Чи не слід бути надто оптимістичним? У той самий день опубліковано дві статті, які показують, що квантові обчислення знизили поріг для злома Біткоїна у два порядки.

31 березня вдень біткоїн розвернув ранковий висхідний тренд, пришвидшивши падіння нижче за рівень 67 тис. доларів; індекс страху й жадібності ковзнув до 28. У соцмережах зображення, яке багаторазово перешли, показує: кількісні обчислення для злому біткоїн-приватного ключа потребують фізичних квантів — від стрибка на рівні мільйонів до рівня десятків тисяч. Дослідник Google Quantum AI попереджає: квантова атака може за 9 хвилин перехопити біткоїн-транзакцію, що прямо зараз транслюється, із імовірністю близько 41% завершити її раніше, ніж станеться підтвердження. Близько 6,9 млн біткоїнів із вже розкритими відкритими ключами нині тихо лежать у ланцюжку, чекаючи, поки обчислювальна потужність наздожене теорію.

Паніку спричинили дві статті, опубліковані майже одночасно напередодні. Одна — від команди Google Quantum AI, інша — від компанії з нейтральними атомами з квантових обчислень Oratomic. Окремо кожна стаття — важливий прогрес у своїй галузі. Якщо ж зібрати їх докупи, вони атакують різні рівні стеку квантових обчислень, тож ефект безпосередньо перемножується.

Головний дослідник Ethereum Justin Drake у твіті назвав це «днем епохального значення для квантових обчислень і криптографії». Він брав участь у статті команди Google: вона вдосконалює алгоритм Шора — найвідоміший у криптографічній спільноті квантовий алгоритм атаки, спеціально призначений для злому RSA та еліптичнокривих шифрів. Підписний алгоритм secp256k1, який використовують біткоїн і Ethereum, належить до категорії еліптичнокривої криптографії.

Чому дві статті разом справді лякають? Бо загальна кількість фізичних квантів, потрібна для злому еліптичнокривого підпису, дорівнює кількості логічних квантових бітів (на рівні алгоритму — скільки «чистих» обчислювальних одиниць потрібно) × кількість фізичних бітів на кожен логічний біт (на рівні виправлення помилок — скільки «надлишкових» апаратних засобів потрібно, щоб підтримувати одну «чисту» одиницю). Стаття Google стискає першу множину, а стаття Oratomic — другу. Стиснулись і чисельник, і знаменник — добуток різко впав.

Згідно зі статтею, включеною EUROCRYPT 2026, кількість логічних квантових бітів, потрібна для злому 256-бітної еліптичної кривої, зменшилася з 2,330 у 2017 році (за базовою статтею Roetteler та ін.) до 2,124 у 2020 році (за покращеннями Haner), а далі до 1,098 у березні 2026 року. За дев’ять років потреби на рівні алгоритмів скоротилися більш ніж наполовину. Стаття команди Google зробила ще один крок далі: оптимізувала спеціально криву secp256k1, яку використовують біткоїн і Ethereum, втиснувши потрібні логічні біти приблизно до 1,000; глибина схеми — лише близько 1 млрд гейтів Toffoli (згідно з описом Justin Drake, наведеним у CryptoBriefing), а на надпровідній платформі це означає приблизно 1,000 секунд роботи алгоритму Шора.

Тим часом, за даними зі статті Oratomic, на які посилається твітерне зведення, у схемі з нейтральними атомами кількість фізичних бітів, потрібна для кожного логічного біта, скорочується з приблизно 400 у традиційному поверхневому коді до приблизно 10. Цей прорив має принцип, повністю відмінний від підходу Google. Google оптимізує ефективність самого алгоритму, а Oratomic — витрати корекції помилок у базовому апаратному рівні. Обидва покращення можна поєднати.

Два числа перемножуються: оцінка за 2017 рік — приблизно 7 млн фізичних квантових бітів, а оцінка за маршрутом з нейтральними атомами станом на березень 2026 року — приблизно 1 десяток тисяч. Загальна потреба впала з рівня мільйонів до рівня десятків тисяч — зниження більш ніж на два порядки.

Такий ефект від множення породжує дві принципово різні лінії атак.

Згідно з розрахунками в статті, зведеній у твіті, надпровідний маршрут (напрям досліджень Google) потребує приблизно 0.5 млн фізичних квантових бітів і може розкрити один приватний ключ приблизно за 9 хвилин — так швидко, що здатне перехопити транзакцію в режимі реального часу. Маршрут із нейтральними атомами (напрям досліджень Oratomic) потребує лише приблизно 10 тис. фізичних квантових бітів, але час роботи розтягується до приблизно 10 днів. Це не проблема, бо мішенню атаки є «сплячі» гаманці, відкриті ключі яких уже розкриті — і поспіх не потрібен.

Як розуміти різницю? Наразі найпотужніший процесор Willow від Google має 105 надпровідних квантових бітів (згідно зі специфікацією Google Quantum AI) і від порогу 0.5 млн різниця становить приблизно 4,762 рази. Але в галузі нейтральних атомів система відмовостійких обчислень уже досягла близько 500 квантових бітів; від порогу 10 тис. різниця — лише приблизно у 20 разів. Якщо дивитися на масштаб фізичного масиву, а не на відмовостійкість, лабораторії вже «вловили» понад 6,100 атомів, а різниця ще більше звузилася — до менш ніж 2 разів.

20 разів і 4,762 рази — це відстані між двома повністю різними порядками. Маршрут із нейтральними атомами ближчий, ніж більшість людей уявляє.

А от щодо біткоїна становище значно гірше — він іще не готовий зустріти цю зміну.

Згідно з об’єднаним звітом Ark Invest і Unchained, близько 7 млн біткоїнів (приблизно 33% від загальної пропозиції) перебувають під квантовим ризиком, а їхня вартість — близько 440 до 480 млрд доларів. Ці вразливі адреси поділяються на три типи. Близько 1.7 млн монет належать раннім адресам P2PK: відкритий ключ напряму розкритий у ланцюжку, і більшість уже втрачено — ніхто не може виконати міграцію. Близько 1.1 млн монет належить Сатоші Накамото, вони розподілені приблизно між 22 тис. адрес, а ідентичність власника невідома. Решта — близько 4.2 млн — лежать в адресах повторного використання або в адресах P2TR: відкритий ключ теж розкритий, але, в теорії, власник може активно мігрувати на безпечні адреси.

Інакше кажучи, приблизно 2.8 млн біткоїнів (40% від усього вразливого обсягу) без варіантів не врятувати. Їхні приватні ключі або втрачені, або власники ніколи не з’являться. Це не проблема, яку може вирішити якась технічна міра — це проблема управління: чи має спільнота заморозити ці адреси, приречені на розкриття. За повідомленням CoinDesk за лютий, навколо питання про те, чи заморожувати 1.1 млн біткоїнів, що приписують Накамото, в біткоїн-спільноті вже тривають гострі суперечки, і наразі консенсусу немає.

Навіть якщо теоретично пересувними є 4.2 млн, міграція не станеться автоматично. Власникам потрібно вчинити добровільну дію — перенести активи зі старих адрес на адреси, що використовують нову схему підписів, а історичний досвід вказує: велика частина власників не зробить кроки до дедлайну.

Зіткнувшись із однією й тією ж загрозою, три основні публічні мережі різко розходяться у стратегії відповіді.

Згідно з pq.ethereum.org, який Фонд Ethereum запустив 25 березня 2026 року, Ethereum готується вже 8 років і має повну багатостадійну дорожню карту: замінити поточну схему BLS-підписів на хеш-підписи leanXMSS, а ціль — у 2029 році завершити оновлення L1-протоколу. Після того як понад 10 команд клієнтів щотижня запускали тести взаємодії на квантовому devnet, користувачі можуть поступово мігрувати через абстракцію облікового запису без необхідності хардфорку. Google сама також встановила дедлайн — завершити внутрішній постквантовий перехід до 2029 року (за Google Security Blog), і графік Ethereum з ним узгоджується.

Solana має експериментальне рішення. Winternitz Vault, запропонований у грудні 2025 року на GitHub головним науковцем Zeus Network Діном Літтлом, використовує механізм одноразового сховища (once-only) на базі хеш-підписів. Але це опційний варіант: користувачам потрібно самостійно opt-in, і офіційного таймлайну немає.

Становище біткоїна найскладніше. Немає узгодженого рішення, немає спеціальних коштів на рівні фонду, немає таймлайну. Модель управління біткоїна вимагає децентралізованої спільноти, яка має досягти широкого консенсусу, щоб просунути зміни протоколу — а історично ця спільнота відома своєю повільністю. Згідно з доповіддю про квантові загрози у часовій шкалі Global Risk Research Institute за 2026 рік, криптографічно релевантні квантові комп’ютери «дуже ймовірно» з’являться протягом 10 років і «ймовірно» — протягом 15 років. Якщо в Ethereum ціль 2029 реалізують за планом, міграція буде завершена до закриття вікна. На сьогодні біткоїн навіть не перейшов до обговорення — воно лише на ранній стадії.

Дві статті були опубліковані в один день, і проблема, яку довго вважали «далекою загрозою», раптом отримала конкретні цифри: 10 тис. фізичних квантових бітів, 10 днів, приватний ключ «сплячого» гаманця.

Але варто підкреслити: це все ще теоретичний поріг, який суттєво знизився, а не атака, що вже ось-ось станеться. Найсучасніша система з нейтральними атомами все ще має приблизно 20-кратну різницю до 10 тис. відмовостійких квантових бітів, а різниця для надпровідного маршруту — на порядоках у тисячі разів. Вікно на 10–15 років усе ще існує, тож у біткоїн-спільноти немає нульових шансів. Біткоїн у минулому вже проходив через дуже конфронтаційні випробування управління — спір про розмір блоків, активацію SegWit тощо — і зрештою під тиском прийшов до консенсусу. Природа квантової загрози відрізняється від спорів щодо маршруту: вона не зачіпає розбіжності інтересів, а стосується спільного ризику для всієї мережі. Парадоксально, але це може стати зовнішньою силою, яка пришвидшить дії біткоїн-спільноти.

Справжня проблема не в тому, чи зможуть квантові обчислення зламати біткоїн, а в тому, чи зможе біткоїн-спільнота підготуватися до закриття вікна.

Натисніть, щоб дізнатися про вакансії律动BlockBeats

Ласкаво просимо приєднатися до офіційної спільноти 律动 BlockBeats:

Telegram підписний чат: https://t.me/theblockbeats

Telegram група для обговорень: https://t.me/BlockBeats_App

Twitter офіційний акаунт: https://twitter.com/BlockBeatsAsia