9 phút để phá vỡ Bitcoin? Ranh giới và hiểu lầm trong whitepaper về lượng tử của Google

文：Max He @ Safeheron Lab

Bài viết xác lập cốt lõi

• Sách trắng của Google đã thúc đẩy đáng kể việc đánh giá rủi ro lượng tử theo hướng kỹ thuật, nhưng chưa chứng minh rằng CRQC đang tiến gần đến việc triển khai trong thực tế

• Việc ước tính tài nguyên giảm xuống ≠ năng lực tấn công trong thực tế đã sẵn sàng; vẫn còn rất nhiều thách thức kỹ thuật chưa được vượt qua ở giữa

• Ngành công nghiệp cần không chỉ năng lực “triển khai thuật toán hậu lượng tử”, mà là năng lực “ứng phó với sự thay đổi liên tục của mật mã”

• 2030–2035 là khung thời gian tham chiếu quan trọng để suy ngược kế hoạch chuyển đổi, chứ không phải mốc thời điểm chính xác cho khi các cuộc tấn công lượng tử đến

Ngày 30 tháng 3 năm 2026, các nhà nghiên cứu từ Google Quantum AI phối hợp với các nhà nghiên cứu của Ethereum Foundation và Stanford University đã công bố một sách trắng đình đám [1]. Bài nghiên cứu dài 57 trang này đã phân tích một cách hệ thống mối đe dọa của điện toán lượng tử đối với tiền mã hóa, đồng thời đưa ra ước tính tài nguyên mạnh mẽ nhất cho đến nay: để bẻ khóa hệ mật mã elliptic 256-bit mà Bitcoin và Ethereum dựa vào, chỉ cần chưa đến 500k qubit lượng tử vật lý——so với ước tính tốt nhất trước đó, con số này đã được rút giảm gần 20 lần.

Trong khi đó, bài báo mở rộng thảo luận về các cuộc tấn công lượng tử từ Bitcoin sang toàn bộ hệ sinh thái tiền mã hóa, và tiếp tục chỉ ra rằng trong các cơ chế như hợp đồng thông minh của Ethereum, đồng thuận đặt cược (staking) và lấy mẫu tính sẵn có của dữ liệu (data availability sampling), cũng tồn tại các bề mặt tấn công lượng tử tiềm ẩn. Điều này có nghĩa là, cuốn sách trắng này không còn chỉ bàn về câu hỏi đơn lẻ “khóa riêng của Bitcoin có thể bị lượng tử bẻ khóa hay không”, mà đang thúc đẩy toàn ngành phải xem xét lại: khi năng lực lượng tử tiến hóa, hệ thống blockchain hiện tại dựa trên những giả định an ninh nào có thể cần phải được đánh giá lại.

Cuốn sách trắng này đã gây chấn động rõ rệt trong ngành blockchain. Cụm từ “điện toán lượng tử có thể bẻ khóa Bitcoin trong vài phút” đã lan truyền nhanh chóng, khiến nhiều người làm trong ngành bắt đầu xem xét lại các giả định an ninh đã có. Phản ứng mạnh mẽ như vậy không chỉ đến từ việc ước tính tài nguyên tiếp tục giảm xuống, mà còn bởi vì lần đầu tiên nó đưa “tấn công trong khung cửa giao dịch trên chuỗi (on-chain transaction window)” và “liệu hệ thống blockchain có kịp hoàn tất việc chuyển đổi hay không” vào cùng một mặt phẳng thảo luận. Vấn đề bắt đầu không còn chỉ là “có bẻ khóa được hay không” mang tính học thuật, mà là “liệu còn đủ thời gian để chuẩn bị” về mặt kỹ thuật và quản trị (governance).

Nhưng đằng sau những cảm xúc đó, một câu hỏi đáng được truy vấn hơn nữa là: Google thực sự đã chứng minh được điều gì? Và những gì thì họ chưa chứng minh? Công trình này đã thay đổi mức độ hiểu biết của chúng ta về rủi ro lượng tử đến đâu?

Cần lưu ý rằng phạm vi tác động của sách trắng này không chỉ giới hạn ở vấn đề lộ khóa kiểu Bitcoin, mà còn mở rộng sang bề mặt tấn công của các hệ thống tiền mã hóa mang tính khái quát hơn. Tuy nhiên, bài viết này vẫn tập trung vào thay đổi mà công trình mang lại cho đánh giá tổng thể về rủi ro lượng tử, chứ không đi lần lượt vào tác động cụ thể của từng cơ chế trên từng chuỗi.

1 Google lần này thực sự làm gì?

1.1 ECDLP: giả định nền tảng về bảo mật của blockchain

Bảo mật của các loại tiền mã hóa chủ đạo hiện nay được xây dựng dựa trên bài toán logarit rời rạc trên đường cong elliptic (ECDLP) [2]. Chẳng hạn, với đường cong secp256k1 được Bitcoin và Ethereum sử dụng [3], giả định cốt lõi là: trong điều kiện tính toán cổ điển, khi đã có khóa công khai (một điểm trên đường cong elliptic), thì không thể suy ra trong thời gian khả thi khóa riêng tương ứng.

Giả định này đã được chấp nhận rộng rãi trong nhiều thập kỷ và trở thành tiền đề an ninh cơ bản cho toàn bộ hệ thống blockchain. Tuy nhiên, thuật toán Shor [4] chỉ ra rằng trong mô hình điện toán lượng tử lý tưởng, ECDLP có thể được giải hiệu quả, từ đó về mặt lý thuyết làm lung lay nền tảng an ninh này.

1.2 Ước tính tài nguyên: cần bao nhiêu năng lực điện toán lượng tử để bẻ khóa

Điểm cốt lõi trong công trình lần này của Google không phải là đề xuất một phương thức tấn công mới, mà là trả lời lại một câu hỏi đã tồn tại từ lâu: nếu trong tương lai thật sự chế tạo được máy tính lượng tử đủ lớn, đủ ổn định, và có thể chạy được các thuật toán lượng tử loại này, thì để bẻ khóa ECDLP cần bao nhiêu tài nguyên tính toán?

Bài báo đã xây dựng và tối ưu các mạch lượng tử dành cho secp256k1, đồng thời đưa ra hai hướng triển khai tối ưu khác nhau: một hướng nhằm giảm tối đa số lượng qubit lượng tử logic, và hướng còn lại nhằm giảm tối đa số lượng cổng phi Clifford (ví dụ: cổng Toffoli). Dưới một tập hợp các giả định rõ ràng về phần cứng và sửa sai (error correction), các mạch này có thể được thực thi với quy mô nhỏ hơn 500k qubit lượng tử vật lý.

So với các ước tính chủ đạo trước đó [5][6], kết quả này có cải thiện rõ rệt trên một chỉ số tổng hợp là “thể tích không-thời gian” (spacetime volume). Quan trọng hơn, nó biến phần thảo luận trước đây mang tính lý thuyết phần lớn thành một tập hợp các tham số kỹ thuật có thể so sánh và theo dõi.

1.3 “9 phút”: con số này được tạo ra như thế nào

Ngoài ước tính tài nguyên, bài báo còn cung cấp thêm một cách ước lượng trực quan về thời gian tấn công.

Trong giả thiết thời gian thao tác cổng lượng tử ở mức cỡ micro giây, và xét đến một số chi phí thực thi nhất định, việc chạy đầy đủ các mạch lượng tử liên quan ước chừng mất mười mấy phút. Do một phần tính toán của thuật toán lượng tử có thể được hoàn thành trước khi xuất hiện khóa công khai mục tiêu, nên phần tính toán thực sự gắn với khóa công khai mục tiêu có thể rút ngắn còn khoảng một nửa thời gian, từ đó thu được ước tính “khoảng 9 phút”.

Con số này gây được sự quan tâm rộng rãi vì nó gần với thời gian tạo block trung bình khoảng 10 phút của Bitcoin. Điều đó có nghĩa là, trong một số giả định, kẻ tấn công về mặt lý thuyết có thể hoàn thành khôi phục khóa riêng trước khi giao dịch được xác nhận.

Cần nhấn mạnh rằng ước tính thời gian này dựa trên cả một bộ tiền đề lý tưởng hóa; ý nghĩa của nó chủ yếu là cung cấp một mốc tham chiếu theo bậc độ (order of magnitude), chứ không phải là thể hiện trực tiếp khả năng tấn công trong thực tế.

1.4 Chứng minh không tiết lộ kiến thức (Zero-Knowledge Proof): vì sao không công khai mạch

Một đặc điểm quan trọng khác của bài báo là, trong khi không công khai cụ thể mạch lượng tử, họ lại đưa vào một phương thức “tiết lộ có thể xác minh” [7].

Nhóm nghiên cứu đã cam kết (commit) vào mạch bằng cách băm (hash), và trong một quy trình kiểm tra công khai, họ kiểm tra hành vi của mạch trên một tập đầu vào ngẫu nhiên, đồng thời xác minh cận trên về tài nguyên. Toàn bộ quá trình xác minh được đóng gói thành một chứng minh không tri thức, nhờ đó bất kỳ bên thứ ba nào cũng có thể xác nhận tính đúng đắn của các tuyên bố liên quan mà không cần chạm vào các chi tiết của mạch.

Cách làm này tạo ra một sự cân bằng giữa việc “bảo vệ các chi tiết tấn công” và “nâng cao độ tin cậy của kết luận”, đồng thời khiến ước tính tài nguyên không chỉ còn là lời khẳng định của người nghiên cứu, mà có tính xác minh theo nghĩa mật mã.

2 Cần hiểu chuyện này như thế nào?

Trước khi hiểu sâu hơn các kết quả này, có một khái niệm cần được làm rõ trước.

Bài báo nhiều lần nhắc đến CRQC (Cryptographically Relevant Quantum Computer – Máy tính lượng tử có liên quan về mặt mật mã). Thuật ngữ này có thể dịch sát là “máy tính lượng tử liên quan đến mật mã”, nhưng nó không phải là tên gọi chung cho mọi máy tính lượng tử, mà chỉ các hệ thống điện toán lượng tử đã sẵn sàng để phân tích mật mã trong thực tế. Nói cách khác, điều mà ngành blockchain thực sự cần quan tâm không phải là liệu điện toán lượng tử có tiếp tục tiến bộ hay không, mà là khi nào nó phát triển đủ để bẻ khóa các vấn đề mật mã như ECDLP trong điều kiện hiện thực.

Từ góc nhìn đó, ý nghĩa của công trình lần này của Google không chỉ là thể hiện tiến bộ của điện toán lượng tử, mà còn là trả lời cụ thể hơn một câu hỏi: một máy tính lượng tử có thể tạo ra mối đe dọa đối với các hệ thống mật mã trong thực tế thì cần có quy mô tài nguyên, năng lực thực thi và đặc tính thời gian như thế nào.

Nói thêm, câu hỏi này có thể được hiểu theo ba chiều kích: đặc tính thực thi của hệ thống điện toán lượng tử, các lộ trình khác nhau mà tiến hóa kỹ thuật có thể tạo ra, và cách năng lực đó cuối cùng tương ứng với các phương thức tấn công.

2.1 Đồng hồ nhanh và đồng hồ chậm: điện toán lượng tử không chỉ có một kiểu

Một góc nhìn quan trọng mà bài báo đưa ra là phân biệt các loại kiến trúc điện toán lượng tử khác nhau.

Một số nền tảng (như qubit siêu dẫn ) có tốc độ thao tác cơ bản nhanh hơn, chu kỳ sửa lỗi ngắn hơn, có thể thực thi các mạch sâu trong thời gian ngắn; trong khi một số nền tảng khác (như bẫy ion [14] hoặc nguyên tử trung hòa ) có tốc độ thao tác chậm hơn, nhưng lại có thể có lợi thế ở các mặt khác.

Sự khác biệt này có nghĩa là “năng lực điện toán lượng tử” không phải là một chỉ số đơn lẻ. Với cùng quy mô của hệ thống lượng tử, trong các kiến trúc khác nhau, năng lực tấn công thực tế đối với bài toán mật mã có thể khác nhau ở mức bậc (hàng chục lần).

Sự khác biệt về đặc tính thực thi này ảnh hưởng trực tiếp đến cách thức và cấu trúc thời gian mà CRQC hình thành: có những hệ thống gần hơn với việc hoàn thành tính toán trong một cửa sổ thời gian ngắn; và những hệ thống khác thì phù hợp hơn với việc chạy trong thời gian dài.

2.2 Hai lộ trình tiến hóa khả dĩ

Dựa trên sự khác biệt về kiến trúc như trên, có thể tiếp tục xem xét lộ trình tiến hóa của năng lực điện toán lượng tử.

Một kịch bản là: hệ thống lượng tử có năng lực thực thi nhanh đạt mức chịu lỗi (tolerant/fault-tolerant) trước tiên. Khi đó, tấn công thời gian thực đối với giao dịch trên chuỗi (ví dụ: khôi phục khóa riêng trước khi giao dịch được xác nhận) sẽ trở thành rủi ro chính. Kịch bản khác là: hệ thống chậm hơn nhưng ổn định hơn đạt được đột phá trước; khi đó, cuộc tấn công có nhiều khả năng tập trung vào các khóa công khai bị lộ trong thời gian dài, ví dụ như địa chỉ lịch sử hoặc các khóa dùng lại.

Hai lộ trình này không loại trừ lẫn nhau, nhưng chúng tương ứng với cấu trúc thời gian của rủi ro và các trọng điểm phòng thủ hoàn toàn khác nhau.

Từ góc nhìn này, sự xuất hiện của CRQC không nhất thiết tương ứng với một mốc thời gian rõ ràng, mà nhiều khả năng là thể hiện thông qua quá trình năng lực được trang bị dần dần theo từng bước.

2.3 Ba kiểu tấn công

Trong khung nói trên, có thể phân loại các cuộc tấn công lượng tử một cách đại khái thành ba nhóm.

Nhóm đầu tiên là “tấn công khi đang chi tiền” (on-spend attack), tức là khôi phục khóa riêng trong cửa sổ thời gian khi giao dịch đã vào mempool nhưng chưa được ghi vào block. Nhóm thứ hai là “tấn công khi lưu trữ” (at-rest attack), nhắm vào các khóa công khai đã bị phơi bày lâu trên chuỗi, khi kẻ tấn công có thể có thêm thời gian tính toán. Nhóm thứ ba là “tấn công khi thiết lập” (on-setup attack), nhắm vào một số giao thức phụ thuộc vào tham số công khai, thông qua việc thực hiện một lần tính toán lượng tử để lấy được một “cửa hậu” dùng lại được.

Điểm chung của ba loại tấn công này là chúng đều dựa trên cùng một năng lực nền tảng——giải ECDLP trong một khoảng thời gian chấp nhận được——nhưng sự phụ thuộc vào cửa sổ thời gian và cấu trúc hệ thống là khác nhau.

Xét theo kết quả, ba loại tấn công này chỉ là các biểu hiện khác nhau của cùng một chuyện: khi năng lực điện toán lượng tử đạt đến mức mà CRQC đại diện thì các tác động cụ thể đối với các điều kiện hệ thống khác nhau và ràng buộc thời gian khác nhau.

3 Còn cách bao xa đến các cuộc tấn công lượng tử thực sự?

3.1 Sách trắng này không chứng minh được gì

Cần nhấn mạnh rằng mặc dù sách trắng này thúc đẩy đáng kể việc đánh giá rủi ro lượng tử theo hướng kỹ thuật, nhưng nó không chứng minh rằng CRQC đã tiến gần đến triển khai trong thực tế, và cũng không chứng minh rằng hệ thống blockchain hiện có sẽ sớm phải đối mặt với các cuộc tấn công lượng tử khả thi ngoài đời.

Thứ mà bài báo thực sự làm là, dưới một tập giả định rõ ràng, tiếp tục rút gọn ước tính tài nguyên cần thiết để bẻ khóa secp256k1, đồng thời đưa phần thảo luận rủi ro vốn thiên về trừu tượng thành một vị trí phù hợp hơn cho đánh giá kỹ thuật. Nó chứng minh rằng: bài toán liên quan trở nên cụ thể hơn so với trước đây và đáng để theo dõi liên tục hơn; nhưng nó lại không chứng minh rằng hệ thống lượng tử chịu lỗi quy mô lớn cần thiết cho những cuộc tấn công đó đã đang ở ngay trước mắt.

3.2 Nhu cầu tài nguyên đang giảm, nhưng khoảng cách kỹ thuật vẫn rõ ràng

Nói xa hơn: từ “thuật toán lượng tử về mặt lý thuyết có thể bẻ khóa ECDLP” đến “trong thế giới thực xuất hiện năng lực điện toán lượng tử đủ để đe dọa hệ mật mã”, thì không phải chỉ là vấn đề “phóng đại kỹ thuật” đơn thuần. Thứ thực sự quyết định việc một cuộc tấn công lượng tử có thể đi vào hiện thực hay không, không chỉ là con số ước tính tài nguyên trên giấy, mà còn bao gồm kiến trúc chịu lỗi, hiệu chỉnh sai số, giải mã thời gian thực, hệ thống điều khiển và toàn năng lực hệ thống cần thiết để thực thi các mạch sâu một cách ổn định trong thời gian dài.

Một phần trong các điều kiện đó đúng là vấn đề hiện thực hóa kỹ thuật; nhưng chúng không thể được hiểu đơn giản là “chỉ cần tiếp tục đầu tư thì sớm muộn chắc chắn sẽ tự nhiên được giải quyết”. Mặc dù sửa sai lượng tử và tính toán dung sai (fault-tolerant computation) về mặt lý thuyết cung cấp một lộ trình có thể mở rộng, nhưng liệu thế giới thực có thể tích hợp tất cả các điều kiện này thành một CRQC có thể vận hành liên tục và đủ để đe dọa các hệ mật mã trong thực tế hay không vẫn tồn tại nhiều bất định rõ ràng.

Từ góc nhìn đó, ý nghĩa chính xác hơn của sách trắng Google không phải là tuyên bố rằng các cuộc tấn công lượng tử đang đến gần, mà là lần đầu tiên cho phép ngành công nghiệp thảo luận rủi ro này bằng các tham số kỹ thuật cụ thể hơn, đồng thời nhắc nhở chúng ta rằng: đừng đồng nhất trực tiếp việc ước tính tài nguyên giảm xuống với việc năng lực tấn công trong thực tế đã sẵn sàng.

3.3 Đây không phải là vấn đề thích hợp để dự đoán chính xác năm

Chính vì vậy, thời điểm các cuộc tấn công lượng tử đến không nên được hiểu như một mốc thời gian có thể dự đoán chính xác. Đối với ngành blockchain, điều thực sự quan trọng không phải là “năm nào chắc chắn sẽ có CRQC”, mà là liệu các năng lực liên quan có đang tiến hóa theo một hướng ngày càng đáng lo ngại hay không.

Một mặt, những đột phá then chốt có thể trong thời gian ngắn làm thay đổi đáng kể nhu cầu tài nguyên. Mặt khác, ngay cả các lộ trình công nghệ trông có vẻ gần giống nhau vẫn có thể bị mắc kẹt lâu trước một số nút thắt cơ bản. Điều này có nghĩa là rất khó để dùng phép ngoại suy tuyến tính kiểu “năm nay bao nhiêu qubit, năm sau bao nhiêu qubit” để phán đoán khi nào năng lực tấn công trong thực tế sẽ xuất hiện.

Do đó, cách hiểu vững vàng hơn về vấn đề này không phải là cố “đặt cược” vào một năm chính xác, mà là thừa nhận mức độ bất định cao của nó, đồng thời tập trung vào các tín hiệu nền tảng có khả năng thực sự thay đổi đánh giá rủi ro.

3.4 Thứ đáng cảnh giác nhất có thể không phải là tín hiệu cảnh báo rõ ràng

Điều này cũng đồng nghĩa với việc cộng đồng không nên kỳ vọng có một tín hiệu cảnh báo rõ ràng chỉ thông qua một lần “trình diễn công khai tấn công lượng tử”.

Nhiều người quen coi các buổi trình diễn công khai là dấu hiệu của mức độ trưởng thành kỹ thuật; dường như chỉ cần chưa thấy các trình diễn trong thế giới thực, thì đồng nghĩa là khoảng cách đến mối đe dọa vẫn còn rất xa. Nhưng với bài toán phân tích mật mã lượng tử, trực giác này có thể không đúng. Khi một số buổi trình diễn mang tính biểu tượng thực sự xuất hiện, thì năng lực liên quan có thể đã được tích lũy trong các tầng kỹ thuật nền từ khá lâu, và cửa sổ phòng thủ cũng có thể đã bị thu hẹp đáng kể.

Đối với ngành blockchain, đây chính là điểm khó xử lý nhất: những thay đổi thật sự quan trọng có thể không diễn ra theo cách rõ ràng, tuần tự, và có thể nhìn thấy từ bên ngoài.

4 Nên đánh giá tiến bộ lượng tử như thế nào?

4.1 Đừng chỉ nhìn số lượng qubit

Nếu như Chương 3 trả lời rằng “hiện tại đại khái đang ở vị trí nào”, thì câu hỏi tiếp theo là: tương lai nên nhìn gì để đánh giá chính xác hơn tiến bộ lượng tử?

Chỉ số dễ được lan truyền nhất và cũng dễ bị hiểu sai nhất chính là số lượng qubit. Nó trực quan và nổi bật, nhưng đối với năng lực phân tích mật mã, nó không phải là chỉ số duy nhất—thậm chí cũng không phải là chỉ số quan trọng nhất. Chỉ riêng việc tăng số lượng qubit vật lý không tự động có nghĩa là hệ thống đã tiến gần đến năng lực tấn công trong thực tế.

Thứ thực sự đáng chú ý là liệu các qubit đó có được tổ chức hiệu quả dưới điều kiện chịu lỗi hay không, liệu chúng có thể ổn định chống đỡ việc thực thi các mạch sâu hay không, và liệu chúng có tạo thành một vòng khép kín giữa thuật toán và hệ thống điều khiển hay không. Với ngành, “có bao nhiêu qubit” tối đa chỉ cho thấy thay đổi về quy mô, chứ không thể tự mình nói lên mức độ gần của mối đe dọa trong thực tế.

4.2 Thứ đáng để chú ý thực sự là ba nhóm tín hiệu

Nếu muốn xây dựng một khung đánh giá tiến bộ lượng tử mang tính tương đối thực dụng, có thể tập trung vào ba nhóm tín hiệu.

Nhóm đầu tiên là tín hiệu phần cứng. Ở đây, thứ quan trọng không chỉ là số lượng qubit vật lý, mà là liệu bắt đầu xuất hiện các qubit logic ổn định hay không, việc hiệu chỉnh sai số có đi vào giai đoạn có thể mở rộng hay không, và hệ thống có thể tiếp tục chạy trong các điều kiện sửa lỗi hay không.

Nhóm thứ hai là tín hiệu thuật toán. Bản thân sách trắng lần này của Google là một ví dụ điển hình. Đối với ngành blockchain, thứ đáng chú ý hơn không phải là một con số đơn lẻ nào đó, mà là việc liệu loại ước tính tài nguyên này có tiếp tục giảm hay không: số lượng qubit logic có giảm không, số lượng cổng thao tác then chốt có giảm không, và thể tích không-thời gian tổng thể có tiếp tục hội tụ lại hay không.

Nhóm thứ ba là tín hiệu hệ thống. Nhóm này thường dễ bị bỏ qua nhất. Dù phần cứng và thuật toán đều tiến bộ, vẫn cần thấy liệu năng lực mức hệ thống có đang dần trưởng thành hay không—ví dụ như năng lực thực thi các mạch sâu ổn định trong thời gian dài, tính mở rộng của hệ thống điều khiển, và liệu nhiều điều kiện then chốt có bắt đầu cùng xuất hiện. Khả năng tấn công trong thực tế cuối cùng không phụ thuộc vào một chỉ số đơn lẻ, mà phụ thuộc vào việc liệu các điều kiện này có hội tụ thành một lộ trình kỹ thuật khép kín hay không.

4.3 Trình diễn công khai có thể tham khảo, nhưng không thể xem là tín hiệu duy nhất

Nhiều người sẽ tự nhiên mong chờ một “thời khắc mang tính biểu tượng”: chẳng hạn, một nền tảng thử nghiệm công khai trình diễn việc chạy thuật toán liên quan trên một đường cong quy mô nhỏ, và vì thế mọi người coi đó là tín hiệu mà rủi ro bắt đầu hiện rõ.

Tín hiệu như vậy chắc chắn có giá trị tham khảo, nhưng nó không phù hợp để làm căn cứ đánh giá duy nhất. Bởi xét từ góc độ tiến hóa kỹ thuật, trình diễn công khai thường chỉ là một kết quả, chứ không phải là thay đổi sớm nhất. Thứ quan trọng hơn thực sự là liệu các điều kiện nền tảng đã nêu ở trên có đang dần được đáp ứng hay không.

Đối với ngành, cách làm thực tế hơn không phải là chờ một khoảnh khắc kịch tính, mà là xây dựng thói quen theo dõi liên tục: quan sát phần cứng có bước vào giai đoạn mới không, nguồn lực thuật toán có tiếp tục được nén lại không, và năng lực hệ thống đang chuyển từ “cải thiện rời rạc” sang “định hình toàn diện” hay không. So với câu hỏi “khi nào sẽ thấy một buổi trình diễn”, câu hỏi đáng hỏi hơn là: trước khi thấy buổi trình diễn, liệu chúng ta đã thực sự hiểu hướng tiến bộ kỹ thuật hay chưa.

5 Nên đánh giá tiến bộ lượng tử như thế nào?

5.1 Đây không phải là “vấn đề của bây giờ”, nhưng bắt buộc phải bắt đầu chuẩn bị ngay bây giờ

Xét theo thực tế kỹ thuật, điện toán lượng tử hiện chưa đủ khả năng để tấn công vào hệ thống tiền mã hóa hiện có. Dù xét về quy mô phần cứng, kiểm soát sai số, hay năng lực thực thi các mạch sâu ổn định trong thời gian dài, vẫn tồn tại khoảng cách rõ ràng so với các điều kiện mà bài báo giả định.

Tuy nhiên, điều này không có nghĩa là ngành công nghiệp có thể tiếp tục trì hoãn vô thời hạn vấn đề đó. So với quá khứ, một thay đổi quan trọng là: lộ trình kỹ thuật liên quan đã trở nên ngày càng rõ ràng, và ước tính tài nguyên cũng đang hội tụ dần. Đối với hệ thống blockchain, thứ cần chú ý không phải là một mốc thời gian cụ thể nào đó, mà là liệu đã dành đủ thời gian và không gian cho việc chuyển đổi trong tương lai hay chưa.

Việc nâng cấp cơ sở hạ tầng mật mã thường không phải là một lần thay thế phần mềm đơn giản. Nó liên quan đến giao thức, triển khai, phối hợp hệ sinh thái, di chuyển tài sản và thay đổi thói quen người dùng; thời gian thực hiện thường được đo bằng năm chứ không phải theo tháng hay quý. Từ góc nhìn này, đây không phải là vấn đề “sẽ bùng nổ ngay bây giờ”, nhưng đã là một vấn đề bắt buộc phải đưa vào kế hoạch sớm.

5.2 Thuật toán có thể thay đổi, nhưng thiết kế hệ thống blockchain không cần bị lật đổ

Tác động trực tiếp của điện toán lượng tử là vào các giả định mật mã mà lớp nền blockchain dựa vào, ví dụ như sơ đồ chữ ký dựa trên đường cong elliptic, chứ không phải chính bản thân vấn đề mà hệ thống blockchain như một hệ thống an ninh phải đối mặt.

Điều này có nghĩa là nhiều cơ chế an ninh đã được chứng minh là hiệu quả ngày hôm nay sẽ không mất đi giá trị chỉ vì sự xuất hiện của điện toán lượng tử. Đối với ngành blockchain và tài sản số, dù là quản lý khóa, tính toán đa bên (MPC), cô lập phần cứng (TEE), kiểm soát quyền hạn, cơ chế kiểm toán, hay toàn bộ kiến trúc an ninh tổng thể được xây dựng xoay quanh hệ thống tài khoản, phê duyệt giao dịch, quản lý rủi ro và quản trị, thì các vấn đề cốt lõi vẫn là những vấn đề hiện thực như lộ khóa, lỗi đơn điểm (single point of failure), rủi ro nội bộ và sai sót trong vận hành. Những vấn đề này sẽ không biến mất theo sự thay đổi của các nguyên ngữ mật mã ở lớp nền.

Vì vậy, hiểu hợp lý hơn không phải là “thời đại lượng tử cần phải xây lại từ đầu toàn bộ hệ thống an ninh blockchain”, mà là: điều cần nâng cấp trước hết là các thành phần mật mã ở lớp nền; còn những nguyên tắc thiết kế mà hệ thống blockchain đã hình thành đối với bảo vệ khóa, phân tầng quyền hạn, cô lập rủi ro và kiểm soát quản trị thì cần được giữ lại và tăng cường. Thứ thực sự quan trọng không chỉ là thay thế một thuật toán chữ ký nào đó, mà là làm cho toàn bộ hệ thống có năng lực gánh vác quá trình di chuyển của loại mật mã đó.

500kừ “chọn thuật toán nào” sang “có thể di chuyển trơn tru hay không”

Hiện tại, mật mã hậu lượng tử đã bước vào giai đoạn tiêu chuẩn hóa và triển khai kỹ thuật. Các chuẩn PQC do NIST dẫn dắt cho đợt đầu tiên đã được chính thức công bố vào năm 2024 [12], nhưng giữa các phương án khác nhau vẫn còn có những khác biệt rõ ràng về hiệu năng, kích thước chữ ký, độ phức tạp triển khai và các giả định an toàn, và thực hành kỹ thuật cũng như lộ trình áp dụng trong ngành vẫn đang tiếp tục phát triển.

Trong bối cảnh đó, vấn đề quan trọng đang dần thay đổi: thay vì quá sớm đặt cược vào một thuật toán cụ thể, câu hỏi quan trọng hơn là liệu hệ thống có năng lực “di chuyển trơn tru” hay không.

Năng lực này bao gồm nhiều tầng: liệu có thể đưa vào một sơ đồ chữ ký mới mà không ảnh hưởng đến tính liên tục hoạt động (business continuity) hay không; liệu có thể hỗ trợ một giai đoạn chạy theo mô hình lai (hybrid); và khi các tiêu chuẩn và thực hành kỹ thuật tiếp tục phát triển, liệu vẫn có thể tiếp tục điều chỉnh và tương thích.

Nhìn xa hơn, thứ mà ngành blockchain thực sự cần xây dựng không chỉ là năng lực “áp dụng thuật toán hậu lượng tử”, mà là năng lực “ứng phó với sự thay đổi liên tục của mật mã”. Cái trước là một vòng di chuyển; còn cái sau mới là thiết kế hệ thống bền vững lâu dài.

500kết luận: một tín hiệu kỹ thuật quan trọng

Xét theo thực tế kỹ thuật ngày nay, điện toán lượng tử vẫn chưa đủ để tạo ra mối đe dọa thực tế đối với hệ thống tiền mã hóa hiện có. Dù là quy mô phần cứng, kiểm soát sai số, hay năng lực chịu lỗi cần thiết để thực thi ổn định các mạch sâu trong thời gian dài, thì vẫn còn khoảng cách rõ ràng so với các điều kiện mà bài báo giả định. Nói cách khác, CRQC không phải là một công nghệ “chỉ cần đến lúc là tự nhiên sẽ được triển khai”, mà việc hiện thực hóa nó vẫn phụ thuộc vào một loạt thách thức kỹ thuật mà đến nay vẫn chưa được vượt qua hoàn toàn.

Tuy nhiên, đồng thời, vấn đề này cũng đã không còn phù hợp để xem như một cuộc thảo luận trừu tượng của tương lai xa. Google trong tháng 3 năm 2026 đã rõ ràng đặt mốc thời gian cho quá trình chuyển đổi hậu lượng tử của chính mình là 2029[8]; NCSC của Anh lại đưa ra 2028, 2031, 2035 như ba mốc then chốt cho việc chuyển đổi [9]; lộ trình của G7 Cyber Expert Group đối với hệ thống tài chính dù không đặt deadline mang tính quản lý, nhưng cũng xem 2035 là mục tiêu tham chiếu cho chuyển đổi tổng thể, và khuyến nghị rằng các hệ thống quan trọng nên hoàn tất chuyển đổi ưu tiên trong khoảng 2030 đến 2032 [10].

Cũng cần tránh việc diễn giải quá mức. Theo các nguồn công khai chủ đạo hiện nay, dù là các đánh giá công khai khá chủ động, thì phần lớn cũng chỉ là đẩy cửa sổ rủi ro về phía trước đến khoảng 20230, chứ chưa hình thành một kết luận đồng nhất kiểu “CRQC sẽ được triển khai rõ ràng vào trước 2030”. Kết quả khảo sát chuyên gia năm 2025 của Global Risk Institute cho thấy, trong 10 năm tới việc xuất hiện CRQC thuộc loại “quite possible (28%–49%)”, và chỉ đến 15 năm tới thì mới bước vào khoảng “likely (51%–70%)” [11].

Vì vậy, ý nghĩa quan trọng nhất của sách trắng Google này không nằm ở việc tuyên bố các cuộc tấn công lượng tử đã đến, mà ở chỗ lần đầu tiên nó làm cho vấn đề này trở nên đủ cụ thể: có thể thảo luận, có thể đánh giá, và cũng bắt buộc phải bắt đầu chuẩn bị. Đối với ngành blockchain và tài sản số, 2030–2035 là một khung thời gian then chốt đáng được nghiêm túc để ý và dành chỗ cho việc chuyển đổi. Nó có thể không tương ứng với đúng năm mà các cuộc tấn công lượng tử thực sự xảy ra, nhưng rất có khả năng sẽ quyết định liệu đến lúc đó ngành có còn dư địa để ứng phó một cách thong thả hay không.