Криптографические замки, защищающие триллионы долларов в цифровых активах, были спроектированы для мира без квантовых компьютеров.
Этот мир заканчивается быстрее, чем большинство людей в индустрии криптовалют осознаёт, а реакция отрасли по‑прежнему опасно фрагментирована.
NIST finalized свои первые три стандарта постквантовой криптографии в августе 2024 года и призвал все организации, использующие криптографию с открытым ключом, немедленно начинать миграцию.
Один только Bitcoin (BTC) имеет примерно 1,57 трлн долларов рыночной капитализации, и подавляющая часть этой стоимости защищена алгоритмами цифровой подписи на эллиптических кривых, которые достаточно мощный квантовый компьютер сможет взломать. Часы тикают.
TL;DR
- Постквантовые стандарты NIST 2024 года задают жёсткий дедлайн для криптопроектов, чтобы начать уход от криптографии на эллиптических кривых или столкнуться с экзистенциальным риском безопасности.
- Оценочно 4 млн BTC, находящихся в открытых P2PK‑выходах или повторно используемых адресах, могут оказаться в прямой зоне риска, как только появятся криптографически релевантные квантовые компьютеры.
- У большинства крупных блокчейнов нет обязательных дорожных карт постквантового апгрейда, что создаёт фрагментированный и ограниченный по времени ландшафт безопасности к концу 2020‑х годов.
1. Квантовая угроза для блокчейна конкретна, а не теоретична
Выражение «квантовая угроза» часто используют расплывчато, но применительно к блокчейну опасность точна и хорошо задокументирована.
В основе безопасности большинства блокчейнов лежат два алгоритма: Elliptic Curve Digital Signature Algorithm (ECDSA), используемый для авторизации транзакций, и SHA‑256, применяемый в майнинге proof‑of‑work Биткоина. Уровни квантового риска для них сильно различаются.
Алгоритм Шора, разработанный в 1994 году, способен факторизовать большие целые числа и решать задачу дискретного логарифмирования за полиномиальное время на квантовом компьютере.
В статье, опубликованной на arXiv в 2023 году исследователями из Университета Сассекса, было оценено, что для взлома 256‑битного шифрования на эллиптических кривых Биткоина потребуется квантовый компьютер примерно с 317 миллионами физических кубитов с низкими уровнями ошибок.
Алгоритм Гровера, напротив, даёт лишь квадратичное ускорение против хеш‑функций вроде SHA‑256, фактически снижая криптостойкость майнинга Биткоина с 256 до 128 бит, что остаётся практически безопасным в обозримом будущем.
Эта асимметрия чрезвычайно важна.
Подписи ECDSA — мягкое подбрюшье безопасности блокчейна, тогда как proof‑of‑work‑майнинг сталкивается лишь с умеренным снижением запаса безопасности от квантового железа.
Отсюда вытекает, что угроза направлена не на способность сети Биткоина производить блоки, а на способность отдельных пользователей доказывать право собственности на свои монеты. Андреас Антонопулос и другие давно отмечали, что цифровые подписи — это механизм авторизации средств, и именно сюда квантовые компьютеры ударят в первую очередь.
Also Read: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. Стандарты NIST 2024 года запускают отраслевой миграционный таймер
Регуляторное и стандартизационное измерение этой истории, пожалуй, даже более срочно, чем аппаратные сроки.
После шестилетнего процесса оценки, в который вошли 82 алгоритма‑кандидата от исследовательских команд со всего мира, NIST в августе 2024 года утвердил три стандарта постквантовой криптографии: FIPS 203 (ML‑KEM, ранее CRYSTALS‑Kyber), FIPS 204 (ML‑DSA, ранее CRYSTALS‑Dilithium) и FIPS 205 (SLH‑DSA, ранее SPHINCS+).
Это не необязательные рекомендации «на будущее». NIST прямо told организациям «начать планирование перехода на постквантовую криптографию уже сейчас».
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) published рекомендации, предписывающие операторам критически важной инфраструктуры инвентаризировать свои криптографические зависимости и приоритизировать миграцию. Финансовые организации, подпадающие под федеральное регулирование, уже испытывают давление со стороны надзорных органов продемонстрировать готовность к постквантовой эпохе.
Утверждение FIPS 203, 204 и 205 в августе 2024 года устранило последнее оправдание для промедления. Любой блокчейн‑проект, который к 2026 году не начал оценку своего перехода на постквантовую криптографию, действует вне рамок ответственной практики безопасности.
Индустрия блокчейна занимает здесь странное положение. Это одновременно финансовая система, управляющая стоимостью, превосходящей резервы многих национальных центральных банков, и в значительной степени самоуправляемая технологическая экосистема без внешнего регулятора, который мог бы принудительно навязать криптографические обновления.
В такой комбинации срочность таймлайна NIST может и не трансформироваться в действия без консенсуса сообщества, которого исторически трудно добиться.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. У Биткоина около 4 млн BTC на напрямую подверженных адресах
Не все монеты Bitcoin (BTC) подвержены риску в равной степени. Степень уязвимости сильно зависит от того, как хранятся средства и были ли открытые ключи раскрыты в блокчейне. Исследователи выделяют три категории выходов Биткоина с существенно различным квантовым риском.
Выходы pay‑to‑public‑key (P2PK) раскрывают открытый ключ напрямую в блокчейне.
К ним относятся монеты генезис‑блока и многие ранние выходы эпохи Сатоши. Для выходов P2PKH (pay‑to‑public‑key‑hash), которые никогда не тратились, открытый ключ скрыт за хешем и, следовательно, не подвержен прямой атаке до тех пор, пока адрес не будет использован для отправки средств.
Однако любой адрес, с которого уже была отправлена транзакция, имеет свой открытый ключ, транслированный в сеть, и навсегда становится раскрытым.
Исследование 2022 года, published специалистами Deloitte, оценило, что примерно 4 млн BTC хранятся на адресах с публично раскрытыми ключами.
По текущим ценам около 315 млрд долларов в биткоинах находятся на адресах, где криптографически релевантный квантовый компьютер мог бы derive the private key напрямую из ончейн‑данных — без предупреждения и без возможности вернуть средства.
Практика повторного использования адресов существенно усугубляет эту проблему.
Данные Chainalysis data последовательно показывают, что многие розничные и даже институциональные держатели повторно используют адреса в нескольких транзакциях, невольно оставляя свои открытые ключи навсегда видимыми в блокчейне.
Хорошая новость в том, что любой, кто следует давней рекомендации использовать каждый адрес только один раз, существенно снижает свою квантовую подверженность. Плохая новость — значительная часть сети явно не следует этой практике.
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. Модель аккаунтов Ethereum создаёт структурно иную уязвимость
Ethereum (ETH) сталкивается с иным профилем квантового риска по сравнению с Биткоином, что обусловлено его аккаунт‑ориентированной архитектурой, а не UTXO‑моделью Биткоина.
В Ethereum каждый внешний аккаунт (EOA) раскрывает свой открытый ключ в момент подписи любой исходящей транзакции. Это означает, что практически каждый активный кошелёк Ethereum, когда‑либо отправлявший транзакции, имеет навсегда раскрытый открытый ключ.
Фонд Ethereum — одна из наиболее публично вовлечённых крупных блокчейн‑организаций в вопросах квантовой угрозы.
Сооснователь Ethereum Виталик Бутерин в предложении по улучшению Ethereum 7560 описал путь к нативной account abstraction, которая позволила бы кошелькам использовать квантово‑устойчивые схемы подписей без необходимости хардфорка для каждого пользователя.
В его январском блоге 2024 года «The Road to a Stateless Client» он также noted, что замена ECDSA постквантовыми альтернативами является «приоритетом средней срочности» в дорожной карте безопасности протокола.
Дорожная карта абстракции аккаунтов Ethereum, если будет реализована, может обеспечить относительно плавную миграцию к постквантовым подписям, не заставляя каждого пользователя вручную предпринимать действия, но сроки реализации остаются размытыми, и ни одно обязательное EIP ещё не финализировано.
Проблема в том, что даже с EIP‑7560 существующим EOA всё равно потребуется переносить свои средства в новые смарт‑контракты‑кошельки, использующие постквантовые схемы.
Для держателей, утративших пути восстановления seed‑фразы, а также для средств на «спящих» счетах, миграция может оказаться практически невозможной до появления реальной квантовой угрозы.
Also Read: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. Кандидатные постквантовые алгоритмы имеют известные компромиссы для блокчейна
Replacing ECDSA is not a simple drop-in substitution. The NIST-standardized post-quantum algorithms carry significant performance and size penalties that create real engineering challenges for blockchain systems optimized around compact transaction data.
CRYSTALS‑Dilithium (ML‑DSA), основная схема подписи, стандартизированная NIST, генерирует открытые ключи размером 1 312 байт и подписи 2 420 байт на минимальном уровне безопасности. Для сравнения, в ECDSA открытые ключи составляют 33 байта (сжатые), а подписи примерно 72 байта.
Статья, опубликованная в архиве IACR Cryptology ePrint, анализировавшая постквантовые подписи для блокчейн‑приложений, показала, что наивная замена ECDSA с Dilithium увеличил бы размер транзакций биткоина примерно в 20 раз, что имело бы серьёзные последствия для пропускной способности блоков и комиссионных рынков.
Замена ECDSA-подписей биткоина на CRYSTALS-Dilithium при сохранении того же размера блока снизила бы эффективную пропускную способность транзакций примерно на 80–90 %, делая простую подмену экономически деструктивной без сопутствующих изменений размера или структуры блока.
Подписи на хэшах, такие как SPHINCS+ (SLH-DSA), предлагают самые сильные допущения безопасности (основанные только на стойкости хэш-функций), но они ещё более громоздкие: размер подписи может достигать 49 856 байт на самом высоком уровне безопасности.
Схемы на решётках обеспечивают наилучший баланс между размером и производительностью среди текущих стандартов NIST, но вводят допущения о вычислительной трудности задач, которые являются более новыми и менее проверенными временем, чем десятилетия криптоанализа эллиптических кривых.
Сообщество Ethereum также исследует STARK как возможный путь к постквантовой аутентификации транзакций, опираясь на уже сделанные инвестиции в инфраструктуру ZK-STARK.
Также читайте: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. Атаки «собери сейчас, расшифруй позже» уже представляют реальную угрозу
**
Наименее оценённое измерение квантовой угрозы заключается в том, что противникам не нужно ждать широкого распространения квантовых компьютеров, чтобы начать подготовку к атакам.
Стратегия «harvest now, decrypt later» (HNDL) — «собери сейчас, расшифруй позже», предполагающая запись зашифрованных или подписанных данных сегодня с последующей расшифровкой, когда квантовое оборудование станет достаточно мощным, — уже задокументирована как угроза со стороны государств в некриптовалютных контекстах.
Агентство национальной безопасности США опубликовало рекомендации с конкретным предупреждением об атаках HNDL, отметив, что противники уже активно архивируют перехваченные коммуникации с намерением расшифровать их в течение следующего десятилетия.
Для блокчейн-систем аналогия отрезвляющая: каждая транзакция, когда‑либо отправленная в сети Bitcoin или Ethereum, навсегда записана в публичных реестрах, доступных всем. Любая сторона, желающая собирать открытые публичные ключи для будущих квантовых атак, уже имеет 15 лет данных для работы.
Каждая транзакция в сетях Bitcoin и Ethereum, когда‑либо переданная, является постоянной публичной записью. Противники с достаточной мотивацией уже собрали многолетние массивы данных о публичных ключах. Этап «сбора» в атаке типа «harvest now, decrypt later» на криптовалюты структурно завершён.
Эта динамика означает, что даже если квантовые компьютеры, способные взломать ECDSA, останутся делом 10–15 лет, блокчейн‑сообщества не могут ждать приближения этого порога, чтобы начать миграцию.
Время, необходимое для протокольных обновлений по консенсусу, обновления кошельков, обучения пользователей и фактической миграции средств, измеряется годами, а не месяцами.
CISA оценивает, что крупным организациям следует ожидать, что постквантовая миграция сложных систем займёт от пяти до десяти лет.
Также читайте: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. Ряд блокчейн‑проектов уже строят постквантовую инфраструктуру
**
Картина не исключительно мрачна. Растущая группа блокчейн‑проектов изначально заложила постквантовую безопасность как ключевое требование дизайна, и их подходы дают представление о возможных путях миграции для наследуемых сетей.
QRL (Quantum Resistant Ledger), запущенный в 2018 году, был построен с нуля на основе eXtended Merkle Signature Scheme (XMSS), алгоритма подписи на хэшах, который NIST также стандартизировал как SP 800‑208.
Algorand (ALGO) опубликовал дорожную карту постквантовой миграции и провёл внутренние исследования по Falcon — схеме подписи на решётках, которая является альтернативным кандидатом NIST.
Исследовательское подразделение Cardano (ADA), IOHK, опубликовало рецензируемые работы о протоколах блокчейна в постквантовую эпоху в своей исследовательской библиотеке IOHK.
По меньшей мере три работающие блокчейн‑сети (QRL, Algorand и Cardano (ADA)) к 2026 году опубликовали конкретные исследования или дорожные карты по постквантовой безопасности, в то время как Bitcoin и Ethereum остаются на ранней стадии обсуждений без обязательных протокольных решений.
Экосистема Ethereum получила выгоду от значительных ранее сделанных инвестиций в STARK‑основанные системы доказательств для ZK‑роллапов.
Проекты вроде StarkWare (STRK) показали, что STARK‑доказательства, полагающиеся только на стойкость хэш‑функций и, следовательно, устойчивые к квантовым атакам, могут использоваться для доказательств корректности транзакций в масштабе. Перерастёт ли это в квантово‑устойчивую авторизацию транзакций на базовом уровне Ethereum — отдельный и пока нерешённый вопрос, но сделанные инфраструктурные вложения не пропадут даром.
Также читайте: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. Сообщество Bitcoin сталкивается с беспрецедентной проблемой управления
**
Миграция биткоина на постквантовую криптографию — не столько техническая, сколько управленческая проблема. Протокол Bitcoin меняется только через грубый консенсус между разработчиками, майнерами, бизнесами и пользователями, причём этот процесс исторически занимал годы даже для неконфликтных обновлений и приводил к разделению цепи при спорных изменениях.
Сообщество разработчиков Bitcoin Core начало предварительные обсуждения постквантовых подходов. В 2024 году в списке рассылки разработчиков Bitcoin обсуждалась возможность внедрения нового постквантового типа подписи через софтфорк по аналогии с тем, как Segregated Witness ввёл новые типы транзакций.
Ключевая проблема в том, что любая постквантовая схема подписи потребует либо хардфорка (который сообщество биткоина исторически отвергает), либо тщательно спроектированного софтфорка, позволяющего создавать новые квантово‑устойчивые выходы при сохранении обратной совместимости с существующими ECDSA‑кошельками.
Модель управления Bitcoin, требующая грубого консенсуса во всемирном, географически и идеологически распределённом сообществе, может быть структурно несовместима с срочностью криптографической миграции, которую эксперты считают необходимой начать в ближайшие пять лет.
Наиболее спорный элемент любого плана постквантовой миграции биткоина — судьба монет владельцев, не успевших мигрировать. Если квантовые компьютеры смогут взломать ECDSA, монеты на «подставленных» адресах станут уязвимыми к краже.
Некоторые исследователи предложили правило протокола, которое заморозит или сожжёт монеты на P2PK‑выходах после крайнего срока миграции, чтобы предотвратить их кражу противником, обладающим квантовыми мощностями.
Фактически это конфискует монеты держателей, которые не мигрировали, включая, возможно, оценочные 1,1 млн BTC Сатоси Накамото, и считается политически токсичным решением в сообществе биткоина.
Также читайте: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. Сроки развития квантового «железа» ускоряются быстрее консенсусных оценок
**
Прогнозирование возможностей квантового оборудования по‑настоящему сложно, и блокчейн‑сообщество иногда использовало неопределённость сроков как повод для бездействия. Но траектория реальных аппаратных достижений за последние три года делает самоуспокоенность всё более трудно оправданной.
Google в декабре 2024 года сообщила, что её квантовый процессор Willow достиг уровней ошибок ниже порога, необходимого для отказоустойчивых квантовых вычислений, — веха, которую ранее исследователи ожидали только через несколько лет.
Willow показал 105 физических кубитов с субпороговыми ошибками, при этом по мере увеличения числа кубитов ошибки экспоненциально снижались, а не накапливались, что и является определяющей проблемой квантовой коррекции ошибок.
Дорожная карта квантовых разработок IBM предполагает достижение 100 000 физических кубитов к 2033 году, причём компания с 2020 года стабильно выполняет или перевыполняет ежегодные этапы своей дорожной карты.
Чип Willow от Google достиг субпороговой коррекции ошибок в декабре 2024 года — на годы раньше большинства экспертных прогнозов. Дистанция от 105 кубитов до предполагаемых 317 миллионов, необходимых для взлома ECDSA биткоина, велика, но прорыв в коррекции ошибок устранил самый фундаментальный барьер масштабирования.
Ключевое различие — между физическими и логическими кубитами. Взлом ECDSA биткоина требует логических кубитов, способных надёжно запускать алгоритм Шора, а каждый логический кубит требует сотен или тысяч физических кубитов для коррекции ошибок.
Оценка университета Сассекса в 317 миллионов физических кубитов предполагает текущие накладные расходы на коррекцию ошибок. Если уровни ошибок существенно улучшатся, требуемое число физических кубитов пропорционально снизится.
Консенсус среди академических исследователей, процитированных в отчёте RAND Corporation за 2023 год, состоит в том, что криптографически релевантные квантовые компьютеры, скорее всего, появятся через 10–20 лет, но диапазон неопределённости достаточно широк, чтобы прорыв к 2030 году нельзя было исключить.
Также читайте: CHIP Volume Now Outpaces Market Cap As Traders Pile In
**10. Что держателям криптовалют стоит делать уже сейчас, чтобы снизить квантовые риски
**
Для частных держателей и институциональныхучастникам, квантовая угроза — это не повод для паники. Это повод для информированной, проактивной гигиены безопасности. Несколько конкретных действий заметно снижают уязвимость ещё до того, как будут развернуты постквантовые обновления на уровне протокола.
Наиболее действенное индивидуальное действие — перестать переиспользовать адреса и перевести средства из P2PK‑выходов и с адресов, которые уже использовались для подписания транзакций.
Перемещение биткоина на новый адрес P2WPKH (native SegWit), который никогда ранее не использовался для отправки средств, скрывает открытый ключ за хэшами SHA-256 и RIPEMD-160, обеспечивая значимую защиту в ближайшей перспективе.
Анализ 2022 года, published в архиве IACR ePrint, подтвердил, что не захешированные открытые ключи представляют собой основную ближайшую поверхность квантовой атаки для держателей биткоина.
Для пользователей Ethereum переход к кошелькам с абстракцией аккаунтов ERC‑4337, которые можно будет обновить до постквантовых схем подписи, когда они станут доступны, выгодно позиционирует держателей для будущих миграций протокола.
Перемещение биткоина на новый, никогда не использовавшийся native SegWit‑адрес, который никогда не подписывал исходящую транзакцию, скрывает открытый ключ и обеспечивает значимую защиту от любой квантовой угрозы, вероятной в горизонте следующего десятилетия.
Институциональные держатели сталкиваются с дополнительными обязательствами.
Отчёт разработчиков Electric Capital последовательно finds, что команды по безопасности инфраструктуры в крипто‑нативных фирмах меньше относительно объёма активов под управлением, чем в сопоставимых фирмах традиционных финансов.
Создание внутреннего криптографического инвентаря, понимание того, какие решения кастодиального хранения используют ECDSA, а какие — альтернативы, а также взаимодействие с производителями аппаратных кошельков по поводу их постквантовых дорожных карт — всё это оправданные шаги по управлению рисками, которые можно предпринять уже сегодня.
Производители аппаратных кошельков, включая Ledger и Trezor, оба acknowledged квантовую угрозу в публичной документации, но ещё не внедрили поддержку постквантовых подписей в производственной прошивке.
Читайте далее: BTC превысил $79 000 впервые за 11 недель на фоне резкого роста объёмов
Заключение
Постквантовая криптография — это не далёкая теоретическая проблема для блокчейн‑индустрии. Это актуальный инженерный и управленческий вызов с уже идущим регуляторным отсчётом и траекторией развития аппаратуры, которая неоднократно удивляла экспертов темпами роста.
Стандарты NIST, финализированные в августе 2024 года, представляют собой максимально чёткий сигнал от ведущего в мире криптографического авторитета о том, что миграция не является опцией по выбору и что время для планирования — сейчас.
Ключевое противоречие носит структурный характер. Bitcoin и Ethereum были спроектированы под модели угроз 2008 и 2015 годов соответственно, а обновление их криптографических основ требует прохождения процессов управления, измеряемых годами, а не месяцами.
4 миллиона BTC на уязвимых адресах, постоянная публичная запись каждой когда‑либо переданной транзакции и ускоряющиеся темпы развития квантового «железа» указывают на сужающееся окно для упорядоченной миграции.
Проекты, которые уже сегодня серьёзно работают с постквантовыми стандартами, наращивают внутреннюю экспертизу, участвуют в обсуждениях протоколов и переводят активы в конфигурации со сниженной уязвимостью, будут находиться в куда более выгодном положении, чем те, кто ждёт полной определённости, прежде чем действовать.
История криптографических переходов в традиционных вычислительных системах даёт отрезвляющий урок. Переход от MD5 к SHA‑2 или от RSA‑1024 к RSA‑2048 занял годы последовательных усилий индустрии, даже при жёстком регуляторном давлении и отсутствии споров по управлению.
Децентрализованная модель управления в блокчейне делает сопоставимые переходы на порядок сложнее.
Индустрия, которая гордится тем, что она — «свой собственный банк», теперь должна доказать, что она может быть и своим собственным органом по криптографическим стандартам, и сделать это до того, как «железо» догонит.
Читайте далее: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates