Квантові комп’ютери сьогодні не можуть зламати Bitcoin (BTC) чи Ethereum (ETH), але вікно для самозаспокоєння звужується, оскільки апаратні досягнення пришвидшуються, оцінки експертів щодо строків сходяться до 2030‑х, а оновлення блокчейн‑протоколів історично потребують п’ять–десять років координації — отже, готуватися потрібно вже зараз, навіть якщо сама загроза ще за роки.
Дискусія про те, коли настане квантова небезпека
Кожні кілька місяців заголовок про новий квантовий чип викликає тремтіння на крипторинках.
Такий сценарій повторюється з того часу, як Google у грудні 2024 року представила свій чип Willow із 105 надпровідними кубітами, що розв’язав вузьку обчислювальну задачу менш ніж за п’ять хвилин — завдання, на яке найшвидшому класичному суперкомп’ютеру знадобилися б 10 септильйонів років.
IBM відповіла своїми процесорами Heron на 156 кубітів і детальною дорожньою картою, що цілиться приблизно в 200 логічних кубітів до 2029 року та 2 000 до 2033‑го. Microsoft представила Majorana 1 у лютому 2025 року — процесор на топологічних кубітах, який, за словами CEO Сатьї Наделли, можна масштабувати до мільйона кубітів на одному чипі протягом кількох років, а не десятиліть.
Скептики залишаються голосними. CEO Blockstream і ранній учасник розробки Bitcoin Адам Бек називає суттєві квантові ризики «ймовірно за 20–40 років». CEO Nvidia Дженсен Хуанг оцінює, що корисні квантові комп’ютери «ймовірно все ще за двадцять років».
Майкл Сейлор відкидає ці побоювання як перебільшені, стверджуючи, що традиційна банківська інфраструктура та військові системи стануть ціллю задовго до того, як хтось націлиться на Bitcoin. Аналітик CoinShares Крістофер Бендіксен у звіті за лютий 2026 року стверджував, що для зламу Bitcoin потрібні системи приблизно у 100 000 разів потужніші за все, що існує сьогодні.
З іншого боку, Віталік Бутерін на Devconnect у Буенос‑Айресі в листопаді 2025 року заявив, що еліптичні криві, які використовуються в криптовалюті, «помруть», посилаючись на прогнози Metaculus, які дають приблизно 20‑відсоткову ймовірність появи криптографічно релевантних квантових комп’ютерів до 2030 року.
Професор Техаського університету Скотт Ааронсон, якого широко вважають одним із провідних теоретиків квантових обчислень, у листопаді 2025 року написав, що тепер розглядає відмовостійкий квантовий комп’ютер, здатний запускати алгоритм Шора, як реальну можливість ще до наступних президентських виборів у США.
CEO Alice & Bob — квантового партнера Nvidia — Тео Пероннен попередив на Web Summit у Лісабоні, що квантові машини можуть стати достатньо потужними, щоб розшифрувати Bitcoin після 2030 року.
Центр ваги знаходиться між цими полюсами. В опитуванні Global Risk Institute за грудень 2024 року серед 32 експертів було виявлено, що понад половина вважає: існує більше ніж 5‑відсоткова ймовірність появи криптографічно релевантного квантового комп’ютера протягом 10 років.
Chainalysis у 2025 році узагальнила, що галузеві експерти зазвичай оцінюють горизонт у п’ять–п’ятнадцять років.
Розробник Bitcoin Джеймсон Лопп сформулював прагматичну позицію: обдумані зміни протоколу та безпрецедентна міграція коштів можуть зайняти п’ять–десять років, тож спільноті варто готуватися до найгіршого, сподіваючись на краще.
Також читайте: Strategy Buys $1.57B In Bitcoin - Its 12th Straight Weekly Purchase
Розуміння цифр, що стоять за загрозою
Базове дослідження походить з роботи 2022 року Марка Веббера та колег з Університету Сассекса, опублікованої в AVS Quantum Science.
У цьому дослідженні було оцінено, що злам 256‑бітної схеми підпису ECDSA у Bitcoin вимагатиме 317 мільйонів фізичних кубітів для атаки тривалістю одну годину або 13 мільйонів фізичних кубітів для атаки тривалістю 24 години за умови використання корекції помилок із поверхневим кодом і помилок гейту на рівні 10⁻³.
Аналіз 2023 року Даніела Літінскі з PsiQuantum знизив цю оцінку до 6,9 мільйона фізичних кубітів для атаки тривалістю 10 хвилин. Ще новіші роботи ще більше зменшили оцінки.
Потреба в логічних кубітах збігається приблизно навколо 2 330 згідно з усталеними формулами, але нові техніки корекції помилок можуть зробити атаку здійсненною вже з 100 000 – 1 000 000 високоякісних фізичних кубітів.
Поточні квантові машини навіть близько не дотягують до цього рівня. Чип Willow від Google працює на 105 фізичних кубітах, а Quantinuum продемонструвала 50 логічних кубітів із високою точністю. Розрив за кількістю фізичних кубітів становить приблизно від 10 000 до 300 000 разів.
Але важлива траєкторія, а не поточний знімок. IonQ прогнозує 1 600 логічних кубітів із корекцією помилок до 2028 року та 80 000 до 2030‑го.
Deloitte оцінює, що приблизно 25 відсотків усіх біткоїнів — від чотирьох до шести мільйонів BTC — зберігаються на адресах із відкритими публічними ключами, які будуть вразливі для майбутнього квантового атакуючого.
Більш консервативний аналіз CoinShares стверджує, що реалістичному ризику в середньостроковій перспективі піддаються лише близько 10 200 BTC, оскільки більшість уразливих монет або втрачені, або належать суб’єктам, які мігрують задовго до появи криптографічно релевантного квантового комп’ютера.
Також читайте: Why SEC's Hester Peirce Wants Crypto Builders Inside
Припиніть повторне використання адрес — це найважливіший крок
Основна квантова вразливість Bitcoin криється у розкритті публічного ключа. Коли хтось отримує біткоїни на сучасну хешовану адресу — P2PKH, що починається з «1», або P2WPKH, що починається з «bc1q», — у ланцюгу зберігається лише хеш публічного ключа.
Квантовий комп’ютер не може ефективно обернути SHA‑256 чи RIPEMD‑160. Алгоритм Ґровера дає лише квадратичне прискорення, зменшуючи 256‑бітну безпеку до ефективних 128 бітів, що все ще вважається надійним рівнем.
Однак у момент, коли користувач витрачає кошти з цієї адреси, повний публічний ключ розкривається в даних свідка транзакції й назавжди записується в блокчейн. Алгоритм Шора тоді може вивести приватний ключ із цього розкритого публічного ключа. Саме тому повторне використання адрес — найшкідливіша практика з погляду квантової підготовленості.
Як Project Eleven пояснив у липні 2025 року, після підтвердження транзакції вихід, прив’язаний до цього ключа, повністю витрачений — тож якщо адресу не використовують повторно, публічний ключ більше не захищає жодних невитрачених монет.
Але якщо той самий публічний ключ має інші UTXO через повторне використання адреси, ці баланси залишаються під загрозою. Виправлення просте. Перевірте кожну адресу з балансом у блок‑експлорері. Якщо будь‑яка адреса показує вихідні транзакції, її публічний ключ розкрито. Перемістіть ці кошти на нову, ніколи раніше не використану адресу P2WPKH.
Також читайте: Trumps' World Liberty Demands $5.3M For VIP Access
Як UTXO‑модель Bitcoin створює природний рівень захисту
UTXO‑модель Bitcoin — Unspent Transaction Output, або «невитрачений вихід транзакції» — забезпечує вбудований рівень квантового захисту, який більшість власників недооцінює.
Кожен UTXO блокується скриптом, що вимагає підтвердження володіння приватним ключем. У форматах із хешованою адресою блокувальний скрипт містить лише хеш публічного ключа. Реальний публічний ключ залишається прихованим, доки власник не створить транзакцію витрати.
Це означає, що невитрачені UTXO на адресах, які ніколи не використовувалися для вихідних транзакцій, фактично є квантово безпечними щодо віддалених атак. MARA Holdings рекомендує використовувати нативні формати SegWit, такі як P2WPKH і P2WSH, які поєднують нижчі комісії з хешованими публічними ключами. зобов’язань, що робить їх консервативним вибором для довгострокового зберігання.
Практична «гігієна» роботи з гаманцем передбачає генерацію нової адреси для кожної вхідної транзакції та уникнення консолідації UTXO без крайньої потреби.
Один важливий нюанс стосується Taproot-адрес — P2TR, що починаються з «bc1p». Вони кодують різновид відкритого ключа безпосередньо у виході, роблячи їх вразливими до квантових атак із моменту надходження коштів, незалежно від того, чи витрачав власник ці кошти. Для великих довгострокових холодних заощаджень P2WPKH залишається безпечнішим вибором до появи постквантових оновлень.
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
Вікно мемпулу: чому переміщення монет усе ще безпечне
Виникає природне запитання: якщо переміщення монет тимчасово розкриває відкритий ключ під час транзакції, чи не створює це квантовий ризик саме по собі? Відповідь — так, але це вікно досить вузьке, щоб ним можна було керувати. З моменту, коли транзакція потрапляє в мемпул, і до її включення в блок — зазвичай від 10 до 60 хвилин — зловмисник із квантовим комп’ютером теоретично мав би можливість вивести закритий ключ і розіслати конкуруючу транзакцію.
Однак найоптимістичніші оцінки майбутньої квантової атаки на ECDSA припускають мінімум вісім годин, а швидше за все значно більше, щоб зламати один ключ. Цей розрив між часом перебування в мемпулі та часом атаки створює суттєвий запас безпеки.
Ризик залишити монети на повторно використаній адресі з постійно розкритим відкритим ключем на роки незрівнянно вищий за миттєвий ризик однієї міграційної транзакції.
Для власників, що керують дуже великими сумами, існують додаткові методи пом’якшення ризиків. Надсилання транзакцій безпосередньо в майнінговий пул — в обхід публічного мемпулу — усуває навіть це вузьке вікно. Деякі орієнтовані на приватність гаманці вже підтримують таку можливість.
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
І Bitcoin, і Ethereum мають шляхи постквантового оновлення
Основною пропозицією для Bitcoin є BIP-360, запропонований Гантером Бістом з MARA у червні 2024 року. Він створює новий тип виходу — Pay to Quantum Resistant Hash, або P2QRH, який використовує SegWit версії 3 з адресами, що починаються з «bc1r».
Дизайн свідомо гібридний — кожен вихід може включати класичні ключі Schnorr разом з однією чи кількома постквантовими підписами на основі алгоритмів, стандартизованих NIST, таких як FN-DSA (FALCON), ML-DSA (Dilithium) та SLH-DSA (SPHINCS+). Успішна транзакція BIP-360 була виконана у тестовій мережі Bitcoin signet 10 вересня 2025 року.
Основна технічна проблема — розмір підпису. Один підпис ML-DSA займає від двох до трьох кілобайт, а SPHINCS+ може досягати 49 кілобайт, порівняно з 64 байтами Schnorr.
Звіт Chaincode Labs від травня 2025 року оцінює, що повна постквантова міграція Bitcoin може тривати приблизно сім років, з близько 186,7 мільйонами UTXO, які потрібно мігрувати. За реалістичного виділення блочного простору у 25 відсотків сама міграція може зайняти два чи більше років.
Ethereum рухається швидше. 26 лютого 2026 року Бутерін опублікував комплексну дорожню карту квантової стійкості, де визначив чотири вразливі області: консенсус, доступність даних, підписи акаунтів і доказ нульового розголошення на рівні застосунків.
Ethereum Foundation створила спеціальну команду постквантової безпеки в січні 2026 року, підтриману призовим фондом у 2 мільйони доларів на дослідження. Бутерін підтвердив, що EIP-8141, який дозволяє гаманцям використовувати будь-який алгоритм підпису, буде реалізований протягом року.
Перевага Ethereum полягає в його фреймворку абстракції акаунтів — ERC-4337, із понад 40 мільйонами розгорнутих смарт-акаунтів, — який дозволяє гаманцям оновлювати свою криптографію без потреби в змінах на рівні протоколу.
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
Постквантові стандарти NIST готові до впровадження
Національний інститут стандартів і технологій США (NIST) затвердив свої перші три стандарти постквантової криптографії 13 серпня 2024 року після восьмирічного процесу відбору.
FIPS 203, раніше відомий як CRYSTALS-Kyber, — це заснований на ґратках механізм капсулювання ключів для встановлення спільних секретів. FIPS 204, раніше CRYSTALS-Dilithium, — це заснований на ґратках стандарт цифрового підпису, який є найбільш безпосередньо застосовним до підписання блокчейн-транзакцій.
FIPS 205, раніше SPHINCS+, — це схема підпису на основі хешів, чия безпека спирається лише на стійкість до колізій хеш-функцій — це найбільш консервативний доступний варіант.
Четвертий алгоритм під назвою FN-DSA, заснований на FALCON, залишається у статусі чернетки як FIPS 206. Він створює найменші постквантові підписи — приблизно 690 байт, що робить його найбільш придатним кандидатом для блокчейнів у середовищах із обмеженою пропускною здатністю.
У березні 2025 року NIST обрав HQC як резервний механізм капсулювання ключів, який використовує кодову, а не ґраткову математику, забезпечуючи різноманіття алгоритмів на випадок, якщо припущення про стійкість ґраток виявляться слабшими, ніж очікувалося.
Дорожня карта переходу NIST передбачає виведення з експлуатації квантово-вразливих алгоритмів до 2030 року та повне їх видалення до 2035-го. Цей федеральний мандат матиме каскадний ефект на фінансову індустрію. І BIP-360 для Bitcoin, і постквантова реалізація Ethereum прямо посилаються на стандарти NIST як на свою криптографічну основу.
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
Апаратні гаманці готуються, але термін «quantum-ready» потребує контексту
Trezor випустила Safe 7 у листопаді 2025 року, позиціонуючи його як перший quantum-ready апаратний гаманець. Він використовує SLH-DSA-128 — стандарт NIST FIPS 205 — для перевірки завантажувача та прошивки щоразу при ввімкненні й містить придатний до аудиту захищений чип TROPIC01. Але є важливе застереження. Маркування quantum-ready стосується безпеки на рівні пристрою — захисту цілісності власного програмного забезпечення гаманця — а не захисту транзакцій у блокчейні.
Операційний директор Trezor Денні Сандерс заявив, що пристрій технічно здатен отримати постквантові оновлення, коли настане час, але лише після того, як сам протокол Bitcoin або Ethereum впровадить ці оновлення.
Ledger ще не просуває явно quantum-ready-функції у своїх останніх апаратних рішеннях, хоча його пристрої підтримують токен QRL, і очікується, що компанія згодом додасть можливості постквантової прошивки.
Практичний висновок для користувачів апаратних гаманців простий. Потрібно тримати прошивку оновленою, щоб, коли постквантові схеми підпису стануть доступними на рівні протоколу, гаманець міг їх прийняти без необхідності купувати новий пристрій.
Оновлення прошивки саме по собі не є повним розв’язанням. Справжнє «вузьке місце» — це рівень протоколу блокчейну. Поки Bitcoin не активує BIP-360 або порівнянну пропозицію, а Ethereum не впровадить EIP-8141, жоден апаратний гаманець не зможе створювати постквантові підписи транзакцій, які мережа прийме. Гаманець настільки квантово-стійкий, наскільки квантово-стійким є ланцюг, у якому він працює.
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
Диверсифікація в бік блокчейн-проєктів, що враховують квантові ризики
Невелика частка портфеля в блокчейн-проєктах, які вже впровадили постквантову криптографію, може слугувати хеджем — не заміною основним позиціям у Bitcoin чи Ethereum, а формою опціональності.
Quantum Resistant Ledger (QRL) залишається єдиним великим ланцюгом, що є квантово-стійким із моменту створення генезис-блоку в 2018 році, використовуючи визначені IETF підписи на основі XMSS-хешів.
Оновлення QRL 2.0 з ціллю на 2026 рік додає сумісність із EVM і SPHINCS+. Algorand (ALGO) здійснив те, що він назвав першою у світі постквантовою транзакцією в робочій основній мережі 3 листопада 2025 року, використовуючи підписи FALCON-1024. Hedera (HBAR) partnered з SEALSQ для тестування квантово-стійкого апаратного підпису з використанням Dilithium.
Solana (SOL) offers необов’язкове сховище Winternitz One-Time Signature, випущене у січні 2025 року, хоча користувачі мають самостійно його активувати. Мережа xx Network Девіда Чаума incorporated квантово-стійку криптографію у свій протокол конфіденційності з моменту запуску у 2021 році.
Жоден із цих проєктів не має навіть близько такої ліквідності чи мережевих ефектів, як Bitcoin або Ethereum, а їхні токени несуть типовий ризик малих капіталізацій. Але сам факт їх існування демонструє, що інженерія постквантової безпеки блокчейнів — не теорія, вона вже розгорнута й працює.
Also Read: Ethereum Breaks $2,200 As Key Indicators Turn Green
Multisig and Cold Storage Nuances That Matter
Гаманці з мультипідписом add пропорційний додатковий рівень захисту. Схема мультипідпису «два з трьох» вимагає від зловмисника зламати щонайменше два приватні ключі, а не один. Лопп зазначив, що великі біржові гаманці, як-от Bitfinex та Kraken, використовують мультипідпис, тож квантовому атакувальнику доведеться відновити два або три ключі відповідно.
Це не постійне розв’язання проблеми — якщо квантовий комп’ютер здатен зламати один ключ ECDSA, то з часом він зможе зламати й кілька — але це суттєво збільшує вартість і тривалість атаки.
Ключова рекомендація — використовувати мультипідпис, загорнутий у P2WSH, який приховує ключі за хешами до моменту витрати коштів, а не «сирий» P2MS, де всі публічні ключі одразу видно в скрипті виходу.
Щодо холодного зберігання, критичне хибне уявлення полягає в тому, що офлайн-гаманці нібито є квантово-безпечними «за визначенням». Це не так. Квантова загроза не пов’язана з підключенням до інтернету. Вона стосується саме експозиції публічного ключа в блокчейні. Найкращі практики включають використання адрес P2WPKH, ніколи не приймати додаткові кошти на адресу, уже використану для вихідних транзакцій, періодично ротувати виходи холодного сховища, уникати Taproot для великих сум і стежити за оголошеннями про постквантові оновлення, щоб своєчасно мігрувати.
Also Read: What Could $73K Breakout Mean For BTC Bulls?
Institutions Are Already Positioning for the Post-Quantum Era
Coinbase formed Незалежну дорадчу раду з квантових обчислень і блокчейну у січні 2026 року, до якої увійшли Ааронсон, Ден Боне зі Стенфорда та Джастін Дрейк з Ethereum Foundation.
Генеральний директор Брайан Армстронг called квантові обчислення цілком розв’язуваною проблемою для криптоіндустрії.
JPMorgan є, мабуть, найбільш просунутою серед традиційних установ, оскільки built мережу розподілу квантових ключів (QKD) разом із Toshiba та Ciena для захисту своєї блокчейн-платформи Kinexys.
З ведмежого боку інституційного позиціонування стратег Jefferies Крістофер Вуд removed Bitcoin зі свого модельного портфеля в січні 2026 року, назвавши квантовий ризик екзистенційним для тези «збереження вартості» — це один із перших великих кроків Волл-стріт, спричинених квантовими побоюваннями.
ARK Invest та Unchained published спільний звіт у березні 2026 року, де ризик описано як поступовий і керований, із зауваженням, що суттєвий прорив у квантових обчисленнях, імовірно, спершу порушив би ширшу інтернет-безпеку, викликавши скоординовану відповідь урядів і технологічних компаній ще до того, як він досягне Bitcoin.
Раціональним підходом для окремих власників є ставитися до квантового ризику так, як до нього ставляться інституції — як до довгострокової події з ненульовою ймовірністю, яка потребує підготовки, але не паніки.
Ймовірність появи криптографічно релевантного квантового комп’ютера до 2030 року sits на рівні близько 14–20 відсотків за опитуваннями експертів, із підвищенням до 33–50 відсотків до 2035 року.
Also Read: XRP Transactions Triple In One Year To 3M Amid Record Activity
Conclusion
Квантова загроза для криптовалют реальна, ненульова й зростає — але вона не є неминучою в найближчий час. Розрив між поточним квантовим «залізом» приблизно на 1100 фізичних кубітів і тим, що потрібно, щоб зламати ECDSA Bitcoin — мільйонами фізичних кубітів — усе ще величезний. Водночас три чинники, які сходяться, вимагають дій уже зараз.
Алгоритмічний прогрес зменшує вимоги до кількості кубітів швидше, ніж очікувалося. Дорожні карти «заліза» від IBM, IonQ та Microsoft передбачають стрибкоподібне зростання можливостей у межах п’яти–десяти років. А протокольні оновлення блокчейнів історично потребують п’яти–десяти років соціальної координації для впровадження.
Найважливіший висновок із цього дослідження полягає в тому, що більшість практичних кроків захисту нічого не вартують і їх можна зробити вже сьогодні. Припиніть повторно використовувати адреси. Перемістіть кошти з адрес із уже розкритими публічними ключами на нові гаманці P2WPKH. Використовуйте мультипідпис, загорнутий у P2WSH, для значних сум.
Уникайте Taproot для довгострокового холодного зберігання. Регулярно оновлюйте прошивку апаратних гаманців і розгляньте Safe 7 від Trezor через його постквантову безпеку пристрою. Виділіть невелику частку як хедж у справді квантово-стійкі проєкти на кшталт Algorand, QRL та Hedera — не як повну перебудову портфеля, а як опціональність.
Слідкуйте за віхами IBM щодо логічних кубітів і стежте за активацією BIP-360 або EIP-8141 як за сигналами до дій із протокольної міграції. Криптоіндустрія пережила всі структурні виклики завдяки адаптації, і шлях квантового оновлення вже будується. Нерівність Москі — принцип, згідно з яким, якщо час міграції перевищує час приходу загрози, ви програєте — є найважливішою концепцією. Починати міграцію потрібно до того, як дедлайн стане очевидним, а не після.
Read Next: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back