Криптографічні «замки», що захищають трильйони доларів у цифрових активах, були спроєктовані для світу без квантових комп’ютерів.
Цей світ завершується швидше, ніж більшість учасників крипторинку усвідомлює, а реакція індустрії досі небезпечно фрагментована.
NIST finalized свої перші три стандарти постквантової криптографії в серпні 2024 року й закликав усі організації, що використовують криптографію з відкритим ключем, негайно розпочати міграцію.
Bitcoin (BTC) сам по собі має приблизно 1,57 трлн доларів ринкової капіталізації, і переважна більшість цієї вартості захищена алгоритмами цифрового підпису на еліптичних кривих, які достатньо потужний квантовий комп’ютер зможе зламати. Час спливає.
TL;DR
- Постквантові стандарти NIST 2024 року фактично встановлюють жорсткий дедлайн для криптопроєктів, щоб почати відмову від криптографії на еліптичних кривих або зіткнутися з екзистенційним ризиком безпеці.
- Оцінюється, що близько 4 млн BTC, які лежать у відкритих виходах P2PK або перевикористаних адресах, можуть стати безпосередньо вразливими, щойно з’являться криптографічно релевантні квантові комп’ютери.
- Більшість основних блокчейнів не мають обов’язкової дорожньої карти постквантового оновлення, що створює фрагментований і часово обмежений ландшафт безпеки наприкінці 2020-х.
1. Квантова загроза для блокчейна є конкретною, а не теоретичною
Фраза «квантова загроза» часто вживається доволі вільно, але для блокчейна зокрема небезпека є чіткою й добре задокументованою.
Два алгоритми лежать в основі безпеки більшості блокчейнів — Elliptic Curve Digital Signature Algorithm (ECDSA), який використовується для авторизації транзакцій, та SHA-256, що застосовується в майнінгу Bitcoin за схемою proof-of-work. Вони мають дуже різний рівень квантового ризику.
Алгоритм Шора, розроблений 1994 року, дає змогу факторизувати великі цілі числа й розв’язувати задачу дискретного логарифма за поліноміальний час на квантовому комп’ютері.
У статті, опублікованій на arXiv у 2023 році дослідниками з University of Sussex, було оцінено, що для зламу 256-бітного шифрування на еліптичних кривих, що захищає Bitcoin, потрібен квантовий комп’ютер приблизно з 317 млн фізичних кубітів із низьким рівнем помилок.
Алгоритм Гровера, навпаки, дає лише квадратичне прискорення проти хеш-функцій на кшталт SHA-256, ефективно знижуючи безпеку майнінгу Bitcoin з 256 біт до 128 біт, що залишається практично достатнім на осяжне майбутнє.
Ця асиметрія має колосальне значення.
Підписи ECDSA — це «м’яке підчерев’я» безпеки блокчейна, тоді як proof-of-work майнінг зазнає лише помірного скорочення запасу безпеки від квантового обладнання.
Звідси випливає, що загроза спрямована не на здатність мережі Bitcoin виробляти блоки. Вона спрямована на здатність окремих користувачів доводити право власності на свої монети. На це вже давно вказують Андреас Антонопулос та інші: саме цифрові підписи є механізмом авторизації коштів, і саме тут квантові комп’ютери завдадуть першого удару.
Also Read: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. Стандарти NIST 2024 року запускають галузевий міграційний таймер
Регуляторний і стандартизаційний вимір цієї історії, ймовірно, ще нагальніший, ніж часові рамки розвитку «заліза».
Після шестирічного оцінювання 82 кандидатних алгоритмів, поданих дослідницькими командами з усього світу, NIST у серпні 2024 року фіналізував три стандарти постквантової криптографії: FIPS 203 (ML-KEM, раніше CRYSTALS-Kyber), FIPS 204 (ML-DSA, раніше CRYSTALS-Dilithium) і FIPS 205 (SLH-DSA, раніше SPHINCS+).
Це не факультативні рекомендації «на потім». NIST прямо told організаціям «почати планувати перехід до постквантової криптографії вже зараз».
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) published рекомендації, що зобов’язують операторів критичної інфраструктури інвентаризувати свої криптографічні залежності й пріоритизувати міграцію. Фінансові установи, що регулюються на федеральному рівні, уже відчувають тиск з боку наглядових органів, які вимагають продемонструвати готовність до постквантової ери.
Фіналізація FIPS 203, 204 і 205 у серпні 2024 року позбавила галузь останнього виправдання для зволікання. Будь-який блокчейн-проєкт, який станом на 2026 рік не розпочав оцінку переходу до постквантової криптографії, працює поза межами відповідальної практики безпеки.
Індустрія блокчейна тут опинилася в дивному становищі. Це водночас і фінансова система, що управляє більшою вартістю, ніж більшість національних центральних банків, і значною мірою самокерована технологічна екосистема без зовнішнього регулятора, який би примушував до криптографічних оновлень.
Така комбінація означає, що нагальність таймлайну NIST може й не перетворитися на реальні дії без консенсусу спільноти, а досягати його історично складно.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. Bitcoin має приблизно 4 млн BTC у безпосередньо вразливих адресах
Не всі Bitcoin (BTC) перебувають в однаковій зоні ризику. Ступінь вразливості сильно залежить від того, як зберігаються кошти й чи були публічні ключі розкриті в ланцюгу. Дослідники виділяють три категорії виходів Bitcoin із принципово різними квантовими профілями ризику.
Виходи «pay-to-public-key» (P2PK) розкривають публічний ключ безпосередньо в блокчейні.
До них належать монети з генезис-блоку та багато ранніх виходів «ери Сатоші». Для виходів P2PKH (pay-to-public-key-hash), що ніколи не витрачалися, публічний ключ приховано за хешем, тож вони не є прямо вразливими, доки адреса не використана для відправлення коштів.
Втім будь-яка адреса, з якої вже було відправлено транзакцію, «розкрила» свій публічний ключ у мережі й залишатиметься відкритою назавжди.
Дослідження 2022 року, published фахівцями Deloitte, оцінило, що приблизно 4 млн BTC зберігаються на адресах із публічно доступними ключами.
За нинішніх цін, близько 315 млрд доларів у Bitcoin розміщені на адресах, де криптографічно релевантний квантовий комп’ютер зможе derive the private key безпосередньо з ончейн-даних — без попередження й без можливості відновлення.
Звичка перевикористовувати адреси суттєво посилює цю проблему.
Дані Chainalysis data послідовно показують, що багато роздрібних і навіть інституційних власників повторно використовують адреси в кількох транзакціях, несвідомо залишаючи свої публічні ключі назавжди видимими в блокчейні.
Хороша новина в тому, що кожен, хто дотримується давно сформованої рекомендації використовувати кожну адресу лише один раз, суттєво знижує свій квантовий ризик. Погана новина — значна частка мережі на практиці цього правила не дотримується.
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. Облікова модель Ethereum створює структурно інший ризик
Ethereum (ETH) має інший профіль квантових ризиків порівняно з Bitcoin, що зумовлено його обліковою моделлю (accounts), а не UTXO-моделлю Bitcoin.
В Ethereum кожен обліковий запис із зовнішнім управлінням (EOA) розкриває свій публічний ключ у момент підписання будь-якої вихідної транзакції. Це означає, що практично кожен активний гаманець Ethereum, який хоч раз надсилав транзакцію, має назавжди відкритий публічний ключ.
Ethereum Foundation — одна з небагатьох великих блокчейн-організацій, які публічно й системно працюють над квантовим питанням.
Співзасновник Ethereum Віталік Бутерін у пропозиції щодо вдосконалення Ethereum 7560 запропонував шлях до нативної account abstraction, що дозволить гаманцям використовувати квантово-стійкі схеми підпису без необхідності хардфорку для кожного користувача.
У його публікації в блозі за січень 2024 року «The Road to a Stateless Client» він також noted, що заміна ECDSA на постквантові альтернативи є «середньостроковим пріоритетом» у дорожній карті безпеки протоколу.
Ethereum’s account abstraction roadmap, якщо її буде реалізовано, може забезпечити відносно плавну міграцію до постквантових підписів без примусу кожного користувача діяти вручну, але строки реалізації залишаються нечіткими, і жоден обов’язковий EIP ще не фіналізовано.
Проблема в тому, що навіть з EIP-7560 чинні EOA-адреси все одно повинні будуть перенести свої кошти в нові смарт-контрактні гаманці з постквантовими схемами.
Для власників, які втратили фрази відновлення сидів, або для коштів, що «застрягли» на давно неактивних рахунках, міграція може виявитися практично неможливою до моменту, коли квантова загроза стане реальністю.
Also Read: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. Кандидатні постквантові алгоритми мають відомі компроміси для блокчейна
Replacing ECDSA is not a simple drop-in substitution. The NIST-standardized post-quantum algorithms carry significant performance and size penalties that create real engineering challenges for blockchain systems optimized around compact transaction data.
CRYSTALS-Dilithium (ML-DSA), основна схема підпису, стандартизована NIST, генерує публічні ключі розміром 1 312 байтів і підписи 2 420 байтів на найнижчому рівні безпеки. Для порівняння: в ECDSA публічні ключі мають 33 байти (стиснений формат), а підписи — приблизно 72 байти.
Стаття, опублікована в IACR Cryptology ePrint Archive, що аналізує постквантові підписи для застосування в блокчейні, показала, що наївна заміна ECDSA використання Dilithium збільшило б розмір біткоїн-транзакцій приблизно у 20 разів, що мало б серйозні наслідки для місткості блоків і ринку комісій.
Заміна підписів ECDSA в мережі Bitcoin на CRYSTALS-Dilithium за незмінного розміру блока зменшила б ефективну пропускну здатність транзакцій приблизно на 80–90 відсотків, що зробило б просту заміну економічно руйнівною без супровідних змін розміру або структури блоків.
Підписи на основі хеш-функцій, такі як SPHINCS+ (SLH-DSA), пропонують найсильніші припущення щодо безпеки (спираючись лише на безпеку хеш-функцій), але є ще більшими за розміром, причому підписи можуть сягати до 49 856 байтів на найвищому рівні безпеки.
Схеми на ґратках пропонують найкращий баланс між розміром і продуктивністю серед поточних стандартів NIST, але вони вводять припущення про математичну складність, які є новішими й менш перевіреними боєм, ніж десятиліття криптоаналізу, що стоять за криптографією на еліптичних кривих.
Спільнота Ethereum також досліджувала STARK як потенційний шлях до постквантової автентифікації транзакцій, використовуючи наявні інвестиції в інфраструктуру ZK-STARK.
Also Read: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. Атаки «збирай зараз, розшифровуй пізніше» вже є реальною загрозою ** Найменш оцінений вимір квантової загрози полягає в тому, що зловмисникам не потрібно чекати широкої доступності квантових комп’ютерів, щоб розпочати підготовку до атак.
Стратегія «збирай зараз, розшифровуй пізніше» (HNDL), яка передбачає запис зашифрованих або підписаних даних сьогодні з подальшим їх розшифруванням, коли квантове обладнання стане достатньо потужним, уже розглядається як підтверджена загроза з боку держав у некриптовалютних контекстах.
Агентство національної безпеки США published рекомендації з конкретним попередженням про атаки HNDL, зазначаючи, що противники вже активно архівують перехоплені комунікації з наміром розшифрувати їх у прийдешнє десятиліття.
Для блокчейн-систем аналогія є тривожною: кожна транзакція, будь-коли відправлена в мережі Bitcoin або Ethereum, назавжди записана в публічних реєстрах, доступних будь-кому. Будь-яка сторона, що прагне збирати відкриті ключі для майбутніх квантових атак, уже має 15 років даних для аналізу.
Кожна транзакція в мережах Bitcoin та Ethereum, коли-небудь відправлена, є постійним публічним записом. Супротивники з достатньою мотивацією вже зібрали роки даних про відкриті ключі. Етап «збору» в атаці «збирай зараз, розшифровуй пізніше» на криптоактиви структурно завершено.
Ця динаміка означає, що навіть якщо квантові комп’ютери залишаються за 10–15 років від здатності зламувати ECDSA, блокчейн-спільноти не можуть чекати наближення цього порогу, щоб почати міграцію.
Час, потрібний для узгоджених протокольних оновлень, оновлення програмного забезпечення гаманців, навчання користувачів і фактичної міграції коштів, вимірюється роками, а не місяцями.
CISA estimates, що великим організаціям варто очікувати, що перехід на постквантові рішення для складних систем триватиме від п’яти до десяти років.
Also Read: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. Декілька блокчейн-проєктів уже будують постквантову інфраструктуру ** Ситуація не є однозначно похмурою. Зростаюча когорта блокчейн-проєктів розглядає постквантову безпеку як базову вимогу дизайну, і їхні підходи дають змогу зазирнути в можливі шляхи міграції для легасі-ланцюгів.
QRL (Quantum Resistant Ledger), запущений у 2018 році, був побудований з нуля з використанням eXtended Merkle Signature Scheme (XMSS), алгоритму підпису на основі хеш-функцій, який NIST також standardized як SP 800-208.
Algorand (ALGO) published дорожню карту постквантової міграції та провів внутрішні дослідження Falcon — схеми підпису на ґратках, що є альтернативним кандидатом NIST.
Дослідницький підрозділ Cardano (ADA), IOHK, опублікував рецензовані роботи щодо блокчейн-протоколів доби постквантової криптографії в дослідницькій бібліотеці IOHK.
Щонайменше три промислові блокчейн-мережі (QRL, Algorand і Cardano (ADA)) опублікували конкретні постквантові дослідження або дорожні карти станом на 2026 рік, тоді як Bitcoin та Ethereum залишаються на ранніх стадіях обговорення без обов’язкових протокольних рішень.
Екосистема Ethereum виграла від значних попередніх інвестицій у STARK-орієнтовані системи доказів для ZK-rollup’ів.
Такі проєкти, як StarkWare (STRK), demonstrated, що докази STARK, які спираються лише на безпеку хеш-функцій і, отже, є стійкими до квантових атак, можна використовувати для доказів коректності транзакцій у масштабі. Чи трансформується це в квантово стійку авторизацію транзакцій для базового рівня Ethereum — окреме й досі невирішене питання, але інфраструктурні інвестиції не є марними.
Also Read: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. Спільнота Bitcoin стикається з безпрецедентною дилемою управління ** Перехід Bitcoin до постквантової криптографії — це насамперед не технічна, а управлінська проблема. Протокол Bitcoin змінюється лише через приблизний консенсус між розробниками, майнерами, бізнесом і користувачами — процес, який історично займав роки навіть для неконфліктних оновлень і призводив до поділу ланцюга у випадку спірних змін.
Спільнота розробників Bitcoin Core розпочала попередні обговорення постквантових підходів. Дискусійна гілка 2024 року у списку розсилки розробників Bitcoin досліджувала можливість запровадження нового постквантового типу підпису через софт-форк, аналогічно до того, як Segregated Witness запровадив нові типи транзакцій.
Ключова проблема в тому, що будь-яка постквантова схема підпису вимагатиме або хард-форку (який спільнота Bitcoin історично відкидала), або ретельно спроєктованого софт-форку, що дозволить нові квантово стійкі виходи при збереженні зворотної сумісності з наявними гаманцями на основі ECDSA.
Модель управління Bitcoin, яка вимагає приблизного консенсусу в глобально розподіленій та ідеологічно різноманітній спільноті, може бути структурно несумісною з терміновістю криптографічної міграції, яку, на думку експертів, потрібно розпочати протягом наступних п’яти років.
Найбільш спірним елементом будь-якого постквантового плану для Bitcoin є доля монет, власники яких не здійснять міграцію. Якщо квантові комп’ютери здатні будуть зламувати ECDSA, монети на відкритих адресах стануть вразливими до крадіжки.
Деякі дослідники proposed протокольне правило, за яким монети у виходах P2PK будуть заморожені або спалені після крайнього терміну міграції, щоб запобігти їх викраденню супротивниками, оснащеними квантовими комп’ютерами.
Це фактично конфіскувало б монети власників, які не здійснили міграцію, включно з оцінюваними 1,1 млн BTC, що належать Сатоші Накамото, і вважається політично неприйнятним у спільноті Bitcoin.
Also Read: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. Терміни розвитку квантового обладнання прискорюються швидше, ніж консенсусні оцінки ** Прогнозування можливостей квантового обладнання є справді складним завданням, і блокчейн-спільнота іноді використовувала невизначеність часових оцінок як привід для бездіяльності. Але траєкторія реальних апаратних досягнень за останні три роки робить самозаспокоєння дедалі менш виправданим.
Google у грудні 2024 року announced, що її квантовий процесор Willow досяг рівнів помилок нижче порогу, необхідного для відмовостійких квантових обчислень — рубежу, який дослідники раніше оцінювали як такий, що знаходиться ще за кілька років.
Willow продемонстрував 105 фізичних кубітів із субпороговими рівнями помилок, з експоненційним зменшенням помилок із додаванням кубітів, а не їх накопиченням, що є визначальною проблемою квантової корекції помилок.
Дорожня карта квантових обчислень IBM targets 100 000 фізичних кубітів до 2033 року, і компанія послідовно досягає або перевершує свої щорічні цілі з 2020 року.
Чип Willow від Google досяг субпорогової корекції помилок у грудні 2024 року, на кілька років раніше за більшість експертних прогнозів. Відстань від 105 кубітів до орієнтовних 317 мільйонів, необхідних для зламу ECDSA Bitcoin, велика, але прорив у корекції помилок усунув найфундаментальніший бар’єр для масштабування.
Ключова відмінність — між фізичними та логічними кубітами. Злам ECDSA Bitcoin вимагає логічних кубітів, здатних надійно виконувати алгоритм Шора, і кожен логічний кубіт вимагає сотень або тисяч фізичних кубітів для корекції помилок.
Оцінка Університету Сассекса estimate у 317 мільйонів фізичних кубітів ґрунтується на поточних витратах на корекцію помилок. Якщо рівні помилок суттєво покращаться, необхідна кількість фізичних кубітів пропорційно зменшиться.
Консенсус серед академічних дослідників, на який посилається звіт RAND Corporation 2023 року, полягає в тому, що квантові комп’ютери, релевантні для криптографії, найімовірніше з’являться через 10–20 років, але діапазон невизначеності досить широкий, щоб не відкидати прорив уже до 2030 року.
Also Read: CHIP Volume Now Outpaces Market Cap As Traders Pile In **10. Що власники криптоактивів мають зробити вже зараз, щоб зменшити квантовий ризик ** Для індивідуальних власників та інституційних учасників, квантова загроза — це не привід для паніки. Це привід для поінформованої, проактивної гігієни безпеки. Кілька конкретних дій суттєво зменшують ризики ще до впровадження постквантових оновлень на рівні протоколу.
Найдієвіший крок для окремого користувача — припинити повторно використовувати адреси та перенести кошти з виходів P2PK і з адрес, які вже підписували транзакції.
Переміщення Bitcoin на нову адресу P2WPKH (native SegWit), яка ніколи раніше не використовувалася для надсилання коштів, приховує відкритий ключ за хешами SHA-256 та RIPEMD-160, забезпечуючи значущий короткостроковий захист.
Аналіз 2022 року, опублікований в архіві IACR ePrint, підтвердив, що «нехешовані» відкриті ключі є основною короткостроковою квантовою площею атаки для власників Bitcoin.
Для користувачів Ethereum перехід на гаманці з абстракцією акаунтів ERC-4337, які можна буде оновити до постквантових схем підпису, коли вони стануть доступними, вигідно позиціонує власників для майбутніх міграцій протоколу.
Переміщення Bitcoin на нову, жодного разу не використану адресу native SegWit, яка ніколи не підписувала вихідних транзакцій, приховує відкритий ключ і забезпечує суттєвий захист від будь-якої квантової загрози, яка ймовірно реалізується протягом наступного десятиліття.
Інституційні власники стикаються з додатковими зобов’язаннями.
Звіт розробників Electric Capital послідовно виявляє, що команди інфраструктурної безпеки в крипто-орієнтованих компаніях є меншими відносно обсягу активів під управлінням, ніж у порівнюваних компаніях традиційних фінансів.
Створення внутрішнього криптографічного інвентарю, розуміння того, які кастодіальні рішення використовують ECDSA на відміну від альтернатив, а також взаємодія з виробниками апаратних гаманців щодо їхніх постквантових дорожніх карт — це обґрунтовані кроки з управління ризиками, які можна реалізувати вже сьогодні.
Виробники апаратних гаманців, зокрема Ledger та Trezor, у своїй публічній документації обидва визнали квантову загрозу, але ще не впровадили підтримку постквантових підписів у промисловій прошивці.
Читайте далі: BTC вперше за 11 тижнів перевищив $79 000 на тлі різкого зростання обсягів торгів
Висновок
Постквантова криптографія — це не віддалена теоретична проблема для блокчейн-індустрії. Це актуальний інженерний і управлінський виклик із уже запущеним регуляторним таймером та траєкторією розвитку апаратного забезпечення, яка неодноразово приємно дивувала експертів своїми темпами.
Стандарти NIST, фіналізовані в серпні 2024 року, є найчіткішим можливим сигналом від провідного у світі криптографічного органу, що міграція не є опціональною і що час для планування — зараз.
Ключова напруга має структурний характер. Bitcoin та Ethereum були спроєктовані для моделей загроз 2008 та 2015 років відповідно, а оновлення їхніх криптографічних основ потребує проходження процесів управління, що відбуваються у часових рамках, які вимірюються роками, а не місяцями.
4 мільйони BTC на вразливих адресах, постійний публічний запис кожної колись відправленої транзакції та прискорення розвитку квантового апаратного забезпечення вказують на звуження вікна для впорядкованої міграції.
Проєкти, які вже сьогодні серйозно працюють з постквантовими стандартами, вибудовують внутрішню експертизу, беруть участь в обговореннях протоколів і мігрують свої активи в конфігурації зі зниженим рівнем експозиції, будуть у значно кращому становищі, ніж ті, хто чекатиме на повну визначеність перед діями.
Історія криптографічних переходів у традиційних обчислювальних системах дає отверезливий урок. Перехід від MD5 до SHA-2 або від RSA-1024 до RSA-2048 вимагав багатьох років послідовних зусиль індустрії, навіть за умов сильного регуляторного тиску та відсутності управлінських суперечок.
Децентралізована модель управління блокчейном робить аналогічні переходи на порядок складнішими.
Індустрія, яка пишається тим, що вона є «власним банком», тепер має довести, що може бути ще й власним органом із розробки криптографічних стандартів — і зробити це до того, як апаратне забезпечення наздожене.
Читайте далі: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates