Команда Google Quantum AI опублікувала дослідження 30 березня 2026 року, яке вказує, що для зламу еліптичної кривої криптографії Bitcoin та Ethereum може знадобитися менше ніж 500 000 фізичних кубітів і приблизно 1 200–1 450 високоякісних логічних кубітів, що значно нижче за попередні оцінки, які сягали мільйонів.
У роботі попереджається, що квантові атаки у реальному часі можуть викрадати транзакції Bitcoin приблизно за дев’ять хвилин, потенційно обганяючи підтвердження приблизно в 41% випадків, і зазначається, що оновлення Taproot у Bitcoin, яке робить публічні ключі видимими за замовчуванням, розширило кількість вразливих гаманців до оцінених 6,9 мільйона Bitcoin.
Оцінки квантових ресурсів демонструють 20-кратне скорочення необхідних кубітів
Дослідники Google склали дві квантові схеми, що реалізують алгоритм Шора для 256-бітової задачі дискретного логарифмування для еліптичної кривої (ECDLP-256), яка формує криптографічну основу для Bitcoin, Ethereum та багатьох інших блокчейн-мереж. Одна схема використовує менше ніж 1 200 логічних кубітів і 90 мільйонів вентилів Toffoli, тоді як друга використовує менше ніж 1 450 логічних кубітів і 70 мільйонів вентилів Toffoli.
Дослідники оцінюють, що ці схеми можна виконати на криптографічно релевантному квантовому комп’ютері на надпровідникових кубітах (CRQC) з менш ніж 500 000 фізичних кубітів протягом кількох хвилин, припускаючи можливості апаратного забезпечення, узгоджені з деякими флагманськими квантовими процесорами Google. Це відкриття становить приблизно 20-кратне зменшення кількості фізичних кубітів, необхідних для розв’язання ECDLP-256, порівняно з попередніми оцінками, і продовжує тенденцію до поступової оптимізації при компіляції квантових алгоритмів у відмовостійкі схеми.
Раніше Google називала 2029 рік потенційною віхою для корисних квантових систем, а оновлені оцінки ресурсів свідчать, що розрив між сучасною технологією і можливістю здійснити атаку може бути меншим, ніж раніше вважалося. Компанія з 2016 року веде зусилля щодо переходу на постквантову криптографію.
Атаки на транзакції у реальному часі можуть обганяти підтвердження в 41% випадків
Дослідження описує два потенційні методи атак, спрямовані на транзакції Bitcoin у процесі передачі (in-flight). Коли транзакція Bitcoin транслюється, публічний ключ відправника короткочасно розкривається ще до підтвердження транзакції. Достатньо швидкий квантовий комп’ютер може обчислити відповідний приватний ключ із цього публічного ключа і переадресувати кошти до того, як оригінальна транзакція буде завершена.
За моделлю Google, квантова система може підготувати частину обчислень заздалегідь, а потім завершити атаку приблизно за дев’ять хвилин після появи транзакції в мережі. Зазвичай підтвердження транзакцій Bitcoin займає близько 10 хвилин, тому у зловмисника є приблизно 41% ймовірності успішно переадресувати кошти до завершення оригінального переказу.
Ethereum може бути менш вразливим до цього ризику, оскільки його швидші часи створення блоків залишають менше часу для атаки. Однак обидві мережі базуються на одній і тій самій криптографічній основі еліптичної кривої і потребують переходу на постквантову криптографію для збереження безпеки у майбутньому.
Оновлення Taproot робить більше гаманців вразливими до потенційної квантової атаки
У дослідженні оцінюється, що приблизно 6,9 мільйона Bitcoin, тобто близько третини від загальної пропозиції, вже зберігаються у гаманцях, де публічний ключ був розкритий у певній мірі. Це включає близько 1,7 мільйона Bitcoin з ранніх років мережі, кошти, що постраждали через повторне використання адрес, а також Bitcoin, що зберігаються у гаманцях із форматом адрес Taproot, запровадженим у 2021 році.
Taproot, оновлення Bitcoin 2021 року, створене для підвищення приватності та ефективності, зробило публічні ключі видимими на блокчейні за замовчуванням, знявши рівень захисту, який використовувався в старих форматах адрес. Дослідники Google зазначають, що цей дизайнерський вибір може збільшити кількість гаманців, уразливих до майбутніх квантових атак, оскільки розкриті публічні ключі усувають необхідність зломати хеш-функцію, що захищає застарілі адреси.
Результати суперечать недавнім оцінкам CoinShares, які стверджували, що лише близько 10 200 Bitcoin зосереджені настільки, щоб суттєво впливати на ринки у разі крадіжки. Аналіз Google показує, що кількість Bitcoin, що перебувають під ризиком, є значно більшою.
Google розкриває вразливості, використовуючи докази з нульовим знанням, щоб уникнути дорожніх карт атак
Google розробила новий підхід до розкриття досліджень квантової вразливості без надання зловмисникам дорожньої карти. Замість публікації покрокових інструкцій щодо зламу криптографічних систем команда застосувала доказ із нульовим знанням (Zero-Knowledge Proof), щоб продемонструвати точність своїх висновків без розкриття основного методу. Це дозволяє третім сторонам перевіряти результати, мінімізуючи ризик зловживання дослідженнями.
Компанія співпрацювала з урядом США у розробці цього підходу до розкриття і закликала інші дослідницькі колективи застосовувати подібні практики. Google зазначила, що розкриття вразливостей у технологіях блокчейну ускладнюється тим, що криптовалюти отримують цінність як із цифрової безпеки, так і з публічної довіри, а ненаукові оцінки ресурсів можуть самі по собі стати атакою через страх, невизначеність і сумнів.
Дослідження було проведено у співпраці з Stanford Institute for Blockchain Research, Ethereum Foundation і Coinbase, як частина ширших зусиль галузі щодо переходу на постквантову криптографію.
Рекомендації щодо міграції на постквантову криптографію
Робота Google містить рекомендації для криптовалютної спільноти щодо підвищення безпеки та стабільності перед тим, як квантові атаки стануть реальністю. Основна рекомендація — перейти на постквантову криптографію, яка є стійкою до квантових атак і є зрозумілим шляхом до безпеки постквантового блокчейну.
Додаткові рекомендації включають утримання від розкриття або повторного використання вразливих адрес гаманців, прискорення впровадження форматів адрес, що не розкривають публічні ключі до витрачання коштів, а також розгляд політичних заходів щодо покинутого криптовалютного майна, яке може стати вразливим.
Дослідники зазначають, що хоча існують життєздатні рішення на основі постквантової криптографії, їх впровадження у децентралізованих мережах потребує часу, що підвищує терміновість дій. Таймлайн Google на 2029 рік для корисних квантових систем є орієнтиром для міграції, а не неминучою загрозою, але оновлені оцінки ресурсів свідчать, що планувальний горизонт може бути коротшим, ніж раніше вважалося.
FAQ
Скільки кубітів потрібно для зламу криптографії Bitcoin?
Дослідники Google оцінюють, що для зламу еліптичної кривої криптографії, яку використовують Bitcoin і Ethereum, потрібно менше ніж 500 000 фізичних кубітів і приблизно 1 200–1 450 високоякісних логічних кубітів. Це приблизно у 20 разів менше за попередні оцінки, що сягали мільйонів.
Як оновлення Taproot у Bitcoin впливає на квантову вразливість?
Taproot, оновлення Bitcoin 2021 року, зробило публічні ключі видимими на блокчейні за замовчуванням, знявши рівень захисту, який використовувався в старих форматах адрес. Google оцінює, що це розширило кількість вразливих гаманців приблизно до 6,9 мільйона Bitcoin, включно з близько 1,7 мільйона Bitcoin з ранніх років мережі.
Як працює квантова атака на Bitcoin у реальному часі?
Зловмисник може цілитися у транзакції, що перебувають у процесі передачі, використовуючи публічний ключ, розкритий під час трансляції, щоб обчислити відповідний приватний ключ за допомогою достатньо швидкого квантового комп’ютера. За моделлю Google, атаку можна завершити приблизно за дев’ять хвилин, що потенційно обганяє 10-хвилинне вікно підтвердження у 41% випадків.
