ARK Invest количественно оценивает квантовую угрозу для Биткоина: 34,6% предложения под риском, но время еще не пришло

Совместный whitepaper от ARK Invest и Unchained сделал то, что никому ранее не удавалось в таком масштабе: в нем приводится точное число биткоинов, подверженных атакам квантовых вычислений. Ответ — 34,6 % от общего предложения, что составляет примерно 240 миллиардов долларов по текущим ценам — одновременно и тревожен, и обнадеживает. Тревожен, потому что он количественно оценивает то, от чего раньше просто отмахивались как от отдаленной гипотезы. Обнадеживает, потому что отчет также демонстрирует, что остальные 65,4 % BTC находятся в безопасности за криптографическим хешированием, которое квантовые компьютеры не могут взломать, и что у индустрии, скорее всего, есть десятилетие на подготовку.

Пять стадий квантовой угрозы

Вместо того чтобы рассматривать квантовый риск как бинарный переключатель, ARK и Unchained вводят пятиступенчатую структуру, которая отображает развитие квантовых вычислений от лабораторного любопытства до криптографического оружия.

Стадия 1 — Коммерческая полезность (Сегодня): Квантовые компьютеры решают задачи оптимизации и моделирования для фармацевтики, логистики и материаловедения. Криптографической значимости нет. Это то, где мы находимся в 2026 году.

Стадия 2 — Криптографическая значимость (Раннее предупреждение): Квантовые машины начинают взламывать простейшие криптографические задачи — например, ключи малого размера или устаревшие алгоритмы. Эллиптическая кривая Биткоина secp256k1 остается нетронутой, но «первые звоночки» уже заметны.

Стадия 3 — Уязвимость ECC (Первый реальный риск): Квантовый компьютер, использующий алгоритм Шора, может вычислить закрытый ключ по известному открытому ключу — но медленно. На этой стадии атакующему могут понадобиться дни или недели, чтобы взломать один ключ. Биткоин-адреса, раскрывающие свой открытый ключ, становятся уязвимыми, но атака непрактична для большинства целей.

Стадия 4 — Взлом быстрее времени блока (Критический порог): Квантовая машина взламывает закрытый ключ быстрее, чем 10-минутное время блока Биткоина. Это точка, в которой денежная система Биткоина сталкивается с экзистенциальным вызовом: атакующий может увидеть транзакцию в мемпуле, извлечь открытый ключ отправителя, вычислить закрытый ключ и транслировать конкурирующую транзакцию до того, как оригинал будет подтвержден.

Стадия 5 — Криптографический коллапс: Квантовые компьютеры взламывают ключи почти мгновенно. Без постквантовой защиты модель безопасности Биткоина полностью разрушается.

ARK прогнозирует, что мы не достигнем Стадии 3 как минимум до середины 2030-х годов. Самые современные на сегодняшний день квантовые процессоры — чип Willow от Google с 105 кубитами, Kookaburra от IBM с 1386 кубитами — на порядки ниже расчетных 13 миллионов логических кубитов, необходимых для взлома шифрования Биткоина в течение суток.

Что именно уязвимо?

Цифра 34,6 % распределяется по трем категориям уязвимых биткоинов, каждая из которых имеет свой профиль риска:

Устаревшие выходы P2PK (~1,7 млн BTC): В самых ранних транзакциях Биткоина использовались скрипты Pay-to-Public-Key (P2PK), которые хранят открытый ключ в чистом виде прямо в блокчейне. Любой может прочитать эти открытые ключи сегодня. В эту категорию входят примерно 1,1 млн BTC Сатоши Накамото — монеты, добытые в период с 2009 по 2010 год, которые никогда не перемещались. Это самые уязвимые адреса, так как открытый ключ виден постоянно, что дает квантовому атакующему неограниченное время для работы.

Повторно используемые адреса (~5 млн BTC): Когда пользователь тратит средства с адреса, транзакция раскрывает открытый ключ. Если после этого на этот адрес поступают новые средства, эти новые монеты оказываются защищены уже раскрытым ключом. Повторное использование адресов, которое давно не рекомендуется лучшими практиками Биткоина, составляет наибольшую долю квантово-уязвимого предложения.

Выходы Taproot P2TR (~200 000 BTC): Механизм расходования по пути ключа (key-path spending) в Taproot также раскрывает открытые ключи таким образом, что достаточно мощный квантовый компьютер может этим воспользоваться. Хотя Taproot — это новейший формат адресов Биткоина, при его разработке приоритет отдавался эффективности и конфиденциальности, а не квантовой устойчивости.

Что остается в безопасности

Остальные 65,4 % предложения Биткоина находятся в хешированных форматах адресов — в основном P2PKH (Pay-to-Public-Key-Hash) и P2SH (Pay-to-Script-Hash) — где открытый ключ остается скрытым за хешем SHA-256 и RIPEMD-160 до момента траты средств. Квантовые компьютеры превосходны в расшифровке эллиптических кривых с помощью алгоритма Шора, но они предлагают лишь квадратичное ускорение против хеш-функций с помощью алгоритма Гровера. Взлом SHA-256 с помощью алгоритма Гровера все равно потребует примерно 2^128 операций — число настолько огромное, что оно остается фактически недостижимым даже для квантовых машин.

Ключевой вывод: если вы храните биткоины на стандартном хешированном адресе и никогда не тратили с него средства, ваши монеты квантово-безопасны при любом реалистичном сценарии развития событий.

BIP-360: Первое предложение по квантовой защите Биткоина

В whitepaper выделяется BIP-360 — теперь переименованный в Pay-to-Merkle-Root (P2MR) — как первый конкретный шаг Биткоина к квантовой устойчивости. Первоначально предложенный как P2QRH (Pay-to-Quantum-Resistant-Hash) перед переименованием для общности, BIP-360 вводит новый тип выхода, который устраняет уязвимость Taproot при расходовании по пути ключа.

Вот что делает и чего не делает BIP-360:

Что он делает:

• Удаляет трату по пути ключа, которая раскрывает открытые ключи в транзакциях Taproot.
• Вводит выходы Pay-to-Merkle-Root (P2MR), которые сохраняют все условия расходования за обязательствами дерева Меркла.
• Создает структуру, в которую можно будет внедрить постквантовые схемы подписи через будущие софтфорки.
• Может быть развернут как обратно совместимый софтфорк, следуя схеме принятия SegWit и Taproot.

Чего он не делает:

• Он сам по себе не добавляет постквантовые цифровые подписи — для этого требуется отдельное обновление.
• Он не защищает уже раскрытые P2PK и повторно используемые адреса.
• Он не принуждает к миграции; существующие типы адресов продолжают работать.

Практический вывод: BIP-360 — это необходимая инфраструктура, а не полное решение. Он подготавливает архитектуру адресов Биткоина к постквантовым подписям, не диктуя при этом, какой именно алгоритм (ML-DSA, SLH-DSA или другие) будет принят в конечном итоге.

Гонка за постквантовыми подписями

В августе 2024 года NIST утвердил свои первые три стандарта постквантовой криптографии:

• ML-KEM (FIPS 203): механизм инкапсуляции ключей на основе решеток, производный от CRYSTALS-KYBER.
• ML-DSA (FIPS 204): цифровые подписи на основе решеток, производные от CRYSTALS-Dilithium.
• SLH-DSA (FIPS 205): подписи на основе хеш-функций без сохранения состояния, производные от SPHINCS+.

Для Биткоина наиболее важны стандарты подписей. В «белой книге» ARK и Unchained рекомендуется интеграция ML-DSA или SLH-DSA посредством обновления через софтфорк. Каждый вариант имеет свои компромиссы:

ML-DSA предлагает подписи меньшего размера (~2,4 КБ) и более быструю проверку, что делает его более практичным в условиях ограничений пропускной способности Биткоина. Однако криптография на основе решеток относительно нова, а её долгосрочные предположения о безопасности менее проверены временем.

SLH-DSA опирается на хеш-функции — тот же математический примитив, который уже защищает 65,4 % предложения Биткоина. Это консервативный и хорошо изученный подход, но подписи в нем намного больше (~8–40 КБ в зависимости от параметров), что может значительно раздуть размер транзакций Биткоина.

Компания BTQ Technologies уже представила прототип (proof-of-concept) реализации Биткоина с использованием ML-DSA, заменив уязвимые подписи ECDSA в своем релизе «Bitcoin Quantum Core Release 0.2». Но переход от демонстрации в тестовой сети к сетевому консенсусу требует годы проверок, тестирования и социальной координации.

Сравнение подходов Биткоина и Ethereum

В то время как Биткоин методично движется к квантовой устойчивости через BIP-360 и будущие обновления подписей, Ethereum придерживается более агрессивных сроков. Виталик Бутерин представил дорожную карту квантовой защиты в феврале 2026 года, включающую несколько параллельных направлений:

• EIP-8141 позволяет аккаунтам переключать схемы подписи — включая квантово-устойчивые — без смены кошельков. Бутерин подтвердил, что это будет внедрено с хардфорком Hegotá в конце 2026 года.
• Специальная команда по постквантовой безопасности, созданная в январе 2026 года, исследует замену подписей валидаторов BLS на аналоги на основе хеш-функций.
• Дорожная карта ETH2030 нацелена на полную квантовую устойчивость с использованием шести схем подписи и рекурсивной агрегации STARK.

Разница в подходах отражает философию каждой сети. Биткоин отдает приоритет осторожности и обратной совместимости — любые изменения должны достичь подавляющего консенсуса и развертываться как софтфорк. Ethereum движется быстрее, используя свою культуру хардфорков и абстракцию аккаунта (account abstraction) для более агрессивной замены криптографических примитивов.

Ни один из подходов не является однозначно лучшим. Консервативный путь Биткоина снижает риск появления новых уязвимостей из-за поспешных обновлений. Более быстрый темп Ethereum означает, что квантовая защита появится раньше, но несет в себе больше рисков реализации.

Что держателям биткоинов следует делать сегодня

Хотя «белая книга» ARK/Unchained звучит тревожно, она фундаментально оптимистична. Квантовая угроза реальна, но далека, и у процесса разработки Биткоина с открытым исходным кодом есть время для внедрения защиты. Тем не менее, индивидуальные держатели могут предпринять шаги уже сейчас:

1. Перестаньте повторно использовать адреса. Каждый раз, когда вы тратите средства с адреса, вы раскрываете публичный ключ. Используйте новый адрес получения для каждой транзакции — это и так является лучшей практикой.

2. Переведите монеты из устаревших (legacy) выходов P2PK. Если вы храните биткоины в очень старых форматах адресов (начинающихся с «04» или с несжатыми публичными ключами), переведите их на современные адреса P2SH или P2WPKH.

3. Следите за разработкой BIP-360. Когда обновление активируется, перейдите на выходы P2MR. Сегодня это не срочно, но станет все более важным по мере развития квантового оборудования.

4. Не паникуйте из-за монет Сатоши. 1,1 миллиона BTC в ранних адресах P2PK невозможно переместить (предполагая, что ключи утеряны). Если квантовые компьютеры когда-либо взломают эти ключи, сообщество столкнется с вопросом управления (governance), а не техническим вопросом.

Общая картина

Доклад ARK/Unchained появился в момент, когда дискурс о квантовых вычислениях сместился из области научной фантастики в плоскость стратегического планирования. Чип Willow от Google доказал возможность коррекции ошибок ниже порогового значения в 2024 году. Мультипроцессорные квантовые системы IBM преодолевают рубеж в 4 000 кубитов. Постквантовые стандарты NIST внедряются в интернет-инфраструктуру: Chrome и Android по умолчанию переходят на постквантовый TLS к середине 2026 года.

Окно уязвимости Биткоина в 34,6 % достаточно велико, чтобы требовать действий, но достаточно мало, чтобы быть решаемым. Пятиэтапная структура дает экосистеме общий язык для отслеживания прогресса. BIP-360 обеспечивает архитектурный фундамент. Стандарты NIST предлагают криптографические инструменты.

Вопрос не в том, станет ли Биткоин квантово-устойчивым — а в том, скоординирует ли сообщество необходимые обновления до наступления этапа 3 (Stage 3). Учитывая опыт Биткоина в методичной эволюции на основе консенсуса через SegWit, Taproot и далее, шансы на своевременную подготовку выше, чем на катастрофу.

Часы еще не тикают. Но впервые мы точно знаем, до чего именно ведем обратный отсчет.

---

BlockEden.xyz предоставляет услуги блокчейн-API корпоративного уровня и инфраструктуру узлов для множества сетей. По мере подготовки индустрии к постквантовому переходу надежная инфраструктура становится еще более критически важной. Изучите наш маркетплейс API, чтобы строить на фундаменте, рассчитанном на долголетие.