По мере того как развитие квантовых вычислений вынуждает криптографов переосмысливать математические основы цифровой безопасности, индустрия криптовалют сталкивается с уникальным и неотложным вопросом: как перенести активы на миллиарды долларов, запертые за эллиптической криптографией, к квантоустойчивым схемам подписей, не нарушая сети, которые их защищают?
Квантовая угроза для крипто: реальна, но не немедленна
Bitcoin (BTC) и Ethereum (ETH) полагаются на алгоритм подписи ECDSA на кривой secp256k1 для доказательства владения средствами. Безопасность каждой транзакции основана на одном предположении: вывести закрытый ключ по открытому для классических компьютеров вычислительно неосуществимо.
Алгоритм Шора, впервые опубликованный математиком Питером Шором в 1994 году, разрушает это предположение.
На достаточно мощном квантовом компьютере он сводит задачу дискретного логарифмирования на эллиптических кривых к полиномиальному времени — то есть способен извлечь закрытые ключи достаточно быстро, чтобы опустошить любой кошелек, чей открытый ключ был раскрыт в блокчейне.
Аппаратуры для такой атаки пока не существует. Оценки показывают, что взлом secp256k1 потребует примерно от 2330 до 2500 логических кубитов, что соответствует около 13 миллионам физических кубитов для атаки, занимающей один день. Современные квантовые процессоры располагают чуть более чем сотней кубитов.
Алгоритм Гровера, другая часто упоминаемая квантовая угроза, нацеливается на хэш‑функции, а не на подписи. Он дает лишь квадратичное ускорение, снижая уровень безопасности SHA‑256 с 256 бит до 128 бит — все еще требуя 2 в степени 128 операций, что остается практически недостижимым.
Механизм Proof‑of‑Work биткоина не находится под угрозой со стороны квантовых вычислений. Под угрозой — его схема подписей.
Оценки сроков резко расходятся между оптимистами и пессимистами.
Дженсен Хуанг, гендиректор Nvidia, считает, что полезные квантовые компьютеры «вероятно, появятся лет через двадцать».
Адам Бэк, глава Blockstream и шифропанк, отмахивается от близких сроков, утверждая, что сценарии к 2028 году нереалистичны.
С другой стороны, Шохини Гхос, технический директор Quantum Algorithms Institute, предупреждает, что сообщество недостаточно встревожено, напоминая: в момент появления идеи квантовых вычислений вся существующая криптография с открытым ключом стала концептуально уязвимой.
В опросе Global Risk Institute 2024 года среди 32 экспертов была оценена вероятность появления криптографически значимого квантового компьютера в течение десяти лет в 19–34 % против 17–31 % в 2023 году. Большинство специалистов сходятся на начале–середине 2030‑х как наиболее вероятном окне.
Также читайте: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Что на самом деле означает постквантовая криптография
Постквантовая криптография (PQC) — это семейство криптографических алгоритмов, разработанных для противостояния атакам как классических, так и квантовых компьютеров.
В отличие от квантовой криптографии, использующей законы квантовой механики для распределения ключей, PQC полностью работает на обычном «классическом» оборудовании. Это крайне важно для блокчейнов, поскольку позволяет узлам и кошелькам внедрять такие схемы без специальной квантовой аппаратуры.
Из десятилетий академических исследований выделилось пять крупных семейств PQC‑алгоритмов.
Каждое использует принципиально разные математические подходы к созданию задач, которые квантовые компьютеры не могут эффективно решать, и каждое приносит свой набор компромиссов в размерах подписей, скорости вычислений и криптографических предпосылках.
Также читайте: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Решетки: главный претендент
Схемы на решетках доминируют в постквантовом пространстве. Два наиболее заметных алгоритма — CRYSTALS‑Kyber (стандартизован как ML‑KEM) для инкапсуляции ключей и CRYSTALS‑Dilithium (ML‑DSA) для цифровых подписей — основывают свою безопасность на задаче Module Learning With Errors. В упрощенном виде это сводится к восстановлению секретного вектора из системы «зашумленных» линейных уравнений над структурированной математической решеткой.
Базовые операции сводятся к полиномиальной арифметике и вычислению хэшей, благодаря чему схемы на решетках быстры и хорошо реализуемы на разных платформах.
ML‑DSA на минимальном уровне безопасности выдает подписи размером примерно 2420 байт с открытыми ключами 1312 байт — примерно в 38 раз больше, чем компактные 64‑байтные подписи ECDSA.
Такой рост размеров приемлем для большинства интернет‑приложений. Для блокчейнов, где каждый байт транзакции напрямую влияет на пропускную способность и комиссии, это становится серьезным инженерным ограничением.
Также читайте: Hyperliquid Hits 44% Of All Perp DEX Volume
Подписи на хэш‑функциях: консервативно, но дорого
Криптография на хэш‑функциях обеспечивает самые консервативные гарантии безопасности среди всех семейств PQC. SPHINCS+, стандартизованный как SLH‑DSA, опирается только на свойства самих хэш‑функций, без алгебраических предположений, которые могла бы разрушить будущая математическая находка.
Схема строит так называемое «гипердерево» — многоуровневую структуру одноразовых подписей Винтерница, соединенных деревьями Меркла, что позволяет выполнять неограниченное количество подписей в статeless‑режиме из одной пары ключей.
Компромисс жесткий.
Подписи SLH‑DSA имеют размер примерно от 7856 до 49 856 байт в зависимости от параметров, а процесс подписания примерно в 100 раз медленнее, чем у решеточных альтернатив.
XMSS, его stateful‑вариант, генерирует более компактные подписи размером порядка 2500–5000 байт, но требует тщательного учета уже использованных одноразовых ключей. Повторное использование такого ключа полностью уничтожает безопасность схемы.
Для блокчейнов такие схемы создают парадокс. Их криптографические предпосылки наиболее надежны среди всех PQC‑подходов, но размеры подписей могут сделать их непрактичными для высоконагруженных сетей.
Также читайте: Circle Wants The EU To Let Stablecoins Settle Trades
Кодовые и другие подходы: сильные и провальные
Кодовая криптография, примером которой служит Classic McEliece, опирается на сложность декодирования случайных линейных кодов — задачи, предложенной еще в 1978 году и выдержавшей четыре десятилетия криптоанализа.
Открытые ключи там огромны — от 261 КБ до 1,3 МБ, но шифротексты очень малы: 128–240 байт. HQC, более новая схема на кодах, была выбрана NIST в марте 2025 года в качестве резервного механизма инкапсуляции ключей.
Мультивариантная полиномиальная криптография основывается на NP‑трудности решения систем квадратичных уравнений над конечными полями.
Rainbow, главный кандидат этого семейства, был катастрофически взломан в феврале 2022 года исследователем Вардом Бойлленсом, который восстановил секретный ключ на обычном ноутбуке за 53 часа.
Базовая схема UOV выжила, а компактный производный алгоритм MAYO вышел во второй раунд дополнительного конкурса NIST по подписям в октябре 2024 года.
Изогениевая криптография пережила еще более драматичный крах. SIKE, предлагавший самые маленькие ключи среди PQC‑кандидатов (около 330 байт), был разрушен в августе 2022 года, когда Вутер Кастрик и Томас Декрю из KU Leuven опубликовали классическую атаку по восстановлению ключа, использующую теорему 1997 года математика Эрнста Кани.
SIKEp434 пал за один час на одном CPU‑ядре. Исследования продолжаются в рамках новых схем, таких как SQISign и CSIDH, но ни один изогениевый алгоритм больше не участвует в основном конкурсе стандартизации NIST.
Также читайте: A $30M Pharma Company Just Bought $147M Of One Crypto Token
Восьмилетний марафон стандартизации NIST
NIST запустил процесс стандартизации постквантовой криптографии в декабре 2016 года, приняв 69 кандидатур к ноябрю 2017‑го. Последовали три раунда публичного криптоанализа, в ходе которых были обнаружены фатальные уязвимости в Rainbow и SIKE.
Процесс завершился 13 августа 2024 года публикацией первых трех финализированных стандартов.
FIPS 203 на базе Kyber определяет инкапсуляцию ключей под названием ML‑KEM. FIPS 204 на базе Dilithium описывает цифровые подписи ML‑DSA. FIPS 205 на основе SPHINCS+ задает альтернативный стандарт хэш‑подписей SLH‑DSA.
Четвертый стандарт, FIPS 206 на базе алгоритма FALCON, перешел в статус проекта в августе 2025 года и ожидается к финализации в конце 2026‑го или начале 2027‑го.
FALCON выдает подписи примерно по 666 байт — это примерно в десять раз больше, чем у ECDSA, а не в 38 раз, как у Dilithium. — что делает её самой компактной постквантовой схемой подписи и сильнейшим кандидатом для применения в блокчейнах.
Руководитель проекта NIST Дастин Муди urged организации как можно скорее начать переход.
Фреймворк CNSA 2.0 Агентства национальной безопасности США (NSA) предписывает использовать исключительно постквантовые алгоритмы для подписи программного обеспечения к 2030 году и для веб‑инфраструктуры к 2033 году. Сам NIST планирует полностью вывести из эксплуатации криптографию на эллиптических кривых к 2035 году. Правительство США оценивает общую стоимость этой миграции примерно в 7,1 миллиарда долларов.
Также читайте: Polymarket Bans Insider Trading
BIP-360 в Bitcoin: квантовый щит с управленческими препятствиями
Наиболее значимым предложением по повышению устойчивости Bitcoin к квантовым атакам является BIP-360, co-authored совместно Хантером Бистом из MARA, Итаном Хайльманом и Изабель Фоксен Дьюк.
Представленный в июне 2024 года и включённый в официальный репозиторий BIP в начале 2025 года, он создаёт новый тип выхода под названием Pay-to-Merkle-Root (P2MR), использующий выходы SegWit версии 2 с адресами bc1z. P2MR устраняет уязвимый для квантовых атак путь траты по ключу (key-path spend) из Taproot, создавая модульный фундамент для будущих софтфорков, которые добавят конкретные постквантовые схемы подписи, такие как ML-DSA или SLH-DSA.
20 марта 2026 года компания BTQ Technologies deployed первую рабочую реализацию BIP-360 на своём Bitcoin Quantum Testnet v0.3.0 с полными консенсусными правилами P2MR, пятью операциями для постквантовых подписей Dilithium и полноценными инструментами для кошельков.
Тестнет привлёк более 50 майнеров и обработал свыше 100 000 блоков.
Chaincode Labs отметила в аналитическом отчёте за май 2025 года, что инициативы по постквантовой криптографии в Bitcoin всё ещё находятся на ранней и исследовательской стадии.
Проблема размера подписи остаётся критической. Типичная транзакция Bitcoin использует примерно 225 байт с ECDSA. Замена подписи примерно в 72 байта на подпись Dilithium2 размером 2 420 байт плюс её открытый ключ в 1 312 байт добавляет примерно 3 700 байт на один вход — примерно в 16 раз больше текущего среднего размера всей транзакции.
Исследователи прогнозируют падение пропускной способности на 52–57 % в разрешённых (permissioned) тестнетах и, вероятно, на 60–70 % в нерегулируемых сетях, при этом комиссии вырастут в два–три раза. Более компактные подписи FALCON-512 сократили бы этот эффект до примерно семикратного увеличения размера транзакции, что делает его сильнейшим кандидатом для развёртывания в блокчейнах.
Консервативная культура управления в Bitcoin усугубляет задачу. SegWit потребовалось около 8,5 лет для широкого внедрения, а Taproot — 7,5 лет.
Спорное предложение QRAMP, которое предполагает установление крайнего срока, после которого монеты в старых форматах адресов станут неспендаемыми, иллюстрирует минное поле предстоящих управленческих решений.
Тем временем примерно 6,5 миллиона BTC sit на уязвимых к квантовым атакам адресах, включая оценочно 1,1 миллиона BTC на открытых P2PK‑адресах Сатоши.
Также читайте: Larry Fink Says Tokenization Is Where The Internet Was In 1996
Абстракция аккаунтов в Ethereum открывает более чистый путь
Ethereum moved к решительным действиям в начале 2026 года.
23 января Фонд Ethereum официально поднял постквантовую безопасность до статуса высшего стратегического приоритета, создав отдельную PQ‑команду под руководством криптографического инженера Томаса Коратже.
Старший исследователь Джастин Дрейк объявил, что после многих лет негласных исследований и разработок руководство официально провозгласило постквантовую безопасность главным стратегическим приоритетом Фонда, добавив, что сроки ускоряются и пришло время переходить в режим «full PQ». Фонд поддержал инициативу финансированием в размере 2 миллионов долларов, разделённых между премиями Poseidon Prize и Proximity Prize за исследования в области PQC.
Виталик Бутерин unveiled комплексную дорожную карту по обеспечению квантовой устойчивости 26 февраля 2026 года, нацеленную на четыре области уязвимостей в стеке Ethereum: подписи BLS на уровне консенсуса должны быть заменены на основанные на хешах подписи с агрегацией с помощью STARK, обязательства KZG — на квантово‑устойчивые STARK, подписи ECDSA для внешне управляемых аккаунтов — решены через нативную абстракцию аккаунтов, а доказательства с нулевым раскрытием на прикладном уровне — мигрированы с Groth16 на STARK.
Ключевым механизмом является EIP‑8141, известный как «Frame Transactions», соавтором которого является Бутерин и другие. Он отвязывает аккаунты Ethereum от фиксированных подписей ECDSA, позволяя каждому аккаунту определять собственную логику валидации — будь то квантово‑устойчивые подписи, мультиподпись или ротация ключей.
В отличие от потенциальной необходимости жёсткого форка в Bitcoin, EIP‑8141 achieves это через нативную абстракцию аккаунтов, предоставляя путь ухода от криптографии на эллиптических кривых к постквантовым системам без принудительной одновременной миграции всей сети. Предложение нацелено на хардфорк Hegotá в конце 2026 года.
Также читайте: Strategy Opens $44B In New ATM Capacity
Algorand и QRL лидируют среди квантово‑готовых блокчейнов
Algorand (ALGO) executed первую постквантовую транзакцию в живом публичном блокчейне 3 ноября 2025 года, используя подписи FALCON‑1024, отобранные NIST, в мейннете.
Основанный лауреатом премии Тьюринга Сильвио Микали, Algorand собрал команду, включающую Криса Пейкерта, соавтора каркаса GPV, лежащего в основе FALCON, и Женьфэй Чжана, прямого участника предложения FALCON для NIST. Государственные доказательства (State Proofs) сети используют подписи FALCON с 2022 года, делая всю историю блокчейна квантово‑защищённой для кроссчейн‑проверок.
Algorand демонстрирует, что 10 000 транзакций в секунду с временем блока 2,8 секунды могут сосуществовать с постквантовыми подписями.
QRL (Quantum Resistant Ledger), launched в июне 2018 года, является квантово‑устойчивым с генезис‑блока, используя хеш‑основанные подписи XMSS.
После семи лет работы без инцидентов безопасности QRL 2.0 (Project Zond) переходит на статeless SPHINCS+ и добавляет совместимость с EVM.
Solana (SOL) представила опциональный Winternitz Vault в январе 2025 года, а Solana Foundation в декабре 2025 года заключил партнёрство с Project Eleven для запуска публичного тестнета, в котором Ed25519 заменён на Dilithium. IOTA примечательна тем, что отошла от квантовой устойчивости в 2021 году, перейдя от подписей Winternitz к Ed25519 по соображениям производительности — решение, иллюстрирующее практическое напряжение между подготовкой к квантовой эре и текущими требованиями к пропускной способности.
Также читайте: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
Стратегия «собирать сейчас, расшифровывать потом» реальна — но для блокчейнов всё сложнее
Стратегия «harvest now, decrypt later» — «собирать зашифрованные данные сейчас с целью расшифровать их, когда квантовые компьютеры станут достаточно мощными» — является признанной угрозой, подстёгивающей активность правительств и разведывательных агентств. Роб Джойс, директор по кибербезопасности NSA, предупреждал, что переход к квантово‑безопасному шифрованию будет долгим и напряжённым коллективным усилием.
Крис Уэр из Инициативы по квантовой безопасности Всемирного экономического форума назвал Китай государством, способным осуществлять такие атаки в крупном масштабе.
Однако для блокчейнов концепция harvest‑now требует аккуратных уточнений. Как утверждает Джастин Талер из a16z crypto в своём анализе за декабрь 2025 года, argued, квантовая угроза для публичных блокчейнов заключается в подделке подписей, а не в расшифровке.
Реестр Bitcoin уже является публичным. Там нет зашифрованных данных, которые можно было бы собирать.
Реальная опасность — прямое восстановление ключа: как только появится криптографически релевантный квантовый компьютер, любой адрес, чей открытый ключ был раскрыт в блокчейне, становится немедленно уязвимым, независимо от того, когда это раскрытие произошло.
Постоянный и неизменный характер блокчейна делает это раскрытие необратимым. Ориентированные на приватность монеты, такие как Monero (XMR) и Zcash (ZEC), шифрующие детали транзакций, действительно сталкиваются с более традиционным риском harvest‑now.
Также читайте: Fed Hawkish Tone Triggers $405M Crypto Outflows
Современное квантовое «железо» всё ещё очень далеко от взлома криптографии
Чип Willow компании Google, unveiled в декабре 2024 года и имеющий 105 кубитов, обеспечил первую демонстрацию квантовой коррекции ошибок ниже порога, при которой ошибки экспоненциально уменьшаются по мере добавления кубитов в систему. Он выполнил специфическую тестовую задачу менее чем за пять минут — задачу, на решение которой классическим суперкомпьютерам потребовалось бы, по оценкам, 10 в степени 25 лет.
Тем не менее, как отметил Винфрид Хензингер из Университета Сассекса, этот чип всё ещё слишком мал, чтобы выполнять полезные вычисления того рода, которые необходимы для угрозы криптографическим системам.
Дорожная карта IBMtargets 200 логических кубитов к 2029 году с помощью своего процессора Starling. Топологический чип Majorana 1 компании Microsoft, представленный в феврале 2025 года, обещает радикально более эффективную коррекцию ошибок за счёт новой архитектуры кубитов.
Но даже самые оптимистичные прогнозы предполагают, что эти вехи будут значительно ниже миллионов физических кубитов, необходимых для запуска алгоритма Шора против ECDSA в масштабах реального применения.
В статье мая 2025 года Крейг Гидни из Google compressed оценочные требования к ресурсам для факторизации RSA-2048 с 20 миллионов до менее чем 1 миллиона шумных кубитов — двадцатикратное сокращение, значительно уточнившее временные оценки. Платформа предсказаний Metaculus сместила свой прогноз с 2052 на 2034 год для момента, когда алгоритм Шора сможет факторизовать RSA в практически значимых масштабах.
Концепция «Q-Day» — момента, когда квантовый компьютер успешно взломает современную криптографию с открытым ключом, — остаётся подвижной целью. Теорема математика Микеле Москы captures срочность предельно просто: если время, необходимое для миграции, плюс срок актуальности ваших данных превышают оставшееся время до Q-Day, вы уже опоздали.
Also Read: What Will It Take For Solana To Reclaim $90?
Заключительные мысли
Постквантовые алгоритмы работают. Стандарты NIST опубликованы, FALCON обеспечивает практичные размеры подписей для внедрения в блокчейн, а Algorand продемонстрировал постквантовые транзакции в масштабе на работающей сети. Сложная проблема здесь не криптографическая, а социальная и структурная: децентрализованное управление Биткоина делает быстрые изменения протокола чрезвычайно трудными, подписи в 10–38 раз больше ECDSA будут сжимать пропускную способность и повышать комиссии, а примерно 6,5 млн BTC в квантово-уязвимых адресах создают беспрецедентную координационную задачу.
Окно для действий определяется не тем, когда появятся криптографически релевантные квантовые компьютеры, а тем, сколько времени займёт сама миграция.
Учитывая, что обновления Биткоина исторически требуют семь–восемь лет, а государственные мандаты нацелены на 2030–2035 годы, временной горизонт криптоиндустрии для квантовой готовности уже тревожно сжат. Проекты, которые начнут миграцию сейчас, будут в безопасности, когда наступит Q-Day. Те, кто будет ждать, — нет.
Read Next: Resolv USR Crashes 72% After $25M Exploit