Квантовий комп'ютер зламав маленький ключ у стилі Bitcoin, і індустрія повинна припинити вдавати, що це просто наукова фантастика

Невелика демонстрація з великими наслідками

Квантовий комп'ютер зламав 15-бітний ключ криптографії на еліптичних кривих — спрощену версію криптографічної системи, що використовується для захисту Bitcoin, Ethereum та значної частини економіки цифрових активів.

Результат оголосила компанія з квантової безпеки Project Eleven, яка присудила премію «Q-Day Prize» розміром один Bitcoin незалежному дослідникові Джанкарло Леллі. Леллі використав загальнодоступне квантове обладнання, щоб отримати приватний ключ із відповідного публічного ключа за допомогою варіанта алгоритму Шора — квантового алгоритму, який давно вважається потенційною загрозою для криптографії з відкритим ключем.

Результат оголосила компанія з квантової безпеки Project Eleven, джерело: X

Важливе застереження є водночас і очевидним: Bitcoin не зламано. 15-бітний ключ на еліптичних кривих навіть близько не стоїть до 256-бітної криптографії secp256k1, яку використовує Bitcoin. Різниця в масштабі є колосальною. 15-бітний ключ має 32 768 можливих значень. 256-бітний ключ має приблизно 1,16 × 10^77 можливих значень. Ці два числа не варто ставити в одне речення без відповідного застереження.

Проте результат важливий, бо він є публічною демонстрацією класу атак, який за достатнього масштабу загрожував би підписам на еліптичних кривих. Project Eleven охарактеризувала це як найбільшу публічну квантову атаку на криптографію еліптичних кривих на сьогодні та зазначила, що це стрибок у 512 разів порівняно з попередньою шестибітною демонстрацією у 2025 році.

«Вимоги до ресурсів для цього типу атак постійно знижуються, і бар'єр для їх практичного застосування знижується разом із ними», — сказав Алекс Прюден, генеральний директор Project Eleven. «Переможна робота надійшла від незалежного дослідника, який працював на хмарному обладнанні. Жодної національної лабораторії, жодного приватного чіпа».

Саме це заслуговує на серйозну увагу. Експеримент не наражає кошти Bitcoin на безпосередній ризик. Але він показує, що квантові атаки на базовий клас криптографічних алгоритмів більше не обмежуються дошками для нотаток і конференційними панелями. Тепер їх демонструють — у мініатюрі — на загальнодоступних системах.

Bitcoin не зламано, але деякі монети є більш вразливими, ніж інші

Квантовий ризик для Bitcoin часто розуміють неправильно. Головне занепокоєння стосується не майнінгу, не системи підтвердження роботи та не історичного реєстру. Центральне питання — це цифрові підписи.

Право власності на Bitcoin підтверджується за допомогою підписів. Якби зловмисник міг отримати приватний ключ із публічного, він міг би авторизувати транзакцію, ніби є власником монет. Класичні комп'ютери не здатні зробити це проти поточної криптографії Bitcoin у будь-які практичні терміни. Достатньо потужний квантовий комп'ютер, що запускає алгоритм Шора, теоретично міг би.

Ця відмінність створює важливий розподіл у профілі ризику Bitcoin. Монети на адресах, де публічний ключ ще не був розкритий, складніше атакувати. Монети на адресах, де публічний ключ уже видимий у блокчейні, більше піддаються майбутній квантовій атаці. Це стосується старих виходів pay-to-public-key, повторно використаних адрес та інших способів поводження з гаманцем, що розкривають публічні ключі.

У нещодавньому документі Coinbase Quantum Advisory Council підраховано, що близько 6,9 мільйона BTC належать до цієї більш вразливої категорії. За курсу Bitcoin близько $77 500 це означає понад $530 мільярдів BTC на адресах, які можуть стати актуальними в майбутній моделі квантової загрози.

Це число не слід читати як «$530 мільярдів ось-ось буде викрадено». Його слід читати як карту того, де сконцентроване довгострокове ризикове навантаження. Безпосередній ризик залишається низьким, оскільки сучасні квантові комп'ютери недостатньо потужні та надійні, щоб зламати 256-бітні підписи Bitcoin на еліптичних кривих. Але проблема з відкритими адресами є реальною, вимірюваною та нерівномірно розподіленою по мережі.

Brave New Coin раніше висвітлював цю відмінність у матеріалі Bitcoin Faces Long-Term Quantum Threat as Researchers Push Post-Quantum Upgrades, зазначаючи, що ризик менше пов'язаний із тим, чи може Bitcoin технічно адаптуватися, і більше — з тим, чи зможе децентралізована мережа скоординувати міграцію вчасно.

Дослідження Google зробили часові рамки менш комфортними

Результат Project Eleven з'явився після більш значущого попередження від команди Google Quantum AI. У березні дослідники Google опублікували статтю про захист криптовалют на еліптичних кривих від квантових вразливостей, стверджуючи, що майбутнім квантовим комп'ютерам може знадобитися менше ресурсів, ніж раніше передбачалося, для атаки на криптографію еліптичних кривих, що використовується в основних блокчейнах.

У статті оцінюється, що атака на 256-бітну криптографію еліптичних кривих на secp256k1 може бути здійснена менш ніж із половиною мільйона фізичних кубітів за певних припущень щодо надпровідних архітектур, фізичних рівнів помилок і планарної зв'язності. Це залишається далеко за межами можливостей сучасного публічного квантового обладнання. Але це переводить дискусію від розмитого формулювання «колись» до конкретних оцінок ресурсів.

Google також повідомила, що перевірила конфіденційні результати за допомогою доведення з нульовим розголошенням без розкриття повних схем атаки. Ця деталь важлива. Вона свідчить про те, що дослідники найвищого рівня починають ставитися до квантового ризику для криптовалют не як до абстрактних спекуляцій, а як до проблеми розкриття інформації про безпеку.

Ширший світ кібербезпеки вже почав рухатися. Національний інститут стандартів і технологій США у 2024 році завершив роботу над першими стандартами постквантової криптографії, включно з ML-KEM, ML-DSA і SLH-DSA. NIST заявив, що ці стандарти готові до впровадження. Уряди та великі підприємства вже планують часові рамки міграції, оскільки криптографічні переходи займають роки, а не місяці.

Криптовалютній індустрії варто звернути на це увагу. Індустрія вміє швидко рухатися, коли з'являється новий токен-наратив. Вона менш послідовна, коли робота передбачає повільні, технічні оновлення інфраструктури без негайної маркетингової вигоди.

Складна частина — не математика

Bitcoin майже напевно можна зробити більш квантово стійким. Постквантові схеми підписів існують. Дослідники вже вивчають способи впровадження квантово стійких форматів адрес, нових кодів операцій підписів і поетапних шляхів міграції.

Складне питання — це управління. Bitcoin навмисно важко змінити. Цей консерватизм є однією з його сильних сторін. Він запобігає необачним експериментам і захищає довіру до грошової системи. Але це також означає, що великі криптографічні оновлення вимагають тривалої підготовки, широкого консенсусу, ретельного огляду та обережної активації.

Це створює невідповідність. Прогрес квантового обладнання може бути нелінійним. Управління Bitcoin навмисно повільне. Якщо мережа чекатиме, поки загроза не стане чітко видимою, вона може виявити, що доступне вікно реагування звузилося.

Найскладніша проблема може стосуватися бездіяльних або втрачених монет. Якщо частина монет залишиться на відкритих адресах із публічними ключами і ніколи не мігрує, що має робити мережа? Залишити їх у спокої і змиритися з можливістю того, що майбутній квантовий зловмисник може їх забрати? Заохотити добровільну міграцію і прийняти залишковий ризик? Розглянути обмеження на рівні протоколу для вразливих виходів? Кожен варіант має свої компроміси, і жоден не буде політично простим.

Ось чому квантову дискусію не слід зводити до бінарного аргументу про те, чи є Bitcoin безпечним сьогодні. Він безпечний сьогодні. Але це не те саме, що бути підготовленим. Зважена позиція полягає в тому, що у Bitcoin є час, але час корисний лише тоді, коли він витрачається з розумом.

Ethereum та інші блокчейни стикаються з аналогічними питаннями

Bitcoin не самотній. Ethereum також покладається на криптографію еліптичних кривих, а мережі з підтвердженням частки вносять додаткове навантаження через підписи валідаторів. У документі Coinbase зазначено, що блокчейни з підтвердженням частки мають специфічні ризики, пов'язані зі схемами підписів, які валідатори використовують для захисту мереж.

Ethereum може мати простіший шлях у деяких відношеннях, оскільки його культура управління більш відкрита до змін протоколу. Фонд Ethereum вже поставив постквантову безпеку вище в порядку денному своїх досліджень — зсув, який Brave New Coin висвітлив у матеріалі Ethereum Goes All-In on Post-Quantum Security. Це не робить Ethereum невразливим. Це просто означає, що соціальний процес навколо оновлень є іншим.

Культура оновлень Bitcoin є більш консервативною, і на це є вагомі причини. Але той самий консерватизм, який захищає Bitcoin від непотрібних змін, може також уповільнити необхідні зміни. Це і є компроміс. Про це варто говорити відверто, а не ховати за гаслами.

Для бірж, кастодіанів, постачальників гаманців, майнерів, розробників і довгострокових власників практичний порядок денний стає дедалі зрозумілішим. Визначте відкриті публічні ключі в портфелях. Зменште повторне використання адрес. Покращте гігієну гаманців. Протестуйте постквантові схеми підписів. Змоделюйте вплив більших підписів на розмір транзакцій, комісії та місце в блоці. Почніть розмову про управління до того, як терміновість позбавить вас розкоші ретельного проєктування.

Нічого з цього не вимагає паніки. Але це вимагає серйозності.

Сигнал стає дедалі важче ігнорувати

15-бітна квантова демонстрація не є прямою загрозою криптографії Bitcoin. Будь-хто, хто представляє її саме так, перебільшує результат. Але повністю відмахнутися від неї було б так само несерйозно.

Ризики безпеки зазвичай стають небезпечними задовго до того, як стають терміновими. Ранні ознаки є технічними, поступовими та легкими для ігнорування. Зламано невеликий ключ. Оцінки ресурсів знижуються. Хмарне обладнання вдосконалюється. Органи стандартизації починають роботу з міграції. Великі технологічні компанії починають публікувати обережні попередження. Кожен окремий розвиток подій можна пояснити. Разом вони утворюють тенденцію.

Ціннісна пропозиція Bitcoin частково ґрунтується на ідеї, що він може існувати десятиліттями. Це означає, що він повинен серйозно ставитися до ризиків масштабу десятиліть. Постквантове планування — це не атака на Bitcoin. Це частина збереження його довіри.

Правильний висновок із результату Леллі полягає не в тому, що Bitcoin зламано. Він полягає в тому, що індустрія отримала ще одне нагадування про те, що криптографія має термін придатності, і що планування міграції є простішим до того, як дедлайн стає видимим.