасности необходимо вывести на первый план. Это, безусловно, является важнейшим исследованием, однако в процессе медиаосвещения тревога была преувеличена. Как нам следует рационально воспринимать этот импульс?
Нужно ли действительно беспокоиться
Сломает ли квантовый компьютер всю сеть Bitcoin?
Существует угроза, но она сосредоточена на безопасности подписей. Квантовые вычисления не оказывают прямого влияния на базовую структуру блокчейна и не делают механизм майнинга неэффективным. На самом деле они направлены на процесс цифровой подписи. Каждая транзакция биткоина требует подписи частным ключом для подтверждения принадлежности средств. Сеть проверяет, правильна ли подпись. Потенциальная способность квантовых вычислений заключается в том, чтобы, имея открытый ключ, восстановить частный ключ и подделать подпись.
Это создает два реальных риска. Один возникает в процессе торговли: когда инициируется транзакция, информация попадает в сеть, но еще не включена в блок, теоретически существует возможность ее опережающей замены; такие атаки называются «on-spend attack». Второй — направлен на адреса, чьи открытые ключи уже были раскрыты в прошлом, например, кошельки с долгое время неиспользуемыми или многократно используемыми адресами; такие атаки предоставляют больше времени и легче понимаются.
Однако важно подчеркнуть, что эти риски не являются универсальными для всех биткоинов или всех пользователей. Угроза существует только в течение нескольких минутного окна, когда вы инициируете транзакцию, или если ваш адрес ранее уже раскрыл свой открытый ключ. Это не представляет собой немедленного подрыва всей системы.
Будет ли угроза наступать так быстро?
Предпосылкой для «взлома за 9 минут» является наличие уже созданного ошибочно устойчивого квантового компьютера с 500 000 физических кубитов. В настоящее время самый передовой чип Google — Willow — имеет всего 105 физических кубитов, процессор IBM Condor — около 1 121, что на несколько сотен раз меньше порога в 500 000. Согласно оценке исследователя Фонда Ethereum Джастин Дрейк, вероятность наступления «Квантового дня» (Q-Day) к 2032 году составляет всего 10%. Таким образом, это не срочная угроза, но и не полностью игнорируемый хвостовой риск.
What is the biggest threat of quantum computing?
Биткойн не является наиболее подверженным влиянию системой; он просто наиболее очевиден и легко воспринимаем общественностью с точки зрения стоимости. Вызов, связанный с квантовыми вычислениями, представляет собой более широкую системную проблему. Вся интернет-инфраструктура, основанная на криптографии с открытым ключом, включая банковские системы, государственную связь, защищенную электронную почту, цифровые подписи программ и системы аутентификации личности, столкнется с той же угрозой. Именно поэтому такие организации, как Google, Агентство национальной безопасности США (NSA) и Национальный институт стандартов и технологий США (NIST), в течение последнего десятилетия активно продвигают переход на постквантовую криптографию. Как только появится квантовый компьютер с реальной атакующей способностью, под ударом окажется не только криптовалюта, но и вся система доверия цифрового мира. Следовательно, это не единичный риск, связанный с биткойном, а системное обновление всей глобальной информационной инфраструктуры.
Представления и жизнеспособность квантовой добычи
В тот же день, когда Google опубликовала статью, BTQ Technologies выпустила исследовательскую работу под названием «Kardashev Scale Quantum Computing for Bitcoin Mining», количественно оценив feasibility квантовой добычи с физической и экономической точек зрения. Автор статьи Пьер-Люк Даллэйр-Демерс создал полную модель всех технологических аспектов квантовой добычи — от базового оборудования до верхнеуровневых алгоритмов — и на этой основе оценил реальную стоимость добычи биткоинов с использованием квантового компьютера.
Исследования показывают, что даже при самых благоприятных предположениях для добычи с использованием квантовых компьютеров требуется примерно 10⁸ физических кубитов и 10⁴ мегаватт мощности, что примерно эквивалентно общему выходу крупной национальной электросети. При сложности основной сети Bitcoin в январе 2025 года необходимые ресурсы возрастут до примерно 10²³ физических кубитов и 10²⁵ ватт, что приближается к уровню энерговыработки звезды. Для сравнения, текущее энергопотребление всей сети Bitcoin составляет около 13–25 гигаватт, что на порядки меньше энергетических масштабов, необходимых для квантовой добычи.
Исследования далее указывают, что теоретическое преимущество в ускорении алгоритма Гровера в реальной инженерной практике компенсируется различными издержками и не может быть реально преобразовано в прибыль от добычи. Квантовая добыча неосуществима как с физической, так и с экономической точки зрения.
Google并非唯一在讨论这一问题的机构。Coinbase、以太坊基金会以及斯坦福区块链研究中心等机构均已开展相关研究。以太坊基金会研究员Justin Drake评价称:“到2032年,量子计算机从暴露的公钥中恢复secp256k1 ECDSA私钥的概率至少为10%。尽管在2030年前出现具有密码学意义的量子计算机仍显得不太可能,但现在无疑是开始做好准备的时候。”
Таким образом, на данный момент нам не нужно беспокоиться о том, что квантовые вычисления нанесут смертельный удар майнингу, поскольку объем необходимых ресурсов远远 превышает любые рамки рационального экономического решения. Никто не потратит столько энергии, чтобы захватить 3,125 биткойна из одного блока.
Криптовалюты не исчезнут, но им необходима модернизация
Если квантовые вычисления поставили вопрос, то отрасль уже давно имеет ответ — это постквантовая криптография (Post-Quantum Cryptography, PQC), то есть криптографические алгоритмы, устойчивые к квантовым компьютерам. Конкретные технические подходы включают внедрение квантово-устойчивых алгоритмов цифровой подписи, оптимизацию структуры адресов для снижения раскрытия открытых ключей, а также постепенный переход через обновления протоколов. В настоящее время NIST завершила стандартизацию постквантовой криптографии, при этом ML-DSA (алгоритм цифровой подписи на основе модулярных решеток, FIPS 204) и SLH-DSA (бессостоятельный алгоритм цифровой подписи на основе хеширования, FIPS 205) являются двумя основными постквантовыми схемами цифровой подписи.
На уровне сети Bitcoin BIP 360 (Pay-to-Merkle-Root, сокращенно P2MR) был официально принят в базу предложений по улучшению Bitcoin в начале 2026 года. Он направлен на тип транзакций, введенный обновлением Taproot, активированным в 2021 году. Taproot был создан для повышения конфиденциальности и эффективности Bitcoin, но его функция «проведения через ключевой путь» раскрывает публичный ключ при совершении транзакций, что в будущем может сделать его целью квантовых атак. Основная идея BIP 360 заключается в удалении этого пути раскрытия публичного ключа и изменении структуры транзакции, чтобы перевод средств больше не требовал раскрытия публичного ключа, тем самым снижая экспозицию к квантовым рискам на корневом уровне.
Для криптовалютной индустрии обновление блокчейна связано с рядом вопросов, включая совместимость на цепочке, инфраструктуру кошельков, систему адресов, стоимость миграции пользователей и координацию сообщества, требуя участия протокольного уровня, клиентов, кошельков, бирж, депозитарных учреждений и даже обычных пользователей для обновления всей экосистемы. Однако по крайней мере вся индустрия уже достигла консенсуса по этому вопросу, и дальнейшее продвижение — это лишь вопрос исполнения и временных рамок.
Заголовок впечатляет, но на деле не так срочно
После детального анализа этих последних достижений становится ясно, что ситуация не така тревожна, как может показаться. Хотя исследования в области квантовых вычислений действительно ускоряются и приближаются к реальности, у нас всё ещё достаточно времени для подготовки. Сегодняшний Bitcoin — это не статичная система, а сеть, которая на протяжении последних десяти лет постоянно развивалась: от обновлений скриптов до Taproot, от улучшений приватности до решений для масштабирования — она постоянно ищет баланс между безопасностью и эффективностью.
Вызовы, связанные с квантовыми вычислениями, возможно, являются лишь поводом для следующего обновления. Часы квантовых вычислений тикают. Хорошая новость в том, что мы все слышим их звук и успеваем отреагировать. В эпоху постоянных прорывов в вычислительных мощностях нам нужно только обеспечить, чтобы механизмы доверия в криптомире всегда опережали технологические угрозы.