Белая книга Google Quantum AI, опубликованная 30 марта 2026 года, выявляет примерно 6,9 млн Bitcoin (BTC) — около трети общего предложения — на адресах, уязвимых для «квантовых» атак по закрытым ключам в состоянии покоя, включая оценочно 1,1 млн монет, связанных с псевдонимным создателем сети, Сатоси Накамото.
TL;DR
- Google Quantum AI установила, что взлом 256-битной эллиптической криптографии Bitcoin может потребовать менее 500 000 физических кубитов — это в 20 раз меньше прежних оценок.
- Около 6,9 млн BTC находятся на типах адресов, где открытые ключи постоянно раскрыты, что делает их целями будущих квантовых атак по «покоющимся» ключам.
- P2PK-адреса эпохи Сатоси нельзя обновить никем, что поднимает сложные вопросы управления: заморозить спящие монеты или оставить их уязвимыми.
Что на самом деле говорит белая книга Google
Работа носит длинное название: «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations». Она насчитывает 57 страниц и представляет собой самый детальный квантово-криптографический анализ угроз, когда‑либо подготовленный крупной технологической компанией.
Шесть исследователей Google Quantum AI — Райан Баббуш (Ryan Babbush), Адам Залкман (Adam Zalcman), Крэйг Гидни (Craig Gidney), Майкл Броутон (Michael Broughton), Танудж Хаттар (Tanuj Khattar) и Хартмут Невен (Hartmut Neven) — стали соавторами статьи. Внешними коллабораторами выступили Тьяго Бергамаши (Thiago Bergamaschi) из UC Berkeley, Джастин Дрейк (Justin Drake) из Ethereum Foundation и Дэн Боне (Dan Boneh) из Стэнфорда.
Ключевой технический вклад — пара оптимизированных квантовых схем, которые реализуют алгоритм Шора для задачи дискретного логарифмирования на эллиптических кривых (ECDLP) над 256‑битными кривыми.
Это именно тот криптографический примитив, который защищает Bitcoin.
Одна схема использует менее 1 200 логических кубитов и 90 млн вентилей Тоффоли. Другая — менее 1 450 логических кубитов и 70 млн вентилей Тоффоли.
По оценкам Google, эти схемы могут быть запущены на сверхпроводниковом квантовом компьютере с менее чем 500 000 физических кубитов за считанные минуты. Ранее требовалось радикально больше железа. Широко цитируемая работа 2022 года из University of Sussex оценивала потребность в 317 млн физических кубитов для часовой атаки и 1,9 млрд — для окна в десять минут. Результаты Google сжимают этот порог примерно в 20 раз.
В необычном для оценочной работы шаге Google не раскрыла сами реализации схем. Вместо этого был опубликован доказуемый нулевым разглашением протокол на основе SP1 и Groth16 SNARK. Независимые исследователи могут проверять заявленные характеристики, не получая доступ к деталям атаки.
Это опирается на более ранние квантовые вехи Google.
Чип Willow, анонсированный в декабре 2024 года и опубликованный в Nature, продемонстрировал 105 сверхпроводниковых кубитов с первой на таком процессоре квантовой коррекцией ошибок «ниже порога». Вероятность ошибок уменьшалась вдвое на каждом шаге от решёток 3×3 к 5×5 и 7×7. Willow выполнил эталонный тест менее чем за пять минут, тогда как суперкомпьютеру Frontier на это потребовалось бы, по оценкам, 10 септиллионов лет.
Тем не менее Google прямо заявила, что Willow сегодня не представляет криптографической угрозы.
Директор и операционный директор Google Quantum AI Чарина Чоу (Charina Chou) сказала изданию The Verge в декабре 2024 года, что этот чип не может взломать современную криптографию и что для взлома RSA потребуется порядка 4 млн физических кубитов.
Также читайте: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Почему монеты Сатоси наиболее уязвимы
Уязвимость, находящаяся в центре анализа Google, восходит к архитектурному решению первых дней Bitcoin. Когда Сатоси Накамото запустил сеть 3 января 2009 года, майнинговое ПО отправляло вознаграждения за блоки на выходы P2PK (Pay‑to‑Public‑Key). В этом формате полный открытый ключ навсегда виден в блокчейне с момента поступления монет.
Скрипт блокировки — это просто открытый ключ, за которым следует команда OP_CHECKSIG. Это означает, что 65‑байтный несжатый или 33‑байтный сжатый открытый ключ открыт для любого, кто читает цепочку.
Здесь нет защитного слоя в виде хеша.
Сатоси также реализовал P2PKH (Pay‑to‑Public‑Key‑Hash), где на блокчейне хранится только хеш открытого ключа. Адреса P2PKH — привычные адреса, начинающиеся с «1» — появились в блокчейне в течение двух недель после генезис‑блока.
Такой дизайн был осознанным. Сатоси понимал, что эллиптическая криптография может пасть от модифицированного алгоритма Шора, запущенного на квантовом компьютере будущего.
Несмотря на это понимание, майнинговое ПО по умолчанию продолжало использовать P2PK для coinbase‑вознаграждений в 2009–2010 годах. Исследование паттерна Патоши, проведённое Серджио Демианом Лернером (Sergio Demian Lerner) и впервые представленное в 2013 году, показало, что один субъект добыл примерно 22 000 блоков с января 2009 до середины 2010 года. Этот субъект накопил порядка 1,0–1,1 млн BTC.
Поведение майнера отличалось от общедоступного клиента: использовался многопоточный перебор nonce, а скорость добычи, по‑видимому, намеренно ограничивалась для поддержания стабильности сети.
Из этого запаса было потрачено всего около 907 BTC. Самая известная транзакция отправила 10 BTC Хэлу Финни (Hal Finney) в первой передаче Bitcoin от человека к человеку 12 января 2009 года.
Поскольку эти монеты никогда не двигались, их открытые ключи остаются навсегда раскрытыми. Квантовый компьютер, выполняющий алгоритм Шора, может вывести соответствующие закрытые ключи без ограничения по времени. Это и есть основной вектор атаки «по покоящимся ключам».
Также читайте: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Три вектора атак и экспозиция 6,9 млн BTC
Белая книга Google формализует таксономию квантовых атак на криптовалюты, уточняя масштаб разных векторов угроз.
Атаки по покоящимся ключам (at‑rest) нацелены на открытые ключи, которые навсегда остаются на блокчейне. У атакующего неограниченное время — дни, месяцы или годы — для вывода закрытого ключа. В эту категорию попадают три основных типа адресов:
- адреса P2PK, где открытый ключ виден в скрипте блокировки с момента поступления монет
- переиспользуемые адреса P2PKH, где открытый ключ раскрывается после первой исходящей транзакции
- адреса P2TR/Taproot, которые по конструкции хранят «подкрученный» открытый ключ непосредственно в цепочке
Google рассматривает Taproot как регресс в безопасности с квантовой точки зрения. Даже более медленные квантовые архитектуры, вроде систем на нейтральных атомах или ионных ловушках, смогут выполнять at‑rest‑атаки, поскольку нет временного ограничения. Ончейн‑анализ показывает около 1,7 млн BTC в P2PK‑скриптах и примерно 6,9 млн BTC всего на уязвимых типах адресов с учётом переиспользования и экспозиции Taproot.
Атаки при трате (on‑spend), ранее называвшиеся «в транзите» (in‑transit), нацелены на транзакции в мемпуле.
Когда пользователь транслирует транзакцию, открытый ключ раскрывается во входе. Злоумышленник должен вывести закрытый ключ до подтверждения транзакции — примерно за 10 минут в сети Bitcoin.
В статье Google указано, что быстродействующий сверхпроводниковый квантовый компьютер может решить ECDLP примерно за девять минут, обеспечивая около 41% вероятности опередить подтверждение.
Атаки на установку (on‑setup) нацелены на фиксированные параметры протоколов, такие как церемонии доверенной настройки. Bitcoin к этому вектору невосприимчив. Но Ethereum (ETH) с его Data Availability Sampling и протоколы вроде Tornado Cash могут оказаться уязвимыми.
Критически важно, что доказательство работы (proof‑of‑work) как механизм майнинга не находится под угрозой. Алгоритм Гровера даёт только квадратичное ускорение против SHA‑256, уменьшая эффективную стойкость с 256 до 128 бит — всё ещё далеко за пределами реализуемого. В статье Даллер‑Демерса и соавт. от марта 2026 года показано, что квантовый майнинг потребовал бы порядка 10²³ кубитов и 10²⁵ ватт мощности, что приближается к энергопотреблению цивилизационного масштаба.
Также читайте: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Насколько далеко Q‑день для Bitcoin?
Разрыв между текущим квантовым железом и криптографической значимостью всё ещё велик, но сокращается быстрее, чем ожидалось.
К ведущим процессорам сегодня относятся Willow от Google с 105 сверхпроводниковыми кубитами, Nighthawk от IBM со 120 кубитами и улучшенной точностью, Helios от Quantinuum с 98 ионно‑ловушечными кубитами и рекордная решётка из 6 100 кубитов на нейтральных атомах от Caltech.
Крупнейшей универсальной системой остаётся Condor от IBM с 1 121 кубитом. Если сравнивать с новым порогом Google менее 500 000 физических кубитов, разрыв составляет примерно от 80 до 5 000 раз в зависимости от архитектуры.
Several developments in 2025 и 2026 годы имеют ускоренные сроки:
- Microsoft unveлила Majorana 1 в феврале 2025 года — первый процессор, использующий топологические кубиты, разработанный для масштабирования до 1 миллиона кубитов на чипе размером с ладонь, хотя независимые репликационные исследования поставили под сомнение, были ли топологические эффекты продемонстрированы окончательно
- Чип Amazon Ocelot, также представленный в феврале 2025 года, использует «котовые кубиты» (cat qubits), которые снижают накладные расходы на коррекцию ошибок до 90%
- Сопроводительная научная работа, опубликованная вместе с whitepaper’ом Google, утверждает, что архитектуры на нейтральных атомах могут взломать ECC-256, используя всего 10 000 физических кубитов при оптимистичных предположениях
Оценки сроков от экспертов сильно различаются. Google установила внутренний дедлайн 2029 года для миграции собственных систем на постквантовую криптографию.
Исследователь Ethereum Джастин Дрейк оценивает как минимум в 10% вероятность того, что к 2032 году квантовый компьютер сможет восстановить приватный ключ secp256k1 ECDSA. Дорожная карта IonQ нацелена на 80 000 логических кубитов к 2030 году.
Скептическую позицию занимает CEO Blockstream Адам Бэк, который отвергает сроки 2028 года как недостоверные. CEO NVIDIA Йенсен Хуанг оценивает появление полезных квантовых компьютеров в диапазоне от 15 до 30 лет. NIST рекомендует завершить миграцию на постквантовую криптографию к 2035 году.
Тренд алгоритмических улучшений добавляет срочности. Требования к количеству физических кубитов для взлома криптографии на эллиптических кривых снизились на четыре–пять порядков между 2010 и 2026 годами. Последние схемы Google дают дополнительное 20-кратное сокращение по сравнению с предыдущими лучшими оценками.
Также читайте: Chainalysis Launches AI Bots To Fight Crypto Crime
Гонка за квантово-устойчивым протоколом Bitcoin
Сообщество разработчиков Bitcoin мобилизовалось вокруг нескольких предложений, хотя фундаментальные проблемы управления по-прежнему остаются.
BIP-360 (Pay-to-Merkle-Root), разработанный Хантером Бистом из MARA/Anduro, Итаном Хайлманом и Изабель Фоксен Дьюк, был включен в официальный репозиторий BIP в феврале 2025 года. Он вводит новый тип выходов SegWit версии 2 с префиксом bc1z, который коммитится только к корню дерева Меркла скриптового дерева. Это убирает уязвимый к квантовым атакам способ траты через ключевой путь (key-path spend) из Taproot. Сам по себе BIP-360 не вводит постквантовые подписи, но создает для них каркас.
BTQ Technologies развернула рабочую реализацию BIP-360 в своей сети Bitcoin Quantum testnet. По состоянию на март 2026 года там участвовало более 50 майнеров и было добыто 100 000+ блоков.
Предложение Lopp/Papathanasiou, unveiled на Quantum Bitcoin Summit в июле 2025 года, описывает трехфазный soft fork.
Фаза A запрещает отправку на наследуемые ECDSA-адреса через три года после активации BIP-360. Фаза B делает все наследуемые подписи недействительными, навсегда замораживая уязвимые к квантовым атакам монеты через два года после этого. Фаза C предлагает необязательный путь восстановления через zero-knowledge-доказательство владения BIP-39 сидом.
Предложение QRAMP от Агустина Круса занимает более жесткую позицию. Оно предлагает обязательный дедлайн миграции через hard fork, после которого немигрированные монеты становятся непотрачиваемыми. Предложение Hourglass от Хантера Биста и Майкла Кейси из Marathon Digital предлагает срединный путь — ограничение скорости перемещения квантово-экспонированных монет до одного UTXO за блок, растягивая потенциальную атаку с часов примерно до восьми месяцев.
На уровне стандартов NIST утвердил свои первые три стандарта постквантовой криптографии в августе 2024 года: ML-KEM (на базе CRYSTALS-Kyber) для инкапсуляции ключей, ML-DSA (на базе CRYSTALS-Dilithium) для цифровых подписей и SLH-DSA (на базе SPHINCS+) как резервный стандарт подписи.
Пятый алгоритм, HQC, был выбран в марте 2025 года в качестве резервного механизма инкапсуляции ключей.
Основная проблема интеграции с Bitcoin — размер подписи. Подписи Dilithium составляют примерно 2 420 байт против примерно 72 байт у ECDSA — 33-кратное увеличение, которое перегрузит место в блоке и существенно повысит стоимость транзакций.
Помимо Bitcoin, более широкая экосистема движется быстро.
Фонд Ethereum назначил постквантовую безопасность ключевым приоритетом в январе 2026 года, запустив дорожную карту из четырех фаз hard fork’ов со среднесрочной целью достичь квантовой устойчивости к 2029 году. Coinbase создала Независимый консультативный совет по квантовым вычислениям с участием Скотта Ааронсона, Дэна Боне и Джастина Дрейка.
Также читайте: Cardano Whales Grab $53M In ADA But Price Stays Flat
Что должны делать держатели Bitcoin сейчас
Для отдельных держателей Bitcoin практические рекомендации остаются простыми, несмотря на продолжающиеся споры на уровне протокола. Монеты, хранящиеся на адресах P2WSH (SegWit witness script hash, bc1q с 62 символами) или P2WPKH (SegWit, bc1q с 42 символами), с которых никогда не совершались исходящие транзакции, обеспечивают наилучшую доступную сейчас защиту.
В цепочке виден только хеш публичного ключа.
Адресов P2TR/Taproot (bc1p) следует избегать для крупных или долгосрочных накоплений. Они по своей сути раскрывают публичный ключ.
Критически важная практика — никогда не переиспользовать адреса. Как только Bitcoin тратится с какого-либо адреса, публичный ключ раскрывается, и оставшиеся или будущие средства на этом же адресе становятся уязвимыми для квантовых атак. Пользователи могут проверить свою экспозицию с помощью открытого проекта Bitcoin Risq List от Project Eleven, который отслеживает каждый уязвимый к квантовым атакам Bitcoin-адрес в сети.
Перемещение средств с уже экспонированного адреса на новый, никогда ранее не использовавшийся хеш-адрес устраняет уязвимость для хранящихся монет.
Как предупреждает Unchained, кастодиальная компания по Bitcoin, стоит опасаться мошенников, которые могут использовать страх перед квантом, чтобы заставить вас совершить поспешные переводы. Никаких немедленных экстренных действий не требуется.
Более глубокая проблема — примерно 1,7 млн BTC на адресах P2PK — включая оцениваемые 1,1 млн BTC Сатоси, — чьи ключи необратимо раскрыты, а владельцы почти наверняка не могут их переместить. Вопрос о том, заморозить ли эти монеты, ограничить скорость их перемещения или оставить их подверженными будущей квантовой краже, превращается в один из самых значимых управленческих споров в истории Bitcoin.
Как Джеймсон Лопп формулирует это, позволить квантовое восстановление Bitcoin — значит по сути перераспределить богатство в пользу тех, кто выиграет технологическую гонку за получение квантовых компьютеров.
Также читайте: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Заключение
Whitepaper Google за март 2026 года не показал неминуемой угрозы. Ни один квантовый компьютер сегодня не способен взломать криптографию Bitcoin. То, что он сделал, — резко сократил оценочные ресурсные требования и формализовал таймлайн, при котором подготовка становится насущной задачей, а не теоретической.
Сокращение до менее чем 500 000 физических кубитов, в сочетании со снижением оценок на четыре–пять порядков за последние 15 лет, означает, что разрыв между текущими возможностями и криптографической значимостью сужается по траектории, которая пересекается с дорожными картами индустрии на конец 2020-х — начало 2030-х годов. Уязвимость при хранении 6,9 млн BTC — это известный, количественно оцененный риск, для которого нет ретроспективного исправления в случае утраченных ключей P2PK.
Квантовая угроза для Bitcoin — это не столько проблема аппаратуры, сколько проблема управления и миграции. Необходимые обновления протокола и процессы достижения социального консенсуса исторически занимали от пяти до десяти лет в экосистеме Bitcoin. Часы начали отсчет в тот момент, когда Google опубликовала эти цифры.
Читайте далее: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares