Чи вбиває квантові обчислення біткоїн та майнінг? Чи це перебільшення?

2026 рік 31 березня, підрозділ Google Quantum AI опублікував широко обговорюваний білий документ, у якому стверджується, що майбутні квантові комп’ютери зможуть зламати криптографію біткойна з ресурсами, необхідними раніше, приблизно у 20 разів менше. Це дослідження швидко викликало обговорення у галузі, і заголовки на кшталт «Квантовий комп’ютер за 9 хвилин зламати біткойн» почали поширюватися на ринку. Але чесно кажучи, такі панічні настрої з’являються щороку один-два рази, просто цього разу, через зв’язки з Google, вони звучать особливо вражаюче.

Ми систематично проаналізували цей 57-сторінковий документ та кілька ключових досліджень, опублікованих одночасно, щоб розібратися у правдивості заяв та реальній ймовірності, наскільки розвиток квантових обчислень справді впливає на криптовалюти та майнінг, які ризики зараз існують, і чи справді вони вже на порозі.

Переоцінка технічних ризиків

Зазвичай безпека біткойна базується на односторонніх математичних зв’язках. При створенні гаманця генерується приватний ключ, а публічний ключ виводиться з нього. При використанні біткойна користувачі повинні довести, що володіють приватним ключем, але не розкривають його безпосередньо, а створюють криптографічний підпис, який може перевірити мережа. Ця система є безпечною, оскільки сучасні комп’ютери потребують мільярдів років, щоб зворотно вирахувати приватний ключ із публічного, тобто зламати алгоритм цифрового підпису на основі еліптичних кривих (ECDSA) — час, що значно перевищує можливий у реальності. Тому блокчейн з криптографічної точки зору вважається неможливим для зламу.

Але з появою квантових комп’ютерів ця логіка порушується. Вони працюють інакше: замість перевірки кожного ключа окремо, вони одночасно досліджують усі можливості, використовуючи квантові інтерференційні ефекти, щоб знайти правильний ключ. Наприклад, звичайний комп’ютер — це людина у темній кімнаті, яка пробує ключі по одному, а квантовий — це кілька універсальних ключів, які можуть одночасно підходити до всіх замків і швидше наближатися до правильного. Якщо квантовий комп’ютер стане достатньо потужним, зловмисник зможе швидко вирахувати приватний ключ із відкритого, що дозволить підробляти транзакції і переводити біткойни на свій рахунок. Оскільки транзакції у блокчейні незворотні, повернути вкрадені активи буде дуже важко.

31 березня 2026 року Google Quantum AI у співпраці з Стенфордським університетом та Фондом Ethereum опублікували довгий білий документ — 57 сторінок. Основна його мета — оцінити, наскільки квантові обчислення загрожують алгоритму цифрового підпису на основі еліптичних кривих (ECDSA). Більшість блокчейнів і криптовалют захищені за допомогою 256-бітної еліптичної кривої, заснованої на задачі дискретного логарифму (ECDLP-256). Дослідники виявили, що ресурси, необхідні для зламу ECDLP-256 за допомогою квантових алгоритмів, вже значно зменшилися.

Вони розробили квантову схему, яка виконує алгоритм Шора для зворотного виведення приватного ключа з публічного, і ця схема працює на спеціалізованих квантових комп’ютерах — надпровідних архітектурах. Це сучасна технологія, яку розвивають компанії Google, IBM та інші, і яка характеризується високою швидкодією, але вимагає дуже низьких температур для стабільної роботи квантових бітів. За припущенням, якщо апаратне забезпечення відповідатиме стандартам флагманського процесора Google, така атака може бути завершена за кілька хвилин із використанням менше ніж 500 000 фізичних квантових бітів. Це у 20 разів менше, ніж раніше оцінювалося.

Щоб краще оцінити цю загрозу, дослідники провели симуляцію зламу. Вони змоделювали роботу цієї схеми у реальних умовах біткойн-транзакцій і виявили, що теоретична квантова машина зможе за приблизно 9 хвилин зламати відкритий публічний ключ і отримати приватний з ймовірністю близько 41%. А середній час створення блоку у біткойна — 10 хвилин. Це означає, що понад 32-35% активів у біткойнах вже зараз під ризиком, оскільки їхні публічні ключі вже опубліковані у мережі, і зловмисник може їх зламати до підтвердження транзакції. Крім того, зловмисник може перехопити транзакцію ще до її підтвердження і вкрасти кошти. Хоча наразі такі квантові комп’ютери ще не існують, ця знахідка переводить квантову атаку з «статичного» збору активів у «реальний» перехоплюючий сценарій, що викликає значну тривогу.

У той же час Google повідомила, що внутрішній дедлайн для переходу на постквантову криптографію (PQC) — 2029 рік. Це означає, що всі системи, які зараз використовують RSA або еліптичні криві, мають бути замінені на алгоритми, стійкі до квантових атак. До цього часу, за планами NIST, планувалося відмовитися від старих алгоритмів до 2030 року і повністю їх заборонити до 2035-го. Більшість у галузі вважали, що на підготовку залишиться ще близько десяти років. Але враховуючи останні досягнення Google у квантовій апаратурі, корекції помилок і ресурсах для факторизації, компанія вирішила прискорити цей процес і поставила дедлайн на 2029 рік. Це фактично скорочує час підготовки для всієї індустрії і посилає сигнал: прогрес у квантових обчисленнях швидший, ніж очікувалося, і безпека потрібно оновлювати раніше. Це важливий крок, але у медіа його поширення викликало і паніку.

Чи потрібно хвилюватися?

1. Чи зможе квантовий комп’ютер зробити всю мережу біткойна недієздатною?

Загроза є, але вона зосереджена на рівні цифрових підписів. Сам блокчейн і майнінг не постраждають безпосередньо. Квантові обчислення впливають на криптографію підписів. Кожна транзакція у біткойні підписується приватним ключем, щоб підтвердити право власності. Мережа перевіряє правильність підпису. Потенційна здатність квантового комп’ютера — зворотно вирахувати приватний ключ із відкритого, що дозволить підробляти підписи.

Це створює два реальні ризики. Перший — під час транзакції: якщо ви ініціюєте транзакцію, і вона ще не підтверджена у блоці, зловмисник може її перехопити і замінити (атака «on-spend»). Другий — для адрес, у яких публічний ключ вже був опублікований раніше, наприклад, давно не використовувані або повторно використані адреси. У цьому випадку злом можливий довше і простіше.

Але важливо підкреслити, що ці ризики актуальні лише у короткий час — коли ви ініціюєте транзакцію або для адрес, у яких публічний ключ вже був оприлюднений. Це не означає, що вся система миттєво зламається.

2. Чи настане ця загроза так швидко?

«9 хвилин зламу» базується на припущенні, що вже створена квантова машина з 50 тисячами фізичних квантових бітів із помилками. Наразі найпотужніший чіп Google Willow має 105 фізичних бітів, IBM — близько 1121, а для зламу потрібно понад 500 тисяч. За оцінками дослідника Ethereum Justin Drake, ймовірність появи квантового зломщика до 2032 року — лише 10%. Тобто це не зараз, але й не ігнорувати.

3. Яка найбільша загроза від квантових обчислень?

Біткойн — це лише один із систем, які під загрозою. Вони найпростіше і найвидніше для громадськості, але не єдині. Вся інфраструктура, що базується на публічних ключах — банківські системи, урядові комунікації, електронна пошта, підписані програми, системи ідентифікації — також під удар. Це причина, чому Google, NSA і NIST вже понад десять років просувають перехід на постквантову криптографію. Якщо з’явиться квантовий комп’ютер із реальною здатністю атакувати, постраждає не лише криптовалюта, а вся цифрова довіра у світі. Це системне оновлення, яке стосується всього цифрового простору.

Міфи про квантовий майнінг і його реальність

У той самий день, коли Google опублікувала дослідження, компанія BTQ Technologies випустила статтю «Квантові обчислення за шкалою Кардашева для майнінгу біткойна», у якій з фізичної та економічної точок зору оцінюється можливість квантового майнінгу. Автори — Pierre-Luc Dallaire-Demers — змоделювали всі етапи технологій, необхідних для майнінгу за допомогою квантових комп’ютерів, і підрахували реальні витрати.

Результати показали, що навіть за найоптимістичнішими припущеннями, для майнінгу потрібні приблизно 10⁸ фізичних квантових бітів і 10⁴ мегаватів потужності — що відповідає енергетичному споживанню великої країни. За поточних труднощів у мережі біткойна (загальна складність з січня 2025 року) потрібно вже 10²³ фізичних бітів і 10²⁵ ватів — майже енергія однієї зірки. Водночас, поточне споживання мережі — близько 13-25 гігават — набагато менше.

Дослідники також зазначили, що теоретична перевага алгоритму Гора (Grover) у прискоренні не працює на практиці через накладні витрати, і тому квантовий майнінг у реальності — нереалістичний.

Google не є єдиною компанією, яка досліджує цю тему. Coinbase, Ethereum Foundation і Stanford Blockchain Research вже працюють у цьому напрямку. За словами дослідника Ethereum Justin Drake, «до 2032 року ймовірність зламу secp256k1 ECDSA з відкритих ключів — щонайменше 10%. Хоча до 2030 року з’явиться квантовий комп’ютер із криптографічною здатністю, це все ще здається малоймовірним, але вже час готуватися».

Отже, наразі не потрібно панікувати щодо руйнівного впливу квантових комп’ютерів на майнінг, оскільки ресурси, необхідні для цього, — надто великі для будь-яких раціональних економічних рішень. Ніхто не витратить стільки енергії, щоб зламати 3,125 біткойна у блоці.

Криптовалюти не зникнуть, але їм потрібне оновлення

Якщо квантові обчислення поставили питання, то відповідь у галузі вже є — це «постквантова криптографія» (Post-Quantum Cryptography, PQC), алгоритми, стійкі до квантових атак. Технічні рішення включають запровадження квантовитривалих підписів, оптимізацію адресної структури для зменшення публічних ключів, а також поступове оновлення протоколів. Зараз NIST вже стандартизує постквантові алгоритми, зокрема ML-DSA (базований на модульних решітках цифровий підпис, FIPS 204) і SLH-DSA (на основі хешування, безстанційний підпис, FIPS 205).

На рівні біткойна вже внесено пропозицію BIP 360 (Pay-to-Merkle-Root, P2MR), яка була офіційно включена до стандартів на початку 2026 року. Вона базується на проблемі, що виникла з оновленням Taproot у 2021 році. Taproot покликаний підвищити приватність і ефективність, але функція «ключовий шлях витрат» у транзакціях може розкривати публічний ключ, що потенційно стає ціллю для квантових атак. BIP 360 пропонує прибрати цю функцію, щоб зменшити ризики ще на рівні протоколу.

Для криптовалютної індустрії це означає, що оновлення блокчейну вимагає узгоджених дій — оновлення протоколів, інфраструктури гаманців, адресних схем, а також узгодження з користувачами, біржами і сервісами. Це складний процес, але вже є консенсус щодо необхідності і напрямків. Залишається лише реалізувати і дотримуватися графіка.

Загалом, заголовки звучать страшно, але реальність не така термінова

Після детального аналізу цих нових досліджень стає зрозуміло, що ситуація не така катастрофічна. Дослідження квантових обчислень дійсно прискорюється, але у нас ще є достатньо часу для реагування. Сучасний біткойн — це не статична система, а динамічна мережа, яка за останні десять років постійно еволюціонувала: від скриптів до Taproot, від приватності до масштабування. Вона постійно шукає баланс між безпекою і ефективністю.

Загроза квантових обчислень — це, можливо, лише причина для чергового оновлення. Час тикає. Добре, що ми чуємо цей голос і маємо час на реакцію. У світі, де обчислювальні можливості зростають, важливо тримати довіру до криптосистем у курсі технологічних викликів і бути готовими до їхнього подолання.