У міру того як розвиток квантових обчислень змушує криптографів переосмислювати математичні основи цифрової безпеки, індустрія криптовалют стикається з унікальним і нагальним питанням: як перенести мільярди доларів в активах, заблокованих за допомогою криптографії на еліптичних кривих, на квантостійкі схеми підпису, не зламавши мережі, які їх захищають?
Квантова загроза для крипто: реальна, але не неминуча
Bitcoin (BTC) та Ethereum (ETH) покладаються на алгоритм підпису ECDSA, побудований на еліптичній кривій secp256k1, щоб доводити право власності на кошти. Безпека кожної транзакції ґрунтується на одному математичному припущенні: що отримати приватний ключ з відповідного публічного ключа обчислювально неможливо для класичних комп’ютерів.
Алгоритм Шора, вперше опублікований математиком Пітером Шором у 1994 році, руйнує це припущення.
Запущений на достатньо потужному квантовому комп’ютері, він зводить задачу дискретного логарифма на еліптичних кривих до поліноміального часу — тобто може добувати приватні ключі достатньо швидко, щоб спорожнити будь-який гаманець, публічний ключ якого був розкритий ончейн.
Апаратного забезпечення для такої атаки поки не існує. Поточні оцінки свідчать, що для зламу secp256k1 знадобиться приблизно від 2 330 до 2 500 логічних кубітів, що відповідає близько 13 мільйонам фізичних кубітів для одноденної атаки. Найсучасніші квантові процесори сьогодні мають трохи більше ніж 100 кубітів.
Алгоритм Гровера, інша часто згадувана квантова загроза, націлений на хеш-функції, а не на підписи. Він дає лише квадратичне прискорення, знижуючи безпеку SHA-256 з 256 біт до 128 біт — що все ще потребує 2 у степені 128 операцій і залишається практично незламним.
Механізм proof-of-work у Bitcoin не перебуває під загрозою з боку квантових обчислень. Під загрозою його схема підпису.
Дискусія щодо часових рамок різко ділить оптимістів і песимістів.
Дженсен Хуан, CEO Nvidia, оцінює появу корисних квантових комп’ютерів як «ймовірно за двадцять років».
Адам Бек, CEO Blockstream і кіберпанк, відкидає короткострокові попередження, стверджуючи, що прогнози на 2028 рік є нереалістичними.
З іншого боку, Шохіні Ґосе, CTO Quantum Algorithms Institute, попереджає, що спільнота недостатньо стурбована, наголошуючи, що момент появи квантових обчислень концептуально зробив усю наявну криптографію з відкритим ключем вразливою.
У звіті Global Risk Institute за 2024 рік, в якому опитали 32 експертів, було оцінено ймовірність появи криптографічно релевантного квантового комп’ютера протягом десяти років у 19–34%, проти 17–31% у 2023 році. Більшість фахівців сходяться на тому, що найвірогідніший період — початок–середина 2030-х.
Читайте також: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Що насправді означає постквантова криптографія
Постквантова криптографія (PQC) — це сімейство криптографічних алгоритмів, розроблених для стійкості до атак як класичних, так і квантових комп’ютерів.
На відміну від квантової криптографії, яка покладається на саму квантову механіку для розподілу ключів, PQC повністю працює на звичайному апаратному забезпеченні. Це критично важливо для блокчейну, тому що означає: наявні ноди й гаманці можуть впроваджувати такі схеми без спеціалізованого квантового обладнання.
Із десятиліть академічних досліджень постало п’ять основних сімейств PQC-алгоритмів.
Кожне з них застосовує принципово різний математичний підхід до побудови задач, які квантові комп’ютери не можуть ефективно розв’язувати, і кожне має власні компроміси щодо розміру підписів, швидкодії та припущень безпеки.
Читайте також: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Ґраткова криптографія: головний претендент
Ґраткові (lattice-based) схеми домінують у постквантовому ландшафті. Два найпомітніші алгоритми — CRYSTALS-Kyber (нині стандартизований як ML-KEM) для інкапсуляції ключів та CRYSTALS-Dilithium (ML-DSA) для цифрових підписів — отримують безпеку із задачі Module Learning With Errors. Спрощено, це відновлення секретного вектора з системи зашумлених лінійних рівнянь, визначених над структурованою математичною ґраткою.
Базові операції зводяться до поліноміальної арифметики та обчислення хешів, що робить ґраткові схеми швидкими та зручними для реалізації на різних апаратних платформах.
На найнижчому рівні безпеки ML-DSA генерує підписи розміром близько 2 420 байт із публічними ключами 1 312 байт — приблизно в 38 разів більше за компактні 64-байтові підписи ECDSA сьогодні.
Такий ріст розміру прийнятний для більшості інтернет-застосунків. Для блокчейнів, де кожен байт транзакції безпосередньо впливає на пропускну здатність і комісії, це серйозне інженерне обмеження.
Читайте також: Hyperliquid Hits 44% Of All Perp DEX Volume
Підписи на основі хешів: консервативні, але дорогі
Криптографія на основі хешів пропонує найбільш консервативні гарантії безпеки серед усіх сімейств PQC. SPHINCS+, нині стандартизований як SLH-DSA, покладається виключно на властивості самих хеш-функцій, без алгебраїчних припущень, які може зруйнувати майбутній математичний прорив.
Схема будує так зване «гіпердерево» — багаторівневу структуру одноразових підписів Вінтерніца, поєднаних деревами Меркла — що дає змогу виконувати необмежену кількість підписів у безстанному режимі з однієї пари ключів.
Компроміс дуже жорсткий.
Підписи, які створює SLH-DSA, мають розмір від приблизно 7 856 до 49 856 байт залежно від обраних параметрів, а процес підпису приблизно у 100 разів повільніший за ґраткові альтернативи.
XMSS, станова (stateful) варіація, створює компактніші підписи в діапазоні від 2 500 до 5 000 байт, але вимагає ретельного обліку, які одноразові ключі вже були використані. Повторне використання ключа знищує всі гарантії безпеки.
Для блокчейну хеш-орієнтовані схеми створюють парадокс: їхні припущення безпеки є найсильнішими серед усіх PQC-сімейств, але розміри підписів можуть зробити їх непрактичними для високопродуктивних ланцюгів.
Читайте також: Circle Wants The EU To Let Stablecoins Settle Trades
Кодова та інші схеми: сильні сторони й поразки
Криптографія на основі кодів, прикладом якої є Classic McEliece, ґрунтується на складності декодування випадкових лінійних кодів — задачі, запропонованої ще у 1978 році й стійкої до чотирьох десятиліть криптоаналізу.
Її публічні ключі величезні — від 261 КБ до 1,3 МБ, зате шифротексти дуже малі, 128–240 байт. HQC, новіша схема на основі кодів, була обрана NIST у березні 2025 року як резервний механізм інкапсуляції ключів.
Мультиваріантна поліноміальна криптографія покладається на NP-складність розв’язання систем багатоваріантних квадратичних рівнянь над скінченними полями.
Rainbow, провідний кандидат у цьому сімействі, був катастрофічно зламаний у лютому 2022 року дослідником Вардом Беулленсом, який відновив секретні ключі на звичайному ноутбуці за 53 години.
Базова схема UOV вижила, а її компактний похідний варіант MAYO пройшов до другого додаткового конкурсу підписів NIST у жовтні 2024 року.
Ізогенійна криптографія зазнала ще драматичнішого краху. SIKE, що пропонував найменші розміри ключів серед усіх PQC-кандидатів (близько 330 байт), був знищений у серпні 2022 року, коли Ваутер Кастрик та Томас Декрю з KU Leuven опублікували класичну атаку з відновлення ключа, яка використовувала теорему математика Ернста Кані 1997 року.
SIKEp434 було зламано за одну годину на одному CPU-ядрі. Дослідження тривають із новими схемами, такими як SQISign і CSIDH, але жоден ізогенійний алгоритм більше не бере участі в основному конкурсі стандартизації NIST.
Читайте також: A $30M Pharma Company Just Bought $147M Of One Crypto Token
Восьмирічний марафон стандартизації NIST
NIST запустив процес стандартизації постквантової криптографії в грудні 2016 року, прийнявши 69 кандидатів до листопада 2017 року. Після цього відбулося три раунди публічного криптоаналізу, в ході яких були виявлені фатальні вади в Rainbow і SIKE.
Процес завершився 13 серпня 2024 року публікацією перших трьох фіналізованих стандартів.
FIPS 203, заснований на Kyber, описує інкапсуляцію ключів під назвою ML-KEM. FIPS 204, заснований на Dilithium, визначає цифрові підписи як ML-DSA. FIPS 205, заснований на SPHINCS+, надає альтернативний стандарт підписів на основі хешів під назвою SLH-DSA.
Четвертий стандарт, FIPS 206, заснований на алгоритмі FALCON, перейшов у стадію проєкту в серпні 2025 року й очікується до фіналізації наприкінці 2026 або на початку 2027 року.
FALCON створює підписи розміром близько 666 байт — приблизно в 10 разів більші за ECDSA, а не в 38 разів, як у Dilithium. — роблячи її найкомпактнішою постквантовою схемою підпису та найсильнішим кандидатом для застосувань у блокчейні.
Керівник проєкту NIST Дастін Муді urged організації якомога швидше розпочати перехід.
Фреймворк CNSA 2.0 від АНБ зобов’язує використовувати виключно постквантові алгоритми для підпису програмного забезпечення до 2030 року та для веб-інфраструктури до 2033 року. Сам NIST планує повністю вивести з ужитку криптографію на еліптичних кривих до 2035 року. Уряд США оцінює загальну вартість цієї міграції приблизно у 7,1 мільярда доларів.
Також читайте: Polymarket Bans Insider Trading
BIP-360 у Bitcoin: квантовий щит із проблемами управління
Найзначнішою пропозицією щодо квантової стійкості Bitcoin є BIP-360, co-authored співавторами Гантером Бістом з MARA, Ітаном Хайлманом та Ізабел Фоксен Дюк.
Запропонований у червні 2024 року та інтегрований до офіційного репозиторію BIP на початку 2025 року, він створює новий тип виходу під назвою Pay-to-Merkle-Root, або P2MR, використовуючи виходи SegWit версії 2 з адресами bc1z. P2MR прибирає вразливий до квантових атак ключовий шлях витрат із Taproot, закладаючи модульну основу для майбутніх софтфорків, які додадуть конкретні постквантові схеми підпису на кшталт ML-DSA чи SLH-DSA.
20 березня 2026 року компанія BTQ Technologies deployed розгорнула першу робочу реалізацію BIP-360 на своєму Bitcoin Quantum Testnet v0.3.0 з повними правилами консенсусу P2MR, п’ятьма опкодами постквантових підписів Dilithium та повним набором інструментів для гаманців.
Тестнет залучив понад 50 майнерів і обробив більше ніж 100 000 блоків.
Chaincode Labs зазначила в аналізі за травень 2025 року, що ініціативи PQC у Bitcoin залишаються на ранній та дослідницькій стадії.
Проблема розміру підпису є критичною. Типова транзакція Bitcoin використовує приблизно 225 байт з ECDSA. Заміна приблизно 72-байтового підпису на 2 420 байтів Dilithium2 плюс його 1 312-байтовий відкритий ключ додає близько 3 700 байтів на один вхід — приблизно у 16 разів більше за нинішній розмір усієї транзакції.
Дослідники прогнозують погіршення пропускної здатності на 52–57 відсотків у дозволених тестнетах і ймовірно на 60–70 відсотків у недозволених мережах, із зростанням комісій у два-три рази. Більш компактні підписи FALCON-512 зменшили б вплив до приблизно семикратного збільшення розміру транзакції, що робить його найсильнішим кандидатом для розгортання в блокчейні.
Консервативна культура управління Bitcoin ускладнює завдання. SegWit потребував близько 8,5 року для широкого впровадження, а Taproot — 7,5 року.
Суперечлива пропозиція QRAMP, яка встановлює дедлайн, після якого монети на старих форматах адрес стають невитрачуваними, ілюструє мінне поле в управлінні, що чекає попереду.
Тим часом близько 6,5 мільйона BTC sit зберігаються на вразливих до квантових атак адресах, включно з приблизно 1,1 мільйона BTC на відкритих P2PK-адресах Сатоші.
Також читайте: Larry Fink Says Tokenization Is Where The Internet Was In 1996
Абстракція акаунтів в Ethereum пропонує чистіший шлях
Ethereum moved рішуче діяв на початку 2026 року.
23 січня Ethereum Foundation офіційно підняв постквантову безпеку до найвищого стратегічного пріоритету, створивши спеціальну PQ-команду під керівництвом криптографічного інженера Томаса Коратже.
Старший дослідник Джастін Дрейк оголосив, що після багаторічних непублічних досліджень і розробок керівництво офіційно оголосило PQ-безпеку головним стратегічним пріоритетом Фонду, додавши, що часові рамки прискорюються і настав час перейти в режим «full PQ». Фонд підкріпив зусилля 2 мільйонами доларів фінансування, розподіленими між призами Poseidon Prize і Proximity Prize за дослідження в галузі PQC.
Віталік Бутерін unveiled представив комплексну дорожню карту квантового захисту 26 лютого 2026 року, націлену на чотири зони вразливості у стеку Ethereum: підписи BLS на рівні консенсусу будуть замінені на хеш-орієнтовані підписи з агрегацією STARK, зобов’язання KZG будуть замінені на квантово-стійкі STARK, підписи ECDSA для зовнішніх акаунтів (EOA) будуть замінені через нативну абстракцію акаунтів, а доказові системи нульового розголошення на рівні застосунків мігрують із Groth16 на STARK.
Критичним механізмом, що це забезпечує, є EIP-8141, відомий як «Frame Transactions», співавтором якого є Бутерін та інші. Він відв’язує акаунти Ethereum від фіксованих підписів ECDSA, дозволяючи кожному акаунту визначати власну логіку валідації — чи то квантово-стійкі підписи, мультипідпис, чи ротація ключів.
На відміну від потенційної потреби в хардфорку Bitcoin, EIP-8141 achieves досягає цього через нативну абстракцію акаунтів, надаючи шлях виходу з криптографії на еліптичних кривих до постквантових систем без необхідності одночасної міграції всієї мережі. Пропозиція націлена на хардфорк Hegotá наприкінці 2026 року.
Також читайте: Strategy Opens $44B In New ATM Capacity
Algorand та QRL лідирують серед квантово-готових блокчейнів
Algorand (ALGO) executed здійснив першу постквантову транзакцію на живому публічному блокчейні 3 листопада 2025 року, використовуючи підписи FALCON-1024, обрані NIST, у мейннеті.
Заснований лауреатом Премії Тюрінга Сільвіо Мікалі, Algorand має в команді Кріса Пейкерта, співавтора фреймворку GPV, що лежить в основі FALCON, та Чженьфея Чжана, безпосереднього учасника пропозиції FALCON для NIST. State Proofs ланцюга використовують підписи FALCON з 2022 року, роблячи всю історію блокчейна квантово-безпечною для кросчейн-перевірки.
Algorand демонструє, що 10 000 транзакцій за секунду з часом блоку 2,8 секунди можуть співіснувати з постквантовими підписами.
QRL (Quantum Resistant Ledger), launched запущений у червні 2018 року, є квантово-стійким від генезисного блоку завдяки хеш-орієнтованим підписам XMSS.
Після семи років роботи без інцидентів безпеки QRL 2.0 (проєкт Zond) мігрує до безстанового SPHINCS+ і додає сумісність з EVM.
Solana (SOL) запровадила необов’язковий Winternitz Vault у січні 2025 року, а Solana Foundation у грудні 2025 року уклала партнерство з Project Eleven для запуску публічного тестнету, що замінює Ed25519 на Dilithium. IOTA показово відмовилася від квантової стійкості у 2021 році, перейшовши від підписів Winternitz до Ed25519 з міркувань продуктивності — рішення, яке ілюструє практичну напругу між квантовою готовністю та поточними вимогами до пропускної здатності.
Також читайте: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
«Збирай зараз, розшифровуй пізніше» — реально, але з нюансами для блокчейна
Стратегія «збирай зараз, розшифровуй пізніше», за якої опоненти збирають зашифровані дані сьогодні з наміром розшифрувати їх, коли квантові комп’ютери стануть достатньо потужними, є визнаною загрозою, що підштовхує до дій уряди та розвідувальні агентства. Роб Джойс, директор з кібербезпеки АНБ, попередив, що перехід до квантово-безпечного шифрування буде довгим та інтенсивним спільним зусиллям.
Кріс Вейр з Ініціативи з квантової безпеки Всесвітнього економічного форуму визначив Китай як державу, здатну переслідувати такі атаки в масштабі.
Проте для блокчейна підхід «збирай зараз» потребує обережного тлумачення. Як Джастін Талер з a16z crypto argued стверджував у аналізі за грудень 2025 року, квантова загроза для публічних блокчейнів полягає у підробці підписів, а не в розшифруванні.
Реєстр Bitcoin уже є публічним. Немає зашифрованих даних, які можна було б «збирати».
Справжня небезпека — це безпосереднє виведення ключа: щойно з’явиться криптографічно релевантний квантовий комп’ютер, будь-яка адреса, відкритий ключ якої було розкрито в ланцюгу, стає негайно вразливою, незалежно від того, коли відбулося розкриття.
Постійний та незмінний характер блокчейна робить таке розкриття незворотним. Орієнтовані на приватність монети на кшталт Monero (XMR) та Zcash (ZEC), які шифрують деталі транзакцій, дійсно стикаються з більш традиційною загрозою «збирай зараз, розшифровуй пізніше».
Також читайте: Fed Hawkish Tone Triggers $405M Crypto Outflows
Поточне квантове апаратне забезпечення все ще далеке від зламу криптографії
Квантовий чип Willow від Google, unveiled представлений у грудні 2024 року зі 105 кубітами, забезпечив першу демонстрацію корекції квантових помилок нижче порогу, експоненційно зменшуючи помилки зі збільшенням кількості кубітів у системі. Він виконав певний еталонний розрахунок менш ніж за п’ять хвилин, тоді як класичним суперкомп’ютерам це зайняло б, за оцінками, 10 у степені 25 років.
Проте, як зазначив Вінфрід Генсінґер з Університету Сассекса, цей чип усе ще занадто малий, щоб виконувати корисні обчислення такого типу, які потрібні для загрози криптографічним системам.
Дорожня карта IBMtargets 200 логічних кубітів до 2029 року за допомогою свого процесора Starling. У топологічному чипі Majorana 1 від Microsoft, представленому в лютому 2025 року, обіцяно радикально ефективнішу корекцію помилок завдяки новій архітектурі кубітів.
Але навіть найоптимістичніші прогнози свідчать, що ці віхи залишаються дуже далекими від мільйонів фізичних кубітів, необхідних для запуску алгоритму Шора проти ECDSA в масштабі.
У статті Крейга Гідні з Google, опублікованій у травні 2025 року, було compressed оцінні ресурсні вимоги для факторизації RSA-2048 з 20 мільйонів до менш ніж 1 мільйона «шумних» кубітів — двадцятикратне зменшення, яке суттєво уточнило часові оцінки. Платформа прогнозування Metaculus змістила свій прогноз із 2052 на 2034 рік щодо того, коли алгоритм Шора зможе факторизувати RSA у практичному масштабі.
Концепція «Q-Day» — моменту, коли квантовий комп’ютер успішно зламає сучасну криптографію з відкритим ключем — залишається рухомою ціллю. Теорема математика Мікеле Москa captures нагальність просто: якщо час, необхідний для міграції, плюс термін «життя» ваших даних перевищує час, що залишився до Q-Day, ви вже запізнилися.
Also Read: What Will It Take For Solana To Reclaim $90?
Завершальні думки
Постквантові алгоритми працюють. Стандарти NIST опубліковано, FALCON пропонує практичні розміри підписів для розгортання в блокчейні, а Algorand довів здійсненність PQC-транзакцій у масштабі на робочій мережі. Складна проблема полягає не в криптографії, а в соціальних і структурних аспектах: децентралізоване управління Bitcoin робить швидкі зміни протоколу надзвичайно важкими, підписи розміром у 10–38 разів більшим за ECDSA зменшать пропускну здатність і підвищать комісії, а приблизно 6,5 мільйона BTC на квантово-вразливих адресах створюють безпрецедентну координаційну проблему.
Вікно для дій визначається не тим, коли з’являться криптографічно релевантні квантові комп’ютери, а тим, скільки часу займає сама міграція.
З огляду на те, що оновлення Bitcoin історично потребують сім-вісім років, а державні вимоги націлені на період 2030–2035 років, часовий горизонт криптовалютної індустрії для підготовки до квантової ери вже є тривожно стисненим. Проєкти, які почнуть міграцію зараз, будуть захищені, коли настане Q-Day. Ті, що чекатимуть, — ні.
Read Next: Resolv USR Crashes 72% After $25M Exploit