Белая книга Google Quantum AI описывает пять путей атак, которые ставят под угрозу $100 млрд в Ethereum

Один ключ взламывается каждые девять минут. Топ-1000 кошельков Ethereum опустошены менее чем за девять дней. 20-кратное сокращение количества кубитов, необходимых для взлома криптографии, защищающей ончейн-активы на сумму более 100 миллиардов долларов. Это не прогнозы из апокалиптической ветки в Twitter — они взяты из 57-страничного вайтпейпера Google Quantum AI, опубликованного 30 марта 2026 года в соавторстве с исследователем Ethereum Foundation Джастином Дрейком и криптографом из Стэнфорда Дэном Боне.

На протяжении десятилетия «квантовый риск» находился в той же интеллектуальной плоскости, что и падение астероидов — нечто реальное, катастрофическое, но достаточно далекое, чтобы никто не предпринимал действий. Доклад Google переместил эту угрозу. В нем описаны пять конкретных путей атаки на Ethereum, названы кошельки, названы контракты и дано число — менее 500 000 физических кубитов — которое напрямую соотносится с опубликованными дорожными картами IBM, Google и полудюжины хорошо финансируемых стартапов. Иными словами, у Q-Day только что появилось приглашение в календаре.

57-страничный документ, который меняет модель угроз

Документ под названием «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities» («Обеспечение безопасности криптовалют на эллиптических кривых от квантовых уязвимостей») — это первый случай, когда крупная лаборатория квантового оборудования проделала неблагодарную инженерную работу по превращению алгоритма Шора из теоретической атаки 1994 года в пошаговый план действий против задачи дискретного логарифмирования на эллиптических кривых (ECDLP), которая обеспечивает безопасность Bitcoin, Ethereum и практически любой сети, подписывающей транзакции с помощью secp256k1 или secp256r1.

Три фактора делают этот документ более весомым, чем предыдущие оценки.

Во-первых, количество кубитов. В более ранних академических работах требования к ресурсам для взлома 256-битного ECDLP оценивались в несколько миллионов физических кубитов. Авторы из Google снижают это число до менее чем 500 000 — это 20-кратное сокращение, достигнутое за счет улучшенного синтеза схем, более эффективного исправления ошибок и более точной маршрутизации магических состояний. IBM публично обязалась создать машину мощностью 100 000 кубитов к 2029 году. Google не публиковала сопоставимую цель, но ее внутренняя дорожная карта, как принято считать, имеет аналогичную траекторию. Полмиллиона кубитов — это уже не то число, которое позволяет отмахиваться от проблемы до 2050-х годов.

Во-вторых, время выполнения. В документе оценивается, что как только появится подходящая машина, восстановление одного закрытого ключа из открытого ключа займет около девяти минут квантового времени — не дни и не часы. Это число имеет колоссальное значение, поскольку оно определяет, сколько высокоценных целей злоумышленник может опустошить в окне между обнаружением и реагированием.

В-третьих, и это наиболее существенно именно для Ethereum, авторы не останавливаются на утверждении «ECDSA взломан». Они анализируют стек протокола и выявляют пять различных векторов атаки, указывая конкретные цели.

Пять путей атаки на Ethereum

В документе квантовые риски Ethereum разделены на пять векторов, что позволяет избежать упрощенной формулировки «вся крипта умрет в один день».

1. Компрометация внешних учетных записей (EOA). Как только адрес Ethereum подписывает хотя бы одну транзакцию, его открытый ключ становится постоянным и видимым в блокчейне. Квантовый злоумышленник вычисляет закрытый ключ примерно за девять минут, а затем опустошает кошелек. Анализ Google определяет топ-1000 кошельков по балансу ETH — в совокупности хранящих около 20,5 миллионов ETH — как наиболее экономически рациональные цели. При скорости девять минут на один ключ злоумышленник очистит весь список менее чем за девять дней.

2. Захват смарт-контрактов под управлением администратора. Экономика стейблкоинов Ethereum и большинство рабочих протоколов DeFi полагаются на мультисиги, ключи обновления и роли минтмейкеров, контролируемые EOA. В документе перечисляются более 70 контрактов под управлением администраторов, включая ключи обновления или выпуска крупнейших стейблкоинов. Компрометация этих ключей позволяет не просто украсть баланс — она дает злоумышленнику возможность выпускать токены, замораживать их или переписывать логику контракта. По оценкам Google, около 200 миллиардов долларов в стейблкоинах и токенизированных активах зависят от этих уязвимых ключей.

3. Компрометация ключей валидаторов Proof-of-Stake. Уровень консенсуса Ethereum использует подписи BLS, которые также основаны на допущениях эллиптических кривых и одинаково уязвимы для алгоритма Шора. Злоумышленник, восстановивший достаточное количество закрытых ключей валидаторов, может, в принципе, совершать противоречивые действия (equivocate), финализировать конфликтующие блоки или блокировать финализацию. Угроза здесь заключается не в краже ETH, а в целостности самой цепочки.

4. Компрометация расчетов на уровне Layer 2. Документ расширяет анализ на основные роллапы. Optimistic rollups зависят от подписанных EOA ключей пропозеров и челленджеров; ZK rollups зависят от ключей операторов для секвенирования и генерации доказательств. Компрометация этих ключей не нарушает базовые доказательства валидности, но позволяет злоумышленнику красть комиссии секвенсора, цензурировать выходы или, в худшем случае, совершить экзит-скам моста, удерживающего канонические депозиты L2.

5. Постоянная фальсификация исторической доступности данных. Этот путь криптографы находят наиболее тревожным. Оригинальная доверенная настройка Ethereum (и церемония KZG, обеспечивающая работу блобов EIP-4844) опирается на предположения, которые достаточно мощная квантовая машина может разрушить, восстановив секреты настройки из публичных артефактов. Результатом будет не кража, а постоянная способность фальсифицировать исторические доказательства состояния, которые вечно будут выглядеть валидными. Не существует ротации ключей, которая могла бы исправить уже опубликованные данные.

Эти пять путей в совокупности ставят под немедленный риск более 100 миллиардов долларов, и на порядок больше — под структурный риск в случае краха доверия к целостности блокчейна.

Ethereum более уязвим, чем Bitcoin

Тонкий, но важный вывод статьи: квантовая уязвимость Ethereum глубже, чем у Bitcoin, несмотря на то, что обе сети используют одну и ту же кривую secp256k1.

Причина кроется в «обратной» абстракции аккаунта. Модель UTXO в Bitcoin, особенно после обновления Taproot, поддерживает адреса, производные от хеша публичного ключа — это означает, что публичный ключ раскрывается только в момент траты. Пользователь, который никогда не использует адрес повторно, имеет «окно уязвимости», измеряемое секундами между трансляцией и подтверждением транзакции. Средства, хранящиеся на неиспользованных, нетронутых адресах, являются квантово-безопасными по своей конструкции.

В Ethereum такого свойства нет. С того момента, как EOA-аккаунт подписывает свою первую транзакцию, его публичный ключ навсегда остается в блокчейне. Не существует паттерна «нового адреса», который мог бы его скрыть. Кошелек, совершивший хотя бы одну транзакцию, становится статичной целью, уязвимость которой не уменьшается со временем. 20,5 миллиона ETH в топ-1000 кошельков не просто теоретически подвержены риску — они навсегда «отпечатаны» в публичном реестре в ожидании достаточно мощной машины.

Хуже того, Ethereum не может проводить ротацию ключей без отказа от самого аккаунта. Отправка средств на новый адрес создает новый аккаунт с новым публичным ключом, но все, что связано со старым адресом — имена ENS, разрешения смарт-контрактов, позиции вестинга, списки разрешений для управления — не переносится вместе со средствами. Стоимость миграции — это не только газ для перевода токенов; это стоимость разрыва всех связей, которые накопил старый адрес.

Дедлайн 2029 года и дорожная карта Ethereum из нескольких форков

Параллельно с отчетом Google, в марте 2026 года Ethereum Foundation запустила pq.ethereum.org как канонический хаб для постквантовых исследований, дорожной карты, репозиториев клиентов с открытым исходным кодом и еженедельных результатов работы девнетов. Более 10 команд разработчиков клиентов сейчас запускают интероперабельные девнеты, ориентированные на постквантовые примитивы, и сообщество сошлось на цели завершить обновления протокола на уровне L1 к 2029 году — в том же году Google планирует перевести свои собственные сервисы аутентификации с ECDSA.

Дорожная карта разбита на четыре предстоящих хардфорка, а не на один масштабный апгрейд. Примерно так:

• Форк 1 — Реестр постквантовых ключей. Нативный реестр, который позволяет аккаунтам публиковать постквантовый публичный ключ вместе со своим ключом ECDSA, обеспечивая возможность опционального PQ-соподписания без нарушения работы существующих инструментов.
• Форк 2 — Хуки абстракции аккаунтов. Основываясь на абстракции «Frame Transaction» из EIP-8141, аккаунты смогут указывать логику проверки, которая больше не предполагает использование ECDSA, обеспечивая нативный путь перехода к схемам на основе решеток, таким как ML-DSA (Dilithium), или SLH-DSA на основе хеширования (SPHINCS+).
• Форк 3 — PQ-консенсус. BLS-подписи валидаторов заменяются на постквантовую схему агрегации. Это самая сложная инженерная задача во всей дорожной карте из-за влияния размера подписи на распространение блоков.
• Форк 4 — PQ-доступность данных. Новая доверенная или прозрачная установка для обязательств по блобам (blob commitments), которая не зависит от допущений ECC, закрывая вектор подделки исторических данных.

Виталик Бутерин указал на срочность в конце февраля 2026 года, написав, что «подписи валидаторов, хранилища данных, аккаунты и доказательства — все нуждается в обновлении», назвав все четыре форка в одном предложении и косвенно признав, что частичных обновлений будет недостаточно.

Проблема не в криптографии. NIST уже стандартизировал ML-KEM, ML-DSA и SLH-DSA. Проблема заключается в том, чтобы внедрить эти примитивы в работающую сеть стоимостью более $ 300 млрд +, не нарушив работу тысяч dapps, в которых жестко прописаны допущения ECDSA, и не оставив миллиарды долларов «спящих» ETH заблокированными в кошельках, владельцы которых никогда не перейдут на новые стандарты.

Дилемма «заморозка или кража»

И Ethereum, и Bitcoin сталкиваются с вопросом управления, который не решает ни одна чисто техническая дорожная карта: что произойдет с монетами на уязвимых адресах, владельцы которых так и не проведут миграцию?

FAQ от Ethereum Foundation формулирует выбор прямо: ничего не делать или заморозить. «Ничего не делать» означает, что в «День Q» злоумышленник опустошит каждый спящий адрес с известным публичным ключом — включая кошельки эпохи генезиса, участников ранних ICO, владельцев утерянных ключей и значительную часть исторических пожертвований самого Виталика в фонды общественных благ. «Заморозить» означает действия на основе социального консенсуса по аннулированию вывода средств с любого адреса, который не мигрировал до установленного срока.

BIP 361 для Bitcoin, «Постквантовая миграция и прекращение использования устаревших подписей», описывает ту же трилемму в рамках трехэтапной структуры. Соавтор Итан Хейлман публично оценил, что полная миграция Bitcoin на квантово-устойчивую схему подписи займет семь лет с того дня, как будет сформирован приблизительный консенсус — это означает, что BIP 361 должен быть существенно интегрирован в 2026 году, чтобы успеть к горизонту 2033 года, и, вероятно, гораздо раньше, чтобы успеть к 2029 году.

Ни в одной из сетей не было прецедентов массового аннулирования монет. Ethereum откатил взлом DAO в 2016 году, но это был возврат средств после единичного события, а не преднамеренная заморозка миллионов несвязанных кошельков на основе их криптографического состояния. Решение неизбежно будет воспринято как референдум о том, что является более глубоким обязательством сети — неизменность или платежеспособность.

Что это означает для разработчиков прямо сейчас

Дедлайн 2029 года может казаться комфортно далеким, но решения, определяющие, будет ли проект готов или окажется в ситуации лихорадочной спешки, принимаются в 2026 и 2027 годах. Несколько практических последствий проявляются немедленно.

Архитекторы смарт-контрактов должны провести аудит на предмет допущений ECDSA. Любой контракт, в котором жестко закодирован ecrecover, встроен неизменяемый адрес подписанта или который зависит от ключей пропозеров, подписанных EOA, нуждается в пути обновления. Контракты, развернутые сегодня без ключей администратора, выглядят элегантно; в постквантовом мире они могут оказаться невосстановимыми.

Кастодианы должны начать соблюдать гигиену ротации ключей уже сейчас. Кастодиальный провайдер с миллиардами под управлением не может провести ротацию каждого кошелька за один уикенд Q-Day. Ротация, сегментация по уровням риска и заблаговременная подготовка холодного хранения, готового к PQ, — это задачи 2026 года, а не 2028-го.

Операторы мостов сталкиваются с самой высокой срочностью. Мосты концентрируют стоимость за небольшим количеством ключей мультисига. Первая экономически рациональная квантовая атака не будет нацелена на случайно выбранный кошелек — она будет нацелена на самый ценный ключ в экосистеме. Мосты должны первыми внедрить гибридную подпись PQ + ECDSA.

Команды приложений должны отслеживать дорожную карту из четырех форков. Каждый хардфорк Ethereum в последовательности PQ будет вводить новые типы транзакций и семантику валидации. Кошельки, индексаторы, обозреватели блоков и операторы узлов, которые опоздают с обновлением, будут плавно деградировать, если они планировали это заранее, и катастрофически сломаются, если нет.

BlockEden.xyz управляет производственной инфраструктурой RPC и индексации в Ethereum, Sui, Aptos и десятке других сетей, а также отслеживает дорожную карту миграции каждой сети к постквантовой безопасности, чтобы разработчикам приложений не приходилось делать это самим. Изучите наш маркетплейс API, чтобы строить на инфраструктуре, созданной для того, чтобы пережить следующее десятилетие криптографических переходов, а не только текущее.

Тихая революция в моделировании угроз

Самый глубокий вклад статьи Google может быть скорее социологическим, чем техническим. В течение десяти лет термин «квантово-устойчивый» был маркетинговым заявлением, которое в основном относилось к проектам, которыми никто не пользовался. Серьезные сети рассматривали миграцию к PQ как проблему для следующего поколения исследователей. 57 страниц от Google, Джастина Дрейка и Дэна Боне изменили эту позицию одной публикацией.

За три месяца вышли три статьи по квантовой криптографии. Сформировался консенсус в том, что разрыв в ресурсах между текущим квантовым оборудованием и криптографически значимой машиной сокращается быстрее, чем разрыв между текущими протоколами сетей и их готовностью к постквантовому будущему. Пересечение этих двух кривых — где-то между 2029 и 2032 годами, в зависимости от того, чья оценка окажется верной, — является самым важным дедлайном, с которым когда-либо сталкивалась криптоинфраструктура.

Сети, которые отнесутся к 2026 году как к году серьезной инженерной работы, а не расплывчатых заверений, все еще будут существовать. Те, кто будет ждать первого заголовка об украденном кошельке Виталика, не успеют среагировать.

Источники

• Google предупреждает, что пять путей квантовых атак могут поставить под угрозу $100 миллиардов в Ethereum — CoinDesk
• Обеспечение безопасности криптовалют на эллиптических кривых против квантовых уязвимостей — Google Quantum AI
• Q-Day стал ближе: три статьи за три месяца переписывают сроки квантовой угрозы — The Quantum Insider
• Белая книга Google обнаружила, что квантовая уязвимость Ethereum глубже, чем у Bitcoin — Unchained
• Внимание разработчикам Bitcoin. Google заявляет, что постквантовая миграция должна произойти к 2029 году — CoinDesk
• План квантовой миграции Bitcoin заставляет сеть выбирать между замороженными и украденными монетами — CryptoSlate
• Защита криптовалюты путем ответственного раскрытия квантовых уязвимостей — Google Research
• Google: квантовые вычисления могут взломать топ-1000 ETH-кошельков за считанные дни — CryptoPotato