Чи загрожують квантові комп’ютери безпеці BTC? Огляд останніх досліджень Google: 6,9 мільйонів BTC під загрозою

У березні 2026 року команда Google з квантової штучної інтелекту (Quantum AI) спільно зі Стенфордським університетом та Фондом Ethereum опублікувала 57-сторінковий white paper, який системно аналізує загрози безпеці криптовалют з боку квантових обчислень. Ключовий висновок такий: для злому еліптичнокривої криптографії (ECC-256), на якій ґрунтуються Bitcoin і Ethereum, потрібні квантові обчислювальні ресурси, що приблизно в 20 разів менші за найкращі попередні оцінки. Зокрема, в надпровідній архітектурі квантових обчислювачів для виконання атаки достатньо менш ніж 500 тисяч фізичних кубітів, а час виконання скорочується до приблизно 9 хвилин.

Значення цього відкриття полягає не в тому, що квантовий комп’ютер уже може зламати Bitcoin — наразі апаратне забезпечення ще далеке від потрібного рівня — а в тому, що воно стискає таймлайн «Q-Day» (момент, коли квантові комп’ютери зможуть зламати чинну криптографію) з далекого теоретичного питання до обчислюваного інженерного «вікна». Сам Google встановив дедлайн для внутрішніх систем щодо міграції на постквантову криптографію (PQC) — 2029 рік. Дослідник Фонду Ethereum і співавтор статті Justin Drake оцінює, що до 2032 року ймовірність того, що квантовий комп’ютер відновить приватний ключ secp256k1 із уже розкритих відкритих ключів, становитиме щонайменше 10%.

Як алгоритм Шора виводить приватний ключ із публічного

Безпека Bitcoin спирається на алгоритм цифрових підписів на еліптичних кривих (ECDSA) із кривою secp256k1. Його ключове припущення таке: за класичних умов обчислень, маючи публічний ключ, неможливо в прийнятний час вивести відповідний приватний ключ. Це припущення є базовою умовою безпеки для всієї системи блокчейну.

Алгоритм Шора показує, що в квантовій моделі еліптична крива дискретної логарифмії може бути розв’язана ефективно. Основний внесок роботи Google полягає в прямій компіляції квантової схеми алгоритму Шора для secp256k1 та наданні конкретної оцінки ресурсів. У статті запропоновано два підходи: один — утримувати кількість логічних кубітів нижче 1,200 та кількість вентилів Toffoli нижче 90 мільйонів; інший — підвищити кількість логічних кубітів до 1,450, але зменшити кількість вентилів Toffoli до 70 мільйонів. Для надпровідних квантових комп’ютерів це еквівалентно менш ніж 500 тисячам фізичних кубітів.

Більш символічно те, що Google не опублікував повну атакувальну схему, а замість цього використав докази з нульовим розголошенням для перевірки існування та коректності схеми. Цей підхід запозичує принципи «відповідального розкриття» з традиційної сфери інформаційної безпеки та вказує на те, що квантовий криптоаналіз уже перейшов у нову стадію, де потрібен превентивний захист, а не постфактум-ремедіація.

Два типи сценаріїв атак: миттєве перехоплення та офлайн-збір

White paper описує два сценарії квантових атак, і їхній характер ризику є принципово різним.

Перший тип — «миттєва атака», спрямована проти транзакцій, які вже транслюються з мемпулу. Коли користувач ініціює транзакцію Bitcoin, публічний ключ короткочасно стає видимим у мережі — приблизно на 10 хвилин, тобто це вікно середнього часу формування блока в Bitcoin. Достатньо швидкий квантовий комп’ютер може менш ніж за 9 хвилин відновити приватний ключ із публічного ключа та ініціювати конкурентну транзакцію до того, як транзакція буде підтверджена, щоб викрасти кошти. У статті оцінюється, що ймовірність успішного перехоплення транзакцій у цьому вікні для однієї квантової машини, що працює з попередньо підготовленим станом, становить приблизно 41%.

Другий тип — «статична атака», спрямована проти гаманців, які перебувають у «сплячому» режимі, але публічні ключі яких уже назавжди розкриті в ланцюгу. Цій атаці не притаманний часовий ліміт: квантовий комп’ютер може розкодовувати у власному темпі. У статті оцінюється, що приблизно 6,9 мільйона Bitcoin (близько 33% від загальної емісії) перебувають у розкритому стані, причому серед них близько 1,7 мільйона монет із ранньої доби Сатоші Накамото, а також значні суми, розкриті через повторне використання адрес.

Окремо варте уваги в white paper відкриття: хоча апгрейд Taproot у Bitcoin 2021 року підвищив традиційну безпеку та приватність, за замовчуванням він розкриває публічні ключі в ланцюгу, фактично розширюючи поверхню квантових атак. Taproot прибирає захисний шар «спочатку хешування, потім розкриття», який існував у старому форматі адрес (P2PKH).

Технічна ціна протидії квантовим загрозам і управлінські дилеми

Шлях протидії квантовим загрозам уже окреслено, але ціна також є очевидною. Національний інститут стандартів і технологій США (NIST) у серпні 2024 року завершив стандартизацію першої групи стандартів постквантової криптографії, включно з FIPS 203, 204 та 205. На технічному рівні серед здійсненних альтернатив — постквантові підписи на основі ґрат (наприклад, ML-DSA, тобто оригінальний CRYSTALS-Dilithium), підписи на основі хешів (наприклад, SLH-DSA, тобто оригінальний SPHINCS+) тощо.

Однак децентралізована модель управління Bitcoin робить міграцію криптографії надзвичайно складною. Впровадження постквантових схем підписів потребує реалізації через soft fork або hard fork, що вимагає консенсусу спільноти, координації розробників, синхронного оновлення гаманцевих сервісів і бірж. У спільноті Bitcoin вже висували BIP-360, спрямований на введення опцій для стійких до квантових атак підписів, але цей проєкт усе ще перебуває на стадії обговорення. Розробники Bitcoin Core, зокрема Adam Back, вважають, що квантова загроза все ще «за десятки років», і надто раннє масштабне оновлення може призвести до криптографічних вразливостей, які не були належно перевірені.

Усупереч цьому, реальна проблема, що стоїть за такими дискусіями, полягає в тому, що невизначеність квантової загрози перетворює саму постановку питання «коли починати міграцію» на елемент гри. Занадто раннє оновлення може марно витратити ресурси розробки, а надто пізнє — може призвести до непоправних втрат активів.

Як квантові загрози змінюють логіку оцінки безпеки криптоактивів

Квантові обчислювальні загрози переозначають «запас безпеки» криптоактивів. Традиційне припущення безпеки — що публічний ключ неможливо у прийнятний час зворотно вивести до приватного — наразі перебудовується заново. Публічні ключі 6,9 мільйона Bitcoin (за поточною ринковою вартістю понад 450 мільярдів доларів США) повністю розкриті, і безпека цих активів залежить лише від тимчасового факту, що квантові комп’ютери ще не дозріли.

Ринок по-різному реагує на цей ризик. Частка використання Taproot-адрес скоротилася з 42% у 2024 році до приблизно 20%, що свідчить про те, що частина користувачів свідомо уникає форматів адрес, які розкривають публічні ключі. Стратег інвестиційної політики CoinShares Matthew Kimmell зазначає, що роль цього дослідження — «скорочення вікна, необхідного для просування галузевого дослідження та погодження плану дій».

З більш макроскопічної точки зору, криптоіндустрія, на відміну від традиційних фінансових систем, більш вразлива до квантових загроз через відкритість і незворотність блочного облікового запису. Традиційні фінансові установи можуть протидіяти квантовим атакам шляхом масового оновлення сертифікатів і ключів, але публічні ключі онлайнових активів у ланцюгу, як тільки вони розкриті, назавжди залишаються в системі й не можуть бути «відкликані». Ця структурна різниця означає, що криптоіндустрії потрібно створювати не лише можливість «впровадження постквантових алгоритмів», а й інституційний каркас для «реагування на безперервну еволюцію криптографії».

Від оцінки ресурсів до реальних атак: як далеко це ще?

Хоча оцінка ресурсів у white paper істотно знижена, це не означає, що реальна здатність до атак уже поруч. Наразі найпередовіші квантові системи — включно з чипом Willow від Google — мають приблизно 100 фізичних кубітів і ще не реалізують запуск з корекцією помилок. Від наявного обладнання до 500 тисяч стабільних, виправлених фізичних кубітів — між ними ще існує багато інженерних викликів, які так і не подолані.

Деякі експерти вважають, що поточні побоювання є завчасними. Adam Back з Blockstream зазначає, що базова інфраструктура мережі Bitcoin не покладається на традиційну криптографію, а вплив квантової загрози полягає не в перехопленні транзакцій мережі, а в злому приватних ключів конкретних користувачів. Крім того, функція хешування SHA-256, що використовується в механізмі proof-of-work, відносно стійкіша до квантових атак: алгоритм Grover лише підвищує ефективність злому хешів до рівня квадратного кореня, що набагато менш «експоненційно» загрозливо для криптографії публічних ключів, ніж алгоритм Шора.

Втім, це не означає, що галузь може пасивно чекати. Стратегія «спочатку зібрати, потім розшифрувати» в сфері кібербезпеки означає, що атакувальники можуть уже на цьому етапі збирати дані з блокчейну та чекати, доки квантові обчислення дозріють, перш ніж виконати розшифрування. Така асиметрія часу змушує галузь завершити розгортання захисту ще до того, як квантові комп’ютери будуть побудовані.

Від таймлайна Google 2029 до міжнародної регуляторної карти

Google встановив ціль на 2029 рік щодо завершення міграції внутрішніх систем на PQC, і цей таймлайн не є ізольованою подією. Рамка CNSA 2.0 від АНБ США вимагає, щоб усі новостворені системи національної безпеки застосовували квантово-безпечні алгоритми до січня 2027 року; повне застосування міграції має бути завершене до 2030 року, а повна міграція інфраструктури — до 2035 року. Подвійний тиск з боку таймлайнів стандартів NIST та регуляторних вимог NSA штовхає компанії та установи перетворювати міграцію на PQC із теми досліджень на вимогу комплаєнсу.

На цьому тлі перед криптоіндустрією постає більш прямий виклик. Цикли оновлення децентралізованих мереж на кшталт Bitcoin та Ethereum часто тривають роками. Фонд Ethereum уже багато років працює над дослідженням постквантового роадмапу та проводить тестування схем постквантових підписів у тестових мережах. Натомість Bitcoin ще не сформував чіткий постквантовий роадмап і механізм узгодженого фінансування: децентралізоване управління надає протоколу легітимність, але водночас робить міграцію криптографії на рівні протоколу надзвичайно повільною.

Підсумок

White paper команди Google з квантового AI не оголошує кінець Bitcoin, а переводить квантову загрозу з розмитого далекого припущення в набір піддаваних виміру інженерних параметрів. Зламання, необхідні 500 тисяч фізичних кубітів, атакувальне «вікно» близько 9 хвилин, Bitcoin із 6,9 мільйонами вже розкритих публічних ключів — ці цифри разом визначають реальне і таке, що звужується, безпекове вікно.

Виклики, що стоять перед галуззю, стосуються не лише технічного рівня — NIST уже вирішив проблему алгоритмів; справжня складність лежить у координації на рівні управління. У децентралізованих мережах формування консенсусу потребує часу, а прогрес квантових комп’ютерів не чекатиме, доки консенсус сформується. Протягом майбутніх 5–7 років криптоіндустрії потрібно шукати баланс між двома ризиками: занадто раннє оновлення може запровадити криптографічні схеми, які не були достатньо перевірені, а надто пізнє — може призвести до непоправних втрат активів. Яким би не був фінальний шлях, квантові обчислення вже перетворилися з теоретичної концепції на практичну змінну, яку необхідно врахувати в рамці безпеки криптоактивів.

FAQ

Q: Квантовий комп’ютер зараз може зламати Bitcoin?

A: Ні. Наразі найпередовіші квантові системи мають лише близько 100 фізичних кубітів, а для злому Bitcoin ECC-256 потрібні приблизно 500 тисяч фізичних кубітів із виправленням помилок — і все ще є розрив у сотні разів.

Q: Що означає зламання за 9 хвилин?

A: Це сценарій «миттєвої атаки», описаний у white paper — коли квантовий комп’ютер перебуває у попередньо обчисленому стані, від появи публічного ключа до завершення злому потрібно приблизно 9 хвилин, що трохи менше за середні 10 хвилин часу формування блока в Bitcoin; теоретично це має забезпечувати близько 41% ймовірності успішного перехоплення.

Q: Які Bitcoin є найнебезпечнішими?

A: Ризик є найвищим для адрес, публічні ключі яких уже назавжди розкриті в ланцюгу, зокрема для адрес раннього формату P2PK (близько 1,7 мільйона), адрес, розкритих через повторне використання адрес, а також Taproot-адрес. У статті оцінюється, що близько 6,9 мільйона Bitcoin перебувають у такому стані розкриття.

Q: Чи можна оновити Bitcoin, щоб захиститися від квантових атак?

A: Так. NIST уже завершив стандартизацію постквантової криптографії (наприклад, ML-DSA і SLH-DSA), і Bitcoin може через пропозиції на кшталт BIP-360 додати опції для підписів, стійких до квантових атак. Проблема в тому, що оновлення потребує консенсусу спільноти, а процес може тривати роками.

Q: Що користувачам варто робити зараз?

A: Уникати повторного використання адрес: для кожної транзакції використовувати нову адресу; зберігати великі суми на холодному гаманці; стежити за прогресом спільноти щодо постквантового оновлення та активно переносити активи на безпечніші формати адрес.