Google щойно повідомив криптовій індустрії, що загроза ближча, ніж у це закладали всі, хто щось оцінював. Індустрія, вперше за довгий час, слухає.
Білий папір, опублікований пізно в понеділок командою Google Quantum AI, з’ясував, що для злому 256-бітної еліптичнокривої криптографії, яка захищає гаманці біткоїна та Ethereum, може знадобитися менше ніж 500,000 фізичних кубітів (одиниця обчислення в квантових системах), тобто приблизно 20-кратне скорочення від попередніх оцінок, де вимога становила мільйони.
У статті також описано, як квантовий комп’ютер може зламати приватні ключі біткоїна приблизно за дев’ять хвилин після того, як транзакція розкриває публічний ключ, даючи зловмиснику 41% шанс обійти 10-хвилинне вікно підтвердження біткоїна.
Дослідження вдарило, як бомба, по онлайн-колах криптовалют. Не тому, що воно стверджує, ніби квантові комп’ютери вже можуть зламати біткоїн сьогодні — вони не можуть — а тому, що воно різко стискає таймлайн того, коли це може статися.
"Ми більше не дивимося на середину 2030-х, ми можемо мати квантові комп’ютери такого масштабу до кінця десятиліття", — сказав Хасееб Кереші, керуючий партнер Dragonfly, у X. "Усім блокчейнам потрібен план переходу ПРЯМО ЗАРАЗ. Пост-квантове — більше не навчання."
Кереші звернув увагу на незвичну деталь у розкритті Google. Команда не опублікувала самі квантові схеми. Натомість вони випустили доказ із нульовим розголошенням, який перевіряє, що схеми існують, не розкриваючи, як саме вони працюють. "Це дуже нетипово, показує, що Google вважає це серйозним", — сказав він.
Джастін Дрейк, дослідник Ethereum Foundation, який приєднався до статті Google як пізній співавтор, сказав, що його "впевненість у q-day до 2032 року суттєво зросла", оцінивши щонайменше 10% шанс, що квантовий комп’ютер до цієї дати відновить приватний ключ 'secp256k1' із розкритого публічного ключа.
Дрейк зазначив, що оптимізована квантова схема — це "всього 100 мільйонів вентилів Toffoli, що виявляється несподівано неглибоким", і що на надпровідниковій платформі загальний час виконання буде приблизно 1,000 секунд.
"Низько підвішені плоди все ще збирають: принаймні одна з оптимізацій Google випливає з несподівано простої спостережливості", — додав Дрейк. "AI ще не доручали шукати оптимізації."
Поки що людські дослідники досі знаходять прості покращення, "підлога" для кількості кубітів, необхідних для цього, ще не досягнута. Дрейк сказав, що кількість логічних кубітів "може правдоподібно опуститися нижче 1,000 вже скоро".
Сьогодні — монументальний день для квантових обчислень і криптографії. Щойно приземлилися дві проривні статті (посилання в наступному твіті). Обидві статті покращують алгоритм Шора, відомий тим, що ламає RSA та еліптичнокриву криптографію. Два результати підсилюють один одного, оптимізуючи окремі шари з…
— Justin Drake (@drakefjustin) March 31, 2026
Інженер із безпеки Конор Діган, чиє опубліковане дослідження було процитовано в статті Google, запропонував один із найтехнічніших докладних відгуків. Він вказав на закономірність, за якою стаття спливає в різних ланцюгах: квантові обчислення виступають як одноразова вартість, що виробляє нескінченно повторно використовувані класичні експлойти.
Trusted setup 'KZG' від Ethereum, протокол 'Sapling' від Zcash і 'MimbleWimble' від Litecoin — усі вбудовують складність еліптичних кривих у фіксовані публічні параметри, які потрібно зламати лише один раз.
"Розгортання нової криптографічної інфраструктури на кривих ECDLP тепер є не виправданим, враховуючи ці оцінки ресурсів", — сказав Діган.
У статті оцінюється, що приблизно 6.9 мільйона біткоїнів, тобто близько однієї третини від загального обсягу, зберігаються в гаманцях, де публічні ключі вже були розкриті. Це включає 1.7 мільйона BTC з ранніх років мережі, зокрема BTC від Сатоші Накамото (таємничого творця мережі Bitcoin), а також додаткові кошти, що постраждали через повторне використання адрес.
CoinDesk повідомив раніше в понеділок, що оновлення Taproot біткоїна 2021 року, яке було розроблено для ввімкнення більш ефективних приватних транзакцій, також за замовчуванням розкрило публічні ключі в блокчейні — технічний крок, який тепер несе квантовий ризик.
Ця цифра набагато більша за оцінку CoinShares за лютий, згідно з якою лише близько 10,200 BTC концентруються настільки, щоб спричинити "помітні ринкові збої" у разі крадіжки. Методологія Google рахує всі розкриті ключі, а не лише великі залишки.
Розкол між Bitcoin і Ethereum
Реакція розділилася за знайомими лініями. Підготовка Ethereum отримала схвалення. Відсутність підготовки в Bitcoin викликала тривогу.
"Можна думати про q-day як про Y2K, але справжнє", — сказав добре відомий інвестор у криптовалюту, який відомий лише як 'McKenna', керуючий партнер Arete. "Люди мають подякувати Ethereum Foundation за те, що вони зробили це рано й очолили це дослідження. Хаотична частина в цьому — Bitcoin. Відсутність терміновості та проблема консенсусу щодо того, що робити з вразливими монетами."
Ethereum Foundation запустив pq.ethereum.org минулого тижня з восьмирічними дослідженнями пост-квантового майбутнього, більш ніж 10 командами клієнтів, що надсилають девнети щотижня, та багатовилковою міграційною дорожньою картою.
Дрейк, який є співавтором статті Google, є частиною тієї ж команди Ethereum — прямий зв’язок між дослідниками, які вимірюють загрозу, і розробниками, що будують захист.
Елі Бен-Сассон, співзасновник StarkWare, закликав біткоїн-спільноту "посилити ініціативи на кшталт BIP 360" — пропозицію, яка запровадить формати гаманців, стійкі до квантових атак, щоб дозволити добровільну міграцію.
"Сказати, що квантові комп’ютери прийдуть, — це не FUD", — сказав Бен-Сассон. "FUD — це твердження, що Bitcoin не зможе адаптуватися. Він зможе. Просто треба почати працювати над цими рішеннями вже сьогодні."
Bitcoin має підготуватися до квантової ери.
Ми маємо посилити ініціативи на кшталт BIP 360.
Нам потрібно докласти більше зусиль у пошуку креативних, розумних рішень, щоб гарантувати, що Bitcoin має пост-квантовий захист.
Сказати, що квантові комп’ютери прийдуть, — це не FUD. FUD — це твердження, що…
— Eli Ben-Sasson | Starknet.io (@EliBenSasson) March 31, 2026
Адвокат біткоїна Біт Пейн запропонував виважений погляд. "Я все ще думаю, що приблизно 10 років — більш імовірний строк, але я приписую надто високий рівень імовірності тому, що ми побачимо щось деструктивне протягом п’яти років. Достатньо високу, щоб дія протягом наступних одного-двох років була розсудливою."
Елемент, який змінив його міркування, — це "тривалі нелінійності в прогресі QC і завіса секретності, що стоїть за цим дослідженням". Коли оцінки щодо фізичних кубітів падають на порядки величин, він сказав, "у нас може не лишитися багато вікна між 'квантові технології рухаються до того, щоб дестабілізувати біткоїн' і 'secp256k1 зламано'."
Пейн додав національний безпековий вимір. "CRQC можуть бути розроблені в режимі stealth і зникнути, наче нізвідки."
Рішення Google використати доказ із нульовим розголошенням замість публікації схем підсилює цей пункт. Якщо провідна в світі квантова лабораторія самоцензує власне дослідження з міркувань безпеки, то державні актори з еквівалентними або вищими можливостями навряд чи публікуватимуть це взагалі.
Дрейк відлунює це. "Відтепер вважайте, що алгоритми найвищого рівня будуть цензурувати. Чорна діра в академічних публікаціях була б ознакою."
Навіщо крипто?
Деякі голоси індустрії ставили питання, чому Google спрямувала свій найбільш детальний аналіз на крипто, а не на банківські чи військові системи. Аналітик ETF Ерік Бальчунас запитав, чому Google "вкладе цей час/гроші в дослідження для крипто, а не для чогось із набагато більшою суспільною значущістю."
Нік Картер, партнер Castle Island Ventures, мав відповідь: блокчейни — це найбільш крихкі системи, що покладаються на шифрування, яке квантові комп’ютери можуть зламати. "Банки не виходять з ладу через те, що ви реверс-інжинірите один ключ. Блокчейни — виходять", — сказав Картер. "Вони значно крихкіші. Банки все одно оновляться. Там не буде такої атакувальної поверхні."
Співзасновник Binance Чанпен Чжао закликав до спокою, але визнав практичну складність.
"Увесь крипто має лише перейти на алгоритми, стійкі до квантових атак. Тож панікувати не треба", — сказав Чжао. "На практиці є певні міркування щодо виконання. У децентралізованому світі важко організувати оновлення."
Чжао також напряму підняв питання про Сатоші. Якщо ці монети рухаються під час міграції, "це означає, що він усе ще поруч, що цікаво знати." Якщо ні, він сказав, "може бути краще замкнути або фактично спалити ці адреси, щоб вони не перейшли до першого хакера, який їх зламає."
Бачив, як деякі люди панікують або питають про вплив квантових обчислень на крипто.
На високому рівні всім крипто потрібно лише перейти на алгоритми, стійкі до квантових атак (пост-квантові). Тож панікувати не треба. 😂
На практиці є певні міркування щодо виконання. У децентралізованому світі важко…
— CZ 🔶 BNB (@cz_binance) March 31, 2026
Найпопулярніший контраргумент у крипто X полягав у тому, що квантові обчислення ламають усе — а не лише блокчейни.
"Якщо квантові вбивають Bitcoin, то вони також вбивають глобальну банківську систему, SWIFT-перекази, фондові біржі, військові комунікації, системи ядерного командування, кожен HTTPS-сайт на Землі", — написав криптовалютний коментатор Квінтен Франсуа.
Ілон Маск прозвучав м’якше, опублікувавши, що щонайменше "якщо ви забули пароль від свого гаманця, він буде доступний у майбутньому."
Стаття розглядає цю рамку прямо в лоб. Централізовані системи — від банків до військових мереж — можуть проштовхувати оновлення програмного забезпечення своїм користувачам. Децентралізований блокчейн не може. Таймлайн міграції інфраструктури біткоїна, включно з гаманцями користувачів, підтримкою бірж і новими форматами адрес, може тривати від п’яти до 10 років навіть після того, як буде погоджено рішення.
Тим часом Google заявила, що працює разом із Coinbase, Stanford Institute for Blockchain Research та Ethereum Foundation над відповідальними підходами до переходу.
Компанія сформулювала своє дослідження не як атаку на крипто, а як спробу "підтримати довгострокове здоров’я екосистеми криптовалюти."
Повідомлення майже з кожного куточка індустрії тепер однакове. Загроза більше не є теоретичною; час діяти. Єдине, що залишилося як змінна, — чи ті протоколи, які потребуватимуть міграції, зроблять це до того, як апаратне забезпечення наздожене.
Дізнайтеся більше: як біткоїн, Ethereum та інші мережі готуються до неминучої квантової загрози
