Q-Day приближается? Подробный разбор статьи Google о квантовых вычислениях и потенциальных уязвимостях безопасности Биткоина

Когда одновременно встречаются слова «квантовые вычисления» и «биткоин», это вызывает не только потрясение в технологическом сообществе, но и глубокие вопросы к фундаменту безопасности крупнейшего в мире криптоактива. Недавно команда Google Quantum AI опубликовала важную статью, которая вывела это обсуждение на новый пик. Ключевое открытие заключается в том, что при использовании алгоритма Shor для взлома криптографии на эллиптической кривой secp256k1, применяемой в биткоине, требуемые квантовые вычислительные ресурсы, особенно число логических квантовых битов, по сравнению с прежней лучшей оценкой имеют «примерно один порядок» улучшения — снижение достигает 20 раз. Это не отдалённая научно-фантастическая концепция, а повторная калибровка «Q-Day» (того дня, когда квантовый компьютер способен взломать действующую основную криптографию), предупреждающая весь рынок криптовалют о грозящей опасности.

Новая переоценка угрозы квантовых вычислений

В марте 2026 года статья «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities» («Защита криптовалют на эллиптических кривых от угроз квантовых уязвимостей»), опубликованная Google Quantum AI совместно с несколькими организациями, стала предметом бурного обсуждения в отрасли. На основе принципов ответственного раскрытия (responsible disclosure) посредством технологии доказательств с нулевым разглашением (zero knowledge proofs) авторы, не раскрывая деталей атак, подтвердили внешнему миру, что они существенно оптимизировали квантовые схемы, необходимые для взлома ключевой криптографии основных криптовалют вроде биткоина (кривая secp256k1).

В статье отмечается, что для взлома задачи дискретного логарифмирования 256-битной эллиптической кривой secp256k1 (ECDLP) теперь требуется лишь примерно 1 200–1 450 логических квантовых битов и 70 000 000–90 000 000 ворот Toffoli. В самых оптимистичных инженерных допущениях число физических квантовых битов, необходимых для выполнения этих схем, можно удержать в пределах 500 000. По сравнению с оценками, которые ранее в некоторых исследованиях указывали на «несколько миллионов физических квантовых битов», это заметное снижение.

Это открытие означает, что инженерный порог для построения «криптографически связанного квантового компьютера» (CRQC), способного атаковать биткоин, был понижен, а сроки появления угрозы могут оказаться ближе, чем многие ожидали. Хотя статья подчёркивает, что это всё ещё «теоретический риск», она напрямую возвращает отрасль из комфортной зоны «квантовая угроза всё ещё очень далека» к реальным соображениям о том, что технологическая эволюция может ускориться.

Источник: Google, статья

От теории к приближению: траектория эволюции

Безопасность биткоина опирается на две ключевые криптографические предпосылки: во-первых, на трудность задачи ECDLP, лежащей в основе алгоритма цифровой подписи на эллиптических кривых (ECDSA); во-вторых, на вычислительную сложность хэш-функции SHA-256, лежащей в основе Proof-of-Work (PoW). Угроза со стороны квантовых вычислений в первую очередь направлена на первое.

• 1994 год: математик Peter Shor предложил квантовый алгоритм, который эффективно решает задачу разложения больших целых на множители и задачу дискретного логарифмирования (алгоритм Shor). Теоретически он объявил потенциал квантовых вычислений как средства, способного разрушить существующие системы криптографии с открытым ключом.
• 2017 год — по настоящее время: по мере быстрого развития квантового оборудования (особенно сверхпроводящих квантовых битов) и технологий квантовой коррекции ошибок появляются все новые и новые количественные исследования о том, «когда можно будет взломать биткоин». В ранних оценках обычно требовались миллионы и даже десятки миллионов физических квантовых битов.
• 2021–2025 годы: в академической среде продолжали происходить прорывы в оптимизации алгоритмов и компиляции схем; например, применялись техники вроде «оконного алгоритма» и «пакетной обработки по модулю», постепенно снижая потребность в логических квантовых битах и количестве ворот.
• Март 2026 года (данное событие): последние результаты команды Google снова существенно понижают порог ресурсов, необходимых для реализации ECDLP. В статье также вводятся понятия «быстрого тактирования» (например, сверхпроводники, фотоника) и «медленного тактирования» (например, ионные ловушки, нейтральные атомы), и указывается, что первые потенциально могут завершать вывод приватного ключа за считанные минуты, теоретически допуская возможность осуществления атаки «в ходе транзакции».

Количественная оценка и классификация рисковых активов

Статья предоставляет множество данных, раскрывающих потенциальную квантовую «дыру» (экспозицию) в экосистеме биткоина — это наиболее шокирующая часть данного события.

Во-первых, статья классифицирует квантовые риски по типу скрипта адреса биткоина и по факту повторного использования адресов:

• P2PK (Pay-to-Public-Key): скрипт, напрямую раскрывающий открытый ключ. Адреса этого типа находятся под угрозой «статической атаки» с момента получения биткоинов. В статье оценивается, что около 1,7 млн биткоинов заблокировано в таких скриптах; большинство из них — награды за майнинг ранней «эпохи Сатоши», почти наверняка уже потеряли приватные ключи и стали недвигаемыми «спящими активами».
• P2TR (Pay-to-Taproot): как новый тип скрипта, введённый обновлением Taproot в 2021 году, он, хотя и повышает конфиденциальность и гибкость, записывает «открытый ключ» напрямую в скрипт блокировки, из-за чего он также сталкивается с похожим по сути статическим риском, как и P2PK.
• Повторное использование адресов: даже адреса P2PKH или P2WPKH, обычно скрывающие открытый ключ, если пользователь совершил хотя бы один расход (то есть открытый ключ был раскрыт в блокчейне), то все оставшиеся по этому адресу биткоины мгновенно оказываются под угрозой статической атаки. Анализ данных в статье показывает, что с учётом повторного использования адресов, раскрытия открытых ключей и подобных факторов сейчас около 6,7 млн биткоинов (примерно 33% от объёма в обращении) находятся в теоретическом риске квантовой атаки; при этом около 2,3 млн из них — «спящие активы», которые не двигались более 5 лет.

Разбор мнений: разногласия и консенсус в техническом сообществе

После публикации этой статьи в техническом сообществе, криптовалютном сообществе и академических кругах быстро сформировались несколько направлений мнений и произошло столкновение взглядов:

• «Сторонники срочности»: считают, что это на сегодняшний день наиболее авторитетное и строгое предупреждение о квантовой угрозе. Существенное снижение оценок ресурсов означает, что «Q-Day» больше не является далёкой концепцией спустя десятки лет, а становится реальным риском, который может наступить в течение нескольких лет (по мере инженерного прогресса). Они призывают все блокчейн-сообщества, зависящие от ECDLP, как можно скорее начать и ускорить миграцию на постквантовую криптографию (PQC).
• «Осторожные»: подчёркивают, что между «логическими квантовыми битами» и «физическими квантовыми битами» в статье существует огромная пропасть. Преобразовать 1 200 логических квантовых битов в 500 000 физических квантовых битов с низкой частотой ошибок и обеспечить надёжные операции затворов и коррекцию ошибок — это всё ещё сталкивается с инженерными трудностями, оценить которые по масштабам невозможно. Они считают, что до появления реального «быстрого тактирования» CRQC всё ещё есть достаточно времени для наблюдения и подготовки.
• «Скептики»: выражают обеспокоенность тем, что Google выпустила отчёт через «доказательства с нулевым разглашением», а не опубликовала все технические детали публично; по их мнению, это снижает проверяемость. Одновременно некоторые указывают на потенциальную заинтересованность авторов статьи в криптовалютах (например, часть авторов может владеть связанными активами), что потенциально влияет на объективность отчёта.

Хотя взгляды различаются, формируется один «консенсус»: квантовая угроза реальна и рано или поздно придёт. Сейчас предмет спора уже не «придёт ли она», а «когда она придёт» и «как мы будем реагировать».

Анализ влияния на отрасль: от безопасности активов до эволюции экосистемы

Влияние данного события выходит далеко за пределы биткоина.

• Влияние на криптоактивы: самое прямое воздействие — то, что будущие технологии бросают вызов якорю стоимости примерно 6,7 млн биткоинов, то есть определённости принципа «наличие приватного ключа означает владение активом». Это может не только повлиять на их долгосрочную стоимость, но и добавить рынку новые факторы неопределённости: технологический риск (квантовый) встанет бок о бок с традиционными рыночными и политическими рисками.
• Влияние на расстановку сил в экосистеме: статья указывает, что из-за устройства счетов в Ethereum, умных контрактов и зависимости консенсуса Proof-of-Stake от BLS-подписей и обязательств KZG его квантовая поверхность риска существенно шире, чем у биткоина. Это может привести к изменению конкурентоспособности различных публичных сетей (например, Solana, Algorand, XRP Ledger и др., которые уже начали эксперименты с PQC) в волне миграции на PQC. Публичные сети с чёткой PQC-дорожной картой или уже обладающие «антиквантовыми» возможностями могут в будущем привлечь больше внимания и капитала.
• Влияние на техническую эволюцию: отрасль неизбежно ускорит исследования и внедрение PQC. Постквантовые схемы подписи, стандартизированные NIST — ML-DSA (ранее Crystals-Dilithium), SLH-DSA (ранее SPHINCS+), а также основанные на хэшах доказательства с нулевым разглашением (zk-STARKs) — перейдут к более практичной стадии развёртывания. Мягкие и жёсткие форки публичных сетей, обновления кошельков, миграция активов станут крупномасштабным системным проектом, который может занять годы и даже десятилетие.

Многосценарная проекция эволюции: несколько возможных траекторий в будущем

Перед лицом этой медленной, но неизбежной технологической волны возможны разные сценарии:

Заключение

Эта статья Google — если уж говорить откровенно — это не столько окончательный приговор технологиям, сколько «медицинское обследование риска» для всей отрасли, выполненное на основе строгого анализа математики и инженерии. Она чётко говорит нам: мир криптоактивов, зависящий от ECDLP, стоит на развилке между настоящим, где доминируют классические компьютеры, и будущим, определяемым квантовыми вычислениями. Теоретический риск в 6,7 млн биткоинов — это огромная цифра, но она больше похожа на фитиль: подрывается не один фактор, а комплексный большой спор о скорости технологических итераций, о том, как определять безопасность активов, о мудрости управления сообществом и о способности политиков реагировать.

Для всех участников криптоотрасли, возможно, сейчас самое важное — не предсказывать точную дату прихода квантовых компьютеров, а начать понимать, обсуждать и поддерживать эволюцию блокчейн-экосистемы к «постквантовой эпохе». Это эстафета, определяющая доверие к цифровому миру на десятилетия вперёд — и вот, уже прозвучал стартовый выстрел.