Google Quantum AI whitepaper published z 30 marca 2026 r. identyfikuje około 6,9 mln Bitcoinów (BTC) — czyli około jedną trzecią całkowitej podaży — znajdujących się na adresach podatnych na kwantowe ataki „w spoczynku”, w tym szacowane 1,1 mln monet powiązanych z pseudonimowym twórcą sieci, Satoshim Nakamoto.
TL;DR
- Quantum AI Google ustaliło, że złamanie 256‑bitowej kryptografii eliptycznej Bitcoina może wymagać mniej niż 500 000 fizycznych kubitów — to 20‑krotne zmniejszenie w stosunku do wcześniejszych szacunków.
- Około 6,9 mln BTC znajduje się na typach adresów, gdzie klucze publiczne są trwale odsłonięte, co czyni je celami przyszłych kwantowych ataków „w spoczynku”.
- Adresy P2PK z epoki Satoshiego nie mogą zostać zaktualizowane przez nikogo, co rodzi trudne pytania dotyczące zarządzania: czy zamrozić uśpione monety, czy pozostawić je narażone.
Co tak naprawdę mówi whitepaper Google
Artykuł ma długi tytuł: „Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.” runs na 57 stron i stanowi najbardziej szczegółową ocenę zagrożeń kwantowo‑kryptograficznych, jaką kiedykolwiek przygotowała duża firma technologiczna.
Sześciu badaczy Google Quantum AI — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar i Hartmut Neven — jest współautorami pracy. Zewnętrzni współpracownicy to m.in. Thiago Bergamaschi z UC Berkeley, Justin Drake z Ethereum Foundation oraz Dan Boneh ze Stanforda.
Główne osiągnięcie techniczne to para zoptymalizowanych obwodów kwantowych, które implement algorytm Shora dla problemu logarytmu dyskretnego na krzywych eliptycznych (ECDLP) na krzywych 256‑bitowych.
To dokładnie ten prymityw kryptograficzny, który zabezpiecza Bitcoina.
Jeden z obwodów wykorzystuje mniej niż 1200 logicznych kubitów i 90 mln bramek Toffoliego. Drugi używa mniej niż 1450 logicznych kubitów i 70 mln bramek Toffoliego.
Google szacuje, że te obwody mogłyby działać na nadprzewodzącym komputerze kwantowym z mniej niż 500 000 fizycznymi kubitami i wykonać atak w ciągu kilku minut. Poprzednie szacunki wymagały drastycznie większych zasobów sprzętowych. Powszechnie cytowana praca z 2022 r. z University of Sussex projected 317 mln fizycznych kubitów dla ataku trwającego godzinę i 1,9 mld dla okna dziesięciominutowego. Wynik Google zmniejsza ten wymóg mniej więcej 20‑krotnie.
W nietypowym jak na pracę dotyczącą szacowania zasobów kroku Google wstrzymało się z opublikowaniem rzeczywistych implementacji obwodów. Zamiast tego opublikowano dowód o zerowej wiedzy z wykorzystaniem SP1 i SNARK Groth16. Niezależni badacze mogą zweryfikować twierdzenia bez dostępu do samych szczegółów ataku.
To builds na wcześniejszych kamieniach milowych Google w dziedzinie komputerów kwantowych.
Układ Willow, ogłoszony w grudniu 2024 r. i opublikowany w Nature, zademonstrował 105 nadprzewodzących kubitów z pierwszą „poniżej progu” korekcją błędów kwantowych na nadprzewodzącym procesorze. Współczynniki błędów spadały o połowę na każdym etapie, od siatki 3x3 przez 5x5 do 7x7 kubitów. Willow wykonał benchmark w mniej niż pięć minut, który na superkomputerze Frontier zająłby szacunkowo 10 septylionów lat.
Mimo to Google jasno podkreśliło, że Willow nie stanowi dziś zagrożenia kryptograficznego.
Charina Chou, dyrektorka operacyjna Google Quantum AI, powiedziała The Verge w grudniu 2024 r., że ten układ nie jest w stanie złamać współczesnej kryptografii i że do złamania RSA potrzeba byłoby około 4 mln fizycznych kubitów.
Also Read: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Dlaczego monety Satoshiego są najbardziej narażone
Podatność, którą analizuje Google, wynika z decyzji projektowej podjętej w pierwszych dniach Bitcoina. Kiedy Satoshi Nakamoto uruchomił sieć 3 stycznia 2009 r., oprogramowanie górnicze wysyłało nagrody blokowe na wyjścia P2PK (Pay‑to‑Public‑Key). W tym formacie pełny klucz publiczny jest na zawsze widoczny w łańcuchu bloków od chwili, gdy monety trafiają na adres.
Skrypt blokujący to po prostu klucz publiczny, po którym następuje instrukcja OP_CHECKSIG. Oznacza to, że nieskompresowany 65‑bajtowy lub skompresowany 33‑bajtowy klucz publiczny jest ujawniony każdemu, kto odczytuje łańcuch.
Nie ma warstwy haszującej, która by go chroniła.
Satoshi implemented również P2PKH (Pay‑to‑Public‑Key‑Hash), który przechowuje jedynie skrót klucza publicznego. Adresy P2PKH — te dobrze znane, zaczynające się od „1” — pojawiły się na łańcuchu bloków w ciągu dwóch tygodni od bloku genezy.
Był to świadomy projekt. Satoshi zdawał sobie sprawę, że kryptografia krzywych eliptycznych może ulec zmodyfikowanej wersji algorytmu Shora uruchomionej na przyszłym komputerze kwantowym.
Mimo tej świadomości oprogramowanie górnicze przez cały 2009 i 2010 r. domyślnie wysyłało nagrody coinbase na adresy P2PK. Przełomowe badanie wzorca Patoshi autorstwa Sergio Demiana Lernera, po raz pierwszy zaprezentowane w 2013 r., identified, że pojedynczy podmiot wykopał około 22 000 bloków między styczniem 2009 r. a połową 2010 r. Podmiot ten zgromadził ok. 1,0–1,1 mln BTC.
Zachowanie górnika różniło się od publicznie wydanego klienta. Wykorzystywało wielowątkowe skanowanie nonce i najwyraźniej celowo ograniczało moc wydobywczą, aby chronić stabilność sieci.
Z tego zasobu wydano tylko około 907 BTC. Najsłynniejsza transakcja wysłała 10 BTC do Hala Finneya w pierwszym transferze Bitcoinów między dwiema osobami 12 stycznia 2009 r.
Ponieważ te monety nigdy się nie poruszyły, ich klucze publiczne pozostają na zawsze odsłonięte. Komputer kwantowy uruchamiający algorytm Shora mógłby wyznaczyć odpowiadające im klucze prywatne bez presji czasu. To jest kluczowy wektor ataku „w spoczynku”.
Also Read: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Trzy wektory ataku i ekspozycja 6,9 mln BTC
Whitepaper Google formalizes klasyfikację kwantowych ataków na kryptowaluty, która wyjaśnia skalę różnych wektorów zagrożeń.
Ataki „w spoczynku” (at‑rest) celują w klucze publiczne trwale odsłonięte w łańcuchu bloków. Atakujący ma nieograniczony czas — dni, miesiące lub lata — na wyprowadzenie klucza prywatnego. Ta kategoria obejmuje trzy główne typy adresów:
- Adresy P2PK, gdzie klucz publiczny jest widoczny w skrypcie blokującym od momentu przybycia monet
- Wielokrotnie używane adresy P2PKH, gdzie klucz publiczny został ujawniony po pierwszej transakcji wychodzącej
- Adresy P2TR/Taproot, które z założenia przechowują zmodyfikowany klucz publiczny bezpośrednio w łańcuchu
Google identifies Taproot jako regres w zakresie bezpieczeństwa z perspektywy kwantowej. Nawet wolniejsze architektury kwantowe, takie jak systemy atomów obojętnych czy pułapek jonowych, mogłyby przeprowadzać ataki „w spoczynku”, ponieważ nie ma ograniczenia czasowego. Analiza on‑chain wskazuje około 1,7 mln BTC w skryptach P2PK i około 6,9 mln BTC łącznie we wszystkich podatnych typach adresów, gdy uwzględni się ponowne użycie adresów i ekspozycję Taproot.
Ataki „przy wydawaniu” (on‑spend), wcześniej nazywane „w tranzycie” (in‑transit), celują w transakcje znajdujące się w mempoolu.
Gdy użytkownik rozsyła transakcję, klucz publiczny zostaje revealed w wejściu. Atakujący musi wyprowadzić klucz prywatny, zanim transakcja zostanie potwierdzona — w przypadku Bitcoina to ok. 10 minut.
Z dokumentu Google wynika, że szybki nadprzewodzący komputer kwantowy mógłby rozwiązać ECDLP w ok. dziewięć minut, osiągając około 41% prawdopodobieństwa wyprzedzenia potwierdzenia.
Ataki „przy konfiguracji” (on‑setup) celują w stałe parametry protokołu, takie jak uroczystości zaufanego ustawienia (trusted setup). Bitcoin jest odporny na ten wektor. Natomiast Ethereum (ETH) Data Availability Sampling oraz takie protokoły jak Tornado Cash mogą być podatne.
Kluczowy wniosek jest taki, że wydobycie w modelu proof‑of‑work nie jest zagrożone. Algorytm Grovera zapewnia jedynie kwadratowe przyspieszenie przeciwko SHA‑256, redukując efektywne bezpieczeństwo z 256 bitów do 128 bitów — nadal daleko poza sferą wykonalności. Praca Dallaire‑Demersa i in. z marca 2026 r. demonstrated, że „kwantowe kopanie” wymagałoby rzędu 10²³ kubitów i 10²⁵ watów mocy, zbliżając się do energetycznych wymogów w skali cywilizacji.
Also Read: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Jak daleko do Dnia Q dla Bitcoina?
Luka między obecnym sprzętem kwantowym a istotnością kryptograficzną wciąż jest duża, ale zmniejsza się szybciej, niż oczekiwano.
Dzisiejsze wiodące procesory include Willow od Google (105 nadprzewodzących kubitów), Nighthawk od IBM (120 kubitów o poprawionej fidelności), Helios od Quantinuum (98 kubitów w pułapce jonowej) oraz rekordowa macierz 6100 kubitów atomów obojętnych od Caltech.
Największym ogólnego przeznaczenia systemem pozostaje Condor IBM z 1121 kubitami. Wobec zrewidowanego celu Google poniżej 500 000 fizycznych kubitów luka wynosi od ok. 80 do 5000 razy, w zależności od architektury.
Several developments in 2025 i 2026 mają przyspieszone harmonogramy:
- Microsoft w lutym 2025 r. zaprezentował Majoranę 1 — pierwszy procesor wykorzystujący kubity topologiczne, zaprojektowany tak, aby skalować się do 1 miliona kubitów na układzie wielkości dłoni, choć niezależne badania replikacyjne zakwestionowały, czy efekty topologiczne zostały jednoznacznie wykazane
- Chip Ocelot firmy Amazon, również z lutego 2025 r., wykorzystuje „kocie kubity”, które zmniejszają narzut korekcji błędów nawet o 90%
- Towarzysząca praca naukowa opublikowana wraz z whitepaperem Google twierdziła, że architektury neutralnych atomów mogłyby złamać ECC-256 przy zaledwie 10 000 fizycznych kubitach przy optymistycznych założeniach
Eksperckie szacunki dotyczące harmonogramu obejmują szeroki zakres. Google wyznaczyło wewnętrzny termin 2029 r. na migrację własnych systemów do kryptografii postkwantowej.
Badacz Ethereum Justin Drake szacuje co najmniej 10% szans, że do 2032 r. komputer kwantowy będzie w stanie odzyskać klucz prywatny ECDSA secp256k1. Roadmapa IonQ zakłada osiągnięcie 80 000 logicznych kubitów do 2030 r.
Po stronie sceptyków, CEO Blockstream Adam Back odrzuca harmonogramy na 2028 r. jako niewiarygodne. CEO NVIDIA Jensen Huang umieszcza użyteczne komputery kwantowe w horyzoncie 15 do 30 lat. NIST zaleca zakończenie migracji do kryptografii postkwantowej do 2035 r.
Trend ulepszeń algorytmicznych zwiększa pilność sprawy. Wymagania dotyczące liczby fizycznych kubitów potrzebnych do złamania kryptografii opartej na krzywych eliptycznych spadły o cztery do pięciu rzędów wielkości między 2010 a 2026 r. Najnowsze obwody Google oznaczają dalsze 20-krotne zmniejszenie w stosunku do poprzednich najlepszych szacunków.
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
Wyścig o uczynienie protokołu Bitcoina odpornym na kwanty
Społeczność deweloperów Bitcoina zmobilizowała się wokół kilku propozycji, choć pozostają fundamentalne wyzwania związane z zarządzaniem.
BIP-360 (Pay-to-Merkle-Root), autorstwa Huntera Beasta z MARA/Anduro, Ethana Heilmana i Isabel Foxen Duke, został scalony z oficjalnym repozytorium BIP w lutym 2025 r. Wprowadza nowy typ wyjścia SegWit w wersji 2 z prefiksem bc1z, który zobowiązuje się jedynie do korzenia Merkle drzewa skryptów. Usuwa to podatne na kwanty wydawanie środków ścieżką klucza z Taproot. Sam BIP-360 nie wprowadza podpisów postkwantowych, ale tworzy dla nich ramy.
BTQ Technologies wdrożyło działającą implementację BIP-360 w swojej sieci testowej Bitcoin Quantum. Do marca 2026 r. uczestniczyło w niej ponad 50 górników i wygenerowano ponad 100 000 bloków.
Propozycja Loppa/Papathanasiou, zaprezentowana na Quantum Bitcoin Summit w lipcu 2025 r., przedstawia trzyfazowy soft fork.
Faza A zabrania wysyłania na legacy adresy ECDSA trzy lata po aktywacji BIP-360. Faza B unieważnia wszystkie legacy podpisy, trwale zamrażając monety podatne na kwanty dwa lata później. Faza C oferuje opcjonalną ścieżkę odzyskiwania środków poprzez dowód o zerowej wiedzy posiadania seeda BIP-39.
Propozycja QRAMP autorstwa Agustina Cruza przyjmuje twardsze stanowisko. Proponuje obowiązkowy termin migracji poprzez hard fork, po którym niemigrowane monety stają się niewydawalne. Propozycja Hourglass od Huntera Beasta i Michaela Caseya z Marathon Digital oferuje ścieżkę pośrednią — ograniczając tempo przemieszczania monet narażonych na kwanty do jednego UTXO na blok, rozciągając potencjalny atak z godzin do około ośmiu miesięcy.
Na froncie standaryzacji NIST sfinalizował w sierpniu 2024 r. swoje pierwsze trzy standardy kryptografii postkwantowej: ML-KEM (oparty na CRYSTALS-Kyber) dla enkapsulacji klucza, ML-DSA (oparty na CRYSTALS-Dilithium) dla podpisów cyfrowych oraz SLH-DSA (oparty na SPHINCS+) jako zapasowy standard podpisów.
Piąty algorytm, HQC, został wybrany w marcu 2025 r. jako zapasowy mechanizm enkapsulacji klucza.
Głównym wyzwaniem dla integracji z Bitcoinem jest rozmiar podpisów. Podpisy Dilithium mają około 2420 bajtów w porównaniu z około 72 bajtami w ECDSA — to 33-krotny wzrost, który nadwyrężyłby przestrzeń blokową i znacząco podniósł koszty transakcji.
Poza Bitcoinem, szerszy ekosystem porusza się szybko.
Fundacja Ethereum wyznaczyła bezpieczeństwo postkwantowe jako kluczowy priorytet w styczniu 2026 r., uruchamiając czterofazową roadmapę hard forków z średnioterminowym celem odporności na kwanty do 2029 r. Coinbase powołał Niezależną Radę Doradczą ds. Obliczeń Kwantowych z udziałem Scotta Aaronsona, Dana Boneha i Justina Drake’a.
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
Co posiadacze Bitcoina powinni zrobić teraz
Dla indywidualnych posiadaczy Bitcoina praktyczne wskazówki są proste, mimo że debata na poziomie protokołu trwa. Monety przechowywane na adresach P2WSH (SegWit witness script hash, bc1q z 62 znakami) lub P2WPKH (SegWit, bc1q z 42 znakami), które nigdy nie były użyte do transakcji wychodzących, oferują obecnie najsilniejszą dostępną ochronę.
W łańcuchu bloków widoczny jest jedynie hash klucza publicznego.
Adresów P2TR/Taproot (bc1p) należy unikać dla dużych lub długoterminowych zasobów. Z założenia ujawniają one klucz publiczny.
Najważniejszą praktyką jest nigdy nie używać ponownie adresów. Po wydaniu Bitcoina z dowolnego adresu klucz publiczny zostaje ujawniony, a pozostałe lub przyszłe środki na tym adresie stają się podatne na atak kwantowy. Użytkownicy mogą sprawdzić swoją ekspozycję, korzystając z otwartoźródłowej Bitcoin Risq List projektu Project Eleven, która śledzi każdy podatny na kwanty adres Bitcoina w sieci.
Przeniesienie środków z ujawnionego adresu na świeży, nigdy wcześniej nieużywany adres oparty na hashu eliminuje podatność „w spoczynku”.
Jak ostrzega Unchained, firma zajmująca się przechowywaniem Bitcoina: należy uważać na oszustów, którzy mogą wykorzystywać strach przed kwantami, aby wymusić pochopne transfery. Nie ma potrzeby podejmowania natychmiastowych, awaryjnych działań.
Głębszym problemem pozostaje około 1,7 miliona BTC na adresach P2PK — w tym szacowane 1,1 miliona należące do Satoshiego — których klucze są nieodwracalnie ujawnione, a ich właściciele niemal na pewno nie są w stanie ich przenieść. Pytanie, czy zamrozić te monety, ograniczyć tempo ich ruchu, czy pozostawić je narażone na eventualną kradzież kwantową, staje się jedną z najważniejszych debat zarządczych w historii Bitcoina.
Jak ujmuje to Jameson Lopp, pozwolenie na „odzyskanie” Bitcoina przez kwanty oznacza redystrybucję majątku na rzecz tych, którzy wygrają wyścig technologiczny o zdobycie komputerów kwantowych.
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Wnioski
Whitepaper Google z marca 2026 r. nie ujawnił bezpośredniego, nadchodzącego zagrożenia. Żaden istniejący dziś komputer kwantowy nie jest w stanie złamać kryptografii Bitcoina. To, co zrobił, to drastycznie skompresował szacowane wymagania zasobów i sformalizował harmonogram, który sprawia, że przygotowania są sprawą pilną, a nie teoretyczną.
Redukcja do mniej niż 500 000 fizycznych kubitów, w połączeniu ze spadkiem szacunków o cztery do pięciu rzędów wielkości w ciągu ostatnich 15 lat, oznacza, że margines między obecnymi możliwościami a istotnością kryptograficzną się zawęża, na trajektorii, która przecina się z mapami drogowymi branży na późne lata 20. i wczesne 30. XXI wieku. Podatność „w spoczynku” 6,9 miliona BTC jest znanym, skwantyfikowanym ryzykiem bez możliwości retrospektywnego rozwiązania dla adresów P2PK z utraconymi kluczami.
Zagrożenie kwantowe dla Bitcoina nie jest przede wszystkim problemem sprzętowym. Jest to problem zarządzania i migracji. Wymagane aktualizacje protokołu i procesy osiągania konsensusu społecznego historycznie zajmowały pięć do 10 lat w ekosystemie Bitcoina. Zegar zaczął tykać w momencie, gdy Google opublikował te liczby.
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares