Security ·

Взломают ли квантовые компьютеры Bitcoin? Анализ 2026

Квантовые вычисления часто называют экзистенциальной угрозой для криптовалют. Заголовки заявляют, что достаточно мощный квантовый компьютер сможет взломать кошельки Bitcoin, вывести средства и уничтожить всю блокчейн-экосистему за ночь. Но насколько реалистичен этот сценарий в 2026 году и о чём действительно стоит беспокоиться держателям криптовалют?

Этот анализ разбирает реальную науку за квантовой угрозой, отделяет хайп от настоящего риска и описывает конкретные шаги для защиты активов --- сейчас и в ближайшие годы.

Квантовые компьютеры vs эллиптические кривые

Каждый криптовалютный кошелёк зависит от математической связи между приватным ключом и публичным ключом. Создавая кошелёк на Bitcoin или Ethereum, вы создаёте случайный приватный ключ и выводите из него публичный ключ через умножение на эллиптической кривой. Безопасность системы основана на предположении: обратная операция (вычисление приватного ключа из публичного) вычислительно неосуществима для классических компьютеров.

Bitcoin и Ethereum используют кривую secp256k1, тогда как Solana использует Ed25519. Оба типа кривых опираются на задачу дискретного логарифма на эллиптических кривых (ECDLP). На классическом оборудовании решение ECDLP для 256-битного ключа требует примерно 2^128 операций --- числа настолько огромного, что все компьютеры Земли, работающие параллельно до тепловой смерти Вселенной, не приблизятся к завершению.

Квантовые компьютеры меняют уравнение. Они работают с кубитами, способными существовать в суперпозициях состояний, что позволяет определённые вычисления проводить экспоненциально быстрее классических машин. Конкретный алгоритм, угрожающий криптографии на эллиптических кривых, хорошо изучен и называется алгоритмом Шора.

Алгоритм Шора простыми словами

Питер Шор опубликовал алгоритм в 1994 году. Он предоставляет полиномиальный метод решения как факторизации целых чисел, так и задачи дискретного логарифма на квантовом оборудовании.

Классические компьютеры, пытающиеся обратить публичный ключ в приватный, вынуждены перебирать варианты. Пространство поиска настолько огромно, что полный перебор безнадёжен. Алгоритм Шора использует квантовый параллелизм для нахождения периода математической функции, связанной с операцией на эллиптической кривой. Как только период найден, вывод приватного ключа становится простой арифметикой.

Для ECDSA-подписей на кривой secp256k1 (Bitcoin и Ethereum) квантовому компьютеру потребуется примерно 2 500 логических кубитов. Для Ed25519 (Solana) требование аналогично, поскольку обе кривые обеспечивают 128-битный уровень классической безопасности.

Ключевое слово здесь --- «логические» кубиты. Логический кубит --- это кубит с коррекцией ошибок, построенный из множества физических кубитов. Современные квантовые компьютеры имеют высокую частоту ошибок, и каждый логический кубит может требовать от 1 000 до 10 000 физических кубитов в зависимости от архитектуры. Это означает, что для взлома secp256k1 может потребоваться от 2,5 до 25 миллионов физических кубитов.

На начало 2026 года крупнейшие квантовые компьютеры имеют примерно 1 000--1 500 физических кубитов, и большинство не могут поддерживать когерентность достаточно долго для глубоких схем, требуемых алгоритмом Шора. Разрыв между текущим состоянием и необходимым --- огромен.

Временные рамки: когда это может произойти?

Оценки исследователей квантовых вычислений сильно разнятся, и стоит понять почему.

Оптимистические прогнозы (2030--2035): Некоторые исследователи в компаниях вроде IBM и Google имеют дорожные карты, предполагающие миллионы физических кубитов в течение следующего десятилетия. Если коррекция ошибок будет развиваться в ожидаемом темпе, криптографически значимые квантовые компьютеры могут появиться к началу 2030-х.

Умеренные оценки (2035--2045): Большинство академических криптографов оценивают срок для квантового компьютера, способного взломать 256-битные кривые, в 15--20 лет. Это учитывает инженерные сложности масштабирования количества кубитов при поддержании низкой частоты ошибок.

Скептические взгляды (2050+): Некоторые физики утверждают, что декогеренция, накладные расходы на коррекцию ошибок и фундаментальные инженерные барьеры отложат криптографически значимые квантовые вычисления далеко за середину века --- если они вообще появятся для этого применения.

Национальный институт стандартов и технологий (NIST) действует из предположения, что угроза достаточно реальна для немедленных мер, поэтому они завершили первые постквантовые криптографические стандарты в 2024 году. Их позиция: «Мы не знаем точно когда, но миграция займёт годы, поэтому начинайте сейчас.»

Для криптовалют ключевой вопрос --- не только когда появятся квантовые компьютеры, но успеют ли блокчейн-экосистемы мигрировать криптографические примитивы до этого дня. Учитывая, что изменения протокола Bitcoin требуют широкого консенсуса и обычно идут медленно, сроки миграции могут быть столь же важны, как и сроки угрозы.

Постквантовая криптография

Постквантовая криптография (PQC) --- криптографические алгоритмы, считающиеся безопасными как против классических, так и против квантовых атак. NIST стандартизировал три PQC-алгоритма в 2024 году: CRYSTALS-Kyber для инкапсуляции ключей, CRYSTALS-Dilithium для цифровых подписей и SPHINCS+ как хеш-основанный запасной вариант подписей.

Эти алгоритмы опираются на математические задачи (решётки, хеш-функции), для которых не известен эффективный квантовый алгоритм. Криптография на решётках изучается десятилетиями и выдержала обширный криптоанализ.

Для блокчейн-приложений критический компонент --- схема подписи. Bitcoin-транзакции используют подписи ECDSA. Постквантовый Bitcoin потребует замены ECDSA на Dilithium или хеш-схему вроде SPHINCS+. Компромиссы существенны:

  • Размер подписи: ECDSA --- примерно 72 байта. Dilithium --- примерно 2 400 байт. SPHINCS+ может превышать 7 000 байт. Это напрямую влияет на пространство блока и комиссии.
  • Размер ключа: Public Key secp256k1 --- 33 байта (сжатый). Dilithium --- примерно 1 300 байт.
  • Скорость верификации: Постквантовая верификация подписей в целом медленнее ECDSA, хотя Dilithium достаточно быстр.

Ethereum обладает большей гибкостью благодаря аккаунт-модели и истории обновлений протокола. Архитектура Solana, построенная на Ed25519, тоже потребует фундаментальных изменений, хотя более быстрый цикл обновлений может быть преимуществом.

Несколько блокчейн-проектов уже экспериментируют с постквантовыми подписями. Сообщество Bitcoin обсуждало предложения по soft fork с добавлением постквантового типа подписи, хотя конкретных сроков нет. Ключевой вывод: криптографические инструменты существуют, но интеграция в продакшн-блокчейны остаётся многолетним инженерным проектом.

Безопасны ли текущие ключи?

Вот вопрос, который действительно волнует большинство держателей криптовалют. Ответ зависит от того, что значит «текущие» и как используются ваши ключи.

Неиспользованные адреса (нет исходящих транзакций): Если вы получили Bitcoin на адрес, но никогда с него не отправляли, ваш публичный ключ не раскрыт на блокчейне. Bitcoin-адреса --- хеши публичных ключей, и нахождение публичного ключа из адреса требует взлома хеш-функции (SHA-256 и RIPEMD-160), что квантовые компьютеры не могут эффективно атаковать. У ваших средств есть дополнительный уровень защиты.

Повторно использованные адреса (публичный ключ раскрыт): Если вы отправляли с Bitcoin-адреса, ваш публичный ключ виден на блокчейне. Будущий квантовый компьютер может вывести приватный ключ из этого публичного. Однако если баланс адреса нулевой, красть нечего.

Адреса с балансом и раскрытым публичным ключом: Это самая уязвимая категория. Если вы держите средства на адресе, с которого ранее отправляли транзакции, ваш публичный ключ раскрыт и средства теоретически подвержены риску от будущего квантового атакующего.

Для Ethereum и других EVM-сетей каждая транзакция раскрывает публичный ключ отправителя, поэтому «хеш-защита», которой пользуется Bitcoin, не применяется.

Угроза «собери сейчас, дешифруй позже»: Продвинутый противник может записывать зашифрованные данные и публичные ключи сегодня, намереваясь дешифровать их при появлении квантовых компьютеров. Для блокчейн-данных всё уже публично, поэтому нечего дополнительно «собирать». Эта угроза более актуальна для зашифрованных коммуникаций, чем для криптовалют.

Практические шаги на сегодня

Хотя квантовая угроза не неминуема, ответственные практики безопасности снижают будущую подверженность.

Генерируйте ключи с сильной энтропией. Основа любой криптографической безопасности --- качество случайности. Используйте доверенный инструмент вроде Bitcoin Seed Phrase Generator или Ethereum Seed Phrase Generator от SafeSeed для создания seed-фраз с правильной энтропией. Плохо сгенерированный ключ уязвим для классических атак уже сегодня, задолго до квантовых компьютеров. Наш гид Что такое энтропия в криптовалютах объясняет, почему это важно.

Избегайте повторного использования адресов. HD-кошельки генерируют свежий адрес для каждой транзакции, поэтому публичный ключ раскрывается лишь кратковременно (между трансляцией и подтверждением). Эта практика, уже рекомендованная для приватности, также ограничивает квантовую уязвимость. Подробнее --- HD-кошельки и пути деривации.

Периодически переводите средства на свежие адреса. Если вы держите долгосрочные сбережения на адресе, с которого ранее совершали транзакции, рассмотрите перевод средств на свежесгенерированный адрес. Это снова скрывает публичный ключ за хешем адреса.

Используйте офлайн-генерацию для ценных кошельков. Генерируйте seed-фразы и приватные ключи на air-gapped машине для максимальной безопасности. Это защищает как от текущих угроз (вредоносное ПО, кейлоггеры), так и от будущих.

Следуйте лучшим практикам холодного хранения. Физическая безопасность seed-фразы первостепенна. Наш гид по холодному хранению охватывает металлические бэкапы, географическое распределение и планирование доступа.

Следите за обновлениями протоколов. Когда Bitcoin, Ethereum или Solana объявят планы постквантовой миграции, вам, вероятно, потребуется перевести средства на новые форматы адресов. Следя за обсуждениями разработчиков, вы не будете застигнуты врасплох.

Не паникуйте. Квантовая угроза для криптовалют реальна, но далека. У вас есть годы, вероятно десятилетия, прежде чем какие-либо действия будут навязаны. Главный риск для вашей криптовалюты в 2026 году --- не квантовые компьютеры, а фишинговые атаки, вредоносное ПО и плохое управление ключами. Направьте энергию на практики безопасности приватных ключей, защищающие вас сегодня, а квантовую угрозу держите как фоновую тему для мониторинга.

Переход к постквантовой криптографии станет одним из крупнейших координированных обновлений в истории децентрализованных систем. Он будет сложным, спорным и медленным. Но криптографическое сообщество готовится уже более десяти лет, и инструменты готовы. Вопрос не в том, переживёт ли криптовалюта квантовые вычисления, а в том, насколько плавно пройдёт переход.