💬 Квантовая угроза биткойнам: как паника может сломать криптовалюту раньше, чем это сделает физика от 2025-11-17

Квантовая угроза биткойнам: как паника может сломать криптовалюту раньше, чем это сделает физика

Квантовый расчет Биткойна, возможно, произойдет еще через несколько лет, но страх уже пришел. Прорывы Google, Калифорнийского технологического института и IBM возобновили дебаты по поводу надвигающегося «Дня Q» — момента, когда квантовый компьютер может разрушить криптографию, обеспечивающую безопасность Биткойна и децентрализованных финансов.

Однако эксперты предупреждают, что реальная опасность может исходить в первую очередь от людей, а не от уравнений: паника, преждевременная реакция рынка и медленная подготовка разработчиков могут пошатнуть уверенность задолго до того, как какой-либо код действительно выйдет из строя.

Страх движется быстрее математики

В криптовалюте паника распространяется быстрее, чем разум. Рынок может работать по коду, но эмоции все равно движут ценой.

Юн Ау, основатель компании BOLTS Technologies, занимающейся постквантовой криптографией, предупредил, что даже одно ошибочное заявление о том, что квантовые компьютеры взломали Биткойн, может спровоцировать цепную реакцию, указывая на недавний внезапный обвал рынка в прошлом месяце.

«У криптовалюты произошел небольшой сбой», — сказал Ау Decrypt. "Распродажа на сумму от 50 до 100 миллионов долларов (практически ничего на традиционных рынках) привела к огромным потерям среди активов блокчейна. Это показывает, насколько хрупкой остается система".

Ранее в этом месяце единственное сообщение президента Дональда Трампа с угрозой 100% тарифов на китайский импорт спровоцировало крупнейшее однодневное уничтожение криптовалюты в истории, уничтожив ликвидацию на сумму 19 миллиардов долларов, поскольку биткойн ненадолго упал ниже 102 000 долларов.

Аух сказал, что та же самая динамика может развернуться после квантовой паники: "Представьте, что вы слышите, как кто-то говорит: "[Эллиптическая криптография] может быть взломана сейчас, может быть, не мгновенно, но скоро". Все ринутся к выходу. Система споткнется сама собой".

Индустрия уже видела это раньше. В 2017 году ложный пост на 4Chan о смерти основателя Ethereum Виталика Бутерина уничтожил рыночную стоимость на миллиарды, прежде чем трейдеры поняли, что это фейк. Распродажа показала, как быстро может рухнуть доверие, когда информация опережает проверку.

Квантовая временная шкала: вы здесь

Квантовые компьютеры работают на принципах, которые отличаются от принципов классических вычислений. Вместо битов, равных 0 или 1, кубиты могут существовать в нескольких состояниях одновременно. Когда кубиты становятся связанными (свойство, называемое запутанностью), они могут обрабатывать множество возможностей одновременно. Это свойство делает некоторые виды математики, такие как факторинг и дискретные логарифмы, более эффективными для решения.

В 1994 году математик Питер Шор доказал, что достаточно мощный квантовый компьютер теоретически может взломать шифрование, обеспечивающее защиту всего — от кредитных карт до биткойн-кошельков. Биткойн опирается на криптографию на основе эллиптических кривых (ECC), которая превращает закрытые ключи в открытые с помощью уравнений, которые легко вычислить, но практически невозможно обратить вспять.

Достаточно большой квантовый компьютер мог бы запустить алгоритм Шора, чтобы инвертировать эту математику, обнаруживая закрытый ключ любого открытого ключа в блокчейне.

Специальная система Биткойна, известная как secp256k1, использует эти уравнения эллиптической кривой для генерации и проверки подписей. Квантовый компьютер, достаточно мощный для выполнения этих вычислений, сможет восстановить закрытые ключи и пустые кошельки, связанные с видимыми открытыми ключами. 256-битный ключ эллиптической кривой обеспечивает примерно ту же классическую безопасность, что и 3072-битный ключ RSA, что чрезвычайно надежно по сегодняшним стандартам.

На данный момент эта опасность остается теоретической. Крупнейшие в мире квантовые процессоры — IBM Condor с 1121 кубитом и массив нейтральных атомов Калифорнийского технологического института, превышающий 6000 кубитов — далеки от миллионов физических кубитов, необходимых для производства даже нескольких тысяч логических кубитов для отказоустойчивых вычислений.

Текущие исследования показывают, что для взлома шифрования Биткойна с использованием эллиптической кривой с помощью алгоритма Шора потребуется от 2000 до 3000 логических кубитов. Для достижения этого уровня, вероятно, потребуется еще десятилетие или больше, хотя по оптимистичным прогнозам IBM и Google такие машины появятся в начале-середине 2030-х годов.

«Квантовая угроза криптографии реальна и серьезна», — сказал Decrypt Эдвард Паркер, физик из корпорации RAND. "Некоторые люди думают, что квантовые компьютеры никогда не будут угрожать шифрованию, и это может быть правдой. Но существует достаточный риск, и нам нужно подготовиться заранее".

Эта взвешенная осторожность часто искажается в Интернете, и предупреждения, призванные спровоцировать дискуссии и подготовку, вместо этого разжигают волну паникёрства и преувеличенную риторику «квантового апокалипсиса».

Правительство США уже движется в этом направлении. Президентская директива 2022 года, Меморандум о национальной безопасности № 10, предписывала федеральным агентствам начать переход на постквантовое шифрование — редкий случай долгосрочной координации между ведомствами. Паркер указал на исследование 2023 года, проведенное криптографом Мишелем Моска, согласно которому медианная оценка создания криптографически значимого квантового компьютера ожидается примерно в 2037 году.

Ученый-исследователь Ян Маккормак согласился с тем, что общественный страх опережает возможности этой технологии.

«Квантовые компьютеры далеко не достаточно мощны, чтобы взломать RSA-2048 или любое другое шифрование значимого размера», — сказал он. «Снижение уровня ошибок и объединение тысяч кубитов для достижения чего-то практического потребует времени, денег и методов проб и ошибок».

МакКормак сказал, что загадочность квантовых вычислений, однако, часто усиливает страх.

«Люди слышат о квантовых вычислениях, и это звучит богоподобно или непостижимо», — сказал он. "Но независимо от его потенциала, это просто невероятно сложная инженерная проблема. Разработка квантовоустойчивого шифрования почти наверняка произойдет быстрее, чем создание квантового компьютера, способного взломать нынешнее шифрование".

Соучредитель Coin Metrics и партнер Castle Island Ventures Ник Картер недавно назвал квантовые вычисления «самым большим риском для Биткойна». В своем эссе «Биткойн и квантовая проблема» он отмечает, что почти четверть всех биткойнов — около 4 миллионов монет — уже находится на адресах, которые имеют открытые ключи. Теоретически они станут уязвимы, как только появится практическое квантовое дешифрование. Уверенность в нерушимой математике Биткойна может разрушиться задолго до того, как это произойдет сама по себе.

Сделать Биткойн квантово-устойчивым

Несмотря на то, что угроза далека, эксперты говорят, что время действовать пришло сейчас, но это зависит от широкой координации.

Ребекка Краутхамер, соучредитель и генеральный директор компании QuSecure, занимающейся постквантовой кибербезопасностью, сказала, что следующий шаг очевиден: криптография на основе эллиптических кривых должна уйти.

«Вам придется заменить это одним из постквантовых стандартизированных алгоритмов, таких как ML-DSA», — сказала она Decrypt.

ML-DSA, сокращение от «Алгоритм цифровой подписи на основе модульной решетки», — это новый стандарт постквантовой криптографии, разработанный Национальным институтом стандартов и технологий США (NIST). Он построен на основе решетчатой ​​математики — раздела криптографии, который скрывает информацию в многомерных сетках чисел.

Чтобы взломать эти сетки, потребуется решить так называемую проблему «Обучение на ошибках» — уравнение настолько сложное, что даже мощный квантовый компьютер не сможет его эффективно распутать. Это делает ML-DSA гораздо более устойчивым к расшифровке, чем системы с эллиптическими кривыми, используемые сегодня в Биткойне.

Лишь немногие блокчейны сегодня действительно квантово-устойчивы, тогда как большинство все еще адаптируются к постквантовой криптографии.

Quantum Resistant Ledger (QRL) был создан для квантовой безопасности с использованием схемы подписи на основе хэша XMSS, стандартизированной NIST. Cellframe и Algorand используют решетчатые алгоритмы из пакета NIST — Crystals-Dilithium, FALCON и NTRU, — что позволяет осуществлять гибкую модульную модернизацию по мере развития стандартов. IOTA использует одноразовые подписи Winternitz в своей сети Tangle, защищая транзакции от восстановления квантового ключа. Nervos Network объединяет классические и решетчатые системы в гибридную модель, которая обеспечивает постепенный переход к постквантовой безопасности.

Крупные сети, такие как Биткойн, Эфириум, Кардано и Солана, остаются в переходном состоянии. Дорожная карта Ethereum 3.0 включает в себя активные исследования и тестовые сети для постквантовых подписей, а модульные обновления Биткойна Taproot и Schnorr обеспечивают основу для интеграции будущей квантовобезопасной криптографии.

Такая модернизация осуществима, но политически сложна. Модель безопасности Биткойна опирается на общесетевой консенсус между майнерами, разработчиками и операторами узлов. Любое криптографическое изменение потребует форка, и этот процесс занимает годы обсуждений и испытаний.

«Квантовые вычисления могут показаться абстрактными», — сказал Краутхамер. "Но решение на удивление простое. У нас уже есть математические расчеты. Правительства вводят стандарты квантовой безопасности, и за этим последует финансирование. Самое сложное - заставить людей позаботиться о том, чтобы это было срочно".

Большинство экспертов говорят, что самый безопасный путь — постепенный: добавить постквантовую поддержку сейчас с помощью новых типов адресов или гибридных подписей, заставить хранителей и кошельки использовать их для новых средств и медленно переносить старые кошельки. Это предотвращает хаос, когда все одновременно вращают ключи — сценарий, который может подорвать доверие быстрее, чем любая настоящая квантовая атака.

Участники Биткойна уже исследовали постквантовые подписи и гибридные схемы на форумах разработчиков. Задача не в том, чтобы найти алгоритмы; он решает, когда и как их развернуть.

Проблема управления

Скотт Ааронсон, профессор информатики Техасского университета в Остине, сказал, что децентрализованная модель Биткойна затрудняет обновление.

«Благодаря Ethereum и большинству других цепочек кто-то может решить перейти на квантово-устойчивую криптовалюту, когда это станет актуальным», — сказал он Decrypt. «Что касается Биткойна, вам нужно, чтобы большинство майнеров согласились на форк. А ранние монеты на сумму около 100 миллиардов долларов по-прежнему защищены только ECC».

Отсутствие центральной власти может замедлить внедрение. Разделение или поспешное развертывание может привести к разрушению сети. Тем не менее, многие разработчики биткойнов утверждают, что как только появится жизнеспособный путь обновления, вокруг рабочего кода сформируется консенсус.

Ethereum и Solana имеют более гибкое управление и могут быстрее адаптироваться. Осторожность Биткойна защитила его от плохих идей, но тот же консерватизм затрудняет реализацию больших изменений.

Насколько близок Q-Day?

Квантового компьютера, достаточно мощного, чтобы взломать шифрование Биткойна, пока не существует. Текущие прототипы насчитывают кубиты тысячами, но не миллионами кубитов с исправлением ошибок, необходимыми для стабильных и масштабируемых атак.

В конце прошлого месяца Google объявила о новой вехе в своих квантовых исследованиях: ее 105-кубитный процессор Willow завершил физическую симуляцию всего за два часа, на воспроизведение которой суперкомпьютеру Frontier потребовалось бы более трех лет. В эксперименте использовалось 65 активных кубитов на 23 уровнях схемы, а средняя ошибка двухкубитного вентиля была около 0,0015. Результат ознаменовал поддающееся проверке квантовое ускорение, но не представлял угрозы для шифрования — прогресс, а не опасность.

Даже исследователи, которые рассматривают квантовые вычисления как долгосрочную угрозу, говорят, что до реальной опасности еще далеко.

«Я думаю, что квантовые вычисления имеют разумную вероятность — скажем, более пяти процентов — стать серьезным, даже экзистенциальным, долгосрочным риском для Биткойна и других криптовалют», — сказал Decrypt Кристофер Пейкерт, профессор компьютерных наук и инженерии в Мичиганском университете. "Однако в ближайшие несколько лет это не представляет реального риска. Технологии квантовых вычислений и инженерии еще предстоит пройти слишком долгий путь, прежде чем они смогут угрожать современной криптографии".

Самое сложное, добавил Пайкерт, — это производительность после развертывания постквантовых систем. «Постквантовые подписи используют гораздо большие ключи», — сказал он. «Поскольку криптовалюты полагаются на множество подписей для транзакций и блоков, переход на постквантовые или гибридные подписи значительно увеличит сетевой трафик и размеры блоков».

Что касается краткосрочной защиты, Пейкерт сказал, что лучшее смягчение последствий — поведенческое, а не технологическое.

«В краткосрочной перспективе следует избегать раскрытия открытых ключей в общедоступной сети до тех пор, пока это не станет абсолютно необходимым, и давать этим ключам короткий срок жизни», — сказал он. «В долгосрочной перспективе основные протоколы должны быть тщательно обновлены, чтобы включить постквантовую криптографию для наиболее важных функций и активов».

Экспресс согласен, что квантовые вычисления не сломают Биткойн в ближайшее время; важно то, сможет ли сообщество сохранять спокойствие в этом случае.