Заголовки про квантові обчислення дедалі частіше натякають, що біткоїн ось-ось зазнає краху: мовляв, майбутні машини зможуть зламати його криптографію за лічені хвилини або повністю придушити мережу.
Але академічні дослідження малюють більш обмежену картину. Деякі широко цитовані «прориви» спираються на спрощені задачі, які не відображають реальну криптографію. А квантові атаки на Bitcoin? Енергія, потрібна для цього, еквівалентна невеликій зірці — згідно з дослідницькими працями, які підприємець у сфері біткоїн-хардвару Rodolfo Novak поширив на X.
Безпека Bitcoin тримається на двох різних типах математики, і квантові комп’ютери загрожують їм двома різними способами.
Один — відомий як Shor’s algorithm — націлений на безпеку гаманців. Теоретично він дозволяє достатньо потужному квантовому комп’ютеру вивести приватний ключ із публічного ключа. Це дало б атакувальнику змогу одразу взяти контроль над коштами, зламавши гарантії власності, на яких тримається bitcoin.
Інший — відомий як Grover’s algorithm — застосовується до майнінгу. Він пропонує теоретичне прискорення для перебіркового пошуку, який майнери виконують методом проб і помилок, — але, як показує одна з наведених нижче робіт, ця перевага значною мірою зникає, щойно ви намагаєтеся реально побудувати таку машину.
Обидві загрози часто змішують у заголовках. Але вони дуже по-різному проявляються, якщо врахувати обмеження реального світу.
Дві нещодавні роботи, висвітлені в треді на X — одна тверезий інженерний аналіз, а інша безтурботна сатира — обґрунтовують це з протилежних напрямів. Разом із тредом, який підсумовує контрарні дослідження та погляди, ці матеріали припускають, що нинішня паніка в crypto Twitter змішує справжню довгострокову стурбованість із новинним циклом, побудованим на театралізації.
Майнінг впирається в стіну, зведену з фізики
Перша робота — від Pierre-Luc Dallaire-Demers і команди BTQ Technologies — опублікована в березні 2026 року. У ній ставиться питання: чи може квантовий комп’ютер реально майнити BTC ефективніше за допомогою Grover’s algorithm — квантової техніки, яка могла б дати змогу комп’ютеру «вгадувати» розв’язання задачі значно швидше, ніж будь-яка звичайна машина. У випадку bitcoin це означає прискорення перебіркового пошуку, який майнери використовують, щоб знаходити дійсні блоки.
Проблема складніша, ніж це звучить. Саме майнінг захищає BTC від атаки 51%, сценарію, в якому один учасник контролює достатню потужність хешування, щоб переписати історію нещодавніх транзакцій, здійснити двійковитрату монет або цензурувати мережу. Якщо квантовий майнер зможе домінувати в продукуванні блоків, тоді під загрозою буде не лише окремий гаманець — під удар потрапить і сам консенсус.
Теоретично Grover відкриває шлях до такого домінування. На практиці дослідники стверджують, що відповідь руйнується, щойно ви рахуєте вартість обладнання та його енергетичні вимоги. Запуск Grover проти SHA-256 — формули математики, яку майнери bitcoin змагаються розв’язати, щоб додавати нові блоки до блокчейну й отримувати винагороди — був би фізично неможливим.
Запуск алгоритму проти bitcoin вимагав би квантового обладнання масштабу, якого ніхто не знає, як побудувати.
Кожен крок пошуку містить сотні тисяч делікатних операцій, і для кожної потрібна власна виділена система підтримки з тисячами кубітів лише для того, щоб тримати помилки під контролем. А оскільки bitcoin створює новий блок кожні десять хвилин, будь-якому атакувальнику буде доступне лише вузьке вікно, щоб виконати завдання, змушуючи його запускати величезні масиви таких машин паралельно.
За складності майнінгу Bitcoin на січень 2025 року автори оцінюють, що квантовому «флоту» для майнінгу потрібно приблизно 10²³ кубітів, які споживатимуть 10²⁵ ват — це наближається до енергетичного виходу зірки (для довідки: це все ще 3% від енерговиділення Сонця Землі). Натомість весь поточний блокчейн Bitcoin споживає близько 15 гігават.
Квантова атака 51% — це не лише дорого. Вона фізично недосяжна в будь-якому масштабі, який реально може підтримати цивілізація.
Записи про квантове розкладання здебільшого — театр
Друга робота — від Peter Gutmann з University of Auckland та Stephan Neuhaus з Zürcher Hochschule у Швейцарії — спрямована проти іншої частини наративу: постійного барабанного бою заголовків, які стверджують, що квантові комп’ютери вже починають ламати шифрування.
Автори ставлять за мету відтворити кожен ключовий квантовий «прорив» у розкладанні чисел на множники за останні два десятиліття. Вони досягають успіху — використовуючи домашній комп’ютер VIC-20 1981 року, абак і собаку на ім’я Scribble, натреновану гавкати три рази.
Жарт спрацьовує, бо базовий меседж — серйозний. Розкладання на множники — це математична задача в серці більшості сучасного шифрування: потрібно взяти дуже велике число та знайти два прості числа, які перемножуються, щоб отримати це число.
Для числа з сотнями цифр вважається, що це фактично неможливо виконати на будь-якому звичайному комп’ютері. Shor’s algorithm — квантова техніка, що стоїть за загрозою для біткоїн-гаманців, — і є причина, через яку люди хвилюються, що квантові машини зможуть зробити це в майбутньому.
Але, як стверджують Gutmann і Neuhaus, майже кожна демонстрація до цього часу була «підтасована». У деяких випадках дослідники брали числа, приховані прості множники яких були віддалені лише на кілька цифр, тож їх легко було вгадати за допомогою елементарного трюку з калькулятором.
В інших вони запускали складну частину задачі на звичайному комп’ютері першою — крок, який називається preprocessing — а потім передавали квантовій машині «спрощену», тривіально легку версію, щоб «розв’язати». Квантовий комп’ютер отримує кредит за «прорив», але реальну роботу виконали десь в іншому місці.
Автори фокусуються на одній нещодавній роботі, де стверджувалося, що китайська команда використала машину D-Wave, щоб наблизитися до прориву в напрямку зламу RSA-2048 — стандарту шифрування, який захищає більшість банківських операцій, email і e-commerce-трафіку в інтернеті.
Дослідники опублікували десять прикладних чисел як доказ. Gutmann і Neuhaus прогнали ці числа через емулятор VIC-20 та відновили відповіді приблизно за 16 секунд кожне. Прості множники були підібрані так, щоб лежати всього на кілька цифр одне від одного, тож їх було легко знайти за алгоритмом, який математик John von Neumann адаптував із техніки абака ще в 1945 році.
Чому це продовжує траплятися? Автори пропонують просту відповідь: квантове розкладання — поле з високим рівнем публічного інтересу та обмеженою кількістю реальних результатів, а стимул опублікувати щось вражаюче на слух є дуже сильним.
Вибір підставних чисел або виконання більшої частини роботи класично дозволяє дослідникам оголошувати новий «рекорд» без реального просування базової науки. У роботі пропонуються нові стандарти оцінювання, які вимагали б випадкових чисел, відсутності preprocessing і збереження множників у секреті від експериментаторів. Жодна демонстрація до цього часу не змогла б пройти такі вимоги.
Висновок не в тому, що квантові обчислення нешкідливі. Йдеться не про те, що кожен заголовок про «прорив» означає реальний поступ у напрямку зламу сучасного шифрування, і трейдерам варто бути скептичними, коли з’явиться наступний такий матеріал.
Що ще заслуговує на занепокоєння
Жодна з двох робіт не відкидає квантову загрозу повністю.
Справжня вразливість — це біткоїн-гаманці, а не майнінг. Мільйони bitcoin зберігаються у старих або повторно використаних адресах, де ключова інформація вже розкрита в блокчейні, тож саме вони є найімовірнішою довгостроковою мішенню, якщо квантові машини покращаться.
Після публікації цих робіт змінилося не те, в чому полягає загроза, а те, як її оцінюють. Нещодавня робота дослідників з Google припускає, що обчислювальна потужність, потрібна для такої атаки, може різко знизитися, а шифрування, яке забезпечує безпеку блокчейну Bitcoin, може стати вразливим в атаці, що триває хвилини.
Це не означає, що атака вже близько. У своїй роботі автори розкривають, що побудова такої машини зараз фізично неможлива і потребує інженерних досягнень, яких ще не зроблено: від лазерів, що керують кубітами, до швидкості, з якою їх можна зчитувати, і до здатності утримувати узгоджену роботу десятків тисяч атомів, не втрачаючи їх.
Також є ознаки того, що публічне уявлення може бути неповним. Деякі нещодавні дослідження приховали ключові технічні деталі, а експерти попереджали, що прогрес у цій сфері може не завжди відкрито висвітлюватися.
Втім розробники вже працюють над виправленнями, зокрема над способами зменшити витік ключів і над новими типами підписів, розробленими для протидії квантовим атакам.
Ринки відображають погляд, що ця загроза все ще «застрягла в аудиторії». Трейдери бачать мало шансів, що bitcoin замінить свій майнінговий алгоритм до 2027 року, але надають значно вищі шанси — близько 40% — для оновлень на кшталт BIP-360, спрямованих на зменшення ризику для гаманців.
Квантова загроза для Bitcoin реальна, але важливо пам’ятати: створення машин, які використовують для атаки на блокчейн, обмежується межами фізики.
