Полное руководство для инвесторов — от физики до защиты
Дата публикации: 15 февраля 2026 г.
Автор: Дмитрий Масловский
Оглавление
-
Два сценария атаки
3.1 Атаки дальнего действия
3.2 Атаки ближнего действия -
Реальные квантовые взломы
4.1 Взлом 22-битного RSA (июнь 2025)
4.2 Рекорд IBM: 120 кубитов в состоянии «кошки» (октябрь 2025) -
Как защитить биткоин: постквантовые алгоритмы
7.1 Что предлагает наука
7.2 Российские разработки
7.3 Технические трудности внедрения
1. Анатомия защиты биткоина
Безопасность биткоина опирается на два типа криптографических алгоритмов.
Хеш-функции (SHA-256). Используются в майнинге и для генерации адресов. Они преобразуют произвольный объём данных в строку фиксированной длины. Это односторонняя функция: зная хеш, невозможно восстановить исходное сообщение.
Цифровые подписи на эллиптических кривых (ECDSA). Именно они защищают сами монеты. Каждый биткоин-кошелёк — это пара ключей:
-
приватный ключ (известен только владельцу);
-
публичный ключ (доступен всем).
При отправке транзакции вы подписываете её приватным ключом. Сеть проверяет подпись с помощью публичного ключа и убеждается, что именно владелец средств инициировал перевод.
Математическая защита ECDSA основана на задаче дискретного логарифмирования на эллиптической кривой. Классическому компьютеру потребовались бы миллиарды лет, чтобы по публичному ключу вычислить приватный. Квантовый алгоритм Питера Шора решает эту задачу за полиномиальное время — то есть за часы или дни.
2. Квантовый компьютер: объяснение для экономистов
Классический бит оперирует нулями и единицами последовательно. Квантовый кубит благодаря принципу суперпозиции может находиться одновременно в состоянии 0 и 1 с разной вероятностью. Два кубита — уже четыре состояния, три — восемь. При десяти кубитах мы одновременно обрабатываем 1024 состояния.
Это свойство называют квантовым параллелизмом. Вместо перебора вариантов по очереди квантовый компьютер просчитывает их все сразу.
Алгоритм Шора использует этот параллелизм для факторизации больших чисел и дискретного логарифмирования. Он состоит из двух этапов:
-
Классическая редукция: задача сводится к поиску периода некоторой функции.
-
Квантовое преобразование Фурье: квантовая схема находит этот период экспоненциально быстрее классических методов.
Для 2048-битного RSA требуются миллионы «физических» кубитов с коррекцией ошибок. Однако оценки постоянно снижаются. В мае 2025 года Крейг Гидни показал, что RSA-2048 можно взломать менее чем за неделю, используя меньше миллиона шумных кубитов — против 20 миллионов в оценках 2019 года.
3. Два сценария атаки
3.1 Атаки дальнего действия
Угроза касается монет, чьи публичные ключи уже раскрыты в блокчейне. Это происходит в двух случаях:
-
P2PK-выходы (Pay‑to‑Public‑Key). Ранние биткоин-транзакции, особенно эпохи Сатоши, публиковали публичный ключ непосредственно в момент получения монет. Такие UTXO сегодня считаются «спящими» и содержат около 1,72 млн BTC.
-
Повторное использование P2PKH-адресов. В стандартном формате P2PKH (начинается с «1») публичный ключ раскрывается только при трате средств. Если вы отправляете биткоины с такого адреса, ваш публичный ключ становится видимым для всех. Если потом вы снова положите монеты на этот же адрес, они окажутся под ударом.
Таблица 1. Оценки уязвимых биткоинов
| Источник | Оценка | Доля от эмиссии | Примечание |
|---|---|---|---|
| Benchmark (январь 2026) | 1–2 млн BTC | 5–10% | Только P2PK и повторное использование |
| HRF / OneKey (декабрь 2025) | 6,51 млн BTC | ~31% | Все раскрытые ключи, включая Taproot |
| Из них «неактивные» | 1,72 млн BTC | 8% | Монеты, которые вряд ли будут перемещены |
3.2 Атаки ближнего действия
Даже если вы используете современные SegWit-адреса (начинаются с «bc1»), публичный ключ раскрывается в момент отправки транзакции. В промежутке между трансляцией и включением в блок (обычно 10–60 минут) злоумышленник с достаточно мощным квантовым компьютером мог бы:
-
перехватить транзакцию из mempool;
-
извлечь публичный ключ;
-
за минуты вычислить приватный ключ;
-
создать альтернативную транзакцию, отправляющую монеты на свой адрес, и попытаться включить её в блок раньше оригинальной.
Этот сценарий требует чрезвычайно быстрых квантовых вычислений и сегодня невозможен. Но он показывает: даже безупречная «ключевая гигиена» не спасает в постквантовую эпоху. Потребуется полная замена алгоритма подписи.
4. Реальные квантовые взломы
4.1 Взлом 22-битного RSA (июнь 2025)
Китайские учёные из Шанхайского университета использовали квантовый отжиг на устройстве D‑Wave Advantage для факторизации 22‑битного целого числа RSA. Это самое большое число, взломанное таким методом.
Почему это важно. Хотя 22‑битный ключ тривиален, подход продемонстрировал масштабируемость. Авторы утверждают, что дальнейшая оптимизация позволяет атаковать более крупные ключи. Для 2048‑битного RSA потребуется примерно в 90 раз больше ресурсов, но прогресс в квантовом железе идёт экспоненциально.
4.2 Рекорд IBM: 120 кубитов в состоянии «кошки» (октябрь 2025)
Исследователи IBM достигли стабильного запутанного состояния для 120 кубитов с точностью 0,56. Это крупнейшая зарегистрированная квантовая система с подтверждённым полным запутыванием. Непосредственно проверить все конфигурации невозможно (это заняло бы больше времени, чем существует Вселенная), но косвенные измерения указывают на успех.
Для сравнения: в 2019 году Google заявила о «квантовом превосходстве» на 53 кубитах. За шесть лет количество кубитов в рекордных системах удвоилось, а оценки необходимых для взлома ресурсов — снизились.
5. Сколько кубитов нужно для взлома биткоина
Ответ зависит от типа атаки и используемого алгоритма.
Для ECDSA (подписи биткоина):
-
логических кубитов (с коррекцией ошибок): ~1500–2000;
-
физических кубитов (с учётом коррекции): от 10 млн до 20 млн (современные оценки);
-
время выполнения: часы или дни.
Для RSA-2048 (для сравнения):
-
Крейг Гидни (2025): менее 1 млн шумных кубитов и неделя времени;
-
предыдущие оценки (2019): 20 млн кубитов.
Прогресс в алгоритмах и методах коррекции ошибок сокращает требования быстрее, чем растёт сырая мощность квантового железа.
Таблица 2. Эволюция оценок ресурсов для взлома RSA-2048
| Год | Оценка (кубитов) | Исследователь |
|---|---|---|
| 2019 | 20 млн | Гидни, Экерт |
| 2021 | 13 млн | Гуревич и др. |
| 2023 | 5 млн | Крамер |
| 2025 | < 1 млн | Гидни |
6. Сроки: когда наступит Q‑день
Мнения экспертов радикально расходятся.
Пессимисты (Чамат Палихапития, Ник Картер): 2–5 лет. Картер, партнёр Castle Island Ventures, в декабре 2025 года запустил Project Eleven — фонд и исследовательскую инициативу по подготовке к квантовой эре. Он называет квантовые вычисления «самой большой и сложной угрозой, с которой когда‑либо сталкивались публичные блокчейны».
Оптимисты (Адам Бэк, CEO Blockstream): 20–40 лет. Бэк критикует Картера за раздувание проблемы и указывает на ведущиеся исследования.
Регуляторы. Власти США и ЕС обязали операторов критической инфраструктуры перейти на постквантовую криптографию к 2035 году. Chaincode Labs, исследующая биткоин, рассматривает два сценария:
-
быстрый прорыв — миграция за 2 года;
-
плавный переход — 5–7 лет.
Консенсус большинства серьёзных оценок: вероятность появления криптографически значимого квантового компьютера (CRQC) до 2035 года ненулевая и растёт.
7. Как защитить биткоин: постквантовые алгоритмы
7.1 Что предлагает наука
NIST (Национальный институт стандартов и технологий США) в августе 2024 года утвердил первые постквантовые криптостандарты:
-
ML-KEM (Kyber) — для установления ключей;
-
ML-DSA (Dilithium) — для цифровых подписей (основной кандидат для биткоина);
-
SLH-DSA (SPHINCS+) — резервная схема на хеш‑функциях.
Алгоритм Dilithium основан на математических задачах на решётках. Они считаются сложными даже для квантовых компьютеров. В отличие от RSA и ECDSA, для них неизвестно эффективных квантовых атак.
7.2 Российские разработки
В октябре 2025 года студент МФТИ Леонид Картушин представил прототип системы коллективной цифровой подписи, устойчивой к квантовому взлому. Решение базируется на Dilithium и адаптирует схему разделения секрета Шамира для пороговых подписей. Это позволяет распределить право подписи между группой участников — важно для банков, госструктур и блокчейн‑кошельков.
7.3 Технические трудности внедрения в биткоин
Замена криптографии в биткоине — не просто обновление прошивки. Проблемы:
-
Размер подписей. Подписи Dilithium в 10–20 раз больше ECDSA/Schnorr. Это увеличит нагрузку на блокчейн и комиссии.
-
Время верификации. Постквантовые алгоритмы медленнее.
-
Консенсус. Изменение базового протокола требует согласия большинства майнеров и узлов. Возможен софтфорк (например, предложение BIP-360), но дискуссии займут годы.
Предложение BIP-360 (Pay to Quantum-Resistant Hash) вводит проверку постквантовых подписей в tapscript через новые опкоды. Это позволит мигрировать постепенно, не ломая обратную совместимость.
8. Project Eleven: квантовый баг‑баунти
В июне 2025 года инициатива Project Eleven (при поддержке Ника Картера) объявила награду в 1 BTC (более $70 000) тому, кто сумеет подобрать приватный ключ к указанному адресу с помощью квантового компьютера.
Условия:
-
должен применяться алгоритм Шора;
-
атакуемый адрес — P2PK с известным публичным ключом;
-
награда будет выплачена из средств, если они будут похищены (организаторы застраховали риск).
Это не попытка украсть деньги, а форма научного эксперимента. Авторы хотят получить объективную картину: насколько мы близки к реальной угрозе. Пока заявок нет. Но сам факт такого вызова — сигнал сообществу.
9. Что делать инвестору сегодня
Для владельцев биткоинов:
-
Не используйте адреса повторно. Каждая трата с P2PKH‑адреса раскрывает публичный ключ. Используйте новые адреса для каждой входящей транзакции.
-
Переведите старые монеты. Если у вас есть UTXO на адресах старого формата (P2PK, ранние P2PKH), переместите их на современные SegWit‑адреса (bc1). Это скроет публичный ключ до момента следующей траты.
-
Следите за BIP-360 и постквантовыми инициативами. Как только появится возможность перейти на квантово‑устойчивые адреса — сделайте это (даже если придётся заплатить комиссию).
Для институциональных инвесторов:
-
оцените экспозицию на старые UTXO в кастодиальных решениях;
-
требуйте от провайдеров (бирж, кастодианов) планов миграции на PQC;
-
учитывайте «квантовый риск» в моделях tail‑risk, особенно при долгосрочном хранении.
Таблица 3. Типы биткоин-адресов и их уязвимость
| Тип адреса | Пример | Публичный ключ виден | Уязвимость к квантовой атаке |
|---|---|---|---|
| P2PK (ранний) | 1… (но внутренне другой) | Сразу при получении | Высокая (если монеты не двигались годами) |
| P2PKH (legacy) | 1A1zP1… | При трате | Средняя (после первого использования) |
| P2SH | 3J98t… | Зависит от скрипта | Вариативная |
| Bech32 (SegWit) | bc1q… | При трате | Средняя (после первого использования) |
| Taproot | bc1p… | Можно скрыть дольше | Ниже при правильном использовании |
10. Выводы
Квантовая угроза реальна, но она не реализуется «завтра утром». У биткоин‑сообщества есть окно возможностей — по разным оценкам, от 5 до 15 лет.
Однако расслабляться нельзя по трём причинам:
-
Асимметрия времени. Данные, которые злоумышленники собирают сегодня (публичные ключи из блокчейна), можно будет расшифровать через 10 лет, когда появится нужный компьютер. Это стратегия «собирай сейчас — расшифровывай позже».
-
Инерция консенсуса. Внедрение новых алгоритмов в биткоин занимает годы. Дискуссии о Taproot шли с 2018 по 2021 год. Постквантовый переход потребует ещё более сложных обсуждений.
-
Спящие монеты. Около 1,7 млн BTC (примерно 8% эмиссии) принадлежат адресам, которые вряд ли когда‑либо снова пошевелятся. Включая кошельки Сатоши Накамото. Если квантовый компьютер позволит вскрыть эти монеты, на рынок может обрушиться гигантское предложение, что подорвёт доверие к системе.
Итог. Биткоин не погибнет от квантовой атаки — разработчики и сообщество слишком мотивированы, чтобы допустить коллапс. Но переход на постквантовые стандарты будет болезненным, долгим и потребует координации беспрецедентного масштаба.
Начинать подготовку нужно сейчас. Как сказал Ник Картер: «Физика понятна, масштабирование — нет. Но инженерная задача — не повод её игнорировать».
Материал подготовлен на основе отчётов Benchmark, OneKey, исследований Project Eleven, научных публикаций в журналах «Молодой учёный» и Вестник НГУЭУ, а также данных Coinbase, IBM и МФТИ.
Читайте также новость: Квантовая угроза биткоину 2026: инвесторы теряют терпение
Подписывайтесь на наши соцсети, чтобы следить за развитием квантовой угрозы и подготовкой биткоина к постквантовой эре:
➠ Telegram
➠ Instagram
