9 минут для взлома кошелька: статья о квантовых вычислениях Google потрясла криптосообщество, наступает ли «Y2K» для биткоина?

Две научные работы, наложенные друг на друга, формируют самое серьезное за всю историю криптоиндустрии предупреждение о квантовой угрозе.

Авторы: Капи семь лар, Deep Tide TechFlow

31 марта команда Google Quantum AI опубликовала white paper с незамысловатым названием, но с взрывным содержанием.

Ключевой вывод работы: для взлома эллиптической кривой шифрования (ECC-256), защищающей биткойн- и эфириум-кошельки, требуются квантовые вычислительные ресурсы примерно на 20 порядков меньше, чем оценивалось ранее. Конкретно: достаточно менее 1200 логических qubit’ов и 90 миллионов вентилей Toffoli, чтобы взломать на сверхпроводящем квантовом компьютере с использованием менее 500 тысяч физических qubit’ов — и на это уйдут всего несколько минут.

В тот же день Калифорнийский технологический институт и стартап по квантовому оборудованию Oratomic опубликовали еще одну работу; вывод в ней еще более агрессивный: квантовый компьютер на нейтрально-атомной архитектуре, минимально требует лишь около 10 000 физических qubit’ов, чтобы запустить атаку, а 26 000 qubit’ов могут взломать ECC-256 примерно за 10 дней.

Две научные работы, наложенные друг на друга, формируют самое серьезное за всю историю криптоиндустрии предупреждение о квантовой угрозе.

От «теоретической далекой угрозы» к «отсчету, который можно посчитать по календарю»

Чтобы понять эффект этих двух работ, нужно посмотреть на временную шкалу: в 2012 году академическое сообщество оценивало, что для взлома ECC-256 потребуется около 1 миллиарда физических qubit’ов. В 2023 году в статье Даниэля Литински этот показатель был сжат примерно до 9 миллионов. Новая работа Google снижает его до менее чем 500 тысяч. Oratomic идет дальше, сжимая до 10 000.

За двадцать лет — сжатие на пять порядков.

Это означает, что рамки обсуждения квантовой угрозы полностью изменились. Ранее основной нарратив был таким: «квантовому компьютеру еще десятки лет до взлома шифрования», теперь же это звучит как: «если прогресс аппаратного обеспечения будет нелинейно ускоряться, окно может составлять всего пять-десять лет». Исследователь Ethereum Foundation Джастин Дрейк (он также является соавтором статьи Google) оценивает, что к 2032 году вероятность взлома квантовым компьютером secp256k1 ECDSA приватного ключа будет как минимум 10%.

В статье Google описаны два сценария атаки.

Первая — «немедленная атака» (on-spend attack). Когда пользователь биткойна инициирует транзакцию, публичный ключ на короткое время оказывается в пуле памяти (mempool). Достаточно быстрый квантовый компьютер может за примерно 9 минут восстановить приватный ключ из публичного, запустив конкурирующую транзакцию и похитив средства до подтверждения. Учитывая, что среднее время генерации блока в биткойне составляет около 10 минут, в статье оценивается, что вероятность успеха этой категории атак составляет около 41%.

В криптографии вероятность взлома 41% — это не статистическая погрешность, а уже взломанная схема подписи.

Вторая — «статическая атака» (at-rest attack), нацеленная на спящие кошельки, где публичный ключ уже раскрыт в цепочке. У такой атаки нет временных ограничений: квантовый компьютер может считать в своем темпе. В статье оценивается, что около 6,9 млн BTC (треть от общего объема предложения) находятся в состоянии такого раскрытия; среди них примерно 1,7 млн монет из эпохи Сатоши Накамото и значительные средства, чьи публичные ключи раскрылись из‑за повторного использования адресов.

По текущим ценам 6,9 млн BTC стоят более 450 миллиардов долларов.

Taproot: хотели улучшить приватность, но расширили поверхность атаки

Одно из неожиданных наблюдений в работе: обновление Taproot в биткойне в 2021 году создало новые уязвимости с точки зрения квантовой стойкости. Taproot предназначен для повышения эффективности транзакций и приватности и использует схему подписей Schnorr. Но особенность подписей Schnorr в том, что публичный ключ по умолчанию раскрывается в цепочке, убирая защитный слой «сначала хеш, потом раскрытие», который существовал в старом формате адресов (P2PKH).

Иными словами, улучшение Taproot в традиционной безопасности как раз открывает дверь именно в измерении квантовой безопасности. Этот пул биткойна, уязвимый к квантовым атакам, расширяется от монет раннего периода и адресов с повторным использованием до всех кошельков, использующих Taproot.

Эфириум: проблема еще больше, но подготовка раньше

Если для биткойна риск «на уровне кошельков», то для эфириума проблема «уровня инфраструктуры».

Работа Google указывает, что эфириум подвержен квантовым атакам на пяти уровнях: ключи управления персональных кошельков, ключи для управления смарт‑контрактами, проверка PoS‑стейкинга, сети Layer 2 и механизм выборки данных на доступность (data availability sampling). В статье оценивается, что топ‑1000 кошельков эфириума держат примерно 20,5 млн ETH; квантовый компьютер, который может взломать один ключ за каждые 9 минут, способен полностью очистить их менее чем за 9 дней. По текущим ценам ETH стоимость этих активов составляет примерно 41,5 млрд долларов.

Более глубокая проблема — системный риск. На эфириуме около 200 млрд долларов в стейблкоинах и токенизированных активах зависят от подписи менеджерскими ключами, и около 37 млн staked ETH проходят аутентификацию через те же цифровые подписи, подверженные риску взлома. Если бы крупные пулы стейкинга были скомпрометированы, атакующий мог бы даже вмешаться в работу самого механизма консенсуса.

Однако у эфириума есть структурное преимущество: время генерации блока составляет всего 12 секунд, большинство транзакций подтверждаются в течение минуты, и при этом широко используются приватные mempool’ы — поэтому осуществимость «немедленных атак» в эфириуме заметно ниже, чем в биткойне.

Хорошая новость в том, что сообщество эфириума реагирует более активно.

На прошлой неделе Ethereum Foundation запустил pq.ethereum.org, где собраны результаты восьми лет исследований по постквантовой криптографии; более 10 команд клиентов продвигают разработку и тестирование тестнетов каждую неделю. Ранее Vitalik Buterin тоже публиковал дорожную карту устойчивости к квантовым атакам. По сравнению с этим, культура управления в биткойн‑сообществе более консервативна: хотя предложение BIP-360 (введение формата постквантовых кошельков) уже в феврале объединено в репозиторий BIP, оно решает только один тип проблемы раскрытия публичных ключей; полноценная криптографическая миграция потребует более масштабных изменений протокола.

Реакция сообщества: паника, рациональность и «это тоже не только наша проблема»

Реакция криптоиндустрии, как и ожидалось, разделилась на несколько лагерей.

Паникёры — во главе с CEO Project Eleven Алексом Prudеном: «Эта статья напрямую опровергает каждый аргумент, которым криптоиндустрия пользовалась, чтобы игнорировать квантовую угрозу». Партнер Dragonfly Хасиб Кереши в X высказался еще прямее: «Постквантовая криптография больше не репетиция».

Рациональные оптимисты — в лице CZ. Он считает, что криптовалютам нужно просто обновиться до постквантовых алгоритмов: «нет необходимости паниковать». В техническом плане это верно, но игнорируется один ключевой вопрос: децентрализованная блокчейн‑система не может, как банк или военная сеть, принудительно навязывать обновления ПО. Период миграции базовой инфраструктуры биткойна — от кошельков пользователей до поддержки на биржах и перехода на новые форматы адресов — может занять пять-десять лет, даже если все стороны сегодня достигнут консенсуса.

Люди из лагеря «взломать можно всё» указывают, что квантовые вычисления угрожают не только блокчейну. Глобальная банковская система, SWIFT‑переводы, фондовые биржи, военная связь и HTTPS‑сайты целиком полагаются на ту же криптографическую инфраструктуру. Работа Google дает на это прямой ответ: централизованные системы могут рассылать обновления пользователям, а децентрализованные блокчейны — нет. Это принципиальная разница.

Самый холодный юмор принадлежит Маску: «По крайней мере, если вы забудете пароль от кошелька, в будущем его можно будет восстановить».

Конфликт интересов и рациональная скидка

Обе работы — не «чистая академическая наука».

В статье Caltech/Oratomic все 9 авторов — акционеры Oratomic: шестеро из них — сотрудники компании. Эта работа — и научный результат, и коммерческая реклама нейтрально‑атомного аппаратного направления этого бизнеса. Статья Google тоже не полностью нейтральна: Google установил для себя внутренний дедлайн 2029 года — миграция его систем на постквантовую криптографию. Выводы статьи сильно совпадают с этим коммерческим решением. Кроме того, из соображений безопасности Google не публиковал реальные схемы квантовой аппаратуры, а вместо этого подтвердил результаты для правительства США с помощью доказательств с нулевым разглашением (zero knowledge proof).

Конфликт интересов в работах требует скидки, но сама тенденция — не требует. Каждый раз, когда кто‑то заявляет, что «квантовая угроза преувеличена», следующая статья будет отрезать на один порядок величины еще большее количество требуемых qubit’ов.

Как далеко до «Q-Day»?

На данный момент самая продвинутая квантовая вычислительная машина располагает примерно 6000 qubit’ов, а время когерентности составляет около 13 секунд. От 6000 qubit’ов до 500 тысяч, которые требуют работы Google (или 10 000, которые заявляет Oratomic), между этим все еще лежит огромный инженерный разрыв.

Но метафора криптоинвестора Маккенны запоминается лучше всего: «Вы можете представить Q-Day как Y2K, но на этот раз — по-настоящему».

Сооснователь StarkWare Эли Бен‑Сассон призывает ускорить внедрение BIP‑360 в биткойн‑сообществе. Сам Google при этом заявляет, что сотрудничает с Coinbase, Stanford Blockchain Research Institute и Ethereum Foundation, чтобы продвигать ответственную миграцию.

Спор уже не о том, «может ли квантовый компьютер взломать криптографию», а о том, «сможет ли криптоиндустрия завершить миграцию до того, как аппаратное обеспечение догонит». Таблица Google на 2029 год плюс резкое сокращение требований к qubit’ам в статье Oratomic оставляют отрасли буферный период короче, чем ожидает любой.

1,1 млн BTC, которые спит у Сатоши Накамото, не может самостоятельно мигрировать на квантово‑безопасные адреса. Если первыми окажутся квантовые компьютеры, это цифровое наследство стоимостью более 70 млрд долларов станет целью крупнейшего в истории «цифрового подъема затонувшего судна». Даже в статье Google для этого введена правовая рамка‑аналогия «digital salvage», подразумевающая, что правительствам разных стран может потребоваться принять законы для работы с такими недоступными для миграции спящими активами.

Это вопрос, который не был предвиден ни в одном биткойн‑white paper: если математический барьер, защищающий частную собственность, сам будет взломан, сможет ли «Code is Law» оставаться состоятельным?