Сможет ли квантовый компьютер взломать биткоин за 9 минут?

Главный вывод работы, обнародованной в конце марта 2026 года, заключается в том, что для взлома криптографической защиты потребуется примерно в 20 раз меньше вычислительных ресурсов, чем считалось до сих пор.

Сколько кубитов нужно для атаки на биткоин? Для сравнения,- актуальный квантовый чип Google под названием «Willow» насчитывает 105 кубитов. Согласно новым расчётам, для успешной атаки на сеть биткоина потребуется менее 500 000 таких элементов. Хотя это число пока велико, технологии развиваются стремительно, и несколько крупных корпораций ведут гонку за его достижением.

Время, необходимое для взлома биткоина, по оценкам Google, составляет от 9 до 23 минут. Исследователи выделили три основные угрозы.

1. Транзакции в ожидании (Mempool), это когда пользователь отправляет биткоины, транзакция попадает в так называемый мемпул - цифровую очередь, где она находится в среднем 10 минут до подтверждения майнером. В этот момент публичный ключ отправителя становится видимым. Квантовый компьютер, как показало моделирование, способен за 9 минут вычислить приватный ключ и подменить транзакцию, перенаправив монеты злоумышленнику. Вероятность успеха такой атаки оценивается примерно в 41%.

2. «Спящие» монеты на старых адресах, и тут наибольшую опасность представляют биткоины, которые давно не перемещались и хранятся в устаревших форматах адресов (например, ранние адреса, где публичный ключ виден прямо в блокчейне). В эту категорию попадают около 1,7 миллиона BTC, принадлежащих, в том числе, предполагаемому создателю биткоина Сатоши Накамото. В общей сложности уязвимыми считаются примерно 6,9 миллиона биткоинов, а это сотни миллиардов долларов. У злоумышленника в этом случае нет ограничений по времени.

3. Системные уязвимости и «мастер-ключ», где некоторые криптопротоколы используют фиксированные параметры, генерируемые один раз. Если квантовый компьютер подберёт эти параметры, он может создать своего рода цифровой мастер-ключ, открывающий доступ без необходимости повторного взлома. В зоне риска, например, механизм Ethereum, отвечающий за проверку больших объёмов транзакционных данных.

У Ethereum, по мнению авторов исследования, атакуемая поверхность шире. Топ-1000 кошельков Ethereum содержат около 20,5 млн ETH и являются уязвимыми. Смарт-контракты, управляющие стейблкоинами вроде USDT или USDC, завязаны на небольшое количество администраторских ключей. Компрометация одного из них позволит хакеру бесконтрольно эмитировать новые токены. Кроме того, около 37 млн ETH, заблокированных в стейкинге, также используют квантово-уязвимую криптографию.

Анонимные монеты вроде Zcash и Monero тоже под угрозой и в их случае квантовый компьютер может расшифровать даже прошлые транзакции.

Однако хорошая новость есть там, где сам процесс майнинга биткоина и механизм Proof-of-Work квантовым атакам практически не подвержены. Алгоритм SHA-256, лежащий в основе майнинга, не даёт квантовым компьютерам значимого преимущества.

Кроме того, если вы храните биткоины на современном адресе формата bc1q и никогда не отправляли с него средства (только получали), то публичный ключ остаётся скрытым за хешем. Квантовые компьютеры пока не могут обратить хеширование.

Так что надо делать прямо сейчас, чтобы быть в безопасности? Некоторые блокчейн-проекты уже принимают меры. Algorand в начале 2025 года провёл первую квантово-безопасную транзакцию. Solana тестирует «защищённые хранилища» (vaults) с постквантовой устойчивостью, а XRP Ledger изучает новые алгоритмы подписи.

Рекомендации для частных инвесторов:

• Используйте только современные форматы адресов (bc1q для биткоина).
• Внимательно следите за объявлениями о постквантовых обновлениях в тех блокчейнах, где у вас есть средства.
• По возможности избегайте повторного использования адресов, с которых вы уже отправляли транзакции.

Авторы исследования подчёркивают, что хотя до создания по-настоящему опасного квантового компьютера ещё есть время, окно для миграции на постквантовую криптографию быстро сужается. И как сказано в самом документе, как только будет публично продемонстрирован взлом 32-битного ключа, то скорее всего, действовать будет уже поздно.