31 березня 2026 року Google Quantum AI, підрозділ Google, опублікувала білу книгу, яка викликала широкий інтерес, стверджуючи, що ресурси, необхідні для злому криптографії біткойну за допомогою квантових комп’ютерів у майбутньому, зменшилися приблизно в 20 разів порівняно з попередніми оцінками. Це дослідження швидко спричинило зростання обговорень у галузі, і на ринку почали поширюватися заголовки типу «Квантовий комп’ютер зламує біткойн за 9 хвилин». Але чесно кажучи, такий панічний настрій виникає щороку один-два рази; просто на цей раз він звучить особливо переконливо через асоціацію з ім’ям Google.
Ми систематично проаналізували цю 57-сторінкову статтю та кілька ключових досліджень, опублікованих одночасно, щоб розібрати правдивість зазначених тверджень, з’ясувати, який вплив наразі має розвиток квантових обчислень на криптовалютну та майнінг-галузь, а також визначити, на якій стадії перебувають відповідні ризики чи дійсно вони є негайною загрозою.
Технічний ризик, що переоцінюється
Традиційно безпека біткойна ґрунтується на односторонньому математичному співвідношенні. Під час створення гаманця система генерує приватний ключ, а публічний ключ виводиться з приватного. Під час використання біткойна користувач повинен довести, що володіє приватним ключем, але не розкриває його напряму — замість цього він використовує приватний ключ для створення криптографічного підпису, який мережа може перевірити. Цей механізм є безпечним, оскільки сучасним комп’ютерам знадобилося б мільярди років, щоб з публічного ключа зворотно вивести приватний; зокрема, час, необхідний для розшифровки алгоритму еліптичних кривих цифрових підписів (ECDSA), значно перевищує поточні практичні межі, тому з криптографічної точки зору блокчейн завжди вважався незламним.
Але з’явлення квантових комп’ютерів порушило це правило. Вони працюють інакше: замість того щоб перевіряти ключі по одному, вони одночасно досліджують усі можливості та використовують ефект квантової інтерференції, щоб знайти правильний ключ. Наочно: звичайний комп’ютер — це як людина в темній кімнаті, яка підбирає ключі по одному, а квантовий комп’ютер — як кілька універсальних ключів, які одночасно підходять до всіх замків, швидше наближаючись до правильного розв’язку. Коли квантовий комп’ютер стане достатньо потужним, зловмисник зможе швидко обчислити ваш приватний ключ із вашого відкритого ключа, а потім підробити транзакцію й перевести ваш біткойн на своє ім’я. Якщо така атака відбудеться, через незворотність транзакцій у блокчейні відновити активи буде дуже складно.
31 березня 2026 року Google Quantum AI у співпраці з Стенфордським університетом та Фондом Ефіреум опублікували білу книгу об’ємом 57 сторінок. Основна ідея цієї статті — оцінка квантових обчислень щодо конкретних загроз для алгоритму цифрового підпису на основі еліптичних кривих (ECDSA). Більшість блокчейнів та криптовалют використовують 256-бітну еліптичну криптографію, засновану на проблемі дискретного логарифму (ECDLP-256), для захисту гаманців та транзакцій. Дослідницька команда виявила, що квантові ресурси, необхідні для розшифрування ECDLP-256, значно зменшилися.
Вони розробили квантову схему для виконання алгоритму Шора, спеціально призначену для зворотного визначення приватного ключа з публічного. Ця схема потребує виконання на квантовому комп’ютері певного типу — з надпровідною квантовою архітектурою. Це основний напрямок розробок компаній, таких як Google та IBM, який характеризується високою швидкістю обчислень, але вимагає надзвичайно низьких температур для підтримки стабільності кубітів. За припущення, що продуктивність апаратного забезпечення відповідає стандартам флагманського квантового процесора Google, така атака може бути здійснена за кілька хвилин за допомогою менше ніж 500 000 фізичних кубітів. Ця цифра зменшилася приблизно у 20 разів порівняно з попередніми оцінками.
Щоб більш наочне оцінити цю загрозу, дослідницька команда провела симуляцію злому. Вони ввели вказану конфігурацію схеми в реальне середовище транзакцій біткоїна і виявили, що теоретичний квантовий комп’ютер може здійснити зворотне визначення приватного ключа з публічного приблизно за 9 хвилин з успішністю близько 41%. Середній час генерації блоку біткоїна становить 10 хвилин. Це означає, що не лише приблизно 32–35% пропозиції біткоїнів, чиї публічні ключі вже відкриті в ланцюжку, піддаються ризику статичного злому, але й зловмисники теоретично можуть перехопити вашу транзакцію до її підтвердження й вивести кошти. Хоча квантовий комп’ютер з такими можливостями ще не створений, це відкриття розширює квантову загрозу від «статичного збору активів» до «перехоплення транзакцій у реальному часі» і викликає значну тривогу на ринку.
Google одночасно надала ще одну ключову інформацію: компанія перенесла внутрішній термін міграції на постквантову криптографію (PQC) на 2029 рік. Простими словами, міграція на постквантову криптографію — це заміна «замків» у всіх сучасних системах, що залежать від RSA та еліптичних кривих, на такі, які важко відкрити за допомогою квантового комп’ютера. До публікації Google цього білого паперу це була довгострокова інженерна задача. Раніше Національний інститут стандартів і технологій США (NIST) встановив терміни: вивести старі алгоритми з використання до 2030 року та повністю заборонити їх до 2035 року, і галузь загалом вважала, що на підготовку є ще близько десяти років. Але Google, зважаючи на останні досягнення у трьох напрямках — квантовому обладнанні, квантовій корекції помилок та оцінці ресурсів для квантового розкладання на множники — висновкувала, що квантовий загроза набагато ближча, ніж раніше вважалося, і тому значно скоротила внутрішній термін міграції до 2029 року. Це об’єктивно скоротило терміни підготовки для всієї галузі та передало крипто-галузі сигнал: прогрес у квантових комп’ютерах швидший, ніж очікувалося, і оновлення безпеки потрібно включити до повного графіка якомога раніше. Це безперечно марковий дослідницький прорив, але під час поширення в ЗМІ тривога була посиленою. Як нам слід раціонально сприймати цей вплив?
Чи варто хвилюватися
Чи зробить квантовий обчислювальний потенціал всю мережу Bitcoin неспроможною?
Є загроза, але вона зосереджена на безпеці підписів. Квантові обчислення не впливають безпосередньо на базову структуру блокчейну і не роблять майнінг неефективним. Вони справді націлені на етап цифрового підпису. Кожна транзакція біткоїна потребує підпису приватним ключем для підтвердження власності на кошти. Мережа перевіряє, чи є підпис правильним. Потенційна здатність квантових обчислень полягає у тому, щоб, маючи публічний ключ, відновити приватний ключ і підробити підпис.
Це створює дві реальні ризики. Один виникає під час самої транзакції. Коли транзакція ініціюється, інформація потрапляє в мережу, але ще не була включена до блоку, теоретично існує можливість її попередньої заміни; такі атаки називаються «on-spend attack». Інший — це атаки на адреси, чий публічний ключ вже був розкритий в історії, наприклад, гаманці з довготривалим не використанням або повторним використанням адрес; такі атаки мають більше часу для реалізації і є легшими для розуміння.
Але слід підкреслити, що ці ризики не є загальними для всіх біткоеїв або всіх користувачів. Загроза існує лише в той короткий час, коли ви ініціюєте транзакцію, або якщо ваша адреса раніше вже виставляла публічний ключ. Це не є негайним зрушенням всієї системи.
Чи прийдуть загрози так швидко?
Передумовою для «розкриття за 9 хвилин» є наявністьFault-tolerant квантового комп’ютера з 500 000 фізичних квантових бітів. Наразі найсучасніший чіп Google Willow має лише 105 фізичних квантових бітів, а процесор IBM Condor — близько 1 121, що залишає різницю в сотні разів до порогу в 500 000. Дослідник Ethereum Foundation Джастін Дрейк оцінює ймовірність настання квантового дня (Q-Day) до 2032 року лише в 10%. Отже, це не негайна загроза, але й не можна повністю ігнорувати цей хвостовий ризик.
Яка найбільша загроза квантових обчислень?
Біткойн не є найбільш постраждалим системою — він просто найбільш наочний і легко сприймається громадськістю з точки зору вартості. Виклик, пов’язаний з квантовими обчисленнями, є більш широким системним питанням. Уся інфраструктура Інтернету, що залежить від криптографії з відкритим ключем, включаючи банківські системи, урядові комунікації, безпечну електронну пошту, підписи програм, системи аутентифікації особистості, стикатиметься з тією ж загрозою. Саме тому такі організації, як Google, Національне агентство безпеки США (NSA) та Національний інститут стандартів і технологій США (NIST), протягом останнього десятиліття активно просували перехід на постквантову криптографію. Коли з’явиться квантовий комп’ютер з реальними атакувальними можливостями, постраждає не лише криптовалюта, а й вся система довіри цифрового світу. Тому це не окремий ризик для біткойна, а системна модернізація глобальної інформаційної інфраструктури.
Уява та доцільність квантового майнінгу
У той самий день, коли Google опублікувала статтю, BTQ Technologies опублікувала дослідницьку роботу під назвою «Kardashev Scale Quantum Computing for Bitcoin Mining», яка кількісно оцінює доцільність квантового майнінгу з фізичної та економічної точок зору. Автор статті П’єр-Люк Даллер-Демерс створив повну модель всіх технічних аспектів квантового майнінгу — від нижчого рівня апаратного забезпечення до верхнього рівня алгоритмів — щоб оцінити реальну вартість майнінгу біткойнів за допомогою квантових комп’ютерів.
Дослідження показало, що навіть при найбільш сприятливих припущеннях майнінг за допомогою квантового комп’ютера вимагатиме приблизно 10⁸ фізичних кубітів та 10⁴ мегаватт потужності, що приблизно дорівнює загальній потужності великої національної електромережі. При складності основної мережі біткойна на січень 2025 року необхідні ресурси зростають до приблизно 10²³ фізичних кубітів та 10²⁵ ват, що вже наближається до рівня енерговиділення зірки. Навпаки, поточне споживання електроенергії всією мережею біткойна становить приблизно 13–25 гігават, що на декілька порядків менше, ніж потужність, необхідна для квантового майнінгу.
Дослідження далі зазначає, що теоретична перевага в прискоренні алгоритму Гровера в реальній інженерній практиці знищується різними витратами і не може бути реально перетворена на прибуток від майнінгу. Квантовий майнінг фізично та економічно непрактичний.
Google не є єдиною організацією, яка обговорює цей питання. Такі структури, як Coinbase, Фонда Ефіріум та Стенфордський центр досліджень блокчейну, вже продовжують відповідні дослідження. Дослідник Фонду Ефіріум Джастін Дрейк зауважив: «До 2032 року ймовірність того, що квантовий комп’ютер зможе відновити приватний ключ secp256k1 ECDSA з відкритого ключа, становить щонайменше 10%. Хоча з’явлення квантового комп’ютера з криптографічним значенням до 2030 року все ще здається малоймовірним, зараз саме час почати готуватися».
Отже, наразі нам не потрібно турбуватися про смертельний вплив квантових обчислень на майнінг, оскільки обсяг необхідних ресурсів перевищує будь-які межі раціонального економічного рішення. Ніхто не витратить стільки енергії, щоб отримати 3,125 біткойнів з одного блоку.
Криптовалюти не зникнуть, але потребують оновлення
Якщо квантові обчислення поставили питання, то галузь завжди мала відповідь — це «постквантова криптографія» (Post-Quantum Cryptography, PQC), тобто криптографічні алгоритми, стійкі до квантових комп’ютерів. Конкретні технічні шляхи включають впровадження квантово-стійких підписових алгоритмів, оптимізацію структури адрес для зменшення відкритих ключів та поступове переходження за допомогою оновлень протоколу. На даний момент NIST завершила стандартизацію постквантової криптографії, де ML-DSA (алгоритм цифрового підпису на основі модулярних ґрат, FIPS 204) та SLH-DSA (безстановий підписовий алгоритм на основі хеш-функцій, FIPS 205) є двома основними постквантовими схемами підпису.
На рівні мережі біткойнів BIP 360 (Pay-to-Merkle-Root, скорочено P2MR) був офіційно прийнятий до біткойн-імпрувмент-пропозицій у початку 2026 року. Він стосується типу транзакцій, введених оновленням Taproot, активованим у 2021 році. Taproot був задуманий для підвищення конфіденційності та ефективності біткойну, але його функція «витрачання за ключовим шляхом» відкриває публічний ключ під час транзакції, що може зробити його майбутньою мішенню для квантових атак. Основна ідея BIP 360 полягає у видаленні цього шляху, що відкриває публічний ключ, зміні структури транзакції, щоб переказ коштів більше не вимагав відображення публічного ключа, тим самим зменшуючи вразливість до квантових ризиків на кореневому рівні.
Для індустрії криптовалют оновлення блокчейну пов’язане з рядом питань: сумісність у мережі, інфраструктура гаманців, система адрес, витрати користувачів на міграцію та координація спільноти. Це вимагає участі протокольного рівня, клієнтів, гаманців, бірж, депозитаріїв та навіть звичайних користувачів для оновлення всієї екосистеми. Але принаймні вся індустрія вже досягла згоди з цього приводу; подальше просування — це лише питання виконання та часу.
Заголовок виглядає вражаюче, але насправді не так вже й терміново
Після детального розбору цих останніх досягнень стає зрозуміло, що речі не такі тривожні, як здається. Хоча дослідження квантових обчислень людством прискорюються і наближаються до реальності, у нас все ще є достатньо часу для реагування. Сьогоднішній біткойн — це не статична система, а мережа, яка протягом останніх десятиліть постійно розвивалася: від оновлень сценаріїв до Taproot, від покращень приватності до рішень для масштабування — вона постійно шукає баланс між безпекою та ефективністю.
Виклики, пов’язані з квантовими обчисленнями, можуть бути лише підставою для наступного оновлення. Годинник квантових обчислень тикає. Добрий новини — ми всі чуємо його тикання і маємо час відреагувати. У епоху постійних стрибків обчислювальних потужностей нам потрібно лише забезпечити, щоб механізми довіри в криптовалютному світі завжди були на крок попереду технологічних загроз.