Команда Google Quantum AI опубликовала исследование 30 марта 2026 года, указав, что для взлома эллиптической кривой криптографии Bitcoin и Ethereum может потребоваться менее 500,000 физических кубитов и примерно 1,200–1,450 высококачественных логических кубитов, что существенно ниже предыдущих оценок — в миллионах.
В работе предупреждается, что квантовые атаки в реальном времени могут захватить транзакции Bitcoin примерно за девять минут, потенциально обогнав подтверждение примерно в 41% случаев, и отмечается, что обновление Bitcoin Taproot, которое делает общедоступные ключи видимыми по умолчанию, расширило пул уязвимых кошельков до, по оценкам, 6.9 million bitcoin.
Оценки квантовых ресурсов показывают 20-кратное снижение требуемого числа кубитов
Исследователи Google собрали два квантовых схемы, реализующие алгоритм Шора для задачи дискретного логарифмирования на 256-битной эллиптической кривой (ECDLP-256), которая лежит в основе криптографии Bitcoin, Ethereum и многих других блокчейн-сетей. В одной схеме используется менее 1,200 логических кубитов и 90 million Toffoli gates, а во второй — менее 1,450 логических кубитов и 70 million Toffoli gates.
Исследователи оценивают, что эти схемы можно выполнить на криптографически релевантном квантовом компьютере на сверхпроводящих кубитах (CRQC) с числом физических кубитов менее 500,000 в течение нескольких минут, при условии аппаратных возможностей, соответствующих некоторым флагманским квантовым процессорам Google. Результат представляет собой примерно 20-кратное снижение числа физических кубитов, необходимых для решения ECDLP-256, по сравнению с более ранними оценками, продолжая тенденцию к постепенной оптимизации при компиляции квантовых алгоритмов в отказоустойчивые схемы.
Ранее Google указывал на 2029 год как на потенциальную веху для полезных квантовых систем, а обновлённые оценки ресурсов предполагают, что разрыв между текущими технологиями и реальной атакой может быть меньше, чем считалось ранее. Компания ведёт работу по миграции к постквантовой криптографии с 2016 года.
Квантовые атаки транзакций в реальном времени могут обогнать подтверждение в 41% случаев
Исследование описывает два потенциальных метода атак, нацеленных на находящиеся в процессе транзакции Bitcoin. Когда транзакция Bitcoin передаётся, публичный ключ отправителя ненадолго раскрывается до того, как транзакция будет подтверждена. Достаточно быстрый квантовый компьютер мог бы вычислить соответствующий приватный ключ по этому публичному ключу и перенаправить средства до того, как исходная транзакция будет подтверждена.
В модели Google система может заранее подготовить часть вычислений, а затем завершить атаку примерно за девять минут, как только транзакция появится в сети. Транзакции Bitcoin обычно занимают около 10 минут на подтверждение, что даёт атакующему примерно 41% вероятность успешно перенаправить средства до того, как исходный перевод будет окончательно завершён.
Ethereum может быть менее подвержен этому конкретному риску, поскольку более быстрые времена блоков оставляют меньше времени для атаки. Однако обе сети опираются на одну и ту же фундаментальную криптографию на эллиптических кривых и потребуют миграции на постквантовую криптографию, чтобы сохранять безопасность против будущих квантовых угроз.
Обновление Taproot раскрывает больше кошельков для потенциальной квантовой атаки
В работе оценивается, что примерно 6.9 million bitcoin, то есть около одной трети от общего предложения, уже находятся в кошельках, где публичный ключ был раскрыт каким-то образом. Это включает примерно 1.7 million bitcoin из ранних лет сети, средства, затронутые повторным использованием адресов, и bitcoin, хранящийся в кошельках, использующих формат адреса Taproot, введённый в 2021 году.
Taproot — это обновление Bitcoin 2021 года, разработанное для повышения приватности и эффективности; оно сделало публичные ключи видимыми в блокчейне по умолчанию, убрав слой защиты, использовавшийся в более старых форматах адресов. Исследователи Google заявляют, что этот выбор дизайна может расширить число кошельков, уязвимых для будущих квантовых атак, поскольку раскрытые публичные ключи устраняют необходимость атакующим ломать хэш-функцию, защищающую устаревшие адреса.
Полученные выводы расходятся с недавними оценками CoinShares, которые утверждали, что примерно 10,200 bitcoin достаточно сконцентрированы, чтобы существенно двигать рынки, если их украдут. Анализ Google предполагает, что пул bitcoin под риском существенно больше.
Google раскрывает уязвимости с помощью доказательств с нулевым разглашением, чтобы избежать дорожных карт атак
Google разработала новый метод раскрытия исследований квантовой уязвимости, не предоставляя дорожную карту для злоумышленников. Вместо публикации пошаговых деталей о том, как взламывать криптографические системы, команда использовала доказательство с нулевым разглашением, чтобы продемонстрировать, что их выводы точны, не раскрывая лежащий в основе метод. Это позволяет третьим сторонам проверять результаты, одновременно ограничивая риск того, что исследование может быть использовано не по назначению.
Компания взаимодействовала с правительством США при разработке этого подхода к раскрытию и призвала другие исследовательские команды перенять подобные практики. Google отметил, что раскрытие уязвимостей безопасности в технологиях блокчейна усложняется тем, что криптовалюты получают ценность и от цифровой безопасности, и от общественного доверия, а ненаучные оценки ресурсов сами по себе могут представлять атаку через страх, неопределённость и сомнение.
Исследование было проведено в сотрудничестве со Stanford Institute for Blockchain Research, Ethereum Foundation и Coinbase — в рамках более широких усилий отрасли по переходу к постквантовой криптографии.
Рекомендации по миграции на постквантовую криптографию
Работа Google предоставляет рекомендации для криптовалютного сообщества по повышению безопасности и стабильности до того, как квантовые атаки станут осуществимыми. Основная рекомендация — перевод блокчейнов на постквантовую криптографию, устойчивую к квантовым атакам, и представляющую собой хорошо понимаемый путь к безопасности блокчейна после наступления постквантовой эпохи.
Дополнительные рекомендации включают отказ от раскрытия или повторного использования уязвимых адресов кошельков, ускорение внедрения форматов адресов, которые не раскрывают публичные ключи до того, как будут потрачены средства, и рассмотрение вариантов политики для решения проблемы заброшенной криптовалюты, которая может стать уязвимой.
Исследователи отметили, что хотя существуют реализуемые постквантовые решения, им потребуется время для внедрения в децентрализованных сетях, что усиливает срочность действовать. Плановые сроки Google для полезных квантовых систем на 2029 год — это ориентир для миграции, а не неминуемая угроза, но обновлённые оценки ресурсов предполагают, что горизонт планирования может быть короче, чем понималось ранее.
FAQ
Сколько кубитов понадобилось бы, чтобы взломать криптографию Bitcoin?
Исследователи Google оценивают, что взлом эллиптической кривой криптографии, используемой Bitcoin и Ethereum, потребовал бы менее 500,000 физических кубитов и примерно 1,200–1,450 высококачественных логических кубитов. Это означает 20-кратное снижение по сравнению с предыдущими оценками, которые находились в диапазоне миллионов.
Как обновление Bitcoin Taproot влияет на квантовую уязвимость?
Taproot — это обновление Bitcoin 2021 года, которое делает публичные ключи видимыми в блокчейне по умолчанию, устраняя слой защиты, использовавшийся в более старых форматах адресов. Google оценивает, что это расширило пул уязвимых кошельков примерно до 6.9 million bitcoin, включая около 1.7 million bitcoin из ранних лет сети.
Как бы работала квантовая атака на Bitcoin в реальном времени?
Атакующий мог бы нацелиться на транзакции, находящиеся в процессе, используя публичный ключ, раскрытый во время трансляции, чтобы вычислить соответствующий приватный ключ с достаточно быстрым квантовым компьютером. В модели Google атаку можно было бы завершить примерно за девять минут, потенциально обогнав окно подтверждения в 10 минут примерно в 41% случаев.
