Квантовый обратный отсчет Биткоина — это не вопрос физики

编译：白话区块链

Эта статья обсуждает не сенсационный вопрос «разрушит ли квантовый компьютер биткоин», а то, сможет ли сообщество биткоина своевременно согласовать обновление перед реальной угрозой. Автор отмечает, что график угрозы квантовых вычислений сжимается, и ранние уязвимые адреса с открытыми ключами станут первыми мишенями, а настоящая сложность заключается не в криптографических схемах, а в том, чтобы очень консервативная сеть вовремя достигла консенсуса по миграции.

1200. Это число указано в белой книге Google Quantum AI, опубликованной в марте 2026 года, как важная веха.

Путем оптимизации реализации алгоритма Шора исследовательская команда показала: для взлома 256-битной эллиптической криптографии, защищающей каждый биткоин-адрес, потребуется не более 1200 логических квантовых бит, а также менее 500 тысяч физических квантовых бит. По сравнению с оценками, доминировавшими в этой области пять лет назад, это число сократилось примерно в 20 раз.

Официальный план IonQ — достичь 1600 логических квантовых бит к 2028 году, а к 2030 году — увеличить до 80 тысяч; дорожная карта IBM по квантовым вычислениям предполагает, что их система Blue Jay достигнет 2000 логических квантовых бит к 2033 году.

Окно угрозы, уже есть дата

Чтобы понять, какая часть биткоина действительно под угрозой со стороны квантовых компьютеров, нужно сначала понять, на чем основана безопасность биткоина в криптографическом плане.

Безопасность биткоина опирается на два разных столпа. Первый — SHA-256, хеш-функция, используемая для защиты процесса майнинга и генерации адресов. Второй — ECDSA, эллиптическая цифровая подпись, отвечающая за «право собственности». Каждый раз, когда вы отправляете биткоины, ECDSA создает цифровую подпись, подтверждающую контроль над кошельком и авторизацию транзакции. Конкретная эллиптическая кривая — secp256k1, которая позволяет генерировать пары публичных и приватных ключей. Ваш приватный ключ — случайное число; публичный — получается умножением на эллиптическую кривую, что легко делается в одном направлении, но практически невозможно в обратную сторону на классическом компьютере. Именно эта «односторонность» и является основой безопасности владения биткоином.

Квантовые вычисления действительно могут ускорить некоторые виды поиска, но масштабы этого недостаточны, чтобы поставить под угрозу майнинговую систему или большинство текущих адресов. Майнинг — не проблема.

Различные подходы к квантовым аппаратам движутся к этому порогу. Временная рамка угрозы — скорее нижняя граница, чем верхняя: если хотя бы один из этих подходов превзойдет ожидания раньше, окно угрозы сузится еще сильнее.

Рассматривать это можно как 10 лет. Или даже меньше.

«Сначала собираем, потом расшифровываем» уже началось

У этой проблемы есть и другая версия, которая не требует ждать 2029 года.

Государственные разведки сегодня не обязаны иметь квантовые компьютеры, чтобы извлечь ценность из транзакций биткоина. Им достаточно иметь возможность хранить данные — что недорого; и терпение — а у организаций его предостаточно. Стратегия очень проста: сейчас записывать зашифрованные блокчейн-данные, а в будущем, когда аппаратное обеспечение догонит, расшифровать их. В сфере безопасности это называется «Harvest Now, Decrypt Later» — «собирай сейчас, расшифровывай потом», сокращенно HNDL. По мнению большинства экспертов, такая практика, скорее всего, уже происходит.

Для большинства транзакций биткоина это скорее неудобство, чем угроза выживания — ведь эти данные изначально публичны, а безопасность биткоина основана скорее на псевдонимности, чем на полной анонимности. Но для приложений, построенных на инфраструктуре блокчейна, HNDL представляет более глубокую угрозу. Будь то конфиденциальные сделки или зашифрованные межцепочные сообщения — все, что записано сегодня, может оказаться запертым в «сейфе ожидания квантового ключа». Эти системы, предполагающие долгосрочную секретность, уже подорваны заранее, независимо от того, осознают ли пользователи это или нет.

Есть и менее обсуждаемая угроза: каждая неподтвержденная транзакция в мемпуле, которая еще не подтверждена, транслирует свой публичный ключ. В мире с достаточно мощным квантовым компьютером это окно — примерно 10 минут, иногда больше — превращается в окно атаки. Если злоумышленник сможет быстрее, чем майнеры, вывести приватный ключ из публичного, он сможет перенаправить транзакцию до ее подтверждения. Этот прием называется «атака в реальном времени» (real-time replacement attack). Это означает, что проблема касается не только давно раскрытых кошельков, но и каждой текущей транзакции, а также риска, который возникает, когда квантовые технологии превзойдут порог.

Это очень важный вывод:## Не все биткоины подвержены одинаковому риску

Не все биткоин-адреса одинаково уязвимы. Ранние адреса типа P2PKH (начинающиеся с «1») будут раскрывать публичный ключ навсегда, делая их мишенями для будущих квантовых атак. Новые форматы — например, P2WPKH или P2SH — скрывают публичный ключ до момента расходования средств, минимизируя уязвимый промежуток.

Проблема в том, что в старых форматах все еще хранятся значительные суммы.

Это не означает системный крах, а скорее целенаправленный крах. Первые жертвы квантовых атак не будут случайными, а выбраны по степени уязвимости. И среди крупнейших по объему позиций в истории биткоина — те, что полностью раскрыты, — нет владельцев, которые могли бы активно реагировать.

Настоящее сложнее физики — управление

Криптографические решения уже есть. Это не ситуация, когда вся индустрия ждет научного прорыва. Национальный институт стандартов и технологий (NIST) уже в 2024 году утвердил стандарты постквантовой криптографии — CRYSTALS-Dilithium, Falcon, SPHINCS+. Эти алгоритмы открыты, прошли рецензирование и доступны. Настоящая проблема — сможет ли сеть биткоина внедрить их до истечения окна угрозы.

Размер подписей постквантовых алгоритмов значительно больше, чем сегодня используемые в биткоине. В некоторых схемах — в сотни раз. Исследование, опубликованное в 2026 году в журнале Journal of the British Blockchain Association (JBBA), моделировало миграцию: пропускная способность снизится на 52–57%, комиссии возрастут в 2–3 раза, а требования к хранению данных увеличатся существенно.

Теперь взглянем на структуру управления, которая должна это одобрить.

Обновление SegWit в биткоине, хотя и обеспечило реальные улучшения, заняло около двух лет и проходило в условиях серьезных разногласий внутри сообщества. SegWit имел очевидные и измеримые преимущества. Постквантовая миграция не имеет таких убедительных аргументов. Она требует принять 57% снижение пропускной способности, платить в 2–3 раза больше комиссий, рисковать долгосрочной реализацией — ради будущего, когда еще не существующий квантовый компьютер не сможет взломать текущие подписи.

На сегодняшний день в сообществе биткоина предложены два варианта решений. BIP 360 предлагает ввести новый формат адресов, основанный на Taproot, исключающий уязвимые пути расходования ключей, чтобы не раскрывать публичный ключ до момента расходования. BIP 361 идет дальше: он предусматривает поэтапное исключение текущей системы подписей и окончательное замораживание средств в неподдерживаемых кошельках, пока владельцы не завершат миграцию. По стандартам биткоина, это уже считается «агрессивным».

Виталик Бутерин опубликовал «криптоэкстренную дорожную карту», пытаясь одновременно решить проблему на нескольких уровнях. Разница между этими двумя подходами не означает критику биткоин-культуры. Для валютного протокола очень консервативный подход — вполне логичный. Но когда график угрозы определяется внешним инженерным планом, а не внутренним консенсусом, консерватизм имеет свою цену. Исследование JBBA оценивает, что для формирования общественного согласия по постквантовой миграции потребуется 10–15 лет; а окно угрозы — тоже 10–15 лет. Эти два числа — одна и та же цифра.

В 2025 году сообщалось, что как минимум один крупный инвестиционный фонд уже исключил биткоин из рекомендаций, ссылаясь на неопределенность по поводу постквантовой безопасности. Возможно, он не последний. По мере того, как дорожные карты IBM и IonQ становятся все более заметными, рамки оценки рисков начнут включать «план миграции после квантового прорыва» как официальный пункт.

Вопрос не в «будет ли», а в «успеет ли»

Реальные события будут более фрагментарными и, в некотором смысле, более тревожными.

Первая волна ударит по уже уязвимым адресам: вторая — на психологическом уровне. Ценность биткоина всегда основывалась не только на технических характеристиках. Она строится на вере: правила — неизменны, математика — надежна, а активы — неподконтрольны любому обладателю ресурсов. Когда новость о квантовом прорыве попадет в заголовки, эта вера может получить удар, который трудно будет быстро исправить. Создание ETF на биткоин от BlackRock и Fidelity — не просто технический продукт, а часть нарратива. Уязвимость этого нарратива — не криптография.

Третья волна — полностью зависит от управления. Мое мнение — биткоин не исчезнет полностью. Но путь к выживанию для него уже гораздо уже, чем предполагают его самые стойкие сторонники, и требует гораздо больших усилий, чем раньше. Физика дает примерно до 2033 года. Смогут ли механизмы управления идти в ногу с этим графиком — главный нерешенный вопрос.

Если у вас есть биткоины в старых форматах, проверьте, не раскрыт ли у вас публичный ключ. Адрес с «1» (P2PKH) или начинающийся с «bc1» (P2WPKH/P2TR) скрывает публичный ключ до расходования. А старые форматы — навсегда. Если кошелек создан за последние десять лет, скорее всего, он уже использует новые форматы; если же вы держите биткоины с ранних лет, лучше проверить вручную. Миграция — это одна транзакция, платная, не требует доверия третьим лицам, и ее не стоит откладывать. Но это — лишь снижение риска, а не полное решение: публичный ключ все равно раскроется при расходовании, а подписи — это все еще ECDSA, которая не устойчива к квантам. Настоящая постквантовая миграция зависит от внедрения новых адресных форматов — например, P2QRH — которые сейчас находятся на стадии BIP-черновиков и еще не активированы в основном сети.

Если вы профессионально управляете цифровыми активами, добавьте в свою схему пункт: если вы занимаетесь политикой, поймите: инфраструктура CBDC и цифровых финансовых систем сталкиваются с одинаковыми угрозами и графиком, потому что они используют ту же эллиптическую криптографию, которую может взломать алгоритм Шора. Для децентрализованных сетей миграция сложнее, потому что у них нет административных полномочий. Общественная инфраструктура не имеет этого оправдания, но и более быстрых технических решений тоже не гарантирует.

Главное — это скорость развития квантовых вычислений и способность биткоина принимать трудные коллективные решения под давлением, кто быстрее. В более широком смысле, эта технология ведет к выводу: в системе, подверженной постоянным технологическим изменениям, долгосрочная устойчивость зависит от способности адаптироваться. Вместо предположения о вечной стабильности, лучше признать, что системы должны эволюционировать вместе с рисками, которым они подвергаются.

Источник: https://www.hellobtc.com/kp/du/05/6331.html