Wraz z rozwojem komputerów kwantowych, który zmusza kryptografów do przemyślenia matematycznych podstaw bezpieczeństwa cyfrowego, branża kryptowalut staje przed wyjątkowym i pilnym pytaniem: jak przenieść miliardy dolarów aktywów zamkniętych za kryptografią krzywych eliptycznych do odpornych na kwanty schematów podpisów, nie psując sieci, które je zabezpieczają?
Kwantowe zagrożenie dla krypto: realne, ale nie bezpośrednie
Bitcoin (BTC) i Ethereum (ETH) polegają na algorytmie podpisu ECDSA, zbudowanym na krzywej eliptycznej secp256k1, aby dowodzić własności środków. Bezpieczeństwo każdej transakcji zależy od jednego założenia matematycznego: że wyznaczenie klucza prywatnego z odpowiadającego mu klucza publicznego jest obliczeniowo niewykonalne dla klasycznych komputerów.
Algorytm Shora, po raz pierwszy opublikowany przez matematyka Petera Shora w 1994 r., obala to założenie.
Uruchomiony na wystarczająco potężnym komputerze kwantowym redukuje problem logarytmu dyskretnego na krzywych eliptycznych do czasu wielomianowego — co oznacza, że mógłby wydobywać klucze prywatne wystarczająco szybko, aby opróżnić każdy portfel, którego klucz publiczny został ujawniony on-chain.
Sprzęt zdolny do takiego ataku jeszcze nie istnieje. Obecne szacunki sugerują, że złamanie secp256k1 wymagałoby około od 2 330 do 2 500 logicznych kubitów, co przekłada się na około 13 milionów fizycznych kubitów dla ataku trwającego jeden dzień. Najbardziej zaawansowane dzisiejsze procesory kwantowe dysponują nieco ponad 100 kubitami.
Algorytm Grovera, drugi często przywoływany kwantowy atak, celuje w funkcje skrótu, a nie w podpisy. Zapewnia tylko kwadratowe przyspieszenie, redukując bezpieczeństwo SHA-256 z 256 bitów do 128 bitów — nadal wymagając 2 do potęgi 128 operacji, co wciąż pozostaje praktycznie niełamliwe.
Mechanizm proof-of-work Bitcoina nie jest zagrożony przez komputery kwantowe. Jego schemat podpisu — tak.
Dyskusja o horyzoncie czasowym ostro dzieli optymistów i pesymistów.
Jensen Huang, prezes Nvidii, ocenia użyteczne komputery kwantowe na „prawdopodobnie za dwadzieścia lat”.
Adam Back, CEO Blockstream i cypherpunk, odrzuca ostrzeżenia o krótkim horyzoncie, argumentując, że prognozy na 2028 r. są nierealistyczne.
Z drugiej strony Shohini Ghose, CTO Quantum Algorithms Institute, ostrzega, że społeczność jest niewystarczająco zaniepokojona, wskazując, że w momencie zaproponowania komputerów kwantowych cała istniejąca kryptografia z kluczem publicznym stała się koncepcyjnie podatna.
W ankiecie Global Risk Institute z 2024 r. wśród 32 ekspertów oszacowano prawdopodobieństwo pojawienia się kryptograficznie istotnego komputera kwantowego w ciągu dziesięciu lat na 19–34 procent, wobec 17–31 procent w 2023 r. Większość specjalistów wskazuje wczesne–środkowe lata 30. jako najbardziej prawdopodobne okno.
Zobacz też: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Co tak naprawdę oznacza kryptografia postkwantowa
Kryptografia postkwantowa (PQC) to rodzina algorytmów kryptograficznych zaprojektowanych tak, aby opierały się atakom zarówno klasycznych, jak i kwantowych komputerów.
W przeciwieństwie do kryptografii kwantowej, która opiera się na mechanice kwantowej do dystrybucji kluczy, PQC działa w pełni na konwencjonalnym sprzęcie. To rozróżnienie ma ogromne znaczenie dla blockchainów, ponieważ oznacza, że istniejące węzły i portfele mogą przyjąć te schematy bez specjalistycznego wyposażenia kwantowego.
Z dekad badań akademickich wyłoniło się pięć głównych rodzin algorytmów PQC.
Każda z nich przyjmuje zasadniczo inne podejście matematyczne do konstruowania problemów, których komputery kwantowe nie mogą efektywnie rozwiązać, a każda ma własny zestaw kompromisów dotyczących rozmiaru podpisu, szybkości obliczeń i założeń bezpieczeństwa.
Zobacz też: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Kryptografia kratowa: główny faworyt
Schematy kratowe dominują krajobraz postkwantowy. Dwa najbardziej znane algorytmy — CRYSTALS-Kyber (znormalizowany jako ML-KEM) do kapsułkowania kluczy oraz CRYSTALS-Dilithium (ML-DSA) do podpisów cyfrowych — opierają swoje bezpieczeństwo na problemie Module Learning With Errors. W uproszczeniu polega on na odtworzeniu tajnego wektora z układu zaszumionych równań liniowych zdefiniowanych na uporządkowanej kracie matematycznej.
Podstawowe operacje sprowadzają się do arytmetyki wielomianów i obliczeń funkcji skrótu, co czyni schematy kratowe szybki-mi i szeroko implementowalnymi na różnych platformach sprzętowych.
ML-DSA na najniższym poziomie bezpieczeństwa wytwarza podpisy o rozmiarze około 2 420 bajtów z kluczami publicznymi o wielkości 1 312 bajtów, czyli około 38 razy większe niż kompaktowe, 64-bajtowe podpisy ECDSA używane obecnie.
Taki wzrost rozmiaru jest do zaakceptowania w większości zastosowań internetowych. Dla blockchainów, gdzie każdy bajt w transakcji bezpośrednio wpływa na przepustowość i opłaty, stanowi to poważne ograniczenie inżynieryjne.
Zobacz też: Hyperliquid Hits 44% Of All Perp DEX Volume
Podpisy oparte na haszach: konserwatywne, ale kosztowne
Kryptografia oparta na funkcjach skrótu oferuje najbardziej konserwatywne gwarancje bezpieczeństwa spośród wszystkich rodzin PQC. SPHINCS+, obecnie znormalizowany jako SLH-DSA, opiera się wyłącznie na własnościach funkcji skrótu, bez założeń algebraicznych, które mogłoby obalić przyszłe odkrycie matematyczne.
Schemat konstruuje tzw. „hiperdrzewo” — warstwową strukturę jednorazowych podpisów Winternitza połączonych drzewami Merkle’a — umożliwiając nieograniczone podpisywanie w trybie bezstanowym z pojedynczej pary kluczy.
Kompromis jest jednak surowy.
Podpisy generowane przez SLH-DSA mieszczą się w przedziale mniej więcej 7 856–49 856 bajtów w zależności od dobranych parametrów, a samo podpisywanie jest około 100 razy wolniejsze niż w schematach kratowych.
XMSS, stanowy wariant, generuje bardziej kompaktowe podpisy w zakresie około 2 500–5 000 bajtów, ale wymaga starannego śledzenia, które jednorazowe klucze zostały już zużyte. Ponowne użycie klucza całkowicie niszczy gwarancje bezpieczeństwa.
Dla blockchainów schematy oparte na haszach stanowią paradoks. Ich założenia bezpieczeństwa są najsilniejsze spośród wszystkich rodzin PQC, lecz rozmiary podpisów mogą uczynić je niepraktycznymi dla łańcuchów wysokiej przepustowości.
Zobacz też: Circle Wants The EU To Let Stablecoins Settle Trades
Kryptografia kodowa i inne podejścia: mocne strony i porażki
Kryptografia kodowa, reprezentowana przez Classic McEliece, opiera się na trudności dekodowania losowych kodów liniowych — problemie zaproponowanym w 1978 r., który oparł się czterem dekadom intensywnej kryptanalizy.
Jej klucze publiczne są ogromne, od 261 KB do 1,3 MB, lecz szyfrogramy są bardzo małe — od 128 do 240 bajtów. HQC, nowszy schemat kodowy, został wybrany przez NIST w marcu 2025 r. jako zapasowy mechanizm kapsułkowania kluczy.
Kryptografia wielomianów wielowymiarowych opiera się na NP-trudności rozwiązywania układów równań kwadratowych wielu zmiennych nad ciałami skończonymi.
Rainbow, wiodący kandydat z tej rodziny, został katastrofalnie złamany w lutym 2022 r. przez badacza Warda Beullensa, który odzyskał klucze tajne na zwykłym laptopie w 53 godziny.
Podstawowy schemat UOV wciąż istnieje, a jego kompaktowy wariant MAYO awansował w październiku 2024 r. do drugiej rundy dodatkowego konkursu NIST na algorytmy podpisu.
Kryptografia izogeniczna przeżyła jeszcze bardziej dramatyczne załamanie. SIKE, który oferował najmniejsze rozmiary kluczy spośród kandydatów PQC (około 330 bajtów), został zniszczony w sierpniu 2022 r., gdy Wouter Castryck i Thomas Decru z KU Leuven opublikowali klasyczny atak odzyskiwania klucza, wykorzystujący twierdzenie matematyka Ernsta Kaniego z 1997 r.
SIKEp434 upadł w ciągu jednej godziny na pojedynczym rdzeniu CPU. Badania trwają nad nowszymi schematami, takimi jak SQISign i CSIDH, ale żaden algorytm izogeniczny nie pozostał w głównym konkursie standaryzacyjnym NIST.
Zobacz też: A $30M Pharma Company Just Bought $147M Of One Crypto Token
Ośmioletni maraton standaryzacyjny NIST
NIST rozpoczął proces standaryzacji kryptografii postkwantowej w grudniu 2016 r., przyjmując 69 kandydatur do listopada 2017 r. Następnie odbyły się trzy rundy publicznej kryptanalizy, które po drodze ujawniły śmiertelne wady m.in. Rainbow i SIKE.
Proces zakończył się 13 sierpnia 2024 r. publikacją pierwszych trzech znormalizowanych standardów.
FIPS 203, oparty na Kyber, obsługuje kapsułkowanie kluczy pod nazwą ML-KEM. FIPS 204, oparty na Dilithium, obejmuje podpisy cyfrowe jako ML-DSA. FIPS 205, oparty na SPHINCS+, zapewnia alternatywny standard podpisów opartych na funkcjach skrótu pod nazwą SLH-DSA.
Czwarty standard, FIPS 206, oparty na algorytmie FALCON, wszedł w fazę projektu w sierpniu 2025 r. i oczekuje się, że zostanie sfinalizowany pod koniec 2026 r. lub na początku 2027 r.
FALCON generuje podpisy o rozmiarze około 666 bajtów — czyli około dziesięciokrotnie większe niż ECDSA, a nie 38 razy większe, jak w przypadku Dilithium. — czyniąc go najbardziej kompaktowym post‑kwantowym schematem podpisu i najsilniejszym kandydatem do zastosowań w blockchainie.
Kierownik projektu NIST, Dustin Moody, zaapelował do organizacji o jak najszybsze rozpoczęcie procesu przechodzenia na nowe rozwiązania.
Framework CNSA 2.0 opracowany przez NSA nakazuje wyłączne użycie algorytmów post‑kwantowych do podpisywania oprogramowania do 2030 r., a dla infrastruktury webowej do 2033 r. Sam NIST planuje całkowicie wycofać kryptografię krzywych eliptycznych do 2035 r. Rząd USA szacuje łączny koszt tej migracji na około 7,1 mld dolarów.
Przeczytaj także: Polymarket Bans Insider Trading
BIP-360 Bitcoina: kwantowa tarcza z problemami ładu sieciowego
Najważniejszą propozycją zwiększenia odporności Bitcoina na komputery kwantowe jest BIP‑360, współautorstwa Huntera Beasta z MARA, Ethanа Heilmana i Isabel Foxen Duke.
Wprowadzony w czerwcu 2024 r. i włączony do oficjalnego repozytorium BIP na początku 2025 r., tworzy nowy typ wyjścia o nazwie Pay‑to‑Merkle‑Root (P2MR), wykorzystujący wyjścia SegWit w wersji 2 z adresami bc1z. P2MR usuwa podatną na ataki kwantowe ścieżkę wydawania po kluczu z Taproot, ustanawiając modułową podstawę pod przyszłe soft forki, które dodadzą konkretne schematy podpisów PQC, takie jak ML‑DSA czy SLH‑DSA.
20 marca 2026 r. firma BTQ Technologies wdrożyła pierwszą działającą implementację BIP‑360 na swoim Bitcoin Quantum Testnet v0.3.0, obejmującą pełne reguły konsensusu P2MR, pięć nowych kodów operacji dla post‑kwantowych podpisów Dilithium oraz kompletne narzędzia portfeli end‑to‑end.
Testnet przyciągnął ponad 50 górników i przetworzył ponad 100 000 bloków.
Chaincode Labs zauważyło w analizie z maja 2025 r., że inicjatywy PQC w Bitcoinie nadal znajdują się na wczesnym, eksploracyjnym etapie.
Problem rozmiaru podpisów jest poważny. Typowa transakcja Bitcoina zużywa około 225 bajtów z ECDSA. Zastąpienie około 72‑bajtowego podpisu przez 2 420‑bajtowy podpis Dilithium2 oraz 1 312‑bajtowy klucz publiczny dodaje około 3 700 bajtów na jedno wejście — czyli około 16‑krotność obecnego całkowitego rozmiaru transakcji.
Badacze prognozują spadek przepustowości o 52–57 procent w sieciach permissioned i prawdopodobnie 60–70 procent w sieciach permissionless, przy dwukrotnym lub trzykrotnym wzroście opłat. Bardziej kompaktowe podpisy FALCON‑512 zmniejszyłyby ten efekt do około siedmiokrotnego wzrostu rozmiaru transakcji, czyniąc FALCON najsilniejszym kandydatem do wdrożeń blockchainowych.
Konserwatywna kultura zarządzania Bitcoinem dodatkowo komplikuje sytuację. SegWit potrzebował około 8,5 roku, by uzyskać powszechną adopcję, a Taproot — 7,5 roku.
Kontrowersyjna propozycja QRAMP, która wprowadzałaby termin końcowy, po którym monety w starych formatach adresów stawałyby się niewydawalne, ilustruje, jak grząski jest to grunt decyzyjny.
Tymczasem około 6,5 mln BTC spoczywa w podatnych na ataki kwantowe adresach, w tym szacowane 1,1 mln BTC w odsłoniętych adresach P2PK Satoshiego.
Przeczytaj także: Larry Fink Says Tokenization Is Where The Internet Was In 1996
Abstrakcja kont w Ethereum zapewnia czystszą ścieżkę
Ethereum zdecydowanie ruszyło naprzód na początku 2026 r.
23 stycznia Ethereum Foundation formalnie podniosła bezpieczeństwo post‑kwantowe do rangi najwyższego priorytetu strategicznego, tworząc dedykowany zespół PQ kierowany przez inżyniera kryptografii Thomasa Coratgera.
Starszy badacz Justin Drake ogłosił, że po latach cichego R&D kierownictwo oficjalnie uznało bezpieczeństwo PQ za najwyższy priorytet strategiczny Fundacji, dodając, że harmonogramy przyspieszają i nadszedł czas, by przejść w tryb „full PQ”. Fundacja wsparła wysiłek kwotą 2 mln dolarów, podzieloną między Poseidon Prize i Proximity Prize dla badań nad PQC.
Vitalik Buterin przedstawił 26 lutego 2026 r. kompleksową mapę drogową odporności na komputery kwantowe, obejmującą cztery obszary podatności w stosie Ethereum: podpisy BLS w warstwie konsensusu mają zostać zastąpione podpisami opartymi na funkcjach skrótu z agregacją STARK, zobowiązania KZG mają zostać zamienione na odporne na komputery kwantowe STARK‑i, podpisy ECDSA dla zewnętrznie kontrolowanych kont mają być rozwiązane poprzez natywną abstrakcję kont, a dowody o zerowej wiedzy w warstwie aplikacji mają zostać zmigrowane z Groth16 do STARK‑ów.
Kluczowym mechanizmem umożliwiającym to jest EIP‑8141, znany jako „Frame Transactions”, współautorstwa Buterina i innych. Oddziela on konta Ethereum od sztywnego powiązania z podpisami ECDSA, pozwalając każdemu kontu zdefiniować własną logikę weryfikacji — czy to podpisy odporne na komputery kwantowe, multisig, czy rotację kluczy.
W przeciwieństwie do potencjalnej potrzeby hard forka w Bitcoinie, EIP‑8141 osiąga to poprzez natywną abstrakcję kont, zapewniając wyjście z kryptografii krzywych eliptycznych do systemów post‑kwantowo bezpiecznych bez wymuszania jednoczesnej migracji całej sieci. Propozycja jest przewidziana na hard fork Hegotá pod koniec 2026 r.
Przeczytaj także: Strategy Opens $44B In New ATM Capacity
Algorand i QRL w czołówce kwantowo gotowych blockchainów
Algorand (ALGO) zrealizował pierwszą transakcję post‑kwantową w publicznej sieci blockchain 3 listopada 2025 r., używając podpisów FALCON‑1024 wybranych przez NIST, na mainnecie.
Założony przez laureata Nagrody Turinga, Silvio Micaliego, zespół Algoranda obejmuje Chrisa Peikerta, współautora frameworka GPV stanowiącego podstawę FALCON, oraz Zhenfeia Zhanga, bezpośredniego współautora propozycji FALCON dla NIST. Dowody stanu (State Proofs) tej sieci używają podpisów FALCON od 2022 r., czyniąc całą jej historię blockchainu kwantowo bezpieczną pod kątem weryfikacji międzyłańcuchowej.
Algorand pokazuje, że 10 000 transakcji na sekundę przy czasie bloku 2,8 sekundy może współistnieć z podpisami post‑kwantowymi.
QRL (Quantum Resistant Ledger), uruchomiona w czerwcu 2018 r., jest odporna na komputery kwantowe od bloku genezy dzięki podpisom XMSS opartym na funkcjach skrótu.
Po siedmiu latach działania bez incydentów bezpieczeństwa QRL 2.0 (Project Zond) migruje do bezstanowego SPHINCS+ i dodaje kompatybilność z EVM.
Solana (SOL) wprowadziła opcjonalny Winternitz Vault w styczniu 2025 r., a Solana Foundation nawiązała w grudniu 2025 r. partnerstwo z Project Eleven, aby uruchomić publiczny testnet zastępujący Ed25519 podpisami Dilithium. IOTA natomiast odeszła od odporności na komputery kwantowe w 2021 r., przechodząc z podpisów Winternitz na Ed25519 ze względów wydajnościowych — decyzja ta dobrze ilustruje praktyczne napięcie między przygotowaniem na erę kwantową a obecnymi wymaganiami przepustowości.
Przeczytaj także: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
„Zbieraj teraz, odszyfruj później” jest realne — ale w blockchainach to bardziej złożone
Strategia „harvest now, decrypt later” — w której przeciwnicy zbierają dziś zaszyfrowane dane z zamiarem ich odszyfrowania, gdy komputery kwantowe staną się wystarczająco potężne — jest uznanym zagrożeniem napędzającym pośpiech rządów i agencji wywiadowczych. Rob Joyce, dyrektor ds. cyberbezpieczeństwa w NSA, ostrzegł, że przejście na szyfrowanie bezpieczne wobec komputerów kwantowych będzie długim i wymagającym wysiłkiem całej społeczności.
Chris Ware z Inicjatywy ds. Bezpieczeństwa Kwantowego World Economic Forum wskazał Chiny jako państwo szczególnie predestynowane do prowadzenia takich ataków na dużą skalę.
W przypadku blockchaina jednak narracja harvest‑now wymaga starannego doprecyzowania. Jak argumentował w analizie z grudnia 2025 r. Justin Thaler z a16z crypto, zagrożeniem kwantowym dla publicznych blockchainów jest raczej fałszowanie podpisów niż odszyfrowywanie danych.
Rejestr Bitcoina jest już publiczny. Nie ma tam zaszyfrowanych danych, które można by „zbierać”.
Prawdziwym niebezpieczeństwem jest bezpośrednie wyprowadzenie klucza: gdy tylko pojawi się kryptograficznie relewantny komputer kwantowy, każdy adres, którego klucz publiczny został ujawniony on‑chain, stanie się natychmiast podatny — niezależnie od tego, kiedy doszło do ujawnienia.
Trwały i niezmienny charakter blockchaina sprawia, że takiej ekspozycji nie da się cofnąć. Monety zorientowane na prywatność, takie jak Monero (XMR) i Zcash (ZEC), które szyfrują szczegóły transakcji, faktycznie mierzą się również z klasycznym ryzykiem harvest‑now.
Przeczytaj także: Fed Hawkish Tone Triggers $405M Crypto Outflows
Obecny sprzęt kwantowy jest daleki od łamania kryptografii
Chip Willow firmy Google, zaprezentowany w grudniu 2024 r. i wyposażony w 105 kubitów, umożliwił pierwszą demonstrację korekcji błędów kwantowych poniżej progu, w której błędy są wykładniczo redukowane wraz z dodawaniem kolejnych kubitów do systemu. Wykonał on konkretne zadanie obliczeniowe w mniej niż pięć minut, podczas gdy superkomputery klasyczne potrzebowałyby na nie szacunkowo 10 do potęgi 25 lat.
Jak jednak zauważył Winfried Hensinger z University of Sussex, chip jest wciąż zbyt mały, by wykonywać użyteczne obliczenia tego rodzaju, które byłyby w stanie zagrozić systemom kryptograficznym.
Mapa drogowa firmy IBMtargets 200 logicznych kubitów do 2029 roku dzięki procesorowi Starling. Chip topologiczny Majorana 1 firmy Microsoft, zaprezentowany w lutym 2025 r., obiecuje radykalnie bardziej efektywną korekcję błędów dzięki nowej architekturze kubitów.
Jednak nawet optymistyczne prognozy sytuują te kamienie milowe daleko poniżej milionów fizycznych kubitów potrzebnych do uruchomienia algorytmu Shora przeciwko ECDSA na skalę masową.
W pracy z maja 2025 roku Craig Gidney z Google compressed szacowane wymagania zasobów do faktoryzacji RSA-2048 z 20 milionów do mniej niż 1 miliona zaszumionych kubitów — dwudziestokrotne zmniejszenie, które znacząco wyostrzyło prognozy czasowe. Platforma predykcyjna Metaculus przesunęła swoją prognozę z 2052 na 2034 rok dla momentu, w którym algorytm Shora będzie w stanie faktoryzować RSA w praktycznej skali.
Koncepcja „Dnia Q” — momentu, w którym komputer kwantowy z powodzeniem przełamie obecne szyfrowanie z kluczem publicznym — pozostaje ruchomym celem. Twierdzenie matematyka Michele Moski captures pilność w prosty sposób: jeśli czas potrzebny na migrację plus okres ważności twoich danych przekracza czas pozostały do Dnia Q, to już jest za późno.
Also Read: What Will It Take For Solana To Reclaim $90?
Closing Thoughts
Algorytmy postkwantowe działają. Standardy NIST zostały opublikowane, FALCON oferuje praktyczne rozmiary podpisów dla wdrożeń blockchain, a Algorand udowodnił możliwość realizacji transakcji PQC na dużą skalę w działającej sieci. Trudny problem nie jest kryptograficzny, lecz społeczny i strukturalny: zdecentralizowane zarządzanie Bitcoinem sprawia, że szybkie zmiany protokołu są niezwykle trudne, podpisy od 10 do 38 razy większe niż ECDSA ograniczą przepustowość i podniosą opłaty, a około 6,5 miliona BTC w adresach podatnych na ataki kwantowe tworzy bezprecedensowe wyzwanie koordynacyjne.
Okno na działanie jest wyznaczane nie przez moment pojawienia się kryptograficznie relewantnych komputerów kwantowych, lecz przez to, jak długo sama migracja potrwa.
Biorąc pod uwagę, że aktualizacje Bitcoina historycznie zajmowały siedem do ośmiu lat, a rządowe wymogi celują w lata 2030–2035, harmonogram przygotowania branży kryptowalut na erę kwantową jest już niekomfortowo napięty. Projekty, które zaczną migrację teraz, będą bezpieczne, gdy nadejdzie Dzień Q. Te, które będą zwlekać, nie będą.
Read Next: Resolv USR Crashes 72% After $25M Exploit