Квантовые компьютеры пока не могут взломать Bitcoin (BTC) или Ethereum (ETH), но окно для самоуспокоения сужается: аппаратные прорывы происходят все быстрее, экспертные прогнозы сходятся на 2030‑х, а обновления протоколов блокчейна исторически требуют от пяти до десяти лет координации — это значит, что готовиться нужно уже сейчас, даже если сама угроза останется отдаленной еще на годы.
Дискуссия о том, когда придет квантовая опасность
Раз в несколько месяцев заголовок о новом квантовом чипе вызывает дрожь на крипторынках.
Этот сценарий повторяется с момента, когда Google в декабре 2024 года представила чип Willow с 105 сверхпроводниковыми кубитами, решивший узкую вычислительную задачу менее чем за пять минут — задачу, на которую самому быстрому классическому суперкомпьютеру понадобилось бы 10 септиллионов лет.
IBM последовала за ней с процессорами Heron на 156 кубитах и подробной дорожной картой, нацеленной примерно на 200 логических кубитов к 2029 году и 2 000 к 2033‑му. Microsoft представила Majorana 1 в феврале 2025 года — процессор на топологических кубитах, который, по словам CEO Сатьи Наделлы, может масштабироваться до миллиона кубитов на одном чипе в горизонте лет, а не десятилетий.
Скептики остаются громкими. Адам Бэк, CEO Blockstream и ранний контрибьютор Bitcoin, называет существенные квантовые риски «скорее всего в 20–40 лет от нас». Глава Nvidia Йенсен Хуанг оценил появление полезных квантовых компьютеров как «вероятно все еще в двадцати годах».
Майкл Сейлор отметал эти страхи как преувеличенные, утверждая, что традиционная банковская инфраструктура и военные системы станут мишенью задолго до того, как кто‑то пойдет за Bitcoin. Аналитик CoinShares Кристофер Бендиксен в отчете за февраль 2026 года заявил, что для взлома Bitcoin потребуются системы примерно в 100 000 раз мощнее всего, что существует сегодня.
С другой стороны, Виталик Бутерин на Devconnect в Буэнос‑Айресе в ноябре 2025 года заявил, что используемые в крипто эллиптические кривые «умрут», сославшись на прогнозы Metaculus, согласно которым существует примерно 20‑процентная вероятность появления криптографически релевантных квантовых компьютеров до 2030 года.
Скотт Ааронсон, профессор Техасского университета и один из ведущих теоретиков квантовых вычислений в мире, написал в ноябре 2025 года, что теперь считает отказоустойчивый квантовый компьютер, запускающий алгоритм Шора, вполне возможным до следующих президентских выборов в США.
Тео Пероннен, CEO Alice & Bob — квантового партнера Nvidia — предупредил на Web Summit в Лиссабоне, что квантовые машины могут стать достаточно мощными, чтобы расшифровать Bitcoin, после 2030 года.
Центр тяжести лежит между этими полюсами. Декабрьский опрос Global Risk Institute 2024 года среди 32 экспертов показал, что более половины считают: вероятность появления криптографически релевантного квантового компьютера в течение 10 лет превышает 5 %.
Chainalysis в 2025 году резюмировала, что отраслевые эксперты в целом оценивают горизонт в 5–15 лет.
Разработчик Bitcoin Джеймсон Лопп сформулировал прагматичную позицию: продуманные изменения протокола и беспрецедентная миграция средств могут занять 5–10 лет, поэтому сообщество должно готовиться к худшему, надеясь на лучшее.
Также читайте: Strategy Buys $1.57B In Bitcoin - Its 12th Straight Weekly Purchase
Понимание цифр, стоящих за угрозой
Базовое исследование происходит из работы 2022 года Марка Веббера и коллег из Университета Сассекса, опубликованной в AVS Quantum Science.
В этом исследовании оценивалось, что взлом схемы подписи ECDSA с ключом в 256 бит, используемой в Bitcoin, потребует 317 миллионов физических кубитов для часовой атаки или 13 миллионов физических кубитов для 24‑часовой атаки при условии использования поверхностного кода для коррекции ошибок и частоты ошибок физических вентилей 10⁻³.
Анализ 2023 года Даниэля Литински из PsiQuantum снизил эту оценку до 6,9 миллиона физических кубитов для 10‑минутной атаки. Более свежие работы сжали оценки еще сильнее.
Требование по логическим кубитам сходится примерно на 2 330 согласно устоявшимся формулам, но новые методы коррекции ошибок могут сделать атаку осуществимой уже при наличии от 100 000 до миллиона высококачественных физических кубитов.
Текущие квантовые машины далеки от этого. Чип Willow от Google работает со 105 физическими кубитами, а Quantinuum продемонстрировала 50 логических кубитов с высокой достоверностью. Разрыв по физическим кубитам составляет примерно от 10 000 до 300 000 раз.
Но важна траектория, а не текущий снимок. IonQ прогнозирует 1 600 логических кубитов с коррекцией ошибок к 2028 году и 80 000 к 2030‑му.
Deloitte оценили, что около 25 % всех биткоинов — примерно от четырех до шести миллионов BTC — находятся на адресах с раскрытыми публичными ключами и будут уязвимы для будущего квантового атакующего.
Более консервативный анализ CoinShares утверждает, что в реалистичной среднесрочной перспективе под угрозой находятся только около 10 200 BTC, поскольку большинство уязвимых монет — это утерянные кошельки или средства игроков, которые перенесут их задолго до появления криптографически релевантного квантового компьютера.
Также читайте: Why SEC's Hester Peirce Wants Crypto Builders Inside
Прекратите переиспользовать адреса — это самый важный шаг
Суть квантовой уязвимости Bitcoin заключается в раскрытии публичного ключа. Когда кто‑то получает Bitcoin на современный хешированный адрес — P2PKH, начинающийся с «1», или P2WPKH, начинающийся с «bc1q», — в блокчейне хранится только хеш публичного ключа.
Квантовый компьютер не может эффективно обратить SHA‑256 или RIPEMD‑160. Алгоритм Гровера дает лишь квадратичное ускорение, снижая 256‑битную стойкость до эффективных 128 бит — этого по‑прежнему достаточно.
Однако в момент, когда пользователь тратит монеты с этого адреса, полный публичный ключ раскрывается в данных witness транзакции и навсегда записывается в блокчейн. Алгоритм Шора затем может вывести приватный ключ из раскрытого публичного. Именно поэтому повторное использование адресов — самая вредная практика с точки зрения квантовой готовности.
Как Project Eleven объяснил в июле 2025 года, после подтверждения транзакции связанный с ключом выход полностью потрачен — и если адрес больше не используется, публичный ключ больше не защищает никаких непотраченных монет.
Но если тот же публичный ключ содержит другие UTXO из‑за повторного использования адреса, эти балансы остаются под угрозой. Исправление простое. Проверьте каждый адрес с балансом в блок‑эксплорере. Если у адреса есть исходящие транзакции, его публичный ключ раскрыт. Переместите эти средства на новый P2WPKH‑адрес, с которого еще не тратили.
Также читайте: Trumps' World Liberty Demands $5.3M For VIP Access
Как UTXO‑модель Bitcoin создает естественный уровень защиты
UTXO‑модель Bitcoin — Unspent Transaction Output, «непотраченный выход транзакции» — обеспечивает встроенный уровень квантовой защиты, который большинство держателей недооценивают.
Каждый UTXO блокируется скриптом, требующим доказательства владения приватным ключом. В хешированных форматах адресов блокирующий скрипт содержит только хеш публичного ключа. Сам публичный ключ остается скрытым до тех пор, пока владелец не создаст транзакцию на расходование.
Это означает, что непотраченные UTXO на адресах, которые никогда не использовались для исходящих транзакций, по сути квантово‑безопасны от атак с большим горизонтом. MARA Holdings рекомендует использовать нативные SegWit‑форматы, такие как P2WPKH и P2WSH, которые сочетают более низкие комиссии с хешированными публичными ключами. обязательств, что делает их консервативным выбором для долгосрочного хранения.
Практичная «гигиена» кошелька предполагает генерацию нового адреса для каждого входящего перевода и отказ от объединения UTXO без крайней необходимости.
Один важный нюанс связан с Taproot-адресами — P2TR, начинающимися с «bc1p». В них определённая форма публичного ключа кодируется непосредственно в выходе, что делает их уязвимыми для квантовых атак с момента поступления средств, независимо от того, тратил ли владелец эти средства. Для крупных, долгосрочных холодных запасов P2WPKH остаётся более безопасным выбором до выхода постквантовых обновлений.
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
Окно мемпула: почему перемещать монеты всё ещё безопасно
Возникает естественный вопрос: если при перемещении монет публичный ключ временно раскрывается во время транзакции, не создаёт ли это само по себе квантовый риск? Ответ — да, но окно достаточно узкое, чтобы им можно было управлять. С момента попадания транзакции в мемпул до включения её в блок — обычно от 10 до 60 минут — у атакующего с квантовым компьютером теоретически есть возможность вывести приватный ключ и отправить конкурирующую транзакцию.
Однако самые оптимистичные оценки будущей квантовой атаки на ECDSA предполагают минимум восемь часов, а скорее всего гораздо больше, для взлома одного ключа. Этот разрыв между временем экспозиции в мемпуле и временем атаки обеспечивает значительный запас прочности.
Риск оставить монеты на переиспользуемом адресе с постоянно раскрытым публичным ключом на годы намного превышает мимолётный риск одной миграционной транзакции.
Для держателей, управляющих очень крупными суммами, существуют дополнительные методы снижения риска. Отправка транзакций напрямую в майнинговый пул — в обход публичного мемпула — устраняет даже это узкое окно. Некоторые ориентированные на приватность кошельки уже поддерживают эту функцию.
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
У Bitcoin и Ethereum уже есть пути постквантового обновления
Основное предложение для Bitcoin — BIP-360, представленное Hunter Beast из MARA в июне 2024 года. Оно создаёт новый тип выхода под названием Pay to Quantum Resistant Hash, или P2QRH, использующий SegWit версии 3 с адресами, начинающимися с «bc1r».
Дизайн намеренно гибридный — каждый выход может включать классические ключи Schnorr вместе с одной или несколькими постквантовыми подписями из алгоритмов, стандартизированных NIST, таких как FN-DSA (FALCON), ML-DSA (Dilithium) и SLH-DSA (SPHINCS+). Успешная транзакция по BIP-360 была выполнена в тестовой сети Bitcoin signet 10 сентября 2025 года.
Основная техническая проблема — размер подписи. Одна подпись ML-DSA занимает от двух до трёх килобайт, а SPHINCS+ может достигать 49 килобайт, по сравнению с 64 байтами у Schnorr.
Отчёт Chaincode Labs за май 2025 года оценил, что полная постквантовая миграция Bitcoin может занять примерно семь лет, при этом потребуется мигрировать около 186,7 млн UTXO. При реалистичном выделении 25 процентов блокового пространства одна только миграция может занять два года или больше.
Ethereum движется быстрее. 26 февраля 2026 года Бутерин опубликовал комплексную «карту пути» к квантовой устойчивости, выделяющую четыре уязвимых области: консенсус, доступность данных, подписи аккаунтов и доказательства с нулевым разглашением на уровне приложений.
Ethereum Foundation создал в январе 2026 года специализированную команду по постквантовой безопасности, поддержанную грантами на исследования в размере 2 млн долларов. Бутерин подтвердил, что EIP-8141, позволяющий кошелькам использовать любой алгоритм подписи, будет выпущен в течение года.
Преимущество Ethereum заключается в его фреймворке абстракции аккаунтов — ERC-4337, в рамках которого развернуто более 40 миллионов смарт-аккаунтов, — позволяющем кошелькам обновлять свою криптографию без необходимости изменений на уровне протокола.
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
Постквантовые стандарты NIST готовы к внедрению
Национальный институт стандартов и технологий США (NIST) утвердил свои первые три стандарта постквантовой криптографии 13 августа 2024 года после восьмилетнего процесса отбора.
FIPS 203, ранее известный как CRYSTALS-Kyber, — это основанный на решётках механизм установления общего секрета (key encapsulation). FIPS 204, ранее CRYSTALS-Dilithium, — основанный на решётках стандарт цифровой подписи и наиболее непосредственно применимый для подписания блокчейн-транзакций.
FIPS 205, ранее SPHINCS+, — схема хэш-основанных подписей, чья безопасность опирается только на стойкость хэш-функции к коллизиям — это наиболее консервативный доступный вариант.
Четвёртый алгоритм под названием FN-DSA, основанный на FALCON, остаётся в статусе проекта стандарта FIPS 206. Он даёт самые компактные постквантовые подписи — порядка 690 байт, что делает его наиболее удобным кандидатом для блокчейнов в условиях ограниченной пропускной способности.
В марте 2025 года NIST выбрал HQC в качестве резервного механизма установления общего секрета, использующего кодовую, а не решёточную математику, обеспечивая алгоритмическое разнообразие на случай, если стойкость решёточных допущений окажется ниже ожидаемой.
План перехода NIST предусматривает отказ от алгоритмов, уязвимых к квантовым атакам, к 2030 году и их полное удаление к 2035 году. Этот федеральный мандат распространится на финансовую индустрию. И BIP-360 для Bitcoin, и постквантовая реализация Ethereum прямо ссылаются на стандарты NIST как на свою криптографическую основу.
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
Аппаратные кошельки готовятся, но термин «квантово-готовый» нуждается в контексте
Trezor выпустила Safe 7 в ноябре 2025 года, позиционируемый как первый квантово-готовый аппаратный кошелёк. Он использует SLH-DSA-128 — стандарт NIST FIPS 205 — для проверки загрузчика и прошивки при каждом включении, а также включает аудируемый защищённый чип TROPIC01. Но есть важная оговорка. Маркировка «квантово-готовый» относится к безопасности на уровне устройства — защите целостности собственного ПО кошелька — а не к защите транзакций в блокчейне.
Операционный директор Trezor Danny Sanders заявил, что устройство технически готово получать постквантовые обновления, когда придёт время, но только после того, как сами протоколы Bitcoin или Ethereum внедрят такие улучшения.
Ledger не продвигает явно квантово-готовые функции в своих последних устройствах, хотя его кошельки поддерживают токен QRL, и ожидается, что компания также реализует постквантовые возможности в прошивке.
Практический вывод для пользователей аппаратных кошельков прост. Держите прошивку обновлённой, чтобы когда постквантовые схемы подписи станут доступны на уровне протокола, кошелёк смог их принять без необходимости покупать новое устройство.
Обновления прошивки сами по себе не являются полным решением. Настоящее узкое место находится на уровне протокола блокчейна. Пока Bitcoin не активирует BIP-360 или аналогичное предложение, а Ethereum не внедрит EIP-8141, ни один аппаратный кошелёк не сможет создавать постквантовые подписи транзакций, которые сеть примет. Уровень квантовой устойчивости кошелька ограничен уровнем квантовой устойчивости цепочки, в которой он совершает транзакции.
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
Диверсификация в сторону квантово-осведомлённых блокчейн-проектов
Небольшое распределение капитала в пользу блокчейн-проектов, уже внедривших постквантовую криптографию, может служить хеджем — не заменой базовых позиций в Bitcoin или Ethereum, а формой опциона.
Quantum Resistant Ledger (QRL) остаётся единственной крупной цепочкой, которая является квантово-устойчивой с момента своего генезис-блока в 2018 году, используя хэш-основанные подписи XMSS, специфицированные IETF.
Его обновление QRL 2.0, запланированное на 2026 год, добавит совместимость с EVM и SPHINCS+. Algorand (ALGO) достиг того, что он назвал первой в мире постквантовой транзакцией в живой основной сети 3 ноября 2025 года, используя подписи FALCON-1024. Hedera (HBAR)partnered с SEALSQ, чтобы протестировать квантово-устойчивое аппаратное подписание с использованием Dilithium.
Solana (SOL) offers дополнительный (опциональный) хранилище на основе одноразовых подписей Винтерница (Winternitz One-Time Signature), выпущенное в январе 2025 года, однако пользователям необходимо самостоятельно включить эту функцию. Сеть xx Network Дэвида Чаума incorporated квантово-устойчивую криптографию в свой протокол конфиденциальности с момента запуска в 2021 году.
Ни один из этих проектов не обладает ликвидностью и сетевыми эффектами, сравнимыми с Bitcoin или Ethereum, а их токены несут обычные риски малой капитализации. Но сам факт их существования показывает, что инженерные решения для постквантовой безопасности блокчейнов — не теория; они уже развернуты и работают.
Also Read: Ethereum Breaks $2,200 As Key Indicators Turn Green
Многоподпись и нюансы холодного хранения, которые имеют значение
Многоподписные кошельки add пропорциональный дополнительный уровень защиты. Схема «2 из 3» требует от атакующего взломать как минимум два приватных ключа вместо одного. Лопп отметил, что крупные биржевые кошельки, такие как Bitfinex и Kraken, используют мультисиг, что вынуждает квантового атакующего восстанавливать два или три ключа соответственно.
Это не постоянное решение — если квантовый компьютер может взломать один ключ ECDSA, он сможет взломать и несколько, имея достаточно времени, — но оно существенно повышает стоимость атаки и увеличивает её длительность.
Ключевая рекомендация — использовать мультисиг на базе P2WSH, который скрывает ключи за хешами до момента траты, вместо «голого» P2MS, где все открытые ключи сразу видны в скрипте выхода.
Для холодного хранения критическое заблуждение состоит в том, что офлайн-кошельки по своей природе квантово-устойчивы. Это не так. Квантовая угроза никак не связана с подключением к интернету. Она связана с раскрытием публичных ключей в самом блокчейне. Лучшие практики включают использование адресов P2WPKH, отказ от получения дополнительных средств на адрес, уже использованный для исходящих транзакций, регулярную ротацию выходов холодного хранения, отказ от Taproot для крупных сумм и мониторинг объявлений о постквантовых обновлениях, чтобы своевременно мигрировать.
Also Read: What Could $73K Breakout Mean For BTC Bulls?
Институты уже готовятся к постквантовой эпохе
Coinbase formed Независимый консультативный совет по квантовым вычислениям и блокчейну в январе 2026 года, в который вошли Ааронсон, профессор Стэнфорда Дэн Бонэ и Джастин Дрейк из Ethereum Foundation.
Генеральный директор Брайан Армстронг called квантовые вычисления вполне решаемой проблемой для криптоиндустрии.
JPMorgan находится, возможно, дальше всех среди традиционных институтов: он built сеть распределения квантовых ключей (QKD) совместно с Toshiba и Ciena для защиты своей блокчейн-платформы Kinexys.
С «медвежьей» стороны институционального позиционирования, стратег Jefferies Кристофер Вуд removed Bitcoin из своей модельной портфельной конструкции в январе 2026 года, назвав квантовый риск экзистенциальной угрозой для тезиса о Bitcoin как средстве сбережения — один из первых крупных шагов с Уолл-стрит, напрямую мотивированных квантовыми опасениями.
ARK Invest и Unchained published совместный отчет в марте 2026 года, в котором риск описывается как постепенный и управляемый. В нём отмечается, что серьезный квантовый прорыв, вероятнее всего, сначала нарушит более широкий интернет-секьюрити-ландшафт, вызвав скоординированный ответ со стороны правительств и технологических компаний задолго до того, как он напрямую затронет Bitcoin.
Рациональный подход для частных держателей — относиться к квантовому риску так же, как к нему относятся институты: как к долгосрочному событию с ненулевой вероятностью, требующему подготовки, но не паники.
Вероятность появления криптографически значимого квантового компьютера до 2030 года sits в диапазоне около 14–20 процентов по оценкам экспертов, увеличиваясь до 33–50 процентов к 2035 году.
Also Read: XRP Transactions Triple In One Year To 3M Amid Record Activity
Заключение
Квантовая угроза для криптовалют реальна, ненулевая и растущая — но она не является неминуемой. Разрыв между текущими квантовыми системами примерно на 1 100 физических кубитов и необходимым уровнем в миллионы физических кубитов для взлома ECDSA в Bitcoin по-прежнему огромен. Тем не менее три сходящихся фактора требуют действий уже сейчас.
Алгоритмические прорывы снижают требования по числу кубитов быстрее, чем ожидалось. Дорожные карты IBM, IonQ и Microsoft по «железу» указывают на скачкообразный рост возможностей в горизонте пяти–десяти лет. А обновление протоколов блокчейнов исторически требует пять–десять лет социальной координации для внедрения.
Главный вывод этого исследования в том, что большинство практических защитных мер ничего не стоит и может быть реализовано уже сегодня. Перестаньте переиспользовать адреса. Переместите средства с адресов с уже раскрытыми публичными ключами на свежие кошельки P2WPKH. Используйте мультисиг на базе P2WSH для существенных сумм.
Избегайте Taproot для долгосрочного холодного хранения. Держите прошивку аппаратных кошельков обновленной и рассмотрите Trezor Safe 7 как вариант с упором на постквантовую защиту устройства. Выделите небольшую долю портфеля в действительно квантово-устойчивые проекты, такие как Algorand, QRL и Hedera — не как радикальную перераспределение капитала, а как опциональность.
Отслеживайте вехи IBM по логическим кубитам и следите за активацией BIP-360 или EIP-8141 как за сигналами к действиям по миграции на уровне протокола. Криптоиндустрия пережила каждую структурную проблему за счет адаптации, и путь квантового обновления уже прокладывается. Неравенство Моски — принцип о том, что если время миграции превышает время наступления угрозы, вы проигрываете — это концепция, имеющая наибольшее значение. Начинать миграцию нужно до того, как крайний срок станет очевиден, а не после.
Read Next: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back