Обратный отсчет конца света для квантовых компьютеров? Генеральный директор Blockstream: у Биткойн есть еще 20 лет для подготовки

Генеральный директор Blockstream Адам Бэк заявил, что Биткойн в ближайшие 20-40 лет «возможно» не столкнется с атаками квантовых компьютеров, связанными с криптографией. На протяжении многих лет квантовые компьютеры остаются самым обсуждаемым сценарием апокалипсиса в сфере криптоактивов, и всякий раз, когда какая-либо лаборатория объявляет о достижении в области квантовых битов, эта угроза периодически снова возникает.

Периодическая паника теории конца света квантовых компьютеров

На протяжении многих лет сценарии апокалипсиса с квантовыми компьютерами оставались самой обсуждаемой угрозой в области криптоактивов, явлением, которое кажется отдаленным, но несет угрозу существованию. Каждый раз, когда какая-либо лаборатория объявляет о достижении в области квантовых битов, эта угроза периодически вновь возникает. Развитие событий следует предсказуемой траектории: исследователи достигают некоторых постепенных прорывов, в социальных сетях разгорается предсказание «Биткойн мертв», а затем новостной цикл продолжается.

Но комментарий Адама Бэка 15 ноября по поводу X положил конец этой путанице, предложив то, что крайне необходимо в этой области: временную шкалу, основанную на физике, а не на панике. Генеральный директор Blockstream Бэк ранее заявлял, что его система доказательства работы Hashcash появилась еще до Биткойна. Когда его спросили, как ускорить квантовые исследования, он дал откровенную оценку: Биткойн в течение следующих 20-40 лет «возможно» не столкнется с атаками квантовых компьютеров, связанными с криптографией.

Более важно, что он подчеркивает, что Биткойн не должен пассивно ждать наступления того дня. NIST уже стандартизировал схемы квантовой безопасности подписи (например, SLH-DSA), и Биткойн может внедрить эти инструменты через мягкое обновление задолго до того, как любые квантовые машины станут настоящей угрозой. Его комментарии переопределяют риск конца света от квантовых компьютеров как инженерную проблему, которую можно решить, имея десятилетия времени на решение.

Это различие имеет решающее значение, поскольку настоящие уязвимости Биткойн не таковы, как думает большинство людей. Угроза не исходит от хеш-функции SHA-256, используемой для обеспечения безопасности процесса майнинга, а от подписи ECDSA и Schnorr на основе эллиптической кривой secp256k1, то есть криптографической технологии, используемой для подтверждения прав собственности. Квантовые компьютеры, запускающие алгоритм Шора, могут решить задачу дискретного логарифма на secp256k1, извлекая закрытый ключ из открытого, что делает всю модель собственности недействительной. В области чистой математики алгоритм Шора делает эллиптическую криптографию устаревшей.

Огромный разрыв между теорией инженерии и реальностью

Но математика и инженерия существуют в разных областях. Для того чтобы сломать 256-битную эллиптическую кривую, потребуется около 1600 до 2500 логических корректирующих квантовых битов. Каждый логический квантовый бит требует тысячи физических квантовых битов для поддержания когерентности и исправления ошибок. Согласно анализу, проведенному на основе работы Мартина Рёттлера и трех других исследователей, для того чтобы взломать 256-битный EC-ключ в узком временном окне, связанном с транзакциями Биткойна, потребуется примерно 317 миллионов физических квантовых битов при реальной вероятности ошибок.

Понимание текущего состояния квантового оборудования крайне важно. Система нейтральных атомов Калифорнийского технологического института управляет примерно 6100 физическими квантовыми битами, но эти квантовые биты подвержены шуму и не имеют механизма коррекции ошибок. Более зрелые системы на основе вентилей от Quantinuum и IBM могут работать с десятками и сотнями логически качественных квантовых битов. Разрыв между текущими возможностями и их связью с криптографией составляет несколько порядков, это не просто небольшое улучшение, а целая пропасть, требующая коренных прорывов в качестве квантовых битов, коррекции ошибок и масштабируемости.

Национальный институт стандартов и технологий США (NIST) в своем объяснении постквантовой криптографии четко указывает: в настоящее время не существует никаких квантовых компьютеров, связанных с криптографией, и прогнозы экспертов о времени их появления сильно различаются. Некоторые эксперты считают, что «менее чем за 10 лет» это все еще возможно, в то время как другие настаивают на том, что появление квантовых компьютеров не произойдет как минимум до 2040 года. Медианная точка зрения сосредоточена на середине 2030-х годов, что делает предложенный Беком временной интервал в 20-40 лет консервативным, а не опрометчивым.

С текущих 6100 физических квантовых бит до необходимых 317 миллионов физических квантовых бит, такой скачок требует не только инженерной оптимизации, но и прорыва в фундаментальной физике. Приверженцы теории конца квантовых компьютеров часто игнорируют эту экспоненциальную разницу, ошибочно воспринимая постепенное увеличение количества квантовых бит как надвигающуюся угрозу.

Дорожная карта миграции уже существует и развивается

Комментарий Back о том, что «Биткойн может обновляться со временем», указывает на конкретные предложения, которые уже циркулируют среди разработчиков. BIP-360, озаглавленный «Устойчивый к квантовым атакам хеш», определяет новый тип выхода, в котором условия расходования включают классические подписи и постквантовые подписи. Один UTXO может использоваться в обоих сценариях, что позволяет осуществлять постепенный переход, а не резкое прекращение.

Джеймсон Лопп и другие разработчики разработали многолетний план миграции на основе BIP-360. Сначала через софт-форк добавляется поддержка адресного типа PQ. Затем постепенно поощряется или субсидируется перемещение токенов с уязвимых выходных адресов на выходные адреса, защищенные PQ, и в каждом блоке специально резервируется немного пространства для этих “спасательных” операций. Еще в 2017 году академическое сообщество уже предложило подобные переходные схемы.

Анализ клиентской стороны выявил важность этого факта. Около 25% Биткойнов (примерно от 4 до 6 миллионов монет) находятся в адресах типа, где публичный ключ уже опубликован в цепочке. Ранние выходы Биткойнов с публичным ключом (P2PKH), повторно используемые адреса P2PKH и некоторые выходы Taproot относятся к этой категории. Как только атака Шора на основе secp256k1 станет осуществимой, эти токены сразу же станут целью атаки.

Уровни защиты Биткойна от квантовых угроз

Высокий риск активов (25%): старые адреса с открытым ключом, которые могут быть напрямую атакованы квантовыми компьютерами.

Активы со средним риском: современные адреса с повторным использованием, открытый ключ раскрывается после первой сделки

Низкорисковые активы: совершенно новый неиспользуемый адрес SegWit/Taproot, открытый ключ скрыт за хешем

Безрисковый актив: адреса, использующие схему подписи PQ в будущем, полностью защищены от квантовых атак.

Современные лучшие практики обеспечивают значительный уровень защиты. Пользователи, использующие новые адреса P2PKH, SegWit или Taproot без повторного использования, могут получить ключевое временное преимущество. Для этих выходов открытый ключ оставался скрытым за хеш-значением до первого расхода, что сжимает временное окно для атакующих на время выполнения алгоритма Шора в памяти, которое измеряется в минутах, а не годах.

Инструментарий постквантовой криптографии готов

Back упомянул, что SLH-DSA не был упомянут случайно. В августе 2024 года NIST окончательно утвердил первую партию стандартов постквантовой безопасности: FIPS 203 ML-KEM для упаковки ключей, FIPS 204 ML-DSA для цифровых подписей на основе решеток и FIPS 205 SLH-DSA для бессостоянных хэшированных цифровых подписей. NIST также стандартизировал XMSS и LMS как схемы с состоянием, а основанная на решетках схема Falcon также находится в стадии разработки.

Разработчики Биткойн теперь могут выбирать из ряда алгоритмов, одобренных NIST, а также могут ссылаться на соответствующие реализации и библиотеки. Реализация, ориентированная на Биткойн, уже поддерживает BIP-360, что свидетельствует о том, что инструментарий после квантовой криптографии уже существует и продолжает развиваться. Этот протокол не требует изобретения совершенно новой математики, он может использовать установленные стандарты, прошедшие многолетний анализ криптографии.

Но это не означает, что процесс реализации прошёл гладко. В статье, опубликованной в 2025 году, исследуется SLH-DSA, и обнаруживается, что он подвержен атакам сбоя типа Rowhammer, при этом подчеркивается, что, хотя безопасность зависит от обычных хеш-функций, в процессе реализации необходимо провести укрепление. Постквантовые подписи также требуют больше ресурсов, чем классические подписи, что вызывает озабоченность по поводу масштабов транзакций и экономичности затрат. Но это инженерные проблемы с известными параметрами, а не неразрешимые математические загадки.

Разница между сценарием конца света от квантовых компьютеров и реальными инженерными вызовами заключается в том, что первое является неконтролируемой физической угрозой, в то время как второе — это проблемы, которые можно решить с помощью обновления программного обеспечения, координации сообщества и управления временем.

Угрозой 2025 года является управление, а не квантовая физика

Биржевой фонд iShares Блэка (IBIT) в мае 2025 года изменил проспект эмиссии, добавив обширные раскрытия информации о рисках квантовых компьютеров и предупредив, что достаточно продвинутые квантовые компьютеры могут подорвать шифрование Биткойна. Аналитики сразу поняли, что это стандартное раскрытие факторов риска, которое перечисляется в формате языка вместе с общими технологическими и регуляторными рисками, а не сигнал о том, что Блэк ожидает немедленной квантовой атаки. Недавняя угроза заключается в настроениях инвесторов, а не в самой технологии квантовых компьютеров.

Исследование SSRN 2025 года показало, что новости, связанные с квантовыми компьютерами, могут вызвать перераспределение некоторых средств в криптоактивы, нацеленные на квантовые вычисления. Однако традиционные криптоактивы демонстрировали лишь незначительные отрицательные доходности и резкий рост объема торгов до и после публикации таких новостей, а не структурное перекрестное ценообразование. При изучении истинных факторов, влияющих на динамику Биткойна в 2024 и 2025 годах, таких как потоки средств через ETF, макроэкономические данные, регулирование и циклы ликвидности, квантовые вычисления редко рассматриваются как непосредственная причина.

Проблема определения квантовой устойчивости Биткойна заключается в том, смогут ли разработчики достичь консенсуса вокруг BIP-360 или аналогичного предложения; сможет ли сообщество стимулировать миграцию традиционных токенов без разделения; и сможет ли коммуникация оставаться достаточно разумной, чтобы предотвратить панику, превышающую физические законы. К 2025 году квантовые компьютеры создадут вызовы для управления, и необходимо разработать дорожную карту на 10-20 лет, а не определять катализатор текущих ценовых движений. Развитие физики медленно, но его дорожная карта ясна. Роль Биткойна заключается в том, чтобы принять инструменты, готовые к PQ, до прихода аппаратного обеспечения, и сделать это, не создавая управленческого тупика, тем самым избегая превращения разрешимой проблемы в самонаводящийся кризис.