9 минут для взлома биткоина? Границы и неправильное понимание белой книги о квантовых вычислениях Google

文：Макс Хэ @ Safeheron Lab

Ключевой вывод этой статьи

• Белая книга Google заметно продвинула инженерную оценку квантовых рисков, но не доказала, что CRQC уже близка к реальному практическому внедрению

• Падение оценок по ресурсам ≠ готовность реальных возможностей атаки: между этим по-прежнему остаётся множество невыполненных инженерных задач

• Отрасли нужно развивать не только способность «использовать постквантовые алгоритмы», а способность «справляться с постоянными изменениями в криптографии»

• 2030–2035 — это ключевое окно для планирования миграции “от обратного”, а не точный момент, когда придут квантовые атаки

30 марта 2026 года исследователи Google Quantum AI совместно с исследователями из Фонда Ethereum и Стэнфордского университета опубликовали важную белую книгу [1]. Эта работа на 57 страницах системно анализирует угрозы, которые квантовые вычисления несёт криптовалютам, и даёт самые на данный момент агрессивные оценки ресурсов: для взлома 256-битной эллиптической кривой криптографии, на которой основаны Bitcoin и Ethereum, потребуется менее 500k физических квантовых бит — это сокращает предыдущие лучшие оценки примерно в 20 раз.

При этом статья расширяет обсуждение квантовых атак — от Bitcoin до всей экосистемы криптовалют, дополнительно указывая, что потенциальные поверхности квантовой атаки существуют и в механизмах Ethereum, таких как смарт-контракты, консенсус стейкинга и выборки доступности данных. Это означает, что обсуждаемая в этой белой книге проблема уже не сводится к одному вопросу: «может ли быть взломан квантовыми методами биткойн-личный ключ?»; речь идёт о том, что вся отрасль должна заново пересмотреть: когда возможности атак в связи с эволюцией квантовых возможностей растут, какие допущения по безопасности для существующих блокчейн-систем могут потребовать повторной оценки.

Белая книга вызвала в блокчейн-индустрии заметный резонанс. Фраза «квантовые вычисления могут взломать Bitcoin за несколько минут» быстро распространилась, заставив многих практиков по-новому оценить устоявшиеся предположения о безопасности. Сильная реакция связана не только с дальнейшим снижением оценок ресурсов: дело ещё и в том, что впервые «атака на окно транзакций в цепи» и «успеет ли блокчейн-система завершить миграцию» были помещены в одну плоскость обсуждения. Проблема перестала быть только академическим вопросом «можно ли взломать», а стала вопросом инженерии и управления: «осталось ли достаточно времени, чтобы подготовиться».

Но за этими эмоциями есть более важный вопрос: что именно Google доказала на практике? А что — не доказала? Насколько эта работа изменила наше понимание квантовых рисков?

Важно отметить, что влияние этой белой книги не ограничивается проблемой раскрытия ключей в духе Bitcoin, а распространяется на более широкий вектор атаки для систем криптовалют. Однако в этой статье больше внимания уделяется изменениям в общей оценке квантовых рисков, которые приносит эта работа, а не детальному разбору конкретного влияния различных механизмов на уровне цепочки.

1 Что именно Google сделала на этот раз?

1.1 ECDLP: базовое допущение безопасности блокчейна

Безопасность текущих основных криптовалют опирается на задачу дискретного логарифмирования на эллиптических кривых (ECDLP) [2]. Например, в случае кривой secp256k1, которую используют Bitcoin и Ethereum [3], ключевое допущение таково: при классических условиях вычислений, имея открытый ключ (точку на эллиптической кривой), невозможно за разумное время вывести соответствующий приватный ключ.

Это допущение десятилетиями широко принималось и составляет основу всех базовых предпосылок безопасности блокчейн-систем. Однако алгоритм Шора [4] указывает, что в идеализированной модели квантовых вычислений ECDLP можно решать эффективно, тем самым теоретически подрывая эту основу безопасности.

1.2 Оценка ресурсов: сколько квантовых вычислений нужно для взлома

Ключевая часть работы Google заключается не в предложении нового типа атаки, а в повторном ответе на давно существующий вопрос: если в будущем удастся создать достаточно крупный, достаточно стабильный квантовый компьютер, способный запускать такие квантовые алгоритмы, то какие вычислительные ресурсы потребуются для взлома ECDLP?

Команда в статье конструирует и оптимизирует квантовую схему для secp256k1 и предлагает два различных направления оптимизации: один подход — как можно сильнее снизить число логических квантовых бит, другой — как можно сильнее уменьшить число не- Clifford-ворот (например, Toffoli-ворот). При заданном наборе ясных аппаратных и предположений по коррекции ошибок эти схемы можно выполнить в масштабе менее 500k физических квантовых бит.

По сравнению с прежними основными оценками ресурсов [5][6] это решение заметно улучшает показатель «пространственно-временного объёма» (spacetime volume). Более того, оно переводит ранее в значительной степени теоретическое обсуждение в набор инженерных параметров, которые можно сравнивать и за которыми можно наблюдать.

1.3 «9 минут»: откуда берётся это число

Помимо оценки ресурсов, в статье также приводится интуитивная оценка порядка времени атаки.

При допущении, что время операции квантовых ворот составляет микросекундный уровень, и с учётом определённых накладных расходов полное выполнение соответствующей квантовой схемы занимает примерно порядка десятков минут — в частности, около нескольких. С учётом того, что часть вычислений в квантовом алгоритме можно выполнить заранее, до появления целевого публичного ключа, собственно вычисления, связанные с конкретным целевым публичным ключом, можно сжать примерно до половины времени, что даёт оценку «около 9 минут».

Это число привлекло широкое внимание, потому что оно близко к средней длительности блока Bitcoin — примерно 10 минут. Это означает, что при некоторых допущениях злоумышленник теоретически может восстановить приватный ключ до подтверждения транзакции.

Нужно подчеркнуть, что эта оценка времени зависит от целого набора идеализированных предпосылок; её смысл — главным образом дать ориентир по порядку величин, а не прямое отражение реальной способности к атакам.

1.4 Нулевое разглашение (zero-knowledge proof): почему не публикуют схемы

Ещё одной важной особенностью статьи является то, что, не раскрывая конкретные квантовые схемы, она вводит механизм «проверяемого раскрытия» [7].

Исследовательская команда фиксирует схему через хэш-обязательство (commitment) и в публичной процедуре верификации проверяет поведение схемы на наборе случайных входов, одновременно подтверждая верхнюю границу по ресурсам. Весь процесс верификации упакован в нулевое доказательство, позволяющее любому третьему лицу подтвердить корректность соответствующих заявлений без доступа к деталям схемы.

Этот подход находит баланс между «защитой деталей атаки» и «повышением доверия к выводам», а также делает оценку ресурсов не просто утверждением исследователей, а формой проверяемости в криптографическом смысле.

2 Как понимать эту историю?

Прежде чем углубляться в понимание этих результатов, стоит сначала прояснить один термин.

В статье многократно упоминается CRQC (Cryptographically Relevant Quantum Computer）. Это выражение при дословном переводе означает «криптографически значимый квантовый компьютер», но это не общее название для квантовых компьютеров; речь идёт о квантовых системах, которые уже обладают реальными возможностями криптоанализа. Иными словами, именно то, когда такие системы достигнут уровня, достаточного для взлома криптографических задач вроде ECDLP в реальных условиях, действительно важно для блокчейн-отрасли — а не сам факт того, что квантовые вычисления продолжают развиваться.

С этой точки зрения значение работы Google — не только показать прогресс квантовых вычислений как таковой, но и более конкретно ответить на вопрос: какого масштаба ресурсов, вычислительных возможностей и временных характеристик должна достигнуть квантовая система, чтобы действительно угрожать реальным криптографическим системам.

В частности, этот вопрос можно рассматривать по трём измерениям: исполняющие характеристики квантовой вычислительной системы, возможные различные траектории эволюции технологий и то, какие именно виды атак в итоге соответствуют этим возможностям.

2.1 Быстрые часы и медленные часы: квантовый компьютер — не один-единственный

Одним из важных взглядов, предложенных в статье, является различение типов квантовых вычислительных архитектур.

Некоторые платформы (например, сверхпроводниковые квантовые биты) имеют более быстрые базовые скорости операций, более короткие циклы коррекции ошибок и потому способны выполнять глубокие схемы за более короткое время; в то время как другие платформы (например, ионные ловушки [14] или нейтральные атомы) работают медленнее, но в других аспектах могут иметь преимущества.

Эти различия означают, что «квантовая вычислительная мощность» — это не один-единственный показатель. При одинаковом масштабе квантовой системы в разных архитектурах реальная атакующая способность по криптографической задаче может отличаться на порядки.

Отличия в характеристиках выполнения напрямую влияют на то, как и в каком временном структуре формируется CRQC: одни системы ближе к выполнению вычислений в пределах короткого временного окна, другие — лучше подходят для длительного выполнения.

2.2 Две возможные траектории эволюции

На основе различий в архитектурах можно рассмотреть траектории развития квантовых возможностей.

Один сценарий: квантовые системы с более быстрым выполнением первыми достигают уровня устойчивости к ошибкам; в таком случае основной риск будет связан с реальными атаками в режиме реального времени на транзакции в цепи (например, восстановление приватного ключа до подтверждения транзакции). Другой сценарий: более медленная, но более стабильная система первой совершает прорыв; тогда атаки с большей вероятностью будут концентрироваться на публичных ключах, которые долгое время оставались раскрытыми, например на исторических адресах или на ключах, которые повторно используются.

Эти два пути не исключают друг друга, но соответствующая структура рисков по времени и акценты на защиту заметно различаются.

С этой точки зрения появление CRQC не обязательно означает наличие единственной чёткой даты, а скорее может проявляться как процесс постепенного накопления разных возможностей.

2.3 Три типа атак

В рамках описанной логики квантовые атаки можно в общих чертах разделить на три категории.

Первая — «атака во время расходования» (on-spend attack): восстановление приватного ключа в окне времени после того, как транзакция попадает в mempool, но до того, как она будет записана в блок. Вторая — «атака в состоянии покоя» (at-rest attack): атаки на публичные ключи, которые уже давно раскрыты в цепи — у злоумышленника при этом есть больше времени на вычисления. Третья — «атака на этапе настройки» (on-setup attack): атаки на протоколы, зависящие от некоторых общих параметров, когда однажды выполненное квантовое вычисление даёт полезный скрытый бэкдор, который можно повторно использовать.

Общее у всех трёх типов атак в том, что они зависят от одной базовой способности — решать ECDLP в пределах допустимого времени, но зависимости от временного окна и структуры системы у них различаются.

По сути, эти три категории — это разные проявления одной и той же вещи: когда квантовые вычислительные возможности достигают уровня, который представляет CRQC, конкретные эффекты для разных условий системы и ограничений по времени определяются именно этими условиями.

3 Насколько далеко до реальных квантовых атак?

3.1 Эта белая книга не доказывает ничего из того, что всем бы хотелось считать доказанным

Нужно подчеркнуть: хотя эта белая книга заметно продвигает инженерную оценку квантовых рисков, она не доказывает, что CRQC уже близка к реальному внедрению, и не доказывает, что в ближайшем будущем существующие блокчейн-системы столкнутся с реальными, практически осуществимыми квантовыми атаками.

То, что реально делает статья, — в заданном наборе предположений дополнительно сжимает оценку ресурсов, необходимых для взлома secp256k1, и переводит обсуждение рисков, которое ранее оставалось более абстрактным, в позицию, более удобную для инженерной оценки. Она доказывает: соответствующие вопросы стали более конкретными, чем раньше считалось, и потому их нужно продолжать отслеживать; но она не доказывает, что масштабные отказоустойчивые квантовые системы, поддерживающие такие атаки, уже находятся буквально «под рукой».

3.2 Потребности в ресурсах снижаются, но инженерное расстояние всё ещё заметно

Если говорить дальше, между тезисом «квантовый алгоритм в теории способен взломать ECDLP» и тем, что в реальном мире появится достаточно мощная квантовая вычислительная способность для угрозы криптографической системе, нет лишь простого вопроса «масштабирования инженерными методами». Реальное решение вопроса о том, сможет ли квантовая атака дойти до практики, зависит не только от чисел из оценок ресурсов на бумаге, но и от отказоустойчивой архитектуры, коррекции ошибок, оперативного декодирования, систем управления и общей системной способности, нужной для длительного стабильного выполнения глубоких схем.

Часть этих условий действительно относится к инженерной реализации; но их нельзя просто свести к пониманию «если продолжать вкладываться, то рано или поздно всё само решится». Хотя квантовая коррекция ошибок и отказоустойчивая вычислительная техника в теории дают масштабируемые траектории, в реальном мире существует заметная неопределённость: сумеют ли эти условия быть действительно интегрированы в квантовую систему CRQC, которую можно будет устойчиво и непрерывно эксплуатировать и которая сможет угрожать реальным криптографическим системам.

С этой точки зрения более точный смысл белой книги Google не в том, что она объявляет о приближении квантовых атак, а в том, что она впервые даёт отрасли возможность обсуждать этот риск через более конкретные инженерные параметры, одновременно напоминая: снижение оценок ресурсов не следует автоматически приравнивать к готовности реальной атакующей способности.

3.3 Это не вопрос, удобный для точного предсказания года

Именно поэтому приход квантовых атак не стоит понимать как дату, которую можно точно предсказать. Для блокчейн-отрасли важнее всего не то, «в каком году точно появится CRQC», а то, движутся ли соответствующие возможности в сторону, которая становится всё более тревожной.

С одной стороны, ключевые прорывы могут за короткое время существенно изменить требования к ресурсам; с другой — даже казавшиеся близкими технологические маршруты могут надолго застревать перед некоторыми фундаментальными узкими местами. Это означает, что невозможно по линейной экстраполяции вроде «в этом году столько-то квантовых бит, в следующем столько-то» понять, когда именно появится реальная атакующая способность.

Поэтому более надёжное понимание этой темы — не пытаться делать ставку на один точный год, а признавать высокую неопределённость и сосредоточиться на тех базовых сигналах, которые действительно изменят оценку риска.

3.4 Самое тревожное: предупреждающие сигналы могут быть неочевидными

Отсюда следует, что сообществу не стоит ожидать получения ясного предупреждающего сигнала через единственную «публичную демонстрацию квантовой атаки».

Многие склонны воспринимать публичные демонстрации как признак зрелости технологии: мол, пока в реальном мире не увидели демонстрацию, значит до реальной угрозы ещё далеко. Но применительно к вопросу квантового криптоанализа такая интуиция может не сработать. Когда появятся некоторые знаковые демонстрации, соответствующие возможности могли уже долго накапливаться на более глубинных участках технологической цепочки, и окно возможностей для защиты могло уже заметно сузиться.

Для блокчейн-отрасли это как раз самая трудная часть: важные изменения могут разворачиваться не в виде ясного, постепенного и заметного внешнему наблюдателю процесса.

4 Как оценивать прогресс в квантовых технологиях?

4.1 Не смотрите только на количество квантовых бит

Если глава 3 отвечает на вопрос «примерно где мы сейчас находимся», то следующий вопрос такой: на что смотреть дальше, чтобы точнее оценивать прогресс в квантовых технологиях.

Самый легко распространяемый и наиболее часто неверно понимаемый показатель — число квантовых бит. Оно наглядно и заметно, но для оценки реальной атакующей способности оно далеко не единственный, и даже не самый ключевой показатель. Просто наращивать число физических квантовых бит автоматически не означает, что система приближается к реальной атакующей способности.

На самом деле важнее другое: могут ли эти квантовые биты быть эффективно организованы в условиях отказоустойчивости; могут ли они стабильно поддерживать выполнение глубоких схем; и образуют ли они замкнутый контур вместе с алгоритмами и системами управления. Для отрасли «сколько квантовых бит» максимум показывает изменение масштаба, но само по себе не говорит о приближении реальной угрозы.

4.2 По-настоящему заслуживают внимания три категории сигналов

Чтобы построить относительно практичный фреймворк для оценки прогресса в квантовых технологиях, можно сосредоточиться на трёх категориях сигналов.

Первая — это сигналы по аппаратному обеспечению. Здесь важнее всего не просто число физических квантовых бит, а то, появляются ли стабильные логические квантовые биты, находится ли коррекция ошибок на стадии, которую можно масштабировать, и может ли система продолжать работать при выполнении условий коррекции ошибок.

Вторая — сигналы по алгоритмам. Сама белая книга Google — типичный пример. Для блокчейн-отрасли полезнее следить не за одним конкретным числом как таковым, а за тем, продолжаются ли снижаться оценки ресурсов в долгосрочной динамике: уменьшается ли число логических квантовых бит, уменьшается ли число операций ключевых ворот, продолжает ли сходиться (сжиматься) общий пространственно-временной объём.

Третья — сигналы по системе. Их часто проще всего упустить из виду. Даже если аппаратура и алгоритмы улучшаются, всё равно нужно увидеть, как созревают системные возможности: возможность длительно и стабильно выполнять глубокие схемы, масштабируемость системы управления и то, начинают ли одновременно выполняться несколько ключевых условий. Реальная атакующая способность в итоге зависит не от одного показателя, а от того, могут ли эти условия собраться в единую замкнутую инженерную траекторию.

4.3 Публичные демонстрации можно использовать как ориентир, но нельзя считать единственным сигналом

Многие естественно ожидают некоторый «знаковый момент»: например, конкретная экспериментальная платформа публично демонстрирует запуск соответствующего алгоритма на малом масштабе на квантовой кривой — и тогда все воспринимают это как сигнал того, что риск действительно начал проявляться.

Такие сигналы, конечно, имеют ценность, но они не подходят в качестве единственной основы для оценки. С точки зрения развития технологий публичная демонстрация часто лишь демонстрирует результат, а не отражает самое раннее изменение. Более важным остаётся то, есть ли уже постепенное накопление базовых условий, о которых говорилось выше.

Для отрасли более реалистичный подход — не ждать драматического момента, а выработать привычку к постоянному мониторингу: смотреть, вошла ли аппаратура в новую стадию, продолжается ли сжатие алгоритмических требований к ресурсам и движется ли системная способность от «разрозненных улучшений» к «целостному оформлению». По сравнению с вопросом «когда увидим демонстрацию», более важно спросить: поняли ли мы до демонстрации, в каком направлении действительно развивается технология.

5 Как оценивать прогресс в квантовых технологиях?

5.1 Это не «проблема прямо сейчас», но готовиться нужно начинать уже сейчас

С инженерной точки зрения квантовые вычисления пока не обладают возможностями, чтобы атаковать существующие системы криптовалют. И на уровне аппаратного масштаба, и по управлению ошибками, и по способности длительно стабильно выполнять глубокие схемы — существует заметный разрыв с теми условиями, которые подразумевает статья.

Но это не означает, что отрасль может продолжать бесконечно откладывать работу над этой проблемой. В отличие от прошлого, важное изменение состоит в том, что связанные технологические пути стали всё более ясными, а оценки ресурсов продолжают сходиться. Для блокчейн-систем важно не какое-то конкретное время как таковое, а то, достаточно ли уже предусмотрено времени и пространства для будущей миграции.

Обновление криптографической инфраструктуры обычно не является разовой заменой ПО. Оно затрагивает протоколы, реализацию, согласование в экосистеме, миграцию активов и изменения в привычках пользователей; временной масштаб обычно измеряется годами, а не месяцами или кварталами. С этой точки зрения это не задача «которая взорвётся прямо сейчас», но уже задача, которую необходимо как можно раньше включить в планирование.

5.2 Алгоритмы будут меняться, но конструкцию блокчейн-системы не нужно переворачивать

То, что квантовые вычисления непосредственно подрывают, — это криптографические допущения, на которых построены блокчейн-системы (например, подписи на основе эллиптических кривых), а не проблема как таковая, с которой сталкивается блокчейн-система как класс безопасной системы.

Это означает, что многие механизмы безопасности, которые уже показали эффективность, не потеряют ценности из-за появления квантовых вычислений. Для блокчейн- и цифровых активов независимо от того, речь про управление ключами, многопартийные вычисления (MPC), изоляцию на уровне аппаратного обеспечения (TEE), контроль полномочий, механизмы аудита или общую архитектуру безопасности, построенную вокруг учётных записей, утверждения транзакций, управления рисками и управления — эти решения продолжают закрывать реальные проблемы: раскрытие ключей, единую точку отказа, внутренние риски и ошибки при операциях. Эти проблемы не исчезнут из-за изменения базовых криптографических примитивов.

Поэтому более разумное понимание — не «в квантовую эпоху нужно полностью перевернуть всю систему безопасности блокчейна и построить заново», а: нужно сначала обновить компоненты базовой криптографии; а нужно сохранить и усилить — это принципы проектирования блокчейн-системы в части защиты ключей, многоуровневой сегментации полномочий, изоляции рисков и управления контролем. По-настоящему важное — не просто заменить один конкретный алгоритм подписи, а обеспечить, чтобы вся система могла нести такую криптографическую миграцию.

5.3 От «какой алгоритм выбрать» к «можно ли выполнить плавную миграцию»

Текущая постквантовая криптография уже вошла в фазу стандартизации и инженерного внедрения. Первые PQC-стандарты под руководством NIST были официально опубликованы в 2024 году [12], однако между разными подходами по-прежнему есть заметные различия в производительности, размере подписи, сложности реализации и криптографических допущениях; инженерная практика и пути принятия в отрасли тоже продолжают эволюционировать.

В такой ситуации более важный вопрос по сравнению с преждевременной ставкой на какой-то конкретный алгоритм меняется: есть ли у системы способность к плавной миграции.

Эта способность включает несколько аспектов: можно ли, не нарушая непрерывность бизнес-процессов, внедрять новые схемы подписи; можно ли поддерживать гибридный режим на протяжении некоторого времени; и сможете ли вы продолжать адаптировать и сохранять совместимость, пока стандарты и инженерные практики продолжают развиваться.

В долгосрочной перспективе блокчейн-отрасли по-настоящему нужно построить не только «возможность внедрения постквантовых алгоритмов», а «возможность справляться с продолжающимися изменениями в криптографии». Первое — это одна миграционная волна; второе — это дизайн системы, который может оставаться устойчивым и долгосрочным.

6 Заключение: важный технический сигнал

С точки зрения сегодняшней инженерной реальности квантовые вычисления всё ещё не способны представлять реальную угрозу существующей системе криптовалют. Будь то аппаратный масштаб, контроль ошибок или отказоустойчивые возможности, необходимые для длительного стабильного выполнения глубоких схем — до условий, которые предполагает статья, по-прежнему есть заметный разрыв. Иными словами, CRQC — это не технология, которая «просто будет реализована сама собой, как только придёт время»: её реализация по-прежнему зависит от ряда инженерных вызовов, которые ещё не полностью преодолены.

Но одновременно этот вопрос больше не подходит под категорию «абстрактного обсуждения далёкого будущего». Google в марте 2026 года чётко поставила свои сроки постквантовой миграции на 2029 год [8]; британский NCSC дал 2028, 2031, 2035 как три ключевые вехи миграции [9]; G7 Cyber Expert Group, хотя и не задаёт дедлайны регулирования для финансовой системы, также рассматривает 2035 как целевую ориентировочную дату для общей миграции и рекомендует завершать миграцию ключевых систем в первую очередь в 2030–2032 [10].

Также нужно избегать чрезмерной интерпретации. По состоянию на текущие основные публичные материалы даже самые агрессивные оценки, как правило, сдвигают окно риска в сторону примерно 2030 года, а не приходят к единому выводу вида «CRQC будет явно внедрена до 2030 года». Опрос экспертов Global Risk Institute за 2025 год показывает, что вероятность появления CRQC в течение 10 лет находится в категории «quite possible (28%–49%)», а только в течение 15 лет это попадает в диапазон «likely (51%–70%)» [11].

Поэтому самая важная роль белой книги Google заключается не в том, что она объявляет о наступлении квантовых атак, а в том, что впервые этот вопрос становится достаточно конкретным: его можно обсуждать, оценивать и к нему нужно начинать готовиться. Для блокчейн- и цифровых активов 2030–2035 — это ключевое окно, к которому стоит отнестись серьёзно и которое нужно предусмотреть для миграции. Оно, возможно, не совпадёт с конкретным годом реального прихода квантовых атак, но с высокой вероятностью определит, будет ли у отрасли к тому моменту достаточно пространства и спокойствия для ответа.