Quantum computing больше не является теоретической проблемой для индустрии криптовалют.
Сочетание ускоряющихся аппаратных достижений от IBM, Google и Microsoft, утверждения набора стандартов постквантовой криптографии Национальным институтом стандартов и технологий (NIST) в августе 2024 года и полного отсутствия скоординированных планов миграции в крупных блокчейнах создало нарастающий разрыв в безопасности, который с каждым кварталом только увеличивается.
Ставки вполне конкретны и поддаются измерению. Один только Bitcoin (BTC) по состоянию на 23 апреля 2026 года имеет рыночную капитализацию около 1,56 трлн долларов. Оценки из академических исследований показывают, что от 25% до 40% всех обращающихся BTC находятся на адресах, чьи открытые ключи уже были раскрыты в блокчейне, что делает эти монеты теоретически уязвимыми, как только появится достаточно мощный квантовый компьютер.
TL;DR
- В августе 2024 года NIST утвердил три стандарта постквантовой криптографии, официально указав, что переход от классических схем шифрования — это срочный, а не отложенный приоритет.
- Bitcoin, Ethereum и большинство крупных блокчейнов по‑прежнему опираются на криптографию на эллиптических кривых, которую достаточно мощный квантовый компьютер сможет взломать, поставив под угрозу триллионы ончейн‑стоимости.
- Реалистичная стратегия «собирай сейчас — расшифруй позже» означает, что противники уже сегодня могут собирать зашифрованные блокчейн‑данные, чтобы расшифровать их по мере развития квантового «железа».
Криптографический каркас крипто уже является известным слабым местом
Почти каждая крупная криптовалюта опирается на два криптографических примитива, которым квантовые вычисления угрожают напрямую. Первый — это Elliptic Curve Digital Signature Algorithm (ECDSA), обеспечивающий подписание транзакций в Bitcoin, Ethereum (ETH) и сотнях производных сетей. Второй — хеш‑функция SHA-256, используемая в proof‑of‑work и генерации адресов в Bitcoin. Для обеих в рецензируемой литературе хорошо описаны квантовые векторы атак.
Знаковая статья 2022 года Марка Веббера и коллег из Университета Сассекса оценивала, что квантовый компьютер примерно с 317 логическими кубитами сможет взломать одну транзакцию Bitcoin за час, а около 13 миллионов логических кубитов потребуется, чтобы сделать это в 10‑минутное окно блока Bitcoin.
Эта цель пока недостижима для текущего оборудования, но динамика роста числа кубитов уже не выглядит безопасно далекой.
Оценка Веббера и др. в 317 логических кубитов для взлома ECDSA за час формулирует угрозу в терминах «железа», достижимых в текущем десятилетии с учётом существующих дорожных карт масштабирования.
Алгоритм Шора, открытый в 1994 году, остаётся теоретическим двигателем угрозы для ECDSA. Он решает задачу дискретного логарифмирования на квантовом компьютере за полиномиальное время по сравнению с экспоненциальным во классическом случае. Разрыв между теоретической уязвимостью и практической эксплуатацией сокращается с каждым анонсом новых вех по числу кубитов. Инвесторы, считающие это отдалённой проблемой, неверно оценивают структурный риск, который регуляторы и организации по стандартизации уже официально признали.
Также читайте: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
Постквантовые стандарты NIST — это стартовый выстрел регуляторов
13 августа 2024 года NIST опубликовал первые три финализированных стандарта постквантовой криптографии: FIPS 203 (ML-KEM, ранее CRYSTALS‑Kyber), FIPS 204 (ML-DSA, ранее CRYSTALS‑Dilithium) и FIPS 205 (SLH-DSA, ранее SPHINCS+).
В сопроводительном релизе NIST прямо рекомендовал организациям начинать миграцию немедленно и не ждать дальнейшей разработки стандартов.
Это значимый регуляторный сигнал. Стандарты NIST де‑факто являются ориентиром для соответствия во всей финансовой инфраструктуре США, и ряд агентств, включая Cybersecurity and Infrastructure Security Agency (CISA), с тех пор выпустили рекомендации, предписывающие операторам критически важной инфраструктуры инвентаризировать свою криптографию.
В широком смысле криптоинфраструктура подходит под определение критически важной финансовой инфраструктуры в ряде юрисдикций, однако ни один крупный блокчейн первого уровня не опубликовал обязательный график миграции в ответ на эти призывы.
Директива NIST от августа 2024 года «мигрировать немедленно» — это самый однозначный официальный сигнал того, что постквантовая криптография является текущей операционной задачей, а не темой для будущих исследований.
Все три утверждённых стандарта основаны на математических задачах, считающихся сложными как для классических, так и для квантовых компьютеров. ML-KEM базируется на задаче Module Learning With Errors (MLWE). ML-DSA и SLH-DSA являются соответственно решётко‑ и хеш‑ориентированными схемами. Четвёртый стандарт, FALCON (ныне FN-DSA, FIPS 206), был финализирован в последующие месяцы. Почти полное молчание блокчейн‑индустрии в ответ на эти публикации — как минимум провал управления и, в худшем случае, существенный риск для держателей активов.
Также читайте: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. Угроза «собирай сейчас — расшифруй позже» уже активна
Один из наиболее недооценённых квантовых векторов угроз не требует наличия продвинутого квантового оборудования сегодня. Стратегия, известная как «harvest now, decrypt later» (HNDL), предполагает, что противники сейчас собирают и хранят зашифрованные данные и подписанные транзакции, чтобы расшифровать их, когда квантовое «железо» дозреет. Для блокчейн‑сетей, которые по замыслу публичны и неизменяемы, HNDL — не гипотеза.
Каждая транзакция, когда‑либо отправленная в сеть Bitcoin или Ethereum, навсегда хранится на тысячах узлов по всему миру. Любой субъект, включая государственные структуры, может с минимальными затратами архивировать полную историю транзакций. В докладе 2023 года Global Risk Institute оценил, что вероятность появления «криптографически релевантной» машины, способной ломать текущие схемы шифрования, составляет 17% к 2030 году и 50% к 2034‑му.
Эти вероятности нельзя назвать пренебрежимо малыми для активов, чьи ончейн‑записи носят постоянный характер.
В дорожной карте угроз Global Risk Institute за 2023 год вероятность появления криптографически релевантного квантового компьютера к 2034 году оценивается в 50%, что укладывается в инвестиционный горизонт многих текущих держателей.
Конкретная проблема HNDL в контексте блокчейна связана не столько с прошлыми транзакциями, поскольку подтверждённая транзакция Bitcoin уже раскрывает открытый ключ и переданную сумму.
Более глубокий риск связан с повторным использованием адресов, мультиподписными схемами с раскрытыми открытыми ключами и любыми системами, где противник, имея собранный открытый ключ, впоследствии может вывести закрытый ключ и опустошить кошелёк. Учитывая, что во многих UX‑реализациях блокчейн‑адреса по умолчанию спроектированы для повторного использования, пул уже экспонированных адресов весьма велик.
Также читайте: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
Сколько биткоин‑адресов уже экспонированы?
Конкретную площадь поверхности квантовой уязвимости Bitcoin можно оценить ончейн‑анализом. В исследовании 2023 года, размещённом на arXiv специалистами Deloitte Netherlands, было выявлено, что около 4 млн BTC, то есть примерно 25% всех обращающихся на тот момент монет, хранились на адресах Pay-to-Public-Key (P2PK) или повторно используемых адресах Pay-to-Public-Key-Hash (P2PKH), где открытый ключ уже был раскрыт в блокчейне.
Формат P2PK, использовавшийся в ранних выходах Bitcoin, включая блоки, добытые Сатоси Накамото, хранит полный открытый ключ непосредственно в scriptPubKey. Это даёт квантовому атакующему прямой вход для запуска алгоритма Шора против ECDSA‑ключа.
Повторно используемые адреса P2PKH раскрывают открытый ключ в момент, когда владелец впервые тратит с такого адреса — именно так поступала значительная часть биткоин‑пользователей в течение многих лет из‑за привычки к повторному использованию адресов, подпитываемой неудобным UX кошельков.
Ончейн‑анализ Deloitte за 2023 год выявил около 4 млн BTC на форматах адресов, напрямую раскрывающих открытый ключ, что представляет собой наиболее немедленную поверхность квантовой атаки в сети Bitcoin.
Поверхность уязвимости Ethereum сопоставима по масштабу. Кошельки Ethereum, которые отправили хотя бы одну транзакцию, по определению уже раскрыли свой открытый ключ. Фонд Ethereum Foundation признал квантовую уязвимость в своей публичной дорожной карте и обозначил постквантовую миграцию как долгосрочную цель в разделе «future-proofing», но не указал ни чётких сроков, ни реализации на тестовой сети. Для сети, на которой хранятся активы пользователей на сотни миллиардов долларов, формулировка «долгосрочная цель» плохо согласуется с вероятностью 50% к 2034 году.
Также читайте: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
Вехи квантового «железа» сокращают сроки
Теоретическая угроза квантовых вычислений существует с момента публикации работы Шора в 1994 году. То, что изменилось за последние 24 месяца, — это темп развития «железа», который начал сокращать разрыв между теоретическими возможностями и практическим развёртыванием так, что это требует серьёзного пересмотра сроков.
В декабре 2023 года квантовая команда Google DeepMind published результаты, демонстрирующие, что система из 70 кубитов впервые добилась коррекции ошибок ниже порогового уровня — критически важного предварительного условия для количества логических кубитов, необходимого для масштабного запуска алгоритма Шора.
В ноябре 2024 года Google announced квантовый чип Willow, заявив, что он выполнил конкретный бенчмарк менее чем за пять минут, тогда как классическим суперкомпьютерам для этого потребовались бы 10 септиллионов лет.
Текущая дорожная карта IBM, опубликованная на ее quantum development site, нацелена на квантовые вычисления утилитарного масштаба с тысячами логических кубитов к 2033 году.
Заявление Google о чипе Willow в ноябре 2024 года и опубликованная дорожная карта IBM, нацеленная на тысячи логических кубитов к 2033 году, представляют собой конкретные аппаратные вехи, которые сокращают оценочный горизонт квантовой угрозы с «десятилетий» до «в пределах текущего десятилетия».
Подход Microsoft через топологические кубиты, объявленный через ее Azure Quantum research division, нацелен на достижение уровней ошибок на порядки ниже, чем у нынешних архитектур на сверхпроводниковых кубитах, что потенциально может ускорить путь к криптографически значимым машинам. Ни одно отдельное аппаратное объявление само по себе не является доказательством того, что угроза неизбежна.
Однако в совокупности темпы прогресса в нескольких независимых исследовательских программах существенно выше базовых допущений, заложенных в большинство документов по управлению блокчейнами, написанных до 2023 года.
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
Проблема миграции — технически и политически сложная
Даже если бы блокчейн-индустрия сегодня решила перейти на постквантовую криптографию, технические и управленческие вызовы были бы значительными. Bitcoin, как наиболее децентрализованная из крупных сетей, сталкивается с самой острой версией этой проблемы.
Изменение схемы подписей в Bitcoin требует софтфорка или хардфорка, и оба варианта предполагают координацию супербольшинства майнеров, операторов нод, разработчиков кошельков и бирж, на достижение которой исторически уходили годы даже для намного более простых обновлений.
Активация SegWit в 2017 году, относительно незначительное структурное изменение, заняла более двух лет ожесточенных дебатов, прежде чем было достигнуто требуемое пороговое значение в 95% сигнализирующих майнеров. Миграция схемы подписей была бы по сути гораздо более разрушительной, затронув каждый кошелек, горячие кошельки бирж, прошивки аппаратных кошельков и кастомные кастодиальные решения в экосистеме.
Статья 2021 года исследователей из IETF Crypto Forum Research Group noted глубокую структурную интеграцию ECDSA в интернет-инфраструктуру и охарактеризовала скоординированную миграцию как «один из самых сложных криптографических переходов в истории».
Прецедент SegWit показывает, что управление в Bitcoin движется в масштабах времени, измеряемых годами, что означает: постквантовая миграция, которая еще даже не началась, может не завершиться до наступления окна угрозы.
Аккаунтная модель Ethereum предлагает немного больше гибкости. Постквантовая дорожная карта Ethereum Foundation включает концепцию «квантово-устойчивой account abstraction», при которой кошельки могли бы мигрировать на новые схемы подписей без необходимости хардфорка базового уровня для существующих аккаунтов.
Однако этот подход требует от каждого пользователя активной миграции собственного кошелька, а исторические данные об участии в апгрейдах Ethereum shows, что пассивные пользователи стабильно не принимают ломающие изменения без механизмов принудительной деприкации.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
Постквантовые блокчейны создаются, но остаются нишевыми
Небольшая группа блокчейн-проектов восприняла квантовую угрозу достаточно серьезно, чтобы встроить постквантовую криптографию в базовый слой с момента основания. Эти проекты остаются нишевыми, но представляют собой самое наглядное в отрасли доказательство того, что квантово-устойчивый блокчейн технически осуществим.
QRL (Quantum Resistant Ledger) запустился в 2018 году как первый промышленный блокчейн, использующий eXtended Merkle Signature Scheme (XMSS) — алгоритм подписей на основе хешей, который NIST включил в свой процесс оценки. Протокол QRL не использует эллиптическую криптографию ни на одном уровне. IOTA, теперь в рамках своей архитектуры Rebased, moved к внедрению постквантовых схем подписей, включая Ed448 и решетчатые конструкции. Algorand опубликовал research по постквантовым state proofs и включил вариант подписи на основе Falcon в свой криптографический инструментарий.
Запуск мейннета QRL в 2018 году продемонстрировал, что промышленный блокчейн, использующий только хеш-основанные подписи, жизнеспособен, но рыночная капитализация проекта менее $100 млн иллюстрирует разрыв между технической состоятельностью и рыночным принятием.
Проблема этих проектов не в технической надежности, а в сетевых эффектах. Bitcoin и Ethereum доминируют благодаря ликвидности, экосистемам разработчиков, институциональной кастодиальной инфраструктуре и регуляторной узнаваемости — и все это трудно воспроизвести на квантово-безопасной, но неликвидной сети. Более реалистичный путь миграции для экосистемы заключается в дооснащении существующих цепочек постквантовыми опциями подписей — именно этот процесс и призваны поддержать такие проекты, как NIST FIPS 204 (ML-DSA). Вопрос в том, появится ли политическая воля для такой доработки раньше, чем возникнет аппаратная угроза.
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
Биржевая и кастодиальная инфраструктура сталкивается с особыми квантовыми рисками
Розничные держатели — не единственные участники с квантовой экспозицией. Централизованные биржи и институциональные кастодианы сталкиваются с особой, а в некоторых аспектах даже более острой версией угрозы, поскольку их модели безопасности построены на той же инфраструктуре ECDSA, что и отдельные кошельки, но при значительно более высокой концентрации стоимости.
Крупная биржа, удерживающая миллиарды в Bitcoin и Ethereum в горячих кошельках, по операционной необходимости должна хранить приватные ключи доступными для автоматизированных систем, выполняющих подпись транзакций. Эти приватные ключи, хранящиеся в аппаратных модулях безопасности (HSM) и системах управления ключами, построенных на классических криптографических предпосылках, становятся мишенями в постквантовом мире. Данные Chainalysis shown, что взломы бирж привели к совокупным потерям свыше $10 млрд с 2012 года, и все эти атаки были осуществлены без использования квантовых компьютеров. Добавление квантового восстановления ключей в модель угроз делает кастодиальную безопасность существенно более сложной задачей.
Данные Chainalysis документируют более $10 млрд потерь от взломов бирж с 2012 года, достигнутых исключительно классическими методами атак, что задает базовый уровень кастодиальной уязвимости, который квантовое восстановление ключей радикально усугубит.
Поставщики HSM, доминирующие на рынке институциональной криптокастодии, включая Thales, AWS CloudHSM и Entrust, осознают необходимость постквантового перехода. Рекомендации NIST по миграции прямо затрагивают сроки замены HSM. Однако операционная сложность ротации инфраструктуры управления ключами по всей глобальной бирже с миллионами клиентских кошельков — это задача, о намерении выполнить которую, равно как и о сроках, ни одна крупная биржа публично не заявила. Отсутствие регуляторных требований по раскрытию информации о квантовой готовности означает, что инвесторы не имеют возможности оценить кастодиальный квантовый риск по публичной отчетности.
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
Государственные акторы и геополитическое измерение квантовых атак на крипто
Квантовая угроза для криптовалют — не только техническая проблема. У нее есть геополитическое измерение, которое инвесторы и политические аналитики в публичной дискуссии во многом игнорируют. Государственные квантовые программы, особенно в Китае, США и в меньшей степени в России и Европейском союзе, финансируются на уровни, многократно превышающие частные исследования, а их возможности засекречены.
Национальная программа Китая по квантовым вычислениям формализована в 14-м пятилетнем плане (2021–2025 годы) и его преемнике; государственные инвестиции в квантовые исследования, по данным Center for Security and Emerging Technology при Джорджтаунском университете, reported превышают $15 млрд в течение периода действия плана. Собственное исследовательское подразделение PBoC опубликовало статьи о сроках квантовых атак на финансовую криптографию. Если бы засекреченная квантовая программа достигла криптографической значимости раньше публичных академических программ, первым признаком могли бы стать тихие опустошения уязвимых биткоин-адресов — событие, неотличимое от изощренного классического взлома до тех пор, пока судебно-технический анализ не определит вектор атаки.
CSET Джорджтаунского университета задокументировал китайские государственные инвестиции в квантовые технологии свыше $15 млрд в рамках одного пятилетнего цикла планирования — уровень финансирования, который может породить засекреченные возможности, опережающие публично известные академические графики.
Правительственные органы США движутся быстрее частного криптосектора в реагировании на эту угрозу. Office of Management and Budget (OMB)issued меморандум M-23-02 в ноябре 2022 года, предписывая всем федеральным агентствам завершить криптографические инвентаризации к 2023 году и начать планирование миграции. Агентство национальной безопасности США (NSA) опубликовало свои собственные рекомендации по постквантовой миграции для систем национальной безопасности. Разрыв между срочностью реакции правительства и самодовольством частной криптоинфраструктуры разителен и заслуживает осмысления.
Также читайте: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
Как выглядит достоверный ответ индустрии и как далеко мы от него находимся
Проекция того, как должен выглядеть ответственный план квантовой миграции для блокчейн-индустрии, делает разрыв между текущим состоянием и адекватной подготовкой наглядным. Основываясь на руководящих указаниях NIST, академических исследованиях и графиках аналогичных инфраструктурных миграций, достоверный ответ требует прохождения пяти отдельных фаз в течение примерно восьми–десяти лет.
Первая фаза — криптографический аудит: каждая команда протокола, биржа и кастодиан должны каталогизировать каждый используемый криптографический примитив, размеры ключей, статус экспонирования открытых ключей и граф зависимостей систем, в которых потребуются изменения. Вторая фаза — выбор постквантового алгоритма, выбор между ML-DSA, SLH-DSA и FN-DSA в зависимости от баланса производительности и безопасности для конкретного варианта использования. Доступное академическое сравнение было опубликовано исследователями из IACR Cryptology ePrint Archive в 2022 году и содержит бенчмаркинг финалистов NIST. Третья фаза — развёртывание в тестнете и стейджинге. Четвёртая фаза — скоординированный запуск в мейннете. Пятая фаза — затяжная миграция пользователей, особенно для сетей с форматами адресов, основанными на уже раскрытых ключах.
Исследование по бенчмаркингу IACR за 2022 год даёт конкретные показатели производительности для постквантовых финалистных алгоритмов, предоставляя командам протоколов данные, необходимые для выбора алгоритмов уже сегодня, без ожидания дальнейшей стандартизации.
Ядро сообщества разработчиков Bitcoin подготовило два релевантных предложения по улучшению Bitcoin. BIP-360, предложенный в конце 2024 года Хантером Бистом и соавторами, описывает формат адресов Pay to Quantum Resistant Hash (P2QRH), использующий CRYSTALS-Dilithium в качестве схемы подписи по умолчанию.
По состоянию на апрель 2026 года BIP-360 остаётся в статусе черновика, без предложенного механизма активации. Дорожная карта постквантового развития Ethereum, опубликованная на странице дорожной карты фонда Ethereum, признаёт необходимость Winternitz One-Time Signatures или аутентификации на основе STARK как долгосрочных решений, но относит их к категории улучшений «splurge» — наинизший приоритет в текущей структуре дорожной карты.
Учитывая аппаратные сроки, изложенные в разделе пять, такую приоритизацию следует решительно оспаривать.
Читайте далее: 35% Of European Investors Would Ditch Their Bank For Crypto Access
Заключение
Угроза, которую квантовые вычисления представляют для криптовалют, реальна, задокументирована и развивается по графику, который индустрия пока не осознала.
NIST завершил стандартизацию постквантовых алгоритмов в августе 2024 года и предписал немедленную миграцию. Государственные квантовые программы финансируются на уровнях, обеспечивающих появление засекреченных возможностей раньше, чем публичные академические результаты. Где‑то от 25% до 40% находящихся в обращении биткоинов размещены на адресах, открытые ключи которых уже раскрыты в блокчейне и доступны для сбора. Ничего из этого не является спекуляцией. Всё это поддаётся цитированию, количественно оценено и доступно в первичных документах, с которыми команды протоколов, комплаенс‑отделы бирж и институциональные кастодианы уже имели время ознакомиться.
Индустрии недостаёт не информации, а срочности. Этот паттерн знаком по другим медленно назревающим кризисам безопасности.
Организации не переходят с уязвимых систем, пока либо катастрофический инцидент не вынудит их к этому, либо регуляторный дедлайн не оставит им иного выбора.
В квантовом случае катастрофическим инцидентом станет тихое опустошение адресов с раскрытыми ключами биткоина актором уровня государства, обладающим засекреченной квантовой машиной; это произойдёт без предупреждения и без той судебно‑технической ясности, которая позволила бы инициировать скоординированный ответ до нанесения существенного ущерба.
Механизмы управления Bitcoin и Ethereum не предназначены для достижения консенсуса в кризисные сроки, что означает: окно для упорядоченной миграции сужается, даже если аппаратная угроза ещё полностью не материализовалась.
Позитивный вывод этого анализа в том, что квантовый переход создаёт подлинную возможность для исследований и разработок. Команды протоколов, которые первыми интегрируют постквантовые подписи, биржи, которые опубликуют прозрачные дорожные карты квантовой готовности, и кастодианы, модернизирующие свою HSM‑инфраструктуру до вступления в силу регуляторных требований, займут существенно более выгодные конкурентные позиции, когда угроза станет невозможной для игнорирования. Исследования завершены. Стандарты опубликованы. Остаётся работа по управлению и принятию решений, и начинать её нужно сейчас.