В марте 2026 года вновь активизировались обсуждения квантовых вычислений и криптографической безопасности. После того как Google в конце 2024 года представила чип Willow с 105 кубитами, тревога по поводу того, «когда квантовые компьютеры сломают биткоин», не покидает рынок. Недавно ARK Invest и Unchained совместно выпустили аналитический доклад, который системно рассматривает эти опасения. В отличие от распространённого панического сценария «Q-Day», в отчёте предложена пятиступенчатая эволюционная модель, согласно которой угроза квантовых вычислений для биткоина будет постепенной, отслеживаемой и управляемой.
Почему угроза квантовых вычислений для биткоина переоценена?
Большая часть текущей паники на рынке связана с неверным пониманием реального состояния квантовых технологий. В отчёте ARK Invest подчёркивается: сейчас мы находимся на нулевом этапе из пяти, когда «квантовые компьютеры существуют, но пока не имеют коммерческой ценности». Эта фаза в академической среде называется эпохой NISQ — эпохой квантовых компьютеров промежуточного масштаба с шумами.
С количественной точки зрения, для взлома алгоритма цифровой подписи на эллиптических кривых (ECDSA), используемого в биткоине, требуется минимум 2 330 логических кубитов и от десятков миллионов до миллиардов квантовых операций. Самые современные квантовые процессоры, такие как Willow, пока располагают примерно сотней физических кубитов, а уровень ошибок далёк от необходимого для отказоустойчивых вычислений. Разрыв между текущими технологиями и порогом взлома биткоина можно сравнить с дистанцией «от транзисторных радиоприёмников до смартфонов».
Как пятиступенчатая модель описывает эволюцию квантовых рисков?
Пятиступенчатая модель ARK Invest формирует для рынка единый язык отслеживания развития рисков. Эти этапы не случайны — они основаны на инженерной логике развития квантовых вычислений и симметричной эволюции криптографической атаки и защиты.
Этап 0 (текущий): квантовые компьютеры существуют, но не имеют коммерческой ценности и пока не представляют криптографической угрозы.
Этап 1: квантовые системы достигают коммерческих прорывов в областях химии и материаловедения, но не затрагивают криптографию.
Этап 2: квантовые компьютеры способны взламывать слабые ключи или устаревшие криптосистемы — это начало эпохи «криптографически значимых квантовых компьютеров» (CRQC), но они атакуют только уязвимые системы, а не 256-битные эллиптические кривые биткоина.
Этап 3: квантовые компьютеры теоретически могут взломать ECC, хотя и медленно; на этом этапе основным риском становятся ранние P2PK-адреса, где публичные ключи давно раскрыты.
Этап 4: наступает критический порог — квантовые компьютеры взламывают приватные ключи быстрее, чем интервал между блоками биткоина (10 минут). Если протокол не будет обновлён, биткоин столкнётся с экзистенциальной угрозой.
Какие адреса подвержены атакам «Собрать сейчас, расшифровать позже»?
При обсуждении квантовых рисков важно различать «пассивный риск» и «активный риск». Большинство биткоин-адресов — начинающихся с 1, 3 или bc1 (форматы P2PKH, P2SH, P2WPKH) — раскрывают публичные ключи лишь кратковременно при трансляции транзакций. Для того чтобы атакующий успел взломать, подписать и отправить транзакцию за 10 минут, необходимая вычислительная мощность значительно превышает современные возможности.
Реальный риск связан с ранними P2PK-адресами 2009–2010 годов. Публичные ключи этих адресов записаны в блокчейн и постоянно доступны. Это позволяет злоумышленникам реализовать стратегию «Собрать сейчас, расшифровать позже»: массово скачать публичные ключи сейчас и ждать, когда квантовые компьютеры станут достаточно мощными для взлома. По оценкам, на этих адресах хранится от 2 до 4 миллионов биткоинов, включая примерно 1,1 миллиона в кошельках Сатоши Накамото.
Может ли постквантовая криптография опередить развитие квантовых вычислений?
Это ключевая гонка за судьбу криптографических сетей. В отчёте ARK Invest представлен достаточно оптимистичный прогноз: развитие постквантовой криптографии (PQC) сейчас опережает создание квантовых компьютеров, способных взломать биткоин.
В период с 2025 по начало 2026 года область PQC демонстрирует значительный прогресс. В 2024 году NIST официально утвердил стандарты FIPS 203 и FIPS 204, основанные соответственно на алгоритмах ML-KEM и ML-DSA. На симпозиуме Real World Crypto в марте 2026 года академические и индустриальные специалисты представили новые возможности миграции к PQC: реализации Threshold ML-DSA уже обеспечивают приемлемую производительность в многопользовательских вычислительных средах, а задержка подписи между континентами составляет менее 750 миллисекунд. Протокол Signal совершенствует XHMQV для балансировки вычислительных нагрузок постквантовых алгоритмов. Эти достижения показывают, что к моменту появления квантовых угроз третьего этапа стандартизация и инженерные решения PQC могут быть уже готовы.
Сколько времени потребуется для обновления протокола биткоина с учётом квантовых угроз?
Сроки обновления — ключевой параметр оценки рисков. Авторы BIP-360 ранее оценивали, что полное внедрение постквантовых решений может занять около семи лет: от проектирования и достижения консенсуса в сообществе до мягкого форка и обновления всех узлов сети.
Если сопоставить этот срок с анализом сценариев ARK Invest: в сбалансированном варианте квантовые компьютеры достигнут третьего этапа через 10–20 лет; в пессимистичном — прорыв может случиться внезапно; в оптимистичном — развитие квантовых технологий надолго застопорится из-за инженерных сложностей. Даже в самом срочном сценарии у сообщества биткоина есть возможности для экстренного внедрения — под давлением можно ускорить несколько PQC-предложений. Семилетний цикл обновления и десятилетний запас времени создают комфортный буфер, если разработчики и сообщество начнут исследования и тестирование уже сейчас, а не будут ждать сигналов второго этапа.
Почему квантовые вычисления представляют более непосредственную угрозу для защищённых коммуникаций, чем для биткоина?
Часто упускается из виду: защищённые мессенджеры сталкиваются с квантовыми рисками гораздо раньше, чем биткоин. Эксперты IBM недавно отметили, что инструменты с сквозным шифрованием, такие как Signal и Threema, уже сталкиваются с проблемой «Собрать сейчас, расшифровать позже».
Причина — различия в механизмах обмена ключами. Signal обновил протокол PQXDH в 2023 году для защиты сессионных ключей от будущих квантовых угроз; Threema совместно с IBM внедряет алгоритм ML-KEM от NIST. В биткоине давление по обновлению касается алгоритмов подписи транзакций и может быть смягчено постепенной миграцией форматов адресов. Если мессенджеры будут расшифрованы массово по историческим сообщениям, ущерб для приватности необратим, поэтому миграция к PQC в коммуникациях более срочна.
Как рынку следует трактовать квантовые риски в 2026 году?
С точки зрения оценки активов, квантовые риски не будут определяющим фактором для стоимости криптоактивов в 2026 году. В обзоре Grayscale «2026 Digital Asset Outlook» отмечено: угрозы квантовых вычислений вряд ли повлияют на цены криптовалют в 2026 году, а квантовые тесты, проводимые такими агентствами, как DARPA, показывают, что компьютеры, способные взломать криптографию, ещё далеки от реальности.
Однако «отсутствие влияния на цену» не означает «отсутствие внимания». Рыночное ценообразование рисков часто носит упреждающий характер — когда квантовые вычисления достигнут первого этапа (коммерческие приложения), крипторынки могут начать корректировать премии за риск; на втором этапе (взлом слабых криптосистем) рынок перейдёт к фазе «видимой угрозы». Рациональная стратегия: в этот период вакуума рисков в 2026 году создать систему отслеживания прогресса PQC, а не ждать сигналов третьего этапа и реагировать поспешно.
Итоги
Влияние квантовых вычислений на криптографические сети — это, по сути, смена поколений криптографической инфраструктуры. Переосмысление угрозы как «отслеживаемого, постепенного процесса» не призвано снизить тревожность, а позволяет действовать на основе доказательств.
Основные задачи текущего этапа очевидны:
Во-первых, необходимо заранее мигрировать высокорисковые адреса (P2PK) — владельцам нужно самостоятельно активировать эти спящие биткоины.
Во-вторых, продолжать развитие стандартизации PQC на уровне протокола — предложения вроде BIP-360 требуют широкой дискуссии и тестирования в сети.
В-третьих, строить механизмы межотраслевого сотрудничества, используя инженерный опыт мессенджеров Signal и Threema при миграции к PQC.
«Q-Day» не наступит внезапно, но и не будет отсутствовать вечно. Каждый шаг от нулевого до четвёртого этапа — это симметричная игра между техническим сообществом и атакующими. Победа криптоиндустрии в этом марафоне зависит от сегодняшних решений: будут ли квантовые угрозы отложены как далёкая научная фантастика или интегрированы в техническую дорожную карту на ближайшее десятилетие, постепенно формируя защитную инфраструктуру?
FAQ
Q: Что такое «Q-Day»? Реально ли его наступление?
A: «Q-Day» — это гипотетический момент, когда квантовые вычисления станут достаточно мощными для взлома современных криптографических систем с открытым ключом. По анализу ARK Invest, это событие не произойдёт внезапно, а будет приближаться постепенно через технологические вехи, предоставляя сообществу достаточно времени для защитных обновлений.
Q: Сейчас мои биткоины в безопасности? Нужно ли их перемещать?
A: Большинство биткоинов, хранящихся на современных адресах (например, P2WPKH, P2TR), сейчас и в обозримом будущем (минимум 10–20 лет) находятся в безопасности. Если ваши биткоины размещены на P2PK-адресах до 2011 года, рекомендуется заранее перевести их на современные адреса.
Q: Как сеть биткоина будет обновляться для квантовой устойчивости?
A: В основном через мягкие форки с внедрением постквантовых алгоритмов подписи, как предложено в BIP-360. Эти обновления совместимы с существующей моделью UTXO. Пользователям не нужно действовать немедленно, но в будущем потребуется перевести активы на новые форматы адресов.
Q: Что квантовые компьютеры атакуют в первую очередь?
A: Технически, взлом слабых криптосистем (этап 2) произойдёт раньше, чем взлом ECC биткоина (этап 3). По срочности, риски «Собрать сейчас, расшифровать позже» для защищённых мессенджеров более непосредственны, чем для биткоина, поскольку протоколы вроде Signal могут хранить исторические сообщения, которые в будущем могут быть расшифрованы массово.
Примечание: Все пороговые значения кубитов, классификации адресов и технические сроки основаны на отраслевых исследованиях и стандартах, доступных на 13 марта 2026 года. Для данных о ценах криптоактивов используйте онлайн-котировки Gate.
