Перейти к основному контенту

Квантовые часы Биткоина на $1,3 трлн: 9-минутный взлом ECDSA и гонка BIP-360 за спасение 6,9 млн BTC

· 12 мин чтения
Dora Noda
Dora Noda
Software Engineer

Девять минут. Именно столько времени, согласно 57-страничному документу Google Quantum AI, потребуется будущему квантовому компьютеру, чтобы восстановить приватный ключ Bitcoin из открытого публичного ключа — достаточно быстро, чтобы уложиться в одно подтверждение блока, и достаточно долго, чтобы переписать профиль рисков всей сети стоимостью 1,3 триллиона долларов. Статья, написанная в соавторстве с исследователями из Стэнфорда и Ethereum Foundation и опубликованная 30 марта 2026 года, сделала нечто более тонкое, чем просто предсказание апокалипсиса. Она уменьшила критическое число. Ресурсы, необходимые для взлома ECDSA, сократились в 20 раз по сравнению с предыдущими оценками. Теперь Google ставит внутреннюю цель по постквантовой миграции к 2029 году.

У Биткоина нет столько времени. По крайней мере, если он хочет провести миграцию безболезненно. И разработчики сети это понимают — именно поэтому апрель 2026 года стал самым значимым месяцем для криптографии Биткоина с момента активации SegWit. BIP-360 запущен в тестнете. Последующее предложение по заморозке устаревших адресов циркулирует в виде черновика. Адам Бэк, Джеймсон Лопп и мейнтейнеры Bitcoin Core разделились на лагеря, которые спорят не о реальности угрозы, а о том, кто заплатит, когда время истечет.

Карта уязвимости: 6,9 миллиона BTC, 34% предложения и монеты Сатоши

Самая цитируемая цифра в статье Google — девять минут. Самая тревожная цифра — 6,9 миллиона. Это верхний предел предложения биткоинов, чьи публичные ключи уже видны в блокчейне — это означает, что квантовому атакующему не нужно соревноваться с транзакцией в мемпуле. Он может вычислить приватный ключ в любое время и потратить монеты по своему усмотрению.

Уязвимость распределена по уровням:

  • Адреса Pay-to-Public-Key (P2PK): Примерно 1,7 млн BTC, включая более 1,1 млн BTC, приписываемых ранним наградам coinbase Сатоши Накамото. Публичные ключи хранятся непосредственно в scriptPubKey. Ничто их не скрывает.
  • Повторно используемые адреса всех типов скриптов: Когда адрес P2PKH, P2WPKH или Taproot тратит средства хотя бы один раз, его публичный ключ раскрывается в транзакции расхода. Исследователи полагают, что это увеличивает объем уязвимых средств до более чем 6 млн BTC.
  • «Спящие» адреса: По состоянию на 1 марта 2026 года более 34% циркулирующего предложения имели открытые публичные ключи в тот или иной момент. Монеты, которые пролежали нетронутыми десятилетие, не стали безопаснее — они более уязвимы, потому что их нельзя переместить, не раскрыв ключ в любом случае.

Это проблема «собирай сейчас, дешифруй потом» в ее самом суровом виде. Каждое повторное использование адреса за последние 15 лет уже зафиксировано в блокчейне. Это невозможно отменить. Единственная защита — миграция — перевод монет в форматы адресов, устойчивых к квантовым вычислениям, до появления достаточно мощной машины.

BIP-360: Pay-to-Merkle-Root и первые блоки в тестнете

BIP-360, созданный в соавторстве с Итаном Хейлманом и выпущенный в феврале 2026 года, является первым конкретным предложением по улучшению Биткоина, предлагающим формат адресов с перспективной совместимостью. Он вводит Pay-to-Merkle-Root (P2MR), который фиксирует дерево Меркла возможных схем подписи, вместо того чтобы внедрять какой-либо один публичный ключ в блокчейн.

Элегантность P2MR заключается в том, что он позволяет сети внедрять квантово-устойчивые подписи, не выбирая победителя сегодня. Выход P2MR может раскрыть путь подписи SLH-DSA (SPHINCS+) во время траты, или путь Falcon, или гибридный путь ECDSA плюс постквантовая подпись. Публичный ключ никогда не записывается в сам UTXO — только обязательство. Наблюдатели ничего не узнают о ключе подписи до момента перемещения монеты, и даже тогда раскрывается только конкретный использованный путь.

20 марта 2026 года компания BTQ Technologies активировала первое промышленное развертывание BIP-360 v0.3.0 в тестнете Биткоина. К эксперименту присоединились более 50 майнеров, создав более 100 000 блоков по новым правилам. Тестнет — это не мейннет Биткоина, и до активации еще далеко. Но это дало ответ на вопрос, который критики задавали годами: сможет ли P2MR на самом деле справиться с пропускной способностью и размерами подписей? Первые результаты говорят «да», но с определенной ценой.

Проблема размера: от 64 байт до 8 килобайт

Вот инженерный налог. Текущая подпись Bitcoin ECDSA или Schnorr составляет 64 байта. Стандартизированная NIST постквантовая альтернатива SLH-DSA (ранее SPHINCS+, финализированная как FIPS 205 в августе 2024 года) весит примерно 8 килобайт на подпись. Это 125-кратное увеличение.

Пространство блоков — это игра с нулевой суммой. Лимит веса блока Биткоина не изменится только потому, что подписи выросли. Если бы каждая подпись в одночасье стала весить 8 КБ, эффективная пропускная способность транзакций сократилась бы более чем на два порядка, а рынки комиссий вытеснили бы все переводы, кроме самых дорогостоящих. Это не мелкая проблема UX — это причина, по которой Биткоин до сих пор не мигрировал.

Два направления исследований пытаются решить проблему налога:

  • SHRIMPS и SHRINCS: Схемы без сохранения состояния на основе хешей, которые сохраняют гарантии безопасности SPHINCS+, стремясь к размеру подписи ближе к 2 КБ.
  • Решеточные подписи семейства Falcon: Меньше, чем SPHINCS+ (около 700 байт), но несут в себе больше предположений о сложности задач на решетках — иной профиль риска, чем у чисто хеш-семейства.
  • Схемы фиксации/раскрытия (commit/reveal) с использованием существующего Bitcoin Script: Позволяют грамотно кодировать постквантовые обязательства уже сегодня при стоимости около 200 долларов за транзакцию, без какого-либо обновления протокола. Дорого, но доступно прямо сейчас для высокоценных холодных хранилищ.

Ни один вариант не является очевидно правильным. Дизайн BIP-360 с использованием обязательств Меркла — это страховка от необходимости делать окончательный выбор.

BIP-361: Предложение о заморозке монет Сатоши

14 апреля 2026 года Джеймсон Лопп и пять соавторов представили черновик BIP-361 — «Постквантовая миграция и прекращение поддержки устаревших подписей» — в репозиторий Bitcoin BIPs. Это самое политически взрывоопасное предложение для Биткоина со времен войн за размер блока 2017 года, и оно структурировано в три нарастающие фазы:

  • Фаза A (активация + ~3 года): Новые транзакции больше не могут отправлять средства на устаревшие квантово-уязвимые типы адресов. Монеты все еще могут покидать уязвимые адреса, но кошельки и сервисы по умолчанию переводятся на P2MR.
  • Фаза B (активация + ~5 лет): Слой консенсуса признает недействительными все устаревшие подписи. Любая монета, не мигрировавшая к этой высоте блока, становится нетратимой. Замороженной.
  • Фаза C (в стадии исследования): Ограниченный механизм восстановления с использованием доказательств с нулевым разглашением, привязанных к сид-фразам BIP-39. Пользователи смогут доказать право собственности на замороженные UTXO, не раскрывая приватные ключи, но только если они все еще контролируют оригинальный сид. Монеты с утерянными сид-фразами остаются утерянными навсегда.

Арифметика сурова. Фаза B заморозит 170 000 BTC, заблокированных в скриптах P2PK, и примерно 1,1 миллиона BTC, приписываемых Сатоши. При цене 95 000 долларов за BTC это более 120 миллиардов долларов в монетах, выведенных из обращения по консенсусу — крупнейшая принудительная экспроприация частной собственности в истории любой цифровой сети.

Раскол: Адам Бэк против Лоппа, идеологическая чистота против состязательного мышления

Реакция сообщества последовала в течение нескольких часов и разделилась по предсказуемым линиям разлома.

Против заморозки:

  • Адам Бэк публично выступил за опциональные постквантовые обновления без принудительного прекращения поддержки, утверждая, что заморозка монет нарушает основное обещание Биткоина о безразрешительном владении.
  • Марти Бент (TFTC) назвал предложение «нелепым».
  • Брайан Троллз из Bitcoin Magazine категорически отверг его.
  • Фил Гейгер (Metaplanet) резюмировал позицию оппозиции: «Мы должны украсть деньги у людей, чтобы предотвратить кражу их денег».

За заморозку:

  • Лопп представил черновик как «состязательное мышление о потенциальных будущих угрозах», отметив, что в настоящее время он не считает, что меры требуют немедленной активации.
  • Институциональные кастодианы негласно поддерживают прекращение поддержки, потому что любой сохранившийся пул доквантовых монет становится постоянным системным риском — гигантским «ханипотом», который квантовые злоумышленники могут атаковать без спешки.

Философское разногласие реально. Обещание Биткоина заключалось в том, что монеты не могут быть изъяты указом. BIP-361 переворачивает это: монеты могут быть изъяты из-за бездействия. Оппоненты утверждают, что кража утерянных или спящих монет будущим квантовым злоумышленником — это просто цена оригинального обещания. Сторонники утверждают, что ожидание кражи легитимизирует прецедент, который Биткоин не сможет пережить.

7-летний путь и что произойдет, если миграция застопорится

Итан Хейлман, соавтор BIP-360, оценивает, что полная миграция займет не менее семи лет, даже если ее начать немедленно. График примерно такой:

  • Год 1: Активация BIP-360 в основной сети (mainnet) и внедрение поддержки в кошельках.
  • Годы 2–3: Интеграция биржами, кастодианами и мерчантами. Обновление прошивок аппаратных кошельков с путями постквантового подписания.
  • Годы 4–5: Принудительное исполнение ограничений Фазы A на уровне консенсуса, если BIP-361 или его преемник будут приняты.
  • Годы 6–7: Прекращение поддержки устаревших подписей, разрешение ситуации с замороженными адресами, развертывание механизма восстановления.

Внутренний дедлайн Google на 2029 год попадает в это окно. Аналитики Bernstein ожидают 3–5 лет переходного периода, прежде чем квантовые технологии станут операционно значимыми. Ark Invest утверждает, что угроза долгосрочная, а не неизбежная. Разрыв между «неизбежностью» и «7-летней миграцией» — это то место, где управление Биткоином проведет остаток десятилетия.

Кроссчейн-сравнение: Ethereum, Solana и квантово-нативные новички

Биткоин — не единственная сеть, участвующая в этой гонке со временем, но у него самая ограниченная модель управления.

  • Ethereum: Виталик Бутерин опубликовал дорожную карту постквантового развития в феврале 2026 года. EIP-8141 вводит оболочку «frame transaction», которая несет одновременно подписи ECDSA и постквантовые подписи, позволяя аккаунтам мигрировать типы подписей без смены адресов. Квантово-устойчивые подписи стоят в 66 раз больше газа, что требует решений по пакетной обработке (batching) для сохранения экономической жизнеспособности. Ethereum Foundation нацелен на полную квантовую устойчивость до 2030 года.
  • Solana: В декабре 2025 года Solana Foundation в партнерстве с Project Eleven запустила тестовую сеть, заменяющую каждую подпись Ed25519 на CRYSTALS-Dilithium. Первоначальные замеры показали стабильную скорость около 3 000 TPS, хотя более ранние независимые тесты сообщали о снижении пропускной способности до 90% при подписях, которые в 40 раз больше. Firedancer, альтернативный клиент-валидатор от Jump Crypto, поддерживает несколько бэкендов подписей, что делает Solana готовой к квантовой миграции еще до того, как Ethereum финализирует EIP-8141.
  • Квантово-нативные L1: Circle Arc, Algorand и несколько новых сетей запустились с постквантовыми примитивами с самого начала, полностью избежав проблемы миграции. Их маркетинговая кампания в 2027 году будет говорить сама за себя.

Недостаток Биткоина не технический — он политический. У Ethereum есть Foundation. У Solana есть Anza и команда Firedancer. У Биткоина есть мейнтейнеры Core и модель «грубого консенсуса», которой потребовалось почти четыре года, чтобы внедрить Taproot — гораздо менее спорное обновление.

Что это значит для разработчиков и держателей

Три практических вывода имеют первостепенное значение для любого, кто сегодня строит на базе Биткоина или хранит его:

  1. Методы холодного хранения важны как никогда. Повторное использование адресов всегда было антипаттерном конфиденциальности. Теперь это криптографический риск. Использование новых адресов для каждой транзакции дает выигрыш во времени даже до активации BIP-360, поскольку неизрасходованные выходы P2WPKH и Taproot с никогда не раскрывавшимися публичными ключами остаются в безопасности в рамках модели «собери сейчас, расшифруй позже» до тех пор, пока они не будут потрачены.
  2. Для мультиподписей и путей скриптов Taproot также потребуются планы миграции. Сложные скрипты с раскрытыми путями расходования имеют ту же проблему уязвимости, что и адреса с одним ключом. Кастодиальные сервисы должны начать аудит того, какие из их конструкций холодного хранения выживут в постквантовом мире, а какие потребуют принудительной миграции в период дедлайна Фазы A.
  3. Инфраструктурные провайдеры возьмут на себя основную операционную нагрузку. Когда BIP-360 активируется, кошельки, биржи и RPC-провайдеры посвятят два года черновой технической работе: поддержке новых форматов адресов, внедрению гибридной проверки подписей и помощи пользователям в миграции UTXO без потери средств из-за скачков комиссий или багов. Качество этой инфраструктуры определит, будет ли миграция плавной или хаотичной.

Квантовые часы тикают не со скоростью заголовков в СМИ. Они тикают со скоростью работы комитетов по стандартизации, развертывания тестнетов и активации BIP — именно поэтому апрель 2026 года имеет значение. Первый BIP уже запущен в тестнете. Второй находится на стадии черновика. Сообщество ведет дискуссии. Именно так выглядит функциональная миграция в «нулевой год».

Альтернатива — ожидание появления реальной 500 000-кубитной машины — это вариант, который не сработает.

BlockEden.xyz предоставляет инфраструктуру узлов и API корпоративного уровня для Bitcoin, Ethereum, Solana и более чем 20 других сетей, сталкивающихся с необходимостью перехода на постквантовую криптографию. Изучите наш маркетплейс API, чтобы строить на базе инфраструктуры, созданной развиваться вместе с криптографическими рубежами.

Источники

Share on Twitter