Квантовий зворотній відлік Біткоїна — це не питання фізики

Компіляція: Простий блокчейн

Ця стаття обговорює не питання «чи знищить квантовий комп’ютер Біткоїн», а чи зможе спільнота Біткоїна вчасно здійснити оновлення перед реальною загрозою. Автор зазначає, що графік квантових ризиків стискається, і ранні відкриті публічні ключі старих адрес стануть першими мішенями, а справді складним є не сама криптографічна схема, а здатність високосумісної мережі швидко досягти консенсусу щодо міграції.

1200. Це число, яке наведено у білому папері Google Quantum AI у березні 2026 року як ключове.

З оптимізованою реалізацією алгоритму Шора, дослідницька команда показала: злом захисту кожної біткоїн-адреси на основі 256-розрядної еліптичної кривої потребує не більше 1200 логічних квантових біт і менше ніж 50 тисяч фізичних квантових біт. У порівнянні з оцінками п’ятирічної давності, ця цифра зменшилася приблизно у 20 разів.

Офіційна дорожня карта IonQ планує до 2028 року досягти 1600 логічних квантових біт, а до 2030 — 80 000; дорожня карта IBM передбачає, що їх система Blue Jay до 2033 року досягне 2000 логічних квантових біт.

Вікно загрози, вже є дата

Щоб зрозуміти, яку частину Біткоїна квантовий комп’ютер реально може загрожувати, спершу потрібно зрозуміти, на чому базується безпека Біткоїна.

Безпека Біткоїна залежить від двох різних опор. Перша — SHA-256, хеш-функція, яка захищає процес майнінгу та генерацію адрес. Друга — ECDSA, еліптична кривова цифрова підпис, що відповідає за «власність». Коли ви надсилаєте біткоїн, ECDSA генерує цифровий підпис, щоб довести контроль над гаманцем і авторизацію транзакції. Конкретна еліптична крива — secp256k1, яка дозволяє створювати пари ключів. Ваш приватний ключ — випадкове число; публічний — отримується шляхом множення на еліптичну криву приватного ключа — ця обчислювальна операція легко виконується в одному напрямку, але майже неможлива для зворотного відновлення класичним комп’ютером. Саме ця «односторонність» і є основою безпеки власності у Біткоїні.

Квантові обчислення дійсно можуть прискорити деякі пошуки, але їх масштаб недостатній, щоб створити реальну загрозу для систем майнінгу або існуючих гаманців. Майнінг — не проблема.

Різні квантові апаратні підходи наближаються до цієї межі. Часова рамка загрози — більше нижня межа, ніж верхня: якщо будь-який з цих підходів раніше досягне прориву, це ще більше звузить цей вікно.

Розглянемо 10 років. Або й менше.

«Збирати і розшифровувати» вже почалося

Це питання має й іншу версію, і вона не чекає 2029 року.

Національні розвідки сьогодні не потребують квантових комп’ютерів, щоб витягти цінність із транзакцій Біткоїна. Вони просто мають зберігання — і це недорого; і терпіння — а у них його більш ніж достатньо. Стратегія дуже проста: зараз записати зашифровані дані блокчейну, а потім у майбутньому, коли апаратне забезпечення наздожене, розшифрувати їх. У сфері безпеки це називається «Harvest Now, Decrypt Later», скорочено HNDL — «Спочатку збирай, потім розшифровуй». За більшістю оцінок, ця практика вже активно застосовується.

Для більшості транзакцій Біткоїна це швидше незручність, ніж смертельна загроза — оскільки ці дані й так публічні, а Біткоїн ніколи не обіцяв анонімність, лише псевдонімність. Але для приватних застосувань, побудованих на інфраструктурі блокчейна, HNDL становить серйозну загрозу. Чи то конфіденційні транзакції, чи зашифровані міжланцюгові повідомлення — все, що записано сьогодні, може опинитися у «скриньці очікування квантового ключа». Ці системи довгострокової секретності вже фактично ослаблені заздалегідь, незалежно від усвідомлення користувачів.

Ще один менше обговорюваний аспект — кожна непідтверджена транзакція у мемпулі, яка перед підтвердженням транслює свій публічний ключ. У світі з достатньою квантовою потужністю цей «вікно трансляції» — приблизно 10 хвилин, іноді довше — стане вікном атаки. Якщо зловмисник зможе швидше, ніж у момент створення блоку, згенерувати приватний ключ із публічного, він зможе перенаправити транзакцію до підтвердження. Це називається «атака в реальному часі». Це означає, що проблема стосується не лише давно відкритих гаманців, а й кожної активної транзакції, і ризик зростає з появою квантового обладнання, що перевищить цю межу.

Це має дуже серйозні наслідки:## Не всі біткоїни однаково вразливі

Не всі адреси Біткоїна мають однаковий рівень ризику. Ранні адреси типу P2PK, які зберігають публічний ключ у відкритому вигляді, стануть ціллю для майбутніх квантових атак. Нові формати — наприклад, P2WPKH або P2TR — приховують публічний ключ до моменту витрат, зменшуючи вразливе вікно до мінімуму.

Проблема у тому, що багато коштів все ще зберігається на старих адресах.

Це не означає системний крах, а радше цілеспрямований крах. Перша хвиля атак квантовими обчисленнями не вразить випадкових користувачів, а буде цілеспрямовано спрямована на найбільш відкриті адреси. І серед найбільших за обсягом і найретельніше відкритих — ті, що зберігають найбільше коштів, — жоден не вжив заходів.

Що справді складніше за фізику — це управління

Рішення на криптографічному рівні вже існують. Це не ситуація, коли вся індустрія ще чекає на прорив науки. NIST вже у 2024 році офіційно затвердив стандарти постквантової криптографії — CRYSTALS-Dilithium, Falcon, SPHINCS+. Ці алгоритми відкриті, пройшли рецензування і вже доступні. Справжнє питання — чи зможе Біткоїн учасно їх впровадити.

Розмір підписів постквантових алгоритмів значно більший за сучасні підписи Біткоїна, і в деяких схемах може бути у сотні разів більшим. У 2026 році у журналі Journal of the British Blockchain Association (JBBA) опублікували дослідження, яке моделює цю міграцію: пропускна здатність знизиться на 52–57%, комісії зростуть у 2–3 рази, а обсяг зберігання мережі суттєво збільшиться.

Розглянемо структуру управління цим процесом.

Оновлення SegWit у Біткоїні, яке реально покращує продуктивність, потребувало близько двох років і було важким у просуванні у розколотій спільноті. Воно має очевидні, кількісні переваги. Постквантова міграція не має таких переконливих аргументів. Вона вимагає прийняття 57% зниження пропускної здатності, сплати у 2–3 рази більших комісій і ризику тривалих процесів — все заради того, щоб майбутній квантовий комп’ютер не міг зламати підпис, що ще не вийшов з ладу.

На сьогодні спільнота Біткоїна запропонувала дві основні схеми. BIP 360 пропонує через Taproot ввести новий формат адрес, стійкий до квантових атак, виключаючи публічний ключ із шляху витрат, щоб уникнути його відкриття до моменту витрат. BIP 361 йде далі: він передбачає поетапне відмовлення від сучасної системи підписів і остаточне заморожування коштів, що залишилися на незмінених адресах, до завершення міграції власників. За стандартами Біткоїна, це вже досить радикально.

Vitalik Buterin оприлюднив «Квантовий екстрений план», який намагається одночасно вирішити цю проблему на кількох рівнях. Різниця між цими двома підходами не означає критику культури Біткоїна. Для криптовалютного протоколу надзвичайно обережний підхід — цілком логічний. Але коли графік загрози визначається зовнішніми інженерними планами, а не внутрішнім консенсусом, обережність має свою ціну. За оцінками JBBA, для досягнення спільного рішення щодо постквантової міграції може знадобитися 10–15 років; а сама загроза — теж 10–15 років. Це одна й та сама цифра.

У 2025 році повідомлялося, що щонайменше один глобальний інвестиційний фонд уже виключив Біткоїн із рекомендаційних списків через невизначеність щодо його квантової безпеки. Це може бути не останній випадок. Зі зростанням дорожніх карт IBM і IonQ, ця проблема почне ставати офіційною частиною досліджень і перевірок.

Не питання «чи», а «чи встигнемо»

Реальні події будуть більш дрібними і, в певному сенсі, тривожнішими.

Перша хвиля атак спрямована на вже відкриті цілі: друга — психологічна. Цінність Біткоїна ніколи не базувалася лише на технічних характеристиках. Вона ґрунтується на вірі: правила — незмінні, математика — надійна, а цей актив не підконтрольний будь-якому зловмиснику з ресурсами. Якщо новина про прорив у квантових технологіях з’явиться у новинах, ця віра може зазнати серйозного удару, що важко буде швидко відновити. BlackRock і Fidelity створюють ETF на Біткоїн — не через технічні деталі, а через наратив. Цей наратив дуже вразливий і не має прямого відношення до криптографії.

Третя хвиля — це управління. Мій висновок — Біткоїн не зникне до нуля. Але шлях до виживання буде вже, ніж у найзавзятіших прихильників, і вимагатиме більшого зусилля, ніж будь-коли раніше. Фізика дає приблизно до 2033 року. Чи зможе управління йти в ногу з цим — найважливіше питання.

Якщо у вас старий формат гаманця, перевірте, чи вже відкритий публічний ключ. Адреси, що починаються з «1» (P2PK) або «bc1» (P2WPKH/P2TR), приховують публічний ключ до моменту витрат; найстаріший формат — P2PK — назавжди відкриває публічний ключ. Якщо гаманець створений за останні десять років, швидше за все, ви вже використовуєте новий формат; але якщо ви тримаєте біткоїни з давніх часів, краще перевірити особисто. Міграція — це одна транзакція, що коштує кілька комісій, і не вимагає довіри до сторонніх — її можна зробити швидко. Це — зменшення ризиків, але не повне рішення: публічний ключ все одно відкриється при витраті, а підпис — це все ще ECDSA, яка не є квантово-стійкою. Справжня квантова безпечна міграція залежить від впровадження нових адресних форматів, наприклад P2QRH; ці схеми наразі перебувають у стадії BIP-проектів і ще не активовані у мережі.

Якщо ви займаєтеся управлінням цифровими активами професійно, додайте у свою схему ще один пункт: якщо ви працюєте з політикою, зрозумійте: інфраструктура CBDC і цифрових фінансів стикається з однаковими загрозами і тим самим часовим графіком, оскільки вони базуються на тій самій криптографії на основі еліптичних кривих, яку також може зламати алгоритм Шора. Для децентралізованих мереж це ще складніше, оскільки у них немає адміністративної влади. Громадська інфраструктура — не має цього привілею, але й не обов’язково має швидший шлях.

Їхній справжній виклик — швидкість розвитку квантових обчислень і здатність Біткоїна прийняти важкі колективні рішення під тиском, — хто швидше. З більш широкої перспективи ця технологія веде до висновку: у системі, що постійно змінюється під впливом технологічних обмежень, довгострокова стійкість залежить від здатності адаптуватися. Замість уявляти собі вічну стабільність, краще визнати, що система має еволюціонувати разом із ризиками, з якими вона стикається.

Посилання на статтю: https://www.hellobtc.com/kp/du/05/6331.html

Джерело: