Квантові обчислення зламують біткоїн? У білому папері Google 2026 року розкривається ризик 6,9 мільйонів BTC

2026 年 3 月 31 日, команда Google Quantum AI опублікувала дуже помітний білий папір, оновивши технічну оцінку загрози, яку квантові комп’ютери становлять для криптоактивів. Цей звіт, спільно написаний віцепрезидентом Google Research з Hartmut Neven та керівником досліджень з квантових алгоритмів Ryan Babbush, розкриває за допомогою технології нульових знань (zero-knowledge proofs) найновіші оцінки ресурсів квантових атак і чітко спрямовує часову шкалу загрози на 2029 рік. У білому папері зазначено, що майбутні квантові комп’ютери з криптографічним значенням (CRQC) можуть вимагати лише менше 500,000 фізичних квантових бітів, щоб за лічені хвилини зламати алгоритм еліптичної кривої (ECDSA), який забезпечує безпеку Bitcoin та Ethereum. Цей висновок швидко спричинив тремтіння в індустрії: ринок почав по-новому оцінювати вразливість криптоактивів у контексті квантової епохи.

9-хвилинна загроза та 6.9 мільйона BTC: ключові факти білого паперу

У білому папері Google вперше публічно представила власне рішення для оптимізації квантового ланцюга (quantum circuit) зламу задачі дискретного логарифма 256-бітної еліптичної кривої (ECDLP-256). Дослідження показало, що кількість логічних квантових бітів, необхідних для реалізації цієї атаки, скоротилась із тисячі (як у попередніх оцінках) до 1,200–1,450, а кількість вентилів Toffoli (базові елементарні операції у квантових обчисленнях) становить приблизно від 70,000,000 до 90,000,000. Виходячи зі швидкості розвитку сучасних надпровідних квантових процесорів, Google очікує, що побудова CRQC із близько 500,000 фізичних квантових бітів дозволить виконати злам ECDLP-256 за кілька хвилин.

Білий папір особливо підкреслює дві ключові загрози для мережі біткоїна: по-перше, прямий розлом приватних ключів для незадіяних адрес публічного ключа за допомогою алгоритму Shor; ця частина в основному стосується «сплячих адрес», які довго не використовувалися, включно приблизно з 1.1 мільйона BTC, які, ймовірно, належать Сатоші Накамото; по-друге, атаки «перехоплення» (hijacking) на транзакції, що перебувають у дорозі, тобто використання приблизно 9-хвилинного вікна від моменту трансляції транзакції до її пакування в блок: зловмисник може швидко вивести приватний ключ ініціатора транзакції та підмінити цільову адресу транзакції. Google оцінює, що сумарна кількість BTC, яка наразі піддається таким ризикам у мережі біткоїна, сягає 6.9 мільйона монет, а за поточними ринковими цінами перевищує 47 мільярдів доларів США.

Щодо екосистеми Ethereum, у білому папері зазначено, що складна логіка виконання транзакцій на платформі смартконтрактів та механізми взаємодії з Layer 2 можуть спричинити п’ять шляхів квантових атак, включно з (але не обмежуючись) викраденням приватних ключів валідаторів, підробкою ретрансляційних підписів у кросчейн-мостах та повторними атаками підписів у історичних станах. Google застерігає, що ці шляхи атак можуть поставити під ризик понад 100 мільярдів доларів США заблокованих активів в ланцюгу Ethereum.

Від алгоритму Shor до часової шкали 2029: еволюційний шлях квантової загрози

Загроза для криптографії з відкритими ключами з боку квантових обчислень не є новою темою. Ще в 1994 році математик Peter Shor запропонував алгоритм Shor, довівши, що квантовий комп’ютер може ефективно розв’язувати задачі розкладання великих чисел на множники та дискретного логарифмування. У 2016 році, після офіційного запуску Національним інститутом стандартів і технологій США (NIST) проєкту стандартизації постквантової криптографії (PQC), Google також розпочала роботу з переходу на постквантове шифрування в тому ж році.

У 2024 році NIST опублікував першу добірку стандартів постквантового шифрування, що ознаменувало перехід PQC від академічних досліджень до інженерних прикладних застосувань. Протягом цього періоду Google безперервно брала участь у розробці галузевих стандартів та у 2025 році запропонувала власну внутрішню часову шкалу переходу, плануючи завершити ключовий перехід інфраструктури на PQC до 2029 року. Цей білий папір 2026 року можна розглядати як продовження зазначеної часової шкали та як посилене застереження щодо ризиків. У білому папері прямо сказано, що Google співпрацює з такими організаціями, як Coinbase, Stanford Blockchain Research Center та Ethereum Foundation, щоб просувати фреймворк відповідального розкриття (responsible disclosure) і плани переходу галузі.

Ключова часова шкала така:

Правда про 1,200 квантових бітів

Ключові дані білого паперу базуються на оптимізації двох критично важливих змінних: кількості логічних квантових бітів і кількості вентилів Toffoli. Дослідницька команда, компілюючи дві різні групи квантових схем, реалізувала два варіанти атак: 1,200 логічних квантових бітів + 90,000,000 Toffoli-вентилів та 1,450 логічних квантових бітів + 70,000,000 Toffoli-вентилів. Порівняно з поширеними оцінками галузі у 2024 році — 20,000–30,000 логічних квантових бітів — нові результати Google стискають необхідні ресурси майже в 20 разів.

З погляду фізичної реалізації Google прогнозує на основі параметрів продуктивності власного флагманського квантового процесора. За припущенням, що кожен логічний квантовий біт складається приблизно з 400 фізичних квантових бітів (з урахуванням витрат на квантову корекцію помилок), то 1,200 логічних квантових бітів відповідають загальній кількості фізичних квантових бітів близько 480,000. З огляду на те, що квантове обладнання щороку розширюється приблизно у 1.5–2 рази, Google вважає, що досягнення такого фізичного масштабу до 2029 року або близько того є доволі здійсненним.

На основі Gate 行情 даних станом на 1 квітня 2026 року ціна Bitcoin (BTC) становить $68,201.5, обсяг торгів за 24 год — $821.63M, ринкова капіталізація — $1.41T, частка ринку — 55.68%. Ціна Ethereum (ETH) становить $2,103.61, обсяг торгів за 24 год — $407.98M, ринкова капіталізація — $249.77B, частка ринку — 10.08%. Якщо ризики, про які йдеться в білому папері, стануть реальністю, то за оцінками за поточними цінами лише вразливі 6.9 мільйона BTC матимуть ринкову вартість понад 47 мільярдів доларів США; а ризик активів вартістю 10 мільярдів доларів США для Ethereum перевищить 40% від його поточної загальної ринкової капіталізації.

Розділені голоси ринку: від паніки до раціональності

Після публікації білого паперу в індустрії та поза її межами сформувалися помітно різні основні погляди та суперечки.

Прихильники (представлені Google, частиною академічних установ і спільнотою дослідників безпеки) вважають, що відповідальне розкриття точних потреб ресурсів для квантової загрози є необхідним кроком для стимулювання оновлення в галузі. Google, використовуючи технологію нульових знань, перевіряє здійсненність атаки, але не розкриває конкретні конструкції схем; це розглядають як нову модель розкриття, що поєднує прозорість і безпеку. У білому папері прямо названі партнери, зокрема Coinbase, Stanford Blockchain Research Center та Ethereum Foundation, що свідчить: частина провідних учасників галузі визнала й долучилася до цього механізму попередження про ризики.

Критики та сумнівані зосереджуються на трьох аспектах: реальність того, наскільки терміновою є загроза, потенційні ринкові збурення через спосіб розкриття, а також здатність чинної архітектури блокчейну протистояти атакам. Деякі учасники криптоспільноти зазначають, що хоча білий папір і стверджує «відповідальне розкриття», спосіб публікації все одно неминуче викликає дискусії панічного характеру, що може слугувати нетехнічною атакою на довіру до криптоактивів. Крім того, розробники Bitcoin core підкреслюють, що навіть якщо квантові атаки технічно стануть можливими, мережа Bitcoin не буде позбавлена оборони; наприклад, хоча апгрейд Taproot у певних сценаріях може збільшити поверхню атаки, водночас він створює основу для впровадження більш гнучких скриптів і схем підпису.

Три зрізи одного білого паперу

Розбираючи білий папір Google, потрібно чітко відрізняти факти, думки та припущення у трьох площинах.

Google дійсно опублікувала цей білий папір, який містить конкретні дані компіляції квантових схем (1,200 логічних квантових бітів, 70,000,000 Toffoli-вентилів тощо). Ці дані верифіковані за допомогою нульових знань і мають верифікованість. Google запропонувала часову шкалу міграції на 2029 рік і існує факт партнерства з відповідними організаціями, включно з Ethereum Foundation. У білому папері прямо зазначено технічне судження про те, що апгрейд Bitcoin Taproot може збільшити поверхню атаки.

Фрази в білому папері про те, що «квантові обчислення можуть припинити Bitcoin раніше, ніж очікувалося», є оціночними висновками дослідницької команди. Його оцінка ризику для 6.9 мільйона BTC ґрунтується на припущенні, що «всі адреси, які довго не переміщувалися, не застосовували жодного захисту», і це припущення не є абсолютно істинним у реальній мережі. Аналогічно, застереження про п’ять шляхів атак Ethereum базуються на припущенні, що атакувальник уже має можливість використовувати CRQC.

Здійсненність того, що квантовий комп’ютер досягне масштабу, зазначеного в білому папері, у 2029 році, — це екстраполяція, що спирається на темпи розвитку сучасного обладнання. Чи зможе кількість фізичних квантових бітів за три роки зрости з нинішніх кількох сотень до 500,000, залежить від низки технологічних проривів у галузі квантової корекції помилок і виробництва обладнання; це має дуже високу невизначеність.

Крім того, вартий порівняння наратив походить із висловлювання Сатоші Накамото на форумі у 2010 році. Тоді, стикаючись із подібними дискусіями про технічну еволюцію, Накамото зазначив: «Якщо SHA-256 буде повністю зламано, я думаю, ми можемо досягти консенсусу, відкотити блокчейн до певного відомого доброго стану і з того місця продовжити». Ця думка перегукується з наративом у сучасній індустрії про «те, що криптографія завжди легша для зламу, ніж для атак», тобто що здатність криптоактивів еволюціонувати є частиною їхньої моделі безпеки.

Від бірж до самостійного зберігання: перебудова індустрії в постквантовому часі

Публікація білого паперу Google вплинула на криптоіндустрію суттєво у трьох вимірах.

По-перше, вона прискорила перехід постквантової криптографії з теорії до інженерної реалізації. З моменту публікації NIST стандартів PQC у 2024 році деякі нові публічні ланцюги (public chain) та проєкти Layer 2 уже почали тестувати підписні схеми PQC, такі як Falcon, Dilithium тощо. Після виходу білого паперу обговорення «графіка міграції PQC» поширилося з академічних кіл на біржі, постачальників гаманців і операторів майнінгових пулів. Для великих бірж питання про те, як за умови гарантування безпеки наявних активів спроєктувати систему адрес для депозитів/виводів, сумісну з PQC, стало технічним завданням, яке потрібно вирішити впродовж найближчих двох років.

По-друге, вона висунула чіткі вимоги до оновлення для користувачів із самостійним зберіганням та для старих проєктів. Ризик 6.9 мільйона BTC, розкритий у білому папері, насамперед стосується двох типів адрес: «сплячих адрес», які довго не рухалися, та UTXO, пов’язаних із використаними адресами з публічним ключем (наприклад, Legacy P2PK формату). Це означає: будь-який користувач із самостійним зберіганням, який і далі використовує неоновлені формати адрес, або тривало тримає активи, що не переміщуються, розширює свій ризиковий периметр із плином часу. Для смартконтрактних проєктів, розгорнутих до 2017 року, якщо логіка верифікації підписів не залишила простору для оновлення, може виникнути ризик перманентної «блокировки» безпеки.

По-третє, вона спровокувала переосмислення механізмів керування активами в ланцюгу. Якщо квантові атаки стануть реальністю, то як швидко заморожувати вкрадені активи, як узгодити завершення PQC софтфорку всіма вузлами мережі та як обробляти непереміщувані активи в ранніх адресах, таких як адреси Сатоші, — поза межами цих технічних питань соціальна координація стане новим викликом для індустрії.

Три майбутні сценарії: програвання ситуацій у квантову епоху

Спираючись на поточну швидкість технічного розвитку та здатність індустрії реагувати, можна змоделювати три можливі шляхи еволюції.

Сценарій один: оптимістичний сценарій (міграція на PQC випереджає квантові атаки). У цьому випадку основні публічні ланцюги, біржі та провайдери гаманців завершують оновлення PQC до 2028 року, а адреси основних активів повністю мігрують до схем підпису, стійких до квантових атак. Хоча квантові комп’ютери здатні до зламу приблизно в 2029 році, у цей момент мережа вже не має придатної для використання поверхні атаки. Реалізація цього сценарію залежить від швидкого згуртування індустрійного консенсусу та достатнього залучення ресурсів для інженерної розробки.

Сценарій два: песимістичний сценарій (квантові атаки випереджають оновлення індустрії). Швидкість розвитку квантового обладнання перевищує очікування, і поки індустрія ще не завершила міграцію на PQC, атакувальники вже мають здатність реалізувати злам. У такому разі мережі Bitcoin і Ethereum зіткнуться з ризиками масового витоку приватних ключів; довіра ринку зруйнується, а вартість активів різко впаде. За цього сценарію індустрія може бути змушена вдатися до крайніх методів, наприклад, через примусовий соціальний консенсус заморожувати вразливі адреси, відкотити транзакції або навіть запустити новий ланцюг.

Сценарій три: найбільш імовірний сценарій (поетапне оновлення та співіснування локальних ризиків). Індустрія завершить міграцію основних форматів адрес на PQC у період 2028–2030 років, але значна частина активів із довгим хвостом (long tail), старі проєкти та самостійно керовані адреси, які не оновилися за власною ініціативою, все ще залишатимуться в зоні ризику. Реальне застосування квантових обчислень почнеться з локальних атак: атакувальники можуть спершу обирати адреси з максимально зосередженою цінністю та слабким захистом для пілотних атак. У цьому сценарії фокус керування ризиками зміститься з «єдиного оновлення для всієї індустрії» до «захисту пріоритетних критичних активів».

Висновок

Квантовий AI-білий папір Google за 2026 рік — це не пророцтво про кінець криптовсесвіту, а попередження про технічні ризики, точність якого зростає. Він переводить квантові атаки з «далекої теоретичної загрози» в «піддаване кількісній оцінці інженерне завдання», надаючи індустрії цінне вікно часу для оновлення. Незалежно від потенціалу оновлення Bitcoin Taproot чи гнучкої архітектури смартконтрактів Ethereum — усе це створює технічну основу для впровадження постквантової криптографії. Для кожного учасника криптоекосистеми розуміння суті квантової загрози, оцінка власного ризикового периметра для активів і проактивне відстеження процесу міграції на PQC стануть ключовими питаннями для захисту безпеки цифрових активів у найближчі роки. Історія еволюції криптографічних технологій неодноразово доводила: справжня безпека не виникає через ігнорування загроз — вона виникає завдяки адекватному передбаченню викликів і системному реагуванню.