Угрозы квантовых компьютеров безопасности BTC? Анализ последнего исследования Google: 6,9 миллиона BTC под угрозой

В марте 2026 года команда Google по квантовым вычислениям и искусственному интеллекту совместно со Стэнфордским университетом и Фондом Ethereum опубликовала 57-страничный white paper, в котором системно проанализированы угрозы безопасности, создаваемые квантовыми вычислениями для криптовалют. Ключевой вывод таков: для взлома криптографии на основе 256-битной эллиптической кривой (ECC-256), лежащей в основе биткоина и Ethereum, требуемые квантовые вычислительные ресурсы примерно в 20 раз меньше, чем в предыдущих лучших оценках. В частности, в архитектуре на сверхпроводящих квантовых компьютерах для выполнения атаки достаточно менее 500k физических кубитов, а время выполнения сокращается до примерно 9 минут.

Значение этого открытия не в том, что квантовый компьютер уже способен взломать биткоин — текущее оборудование пока не соответствует необходимому уровню, — а в том, что оно преобразует таймлайн «Q-Day» (момент, когда квантовые компьютеры смогут взломать действующую криптографию) из далёкого теоретического вопроса в поддающееся расчёту инженерное окно. Сам Google установил для собственных внутренних систем дедлайн миграции на постквантовую криптографию (PQC) — 2029 год. Исследователь Фонда Ethereum и соавтор статьи Justin Drake оценивает, что к 2032 году вероятность восстановления приватного ключа secp256k1 из уже раскрытых открытых ключей составит как минимум 10%.

Как алгоритм Шора выводит приватный ключ из публичного ключа

Безопасность биткоина основана на алгоритме цифровых подписей с эллиптическими кривыми (ECDSA), использующем кривую secp256k1. Его ключевая предпосылка заключается в следующем: при классических вычислительных условиях, получив публичный ключ, невозможно за практически приемлемое время вывести соответствующий приватный ключ. Эта предпосылка является основой всей системы безопасности блокчейна.

Алгоритм Шора указывает, что в модели квантовых вычислений задачу дискретного логарифмирования на эллиптических кривых можно решать эффективно. Главный вклад работы Google состоит в том, что напрямую скомпилирован квантовый контур алгоритма Шора, предназначенный для secp256k1, и приведены конкретные оценки ресурсов. В статье предложены два варианта: один — удерживать число логических кубитов ниже 1,200 и количество Toffoli-гейтов ниже 90 миллионов; другой — поднять число логических кубитов до 1,450, но снизить Toffoli-гейты до 70 миллионов. На сверхпроводящем квантовом компьютере это соответствует менее чем 500k физических кубитов.

Наиболее символично то, что Google не опубликовал полный атакующий контур, а вместо этого использовал доказательства с нулевым разглашением (zero knowledge proof) для верификации существования и корректности схемы. Этот подход заимствует принцип «ответственного раскрытия» из традиционной области информационной безопасности: он показывает, что анализ квантовой криптографии уже перешёл в новую стадию, где требуется заблаговременная защита, а не меры постфактум.

Два сценария атак: перехват в моменте и офлайн-сбор

White paper описывает два сценария квантовых атак, чья природа риска принципиально различается.

Первая категория — «мгновенная атака», направленная против транзакций, которые в момент времени передаются в пуле памяти (memory pool). Когда пользователь инициирует транзакцию биткоина, публичный ключ кратковременно раскрывается в сети — примерно на 10 минут, что как раз соответствует среднему окну времени на генерацию блока в биткоине. Достаточно быстрый квантовый компьютер может примерно за 9 минут восстановить приватный ключ из публичного ключа и инициировать конкурентную транзакцию, перехватив средства до подтверждения транзакции. В статье оценивается, что вероятность успешного перехвата транзакции в этом окне для одной квантовой машины в состоянии предвычислений составляет примерно 41%.

Вторая категория — «статическая атака», направленная против спящих кошельков, у которых публичный ключ уже навсегда раскрыт в блокчейне. У этой атаки нет временных ограничений: квантовый компьютер может взламывать в своём собственном темпе. В статье оценивается, что около 6,9 млн биткоинов (примерно 33% от общего предложения) уже имеют публичные ключи в состоянии раскрытия; среди них около 1,7 млн монет эпохи Сатоши Накамото и большое количество средств, раскрытых из‑за повторного использования адресов.

Одно из заметных открытий в white paper состоит в том, что апгрейд Taproot в биткоине в 2021 году, хотя и улучшил традиционную безопасность и приватность, по умолчанию раскрывает публичные ключи в блокчейне, фактически расширяя поверхность квантовой атаки. Taproot удалил слой защиты «сначала хешировать, затем раскрывать», существовавший в старом формате адресов (P2PKH).

Техническая цена борьбы с квантовой угрозой и дилеммы управления

Путь противодействия квантовым угрозам уже ясен, но цена также не менее очевидна. Национальный институт стандартов и технологий США (NIST) завершил в августе 2024 года стандартизацию первых стандартов постквантовой криптографии, включая FIPS 203, 204 и 205. На техническом уровне рассматриваемые осуществимые замены включают постквантовые подписи на решётках (например, ML-DSA, то есть исходный CRYSTALS-Dilithium), подписи на основе хеширования (например, SLH-DSA, то есть исходный SPHINCS+) и т. п.

Однако модель децентрализованного управления биткоином делает миграцию криптографии крайне сложной. Введение схем постквантовых подписей требует реализовать это через софтфорк или хардфорк, что в свою очередь предполагает общественный консенсус, координацию разработчиков, синхронизированные обновления со стороны сервисов кошельков и бирж. Сообщество биткоина предложило BIP-360, нацеленный на введение опций анти-квантовых подписей, но этот проект пока находится на стадии обсуждения. Взгляды разработчиков Bitcoin Core, включая Adam Back, заключаются в том, что квантовая угроза всё ещё «за пределами десятков лет», и преждевременный масштабный апгрейд может привести к криптографическим уязвимостям, не прошедшим достаточную верификацию.

Реальная проблема за подобного рода спорами состоит в том, что неопределённость квантовой угрозы превращает само «когда запускать миграцию» в предмет игры. Слишком раннее обновление может растратить ресурсы разработки, а слишком позднее — грозить необратимой потерей активов.

Как квантовая угроза меняет логику оценки безопасности криптоактивов

Квантовые вычислительные угрозы переопределяют «запас безопасности» криптоактивов. Традиционное допущение безопасности — что публичный ключ не удастся обратить вспять и вывести приватный ключ за разумное время — теперь проходит повторную калибровку. Публичные ключи 6,9 млн биткоинов (по текущей рыночной капитализации — более 450 млрд долларов США) полностью раскрыты; безопасность этих активов опирается лишь на временный факт: квантовые компьютеры ещё не достигли зрелости.

Рынок реагирует на этот риск разными способами. Использование адресов Taproot снизилось с 42% в 2024 году примерно до 20%, что показывает, что часть пользователей сознательно избегает форматов адресов, где раскрывается публичный ключ. Стратег-инвестор CoinShares Matthew Kimmell отметил, что роль этого исследования заключается в том, чтобы «сократить окно, необходимое отрасли для продвижения исследований и согласования плана действий».

С более макроскопической точки зрения, криптоиндустрия в большей степени, чем традиционные финансовые системы, уязвима к квантовым угрозам, поскольку блокчейн-реестр публичен и необратим. Традиционные финансовые институты могут противодействовать квантовым атакам, выполняя массовые обновления сертификатов и ключей, но публичный ключ ончейн-активов, однажды раскрытый, навсегда остаётся в системе и «отозвать» его невозможно. Это структурное различие означает, что криптоиндустрии нужна не просто способность «внедрять постквантовые алгоритмы», а институциональная рамка «для противодействия постоянной эволюции криптографии».

Как далеко от оценки ресурсов до реальной атаки

Хотя в white paper оценки ресурсов существенно снижены, это не означает, что реальная атакующая способность уже находится буквально у порога. Нынешние наиболее передовые квантовые системы — включая чип Willow от Google — имеют только около 100 физических кубитов и пока не реализуют отказоустойчивые вычисления. От существующего оборудования до 500k стабильных физических кубитов с коррекцией ошибок — между ними всё ещё остаётся множество инженерных задач, которые пока не преодолены.

Некоторые эксперты считают, что текущие опасения преждевременны. Adam Back из Blockstream отмечает, что базовый уровень сети биткоина не зависит от традиционных криптографических технологий: влияние квантовых угроз не в перехвате транзакций в сети, а во взломе приватных ключей конкретных пользователей. Кроме того, используемая в механизме proof-of-work хеш-функция SHA-256 сравнительно более устойчива к квантовым атакам: алгоритм Гровера увеличивает эффективность взлома хешей лишь до уровня квадратного корня, что намного меньше, чем «экспоненциальная» угроза от квантовых вычислений для криптографии публичных ключей со стороны алгоритма Шора.

Но это не означает, что индустрия может пассивно ждать. Стратегия «сначала собирать, потом расшифровывать» в области кибербезопасности подразумевает, что атакующие уже на текущей стадии могут собирать данные блокчейна, а затем, когда квантовые компьютеры созреют, выполнить взлом. Такая асимметрия времени требует, чтобы индустрия успела развернуть защиту ещё до строительства квантовых компьютеров.

От таймлайна Google 2029 до международной дорожной карты регулирования

Google установил цель завершить миграцию внутренних систем на PQC в 2029 году; этот таймлайн не является изолированным событием. В рамках CNSA 2.0 Агентства национальной безопасности США (NSA) требуется, чтобы все новые системы национальной безопасности применяли алгоритмы квантовой стойкости до января 2027 года; полная реализация миграции должна завершиться до 2030 года, а полный перенос инфраструктуры — до 2035 года. Двойное давление со стороны таймлайна NIST и регулирования NSA подталкивает компании и организации переводить миграцию на PQC из исследовательской повестки в плоскость требований соответствия.

На этом фоне криптоиндустрии бросается более прямой вызов. Периоды обновлений у децентрализованных сетей вроде биткоина и Ethereum обычно занимают годы. Фонд Ethereum потратил много лет на исследования постквантовой дорожной карты и запустил постквантовые схемы подписей в тестовых сетях. В отличие от этого у биткоина пока нет чётко оформленной постквантовой дорожной карты и скоординированного механизма финансирования; децентрализованное управление придаёт легитимность, но одновременно делает миграцию криптографии на уровне протокола аномально медленной.

Итог

White paper команды Google по квантовым вычислениям и AI не объявляет конец биткоина, а превращает квантовую угрозу из расплывчатого предположения о далёком будущем в набор поддающихся количественной оценке инженерных параметров. Взлом, требующий 500k физических кубитов, окно атаки около 9 минут, биткоины с раскрытыми публичными ключами в количестве 6,9 млн — эти цифры вместе определяют реально существующее и при этом сужающееся окно безопасности.

Проблемы, стоящие перед индустрией, связаны не только с техническим уровнем: NIST уже решил вопросы по алгоритмам, а по-настоящему сложным остаётся согласование на уровне управления. В децентрализованных сетях построение консенсуса требует времени, и прогресс квантовых компьютеров не будет ждать формирования консенсуса. В ближайшие пять-семь лет криптоиндустрии придётся балансировать между двумя видами риска: слишком ранний апгрейд может привести к недостаточно верифицированным криптографическим схемам, а слишком поздний — может обернуться необратимой потерей активов. Каким бы ни оказался конечный путь, квантовые вычисления уже перестали быть просто теоретической идеей и стали реальной переменной, которую нужно учитывать в рамке безопасности криптоактивов.

FAQ

В: Могут ли квантовые компьютеры уже сейчас взломать биткоин?

О: Нет. Самые передовые квантовые системы сейчас располагают лишь примерно 100 физическими кубитами, а для взлома биткоина ECC-256 требуется около 500k исправленных (с коррекцией ошибок) физических кубитов, то есть всё ещё сохраняется разрыв в сотни раз.

В: Что означает взлом за 9 минут?

О: Это сценарий «мгновенной атаки», описанный в white paper: когда квантовый компьютер находится в состоянии предвычислений, от момента появления публичного ключа до завершения взлома требуется около 9 минут — чуть меньше, чем среднее время на генерацию блока в биткоине (10 минут); теоретически существует вероятность успешного перехвата около 41%.

В: Какие биткоины наиболее опасны?

О: Наибольший риск несут адреса, публичные ключи которых постоянно раскрыты в сети, включая адреса раннего формата P2PK (около 1,7 млн монет), адреса, раскрытые из-за повторного использования, и адреса Taproot. В статье оценивается, что около 6,9 млн биткоинов находятся в подобном состоянии раскрытия.

В: Можно ли обновить биткоин, чтобы защититься от квантовых атак?

О: Можно. NIST уже завершил стандартизацию постквантовой криптографии (например, ML-DSA и SLH-DSA), и биткоин может через предложения вроде BIP-360 включить опции анти-квантовых подписей. Проблема в том, что обновление требует общественного консенсуса, а процесс может занять несколько лет.

В: Что должны делать пользователи сейчас?

О: Избегать повторного использования адресов — использовать новый адрес для каждой транзакции; хранить крупные суммы в холодных кошельках; следить за прогрессом сообщества в плане анти-квантового обновления и заранее переводить активы в более безопасные форматы адресов.