2026 року чи потрібно все ще хвилюватися щодо квантової загрози? ARK Invest малює дорожну карту поступової еволюції ризиків

2026 рік березня, обговорення квантових обчислень та криптографічної безпеки знову активізувалися. Після запуску Google наприкінці 2024 року чипу Willow з 105 квантовими бітами, ринок досі відчуває тривогу щодо того, коли квантові комп’ютери зможуть зламати біткоїн. Нещодавно ARK Invest у співпраці з Unchained опублікували білу книгу, яка систематично відповідає на ці побоювання. На відміну від поширеного панічного сценарію «День Q», цей звіт пропонує п’ятиступеневу модель еволюції, яка стверджує, що загроза квантових обчислень для біткоїна буде поступовою, відслідковуваною та оборонною.

Чому загроза квантових обчислень для біткоїна переоцінена?

Поточна паніка навколо квантових технологій значною мірою виникає через неправильне розуміння їхнього стану. У звіті ARK Invest чітко зазначено, що ми перебуваємо на нульовому етапі п’ятиступеневої моделі — «існують квантові комп’ютери, але вони ще не мають застосувань, здатних створити комерційну цінність». Цей етап у науковій спільноті називають епохою NISQ — епохою середніх за масштабом квантових комп’ютерів з шумами.

З точки зору кількісних показників, для зламу алгоритму підпису на основі еліптичних кривих (ECDSA), що використовується у біткоїні, потрібно щонайменше 2330 логічних квантових бітів і десятки мільйонів або мільярди квантових гейт-операцій. На даний момент найсучасніші квантові процесори, наприклад Willow, мають близько 100 фізичних квантових біт і ще не досягли рівня помилкової толерантності. Порівняння «транзисторів у радіоприймачі та смартфонах» є доречним метафорою для розуміння розриву між сучасним рівнем технологій і порогом зламу.

Як визначає п’ятиступенева модель шлях еволюції квантової загрози?

Представлена ARK Invest п’ятиступенева модель дає ринку універсальну мову для відслідковування розвитку ризиків. Ці п’ять етапів базуються на інженерних закономірностях розвитку квантових обчислень і симетричній еволюції криптографічних протоколів.

Нульовий етап (зараз): існують квантові комп’ютери, але вони ще не мають комерційної цінності і не загрожують криптографії. Перший етап: квантові системи досягають комерційних проривів у хімії, матеріалознавстві тощо, але це не має безпосереднього впливу на криптосистеми. Другий етап: квантові комп’ютери здатні зламати слабкі ключі або застарілі системи шифрування — це перший прояв «квантових комп’ютерів, пов’язаних із криптографією» (CRQC), але цільові системи ще залишаються вразливими, окрім біткоїна з 256-бітовою ECC. Третій етап: теоретично квантові комп’ютери можуть зламати ECC, але з повільною швидкістю; у цей час найбільш вразливими стають адреси P2PK (з довгостроковою публічною частиною ключа). Четвертий етап: критична точка — швидкість зламу приватних ключів квантовими комп’ютерами перевищує 10-хвилинний час блока у мережі біткоїна; без оновлення протоколу біткоїн опиниться під загрозою виживання.

Які адреси піддаються ризику «збір — розшифрування»?

Обговорюючи квантову загрозу, потрібно розрізняти «пасивний ризик» і «активний ризик». На сьогодні більшість біткоїн-адрес — формати P2PKH, P2SH, P2WPKH, що починаються з 1, 3, bc1 — мають відкритий публічний ключ лише під час трансакції. Зломщики, щоб зламати їх за 10 хвилин, мають надзвичайно потужний обчислювальний ресурс, що виходить за межі сучасних можливостей.

Реальний ризик походить від ранніх адрес P2PK, створених у 2009–2010 роках, публічні ключі яких записані безпосередньо у блокчейні і залишаються відкритими назавжди. Це дозволяє зловмисникам застосовувати стратегію «збір — розшифрування» (Harvest Now, Decrypt Later): зараз масово завантажувати ці публічні ключі і чекати, поки квантові комп’ютери стануть достатньо потужними для зламу. За оцінками, у таких високоризикових адресах зберігається близько 2–4 мільйонів біткоїнів, зокрема близько 1,1 мільйона з гаманця Сатоші.

Чи зможе розвиток постквантової криптографії випередити зростання квантової обчислювальної потужності?

Це вирішальний гонитва за долю криптографічної інфраструктури. Звіт ARK дає більш оптимістичний прогноз: наразі розробка постквантової криптографії (PQC) йде швидше, ніж створення квантових комп’ютерів, здатних зламати біткоїн.

З 2025 по початок 2026 року у сфері PQC відбулися суттєві прориви. У 2024 році NIST офіційно опублікував стандарти FIPS 203 і FIPS 204, засновані на алгоритмах ML-KEM і ML-DSA. На щорічній конференції Real World Crypto Symposium у березні 2026 року науковці та індустрія продемонстрували здатність PQC до практичного застосування: реалізація Threshold ML-DSA вже працює у багатокористувацькому середовищі з затримкою під 750 мс; протокол Signal просуває покращення XHMQV для балансування обчислювального навантаження постквантових алгоритмів. Ці досягнення свідчать, що коли загроза квантових обчислень дійде до третього етапу, стандартизація та інженерна підготовка PQC вже будуть завершені.

Скільки часу потрібно для оновлення біткоїн-протоколу до постквантової безпеки?

Тривалість оновлення — ключовий фактор ризику. Співавтор BIP-360 раніше оцінював, що повне оновлення біткоїна до постквантової безпеки може зайняти близько семи років, включаючи розробку, консенсус спільноти, деплоймент м’якого форка і оновлення всіх вузлів.

З урахуванням сценаріїв ARK, у більш оптимістичному випадку квантові комп’ютери досягнуть третього етапу протягом 10–20 років; у песимістичному — технологічний прорив може статися раптово; у реалістичному — через технічні бар’єри прогрес може затриматися надовго. Навіть у найгіршому сценарії, у біткоїн-спільноти залишається час для швидких заходів — кілька пропозицій PQC можна швидко просунути у разі необхідності. Між семирічним періодом оновлення і більш ніж десятирічним вікном загрози існує відносно спокійна буферна зона, за умови, що розробники і спільнота вже зараз почнуть дослідження і тестування, а не чекатимуть сигналів третього етапу.

Чому загроза квантових обчислень для криптографії у месенджерах більш нагальна, ніж для біткоїна?

Часто забувають, що ризик для криптозв’язку у реальному часі може бути навіть більш безпосереднім. Експерти IBM нещодавно наголосили, що месенджери Signal, Threema та інші з енд-ту-енд шифруванням стикаються з нагальною проблемою «збір — розшифрування» у майбутньому.

Причина у тому, що протоколи обміну ключами у месенджерах відрізняються від біткоїна. Signal вже у 2023 році оновив протокол PQXDH для протидії майбутнім квантовим атакам на сесійні ключі; Threema співпрацює з IBM для інтеграції алгоритмів ML-KEM за стандартами NIST. У той час як у біткоїна основний тиск — на оновлення підпису, що можна поступово впроваджувати через адреси, — у месенджерах ризик у тому, що історичні повідомлення можуть бути масово зібрані і згодом розшифровані, що неминуче завдасть шкоди приватності. Це робить перехід на PQC у сфері криптозв’язку більш нагальним.

Як ринок має інтерпретувати ціну квантових ризиків у 2026 році?

З точки зору цінового аналізу, у 2026 році квантові ризики не стануть головним фактором для оцінки криптоактивів. У своєму «Прогнозі цифрових активів на 2026 рік» GrayScale чітко зазначає, що загроза квантових обчислень навряд чи вплине на ціну криптовалют до 2026 року, а роботи DARPA та інших організацій з тестування квантових систем свідчать, що квантові комп’ютери, здатні зламати криптографію, ще дуже далекі.

Але «відсутність впливу на ціну» не означає «відсутність уваги». Ринкова ціна ризиків зазвичай закладається заздалегідь — коли квантові обчислення перейдуть до другого етапу (злом слабких систем), ринок офіційно почне враховувати цю загрозу; при переході до третього етапу (злом ECC) ризик стане очевидним. Стратегія розумної підготовки — створити систему моніторингу прогресу PQC у період «ризикової вакуумної» 2026 року, а не чекати сигналів третього етапу і реагувати вже пізно.

Висновки

Вплив квантових обчислень на криптографічні мережі — це, по суті, епоха оновлення криптографічної інфраструктури. Переформулювати загрозу у вигляді «послідовного, відслідковуваного процесу» — не для зменшення тривоги, а для обґрунтованого планування захисних заходів.

Зараз головне — активізувати заходи: по-перше, стимулювати активну міграцію високоризикових адрес (P2PK), що залишилися; по-друге, продовжувати стандартизацію протоколів PQC, зокрема, розглядати пропозиції на кшталт BIP-360, залучати широку спільноту і тестові мережі; по-третє, створювати міжгалузеві механізми співпраці, переймаючи досвід Signal, Threema та інших у сфері PQC.

«День Q» не настане раптово, але й не зникне назавжди. Кожен етап — від 0 до 4 — є результатом симетричної гри між технічним співтовариством і зловмисниками. Чи зможе криптоіндустрія перемогти у цій марафонській гонці — залежить від вибору сьогодні: чи вважати квантову загрозу далекою фантастикою і відкласти її, чи включити її до дорожньої карти на наступне десятиліття і поступово будувати захисні механізми.

FAQ

Запитання: Що таке «День Q»? Чи справді він станеться?

Відповідь: «День Q» — це гіпотетичний момент, коли квантові комп’ютери стануть достатньо потужними, щоб зламати сучасні системи відкритого ключа. Аналіз ARK Invest показує, що ця подія не станеться раптово, а буде поступовим процесом, що наближається через послідовність технічних проривів, і спільнота матиме достатньо часу для підготовки.

Запитання: Чи безпечні мої біткоїни зараз? Потрібно їх переказувати?

Відповідь: Більшість сучасних адрес (наприклад, P2WPKH, P2TR) є безпечними протягом щонайменше 10–20 років. Якщо у вас є біткоїни на адресах до 2011 року (P2PK), рекомендується їх переїхати на сучасні адреси.

Запитання: Як оновити мережу біткоїна до постквантової безпеки?

Відповідь: Основний спосіб — через м’який форк із впровадженням постквантових підписів, наприклад, за пропозицією BIP-360. Це дозволить зберегти сумісність із існуючою моделлю UTXO, але вимагає поступового переказу активів на нові адреси.

Запитання: Що буде першим атакованим?

Відповідь: З технічної точки зору, злом слабких систем шифрування (другий етап) буде швидшим, ніж злом ECC біткоїна (третій етап). З практичної точки зору, ризик для месенджерів — «збір і розшифрування» історії повідомлень — є більш нагальним, ніж для біткоїна, оскільки історичні повідомлення можуть бути масово зібрані і згодом розшифровані.

Дані: Вказані пороги квантових бітів, класифікація адрес і часові рамки еволюції базуються на відкритих дослідженнях і стандартах станом на 13 березня 2026 року. Ціни на криптоактиви — за даними Gate у реальному часі.