Действительно ли нельзя быть слишком оптимистичным? В один и тот же день опубликованы две статьи, в которых говорится, что квантовые вычисления снизили порог взлома биткоина сразу на два порядка величины

31 марта днем биткоин развернул утренний рост и ускорил падение, пройдя уровень 67 000 долларов США. Индекс страха и жадности скатился до 28. В соцсетях изображение, которое многократно пересылают, показывает: количество физических квантов, необходимых для взлома приватного ключа биткоина с помощью квантового компьютера, упало с миллионов до десятков тысяч. Исследователь Quantum AI в Google предупреждает, что квантовая атака может перехватить одну биткоин-транзакцию, которая в данный момент транслируется, в течение 9 минут, — вероятность около 41% успеть завершить атаку до подтверждения. Около 6,9 млн биткоинов, у которых уже раскрыты публичные ключи, сейчас тихо лежат в сети, ожидая, пока вычислительная мощность догонит теорию.

Спусковым крючком этой паники стали две статьи, опубликованные почти одновременно накануне. Одна — от команды Google Quantum AI, другая — от компании Oratomic по нейтральным атомам и квантовым вычислениям. Отдельно взятые, каждая статья — важный прогресс в своей области. Вместе же они бьют по разным слоям квантового вычислительного стека, а эффект при этом напрямую перемножается.

Энтузиаст по ядру Ethereum Justin Drake в твите назвал это «днем, имеющим историческое значение для квантовых вычислений и криптографии». Он участвовал в статье команды Google: она улучшает алгоритм Shor — самый известный в криптографическом сообществе алгоритм квантовой атаки, предназначенный для взлома RSA и шифрования на эллиптических кривых. Алгоритм подписи secp256k1, который используют биткоин и Ethereum, как раз относится к криптографии на эллиптических кривых.

Почему две статьи вместе действительно пугают? Потому что общее число физических квантов, требуемое для взлома подписи на эллиптической кривой, равно: числу логических кубитов (сколько «чистых» вычислительных единиц нужно на уровне алгоритма) × числу физических кубитов, необходимых для каждого логического кубита (сколько «избыточного» аппаратного обеспечения нужно на уровне коррекции ошибок, чтобы поддерживать одну «чистую» единицу). Статья Google сжимает первую величину, статья Oratomic сжимает вторую. Сокращаются и числитель, и знаменатель — произведение падает.

Согласно статье, включенной в EUROCRYPT 2026, число логических кубитов, нужных для взлома 256-битной эллиптической кривой, снизилось: с 2,330 кубитов в 2017 году (по базовой статье Roetteler и др.) до 2,124 в 2020 году (по улучшениям Haner), а затем до 1,098 по состоянию на март 2026 года. За девять лет потребность на уровне алгоритма сократилась более чем наполовину. Статья команды Google сделала еще шаг дальше: она дала специализированную оптимизацию под кривую secp256k1, используемую биткоином и Ethereum, сжав требуемые логические кубиты примерно до 1,000. Глубина схемы составляет лишь примерно 1億 Toffoli-ворот (согласно тому, как Justin Drake описал это в цитировании CryptoBriefing); на сверхпроводниковой платформе это означает порядка 1,000 секунд времени работы алгоритма Shor.

Тем временем, согласно данным статьи Oratomic, на которые ссылаются в твите, схема нейтральных атомов сокращает число физических кубитов на один логический кубит — с примерно 400 в традиционном подходе на поверхностных кодах до примерно 10. Этот прорыв основан на принципиально отличающейся от Google методике. Google оптимизирует эффективность самого алгоритма, а Oratomic — издержки коррекции ошибок на нижнем уровне аппаратуры. Два улучшения могут накладываться друг на друга.

Перемножим два числа: оценка 2017 года — около 7 миллионов физических кубитов, а маршрут нейтральных атомов по состоянию на март 2026 года оценивается примерно в 1万. Общая потребность падает с уровня миллионов до уровня десятков тысяч — снижение более чем на два порядка.

Это мультипликативное действие порождает две совершенно разные траектории атак.

Согласно расчетам по статьям, собранным из твита: сверхпроводниковый маршрут (исследовательское направление Google) требует примерно 500,000 физических кубитов и примерно 9 минут работы, чтобы взломать один приватный ключ — настолько быстро, что хватает, чтобы перехватить транзакцию в реальном времени. Маршрут нейтральных атомов (направление исследований Oratomic) требует лишь около 1万 физических кубитов, но время работы растягивается до примерно 10 дней. Это не проблема, потому что целью атаки являются «спящие» кошельки с уже раскрытыми публичными ключами — не нужно спешить.

Как понимать разницу? Сейчас самый мощный процессор Willow у Google имеет 105 сверхпроводниковых кубитов (по спецификации Google Quantum AI) — до порога в 500,000 разница примерно в 4,762 раза. Но в области нейтральных атомов система с исправлением ошибок по вычислениям уже достигла порядка 500 кубитов — до порога в 10,000 остается примерно 20 раз. Если смотреть не на способность к исправлению ошибок, а на физический масштаб матрицы, то лаборатории уже «поймали» более 6,100 атомов — разрыв дополнительно сужается до менее чем 2 раз.

20 раз и 4,762 раза — это дистанции в совершенно разных порядках. Маршрут нейтральных атомов ближе, чем думает большинство людей.

А что касается биткоина, то ситуация там намного менее подготовлена к встрече с этим изменением.

Согласно совместному отчету Ark Invest и Unchained, около 6.9 млн биткоинов (примерно 33% от общего предложения) находятся в зоне квантового риска; их стоимость оценивается в диапазоне примерно от 440 до 480 млрд долларов США. Эти уязвимые адреса делятся на три категории. Около 1.7 млн находятся на ранних адресах P2PK: публичный ключ напрямую раскрыт в сети, и при этом большинство из них уже потеряны — никто не может выполнить миграцию. Около 1.1 млн принадлежат Сатоши Накамото, распределены примерно по 22,000 адресам, а идентичность держателей неизвестна. Оставшиеся примерно 4.2 млн — на адресах с повторным использованием или на адресах P2TR: публичный ключ также раскрыт, но держатели теоретически могут активно перенести средства на безопасные адреса.

Иначе говоря, примерно 2.8 млн биткоинов (40% от уязвимого общего числа) в любом случае не спасти. Их приватные ключи либо утеряны, либо держатели не появятся никогда. Это не вопрос, который решается технически, а вопрос управления: будет ли сообщество замораживать эти заведомо раскрытые адреса. По данным CoinDesk за февраль, вокруг идеи заморозки 1.1 млн монет, принадлежащих Сатоши Накамото, в сообществе биткоина уже развернулась ожесточенная дискуссия; на данный момент консенсуса нет.

Даже для теоретически переносимых 4.2 млн миграция не происходит автоматически. Держатели должны намеренно перевести активы со старых адресов на адреса, использующие новую схему подписи; а исторический опыт показывает, что большое число держателей не предпримет действий до дедлайна.

Перед одной и той же угрозой три основных публичных блокчейна серьезно расходятся в стратегиях реагирования.

Согласно pq.ethereum.org, запущенному Фондом Ethereum 25 марта 2026 года, Ethereum готовится уже 8 лет и имеет полный многоэтапный дорожный план: заменить текущую схему BLS на хэш-подписи leanXMSS, а цель — завершить апгрейд L1 протокола к 2029 году. После того как более 10 команд клиентов еженедельно прогоняют тесты на совместимость в квантовой devnet, пользователи могут постепенно мигрировать через account abstraction, без хардфорка. Google также установил внутренний дедлайн на завершение пост-квантового перехода к 2029 году (согласно Google Security Blog), и расписание Ethereum с ним совпадает.

У Solana есть экспериментальный вариант. Winternitz Vault, предложенный в декабре 2025 года главного научного сотрудника Zeus Network Dean Little на GitHub, использует механизм одноразового «заповедника» insurance-box на основе хэш-подписей. Но это опциональный вариант: пользователи должны добровольно opt-in, и официального графика нет.

С биткоином ситуация самая сложная. Нет скоординированного плана, нет целевого финансирования на уровне фонда, нет графика. Модель управления биткоина требует децентрализованного сообщества, чтобы добиться широкого консенсуса для внесения изменений в протокол; а это сообщество исторически славится медлительностью. Согласно отчету Global Risk Research Institute о временной шкале квантовых угроз за 2026 год, криптографически связанные квантовые компьютеры «вполне вероятно» появятся в течение 10 лет и «весьма вероятно» — в течение 15 лет. Цель Ethereum на 2029 год, если следовать плану, позволит завершить миграцию до закрытия окна. Сейчас биткоин даже обсуждает это на самом раннем этапе.

Две статьи, опубликованные в один день, превратили проблему, которую долго считали «отдаленной угрозой», в конкретные цифры: 1万 физических кубитов и 10 дней — чтобы взломать приватный ключ спящего кошелька.

Но важно подчеркнуть: это все еще снижение теоретического порога, а не атака, грозящая прямо сейчас. Самые передовые системы нейтральных атомов находятся примерно в 20 раз от 10,000 отказоустойчивых квантовых кубитов; разрыв сверхпроводникового маршрута — в тысячи раз. Окно 10—15 лет все еще существует, и сообщество биткоина не без шансов. Биткоин в прошлом уже проходил через крайне противоположные управленческие испытания — споры о размере блока, активацию SegWit и подобные — и в итоге при давлении пришел к консенсусу. Природа квантовой угрозы отличается от споров о маршруте: она не затрагивает разногласия интересов, а создает общую угрозу для всей сети. Возможно, это как раз станет внешней силой, которая подтолкнет сообщество биткоина к ускорению действий.

Реальная проблема не в том, может ли квантовый компьютер взломать биткоин, а в том, сможет ли сообщество биткоина завершить подготовку до закрытия окна.

Нажмите, чтобы узнать о вакансиях LyDun BlockBeats

Добро пожаловать в официальное сообщество LyDun BlockBeats：

Группа для подписки в Telegram：https://t.me/theblockbeats

Группа Telegram для общения：https://t.me/BlockBeats_App

Официальный аккаунт в Twitter：https://twitter.com/BlockBeatsAsia