Google доказала: квантовый взлом Bitcoin потребует в 20 раз меньше кубитов — приватный ключ вскроют за считанные минуты

Команда Google Quantum AI совместно с Ethereum Foundation и Стэнфордским университетом опубликовала whitepaper, который резко снижает оценку ресурсов для квантового взлома криптографии Bitcoin и Ethereum. Для атаки потребуется в 20 раз меньше кубитов, чем считалось ранее.

Результат: примерно треть всех биткоинов — около 6,9 млн BTC — уже находится под повышенным риском, поскольку их публичные ключи засвечены в блокчейне.

Что именно нашла Google

Исследование сфокусировано на задаче дискретного логарифма на эллиптических кривых (ECDLP-256) — математическом фундаменте криптографии на эллиптических кривых (elliptic curve cryptography), на которой построены Bitcoin, Ethereum и большинство блокчейнов. Команда скомпилировала два квантовых контура, реализующих алгоритм Шора:

• Вариант 1: менее 1200 логических кубитов + 90 млн вентилей Тоффоли
• Вариант 2: менее 1450 логических кубитов + 70 млн вентилей Тоффоли

По оценке авторов, эти контуры могут быть выполнены на сверхпроводящем квантовом компьютере с менее чем 500 000 физических кубитов за несколько минут. Ранее для взлома ECDLP-256 требовались миллионы физических кубитов — новая оценка в 20 раз ниже.

Для контекста: крупнейший квантовый процессор Google Willow (2024) содержит 105 кубитов. До 500 000 ещё далеко, но прогресс ускоряется нелинейно.

Окно атаки: от раскрытия ключа до кражи средств

Когда вы отправляете Bitcoin-транзакцию, ваш публичный ключ раскрывается в сети. До того как транзакция будет включена в блок (в среднем 10 минут), злоумышленник с квантовым компьютером теоретически может:

1. Извлечь публичный ключ из мемпула
2. Вычислить приватный ключ (по оценке CoinDesk — за ~9 минут)
3. Подписать свою транзакцию и перехватить средства

По данным исследования, вероятность успеть до подтверждения блока — 41%. Это не гарантия, но угрожающая статистика.

Ещё хуже ситуация с кошельками, где публичный ключ уже раскрыт навсегда — через повторное использование адреса или обновление Taproot (2021), которое по умолчанию выставляет публичные ключи в блокчейн. Таких кошельков — 6,9 млн BTC, включая 1,7 млн BTC с ранних дней сети (в том числе монеты Сатоши Накамото).

Ответственное раскрытие через zero-knowledge proof

Google не опубликовала сами квантовые контуры — это было бы равносильно руководству по атаке. Вместо этого команда использовала доказательство с нулевым разглашением (zero-knowledge proof): математическую конструкцию, позволяющую третьим сторонам верифицировать результаты без раскрытия деталей реализации.

С этого момента считайте, что алгоритмы на переднем крае будут засекречены. Прекращение академических публикаций будет характерным признаком.

Этот подход задаёт новый стандарт раскрытия уязвимостей в квантовой криптоаналитике. Google призывает другие исследовательские группы следовать этой модели.

Что это значит для разработчиков

Проблема касается не только криптовалют. ECDLP-256 лежит в основе криптографии на эллиптических кривых, которая используется повсеместно:

• TLS/HTTPS — защита веб-трафика
• SSH — аутентификация на серверах
• GPG/PGP — подписание и шифрование email
• JWT — токены авторизации (при использовании ES256)
• Подписи кода — верификация пакетов и обновлений

Однако централизованные системы (банки, HTTPS-серверы) могут обновить криптографию принудительно. Децентрализованные блокчейны — нет, именно поэтому Google сфокусировалась на криптовалютах как на самых хрупких системах.

Банки не ломаются из-за обратного проектирования одного ключа. Блокчейны — ломаются. Они гораздо более хрупкие.

Постквантовая криптография — что уже можно сделать

Стандарты постквантовой криптографии (PQC) уже утверждены NIST:

• ML-KEM (бывший CRYSTALS-Kyber) — для обмена ключами
• ML-DSA (бывший CRYSTALS-Dilithium) — для цифровых подписей
• SLH-DSA (бывший SPHINCS+) — для stateless-подписей

Google уже внедрила PQC в Chrome, Gmail и Cloud. Для разработчиков на практике:

• Go 1.24+ — пакет crypto/mlkem уже в стандартной библиотеке
• OpenSSL 3.5 — поддержка ML-KEM и ML-DSA
• liboqs от Open Quantum Safe — библиотека постквантовых алгоритмов для C/C++/Python
• Cloudflare — уже поддерживает PQC в TLS-соединениях

Реакция индустрии: Ethereum готов, Bitcoin — нет

Ethereum Foundation запустила pq.ethereum.org — портал постквантовой миграции с восемью годами исследований, 10+ клиентскими командами и дорожной картой на несколько хардфорков.

Bitcoin пока отстаёт. BIP 360 — предложение по квантово-устойчивым кошелькам — находится на ранней стадии. Проблема в том, что децентрализованное сообщество не может быстро согласовать обновление протокола.

Сказать, что квантовые компьютеры приближаются — это не FUD. FUD — утверждать, что Bitcoin не может адаптироваться. Он может. Просто нужно начать работать над решениями уже сегодня.

Хасиб Куреши из Dragonfly обратил внимание на необычную деталь: Google не опубликовала квантовые контуры. «Это очень нетипично — показывает, что Google считает угрозу серьёзной.» По его оценке, квантовые компьютеры нужной мощности могут появиться к концу десятилетия, а не к середине 2030-х.

Выводы

Статья Google не означает, что Bitcoin можно взломать прямо сейчас. Но она резко сдвигает временные рамки: с «когда-нибудь после 2035» на «возможно, к концу этого десятилетия». Для разработчиков это означает одно — проектировать с учётом постквантовой криптографии нужно уже сегодня.

Мы больше не смотрим на середину 2030-х. Квантовые компьютеры такого масштаба могут появиться к концу десятилетия. Всем блокчейнам нужен план миграции немедленно. Постквантовая эра — это больше не учебная тревога.

Источники: Google Research | CoinDesk | Bloomberg | Ethereum PQC