17 постов с тегом "Криптография"

Что, если всё, что обеспечивает безопасность сети Ethereum стоимостью 500 миллиардов долларов, можно будет взломать за считанные минуты? Это больше не научная фантастика. Фонд Ethereum только что объявил постквантовую безопасность «главным стратегическим приоритетом», сформировав специализированную команду и выделив 2 миллиона долларов на исследовательские гранты. Посыл ясен: квантовая угроза больше не является теоретической, и время пошло.

Квантовая бомба замедленного действия​

Сегодня каждый блокчейн полагается на криптографические допущения, которые квантовые компьютеры разрушат. Ethereum, Bitcoin, Solana и практически все крупные сети используют криптографию на эллиптических кривых (ECC) для подписей — ту самую математику, которую алгоритм Шора может взломать при наличии достаточного количества кубитов.

Модель угроз сурова. Современные квантовые компьютеры еще далеко не способны запускать алгоритм Шора на реальных ключах. Взлом secp256k1 (эллиптическая кривая, используемая Bitcoin и Ethereum) или RSA-2048 требует от сотен тысяч до миллионов физических кубитов — что значительно превосходит возможности сегодняшних машин с более чем 1000 кубитами. У Google и IBM есть публичные дорожные карты, нацеленные на 1 миллион физических кубитов к началу 2030-х годов, хотя задержки в разработке, скорее всего, отодвинут этот срок примерно к 2035 году.

Но вот в чем загвоздка: оценки наступления «Q-Day» — момента, когда квантовые компьютеры смогут взломать современную криптографию — варьируются от 5–10 лет (агрессивный сценарий) до 20–40 лет (консервативный). Некоторые оценки дают вероятность 1 к 7, что криптография с открытым ключом может быть взломана уже к 2026 году. Это не самый комфортный запас времени, когда вы обеспечиваете безопасность активов на сотни миллиардов.

В отличие от традиционных систем, где одна организация может принудительно провести обновление, блокчейны сталкиваются с кошмаром координации. Вы не можете заставить пользователей обновить кошельки. Вы не можете исправить каждый смарт-контракт. И как только квантовый компьютер сможет запустить алгоритм Шора, каждая транзакция, раскрывающая открытый ключ, становится уязвимой для извлечения закрытого ключа. Для Bitcoin это примерно 25% всех BTC, находящихся на повторно используемых или раскрытых адресах. Для Ethereum абстракция аккаунта предлагает некоторое облегчение, но устаревшие аккаунты остаются под угрозой.

Постквантовая ставка Ethereum на 2 миллиона долларов​

В январе 2026 года Фонд Ethereum объявил о создании специализированной команды по постквантовой безопасности (PQ) под руководством Томаса Коратжера при поддержке Эмиля, криптографа, работающего над leanVM. Ведущий исследователь Джастин Дрейк назвал постквантовую безопасность «главным стратегическим приоритетом» фонда — редкое повышение статуса для темы, которая ранее была предметом долгосрочных исследований.

Фонд подкрепляет это серьезным финансированием:

• Премия Poseidon в 1 миллион долларов: Укрепление хэш-функции Poseidon, криптографического строительного блока, используемого в системах доказательств с нулевым разглашением.
• Премия Proximity в 1 миллион долларов: Продолжение исследований в области проблем постквантовой криптографической близости, что сигнализирует о предпочтении методов на основе хэшей.

Криптография на основе хэшей — это путь, выбранный фондом. В отличие от альтернатив на основе решеток или кодов, стандартизированных NIST (таких как CRYSTALS-Kyber и Dilithium), хэш-функции имеют более простые допущения безопасности и уже проверены в блокчейн-средах. Минус? Они создают подписи большего размера и требуют больше места для хранения — компромисс, на который Ethereum готов пойти ради долгосрочной квантовой устойчивости.

leanVM: Краеугольный камень стратегии Ethereum​

Дрейк описал leanVM как «краеугольный камень» постквантового подхода Ethereum. Эта минималистичная виртуальная машина для доказательств с нулевым разглашением оптимизирована для устойчивых к квантовым вычислениям подписей на основе хэшей. Сосредоточившись на хэш-функциях, а не на эллиптических кривых, leanVM обходит криптографические примитивы, наиболее уязвимые для алгоритма Шора.

Почему это важно? Потому что экосистема L2 Ethereum, протоколы DeFi и инструменты конфиденциальности — все они полагаются на доказательства с нулевым разглашением. Если базовая криптография не будет квантово-безопасной, весь стек рухнет. LeanVM призвана защитить эти системы в будущем, до появления мощных квантовых компьютеров.

Несколько команд уже запускают многоклиентские постквантовые сети разработки, включая Zeam, Ream Labs, PierTwo, Gean client и Ethlambda, сотрудничая с признанными клиентами консенсуса, такими как Lighthouse, Grandine и Prysm. Это не просто концепт — это живая инфраструктура, которая проходит стресс-тестирование уже сегодня.

Фонд также запускает регулярные созвоны (breakout calls) каждые две недели в рамках процесса All Core Developers, уделяя особое внимание изменениям безопасности на уровне пользователя: специализированным криптографическим функциям, встроенным непосредственно в протокол, новым дизайнам аккаунтов и долгосрочным стратегиям агрегации подписей с использованием leanVM.

Проблема миграции: На кону активы на миллиарды​

Миграция Ethereum на постквантовую криптографию — это не просто обновление программного обеспечения. Это многолетний, многоуровневый процесс координации, затрагивающий каждого участника сети.

Протокол уровня 1 (Layer 1): Консенсус должен перейти на квантово-устойчивые схемы подписи. Это требует хардфорка — а значит, каждый валидатор, оператор узла и клиентская реализация должны обновиться синхронно.

Смарт-контракты: Миллионы контрактов, развернутых в Ethereum, используют ECDSA для проверки подписи. Некоторые могут быть обновлены с помощью паттернов прокси или управления; другие являются неизменяемыми. Таким проектам, как Uniswap, Aave и Maker, потребуются планы миграции.

Пользовательские кошельки: MetaMask, Ledger, Trust Wallet — каждый кошелек должен поддерживать новые схемы подписи. Пользователи должны перевести средства со старых адресов на квантово-безопасные. Именно здесь угроза «собирай сейчас, дешифруй позже» становится реальной: злоумышленники могут записывать транзакции сегодня и расшифровать их, как только появятся квантовые компьютеры.

L2-роллапы: Arbitrum, Optimism, Base, zkSync — все они наследуют криптографические допущения Ethereum. Каждый роллап должен мигрировать независимо, иначе он рискует стать квантово-уязвимым изолированным хранилищем.

У Ethereum здесь есть преимущество: абстракция аккаунта. В отличие от модели UTXO в Bitcoin, которая требует от пользователей ручного перемещения средств, модель аккаунтов Ethereum может поддерживать кошельки на смарт-контрактах с обновляемой криптографией. Это не снимает проблему миграции, но обеспечивает более четкий путь решения.

Что делают другие блокчейны​

Ethereum не одинок. Более широкая экосистема блокчейнов начинает осознавать квантовую угрозу:

• QRL (Quantum Resistant Ledger): С первого дня построен с использованием XMSS (eXtended Merkle Signature Scheme) — стандарта подписи на основе хешей. QRL 2.0 (Project Zond) войдет в тестовую сеть в первом квартале 2026 года, после чего последует аудит и запуск в основной сети.

• 01 Quantum: В начале февраля 2026 года запустил инструментарий для миграции блокчейнов с квантовой защитой, выпустив токен $qONE на Hyperliquid. Выпуск их инструментария для миграции уровня 1 (Layer 1 Migration Toolkit) запланирован на март 2026 года.

• Bitcoin: Существует множество предложений (BIP для постквантовых кодов операций, софтфорки для новых типов адресов), но консервативное управление Биткоином делает быстрые изменения маловероятными. В случае, если квантовые компьютеры появятся раньше, чем ожидалось, назревает сценарий спорного хардфорка.

• Solana, Cardano, Ripple: Все они используют подписи на основе эллиптических кривых и сталкиваются с аналогичными проблемами миграции. Большинство из них находятся на ранних стадиях исследований, и о выделенных командах или сроках пока не объявлено.

Анализ 26 ведущих блокчейн-протоколов показывает, что 24 из них полагаются исключительно на схемы подписи, уязвимые для квантовых вычислений. Только два (QRL и еще одна менее известная сеть) имеют квантово-устойчивую основу на сегодняшний день.

Сценарии Q-Day: быстро, медленно или никогда?​

Агрессивный сценарий (5–10 лет): Прорывы в области квантовых вычислений ускоряются. Машина с 1 миллионом кубитов появится к 2031 году, что даст индустрии всего пять лет на завершение миграции всей сети. Блокчейны, которые не начали подготовку, столкнутся с катастрофическим раскрытием ключей. Здесь преимущество Ethereum в раннем старте имеет решающее значение.

Консервативный сценарий (20–40 лет): Квантовые вычисления развиваются медленно, сдерживаемые проблемами коррекции ошибок и инженерными трудностями. У блокчейнов достаточно времени для миграции в размеренном темпе. Ранние инвестиции Ethereum Foundation выглядят разумными, но не срочными.

«Черный лебедь» (2–5 лет): Секретный или частный квантовый прорыв происходит раньше, чем предполагают публичные дорожные карты. Государственные структуры или хорошо финансируемые противники получают криптографическое превосходство, что позволяет осуществлять незаметные кражи с уязвимых адресов. Это сценарий, который оправдывает отношение к постквантовой безопасности как к «главному стратегическому приоритету» уже сегодня.

Наиболее вероятен средний сценарий, но блокчейны не могут позволить себе планировать исходя из среднего варианта. Риск ошибки носит экзистенциальный характер.

Что следует делать разработчикам и пользователям​

Для разработчиков, создающих проекты на Ethereum:

• Следите за звонками PQ breakout: Двухнедельные сессии Ethereum Foundation по постквантовым вопросам будут определять изменения протокола. Будьте в курсе событий.
• Планируйте обновление контрактов: Если вы управляете дорогостоящими контрактами, разработайте пути обновления уже сейчас. Критически важными будут прокси-паттерны, механизмы управления или стимулы для миграции.
• Тестируйте в постквантовых сетях разработки (PQ devnets): Мультиклиентские постквантовые сети уже запущены. Протестируйте свои приложения на совместимость.

Для пользователей, владеющих ETH или токенами:

• Избегайте повторного использования адресов: Как только вы подписываете транзакцию с адреса, публичный ключ становится открытым. Квантовые компьютеры теоретически могут вычислить закрытый ключ на его основе. По возможности используйте каждый адрес только один раз.
• Следите за обновлениями кошельков: Крупные кошельки будут интегрировать постквантовые подписи по мере созревания стандартов. Будьте готовы перевести средства, когда придет время.
• Не паникуйте: Q-Day наступит не завтра. Ethereum Foundation вместе с остальной индустрией активно выстраивает защиту.

Для предприятий и институциональных инвесторов:

• Оцените квантовые риски: Если вы храните миллиарды в криптовалюте, квантовые угрозы являются предметом фидуциарной ответственности. Изучайте исследования в области постквантовых технологий и графики миграции.
• Диверсифицируйте активы по разным сетям: Проактивная позиция Ethereum обнадеживает, но другие сети могут отставать. Распределяйте риски соответствующим образом.

Вопрос на миллиард долларов: будет ли этого достаточно?​

Призовой фонд Ethereum в размере 2 миллионов долларов на исследования, выделенная команда и мультиклиентские сети разработки представляют собой самый агрессивный рывок в сторону постквантовой безопасности в блокчейн-индустрии. Но достаточно ли этого?

Оптимистичный сценарий: Да. Абстракция аккаунтов Ethereum, развитая исследовательская культура и ранний старт дают лучшие шансы на плавную миграцию. Если квантовые компьютеры пойдут по консервативному графику в 20–40 лет, у Ethereum будет развернута квантово-устойчивая инфраструктура задолго до этого срока.

Пессимистичный сценарий: Нет. Координация миллионов пользователей, тысяч разработчиков и сотен протоколов — это беспрецедентная задача. Даже с лучшими инструментами миграция будет медленной, неполной и спорной. Устаревшие системы — неизменяемые контракты, потерянные ключи, заброшенные кошельки — останутся уязвимыми для квантовых атак навсегда.

Реалистичный сценарий: Частичный успех. Ядро Ethereum успешно мигрирует. Основные протоколы DeFi и L2-сети последуют их примеру. Но длинный хвост более мелких проектов, неактивных кошельков и крайних случаев останется в виде уязвимых для квантовых вычислений пережитков.

Заключение: Гонка, в которой никто не хочет проиграть​

Чрезвычайная ситуация с постквантовой безопасностью в Ethereum Foundation — это ставка, которую индустрия не может позволить себе проиграть. Призы в размере 2 миллионов долларов, выделенная команда и живые сети разработки сигнализируют о серьезных намерениях. Криптография на основе хешей, leanVM и абстракция аккаунтов обеспечивают надежный технический путь.

Но намерения — это еще не исполнение. Настоящее испытание наступит, когда квантовые компьютеры перейдут из разряда исследовательского любопытства в категорию криптографической угрозы. К тому времени окно для миграции может закрыться. Ethereum бежит этот марафон уже сейчас, пока остальные только завязывают шнурки.

Квантовая угроза — это не хайп. Это математика. А математике нет дела до дорожных карт или благих намерений. Вопрос не в том, нужна ли блокчейнам постквантовая безопасность, а в том, успеют ли они завершить миграцию до наступления Q-Day.

---

Стратегия проактивной квантовой защиты Ethereum подчеркивает важность надежной, ориентированной на будущее блокчейн-инфраструктуры. В BlockEden.xyz мы предоставляем доступ к корпоративным API для Ethereum и других сетей, построенным на фундаменте, который способен развиваться в соответствии с потребностями безопасности отрасли. Изучите наши услуги, чтобы создавать проекты на инфраструктуре, которой можно доверять в долгосрочной перспективе.

Когда Coinbase сформировала консультативный совет по постквантовым технологиям в январе 2026 года, она подтвердила то, о чем исследователи безопасности предупреждали годами: квантовые компьютеры взломают текущую криптографию блокчейна, и гонка за создание квантово-устойчивой криптографии началась. Подписи XMSS от QRL, STARK на основе хэшей от StarkWare и исследовательский приз Ethereum в размере $2 млн представляют собой авангард проектов, претендующих на лидерство на рынке в 2026 году. Вопрос не в том, нужна ли блокчейнам квантовая устойчивость — вопрос в том, какие технические подходы станут доминирующими, когда наступит «День Q» (Q-Day).

Сектор постквантовых блокчейнов делится на две категории: модернизация существующих сетей (Bitcoin, Ethereum) и нативные квантово-устойчивые протоколы (QRL, Quantum1). Каждая из них сталкивается с разными проблемами. Модернизация должна сохранять обратную совместимость, координировать распределенные обновления и управлять открытыми публичными ключами. Нативные протоколы начинают с чистого листа с квантово-устойчивой криптографией, но им не хватает сетевого эффекта. Оба подхода необходимы — устаревшие сети хранят триллионы долларов активов, которые должны быть защищены, в то время как новые сети могут оптимизироваться под квантовую устойчивость с самого момента создания (genesis).

QRL: Первый квантово-устойчивый блокчейн​

Quantum Resistant Ledger (QRL) был запущен в 2018 году как первый блокчейн, внедривший постквантовую криптографию с момента своего основания. Проект выбрал XMSS (eXtended Merkle Signature Scheme) — алгоритм подписи на основе хэшей, обеспечивающий квантовую устойчивость за счет хэш-функций, а не теории чисел.

Почему XMSS? Считается, что хэш-функции, такие как SHA-256, устойчивы к квантовым вычислениям, так как квантовые компьютеры не дают значительного ускорения при поиске коллизий хэшей (алгоритм Гровера дает квадратичное ускорение, а не экспоненциальное, как алгоритм Шора против ECDSA). XMSS использует это свойство, строя подписи на основе деревьев Меркла из хэш-значений.

Компромиссы: Подписи XMSS имеют большой размер (~2 500 байт против 65 байт у ECDSA), что делает транзакции дороже. Каждый адрес имеет ограниченную емкость подписи — после генерации N подписей дерево необходимо пересоздать. Эта природа «с сохранением состояния» (stateful) требует тщательного управления ключами.

Положение на рынке: QRL остается нишевым проектом, обрабатывающим минимальный объем транзакций по сравнению с Bitcoin или Ethereum. Однако он доказывает, что квантово-устойчивые блокчейны технически жизнеспособны. По мере приближения Дня Q, QRL может привлечь внимание как проверенная временем альтернатива.

Future outlook: Если квантовые угрозы материализуются быстрее, чем ожидалось, преимущество первого игрока QRL станет значимым. Протокол имеет многолетний опыт работы с постквантовыми подписями в реальных условиях. Институты, ищущие квантово-безопасные способы хранения активов, могут выделить средства в QRL в качестве «квантовой страховки».

STARKs: Доказательства с нулевым разглашением и квантовой устойчивостью​

Технология STARK (Scalable Transparent Argument of Knowledge) от StarkWare обеспечивает квантовую устойчивость как побочный эффект своей архитектуры доказательств с нулевым разглашением. STARK используют хэш-функции и полиномы, избегая криптографии на эллиптических кривых, уязвимой для алгоритма Шора.

Почему STARKs важны: В отличие от SNARKs (которые требуют доверенной настройки и используют эллиптические кривые), STARK являются прозрачными (не требуют доверенной настройки) и квантово-устойчивыми. Это делает их идеальными для решений по масштабированию (StarkNet) и постквантовой миграции.

Текущее использование: StarkNet обрабатывает транзакции для масштабирования Ethereum L2. Квантовая устойчивость здесь является скрытой характеристикой — это не основная функция сейчас, но ценное свойство по мере роста квантовых угроз.

Путь интеграции: Ethereum может интегрировать подписи на основе STARK для обеспечения постквантовой безопасности, сохраняя при этом обратную совместимость с ECDSA во время перехода. Этот гибридный подход позволяет осуществлять миграцию постепенно.

Проблемы: Доказательства STARK имеют большой размер (сотни килобайт), хотя методы сжатия совершенствуются. Проверка выполняется быстро, но генерация доказательств требует больших вычислительных ресурсов. Эти компромиссы ограничивают пропускную способность для высокочастотных приложений.

Прогноз: STARK, вероятно, станут частью постквантового решения Ethereum либо в качестве прямой схемы подписи, либо как оболочка для перевода устаревших адресов. Опыт StarkWare в реальной эксплуатации и интеграция с Ethereum делают этот путь вероятным.

Исследовательский приз Ethereum Foundation в размере $2 млн: Подписи на основе хэшей​

Признание Ethereum Foundation в январе 2026 года постквантовой криптографии «главным стратегическим приоритетом» сопровождалось исследовательским призом в размере $2 млн за практические решения по миграции. Основное внимание уделяется подписям на основе хэшей (SPHINCS+, XMSS) и криптографии на основе решеток (Dilithium).

SPHINCS+: Схема подписи на основе хэшей без сохранения состояния (stateless), стандартизированная NIST. В отличие от XMSS, SPHINCS+ не требует управления состоянием — вы можете подписывать неограниченное количество сообщений одним ключом. Подписи больше (~16–40 КБ), но отсутствие необходимости в сохранении состояния упрощает интеграцию.

Dilithium: Схема подписи на основе решеток, предлагающая меньшие подписи (~2,5 КБ) и более быструю проверку, чем альтернативы на основе хэшей. Безопасность опирается на задачи теории решеток, которые считаются квантово-сложными.

Вызов для Ethereum: Миграция Ethereum требует решения проблем с открытыми публичными ключами из исторических транзакций, поддержания обратной совместимости во время перехода и минимизации раздувания размера подписи, чтобы не нарушить экономику L2.

Приоритеты исследований: Приз в $2 млн направлен на поиск практических путей миграции — как провести форк сети, изменить форматы адресов, обработать устаревшие ключи и сохранить безопасность во время многолетнего перехода.

Сроки: Разработчики Ethereum оценивают время от этапа исследований до внедрения в основную сеть в 3–5 лет. Это предполагает активацию постквантовой защиты в основной сети примерно в 2029–2031 годах, если День Q не наступит раньше.

BIP для Bitcoin: Консервативный подход к постквантовой миграции​

Предложения по улучшению Биткоина (BIP), обсуждающие постквантовую криптографию, находятся на стадии черновиков, но достижение консенсуса идет медленно. Консервативная культура Биткоина сопротивляется непроверенной криптографии, предпочитая решения, закаленные в боевых условиях.

Вероятный подход: Подписи на основе хешей (SPHINCS+) из-за консервативного профиля безопасности. Биткоин ставит безопасность выше эффективности, допуская увеличение размера подписей ради снижения рисков.

Интеграция Taproot: Обновление Taproot обеспечивает гибкость скриптов, которая позволит внедрить постквантовые подписи без проведения хардфорка. Скрипты Taproot могут включать проверку постквантовых подписей наряду с ECDSA, обеспечивая возможность добровольной миграции.

Проблема: 6,65 миллиона BTC на открытых адресах. Сообщество Биткоина должно решить: принудительная миграция (сжигание утраченных монет), добровольная миграция (риск кражи квантовыми компьютерами) или гибридный подход с принятием потерь.

Сроки: Биткоин развивается медленнее, чем Ethereum. Даже если BIP достигнут консенсуса в 2026–2027 годах, активация в основной сети может затянуться до 2032–2035 годов. Этот прогноз предполагает, что Q-Day не наступит в ближайшее время.

Раскол в сообществе: Некоторые Биткоин-максималисты отрицают актуальность квантовой угрозы, считая её отдаленной. Другие выступают за немедленные действия. Это напряжение замедляет процесс достижения консенсуса.

Quantum1: Нативная квантово-устойчивая платформа смарт-контрактов​

Quantum1 (гипотетический пример развивающихся проектов) представляет новую волну блокчейнов, разработанных как квантово-устойчивые с самого момента генезиса. В отличие от QRL (простые платежи), эти платформы предлагают функциональность смарт-контрактов с постквантовой защитой.

Архитектура: Сочетает подписи на основе решеток (Dilithium), обязательства на основе хешей и доказательства с нулевым разглашением для создания приватных квантово-устойчивых смарт-контрактов.

Ценностное предложение: Разработчики, создающие долгосрочные приложения (с горизонтом планирования более 10 лет), могут предпочесть нативные квантово-устойчивые платформы адаптированным сетям. Зачем строить на Ethereum сегодня, чтобы мигрировать в 2030 году?

Трудности: Сетевые эффекты играют на руку устоявшимся сетям. У Биткоина и Ethereum есть ликвидность, пользователи, разработчики и приложения. Новым сетям сложно набрать популярность, несмотря на техническое превосходство.

Потенциальный катализатор: Квантовая атака на крупную сеть вызовет отток капитала в квантово-устойчивые альтернативы. Проекты типа Quantum1 — это страховка на случай провала лидеров рынка.

Консультативный совет Coinbase: Институциональная координация​

Создание компанией Coinbase консультативного совета по постквантовым вопросам сигнализирует об институциональном внимании к квантовой готовности. Будучи публичной компанией с фидуциарными обязанностями, Coinbase не может игнорировать риски для активов клиентов.

Роль совета: Оценка квантовых угроз, рекомендация стратегий миграции, координация с разработчиками протоколов и обеспечение готовности инфраструктуры Coinbase к постквантовому переходу.

Институциональное влияние: Coinbase хранит миллиарды в криптовалюте клиентов. Если Coinbase начнет продвигать протоколы к определенным постквантовым стандартам, это влияние будет иметь значение. Участие бирж ускоряет внедрение: если биржи будут поддерживать только постквантовые адреса, пользователи мигрируют быстрее.

Давление по срокам: Публичное участие Coinbase предполагает, что институциональные сроки короче, чем признается в дискуссиях сообщества. Публичные компании не создают консультативные советы для рисков с горизонтом в 30 лет.

8 проектов, претендующих на лидерство​

Обзор конкурентной среды:

1. QRL: Первопроходец, работающая реализация XMSS, нишевый рынок.
2. StarkWare / StarkNet: Квантовая устойчивость на базе STARK, интеграция с Ethereum.
3. Ethereum Foundation: Премия за исследования в размере 2 млн долларов, фокус на SPHINCS+ / Dilithium.
4. Bitcoin Core: Предложения BIP, добровольная миграция через Taproot.
5. Платформы типа Quantum1: Нативные квантово-устойчивые сети смарт-контрактов.
6. Algorand: Изучение постквантовой криптографии для будущих обновлений.
7. Cardano: Исследования в области интеграции криптографии на основе решеток.
8. IOTA: Квантово-устойчивые хеш-функции в архитектуре Tangle.

Каждый проект выбирает свои компромиссы: безопасность против эффективности, обратная совместимость против чистого листа, стандартизированные NIST против экспериментальных алгоритмов.

Что это значит для разработчиков и инвесторов​

Для разработчиков: При создании приложений с горизонтом планирования более 10 лет следует учитывать постквантовую миграцию. Приложениям на Ethereum со временем потребуется поддержка постквантовых форматов адресов. Планирование сейчас позволит сократить технический долг в будущем.

Для инвесторов: Диверсификация между квантово-устойчивыми и традиционными сетями хеджирует квантовый риск. QRL и подобные проекты являются спекулятивными, но предлагают асимметричный потенциал роста, если квантовые угрозы материализуются быстрее, чем ожидалось.

Для институтов: Постквантовая готовность — это управление рисками, а не спекуляция. Кастодианы, хранящие клиентские активы, должны планировать стратегии миграции, координировать действия с разработчиками протоколов и обеспечивать поддержку постквантовых подписей в своей инфраструктуре.

Для протоколов: Окно для миграции закрывается. Проекты, которые начнут постквантовые исследования в 2026 году, не развернут решения до 2029–2031 годов. Если Q-Day наступит в 2035 году, это оставит всего 5–10 лет постквантовой безопасности. Поздний старт чреват нехваткой времени.

Источники​

• Постквантовые исследования Ethereum Foundation
• QRL: Квантово-устойчивый блокчейн
• Консультативный совет Coinbase по постквантовой криптографии

Когда вы подписываете транзакцию Bitcoin, ваш публичный ключ становится навсегда видимым в блокчейне. В течение 15 лет это не имело значения — шифрование ECDSA, защищающее Bitcoin, вычислительно невозможно взломать с помощью классических компьютеров. Но квантовые компьютеры меняют всё. Как только появится достаточно мощный квантовый компьютер (Q-Day), он сможет восстановить ваш приватный ключ из открытого публичного ключа за считанные часы, опустошив ваш адрес. Недооцененная проблема Q-Day заключается не просто в «обновлении шифрования». Проблема в том, что 6,65 миллиона BTC на адресах, которые подписывали транзакции, уже уязвимы, а миграция экспоненциально сложнее, чем обновление корпоративных ИТ-систем.

Приз в размере 2 миллионов долларов за исследования в области постквантовой криптографии от Ethereum Foundation и создание специальной PQ-команды в январе 2026 года свидетельствуют о том, что статус «главного стратегического приоритета» достигнут. Это не планирование будущего — это экстренная подготовка. Проект Project Eleven привлек 20 миллионов долларов специально для обеспечения квантово-устойчивой криптобезопасности. Coinbase сформировала консультативный совет по постквантовым технологиям. Гонка против Q-Day началась, и блокчейны сталкиваются с уникальными проблемами, которых нет у традиционных систем: неизменяемая история, распределенная координация и 6,65 миллиона BTC, находящихся на адресах с открытыми публичными ключами.

Проблема раскрытия публичного ключа: почему ваш адрес становится уязвимым после подписания​

Безопасность Bitcoin опирается на фундаментальную асимметрию: получить публичный ключ из приватного легко, но обратное действие вычислительно невозможно. Ваш Bitcoin-адрес — это хеш вашего публичного ключа, что обеспечивает дополнительный уровень защиты. Пока ваш публичный ключ скрыт, злоумышленники не могут нацелиться на ваш конкретный ключ.

Однако в тот момент, когда вы подписываете транзакцию, ваш публичный ключ становится видимым в блокчейне. Это неизбежно — проверка подписи требует наличия публичного ключа. Для получения средств достаточно вашего адреса (хеша публичного ключа). Но для траты средств требуется раскрытие ключа.

Классические компьютеры не могут воспользоваться этим раскрытием. Взлом ECDSA-256 (схемы подписи Bitcoin) требует решения задачи дискретного логарифмирования, что оценивается в 2^128 операций — это невыполнимо даже для суперкомпьютеров, работающих тысячелетиями.

Квантовые компьютеры нарушают это предположение. Алгоритм Шора, запущенный на квантовом компьютере с достаточным количеством кубитов и коррекцией ошибок, может решать дискретные логарифмы за полиномиальное время. По оценкам, квантовый компьютер с ~1500 логическими кубитами сможет взломать ECDSA-256 за несколько часов.

Это создает критическое окно уязвимости: как только вы подписываете транзакцию с адреса, публичный ключ навсегда раскрывается в сети. Если позже появится квантовый компьютер, все ранее раскрытые ключи станут уязвимыми. 6,65 миллиона BTC, хранящихся на адресах, которые подписывали транзакции, находятся с постоянно открытыми публичными ключами в ожидании Q-Day.

Новые адреса без истории транзакций остаются в безопасности до первого использования, так как их публичные ключи не раскрыты. Но устаревшие адреса — монеты Сатоши, активы ранних пользователей, холодные кошельки бирж, которые совершали транзакции — это бомбы замедленного действия.

Почему миграция блокчейна сложнее, чем обновление традиционной криптографии​

Традиционные ИТ-системы также сталкиваются с квантовыми угрозами. Банки, правительства и корпорации используют шифрование, уязвимое к квантовым атакам. Но их путь миграции прост: обновить алгоритмы шифрования, сменить ключи и перешифровать данные. Хотя это дорого и сложно, технически это осуществимо.

Миграция блокчейна сталкивается с уникальными вызовами:

Неизменяемость: История блокчейна неизменна. Вы не можете задним числом изменить прошлые транзакции, чтобы скрыть раскрытые публичные ключи. Однажды раскрытые, они остаются доступными на тысячах узлов навсегда.

Распределенная координация: У блокчейнов нет центральных органов для принудительного обновления. Консенсус Bitcoin требует согласия большинства майнеров, узлов и пользователей. Координация хардфорка для постквантовой миграции политически и технически сложна.

Обратная совместимость: Новые постквантовые адреса должны сосуществовать с устаревшими адресами во время перехода. Это усложняет протокол — две схемы подписи, двойные форматы адресов, смешанный режим проверки транзакций.

Утерянные ключи и неактивные пользователи: Миллионы BTC находятся на адресах, владельцы которых потеряли ключи, умерли или забросили крипту много лет назад. Эти монеты не могут мигрировать добровольно. Останутся ли они уязвимыми или протокол проведет принудительную миграцию, рискуя уничтожить доступ?

Размер транзакций и стоимость: Постквантовые подписи значительно больше ECDSA. Размер подписи может увеличиться с 65 байт до 2500+ байт в зависимости от схемы. Это раздувает данные транзакций, повышая комиссии и ограничивая пропускную способность.

Консенсус в выборе алгоритма: Какой постквантовый алгоритм выбрать? NIST стандартизировал несколько, но у каждого есть свои компромиссы. Неправильный выбор может означать необходимость повторной миграции позже. Блокчейны должны делать ставку на алгоритмы, которые останутся безопасными на десятилетия.

Исследовательский приз Ethereum Foundation в размере 2 миллионов долларов направлен именно на эти проблемы: как перевести Ethereum на постквантовую криптографию, не разрушая сеть, не теряя обратную совместимость и не делая блокчейн непригодным для использования из-за раздутых подписей.

Проблема 6,65 миллиона BTC: Что будет с раскрытыми адресами?​

По состоянию на 2026 год примерно 6,65 миллиона BTC находятся на адресах, которые подписали хотя бы одну транзакцию, что означает, что их публичные ключи раскрыты. Это составляет около 30 % от общего предложения биткоина и включает в себя:

Монеты Сатоши: Примерно 1 миллион BTC, добытых создателем Биткоина, остаются неподвижными. Многие из этих адресов никогда не подписывали транзакции, но у других ключи раскрыты из-за ранних транзакций.

Активы ранних последователей: Тысячи BTC, принадлежащие ранним майнерам и пользователям, которые накапливали их, когда монета стоила центы. Многие адреса бездействуют, но имеют исторические подписи транзакций.

Холодное хранение бирж: Биржи хранят миллионы BTC в холодных хранилищах. Хотя лучшие практики подразумевают ротацию адресов, старые холодные кошельки часто имеют раскрытые публичные ключи из-за прошлых транзакций консолидации.

Утерянные монеты: По оценкам, 3–4 миллиона BTC утеряны (владельцы умерли, ключи забыты, жесткие диски выброшены). Многие из этих адресов имеют раскрытые ключи.

Что произойдет с этими монетами в «День Q»? Несколько сценариев:

Сценарий 1 — Принудительная миграция: Хардфорк может обязать перевести монеты со старых адресов на новые постквантовые адреса в установленный срок. Монеты, которые не были перенесены, становятся непригодными для использования. Это «сжигает» утерянные монеты, но защищает сеть от квантовых атак, истощающих казну.

Сценарий 2 — Добровольная миграция: Пользователи мигрируют добровольно, но раскрытые адреса остаются действительными. Риск: квантовые злоумышленники опустошат уязвимые адреса до того, как владельцы успеют их перенести. Это создает панику «гонки за миграцией».

Сценарий 3 — Гибридный подход: Внедрение постквантовых адресов при сохранении обратной совместимости на неопределенный срок. Признание того, что уязвимые адреса в конечном итоге будут опустошены после «Дня Q», рассматривая это как естественный отбор.

Сценарий 4 — Экстренная заморозка: При обнаружении квантовых атак заморозить уязвимые типы адресов через экстренный хардфорк. Это дает время для миграции, но требует централизованного принятия решений, чему Биткоин сопротивляется.

Ни один из вариантов не является идеальным. Сценарий 1 уничтожает законно утерянные ключи. Сценарий 2 допускает квантовые кражи. Сценарий 3 допускает миллиардные убытки. Сценарий 4 подрывает неизменяемость Биткоина. Ethereum Foundation и исследователи Биткоина борются с этими компромиссами уже сейчас, а не в далеком будущем.

Постквантовые алгоритмы: Технические решения​

Несколько постквантовых криптографических алгоритмов обеспечивают устойчивость к квантовым атакам:

Подписи на основе хешей (XMSS, SPHINCS+): Безопасность основана на хеш-функциях, которые считаются квантово-устойчивыми. Преимущество: Хорошо изученные, консервативные предположения о безопасности. Недостаток: Большой размер подписи (более 2500 байт), что делает транзакции дорогими.

Криптография на основе решеток (Dilithium, Kyber): Основана на задачах на решетках, трудных для квантовых компьютеров. Преимущество: Меньшие размеры подписей (~2500 байт), эффективная проверка. Недостаток: Новее и менее проверена временем, чем схемы на основе хешей.

STARKs (Scalable Transparent Arguments of Knowledge): Доказательства с нулевым разглашением, устойчивые к квантовым атакам, поскольку они полагаются на хеш-функции, а не на теорию чисел. Преимущество: Прозрачность (отсутствие доверенной установки), квантовая устойчивость, масштабируемость. Недостаток: Большие размеры доказательств, высокая вычислительная стоимость.

Мультивариантная криптография: Безопасность за счет решения систем многомерных полиномиальных уравнений. Преимущество: Быстрая генерация подписи. Недостаток: Большие публичные ключи, меньшая зрелость.

Кодовая криптография: Основана на кодах, исправляющих ошибки. Преимущество: Быстрая, хорошо изученная. Недостаток: Очень большие размеры ключей, непрактично для использования в блокчейне.

Ethereum Foundation рассматривает подписи на основе хешей и решеток как наиболее перспективные для интеграции в блокчейн. QRL (Quantum Resistant Ledger) первым внедрил XMSS в 2018 году, продемонстрировав осуществимость, но приняв компромиссы в размере транзакций и пропускной способности.

Биткоин, скорее всего, выберет подписи на основе хешей (SPHINCS+ или аналогичные) из-за своей консервативной философии безопасности. Ethereum может предпочесть подписи на основе решеток (Dilithium), чтобы минимизировать накладные расходы на размер. Оба сталкиваются с одной и той же проблемой: подписи в 10–40 раз больше, чем ECDSA, раздувают размер блокчейна и стоимость транзакций.

Хронология: Сколько времени осталось до «Дня Q»?​

Оценка «Дня Q» (когда квантовые компьютеры взломают ECDSA) носит спекулятивный характер, но тенденции очевидны:

Оптимистичный (для атакующих) прогноз: 10–15 лет. IBM, Google и стартапы делают быстрые успехи в увеличении количества кубитов и коррекции ошибок. Если прогресс будет продолжаться экспоненциально, 1500+ логических кубитов могут появиться к 2035–2040 годам.

Консервативный прогноз: 20–30 лет. Квантовые вычисления сталкиваются с огромными инженерными проблемами — коррекцией ошибок, когерентностью кубитов, масштабированием. Многие полагают, что до практических атак еще десятилетия.

Пессимистичный (для блокчейнов) прогноз: 5–10 лет. Секретные правительственные программы или прорывные открытия могут ускорить сроки. Разумное планирование предполагает более короткие сроки, а не длинные.

Тот факт, что Ethereum Foundation в январе 2026 года назвал постквантовую миграцию «главным стратегическим приоритетом», говорит о том, что внутренние оценки короче, чем признается в публичных дискуссиях. Вы не выделяете 2 миллиона долларов и не формируете специальные команды для рисков, которые возникнут через 30 лет. Вы делаете это для рисков горизонтом в 10–15 лет.

Культура Биткоина сопротивляется спешке, но ключевые разработчики признают проблему. Предложения по постквантовому Биткоину существуют (на стадии черновиков BIP), но достижение консенсуса занимает годы. Если «День Q» наступит в 2035 году, Биткоину необходимо начать миграцию к 2030 году, чтобы оставить время на разработку, тестирование и развертывание в сети.

Что пользователи могут сделать сейчас​

Хотя до внедрения решений на уровне протокола могут пройти годы, пользователи могут снизить риски уже сегодня:

Регулярно переходите на новые адреса: После совершения транзакции с адреса переведите оставшиеся средства на новый адрес. Это минимизирует время раскрытия публичного ключа.

Используйте кошельки с мультиподписью: Квантовым компьютерам придется взламывать несколько подписей одновременно, что значительно усложняет задачу. Хотя это не обеспечивает полную квантовую устойчивость, это дает выигрыш во времени.

Избегайте повторного использования адресов: Никогда не отправляйте средства на адрес, с которого уже совершались транзакции. Каждая трата заново раскрывает публичный ключ.

Следите за развитием событий: Следите за исследованиями Ethereum Foundation в области постквантовой криптографии (PQ), обновлениями консультативного совета Coinbase и предложениями по улучшению Биткоина (BIP), связанными с постквантовой криптографией.

Диверсифицируйте активы: Если вас беспокоят квантовые риски, диверсифицируйте портфель в пользу квантово-устойчивых блокчейнов (QRL) или активов, менее подверженных риску (сети на базе Proof-of-Stake легче мигрируют, чем Proof-of-Work).

Это лишь временные меры, а не окончательное решение. Исправление на уровне протокола требует скоординированного обновления сети, затрагивающего активы на миллиарды долларов и миллионы пользователей. Проблема носит не только технический, но и социальный, политический и экономический характер.

Источники​

• Ethereum Foundation: постквантовая криптография
• Project Eleven привлекает 20 млн долларов на квантовую защиту
• 6,65 млн BTC под квантовой угрозой

Что если бы модель ИИ могла доказать правильность своей работы без того, чтобы кто-либо видел обрабатываемые ею данные? Этот вопрос годами не давал покоя криптографам и блокчейн-инженерам. В 2026 году ответ наконец-то обретает форму благодаря слиянию двух технологий, которые когда-то считались слишком медленными, дорогими и теоретическими, чтобы иметь значение: машинное обучение с нулевым разглашением (ZKML) и полностью гомоморфное шифрование (FHE).

По отдельности каждая из этих технологий решает половину проблемы. ZKML позволяет проверить правильность вычислений ИИ без их повторного запуска. FHE позволяет выполнять вычисления на зашифрованных данных без необходимости их расшифровки. Вместе они создают то, что исследователи называют «криптографической печатью» для ИИ — систему, в которой личные данные никогда не покидают ваше устройство, но результаты могут быть признаны надежными любым пользователем публичного блокчейна.

В 2025 году ИИ-агенты перешли от эксплуатации 2 % уязвимостей блокчейна к 55,88 % — скачок с 5 000 до 4,6 млн долларов общего дохода от эксплойтов. Эта единственная статистическая цифра раскрывает неудобную правду: инфраструктура, обеспечивающая работу автономного ИИ в блокчейне, никогда не проектировалась для враждебных сред. Каждая транзакция, каждая стратегия, каждый запрос данных, который делает ИИ-агент, транслируется на всю сеть. В мире, где половина эксплойтов смарт-контрактов теперь может выполняться автономно текущими ИИ-агентами, эта прозрачность не является преимуществом — это катастрофическая уязвимость.

Mind Network считает, что решение заключается в криптографическом прорыве, который называют «святым граалем» информатики: Полностью гомоморфное шифрование (FHE). При поддержке в размере 12,5 млн долларов от Binance Labs, Chainlink и двух исследовательских грантов Ethereum Foundation, они строят инфраструктуру, чтобы сделать вычисления зашифрованного ИИ реальностью.

Федеральная резервная система опубликовала в сентябре 2025 года суровое предупреждение: злоумышленники уже сегодня собирают зашифрованные данные блокчейнов, ожидая появления квантовых компьютеров, достаточно мощных, чтобы их взломать. С учетом того, что чип Willow от Google выполняет расчеты за два часа, на которые суперкомпьютерам потребовалось бы 3,2 года, а оценки ресурсов для взлома современной криптографии упали в 20 раз всего за один год, обратный отсчет до «Q-Day» превратился из теоретических спекуляций в насущную инженерную реальность.

Встречайте Project Eleven — криптовалютный стартап, который только что привлек 20 млн долларов, чтобы сделать то, что многие считали невозможным: подготовить всю экосистему блокчейна к постквантовому миру, пока не стало слишком поздно.

Глобальный рынок конфиденциальных вычислений в 2024 году оценивался в 13,3 млрд долларов. К 2032 году прогнозируется его рост до 350 млрд долларов — при совокупном годовом темпе роста (CAGR) 46,4%. Более 1 млрд долларов уже инвестировано специально в проекты децентрализованных конфиденциальных вычислений (DeCC), и более 20 блокчейн-сетей сформировали DeCC Alliance для продвижения технологий сохранения конфиденциальности.

Однако для разработчиков, решающих, какую технологию конфиденциальности использовать, ситуация кажется запутанной. Доказательства с нулевым разглашением (ZK), полностью гомоморфное шифрование (FHE), доверенные среды исполнения (TEE) и многосторонние вычисления (MPC) решают принципиально разные задачи. Неправильный выбор может привести к потере лет разработки и миллионов инвестиций.

Это руководство содержит сравнение, в котором нуждается индустрия: реальные бенчмарки производительности, честная оценка моделей доверия, статус развертывания в продакшене и гибридные комбинации, которые фактически будут запущены к 2026 году.

Что на самом деле делает каждая технология​

Прежде чем сравнивать, важно понять, что эти четыре технологии не являются взаимозаменяемыми альтернативами. Они отвечают на разные вопросы.

Доказательства с нулевым разглашением (ZK) отвечают на вопрос: «Как мне доказать истинность чего-либо, не раскрывая сами данные?» Системы ZK генерируют криптографические доказательства того, что вычисления были выполнены правильно, без раскрытия входных данных. Результат бинарен: утверждение либо верно, либо нет. ZK в первую очередь предназначены для верификации, а не для вычислений.

Полностью гомоморфное шифрование (FHE) отвечает на вопрос: «Как проводить вычисления над данными, никогда их не дешифруя?» FHE позволяет выполнять любые вычисления непосредственно над зашифрованными данными. Результат остается зашифрованным и может быть расшифрован только владельцем ключа. FHE — это конфиденциальные вычисления.

Доверенные среды исполнения (TEE) отвечают на вопрос: «Как обрабатывать конфиденциальные данные в изолированном аппаратном анклаве?» TEE используют изоляцию на уровне процессора (Intel SGX, AMD SEV, ARM CCA) для создания защищенных анклавов, где код и данные защищены даже от операционной системы. TEE — это конфиденциальность, обеспечиваемая аппаратным обеспечением.

Многосторонние вычисления (MPC) отвечают на вопрос: «Как несколько сторон могут вычислить общий результат, не раскрывая свои индивидуальные входные данные?» MPC распределяет вычисления между несколькими сторонами так, что ни один участник не узнает ничего, кроме конечного результата. MPC — это совместные вычисления без доверия.

Бенчмарки производительности: цифры, которые имеют значение​

Виталик Бутерин утверждал, что индустрии следует перейти от абсолютных показателей TPS к «коэффициенту криптографических накладных расходов» — сравнению времени выполнения задачи с конфиденциальностью и без нее. Такой подход раскрывает истинную стоимость каждого метода.

FHE: от непригодных к использованию до жизнеспособных​

Исторически сложилось так, что FHE работало в миллионы раз медленнее, чем незашифрованные вычисления. Это больше не так.

Zama, первый «единорог» в сфере FHE (оцениваемый в 1 млрд долларов после привлечения более 150 млн долларов), сообщает об улучшении скорости более чем в 2300 раз с 2022 года. Текущая производительность на CPU достигает примерно 20 TPS для конфиденциальных переводов ERC-20. Ускорение на GPU повышает этот показатель до 20–30 TPS (Inco Network) с улучшением до 784 раз по сравнению с исполнением только на CPU.

Дорожная карта Zama нацелена на 500–1000 TPS на одну сеть к концу 2026 года за счет перехода на GPU, а в 2027–2028 годах ожидаются ускорители на базе ASIC с целевым показателем более 100 000 TPS.

Архитектура имеет значение: протокол конфиденциального блокчейна Zama использует символьное исполнение, где смарт-контракты оперируют легковесными «дескрипторами» (handles) вместо фактического шифротекста. Тяжелые операции FHE выполняются асинхронно на внесетевых сопроцессорах, что позволяет поддерживать низкие комиссии за газ в сети.

Итог: накладные расходы FHE упали с 1 000 000x до примерно 100–1000x для типичных операций. Технология пригодна для конфиденциального DeFi уже сегодня; она станет конкурентоспособной по пропускной способности с мейнстрим-DeFi к 2027–2028 годам.

ZK: зрелые и производительные​

Современные ZK-платформы достигли поразительной эффективности. SP1, Libra и другие zkVM демонстрируют почти линейное масштабирование прувера с криптографическими накладными расходами всего 20% для больших рабочих нагрузок. Генерация доказательств для простых платежей сократилась до менее чем одной секунды на потребительском оборудовании.

Экосистема ZK является наиболее зрелой из четырех технологий с работающими решениями в роллапах (zkSync, Polygon zkEVM, Scroll, Linea), идентификации (Worldcoin) и протоколах конфиденциальности (Aztec, Zcash).

Итог: для задач верификации ZK предлагает самые низкие накладные расходы. Технология проверена в эксплуатации, но не поддерживает конфиденциальные вычисления общего назначения — она доказывает правильность, а не конфиденциальность текущих вычислений.

TEE: быстрые, но зависимые от оборудования​

TEE работают на скоростях, близких к нативным — они добавляют минимальные вычислительные затраты, так как изоляция обеспечивается оборудованием, а не криптографическими операциями. Это делает их самым быстрым вариантом для конфиденциальных вычислений с большим отрывом.

Компромисс заключается в доверии. Вы должны доверять производителю оборудования (Intel, AMD, ARM) и отсутствию уязвимостей по сторонним каналам. В 2022 году критическая уязвимость SGX заставила Secret Network координировать обновление ключей во всей сети, что продемонстрировало операционные риски. Эмпирические исследования 2025 года показывают, что 32% реальных TEE-проектов заново реализуют криптографию внутри анклавов с риском утечки через сторонние каналы, а 25% демонстрируют небезопасные методы, ослабляющие гарантии TEE.

Итог: самая высокая скорость исполнения, минимальные накладные расходы, но вводятся предположения о доверии к оборудованию. Лучше всего подходит для приложений, где скорость критична, а риск взлома оборудования приемлем.

MPC: ограничение по сети, но устойчивость​

Производительность MPC в первую очередь ограничена сетевым взаимодействием, а не вычислениями. Каждый участник должен обмениваться данными во время выполнения протокола, что создает задержку, пропорциональную количеству сторон и состоянию сети между ними.

Протокол REAL от Partisia Blockchain повысил эффективность предварительной обработки, обеспечив возможность вычислений MPC в реальном времени. Протокол Curl от Nillion расширяет схемы линейного разделения секрета для обработки сложных операций (деление, извлечение квадратного корня, тригонометрические функции), с которыми традиционные MPC справлялись с трудом.

Итог: Умеренная производительность при строгих гарантиях конфиденциальности. Предположение о честном большинстве означает, что конфиденциальность сохраняется даже при компрометации некоторых участников, но любой член группы может подвергнуть вычисления цензуре — это фундаментальное ограничение по сравнению с FHE или ZK.

Модели доверия: в чем заключаются реальные различия​

В большинстве анализов доминируют сравнения производительности, но для долгосрочных архитектурных решений модели доверия важнее.

Технология	Модель доверия	Что может пойти не так
ZK	Криптографическая (без доверенной стороны)	Ничего — доказательства математически обоснованы
FHE	Криптографическая + управление ключами	Компрометация ключа раскрывает все зашифрованные данные
TEE	Производитель оборудования + аттестация	Атаки по сторонним каналам, бэкдоры в прошивке
MPC	Пороговое честное большинство	Сговор сверх порога нарушает конфиденциальность; любой участник может цензурировать

ZK не требует доверия, кроме математической обоснованности системы доказательств. Это самая сильная из доступных моделей доверия.

FHE теоретически криптографически безопасна, но вводит проблему «кто владеет ключом расшифровки». Zama решает это путем разделения закрытого ключа между несколькими сторонами с помощью пороговой MPC — это означает, что FHE на практике часто зависит от MPC в вопросах управления ключами.

TEE требует доверия к оборудованию и прошивкам Intel, AMD или ARM. Это доверие неоднократно нарушалось. Атака WireTap, представленная на CCS 2025, продемонстрировала взлом SGX через перехват шины DRAM — физический вектор атаки, который невозможно исправить программным обновлением.

MPC распределяет доверие между участниками, но требует честного большинства. Если порог превышен, все входные данные раскрываются. Кроме того, любой отдельный участник может отказаться от сотрудничества, фактически цензурируя вычисления.

Квантовая устойчивость добавляет еще одно измерение. FHE по своей природе квантово-безопасна, так как опирается на криптографию на решетках. TEE не обеспечивают квантовой устойчивости. Устойчивость ZK и MPC зависит от конкретных используемых схем.

Кто и что строит: ландшафт 2026 года​

Проекты FHE​

Zama (привлечено $150M+, оценка $1B): Инфраструктурный уровень, обеспечивающий работу большинства блокчейн-проектов на базе FHE. Запустили основную сеть на Ethereum в конце декабря 2025 года. Аукцион токенов $ZAMA начался 12 января 2026 года. Создали Confidential Blockchain Protocol и фреймворк fhEVM для зашифрованных смарт-контрактов.

Fhenix (привлечено $22M): Строит L2 решение на базе FHE с использованием optimistic rollup и библиотеки TFHE-rs от Zama. Развернули сопроцессор CoFHE на Arbitrum как первую практическую реализацию сопроцессора FHE. Получили стратегические инвестиции от BIPROGY, одного из крупнейших ИТ-провайдеров Японии.

Inco Network (привлечено $4.5M): Предоставляет конфиденциальность как услугу, используя fhEVM от Zama. Предлагает как быструю обработку на базе TEE, так и режимы безопасных вычислений FHE + MPC.

И Fhenix, и Inco зависят от базовой технологии Zama — это означает, что Zama получает выгоду независимо от того, какая прикладная цепочка FHE станет доминирующей.

Проекты TEE​

Oasis Network: Стали пионерами архитектуры ParaTime, отделяющей вычисления (в TEE) от консенсуса. Используют комитеты по управлению ключами в TEE с пороговой криптографией, чтобы ни один узел не контролировал ключи расшифровки.

Phala Network: Объединяет децентрализованную ИИ-инфраструктуру с TEE. Все вычисления ИИ и Phat Contracts выполняются внутри анклавов Intel SGX через pRuntime.

Secret Network: Каждый валидатор запускает Intel SGX TEE. Код контракта и входные данные шифруются в сети и расшифровываются только внутри анклавов во время выполнения. Уязвимость SGX 2022 года обнажила хрупкость этой зависимости от одного типа TEE.

Проекты MPC​

Partisia Blockchain: Основана командой, которая в 2008 году внедрила первые практические протоколы MPC. Их протокол REAL обеспечивает квантово-устойчивую MPC с эффективной предварительной обработкой данных. Недавнее партнерство с Toppan Edge использует MPC для биометрических цифровых удостоверений — сопоставление данных распознавания лиц без их расшифровки.

Nillion (привлечено $45M+): Запустили основную сеть 24 марта 2025 года, после чего последовал листинг на Binance Launchpool. Сочетает в себе MPC, гомоморфное шифрование и ZK-доказательства. В корпоративный кластер входят STC Bahrain, Cloudician от Alibaba Cloud, Pairpoint от Vodafone и Deutsche Telekom.

Гибридные подходы: реальное будущее​

Как отметила исследовательская группа Aztec: не существует идеального единого решения, и маловероятно, что какая-то одна технология станет таковым. Будущее за гибридными архитектурами.

ZK + MPC позволяет совместно генерировать доказательства, где каждая сторона владеет только частью свидетельства (witness). Это критически важно для межинституциональных сценариев (проверки комплаенса, трансграничные расчеты), где ни одна организация не должна видеть все данные.

MPC + FHE решает проблему управления ключами в FHE. Архитектура Zama использует пороговую MPC для разделения ключа расшифровки между несколькими сторонами, устраняя единую точку отказа и сохраняя при этом способность FHE выполнять вычисления над зашифрованными данными.

ZK + FHE позволяет доказать, что зашифрованные вычисления были выполнены правильно, не раскрывая самих зашифрованных данных. Накладные расходы все еще значительны — Zama сообщает, что генерация доказательства для одной корректной операции бутстраппинга занимает 21 минуту на мощном инстансе AWS — но аппаратное ускорение сокращает этот разрыв.

TEE + криптографический резерв использует TEE для быстрого выполнения с ZK или FHE в качестве резервного варианта на случай компрометации оборудования. Этот подход «глубокой эшелонированной защиты» признает преимущества производительности TEE, одновременно смягчая риски, связанные с доверием к железу.

Самые сложные производственные системы в 2026 году сочетают в себе две или три из этих технологий. Архитектура Nillion координирует MPC, гомоморфное шифрование и ZK-доказательства в зависимости от требований к вычислениям. Inco Network предлагает как быстрый режим TEE, так и безопасный режим FHE + MPC. Вероятно, такой композиционный подход станет стандартом.

Выбор правильной технологии​

Для разработчиков, принимающих архитектурные решения в 2026 году, выбор зависит от трех вопросов:

Что вы делаете?

• Доказательство факта без раскрытия данных → ZK
• Вычисления на зашифрованных данных от нескольких сторон → FHE
• Обработка конфиденциальных данных на максимальной скорости → TEE
• Совместные вычисления нескольких сторон без взаимного доверия → MPC

Каковы ваши ограничения доверия?

• Должно быть полностью без доверия (trustless) → ZK или FHE
• Допустимо доверие к оборудованию → TEE
• Допустимы пороговые допущения → MPC

Каковы ваши требования к производительности?

• В реальном времени, менее секунды → TEE (или ZK только для верификации)
• Умеренная пропускная способность, высокая безопасность → MPC
• Конфиденциальный DeFi в масштабе → FHE (период 2026–2027 гг.)
• Максимальная эффективность верификации → ZK

Прогнозируется, что рынок конфиденциальных вычислений вырастет с 24 млрд $в 2025 году до 350 млрд$ к 2032 году. Инфраструктура конфиденциальности блокчейна, создаваемая сегодня — от FHE-сопроцессоров Zama до MPC-оркестрации Nillion и TEE ParaTimes от Oasis — определит, какие приложения смогут существовать на этом рынке объемом 350 млрд $, а какие нет.

Конфиденциальность — это не просто функция. Это инфраструктурный уровень, который делает возможными соответствующий нормативным требованиям DeFi, конфиденциальный ИИ и внедрение блокчейна на уровне предприятий. Побеждает не та технология, которая является самой быстрой или теоретически элегантной, а та, которая предоставляет готовые к эксплуатации, компонуемые примитивы, на базе которых разработчики действительно могут строить.

Исходя из текущих траекторий, ответом, вероятно, будут все четыре.

---

BlockEden.xyz предоставляет мультичейн-инфраструктуру RPC, поддерживающую ориентированные на конфиденциальность блокчейн-сети и приложения конфиденциальных вычислений. По мере того как протоколы обеспечения приватности переходят от стадии исследований к производству, надежная инфраструктура нод становится основой для каждой зашифрованной транзакции. Изучите наш маркетплейс API для получения блокчейн-доступа корпоративного уровня.

Когда в июне 2025 года компания Zama стала первым «единорогом» в области полностью гомоморфного шифрования, достигнув оценки более 1 миллиарда долларов, это стало сигналом о чем-то большем, чем успех одной компании. Индустрия блокчейна окончательно приняла фундаментальную истину: конфиденциальность — это не опция, а инфраструктура.

Но вот неудобная реальность, с которой сталкиваются разработчики: не существует единой «лучшей» технологии конфиденциальности. Полностью гомоморфное шифрование (FHE), доказательства с нулевым разглашением (ZK) и доверенные среды выполнения (TEE) — каждое из этих решений решает разные задачи с разными компромиссами. Неправильный выбор не просто влияет на производительность — он может в корне подорвать то, что вы пытаетесь построить.

Этот гид подробно объясняет, когда использовать каждую технологию, какими характеристиками вы на самом деле жертвуете и почему будущее, скорее всего, за совместной работой всех трех подходов.

Ландшафт технологий конфиденциальности в 2026 году​

Рынок конфиденциальности в блокчейне эволюционировал из нишевых экспериментов в серьезную инфраструктуру. Роллапы на базе ZK сейчас обеспечивают более 28 миллиардов долларов общей заблокированной стоимости (Total Value Locked). По прогнозам, только рынок ZK-KYC вырастет с 83,6 млн долларов в 2025 году до 903,5 млн долларов к 2032 году — совокупный годовой темп роста (CAGR) составит 40,5%.

Однако объем рынка не поможет вам выбрать технологию. Понимание того, что на самом деле делает каждый подход, является отправной точкой.

Доказательства с нулевым разглашением: доказательство без раскрытия​

ZK-доказательства позволяют одной стороне доказать истинность утверждения, не раскрывая никакой информации о самом содержании. Вы можете доказать, что вам больше 18 лет, не раскрывая дату рождения, или подтвердить валидность транзакции, не раскрывая ее сумму.

Как это работает: Доказывающая сторона (prover) генерирует криптографическое доказательство того, что вычисление было выполнено правильно. Проверяющая сторона (verifier) может быстро проверить это доказательство, не запуская вычисление повторно и не видя исходных данных.

Подвох: ZK отлично подходит для доказательства фактов о данных, которыми вы уже владеете. Но технология с трудом справляется с общим состоянием (shared state). Вы можете доказать, что вашего баланса достаточно для транзакции, но вы не можете легко задать вопросы типа «сколько случаев мошенничества произошло в масштабах всей сети?» или «кто выиграл этот аукцион с закрытыми ставками?» без дополнительной инфраструктуры.

Ведущие проекты: Aztec позволяет создавать гибридные публично-приватные смарт-контракты, где пользователи сами выбирают, будут ли транзакции видимыми. zkSync ориентируется прежде всего на масштабируемость с помощью корпоративных «Prividiums» для обеспечения разрешенной конфиденциальности. Railgun и Nocturne предоставляют экранированные пулы транзакций.

Полностью гомоморфное шифрование: вычисления на зашифрованных данных​

FHE часто называют «святым граалем» шифрования, поскольку оно позволяет выполнять вычисления на зашифрованных данных без необходимости их дешифровки. Данные остаются зашифрованными во время обработки, и результаты также остаются зашифрованными — только авторизованная сторона может расшифровать результат.

Как это работает: Математические операции выполняются непосредственно над шифротекстами. Сложение и умножение зашифрованных значений дают зашифрованные результаты, которые после дешифровки соответствуют тому, что получилось бы при операциях с открытым текстом.

Подвох: Вычислительные затраты огромны. Даже с учетом недавних оптимизаций, смарт-контракты на базе FHE в сети Inco Network достигают всего 10–30 TPS в зависимости от оборудования — это на порядки медленнее, чем выполнение операций с открытым текстом.

Ведущие проекты: Zama предоставляет базовую инфраструктуру с FHEVM (их полностью гомоморфная EVM). Fhenix создает прикладные решения, используя технологию Zama, и уже развернул копроцессор CoFHE на Arbitrum со скоростью дешифрования до 50 раз выше, чем у конкурирующих подходов.

Доверенные среды выполнения: аппаратная изоляция​

TEE создают безопасные анклавы внутри процессоров, где вычисления происходят изолированно. Данные внутри анклава остаются защищенными, даже если основная система скомпрометирована. В отличие от криптографических подходов, TEE полагаются на аппаратное обеспечение, а не на математическую сложность.

Как это работает: Специализированное оборудование (Intel SGX, AMD SEV) создает изолированные области памяти. Код и данные внутри анклава зашифрованы и недоступны для операционной системы, гипервизора или других процессов — даже при наличии прав root-доступа.

Подвох: Вы доверяете производителям оборудования. Любой скомпрометированный анклав может привести к утечке открытого текста, независимо от количества участвующих узлов. В 2022 году критическая уязвимость SGX потребовала скоординированного обновления ключей во всей сети Secret Network, что продемонстрировало эксплуатационную сложность безопасности, зависящей от аппаратного обеспечения.

Ведущие проекты: Secret Network стала пионером в создании приватных смарт-контрактов с использованием Intel SGX. Sapphire от Oasis Network — это первая конфиденциальная EVM в продакшене, обрабатывающая до 10 000 TPS. Phala Network управляет более чем 1 000 узлов TEE для конфиденциальных рабочих нагрузок ИИ.

Матрица компромиссов: производительность, безопасность и доверие​

Понимание фундаментальных компромиссов помогает подобрать технологию под конкретный сценарий использования.

Производительность​

Технология	Пропускная способность	Задержка	Стоимость
TEE	Почти нативная (10,000+ TPS)	Низкая	Низкие операционные расходы
ZK	Умеренная (зависит от реализации)	Выше (генерация доказательств)	Средняя
FHE	Низкая (в настоящее время 10-30 TPS)	Высокая	Очень высокие операционные расходы

TEE выигрывают по чистой производительности, так как они фактически запускают нативный код в защищенной памяти. ZK вносит накладные расходы на генерацию доказательств, но проверка проходит быстро. FHE в настоящее время требует интенсивных вычислений, что ограничивает практическую пропускную способность.

Модель безопасности​

Технология	Допущение доверия	Постквантовая устойчивость	Сценарий сбоя
TEE	Производитель оборудования	Не устойчива	Компрометация одного анклава раскрывает все данные
ZK	Криптографическое (часто доверенная установка)	Зависит от схемы	Ошибки в системе доказательств могут быть незаметными
FHE	Криптографическое (на основе решеток)	Устойчива	Вычислительно сложно для взлома

TEE требуют доверия к Intel, AMD или другому производителю оборудования — а также уверенности в отсутствии уязвимостей в прошивке. ZK-системы часто требуют церемоний «доверенной установки», хотя новые схемы устраняют эту необходимость. Криптография FHE на основе решеток считается квантово-устойчивой, что делает ее наиболее надежным решением для долгосрочной безопасности.

Программируемость​

Технология	Компонуемость	Приватность состояния	Гибкость
TEE	Высокая	Полная	Ограничена доступностью оборудования
ZK	Ограниченная	Локальная (на стороне клиента)	Высокая для верификации
FHE	Полная	Глобальная	Ограничена производительностью

ZK отлично справляется с локальной приватностью — защитой ваших входных данных — но испытывает трудности с общим состоянием между пользователями. FHE сохраняет полную компонуемость, поскольку над зашифрованным состоянием может выполнять вычисления любой желающий, не раскрывая его содержимого. TEE предлагают высокую программируемость, но ограничены средами с совместимым оборудованием.

Выбор правильной технологии: анализ вариантов использования​

Разные приложения требуют разных компромиссов. Вот как ведущие проекты делают этот выбор.

DeFi: защита от MEV и приватная торговля​

Проблема: Фронтраннинг и сэндвич-атаки извлекают миллиарды у пользователей DeFi, используя видимые мемпулы.

Решение на базе FHE: Конфиденциальный блокчейн Zama позволяет проводить транзакции, параметры которых остаются зашифрованными до момента включения в блок. Фронтраннинг становится математически невозможным — нет видимых данных для эксплуатации. Запуск основной сети в декабре 2025 года включал первый конфиденциальный перевод стейблкоинов с использованием cUSDT.

Решение на базе TEE: Sapphire от Oasis Network позволяет создавать конфиденциальные смарт-контракты для даркпулов и приватного сопоставления ордеров. Низкая задержка делает его подходящим для сценариев высокочастотной торговли, где вычислительные затраты FHE недопустимы.

Когда выбирать: FHE — для приложений, требующих строжайших криптографических гарантий и глобальной приватности состояния. TEE — когда требования к производительности превышают возможности FHE и доверие к оборудованию приемлемо.

Идентификация и учетные данные: KYC с сохранением конфиденциальности​

Проблема: Подтверждение атрибутов личности (возраст, гражданство, аккредитация) без раскрытия документов.

Решение на базе ZK: Учетные данные с нулевым разглашением позволяют пользователям подтверждать прохождение KYC без раскрытия исходных документов. Это удовлетворяет нормативным требованиям и одновременно защищает приватность пользователя — критически важный баланс по мере усиления давления со стороны регуляторов.

Почему ZK здесь выигрывает: Проверка личности в основе своей заключается в подтверждении утверждений о персональных данных. ZK создан специально для этого: компактные доказательства, которые подтверждают информацию без ее раскрытия. Проверка происходит достаточно быстро для использования в реальном времени.

Конфиденциальный ИИ и чувствительные вычисления​

Проблема: Обработка конфиденциальных данных (здравоохранение, финансовые модели) без доступа со стороны операторов.

Решение на базе TEE: Облако Phala Network на базе TEE обрабатывает запросы LLM без доступа платформы к входным данным. Благодаря поддержке GPU TEE (NVIDIA H100 / H200) конфиденциальные рабочие нагрузки ИИ выполняются на практических скоростях.

Потенциал FHE: По мере улучшения производительности FHE позволит выполнять вычисления, к которым даже оператор оборудования не сможет получить доступ, полностью устраняя необходимость в доверии. Текущие ограничения сужают эту область до более простых вычислений.

Гибридный подход: Выполнение начальной обработки данных в TEE для скорости, использование FHE для самых чувствительных операций и генерация ZK-доказательств для проверки результатов.

Реальность уязвимостей​

Каждая технология терпела неудачу в продакшене — понимание сценариев сбоя крайне важно.

Сбои TEE​

В 2022 году критические уязвимости SGX затронули несколько блокчейн-проектов. Secret Network, Phala, Crust и IntegriTEE потребовали скоординированных патчей. Oasis устоял, так как его основные системы работают на старой версии SGX v1 (не подверженной уязвимости) и не полагаются на секретность анклава для безопасности средств.

Урок: Безопасность TEE зависит от оборудования, которое вы не контролируете. Эшелонированная защита (ротация ключей, пороговая криптография, минимальные допущения доверия) обязательна.

Сбои ZK​

16 апреля 2025 года Solana исправила уязвимость нулевого дня в своей функции конфиденциальных переводов. Ошибка могла позволить неограниченную чеканку токенов. Опасный аспект сбоев ZK: когда доказательства не срабатывают, это происходит незаметно. Вы не можете увидеть то, чего не должно быть.

Урок: ZK-системы требуют тщательной формальной верификации и аудита. Сложность систем доказательств создает поверхность атаки, о которой трудно рассуждать логически.

Особенности FHE​

FHE еще не сталкивалась с крупными сбоями в продакшене — в основном потому, что она находится на ранней стадии внедрения. Профиль риска отличается: FHE вычислительно сложно атаковать, но ошибки реализации в сложных криптографических библиотеках могут привести к незаметным уязвимостям.

Урок: Новые технологии менее проверены в реальных условиях. Криптографические гарантии сильны, но уровень реализации требует постоянного внимания.

Гибридные архитектуры: Будущее не за выбором «или / или»​

Самые современные системы конфиденциальности сочетают в себе несколько технологий, используя каждую там, где она проявляет себя лучше всего.

Интеграция ZK + FHE​

Состояния пользователей (балансы, предпочтения) хранятся с использованием шифрования FHE. ZK-доказательства подтверждают корректность переходов состояний без раскрытия зашифрованных значений. Это обеспечивает приватное исполнение в масштабируемых средах L2 — сочетая конфиденциальность глобального состояния FHE с эффективной верификацией ZK.

Комбинация TEE + ZK​

Среды TEE обрабатывают конфиденциальные вычисления со скоростью, близкой к нативной. ZK-доказательства подтверждают корректность выходных данных TEE, устраняя необходимость доверять единственному оператору. Если среда TEE будет скомпрометирована, некорректные выходные данные не пройдут ZK-проверку.

Когда и что использовать​

Практическая схема принятия решений:

Выбирайте TEE, когда:

• Производительность критически важна (высокочастотная торговля, приложения реального времени)
• Доверие к оборудованию приемлемо для вашей модели угроз
• Вам необходимо быстро обрабатывать большие объемы данных

Выбирайте ZK, когда:

• Вы подтверждаете утверждения о данных, хранящихся на стороне клиента
• Верификация должна быть быстрой и недорогой
• Вам не нужна конфиденциальность глобального состояния

Выбирайте FHE, когда:

• Глобальное состояние должно оставаться зашифрованным
• Требуется постквантовая безопасность
• Сложность вычислений приемлема для вашего сценария использования

Выбирайте гибридную модель, когда:

• Разные компоненты имеют разные требования к безопасности
• Вам нужно сбалансировать производительность и гарантии безопасности
• Соблюдение нормативных требований требует доказуемой конфиденциальности

Что дальше​

Виталик Бутерин недавно призвал к стандартизации «коэффициентов эффективности» — сравнению времени криптографических вычислений с выполнением в открытом виде. Это отражает зрелость индустрии: мы переходим от вопроса «работает ли это?» к вопросу «насколько эффективно это работает?».

Производительность FHE продолжает улучшаться. Запуск основной сети Zama в декабре 2025 года доказывает готовность простых смарт-контрактов к промышленной эксплуатации. По мере развития аппаратного ускорения (оптимизация GPU, специализированные ASIC) разрыв в пропускной способности с TEE будет сокращаться.

Системы ZK становятся все более выразительными. Язык Noir от Aztec позволяет реализовывать сложную приватную логику, которая была бы непрактичной еще несколько лет назад. Стандарты постепенно сближаются, что делает возможной кросс-чейн верификацию учетных данных ZK.

Разнообразие TEE расширяется за пределы Intel SGX. Реализации AMD SEV, ARM TrustZone и RISC-V снижают зависимость от одного производителя. Пороговая криптография между несколькими поставщиками TEE может решить проблему единой точки отказа.

Развертывание инфраструктуры конфиденциальности происходит прямо сейчас. Для разработчиков, создающих приложения, чувствительные к приватности данных, выбор заключается не в поиске идеальной технологии, а в понимании компромиссов, достаточном для их грамотного сочетания.

---

Создаете приложения на блокчейне с сохранением конфиденциальности? BlockEden.xyz предоставляет высокопроизводительные RPC-эндпоинты в более чем 30 сетях, включая блокчейны, ориентированные на приватность. Изучите наш маркетплейс API, чтобы получить доступ к инфраструктуре, необходимой для ваших конфиденциальных приложений.

Квантовый чип Willow от Google может решить за пять минут задачу, на которую у классических суперкомпьютеров ушло бы 10 септиллионов лет. Тем временем $ 718 миллиардов в биткоинах хранятся на адресах, которые квантовые компьютеры теоретически могли бы взломать. Стоит ли паниковать? Пока нет — но время пошло.

Квантовая угроза для Биткоина — это вопрос не «если», а «когда». К началу 2026 года дискуссия сместилась от пренебрежительного скептицизма к серьезной подготовке. Вот что каждому держателю биткоинов необходимо понимать о сроках, реальных уязвимостях и решениях, которые уже находятся в разработке.

Квантовая угроза: разбор математики​

Безопасность Биткоина опирается на два криптографических столпа: алгоритм цифровой подписи на эллиптических кривых (ECDSA) для подписей транзакций и SHA-256 для майнинга и хеширования адресов. Оба сталкиваются с различными уровнями квантового риска.

Алгоритм Шора, запущенный на достаточно мощном квантовом компьютере, может вычислять закрытые ключи из открытых — фактически взламывая любой адрес Биткоина, где открытый ключ (public key) раскрыт. Это экзистенциальная угроза.

Алгоритм Гровера обеспечивает квадратичное ускорение для перебора хеш-функций, снижая эффективную стойкость SHA-256 с 256 бит до 128 бит. Это вызывает беспокойство, но не является немедленной катастрофой — 128-битная защита остается весьма надежной.

Критический вопрос: сколько кубитов требуется для запуска алгоритма Шора против Биткоина?

Оценки сильно разнятся:

• Консервативная: 2 330 стабильных логических кубитов могли бы теоретически взломать ECDSA
• Практическая реальность: Из-за необходимости исправления ошибок для этого требуется от 1 до 13 миллионов физических кубитов
• Оценка Университета Сассекса: 13 миллионов кубитов для взлома шифрования Биткоина за один день
• Самая агрессивная оценка: 317 миллионов физических кубитов для взлома 256-битного ключа ECDSA в течение часа

Чип Willow от Google имеет 105 кубитов. Разрыв между 105 и 13 миллионами объясняет, почему эксперты пока не паникуют.

Проверка реальности 2026 года​

Ландшафт квантовых вычислений в начале 2026 года выглядит следующим образом:

Современные квантовые компьютеры преодолевают порог в 1 500 физических кубитов, но уровень ошибок остается высоким. Для создания всего одного стабильного логического кубита требуется около 1 000 физических кубитов. Даже с агрессивной оптимизацией при поддержке ИИ, скачок с 1 500 до миллионов кубитов за 12 месяцев физически невозможен.

Оценки сроков от экспертов:

Источник	Оценка
Адам Бэк (гендиректор Blockstream)	20–40 лет
Мишель Моска (Университет Ватерлоо)	Шанс 1 из 7 к 2026 году для фундаментального взлома криптографии
Консенсус отрасли	10–30 лет до появления возможности взлома Биткоина
Федеральный мандат США	Поэтапный отказ от ECDSA к 2035 году
Дорожная карта IBM	500–1 000 логических кубитов к 2029 году

Консенсус 2026 года: квантового апокалипсиса в этом году не будет. Однако, как выразился один аналитик, «вероятность того, что квантовые вычисления станут первостепенным фактором риска для безопасности криптовалют в 2026 году, очень высока».

Уязвимость на $ 718 миллиардов: какие биткоины в опасности?​

Не все адреса Биткоина подвержены одинаковому квантовому риску. Уязвимость полностью зависит от того, был ли открытый ключ раскрыт в блокчейне.

Адреса высокого риска (P2PK — Pay to Public Key):

• Открытый ключ виден непосредственно в блокчейне
• Сюда входят все адреса первых дней Биткоина (2009–2010 гг.)
• Оценочные 1,1 млн BTC Сатоши Накамото попадают в эту категорию
• Общий объем риска: примерно 4 миллиона BTC (20% предложения)

Адреса с низким риском (P2PKH, P2SH, SegWit, Taproot):

• Открытый ключ хешируется и раскрывается только при расходовании средств
• Пока вы никогда не используете адрес повторно после траты, открытый ключ остается скрытым
• Современные передовые практики кошельков естественным образом обеспечивают некоторую квантовую устойчивость

Важное наблюдение: если вы никогда не тратили средства с адреса, ваш открытый ключ не раскрыт. В тот момент, когда вы тратите и повторно используете этот адрес, вы становитесь уязвимы.

Монеты Сатоши представляют собой уникальную дилемму. Эти 1,1 млн BTC на адресах P2PK нельзя перевести в более безопасные форматы — для этого закрытые ключи должны подписать транзакцию, а у нас нет доказательств того, что Сатоши может или хочет это сделать. Если квантовые компьютеры достигнут достаточной мощности, эти монеты станут крупнейшей в мире «крипто-наградой».

«Собирай сейчас, дешифруй потом»: скрытая угроза​

Даже если квантовые компьютеры не могут взломать Биткоин сегодня, злоумышленники могут уже сейчас готовиться к завтрашнему дню.

Стратегия «собирай сейчас, дешифруй потом» предполагает сбор раскрытых открытых ключей из блокчейна сегодня, их хранение и ожидание созревания квантовых компьютеров. Когда наступит «День Q» (Q-Day), злоумышленники с архивами открытых ключей смогут мгновенно опустошить уязвимые кошельки.

Государственные субъекты и сложные преступные организации, скорее всего, уже внедряют эту стратегию. Каждый открытый ключ, раскрытый в блокчейне сегодня, становится потенциальной целью через 5–15 лет.

Это создает неприятную реальность: таймер безопасности для любого раскрытого открытого ключа, возможно, уже начал тикать.

Разрабатываемые решения: BIP 360 и постквантовая криптография​

Сообщество разработчиков Bitcoin не дожидается наступления «дня Q». Несколько решений уже находятся на стадии разработки и стандартизации.

BIP 360: Pay to Quantum Resistant Hash (P2TSH)

BIP 360 предлагает тип выхода, нативный для tapscript и устойчивый к квантовым вычислениям, в качестве критически важного «первого шага» к квантово-безопасному Bitcoin. Предложение описывает три метода квантово-устойчивой подписи, что позволяет осуществлять постепенную миграцию без ущерба для эффективности сети.

К 2026 году сторонники надеются на широкое внедрение P2TSH, что позволит пользователям заблаговременно переводить средства на квантово-безопасные адреса.

Стандартизированные NIST постквантовые алгоритмы

По состоянию на 2025 год NIST финализировал три стандарта постквантовой криптографии:

• FIPS 203 (ML-KEM): механизм инкапсуляции ключей
• FIPS 204 (ML-DSA / Dilithium): цифровые подписи (на основе решеток)
• FIPS 205 (SLH-DSA / SPHINCS+): подписи на основе хеш-функций

Компания BTQ Technologies уже продемонстрировала рабочую реализацию Bitcoin с использованием ML-DSA для замены подписей ECDSA. Их релиз Bitcoin Quantum Core Release 0.2 доказывает техническую осуществимость миграции.

Проблема компромиссов

Подписи на основе решеток, такие как Dilithium, значительно объемнее подписей ECDSA — потенциально в 10–50 раз больше. Это напрямую влияет на емкость блока и пропускную способность транзакций. Квантово-устойчивый Bitcoin может обрабатывать меньше транзакций в блоке, что приведет к росту комиссий и потенциальному вытеснению мелких транзакций за пределы основной сети (off-chain).

Что владельцам Bitcoin следует делать сейчас​

Квантовая угроза реальна, но не неизбежна в ближайшее время. Вот практический план действий для различных профилей держателей:

Для всех владельцев:

1. Избегайте повторного использования адресов: никогда не отправляйте Bitcoin на адрес, с которого вы уже тратили средства.
2. Используйте современные форматы адресов: адреса SegWit (bc1q) или Taproot (bc1p) хешируют ваш публичный ключ.
3. Будьте в курсе событий: следите за разработкой BIP 360 и релизами Bitcoin Core.

Для владельцев значительных сумм (> 1 BTC):

1. Проведите аудит своих адресов: проверьте с помощью блокчейн-обозревателей, не хранятся ли ваши средства в формате P2PK.
2. Рассмотрите возможность обновления холодного хранилища: периодически переводите средства на новые адреса.
3. Задокументируйте свой план миграции: знайте, как вы будете переводить средства, когда квантово-безопасные варианты станут стандартом.

Для институциональных держателей:

1. Включите квантовые риски в оценку безопасности: в 2025 году компания BlackRock добавила предупреждения о квантовых вычислениях в свою заявку на регистрацию Bitcoin ETF.
2. Мониторьте стандарты NIST и разработки BIP: заложите бюджет на будущие расходы по миграции.
3. Оцените кастодиальных провайдеров: убедитесь, что у них есть дорожные карты по переходу на квантовую безопасность.

Проблема управления: уникальная уязвимость Bitcoin​

В отличие от Ethereum, у которого более централизованный путь обновления через Ethereum Foundation, обновления Bitcoin требуют широкого социального консенсуса. Не существует центрального органа, который мог бы принудительно инициировать постквантовую миграцию.

Это создает ряд проблем:

Утерянные и заброшенные монеты не могут быть мигрированы. По оценкам, 3–4 миллиона BTC утеряны навсегда. Эти монеты останутся в квантово-уязвимом состоянии на неопределенный срок, создавая постоянный пул потенциально похищаемых Bitcoin, как только квантовые атаки станут возможными.

Монеты Сатоши поднимают философские вопросы. Должно ли сообщество превентивно заморозить адреса P2PK Сатоши? Генеральный директор Ava Labs Эмин Гюн Сирер предложил это, но такой шаг фундаментально поставил бы под сомнение принципы неизменяемости Bitcoin. Хардфорк для заморозки конкретных адресов создает опасный прецедент.

Координация требует времени. Исследования показывают, что полное обновление сети, включая миграцию всех активных кошельков, может потребовать как минимум 76 дней целенаправленных усилий ончейн в самом оптимистичном сценарии. На практике, при продолжении работы сети, миграция может занять месяцы или годы.

Сатоши Накамото предвидел такую возможность. В посте на BitcoinTalk в 2010 году он писал: «Если SHA-256 будет полностью сломан, я думаю, мы сможем прийти к соглашению о том, каким был честный блокчейн до возникновения проблем, зафиксировать это и продолжить работу с новой хеш-функцией».

Вопрос в том, сможет ли сообщество достичь этого соглашения до, а не после того, как угроза материализуется.

Итог: срочность без паники​

Квантовые компьютеры, способные взломать Bitcoin, вероятно, появятся через 10–30 лет. Непосредственная угроза невелика. Однако последствия неготовности катастрофичны, а миграция требует времени.

Ответ криптоиндустрии должен соответствовать угрозе: быть обдуманным, технически строгим и проактивным, а не реактивным.

Для индивидуальных держателей план действий прост: используйте современные форматы адресов, избегайте их повторного использования и следите за новостями. Для экосистемы Bitcoin следующие пять лет имеют решающее значение для внедрения и тестирования квантово-устойчивых решений до того, как они понадобятся.

Квантовые часы тикают. У Bitcoin есть время, но оно не бесконечно, чтобы адаптироваться.

---

BlockEden.xyz предоставляет блокчейн-инфраструктуру корпоративного уровня для более чем 25 сетей. Пока криптоиндустрия готовится к квантовой эре, мы стремимся поддерживать протоколы, которые ставят в приоритет долгосрочную безопасность. Изучите наши API-сервисы, чтобы создавать проекты на сетях, готовых к вызовам завтрашнего дня.