За пределами теории: как алгоритм Шора превращает квантовый риск в срочные меры

Виталик Бутерин не стеснялся в выражениях на Devconnect в Буэнос-Айресе. В то время как большинство разработчиков блокчейна по-прежнему рассматривают квантовые вычисления как далекую научную фантастику, он озвучил жесткое предупреждение: эллиптические кривые, обеспечивающие безопасность Bitcoin и Ethereum, сталкиваются с реальной, измеримой угрозой. В основе этого предупреждения лежит один алгоритм, который кардинально меняет ситуацию: алгоритм Шора, квантовое решение криптографических задач, казавшихся математически неразрешимыми десятилетиями.

Математика настораживает. Согласно прогнозам платформы Metaculus, на которую ссылался Бутерин, существует примерно 20% вероятность того, что к 2030 году появятся квантовые компьютеры, способные взломать текущую криптографию — при этом медианная оценка сдвигается ближе к 2040 году. Это не панические догадки; это консенсусные прогнозы исследовательского сообщества. Как выразился Бутерин: «Квантовые компьютеры не сломают криптовалюту сегодня. Но индустрия должна начать внедрять постквантовую криптографию задолго до того, как квантовые атаки станут практическими.»

Алгоритм Шора: от теоретической угрозы к реальному риску

Понимание того, почему лидеры блокчейна внезапно перешли от осторожного интереса к активной срочности, требует понимания того, что именно делает алгоритм Шора. Предложенный в 1994 году математиком Питером Шором, этот квантовый алгоритм показывает, что достаточно мощный квантовый компьютер сможет решить задачу дискретного логарифма — и связанные с ней задачи факторизации — за полиномиальное время.

Эта техническая фраза имеет огромное значение. Современное шифрование ECDSA (эллиптическая кривая цифровой подписи) считается безопасным, потому что классические компьютеры потребовали бы экспоненциальное время для обратного вычисления. Алгоритм Шора устраняет эту защиту. Он превращает то, что кажется криптографически невозможным, в решаемую вычислительную задачу, но только на квантовом оборудовании.

Для Bitcoin и Ethereum, которые обе используют эллиптическую кривую secp256k1, последствия очевидны: как только алгоритм Шора запустится на достаточно мощном оборудовании, математические основы владения исчезнут. Ваш приватный ключ, в настоящее время защищенный математической асимметрией, станет выводимым из вашего публичного ключа — превращая каждый открытый адрес в потенциальную цель.

Таймлайн, которого никто не хочет: 20% вероятность до 2030

На Devconnect Бутерин укрепил свою позицию конкретным заявлением, которое вывело разговоры из теоретической области: исследования показывают, что квантовые атаки на 256-битные эллиптические кривые могут стать возможными уже до президентских выборов в США 2028 года. То есть менее чем через два года.

Вероятность 20%, которую назвал Бутерин, не является маловероятной в рынке стоимостью 3 триллиона долларов. Даже низко вероятные катастрофические риски требуют серьезных инженерных решений. Он сравнил это с проектированием зданий: землетрясение маловероятно в этом году, но вероятность за долгий срок достаточно высока, чтобы оправдать планирование архитектурных основ соответственно.

Одна важная тонкость формирует таймлайн. Если вы никогда не тратили средства с адреса, на блокчейне находится только хэш вашего публичного ключа — форма, которая остается квантово-устойчивой. Но как только вы инициируете транзакцию, ваш непрошитый публичный ключ становится видимым в цепочке. Эта разница очень важна: это означает, что все неактивные адреса сохраняют безопасность дольше, а активные аккаунты сталкиваются с отсчитывающимися часами, как только алгоритм Шора станет доступен.

Почему ECDSA разваливается, когда алгоритм Шора встречает квантовые компьютеры

Уязвимость связана с асимметрией. В вашем кошельке:

• Ваш приватный ключ — это большое случайное число
• Ваш публичный ключ — точка на эллиптической кривой, математически выведенная из приватного ключа
• Ваш адрес — хэш публичного ключа

На классическом оборудовании получение публичного ключа из приватного — тривиально. Обратное — восстановление приватного ключа из публичного — кажется невозможным из-за математической структуры задачи дискретного логарифма. Эта односторонняя асимметрия и делает 256-битный ключ практически неугадываемым.

Алгоритм Шора побеждает эту асимметрию. Решая уравнения дискретного логарифма за полиномиальное время, он сокращает то, что классические компьютеры требуют триллионов лет, до того, что квантовый компьютер сможет выполнить за часы или минуты — при достаточном количестве кубитов.

Этот алгоритм 1994 года не нов. Что изменилось — это инженерная траектория, ведущая к его практической реализации.

Ускорение квантовых вычислений: Willow от Google и обратный отсчет

Срочность Бутерина отражает реальное ускорение в развитии квантового оборудования. В декабре 2024 года Google объявила о Willow — процессоре из 105 сверхпроводящих кубитов, который выполнил вычисление за менее чем пять минут — задачу, на выполнение которой сегодня самые быстрые суперкомпьютеры потребовали бы примерно 10 септильонов лет.

Более того: Willow продемонстрировал «ниже порога» квантовую коррекцию ошибок, при которой добавление большего количества кубитов снижает уровень ошибок, а не увеличивает их. Это долгожданная цель десятилетий исследований, наконец достигнутая, что говорит о том, что путь от текущих систем к практическим квантовым компьютерам имеет конкретные ступени.

Однако Хартмут Невен, директор Google Quantum AI, дал важный контекст. Willow пока не может взломать современную криптографию. Взлом RSA-стандарта потребует миллионов физических кубитов — далеко за пределами текущих возможностей. Академический консенсус говорит, что для взлома эллиптических кривых 256-битного размера за час потребуется десятки или сотни миллионов физических кубитов.

Тем не менее, IBM и Google нацелены на создание квантовых компьютеров с исправлением ошибок к 2029–2030 годам. Математика подтверждает: практическое окно угрозы алгоритма Шора и сроки разработки квантового оборудования теперь совпадают.

Последняя защита Ethereum: сценарий форка

Значительно раньше этих публичных предупреждений Бутерин уже набросал план экстренного реагирования Ethereum. Пост в Ethereum Research 2024 года описывал «Как сделать хард-форк, чтобы спасти большинство средств пользователей в случае квантовой чрезвычайной ситуации» — план действий, если квантовые прорывы застигнут неподготовленную экосистему.

Процедура предполагала бы этапы:

1. Обнаружение и откат: Ethereum вернул бы блокчейн к последнему блоку до появления крупномасштабных квантовых краж, фактически сбросив украденные транзакции.
2. Заморозка уязвимых аккаунтов: традиционные внешне управляемые аккаунты (EOA) с ECDSA были бы заморожены, чтобы прекратить дальнейшие атаки через открытые публичные ключи.
3. Обновление до квантово-устойчивых кошельков: новый тип транзакций позволил бы пользователям доказать (через STARK-знания нулевого знания), что они контролируют исходный seed, и мигрировать на квантово-устойчивый смарт-контракт-кошелек.

Это — инструмент последней надежды, а не предпочтительный путь. Но основная идея Бутерина — создавать инфраструктуру сейчас: абстракцию аккаунтов, надежные системы нулевого знания, стандартизацию постквантовых схем подписи — а не паниковать и менять все во время кризиса.

Создание инфраструктуры постквантового уровня до того, как станет поздно

Обнадеживающая новость: решения уже существуют. В 2024 году NIST завершил отбор трех стандартных алгоритмов постквантовой криптографии:

• ML-KEM для обмена ключами
• ML-DSA и SLH-DSA для цифровых подписей

Эти алгоритмы, основанные на решетчатой математике или хэш-функциях, устойчивы к атакам алгоритма Шора. В отчете NIST и Белого дома за 2024 год оценивается, что на миграцию федеральных систем США на постквантовую криптографию потребуется около 7,1 миллиарда долларов в период с 2025 по 2035 год.

На стороне блокчейна несколько проектов работают над переходом. Naoris Protocol разрабатывает децентрализованную инфраструктуру кибербезопасности, изначально интегрирующую алгоритмы, совместимые с NIST. В сентябре 2025 года этот протокол был представлен в заявке в SEC США как пример квантово-устойчивой блокчейн-инфраструктуры.

Naoris использует механизм под названием dPoSec (Decentralized Proof of Security): каждый сетевой узел становится валидатором, который в реальном времени проверяет состояние безопасности других устройств. В сочетании с постквантовой криптографией эта децентрализованная сеть устраняет единственные точки отказа в традиционных архитектурах безопасности. Согласно опубликованным данным Naoris, его тестовая сеть обработала более 100 миллионов транзакций с постквантовой защитой и снизила более 600 миллионов угроз в реальном времени. Основной запуск планируется на начало 2026 года.

Абстракция аккаунтов и квантово-готовые кошельки: путь вперед

Несколько инфраструктурных направлений сходятся на стороне протоколов и кошельков. Абстракция аккаунтов (ERC-4337) позволяет пользователям мигрировать с внешне управляемых аккаунтов на обновляемые смарт-контракты, что делает возможным смену схем подписи без необходимости экстренных форков или смены адресов.

Некоторые проекты уже демонстрируют квантово-устойчивые кошельки типа Lamport или XMSS на Ethereum — прототипные системы, показывающие, что путь обновления существует технически. Однако эллиптические кривые выходят за рамки пользовательских ключей. Подписи BLS, KZG-коммиты и некоторые системы доказательств роллапов также зависят от сложности дискретного логарифма. Полный план по квантовой устойчивости требует решений для всех этих компонентов одновременно.

Проблема инфраструктуры — не в криптографической инновации, математика работает, — а в скоординированном развертывании по всему децентрализованному сетевому пространству. Этот процесс требует начать уже сейчас, задолго до того, как кризис заставит торопиться с внедрением.

Осторожные голоса: когда время и оценка риска расходятся

Не все эксперты разделяют ощущение срочности Бутерина. Адам Бэк, CEO Blockstream и пионер Bitcoin, характеризует угрозу квантовых вычислений как «десятилетия» и выступает за «стабильные исследования, а не поспешные или разрушительные изменения протоколов». Его основная озабоченность: панические обновления могут привести к ошибкам реализации, которые будут опаснее самой квантовой угрозы.

Ник Сабо, криптограф и теоретик смарт-контрактов, считает, что квантовый риск — «в конечном итоге неизбежен», но больше внимания уделяет текущим правовым, управленческим и социальным угрозам. Он приводит мысленный эксперимент с «янтарем»: по мере накопления транзакционных блоков вокруг транзакции, возможность злоумышленника изменить её — даже с гипотетическими квантовыми компьютерами — становится все более ограниченной. Экономическая и криптографическая история содержит глубокую защиту.

Эти позиции не противоречат взгляду Бутерина; они отражают разные временные горизонты и модели риска. В целом, консенсус предполагает, что миграцию нужно начинать уже сейчас, потому что переход децентрализованной сети требует лет — даже если окно атаки остается далеким.

Защита активов в предквантовом мире

Для держателей криптовалют практический вывод делится по временной перспективе:

Для активных трейдеров: продолжайте обычные операции, следите за решениями по постквантовой криптографии Ethereum и будьте готовы к миграции, как только появится надежный инструментарий.

Для долгосрочных держателей: отдавайте предпочтение платформам и протоколам, активно готовящимся к квантовой устойчивости. Выбирайте кошельки и схемы хранения, способные обновлять криптографию без необходимости смены адресов.

Лучшие практики для снижения риска:

• Избегайте повторного использования адресов: чем меньше публичных ключей раскрыто в цепочке, тем меньше целей при практической реализации алгоритма Шора
• Используйте обновляемые кошельки: смарт-контрактные кошельки с криптографической гибкостью превосходят фиксированные EOA
• Следите за дорожной картой Ethereum: отслеживайте стандартизацию постквантовых схем подписи

Вероятность 20% до 2030 года также означает 80% шанса, что квантовые компьютеры не угрожают крипте в этот срок. Но в рынке стоимостью триллионы долларов даже 20% риска катастрофической утраты безопасности оправдывают серьезную подготовку.

Обобщение Бутерина — это баланс: относиться к квантовой угрозе так же, как инженеры относятся к природным катастрофам. Маловероятно, что это разрушит ваш дом в этом году, но достаточно вероятно за долгий срок, чтобы проектировать фундамент с учетом этого. Разница в том, что для инфраструктуры блокчейна у нас еще есть окно для создания этих основ — при условии, что действия начнутся сейчас, до того как алгоритм Шора перейдет из теоретической угрозы в практическую реальность.