Квантовый компьютер взломал небольшой ключ в стиле Биткоина, и индустрия должна перестать делать вид, что это просто научная фантастика

Небольшая демонстрация с большими последствиями

Квантовый компьютер взломал 15-битный ключ криптографии на эллиптических кривых — упрощённую версию криптографической системы, которая используется для защиты Биктоин, Ethereum и значительной части экономики цифровых активов.

Результат был объявлен квантовой компанией по безопасности Project Eleven, которая присудила приз в один Биктоин «Q-Day Prize» независимому исследователю Джанкарло Лелли. Лелли использовал общедоступное квантовое оборудование для получения закрытого ключа из соответствующего открытого ключа с помощью варианта алгоритма Шора — квантового алгоритма, давно считающегося потенциальной угрозой для криптографии с открытым ключом.

Результат был объявлен квантовой компанией по безопасности Project Eleven, источник: X

Важная оговорка одновременно является и очевидной: Биктоин не взломан. 15-битный ключ на эллиптической кривой далеко не сопоставим с 256-битной криптографией secp256k1, используемой в Биктоин. Разница в масштабе огромна. 15-битный ключ имеет 32 768 возможных значений. 256-битный ключ имеет примерно 1,16 × 10^77 возможных значений. Эти две цифры не стоит приводить в одном предложении без предупреждающей пометки.

Тем не менее результат важен, поскольку он является публичной демонстрацией класса атак, который при достаточном масштабе создаёт угрозу для подписей на эллиптических кривых. Project Eleven охарактеризовала это как крупнейшую публичную квантовую атаку на криптографию эллиптических кривых на сегодняшний день и заявила, что это представляет собой 512-кратный скачок по сравнению с предыдущей шестибитной демонстрацией в 2025 году.

«Требования к ресурсам для этого типа атак продолжают снижаться, и барьер для их практического применения снижается вместе с ними», — сказал Алекс Прюден, генеральный директор Project Eleven. «Победившая работа была подготовлена независимым исследователем, работающим на облачном оборудовании. Никакой национальной лаборатории, никакого частного чипа».

Именно это заслуживает серьёзного внимания. Эксперимент не подвергает средства Биктоин непосредственному риску. Однако он демонстрирует, что квантовые атаки на лежащее в основе криптографическое семейство больше не ограничены досками для записей и конференц-залами. Теперь они демонстрируются в миниатюре на общедоступных системах.

Биктоин не взломан, но некоторые монеты более уязвимы, чем другие

Квантовый риск для Биктоин часто понимается неверно. Главная проблема — не майнинг, не система доказательства работы и не исторический реестр. Центральный вопрос — цифровые подписи.

Владение Биктоин подтверждается через подписи. Если злоумышленник сможет вывести закрытый ключ из открытого, он сможет авторизовать транзакцию, как будто владеет монетами. Классические компьютеры не способны сделать это против нынешней криптографии Биктоин в какие-либо практически разумные сроки. Достаточно мощный квантовый компьютер, работающий по алгоритму Шора, теоретически мог бы.

Это различие создаёт важное разделение в профиле риска Биктоин. Монеты, находящиеся на адресах, где открытый ключ ещё не был раскрыт, сложнее атаковать. Монеты на адресах, где открытый ключ уже виден в блокчейне, более подвержены будущим квантовым атакам. Сюда входят старые выходы pay-to-public-key, повторно используемые адреса и другие действия с кошельком, раскрывающие открытые ключи.

В недавнем документе Консультативного совета Coinbase по квантовым технологиям оценивается, что около 6,9 млн BTC попадают в эту более уязвимую категорию. При торговле Биктоин вблизи 77 500 $, это подразумевает более 530 млрд $ в BTC, находящихся на адресах, которые могут стать актуальными в будущей модели квантовой угрозы.

Это число не следует читать как «530 млрд $ вот-вот будут украдены». Его следует воспринимать как карту того, где сосредоточена долгосрочная уязвимость. Непосредственный риск остаётся низким, поскольку современные квантовые компьютеры недостаточно мощны и надёжны, чтобы взломать 256-битные подписи на эллиптических кривых Биктоин. Однако проблема уязвимых адресов реальна, измерима и распределена по сети неравномерно.

Brave New Coin ранее рассматривал это различие в материале «Биктоин сталкивается с долгосрочной квантовой угрозой по мере того, как исследователи продвигают постквантовые обновления», отметив, что риск связан не столько с тем, сможет ли Биктоин технически адаптироваться, сколько с тем, сможет ли децентрализованная сеть скоординировать миграцию своевременно.

Исследования Google сделали временные рамки менее комфортными

Результат Project Eleven также появляется после более весомого предупреждения от команды Google Quantum AI. В марте исследователи Google опубликовали статью о защите криптовалют на эллиптических кривых от квантовых уязвимостей, утверждая, что будущим квантовым компьютерам может потребоваться меньше ресурсов, чем предполагалось ранее, для атаки на криптографию эллиптических кривых, используемую в крупных блокчейнах.

В статье оценивается, что атака на 256-битную криптографию эллиптических кривых на secp256k1 может быть проведена менее чем с полумиллионом физических кубитов при определённых допущениях, касающихся сверхпроводящих архитектур, физических показателей ошибок и планарной связности. Это по-прежнему далеко за пределами возможностей нынешнего публичного квантового оборудования. Но это переводит дискуссию от расплывчатого языка «когда-нибудь» к конкретным оценкам ресурсов.

Google также заявила, что проверила чувствительные результаты с использованием доказательства с нулевым разглашением без раскрытия полных схем атаки. Эта деталь важна. Она сигнализирует о том, что ведущие исследователи начинают рассматривать квантовый риск для криптовалют не как абстрактные рассуждения, а скорее как проблему раскрытия информации о безопасности.

Более широкий мир кибербезопасности уже начал двигаться в этом направлении. Национальный институт стандартов и технологий США завершил разработку первых постквантовых стандартов криптографии в 2024 году, включая ML-KEM, ML-DSA и SLH-DSA. NIST заявил, что эти стандарты готовы к внедрению. Правительства и крупные предприятия теперь составляют временны́е планы миграции, поскольку криптографические переходы занимают годы, а не месяцы.

Крипто-отрасли следует обратить на это внимание. Индустрия умеет быстро двигаться, когда появляется новый нарратив вокруг токена. Она менее последовательна, когда работа предполагает медленные технические обновления инфраструктуры без немедленной маркетинговой отдачи.

Сложная часть — не математика

Биктоин почти наверняка можно сделать более устойчивым к квантовым атакам. Постквантовые схемы подписи существуют. Исследователи уже изучают способы внедрения квантово-устойчивых форматов адресов, новых опкодов подписи и поэтапных путей миграции.

Сложный вопрос — управление. Биктоин намеренно трудно изменить. Этот консерватизм является одной из его сильных сторон. Он предотвращает безрассудные эксперименты и защищает доверие к денежной системе. Но это также означает, что крупные криптографические обновления требуют длительной подготовки, широкого консенсуса, тщательной проверки и осторожной активации.

Это создаёт несоответствие. Прогресс квантового оборудования может быть нелинейным. Управление Биктоин намеренно медленное. Если сеть будет ждать, пока угроза станет очевидной, она может обнаружить, что доступное окно для реагирования сузилось.

Наиболее сложный вопрос может касаться спящих или утерянных монет. Если некоторые монеты остаются на уязвимых адресах с открытым ключом и никогда не будут перемещены, что должна делать сеть? Оставить их в покое и принять возможность того, что будущий квантовый злоумышленник сможет их взять? Поощрять добровольную миграцию и принять остаточный риск? Рассмотреть ограничения на уровне протокола для уязвимых выходов? Каждый вариант сопряжён с компромиссами, и ни один из них не будет политически простым.

Именно поэтому квантовую дискуссию не следует сводить к бинарному спору о том, безопасен ли Биктоин сегодня. Он безопасен сегодня. Это не то же самое, что быть готовым. Обоснованная позиция состоит в том, что у Биктоин есть время, но время полезно только тогда, когда оно используется с умом.

Ethereum и другие блокчейны сталкиваются с аналогичными вопросами

Биктоин не одинок. Ethereum также полагается на криптографию эллиптических кривых, а сети с доказательством доли владения (POS) создают дополнительную уязвимость через подписи валидаторов. В документе Coinbase отмечается, что цепочки POS имеют специфические риски, связанные со схемами подписи, которые валидаторы используют для защиты сетей.

У Ethereum может быть более простой путь в некоторых отношениях, поскольку его культура управления более открыта к изменениям протокола. Ethereum Foundation уже поставила постквантовую безопасность выше в своей исследовательской повестке — сдвиг, о котором Brave New Coin писал в материале «Ethereum делает полную ставку на постквантовую безопасность». Это не делает Ethereum иммунным. Это просто означает, что социальный процесс вокруг обновлений другой.

Культура обновлений Биктоин более консервативна, и на то есть веские причины. Но тот же консерватизм, который защищает Биктоин от ненужных изменений, может также замедлять необходимые изменения. Таков компромисс. Его следует обсуждать открыто, а не скрывать за лозунгами.

Для бирж, кастодианов, провайдеров кошельков, майнеров, разработчиков и долгосрочных держателей практическая повестка становится всё более чёткой. Определить уязвимые активы с открытым ключом. Сократить повторное использование адресов. Улучшить гигиену кошелька. Протестировать постквантовые схемы подписи. Смоделировать влияние более крупных подписей на размер транзакций, комиссии и пространство блоков. Начать диалог об управлении до того, как срочность лишит возможности тщательного проектирования.

Ничто из этого не требует паники. Но это требует серьёзности.

Сигнал становится всё труднее игнорировать

15-битная квантовая демонстрация не является прямой угрозой криптографии Биктоин. Любой, кто представляет это именно так, преувеличивает результат. Но полностью отмахнуться от него было бы столь же несерьёзно.

Риски безопасности обычно становятся опасными задолго до того, как становятся срочными. Ранние признаки носят технический, постепенный характер и легко игнорируются. Небольшой ключ взломан. Оценки ресурсов снижаются. Облачное оборудование совершенствуется. Органы по стандартизации начинают работу по миграции. Крупные технологические компании начинают публиковать осторожные предупреждения. Каждое отдельное событие можно объяснить. Вместе они образуют тенденцию.

Ценностное предложение Биктоин частично основывается на идее, что он способен просуществовать десятилетия. Это означает, что необходимо серьёзно относиться к рискам масштаба десятилетий. Постквантовое планирование — это не атака на Биктоин. Это часть поддержания доверия к Биктоин.

Правильный вывод из результата Лелли состоит не в том, что Биктоин взломан. Он в том, что индустрия получила ещё одно напоминание о том, что у криптографии есть срок годности и что планирование миграции проще до того, как крайний срок становится видимым.