31 березня 2026 року Google Quantum AI, підрозділ Google, опублікувала білу книгу, яка викликала широкий інтерес, стверджуючи, що ресурси, необхідні для злому криптографії біткойна за допомогою квантових комп’ютерів у майбутньому, зменшилися приблизно у 20 разів порівняно з попередніми оцінками. Це дослідження швидко спричинило зростання обговорень у галузі, і на ринку почали поширюватися заголовки типу «Квантовий комп’ютер зламує біткойн за 9 хвилин». Але чесно кажучи, такий панічний настрій виникає щороку один-два рази; просто на цей раз він звучить особливо переконливо через асоціацію з ім’ям Google.
Ми систематично проаналізували цю 57-сторінкову статтю та кілька ключових досліджень, опублікованих одночасно, щоб розібрати правдивість зазначених тверджень, з’ясувати, який вплив наразі має розвиток квантових обчислень на криптовалютну та майнінгову індустрії, а також визначити, на якій стадії перебувають відповідні ризики чи справді вони є негайною загрозою.
Технічний ризик, що переглядається
Традиційно безпека біткойна ґрунтується на односторонній математичній залежності. Під час створення гаманця система генерує приватний ключ, а публічний ключ виводиться з приватного. Під час використання біткойна користувач повинен довести, що володіє приватним ключем, але не розкриває його напряму — замість цього він використовує приватний ключ для створення криптографічного підпису, який мережа може перевірити. Цей механізм є безпечним, оскільки сучасним комп’ютерам потрібно мільярди років, щоб з публічного ключа зворотно вивести приватний; зокрема, час, необхідний для розшифрування еліптично-кривої цифрової підписової алгоритму (ECDSA), значно перевищує поточні практичні межі, тому з криптографічної точки зору блокчейн завжди вважався непереборним.
Але з’явлення квантових комп’ютерів порушило це правило. Вони працюють інакше: замість того щоб перевіряти ключі по одному, вони одночасно досліджують усі можливості та використовують ефект квантової інтерференції, щоб знайти правильний ключ. Наочно: звичайний комп’ютер — це як людина в темній кімнаті, яка підбирає ключі по одному, а квантовий комп’ютер — як кілька універсальних ключів, які одночасно підходять до всіх замків, ефективніше наближаючись до правильного розв’язку. Коли квантовий комп’ютер стане достатньо потужним, зловмисник зможе швидко обчислити ваш приватний ключ із вашого відкритого ключа, а потім підробити транзакцію й перевести ваш біткойн на своє ім’я. Якщо така атака відбудеться, через незворотність транзакцій у блокчейні відновити активи буде дуже складно.
31 березня 2026 року Google Quantum AI у співпраці з Стенфордським університетом та Фондом Ефіреум опублікували білу книгу об’ємом 57 сторінок. Основна ідея цієї статті — оцінка квантових обчислень щодо конкретних загроз для алгоритму цифрового підпису на основі еліптичних кривих (ECDSA). Більшість блокчейнів та криптовалют використовують 256-бітну еліптичну криптографію, засновану на проблемі дискретного логарифму (ECDLP-256), для захисту гаманців та транзакцій. Дослідницька команда виявила, що квантові ресурси, необхідні для злому ECDLP-256, значно зменшилися.
Вони розробили квантову схему для виконання алгоритму Шора, спеціально призначену для відновлення приватного ключа з публічного. Ця схема потребує виконання на певному типі квантового комп’ютера — надпровідній квантовій архітектурі. Це основний напрямок розробок компаній, таких як Google та IBM, який характеризується високою швидкістю обчислень, але вимагає надзвичайно низьких температур для підтримки стабільності кубітів. За припущення, що продуктивність апаратного забезпечення відповідає стандартам флагманського квантового процесора Google, така атака може бути здійснена за кілька хвилин за допомогою менше ніж 500 000 фізичних кубітів. Ця цифра зменшилася приблизно у 20 разів порівняно з попередніми оцінками.
Щоб більш наочне оцінити цю загрозу, дослідницька команда провела симуляцію злому. Вони ввели вказану конфігурацію схеми в реальне середовище транзакцій Bitcoin і виявили, що теоретичний квантовий комп’ютер може здійснити зворотне відновлення приватного ключа з публічного ключа приблизно за 9 хвилин, з успішністю близько 41%. Середній час генерації блоку Bitcoin становить 10 хвилин. Це означає, що понад 32–35% пропозиції Bitcoin, чиї публічні ключі вже відкриті в ланцюжку, піддаються ризику статичного злому, а також теоретично може відбутися перехоплення транзакції — атакуючий може викрасти кошти до підтвердження вашої транзакції. Хоча квантовий комп’ютер з такими можливостями ще не створено, це відкриття розширює квантову загрозу від «статичного збору активів» до «перехоплення транзакцій у реальному часі» і викликає значну тривогу на ринку.
Google одночасно надала ще одну ключову інформацію: компанія перенесла внутрішній термін переходу на постквантову криптографію (PQC) на 2029 рік. Простими словами, перехід на постквантову криптографію — це заміна «замків» у всіх сучасних системах, що залежать від RSA та еліптичних кривих, на такі, які важко відкрити навіть квантовому комп’ютеру. До публікації Google цього білого паперу це був проект з довгим плановим циклом. Раніше Національний інститут стандартів і технологій США (NIST) встановив терміни: вивести старі алгоритми з використання до 2030 року та повністю заборонити їх до 2035 року. Галузь загалом вважала, що на підготовку ще є приблизно десять років. Але Google, оцінивши останні досягнення у трьох напрямках — квантовому обладнанні, квантовій корекції помилок та оцінці ресурсів для квантового розкладання на множники — зробила висновок, що квантовий загроза набагато ближча, ніж раніше вважалося, і тому значно скоротила внутрішній термін переходу до 2029 року. Це об’єктивно скорочує терміни підготовки для всієї галузі та передає крипто-галузі сигнал: прогрес у квантових комп’ютерах швидший, ніж очікувалося, і оновлення безпеки потрібно включити до робочого графіку якомога раніше. Це безперечно марковий дослідницький прорив, але під час поширення в ЗМІ тривога була посиленою. Як нам слід раціонально сприймати цей вплив?
Чи варто хвилюватися
Чи зробить квантовий комп’ютер весь біткоїн-нетворк непрацездатним?
Є загроза, але вона зосереджена на безпеці підписів. Квантові обчислення не впливають безпосередньо на базову структуру блокчейну і не роблять майнінг неефективним. Вони насправді спрямовані на етап цифрового підпису. Кожна транзакція біткоїна потребує підпису приватним ключем для підтвердження власності на кошти. Мережа перевіряє, чи є підпис правильним. Потенційна здатність квантових обчислень полягає у відновленні приватного ключа на основі відкритого ключа, що дозволяє підробити підпис.
Це створює дві реальні ризики. Один виникає під час самої транзакції. Коли транзакція ініціюється, інформація потрапляє в мережу, але ще не була включена до блоку, теоретично існує можливість її попереднього заміщення; такі атаки називаються «on-spend attack». Другий — це атаки на адреси, чий публічний ключ вже був розкритий в історії, наприклад, гаманці з довготривалим неактивним або повторно використовуваним адресами; такі атаки мають більше часу для реалізації і є легшими для розуміння.
Але слід підкреслити, що ці ризики не є загальними для всіх біткоеїв або всіх користувачів. Загроза існує лише під час кількох хвилин, коли ви ініціюєте транзакцію, або якщо ваш адреса раніше вже виставляла публічний ключ. Це не є негайним зрушенням всієї системи.
Чи прийдуть загрози так швидко?
Передумовою для «розшифровки за 9 хвилин» є наявністьFault-Tolerant квантового комп’ютера з 500 000 фізичних квантових бітів. Наразі найсучасніший чіп Google Willow має лише 105 фізичних квантових бітів, а процесор IBM Condor — близько 1 121, що залишає різницю в сотні разів до порогу в 500 000. Дослідник Ethereum Foundation Джастін Дрейк оцінює ймовірність настання «квантового дня» (Q-Day) до 2032 року лише в 10%. Отже, це не негайна загроза, але й не повністю ігнорований хвостовий ризик.
Яка найбільша загроза квантових обчислень?
Біткойн не є найбільш постраждалими системою — він просто найбільш наочний та легко сприймається громадськістю з точки зору вартості. Виклик, пов’язаний з квантовими обчислювальними системами, є більш широким системним питанням. Уся інфраструктура Інтернету, що залежить від криптографії з відкритим ключем, включаючи банківські системи, урядові комунікації, безпечну електронну пошту, підписи програм, системи аутентифікації особистості, стикатимуться з тією ж загрозою. Саме тому такі організації, як Google, Національне агентство безпеки США (NSA) та Національний інститут стандартів і технологій США (NIST), протягом останнього десятиліття активно просували перехід на постквантову криптографію. Коли з’явиться квантовий комп’ютер з реальними атакувальними можливостями, постраждає не лише криптовалюта, а й вся система довіри цифрового світу. Тому це не окремий ризик для біткойна, а системне оновлення глобальної інформаційної інфраструктури.
Уявлення та доцільність квантової шахти
У той самий день, коли Google опублікувала статтю, BTQ Technologies опублікувала дослідницьку роботу під назвою «Kardashev Scale Quantum Computing for Bitcoin Mining», яка кількісно оцінює придатність квантового майнінгу з фізичної та економічної точок зору. Автор статті П'єр-Люк Даллєр-Демерс створив повну модель всіх технічних аспектів квантового майнінгу — від нижчого рівня апаратного забезпечення до верхнього рівня алгоритмів — щоб оцінити реальну вартість майнінгу біткойнів за допомогою квантових комп’ютерів.
Дослідження показало, що навіть при найбільш сприятливих припущеннях майнінг за допомогою квантових комп’ютерів вимагатиме приблизно 10⁸ фізичних кубітів та 10⁴ мегаватт енергії, що приблизно дорівнює загальній потужності великої національної електромережі. При складності біткоїн-мережі на січень 2025 року необхідні ресурси зростають до приблизно 10²³ фізичних кубітів та 10²⁵ ватт — це майже енергетичний вихід зірки. Навпаки, поточне споживання електроенергії всією біткоїн-мережею становить приблизно 13–25 гігаватт, що на декілька порядків менше, ніж потрібно для квантового майнінгу.
Дослідження далі зазначає, що теоретична перевага в прискоренні алгоритму Гровера в реальній інженерній практиці згасає через різні витрати і не може бути реально перетворена на прибуток від майнінгу. Квантовий майнінг фізично та економічно непрактичний.
Google також не є єдиною організацією, яка обговорює цей питання. Такі структури, як Coinbase, Фонда Ethereum та Стенфордський центр досліджень блокчейну, вже проводять відповідні дослідження. Дослідник Фонду Ethereum Джастін Дрейк зауважив: «До 2032 року ймовірність того, що квантовий комп’ютер зможе відновити приватний ключ secp256k1 ECDSA з відкритого ключа, становить щонайменше 10%. Хоча з’явлення квантового комп’ютера з криптографічним значенням до 2030 року все ще здається малоймовірним, зараз саме час почати готуватися».
Отже, наразі нам не потрібно хвилюватися про смертельний вплив квантових обчислень на майнінг, оскільки обсяг необхідних ресурсів перевищує будь-які межі раціонального економічного рішення. Ніхто не витратить стільки енергії, щоб отримати 3,125 біткойнів з одного блоку.
Криптовалюти не зникнуть, але потребують оновлення
Якщо квантові обчислення поставили питання, то галузь завжди мала відповідь — це «постквантова криптографія» (Post-Quantum Cryptography, PQC), тобто криптографічні алгоритми, стійкі до квантових комп’ютерів. Конкретні технічні шляхи включають впровадження квантово-стійких підписових алгоритмів, оптимізацію структури адрес для зменшення відкритих ключів та поступове переходження за допомогою оновлень протоколу. На даний момент NIST завершила стандартизацію постквантової криптографії, де ML-DSA (алгоритм цифрового підпису на основі модулярних ґрат, FIPS 204) та SLH-DSA (безстановий підписовий алгоритм на основі хеш-функцій, FIPS 205) є двома основними постквантовими схемами підпису.
На рівні мережі біткойнів BIP 360 (Pay-to-Merkle-Root, скорочено P2MR) був офіційно прийнятий до бази пропозицій щодо покращення біткойну на початку 2026 року. Він призначений для вирішення типу транзакцій, введених оновленням Taproot, активованим у 2021 році. Taproot був задуманий для підвищення конфіденційності та ефективності біткойну, але його функція «витрачання за ключовим шляхом» відкриває публічний ключ під час транзакції, що може зробити його майбутньою мішенню для квантових атак. Основна ідея BIP 360 полягає у видаленні цього шляху, що відкриває публічний ключ, та зміні структури транзакції, щоб переказ коштів не вимагав відображення публічного ключа, тим самим зменшуючи вразливість до квантових ризиків на початковому етапі.
Для індустрії криптовалют оновлення блокчейну пов’язане з цілим рядом питань: сумісність у мережі, інфраструктура гаманців, система адрес, витрати користувачів на міграцію та координація спільноти. Це вимагає участі протокольного рівня, клієнтів, гаманців, бірж, депозитаріїв та навіть звичайних користувачів для оновлення всієї екосистеми. Але принаймні вся індустрія вже досягла згоди з цього приводу, і подальше просування — це лише питання виконання та часу.
Заголовок виглядає вражаюче, але насправді не так вже й терміново
Після детального аналізу цих останніх досягнень стає зрозуміло, що речі не такі тривожні, як здається. Хоча дослідження квантових обчислень людством прискорюються і наближаються до реальності, у нас все ще є достатньо часу для реагування. Сьогоднішній біткойн — це не статична система, а мережа, яка протягом останніх десятиліть постійно розвивалася. Від оновлень сценаріїв до Taproot, від покращень приватності до рішень для масштабування — вона постійно шукає баланс між безпекою та ефективністю.
Виклики, пов’язані з квантовими обчисленнями, можуть бути лише підставою для наступного оновлення. Годинник квантових обчислень тикає. Доброю новиною є те, що ми всі чуємо його тикання і маємо час відреагувати. У епоху постійних стрибків обчислювальних потужностей нам потрібно лише забезпечити, щоб механізми довіри в криптовалютному світі завжди були на крок попереду технологічних загроз.