Quantum computing більше не є суто теоретичною проблемою для індустрії криптовалют.
Поєднання прискорених апаратних досягнень від IBM, Google та Microsoft, фіналізації набору стандартів постквантової криптографії від National Institute of Standards and Technology (NIST) у серпні 2024 року та повної відсутності скоординованих планів міграції серед основних блокчейнів створило накопичуваний розрив у безпеці, який із кожним кварталом лише збільшується.
Ставки є цілком конкретними й вимірюваними. Сам лише Bitcoin (BTC) має приблизно 1,56 трлн доларів ринкової капіталізації станом на 23 квітня 2026 року. Оцінки з академічних досліджень свідчать, що від 25% до 40% усіх BTC в обігу зберігаються на адресах, публічні ключі яких уже розкриті в блокчейні, що робить ці монети теоретично вразливими, щойно з’явиться достатньо потужний квантовий комп’ютер.
TL;DR
- NIST у серпні 2024 року фіналізував три стандарти постквантової криптографії, чітко давши зрозуміти, що міграція з класичних схем — це терміновий, а не майбутній пріоритет.
- Bitcoin, Ethereum та більшість великих блокчейнів досі покладаються на криптографію на еліптичних кривих, яку зможе зламати достатньо потужний квантовий комп’ютер, відкриваючи доступ до трильйонів доларів ончейн-вартості.
- Правдоподібна стратегія «збирай зараз, розшифровуй потім» означає, що зловмисники вже сьогодні можуть накопичувати зашифровані блокчейн-дані, плануючи їх розшифрувати, коли квантове «залізо» дозріє.
Криптографічний фундамент криптовалют уже є відомою вразливістю
Практично кожна велика криптовалюта покладається на два криптографічні примітиви, яким квантові обчислення прямо загрожують. Перший — Elliptic Curve Digital Signature Algorithm (ECDSA), що захищає підписання транзакцій у Bitcoin, Ethereum (ETH) та сотнях похідних ланцюгів. Другий — хеш-функція SHA-256, яка використовується в proof-of-work Bitcoin та для генерації адрес. Обидва мають добре описані квантові вектори атак, задокументовані в рецензованій літературі.
Знакове дослідження 2022 року Марка Веббера та колег з Університету Сассекса оцінює, що квантовий комп’ютер приблизно з 317 логічними кубітами зможе зламати одну транзакцію Bitcoin менш ніж за годину, а для зламу в межах 10-хвилинного вікна блоку Bitcoin знадобиться близько 13 мільйонів логічних кубітів.
Ціль ще недосяжна для сучасного «заліза», але траєкторія зростання кількості кубітів уже не виглядає безпечно віддаленою.
Оцінка Веббера та співавторів у 317 логічних кубітів для зламу ECDSA протягом години формулює загрозу в апаратних термінах, яких можна досягти вже в цьому десятилітті, якщо нинішні дорожні карти масштабування збережуться.
Теоретичним «двигуном» загрози для ECDSA залишається алгоритм Шора, відкритий у 1994 році. Він розв’язує задачу дискретного логарифмування на квантовому комп’ютері за поліноміальний час, тоді як класичним алгоритмам потрібен експоненційний час. Розрив між теоретичною вразливістю та практичною експлуатацією звужується з кожною новою «кубітною» віхою, про яку оголошують виробники апаратного забезпечення. Інвестори, які сприймають це як віддалену проблему, неправильно оцінюють структурний ризик, який регулятори та органи зі стандартизації вже офіційно визнали.
Також читайте: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
Стандарти постквантової криптографії NIST — це регуляторний стартовий постріл
13 серпня 2024 року NIST опублікував перші три фіналізовані стандарти постквантової криптографії: FIPS 203 (ML-KEM, раніше CRYSTALS-Kyber), FIPS 204 (ML-DSA, раніше CRYSTALS-Dilithium) та FIPS 205 (SLH-DSA, раніше SPHINCS+).
У супровідному релізі NIST прямо закликав організації почати міграцію негайно, а не чекати подальшого розвитку стандартів.
Це вагомий регуляторний сигнал. Стандарти NIST де-факто визначають вимоги відповідності в усій фінансовій інфраструктурі США, і низка відомств, зокрема Cybersecurity and Infrastructure Security Agency (CISA), з того часу видали рекомендації для операторів критичної інфраструктури щодо оцінки їхніх криптографічних активів.
У широкому розумінні криптоінфраструктура підпадає під визначення критичної фінансової інфраструктури в кількох юрисдикціях, але жоден великий блокчейн першого рівня (Layer 1) не опублікував обов’язковий графік міграції у відповідь на ці стандарти.
Директива NIST від серпня 2024 року «мігрувати негайно» є найчіткішим офіційним сигналом, що постквантова криптографія — це поточне операційне завдання, а не тема для майбутніх досліджень.
Усі три фіналізовані стандарти базуються на математичних задачах, які вважаються складними як для класичних, так і для квантових комп’ютерів. ML-KEM ґрунтується на задачі Module Learning With Errors (MLWE). ML-DSA та SLH-DSA — відповідно на ґраткових і хеш-структурах. Четвертий стандарт, FALCON (нині FN-DSA, FIPS 206), був фіналізований у наступні місяці. Майже повна тиша блокчейн-індустрії у відповідь на ці публікації — щонайменше провал управління й, у гіршому разі, матеріальний ризик для власників активів.
Також читайте: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. Загроза «збирай зараз, розшифровуй потім» уже активна
Один із найбільш недооцінених векторів квантової загрози взагалі не потребує сьогодні розвиненого квантового обладнання. Стратегія, відома як «harvest now, decrypt later» (HNDL — «збирай зараз, розшифровуй потім»), передбачає, що зловмисники збирають і зберігають зашифровані дані та підписані транзакції зараз, аби розшифрувати їх, коли квантове обладнання дозріє. Для блокчейн-мереж, які за задумом є публічними й незмінними, HNDL зовсім не гіпотеза.
Кожна транзакція, будь-коли відправлена в мережі Bitcoin чи Ethereum, назавжди зберігається на тисячах вузлів по всьому світу. Будь-яка структура, включно з державними акторами, може архівувати повну історію транзакцій за мінімальних витрат. Згідно з дослідженням 2023 року від Global Risk Institute оцінюється, що «криптографічно релевантна» машина, здатна зламати сучасне шифрування, має 17% імовірності з’явитися до 2030 року та 50% — до 2034 року.
Для активів, чиї ончейн-записи є постійними, ці ймовірності зовсім не мізерні.
У своєму таймлайні загроз за 2023 рік Global Risk Institute надає 50% імовірність появи криптографічно релевантного квантового комп’ютера до 2034 року — у межах інвестиційного горизонту багатьох поточних власників.
У контексті HNDL для блокчейнів головне занепокоєння стосується не стільки минулих транзакцій, адже підтверджена транзакція Bitcoin уже розкриває публічний ключ і суму переказу.
Глибший ризик пов’язаний із повторним використанням адрес, мультипідписними схемами з розкритими публічними ключами та будь-якими системами, де зловмисник може використати зібраний публічний ключ, щоб згодом обчислити private key і спорожнити гаманець. З огляду на те, що повторне використання адрес інтегроване в дизайн багатьох UX-рішень, пул уже розкритих адрес є значним.
Також читайте: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
Скільки біткоїн-адрес уже розкрито?
Конкретний масштаб квантової вразливості Bitcoin можна кількісно оцінити через ончейн-аналіз. Дослідження 2023 року, опубліковане на arXiv дослідниками Deloitte Netherlands, встановило, що приблизно 4 мільйони BTC, або близько 25% усіх монет в обігу на той час, зберігалися на адресах Pay-to-Public-Key (P2PK) або повторно використаних Pay-to-Public-Key-Hash (P2PKH), де публічний ключ уже було розкрито в ланцюгу.
Формат P2PK, що використовувався в ранніх виходах Bitcoin, включно з тими, які майнив Satoshi Nakamoto, зберігає повний публічний ключ безпосередньо в scriptPubKey. Це дає квантовому атакувальнику пряме вхідне значення, потрібне для запуску алгоритму Шора проти ключа ECDSA.
Повторно використані P2PKH-адреси розкривають публічний ключ у момент першої витрати з них, чим значна частина користувачів Bitcoin займалася впродовж років через звичку до повторного використання адрес, яку підсилював слабкий дизайн гаманців.
Ончейн-аналіз Deloitte за 2023 рік виявив приблизно 4 мільйони BTC на форматах адрес, які безпосередньо розкривають публічний ключ, — це найуразливіша до квантової атаки частина поверхні нападу в мережі Bitcoin.
Поверхня вразливості Ethereum подібно велика. Гаманці Ethereum, що здійснили принаймні одну транзакцію, за визначенням уже розкрили свій публічний ключ. Ethereum Foundation у своїй дорожній карті визнає квантову вразливість і зазначає постквантову міграцію як довгострокову мету в розділі «future-proofing», але жодних жорстких термінів чи тестнет-реалізацій не визначено. Для мережі, яка зберігає активи користувачів на сотні мільярдів доларів, формулювання «довгострокова мета» є недостатньою відповіддю на криву ймовірності 50% до 2034 року.
Також читайте: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
Віхи розвитку квантового обладнання стискають часові рамки
Теоретична загроза з боку квантових обчислень існує з моменту публікації роботи Шора в 1994 році. За останні 24 місяці змінилася швидкість розвитку апаратного забезпечення, що почала стискати розрив між теоретичними можливостями та практичним розгортанням у спосіб, який вимагає серйозного перегляду таймлайнів.
У грудні 2023 року квантова команда Google DeepMind published результати, що демонструють: 70-кубітна система вперше досягла виправлення помилок нижче порогового рівня — критично важливої передумови для кількості логічних кубітів, необхідної для запуску алгоритму Шора у масштабі.
У листопаді 2024 року Google announced квантовий чип Willow, заявивши, що він виконав певний еталонний обчислювальний тест менш ніж за п’ять хвилин, тоді як класичним суперкомп’ютерам це зайняло б 10 септильйонів років.
Поточна дорожня карта IBM, опублікована на її quantum development site, передбачає досягнення квантових обчислень на рівні практичної корисності з тисячами логічних кубітів до 2033 року.
Повідомлення про чип Willow від Google у листопаді 2024 року та опублікована дорожня карта IBM, яка націлена на тисячі логічних кубітів до 2033 року, є конкретними апаратними віхами, що скорочують часовий горизонт квантової загрози з «за десятиліття» до «у межах поточного десятиліття».
Підхід Microsoft на базі топологічних кубітів, оголошений через її Azure Quantum research division, має на меті досягти рівнів помилок на порядки нижчих, ніж у поточних архітектур надпровідних кубітів, що потенційно пришвидшує шлях до криптографічно релевантних машин. Жодне окреме оголошення про апаратне забезпечення саме по собі не є доказом того, що загроза є негайною.
Втім, у сукупності темпи прогресу в межах кількох незалежних дослідницьких програм є суттєво вищими за базові припущення, закладені в більшості документів з управління блокчейн-проєктами, написаних до 2023 року.
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
Проблема міграції є технічно та політично складною
Навіть якби індустрія блокчейну вирішила сьогодні перейти на постквантову криптографію, технічні та управлінські виклики були б значними. Bitcoin, як найдецентралізованіша з основних мереж, стикається з найгострішою версією цієї проблеми.
Зміна схеми підписів Bitcoin вимагає софтфорку або хардфорку, і в обох випадках потрібна скоординована підтримка надбільшості майнерів, операторів нод, розробників гаманців і бірж, досягнення якої історично займало роки навіть для значно простіших оновлень.
Активація SegWit у 2017 році, відносно незначна структурна зміна, зайняла понад два роки запеклих дискусій, перш ніж було досягнуто порогу в 95% сигналізування майнерами. Міграція схеми підписів була б категорично більш руйнівною, оскільки торкнулася б кожного гаманця, біржового «гарячого» гаманця, прошивки апаратних гаманців і кастомних рішень зберігання в усій екосистемі.
У статті 2021 року дослідники з IETF Crypto Forum Research Group noted глибоку структурну інтеграцію ECDSA в інфраструктуру інтернету та охарактеризували скоординовану міграцію як «один із найскладніших криптографічних переходів в історії».
Прецедент із SegWit демонструє, що управління в мережі Bitcoin відбувається в часових масштабах, що вимірюються роками, а це означає, що постквантова міграція, яка ще не розпочалася, може не завершитися до настання вікна загрози.
Облікова модель Ethereum пропонує дещо більшу гнучкість. Постквантова дорожня карта Ethereum Foundation включає концепцію «квантово-стійкої account abstraction», за якої гаманці можуть мігрувати на нові схеми підписів без необхідності хардфорку базового рівня для наявних облікових записів.
Однак цей підхід вимагає, щоб кожен користувач самостійно мігрував власний гаманець, а історичні дані про участь користувачів в оновленнях Ethereum shows, що пасивні користувачі послідовно не впроваджують критичні зміни без механізмів примусової відмови від застарілих версій.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
Постквантові блокчейни вже будуються, але залишаються нішевими
Невелика група блокчейн-проєктів сприйняла квантову загрозу достатньо серйозно, щоб інтегрувати постквантову криптографію в базовий рівень з моменту запуску. Ці проєкти залишаються нішевими, але вони є найочевиднішим для індустрії доказом концепції, що квантово-стійкий блокчейн технічно здійсненний.
QRL (Quantum Resistant Ledger) був запущений у 2018 році як перший промисловий блокчейн, що використовує eXtended Merkle Signature Scheme (XMSS) — алгоритм підпису на основі геш-функцій, який NIST включив до свого процесу оцінки. Протокол QRL не використовує криптографію на еліптичних кривих на жодному рівні. IOTA, тепер у своїй архітектурі Rebased, moved у напрямку включення постквантових схем підписів, зокрема Ed448 та решіткових конструкцій. Algorand опублікував research щодо постквантових стан-пруфів і включив опцію підпису на базі Falcon до свого криптографічного інструментарію.
Запуск основної мережі QRL у 2018 році продемонстрував, що промисловий блокчейн, який використовує лише геш-орієнтовані підписи, є життєздатним, але ринкова капіталізація проєкту менш ніж $100 млн ілюструє розрив між технічною надійністю та ринковим прийняттям.
Виклик для цих проєктів полягає не в технічній достовірності, а в мережевих ефектах. Bitcoin та Ethereum домінують завдяки ліквідності, екосистемам розробників, інституційній інфраструктурі зберігання та регуляторній впізнаваності — і жоден із цих факторів не так просто відтворити на квантово-безпечному, але неліквідному ланцюзі. Реалістичніший шлях міграції для екосистеми полягає в дообладнанні наявних ланцюгів постквантовими варіантами схем підписів — процесі, для підтримки якого проєкти на кшталт NIST FIPS 204 (ML-DSA) були спеціально розроблені. Питання полягає в тому, чи з’явиться політична воля здійснити цю модернізацію раніше, ніж з’явиться апаратна загроза.
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
Інфраструктура бірж і кастодіальних сервісів має окремі квантові ризики
Роздрібні власники — не єдині учасники з квантовою вразливістю. Централізовані біржі та інституційні кастодіани стикаються з окремою і в певному сенсі ще гострішою версією загрози, оскільки їхні моделі безпеки побудовані на тій самій інфраструктурі ECDSA, що й індивідуальні гаманці, але з набагато вищою концентрацією вартості.
Велика біржа, що зберігає мільярди в Bitcoin та Ethereum у «гарячих» гаманцях, змушена з операційної необхідності тримати приватні ключі доступними для автоматизованих систем підпису транзакцій. Ці приватні ключі, що зберігаються в апаратних модулях безпеки (HSM) і системах керування ключами, побудованих на класичних криптографічних припущеннях, стають цілями в постквантовому світі. Дані Chainalysis shown, що злам бірж призвів до сукупних втрат понад $10 млрд із 2012 року, і ці атаки були здійснені без використання квантових комп’ютерів. Додавання квантового відновлення ключів до моделі загроз робить проблему безпеки кастодіанів суттєво складнішою.
Дані Chainalysis фіксують понад $10 млрд збитків від зламів бірж із 2012 року, здійснених виключно класичними методами атаки, що задає базовий рівень вразливості кастодіальних сервісів, який квантове відновлення ключів радикально посилить.
Постачальники HSM, які домінують на ринку інституційної криптокастодії, включно з Thales, AWS CloudHSM та Entrust, усвідомлюють необхідність постквантового переходу. Рекомендації NIST щодо міграції прямо стосуються графіків заміни HSM. Втім, операційна складність ротації інфраструктури управління ключами в масштабах глобальної біржі з мільйонами клієнтських гаманців — це проєкт, про початок чи графік якого жодна велика біржа публічно не оголосила. Відсутність регуляторних вимог до розкриття інформації про квантову готовність означає, що інвестори не мають способу оцінити квантові ризики кастодіальних сервісів за відкритими звітами.
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
Державні актори та геополітичний вимір квантових атак на криптоактиви
Квантова загроза для криптовалют — це не лише технічна проблема. Вона має геополітичний вимір, який інвестори та аналітики політики здебільшого ігнорують у публічних дискусіях. Державні квантові програми, зокрема китайська, американська, а в дещо меншій мірі російська та програми ЄС, фінансуються на рівнях, що на порядки перевищують приватні дослідження, а їхні можливості засекречені.
Національна програма Китаю з квантових обчислень формалізована в 14-му п’ятирічному плані (2021–2025) та його наступникові, причому державні інвестиції в квантові дослідження, за даними reported Center for Security and Emerging Technology при Університеті Джорджтауна, перевищують $15 млрд протягом цього періоду. Власний дослідницький підрозділ PBoC публікував статті щодо часових горизонтів квантових атак на фінансову криптографію. Якщо засекречена квантова програма досягне криптографічної релевантності раніше, ніж публічні академічні програми, першим сигналом може стати «тихе» виведення коштів з уразливих біткоїн-адрес — подія, що не відрізнятиметься від складного класичного зламу, доки форензичний аналіз не ідентифікує вектор атаки.
CSET при Джорджтаунському університеті задокументував, що державні інвестиції Китаю в квантові технології перевищують $15 млрд за один п’ятирічний цикл планування — рівень фінансування, який може забезпечити появу засекречених можливостей раніше за публічно відомі академічні графіки.
Державні органи США рухаються швидше, ніж приватний криптосектор, у реагуванні на цю загрозу. Office of Management and Budget (OMB)issued Меморандум M-23-02 у листопаді 2022 року, яким усім федеральним агентствам було доручено завершити криптографічні інвентаризації до 2023 року та розпочати планування міграції. Агентство національної безпеки (NSA) публікувало власні рекомендації щодо постквантової міграції для систем національної безпеки. Розрив між терміновістю державної реакції та самозаспокоєністю приватної криптоінфраструктури разючий і вартий осмислення.
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
Як виглядає правдоподібна реакція індустрії і наскільки вона далека
Коли окреслити, як виглядає відповідальний план квантової міграції для блокчейн-індустрії, стає конкретною відстань між поточним станом і належним рівнем підготовки. На основі рекомендацій NIST, академічних досліджень і таймлайнів подібних інфраструктурних міграцій, правдоподібна реакція вимагає п’ять окремих фаз, завершених приблизно за вісім–десять років.
Перша фаза — криптографічний аудит: кожна команда протоколу, біржа та кастодіан повинні задокументувати всі криптографічні примітиви, що використовуються, розміри ключів, статус розкриття публічних ключів і граф залежностей систем, які потребуватимуть змін. Друга фаза — вибір постквантових алгоритмів, рішення між ML-DSA, SLH-DSA та FN-DSA залежно від компромісів між продуктивністю й безпекою для конкретного варіанту використання. Доступне академічне порівняння було опубліковано дослідниками в IACR Cryptology ePrint Archive у 2022 році, де наведено бенчмаркинг алгоритмів-фіналістів NIST. Третя фаза — розгортання в тестнеті та стейджингу. Четверта фаза — скоординована активація в мейннеті. П’ята фаза — довгий «хвіст» міграції користувачів, особливо для ланцюгів із форматами адрес з розкритими ключами.
Бенчмаркові дослідження IACR за 2022 рік надають конкретні порівняння продуктивності між постквантовими алгоритмами-фіналістами, даючи командам протоколів дані, необхідні для вибору алгоритмів уже сьогодні, без очікування подальшої стандартизації.
Ядро розробників Bitcoin створило два релевантні Bitcoin Improvement Proposals. BIP-360, запропонований наприкінці 2024 року Гантером Бістом та співавторами, описує формат адрес Pay to Quantum Resistant Hash (P2QRH) з використанням CRYSTALS-Dilithium як стандартної схеми підпису.
Станом на квітень 2026 року BIP-360 залишається в статусі чернетки без запропонованого механізму активації. Постквантовий роадмап Ethereum, опублікований на сторінці роадмапу Ethereum Foundation, визнає необхідність використання Winternitz One-Time Signatures або аутентифікації на базі STARK як довгострокових рішень, але відносить їх до категорії «splurge» — найнижчого пріоритету в поточній структурі роадмапу.
З огляду на апаратні таймлайни, задокументовані в п’ятому розділі, таку пріоритизацію слід рішуче поставити під сумнів.
Read Next: 35% Of European Investors Would Ditch Their Bank For Crypto Access
Висновок
Загроза квантових обчислень для криптовалют реальна, задокументована і розвивається за таймлайном, який індустрія досі не усвідомила.
NIST фіналізував свої постквантові стандарти в серпні 2024 року та наказав негайно розпочати міграцію. Державні квантові програми фінансуються на рівнях, які забезпечують наявність засекречених можливостей раніше за публічні академічні бенчмарки. Десь між 25% і 40% обігу Bitcoin зберігається на адресах, чиї публічні ключі вже розкриті в ланцюгу та доступні для збирання. У цьому немає спекуляцій. Усе це піддається цитуванню, кількісно виміряне й доступне в первинній документації, з якою команди протоколів, комплаєнс-відділи бірж і інституційні кастодіани мали час ознайомитися.
Те, чого бракує індустрії, — це не інформація, а терміновість. Ця модель знайома з інших повільних криз безпеки.
Організації не мігрують із вразливих систем, доки або катастрофічний інцидент не змусить їх до цього, або регуляторний дедлайн не залишить їм вибору.
У квантовому випадку катастрофічний інцидент — тихе «осушення» адрес Bitcoin з розкритими ключами державним актором, що володіє засекреченою квантовою машиною — настане без попередження і без форенсичної ясності, необхідної для того, щоб ініціювати скоординовану відповідь до того, як буде завдано суттєвої шкоди.
Структури управління Bitcoin і Ethereum не призначені для консенсусу в кризовому темпі, що означає: вікно для впорядкованої міграції звужується, навіть якщо апаратна загроза ще не реалізувалася.
Конструктивний висновок з цього аналізу полягає в тому, що квантовий перехід створює реальну можливість для досліджень та розробок. Команди протоколів, які першими інтегрують постквантові підписи, біржі, що публікують прозорі роадмапи квантової готовності, та кастодіани, які модернізують свою HSM-інфраструктуру до того, як цього вимагатимуть регулятори, опиняться в суттєво сильнішій конкурентній позиції, коли загрозу вже буде неможливо ігнорувати. Дослідження виконані. Стандарти опубліковані. Залишилася робота з управління, і її потрібно починати зараз.