A Google Quantum AI whitepaper published 30 березня 2026 року ідентифікує близько 6,9 млн Bitcoin (BTC) — приблизно третину загальної пропозиції — що зберігаються на адресах, вразливих до квантових «at-rest» атак, включно з орієнтовно 1,1 млн монет, пов’язаних із псевдонімним творцем мережі, Сатоші Накамото.
TL;DR
- Google Quantum AI з’ясувала, що злам 256-бітної еліптичної криптографії Bitcoin може потребувати менш ніж 500 000 фізичних кубітів — у 20 разів менше за попередні оцінки.
- Близько 6,9 млн BTC знаходяться на типах адрес, де публічні ключі назавжди відкриті, що робить їх мішенню для майбутніх квантових at-rest атак.
- P2PK-адреси епохи Сатоші не можуть бути оновлені ніким, що породжує складні питання управління: чи «заморожувати» сплячі монети, чи залишити їх уразливими.
Що насправді говорить whitepaper Google
Стаття має довгу назву: «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations». Вона містить 57 сторінок і є найдетальнішою оцінкою квантово-криптографічної загрози, яку коли-небудь публікувала велика технологічна компанія.
Шестеро дослідників Google Quantum AI — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar та Hartmut Neven — є співавторами роботи. Зовнішніми колабораторами виступили Thiago Bergamaschi з UC Berkeley, Justin Drake з Ethereum Foundation та Dan Boneh зі Стенфорда.
Центральний технічний внесок — пара оптимізованих квантових схем, які реалізують алгоритм Шора для задачі дискретного логарифма на еліптичних кривих (ECDLP) для 256-бітних кривих.
Саме це криптографічне примітивне забезпечує безпеку Bitcoin.
Одна схема використовує менше ніж 1200 логічних кубітів і 90 млн вентилів Тоффолі. Інша — менше ніж 1450 логічних кубітів і 70 млн вентилів Тоффолі.
За оцінкою Google, ці схеми можуть виконуватися на надпровідниковому квантовому комп’ютері з менш ніж 500 000 фізичних кубітів за лічені хвилини. Раніше оцінки вимагали радикально більше обладнання. Широко цитована робота 2022 року з University of Sussex прогнозувала 317 млн фізичних кубітів для години атаки та 1,9 млрд для десят хвилин. Висновки Google зменшують ці вимоги приблизно у 20 разів.
У нетиповий для статей з оцінки ресурсів спосіб Google утрималася від публікації фактичних реалізацій схем. Натомість вона оприлюднила доказ з нульовим розкриттям (zero-knowledge proof) з використанням SP1 і Groth16 SNARK. Незалежні дослідники можуть перевірити твердження, не отримуючи доступу до деталей самої атаки.
Це спирається на попередні квантові досягнення Google.
Чип Willow, анонсований у грудні 2024 року та опублікований у Nature, продемонстрував 105 надпровідникових кубітів із першим «нижче порога» квантовим виправленням помилок на надпровідниковому процесорі. Рівень помилок зменшувався удвічі на кожному кроці — від ґраток 3x3 до 5x5 та 7x7. Willow виконав бенчмарк менш ніж за п’ять хвилин, тоді як суперкомп’ютеру Frontier це зайняло б орієнтовно 10 септильйонів років.
Водночас Google прямо зазначила, що Willow наразі не становить криптографічної загрози.
Charina Chou, директор і операційний керівник Google Quantum AI, заявила The Verge у грудні 2024 року, що цей чип не здатен зламати сучасну криптографію й що для зламу RSA потрібно близько 4 млн фізичних кубітів.
Читайте також: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Чому монети Сатоші найбільш уразливі
Вразливість, що є в центрі аналізу Google, веде до дизайнерського рішення з перших днів Bitcoin. Коли Сатоші Накамото запустив мережу 3 січня 2009 року, майнінгове ПЗ відправляло блокові винагороди на виходи P2PK (Pay-to-Public-Key). У цьому форматі повний публічний ключ назавжди видно в блокчейні з моменту надходження монет.
Скрипт блокування тут — це просто публічний ключ, за яким слідує команда OP_CHECKSIG. Це означає, що 65-байтовий не стиснений або 33-байтовий стиснений публічний ключ відкритий для будь-кого, хто читає ланцюг.
Жодного захисного шару у вигляді хешу над ним немає.
Сатоші також реалізував P2PKH (Pay-to-Public-Key-Hash), де в скрипті зберігається лише хеш публічного ключа. Адреси P2PKH — знайомі адреси, які починаються з «1» — з’явилися в блокчейні протягом двох тижнів після генезис-блоку.
Дизайн був свідомим. Сатоші розумів, що еліптична криптографія може впасти перед модифікованою версією алгоритму Шора, запущеною на майбутньому квантовому комп’ютері.
Попри це усвідомлення, майнінгове ПЗ продовжувало за замовчуванням надсилати винагороди за блок на P2PK протягом 2009 і 2010 років. Знакове дослідження патерну Patoshi від Sergio Demian Lerner, уперше представлене у 2013 році, виявило, що один суб’єкт намайнв приблизно 22 000 блоків між січнем 2009 та серединoю 2010 року. Цей суб’єкт накопичив близько 1,0–1,1 млн BTC.
Його майнінг-поведінка відрізнялася від публічного клієнта: використовувалося багатопотокове сканування nonce, а швидкість видобутку, схоже, штучно обмежувалася для збереження стабільності мережі.
Із цього запасу було витрачено лише близько 907 BTC. Найвідоміша транзакція — переказ 10 BTC Hal Finney у першому в історії переказі Bitcoin від людини до людини 12 січня 2009 року.
Оскільки ці монети ніколи не рухалися, їхні публічні ключі залишаються назавжди відкритими. Квантовий комп’ютер, який виконує алгоритм Шора, може вивести відповідні приватні ключі без тиску в часі. Це і є ключовий вектор «at-rest» атаки.
Читайте також: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Три вектори атак і 6,9 млн BTC під ризиком
Whitepaper Google формалізує таксономію квантових атак на криптовалюти, що прояснює масштаб різних загроз.
At-rest атаки націлюються на публічні ключі, які постійно відкриті в блокчейні. У зловмисника є необмежений час — дні, місяці чи роки — щоб вивести приватний ключ. Ця категорія охоплює три основні типи адрес:
- Адреси P2PK, де публічний ключ видно в скрипті блокування з моменту надходження монет
- Повторно використані адреси P2PKH, де публічний ключ розкривається після першої вихідної транзакції
- Адреси P2TR/Taproot, які за дизайном зберігають модифікований (tweaked) публічний ключ безпосередньо в ланцюгу
Google ідентифікує Taproot як регрес з точки зору квантової безпеки. Навіть повільніші квантові архітектури, як-от нейтральні атоми або іонні пастки, можуть виконувати at-rest атаки, оскільки обмеження часу тут немає. Ончейн-аналіз показує приблизно 1,7 млн BTC у скриптах P2PK і загалом близько 6,9 млн BTC на всіх уразливих типах адрес із урахуванням повторного використання та Taproot-експозиції.
On-spend атаки, раніше відомі як «in-transit», націлюються на транзакції в mempool.
Коли користувач транслює транзакцію, публічний ключ розкривається у вхідному скрипті. Зловмисник повинен вивести приватний ключ до підтвердження транзакції — орієнтовно за 10 хвилин у мережі Bitcoin.
У статті Google зазначено, що надпровідниковий квантовий комп’ютер із швидким тактом може розв’язати ECDLP приблизно за дев’ять хвилин, що дає близько 41% імовірності випередити підтвердження.
On-setup атаки націлюються на фіксовані протокольні параметри, як-от церемонії довіреного налаштування (trusted setup). Bitcoin до цього вектора не вразливий. Натомість Ethereum (ETH) Data Availability Sampling та протоколи на кшталт Tornado Cash можуть бути під загрозою.
Ключовий момент полягає в тому, що майнінг proof-of-work не під загрозою. Алгоритм Ґровера дає лише квадратичне прискорення проти SHA-256, знижуючи ефективну безпеку з 256 біт до приблизно 128 біт — усе ще далеко поза межами практичної реалізації. У роботі Dallaire-Demers та ін. (березень 2026 року) було показано, що квантовий майнінг потребував би близько 10²³ кубітів і 10²⁵ ват потужності — майже цивілізаційного масштабу споживання енергії.
Читайте також: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Наскільки далеко «Q-Day» для Bitcoin?
Розрив між поточним квантовим «залізом» і криптографічною релевантністю все ще значний, але скорочується швидше, ніж очікувалося.
До провідних процесорів сьогодні належать Willow від Google із 105 надпровідниковими кубітами, Nighthawk від IBM зі 120 кубітами й покращеною вірністю, Helios від Quantinuum із 98 іонними кубітами та рекордна ґратка з 6100 кубітів на нейтральних атомах від Caltech.
Найбільшою універсальною системою залишається Condor від IBM із 1121 кубітом. Порівняно з ціллю Google менш ніж 500 000 фізичних кубітів, розрив становить від приблизно 80 до 5000 разів залежно від архітектури.
Several developments in 2025 і 2026 мають прискорені графіки:
- Microsoft представила Majorana 1 у лютому 2025 року — перший процесор, що використовує топологічні кубіти та спроєктований для масштабування до 1 мільйона кубітів на чипі розміром із долоню, хоча незалежні реплікаційні дослідження поставили під сумнів, чи топологічні ефекти продемонстровано остаточно
- Чип Ocelot від Amazon, також із лютого 2025 року, використовує «котячі кубіти», які зменшують накладні витрати на виправлення помилок до 90%
- Додаткова наукова робота, опублікована разом із білою книгою Google, стверджувала, що архітектури на нейтральних атомах можуть зламати ECC-256, маючи лише 10 000 фізичних кубітів за оптимістичних припущень
Експертні оцінки часових горизонтів сильно різняться. Google встановила внутрішній дедлайн 2029 року для міграції власних систем на постквантову криптографію.
Дослідник Ethereum Джастін Дрейк оцінює щонайменше в 10% імовірність того, що до 2032 року квантовий комп’ютер зможе відновити приватний ключ secp256k1 ECDSA. Дорожня карта IonQ передбачає досягнення 80 000 логічних кубітів до 2030 року.
На скептичному полюсі генеральний директор Blockstream Адам Бек відкидає графіки на 2028 рік як недостовірні. Генеральний директор NVIDIA Дженсен Хуанг оцінює появу корисних квантових комп’ютерів у проміжку 15–30 років. NIST рекомендує завершити міграцію на постквантову криптографію до 2035 року.
Тренд алгоритмічних покращень додає терміновості. Вимоги до кількості фізичних кубітів для зламу криптографії на еліптичних кривих зменшилися на чотири–п’ять порядків між 2010 і 2026 роками. Останні схеми Google дають ще 20-кратне зниження порівняно з попередніми найкращими оцінками.
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
Перегони за квантово-стійкий протокол Bitcoin
Спільнота розробників Bitcoin згуртувалася навколо кількох пропозицій, хоча фундаментальні проблеми управління залишаються.
BIP-360 (Pay-to-Merkle-Root), авторства Hunter Beast із MARA/Anduro, Ethan Heilman та Isabel Foxen Duke, був включений до офіційного репозиторію BIP у лютому 2025 року. Він запроваджує новий тип виходу SegWit версії 2 з префіксом bc1z, який фіксує лише корінь Меркла дерева скриптів. Це прибирає квантово-вразливий витратний шлях через ключ із Taproot. Сам по собі BIP-360 не запроваджує постквантові підписи, але створює для них основу.
BTQ Technologies розгорнула робочу реалізацію BIP-360 у своєму тестнеті Bitcoin Quantum. Станом на березень 2026 року було залучено понад 50 майнерів і добуто понад 100 000 блоків.
Пропозиція Lopp/Papathanasiou, представлена на саміті Quantum Bitcoin у липні 2025 року, окреслює трьохфазний софтфорк.
Фаза A забороняє надсилання на легасі-адреси ECDSA через три роки після активації BIP-360. Фаза B робить усі легасі-підписи недійсними, назавжди заморожуючи квантово-вразливі монети через два роки після цього. Фаза C пропонує необов’язковий шлях відновлення через доказ із нульовим розголошенням володіння сидом BIP-39.
Пропозиція QRAMP від Agustin Cruz є жорсткішою. Вона пропонує обов’язковий дедлайн міграції через хардфорк, після якого немігровані монети стають невитратними. Пропозиція Hourglass від Hunter Beast і Michael Casey з Marathon Digital пропонує компромісний варіант — обмеження швидкості переміщення квантово-експонованих монет до одного UTXO за блок, розтягуючи потенційну атаку з годин приблизно до восьми місяців.
На рівні стандартів NIST у серпні 2024 року остаточно затвердив свої перші три стандарти постквантової криптографії: ML-KEM (на основі CRYSTALS-Kyber) для капсулювання ключів, ML-DSA (на основі CRYSTALS-Dilithium) для цифрових підписів та SLH-DSA (на основі SPHINCS+) як резервний стандарт підписів.
П’ятий алгоритм, HQC, був обраний у березні 2025 року як резервний механізм капсулювання ключів.
Головна проблема для інтеграції в Bitcoin — розмір підписів. Підписи Dilithium становлять приблизно 2 420 байтів проти приблизно 72 байтів у ECDSA — збільшення в 33 рази, що суттєво навантажить блоковий простір і підвищить вартість транзакцій.
За межами Bitcoin ширша екосистема рухається швидко.
Фонд Ethereum у січні 2026 року визначив постквантову безпеку як ключовий пріоритет, запустивши чотирифазну дорожню карту хардфорків із середньостроковою ціллю досягти квантової стійкості до 2029 року. Coinbase створила Незалежну консультативну раду з квантових обчислень за участі Скотта Ааронсона, Дена Боне та Джастіна Дрейка.
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
Що мають робити власники Bitcoin зараз
Для індивідуальних власників Bitcoin практичні поради залишаються простими, попри триваючу дискусію на рівні протоколу. Монети, що зберігаються на адресах P2WSH (SegWit witness script hash, bc1q із 62 символами) або P2WPKH (SegWit, bc1q із 42 символами), які ніколи не використовувалися для вихідних транзакцій, забезпечують найсильніший із доступних сьогодні рівень захисту.
У ланцюжку видно лише хеш публічного ключа.
Адрес P2TR/Taproot (bc1p) слід уникати для великих або довгострокових зберігань. Вони за дизайном розкривають публічний ключ.
Найважливіша практика — ніколи не повторно використовувати адреси. Після того як біткоїни витрачаються з будь-якої адреси, публічний ключ стає відомим, і кошти, що залишаються або надходять у майбутньому на цю адресу, стають квантово-вразливими. Користувачі можуть перевірити свій рівень експозиції, використовуючи відкритий список Bitcoin Risq List від Project Eleven, який відстежує кожну квантово-вразливу біткоїн-адресу в мережі.
Переміщення коштів з експонованої адреси на нову, ніколи не використану хеш-адресу усуває вразливість для монет у стані спокою.
Як застерігає Unchained, кастодіальний сервіс для Bitcoin: остерігайтеся шахраїв, які можуть використовувати страх перед квантовими технологіями, щоб тиснути на вас, змушуючи до поспішних переказів. Ніяких негайних надзвичайних дій не потрібно.
Глибша проблема — це приблизно 1,7 мільйона BTC на адресах P2PK — включно з орієнтовними 1,1 мільйона монет Сатоші, — чиї ключі незворотно розкриті, а власники, майже напевно, не можуть їх мігрувати. Питання, чи слід заморозити ці монети, обмежити швидкість їх руху або залишити їх відкритими до майбутнього квантового пограбування, перетворюється на одну з найважливіших дискусій щодо управління в історії Bitcoin.
Як формулює це Jameson Lopp, дозвіл на квантове відновлення Bitcoin фактично означає перерозподіл багатства на користь тих, хто виграє технологічні перегони зі створення квантових комп’ютерів.
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Висновок
Біла книга Google від березня 2026 року не виявила близької загрози. Жоден із наявних сьогодні квантових комп’ютерів не може зламати криптографію Bitcoin. Те, що вона зробила, — це різко скоротила оцінювані ресурсні вимоги та формалізувала графік, за якого підготовка стає нагальною, а не теоретичною.
Зниження вимог до менш ніж 500 000 фізичних кубітів у поєднанні зі зменшенням оцінок на чотири–п’ять порядків за останні 15 років означає, що розрив між поточними можливостями й криптографічною релевантністю звужується по траєкторії, яка перетинається з галузевими дорожніми картами на кінець 2020-х — початок 2030-х років. Вразливість 6,9 мільйона BTC у стані спокою є відомим, кількісно оціненим ризиком без ретроспективного виправлення для P2PK-адрес із втраченими ключами.
Квантова загроза для Bitcoin — це насамперед не проблема апаратного забезпечення. Це проблема управління та міграції. Необхідні оновлення протоколу та процеси формування соціального консенсусу історично займали п’ять–десять років в екосистемі Bitcoin. Відлік почався в момент, коли Google опублікувала ці цифри.
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares