Наближається Q-Day? Детальний аналіз статті Google про квантові обчислення та потенційні ризики для безпеки B

Коли «квантові обчислення» та «Bitcoin» з’являються разом, це впливає не лише на технічну спільноту — це зачіпає саму основу безпеки найбільшого криптоактиву у світі. Нещодавно команда Google Quantum AI оприлюднила важливий аналітичний документ, який знову активізував цю дискусію. Основний висновок: застосування алгоритму Шора для зламу криптографії на основі еліптичної кривої secp256k1 у Bitcoin тепер потребує приблизно на порядок менше квантових ресурсів — зокрема, логічних кубітів — ніж вважалося раніше, а поріг знизився майже у 20 разів. Це не віддалений сценарій із наукової фантастики; це перегляд «Q-Day» — дня, коли квантові комп’ютери зможуть зламати основну криптографію, — і серйозний сигнал для всієї криптоіндустрії.

Переосмислення загрози квантових обчислень

У березні 2026 року команда Google Quantum AI разом із партнерами опублікувала роботу «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities», яка швидко стала центром уваги індустрії. Дотримуючись принципів відповідального розкриття та використовуючи технології доказів з нульовим розголошенням, автори підтвердили — без розкриття деталей атаки — що їм вдалося суттєво оптимізувати квантові схеми для зламу основної криптографії (крива secp256k1), яку використовують Bitcoin та інші провідні криптовалюти.

У документі зазначено, що для зламу 256-бітної задачі дискретного логарифму на еліптичній кривій secp256k1 (ECDLP) тепер потрібно лише близько 1 200–1 450 логічних кубітів і 70–90 мільйонів вентилів Тоффолі. За найбільш оптимістичних інженерних припущень кількість фізичних кубітів, необхідних для запуску цих схем, може бути менше 500 000 — це значне зниження порівняно з попередніми оцінками у мільйони.

Цей прорив означає, що інженерний поріг для створення «криптографічно релевантного квантового комп’ютера» (CRQC), здатного атакувати Bitcoin, став нижчим, а часова межа появи такої загрози може бути ближчою, ніж очікують багато хто. Хоча автори підкреслюють, що це поки що «теоретичний ризик», їхня робота виводить індустрію із зони комфорту «квантові загрози ще десятки років у майбутньому» до усвідомлення, що технологічний прогрес може пришвидшитись.

Джерело: Google аналітичний документ

Від теорії до невідворотності: еволюція загрози

Безпека Bitcoin базується на двох основних криптографічних припущеннях: по-перше, складності задачі дискретного логарифму на еліптичній кривій (ECDLP), що лежить в основі алгоритму цифрового підпису на еліптичних кривих (ECDSA); по-друге, обчислювальній складності хеш-функції SHA-256, яка використовується у механізмі Proof-of-Work (PoW). Квантова загроза переважно спрямована на перше.

• 1994: Математик Пітер Шор запропонував квантовий алгоритм (алгоритм Шора), здатний ефективно факторизувати великі числа та розв’язувати задачі дискретного логарифму, що заклало основи руйнівного потенціалу квантових обчислень для криптографії з відкритим ключем.
• 2017–дотепер: Зі швидким розвитком квантового обладнання (особливо надпровідних кубітів) та технологій квантової корекції помилок дослідження щодо «коли Bitcoin може бути зламаний» стають дедалі більш кількісними. Ранні оцінки вимагали мільйони або навіть десятки мільйонів фізичних кубітів.
• 2021–2025: Постійні прориви в оптимізації алгоритмів і компіляції схем — такі як «windowing algorithms» («алгоритми віконування») та «modular batch processing» («модульна пакетна обробка») — поступово знижують вимоги до логічних кубітів і кількості вентилів.
• Березень 2026 (ця подія): Останні результати Google суттєво знижують поріг ресурсів для розв’язання ECDLP. У документі також вводяться поняття «швидких годинників» (наприклад, надпровідникові, фотонні квантові комп’ютери) та «повільних годинників» (наприклад, іонні пастки, нейтральні атоми), зазначаючи, що перші теоретично можуть отримати приватний ключ за кілька хвилин — що робить можливими «атаки під час транзакції».

Кількісна оцінка та категоризація квантових ризикових активів

Документ містить докладні дані, які демонструють рівень квантового ризику у екосистемі Bitcoin — це, мабуть, найбільш вражаючий внесок роботи.

По-перше, ризики класифікуються за типами скриптів адрес Bitcoin та повторним використанням адрес:

• P2PK (Pay-to-Public-Key): Скрипти, які напряму розкривають публічний ключ. Такі адреси вразливі до «пасивних атак» з моменту отримання Bitcoin. За оцінками, близько 1,7 мільйона BTC заблоковано у таких скриптах — переважно це ранні винагороди за майнінг епохи Сатоші, ймовірно з втраченими приватними ключами, що робить їх «сплячими активами».
• P2TR (Pay-to-Taproot): Впроваджений у оновленні Taproot у 2021 році, цей тип скрипту покращує приватність і гнучкість, але також фіксує публічний ключ безпосередньо у скрипті блокування, піддаючи його аналогічним статичним ризикам, як у P2PK.
• Повторне використання адрес: Навіть адреси P2PKH або P2WPKH, які зазвичай приховують публічний ключ, стають вразливими після першої транзакції, коли користувач розкриває публічний ключ у блокчейні. Аналіз даних у документі показує, що з урахуванням повторного використання адрес та розкриття публічних ключів, близько 6,7 мільйона BTC (приблизно 33% циркулюючої пропозиції) теоретично піддаються квантовим атакам. З них близько 2,3 мільйона залишаються сплячими понад п’ять років.

Думки спільноти: розбіжності та консенсус у технічному світі

Після публікації роботи технічна, крипто- та академічна спільноти швидко розділилися на кілька таборів:

• Табір «терміновості»: Вважає це найбільш авторитетним та ґрунтовним попередженням про квантову загрозу на сьогодні. Радикальне зниження оцінок ресурсів означає, що «Q-Day» вже не віддалена проблема — вона може стати реальним ризиком протягом кількох років із розвитком інженерії. Вони закликають всі блокчейни, що використовують ECDLP, негайно розпочати та прискорити перехід до постквантової криптографії (PQC).
• Табір «обережності»: Підкреслює значну різницю між «логічними кубітами» та «фізичними кубітами». Перетворення 1 200 логічних кубітів у 500 000 фізичних кубітів із низьким рівнем помилок, надійними операціями вентилів та ефективною корекцією помилок залишається складною інженерною задачею. Вони вважають, що часу для спостереження та підготовки ще достатньо, поки не з’явиться справжній «швидкий CRQC».
• Табір «скептиків»: Висловлює занепокоєння щодо вибору Google використовувати докази з нульовим розголошенням замість повного розкриття технічних деталей, що, на їхню думку, знижує верифікованість. Деякі також вказують на потенційний конфлікт інтересів, зазначаючи, що частина авторів володіє криптоактивами, що може впливати на об’єктивність.

Попри розбіжності, формується зростаючий консенсус: квантова загроза реальна та неминуча. Дискусія змістилася з «чи буде це» до «коли» і «як реагувати».

Вплив на індустрію: від безпеки активів до еволюції екосистеми

Наслідки цієї події виходять далеко за межі Bitcoin.

• Вплив на криптоактиви: Найбезпосередніше, якір цінності для близько 6,7 мільйона BTC — впевненість, що «той, хто володіє приватним ключем, контролює актив» — тепер стикається з новим технологічним викликом. Це може вплинути на довгострокову цінність і додати нову невизначеність: технологічний ризик (квантовий) тепер стоїть поряд із традиційними ринковими та політичними ризиками.
• Вплив на структуру екосистеми: У документі зазначено, що Ethereum через модель акаунтів, смартконтракти та використання підписів BLS і комітментів KZG у Proof-of-Stake має ще більшу квантову вразливість, ніж Bitcoin. Це може змінити конкурентний ландшафт блокчейнів у хвилі переходу до PQC, а такі мережі як Solana, Algorand та XRP Ledger (які вже експериментують із PQC) можуть отримати перевагу. Блокчейни з чіткими дорожніми картами PQC або квантово-стійкими функціями привернуть більше уваги та капіталу.
• Вплив на технологічний прогрес: Індустрія неминуче прискорить дослідження та впровадження PQC. Постквантові схеми підпису, стандартизовані NIST, такі як ML-DSA (раніше Crystals-Dilithium), SLH-DSA (раніше SPHINCS+), а також хеш-орієнтовані докази з нульовим розголошенням (zk-STARKs), поступово переходять до практичного застосування. Оновлення мережі, покращення гаманців і міграція активів стануть довгостроковими системними проектами, розрахованими на роки або навіть десятиліття.

Аналіз сценаріїв: можливі шляхи розвитку

Перед цією повільною, але невідворотною технологічною хвилею можливі кілька майбутніх сценаріїв:

Висновок

Замість остаточного технічного вердикту, аналітичний документ Google є ґрунтовною оцінкою ризиків для всієї індустрії. Він чітко показує, що світ криптоактивів на основі ECDLP стоїть на роздоріжжі — між сьогоденням, визначеним класичними комп’ютерами, та майбутнім, сформованим квантовими машинами. Теоретичний ризик для 6,7 мільйона BTC — це вражаюча цифра, але вона радше є запалом — розпалюючи широку дискусію про темпи технологічних змін, значення безпеки активів, мудрість управління спільнотою та можливості політичної реакції. Для всіх у криптоіндустрії найважливішим завданням є не прогнозувати точний момент появи квантових комп’ютерів, а почати розуміти, обговорювати та підтримувати еволюцію блокчейну у «постквантову епоху». Це естафета, яка визначить основу цифрової довіри на десятиліття вперед — і стартовий постріл уже пролунав.