Q-Day наближається? Детальний аналіз статті Google про квантові обчислення та потенційні вразливості безпеки Біткоїна

Коли одночасно вживаються два терміни — «квантові обчислення» та «біткоїн» — йдеться не лише про тремтіння в технічній спільноті, а й про глибоке, принципове запитання до фундаменту безпеки найбільшого у світі криптоактиву. Нещодавно одна важлива стаття, опублікована командою Google Quantum AI, вивела цю дискусію на нову вершину. Ключовим висновком роботи є те, що для злому біткоїна, який використовує криптографію еліптичної кривої secp256k1, за допомогою алгоритму Шора потрібні квантові обчислювальні ресурси — зокрема кількість логічних квантових бітів — порівняно з попередньою найкращою оцінкою мають «приблизно один порядок» покращення, а зниження досягає 20 разів. Це не віддалений науково-фантастичний концепт, а повторне калібрування «Q-Day» (того дня, коли квантові комп’ютери матимуть змогу зламати чинні основні криптосистеми), і для всієї індустрії криптовалют це звучить як тривожний дзвін.

Переоцінка квантової загрози

У березні 2026 року, стаття «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities» («Захист еліптичнокривих криптовалют від квантових вразливостей»), опублікована Google Quantum AI разом із кількома інституціями, стала центром уваги в галузі. Дотримуючись принципів відповідального розкриття, робота, використовуючи технологію нульових знань, без оприлюднення деталей атаки, підтвердила назовні, що вони суттєво оптимізували квантову схему для зламу ключової криптографії основних криптовалют, зокрема біткоїна (крива secp256k1).

У статті зазначено, що для зламу 256-бітної проблеми дискретного логарифмування для еліптичної кривої secp256k1 (ECDLP) тепер потрібно лише приблизно 1,200–1,450 логічних квантових бітів і 70,000,000–90,000,000 воріт воріт Toffoli. А в найбільш оптимістичних інженерних припущеннях кількість фізичних квантових бітів, потрібна для виконання цих схем, може бути в межах 500,000. Це число, порівняно з оцінками кількох попередніх досліджень, де йшлося про мільйони фізичних квантових бітів, має суттєве зниження.

Це відкриття означає, що інженерний поріг для створення «криптографічно пов’язаного квантового комп’ютера» (CRQC), який може атакувати біткоїн, знижено, тож таймлайн появи загрози може бути ближчим, ніж багато хто очікує. Хоча стаття підкреслює, що це все ще «теоретичний ризик», вона безпосередньо виводить індустрію з комфортної зони «квантова загроза ще дуже далека» до реального міркування «технологічна еволюція може прискоритися».

Джерело: Google, стаття

Від теорії до наближення траєкторії еволюції

Безпека біткоїна ґрунтується на двох ключових криптографічних припущеннях: по-перше, складності задачі ECDLP, від якої залежить алгоритм цифрового підпису на еліптичних кривих (ECDSA); по-друге, обчислювальній складності хеш-функції SHA-256, від якої залежить Proof-of-Work (PoW). Загроза з боку квантових обчислень в основному спрямована на перше.

• 1994 рік: — математик Peter Shor запропонував квантовий алгоритм (алгоритм Шора, Shor algorithm), який здатен ефективно розв’язувати задачі розкладання великих чисел і дискретного логарифмування; теоретично це проголосило руйнівний для наявних систем відкритого ключа потенціал квантових обчислень.
• 2017 рік — і до сьогодні: — із швидким розвитком квантового обладнання (зокрема надпровідникових квантових бітів) і технологій квантового виправлення помилок кількісні дослідження про те, «коли зламають біткоїн», з’являлися знову і знову. Ранні оцінки зазвичай вимагали мільйонів і навіть десятків мільйонів фізичних квантових бітів.
• 2021–2025 роки: — у науковому середовищі відбуваються постійні прориви в оптимізації алгоритмів і компіляції схем, зокрема застосування «віконного алгоритму», «пакетної обробки за модулем» та інших технік, що поступово знижує потребу в логічних квантових бітах і кількості воріт.
• Березень 2026 року (у межах цієї події): — останні результати команди Google знову суттєво знижують поріг ресурсів, необхідних для ECDLP. У статті також вводиться поняття «швидкого годинника» (наприклад, надпровідники, фотони) та «повільного годинника» (наприклад, іонні пастки, нейтральні атоми) для квантових комп’ютерів; зазначається, що перші можуть виконати виведення приватного ключа за лічені хвилини, а в теорії — мати потенціал реалізувати «атаку під час транзакції».

Квантифікація та класифікація ризикових активів

Стаття надає багато даних, розкриваючи потенційний квантовий ризик-експозиційн у екосистемі біткоїна — і це, мабуть, найвражаюча частина всієї історії.

По-перше, стаття класифікує квантові ризики на основі типів сценаріїв (script) біткоїн-адрес та ситуацій із повторним використанням адрес:

• P2PK (Pay-to-Public-Key): — сценарій, який напряму демонструє публічний ключ. Такі адреси з моменту отримання на них біткоїнів опиняються під загрозою «пасивної атаки». У статті оцінено, що близько 1,700,000 біткоїнів заблоковано в таких сценаріях; це переважно майнінгові нагороди ранньої «епохи Сатоші (Satoshi)», і дуже ймовірно, що приватні ключі вже втрачені, перетворивши ці монети на «сплячі активи», які неможливо переказати.
• P2TR (Pay-to-Taproot): — як новий сценарій, введений під час оновлення Taproot у 2021 році, він хоч і підвищує конфіденційність та гнучкість, але «публічний ключ» напряму записується в блокувальний сценарій, тож він так само стикається з подібними до P2PK статичними ризиками.
• Повторне використання адрес: — навіть адреси P2PKH або P2WPKH, які зазвичай можуть приховувати публічний ключ, якщо користувач уже робив хоча б одну витрату (тобто публічно на ланцюгу розкрив публічний ключ), тоді всі біткоїни, що залишилися на цій адресі, миттєво опиняються під загрозою статичної атаки. У статті, спираючись на аналіз даних, зазначено, що з урахуванням повторного використання адрес, розкриття публічних ключів та інших факторів наразі близько 6,700,000 біткоїнів (приблизно 33% від обсягу циркулюючого постачання) перебувають у теоретичному ризику квантової атаки; з них близько 2,300,000 — це «сплячі активи», які не рухалися понад 5 років.

Розбір позицій у публічному дискурсі: розбіжності й консенсус технічної спільноти

Після виходу статті технічна спільнота, криптовалютна спільнота та академічне середовище швидко сформували кілька різних потоків думок:

• «Погляди сторони терміновості»: — вважають, що це найавторитетніше й найстрогіше попередження про квантову загрозу на сьогодні. Суттєве зниження оцінок ресурсів означає, що «Q-Day» більше не є далеким концептом на десятиліття вперед, а може стати реальним ризиком уже за кілька років (разом із прогресом в інженерії). Вони закликають усі блокчейн-спільноти, які покладаються на ECDLP, негайно почати й прискорити міграцію на постквантову криптографію (PQC).
• «Обережні погляди»: — наголошують на прірві між «логічними квантовими бітами» та «фізичними квантовими бітами» у самій статті. Перетворити 1,200 логічних квантових бітів на 500,000 фізичних квантових бітів із низьким рівнем помилок і забезпечити надійні операції воріт та виправлення помилок — у інженерному плані це все ще супроводжується викликами, які важко оцінити. Вони стверджують, що до появи справжнього «швидкого годинника» CRQC ще є достатньо часу для спостереження й підготовки.
• «Погляди скептиків»: — висловлюють занепокоєння щодо того, як Google-команда опублікувала звіт: через «нульове знання», а не через повне оприлюднення всіх технічних деталей, що зменшує перевірюваність. Також частина думок зазначає, що автори статті можуть мати потенційну фінансову зацікавленість у криптовалютах (наприклад, частина авторів володіє відповідними активами), що здатне вплинути на об’єктивність звіту.

Хоча погляди різні, формується «консенсус»: квантова загроза реальна й неминуче настане. Актуальний предмет дискусії вже не «чи прийде вона», а «коли саме прийде» і «як ми будемо відповідати».

Аналіз впливу для галузі: від безпеки активів до еволюції екосистеми

Ця подія впливає далеко не лише на біткоїн.

• Вплив на криптоактиви: — найпряміший наслідок полягає в тому, що майорова «якірна цінність» приблизно 6,700,000 біткоїнів — тобто визначеність принципу «маєш приватний ключ — маєш актив» — стикається з викликом майбутніх технологій. Це може вплинути не тільки на їхню довгострокову цінність, а й додати ринку новий фактор невизначеності: технічний ризик (квантовий) ставатиме співставним із традиційними ринковими та політичними ризиками.
• Вплив на структуру екосистеми: — у статті зазначено, що через модель облікових записів, смартконтракти та залежність Proof-of-Stake консенсусу від BLS-підписів і зобов’язань KZG, квантова поверхня ризиків у Ethereum суттєво перевищує таку в біткоїна. Це може призвести до зміни конкурентоспроможності різних публічних мереж (наприклад, Solana, Algorand, XRP Ledger тощо — ті, які вже почали експерименти з PQC) у хвилі міграцій на PQC. Публічні мережі з чіткою PQC-картою доріг або вже з наявними «антиквантовими» можливостями можуть у майбутньому притягнути більше уваги та капіталу.
• Вплив на технічну еволюцію: — індустрія неминуче прискорить дослідження та впровадження PQC. Післяквантові підписи, які вже стандартизував NIST (ML-DSA — колишній Crystals-Dilithium, SLH-DSA — колишній SPHINCS+), а також хеш-орієнтовані схеми нульових знань (zk-STARKs), перейдуть у більш практичну стадію розгортання. М’які/жорсткі форки на рівні публічних мереж, оновлення гаманців і міграція активів стануть системним проєктом, що може тривати від кількох років до навіть десятка років.

Програвання еволюції в кількох сценаріях: можливі шляхи майбутнього

Перед обличчям повільної, але неминучої технологічної хвилі можливі різні сценарії:

Підсумок

Ця стаття Google — якщо не говорити про останній технічний вирок, — радше є «медичним оглядом ризиків» для всієї індустрії, виконаним на основі строгого математичного та інженерного аналізу. Вона ясно показує нам, що світ криптоактивів, які покладаються на ECDLP, стоїть на роздоріжжі між сьогоднішнім днем, де панують класичні комп’ютери, і майбутнім, яке визначатимуть квантові комп’ютери. Теоретичний ризик у 6.7M біткоїнів — це величезне число, але воно більше схоже на детонатор: вибухає не лише про обчислювальні можливості, а на великий комплекс обговорень щодо швидкості технологічних ітерацій, визначення безпеки активів, мудрості управління спільнотою та здатності політичної відповіді. Для всіх учасників криптоіндустрії найважливішим, можливо, є не прогноз точного дня, коли прийдуть квантові обчислення, а почати розуміти, обговорювати й підтримувати еволюцію блокчейн-екосистеми в напрямку «постквантової епохи». Це естафета, що стосується основ довіри до цифрового світу на десятки років уперед; і ось, стартовий постріл уже пролунало.