Поза теорією: як алгоритм Шора перетворює квантовий ризик у термінові дії

Віталік Бутерін не приховував своїх слів на Devconnect у Буенос-Айресі. Хоча більшість розробників блокчейну досі вважають квантові обчислення далекою науково-фантастичною проблемою, він висловив різке попередження: еліптичні криві, що забезпечують безпеку Bitcoin і Ethereum, стикаються з реальною, кількісно вимірюваною загрозою. У центрі цієї попередження лежить один алгоритм, який кардинально змінює рівняння: алгоритм Шора, квантове рішення криптографічних задач, що десятиліттями здавалася математично нерозв’язною.

Математика викликає тривогу. За прогнозами платформи Metaculus, які цитував Бутерін, існує приблизно 20% ймовірності, що квантові комп’ютери, здатні зламати сучасну криптографію, з’являться до 2030 року — із медіанною оцінкою, що ближче до 2040-го. Це не панічні припущення; це консенсусні прогнози дослідницької спільноти. Як сказав Бутерін: «Квантові комп’ютери не зламають криптовалюту сьогодні. Але індустрія повинна почати впроваджувати пост-квантову криптографію задовго до того, як квантові атаки стануть практичними.»

Алгоритм Шора: від теоретичної загрози до реального ризику

Розуміння, чому лідери блокчейну раптово перейшли від обережного інтересу до активної терміновості, вимагає розібратися, що саме робить алгоритм Шора. Запропонований у 1994 році математиком Пітером Шором, цей квантовий алгоритм демонструє, що достатньо потужний квантовий комп’ютер може розв’язати задачу дискретного логарифму — і пов’язані з нею задачі факторизації — за поліноміальний час.

Ця технічна фраза має величезне значення. Сучасне шифрування ECDSA (еліптична крива цифрового підпису) вважається безпечним, оскільки класичні комп’ютери потребують експоненційного часу для зворотного обчислення. Алгоритм Шора усуває цей захист. Він перетворює те, що здається криптографічно неможливим, у обчислювальну задачу, яку може розв’язати лише квантовий апарат.

Для Bitcoin і Ethereum, які обидва базуються на еліптичній кривій secp256k1, наслідки безпосередні: коли алгоритм Шора запуститься на достатньо потужному обладнанні, математичні основи власності зруйнуються. Ваш приватний ключ, який зараз захищений математичною асиметрією, стане відновлюваним із публічного ключа — перетворюючи кожну відкриту адресу на потенційну ціль.

Таймлайн, якого ніхто не хоче: 20% ймовірності до 2030 року

На Devconnect Бутерін підсилював свою позицію конкретною заявою, яка вивела розмови з теоретичної сфери: дослідження свідчать, що квантові атаки на 256-бітні еліптичні криві можуть стати можливими до президентських виборів у США 2028 року. Це менше ніж через два роки від сьогодні.

Ймовірність 20%, яку назвав Бутерін, не є маргінальною для ринку в 3 трильйони доларів. Навіть низька ймовірність катастрофічних ризиків вимагає серйозної інженерної відповіді. Він порівняв це з тим, як інженери проектують будівлі: землетрус малоймовірний цього року, але ймовірність за довгий період досить висока, щоб обґрунтувати планування архітектурних основ.

Одна важлива тонкість формує цей таймлайн. Якщо ви ніколи не витрачали кошти з адреси, на блокчейні залишається лише хеш вашого публічного ключа — форма, яка залишається квантово-стійкою. Але в момент ініціації транзакції ваш неперевірений публічний ключ стає видимим у мережі. Це має велике значення: усі сплячі адреси зберігають безпеку довше, але активні рахунки стикаються з відліком часу, коли алгоритм Шора стане доступним.

Чому ECDSA руйнується, коли алгоритм Шора зустрічає квантові комп’ютери

Уразливість зосереджена навколо асиметрії. У вашому гаманці:

• Ваш приватний ключ — велике випадкове число
• Ваш публічний ключ — точка на еліптичній кривій, математично виведена з приватного ключа
• Ваша адреса — хеш публічного ключа

На класичному обладнанні отримати публічний ключ із приватного — тривіальна задача. Зворотне — відновлення приватного з публічного — здається обчислювально неможливим через структуру задачі дискретного логарифму. Ця одностороння асиметрія і робить 256-бітний ключ практично непередбачуваним.

Алгоритм Шора руйнує цю асиметрію. Розв’язуючи рівняння дискретного логарифму за поліноміальний час, він зменшує те, що класичні комп’ютери потребують мільйонів років, до кількох годин або хвилин — за умови достатньої кількості кубітів.

Цей алгоритм 1994 року не новий. Змінилася лише інженерна траєкторія, що робить його практично здійсненним.

Прискорення квантових обчислень: Willow від Google і відлік часу

Терміновість Бутеріна відображає реальне прискорення розвитку квантового обладнання. У грудні 2024 року Google оголосила про Willow — процесор із 105 надпровідних кубітів, який виконав обчислення менш ніж за п’ять хвилин — завдання, яке сьогоднішні найшвидші суперкомп’ютери виконали б приблизно за 10 септильйонів років.

Ще важливіше: Willow продемонстрував «нижче за поріг» квантовий корекцій помилок, коли додавання більшої кількості кубітів знижує рівень помилок, а не збільшує їх. Це довгострокова ціль досліджень, досягнута нарешті, що свідчить про наявність конкретних кроків на шляху від сучасних систем до практичних квантових комп’ютерів.

Однак Хартмут Невен, директор Google Quantum AI, додав важливий контекст. Willow ще не може зламати сучасну криптографію. Зламати RSA-стандарт безпеки потрібно мільйони фізичних кубітів — далеко за межами нинішніх можливостей. Академічний консенсус стверджує, що для зламу 256-бітної еліптичної кривої за годину потрібно десятки або сотні мільйонів фізичних кубітів.

Проте IBM і Google мають публічні дорожні карти щодо створення квантових комп’ютерів з помилковою стійкістю до 2029–2030 років. Математика підтверджує: практична загроза алгоритму Шора і терміни розвитку квантового обладнання тепер збігаються.

Останній захист Ethereum: сценарій хард-форку

Ще до цих публічних попереджень Бутерін вже намітив екстрений план реагування Ethereum. Пост 2024 року на Ethereum Research описував «Як зробити хард-форк, щоб зберегти кошти більшості користувачів у квантовій надзвичайній ситуації» — план дій, якщо прориви у квантових технологіях заставлять екосистему непідготовленою.

Процедура передбачає етапи:

1. Виявлення та відкат: Ethereum поверне блокчейн до останнього блоку перед великим крадіжкою з використанням квантових технологій, фактично скасовуючи попередні викрадені транзакції.
2. Замороження вразливих рахунків: Традиційні зовнішні рахунки (EOA) з ECDSA будуть заморожені, щоб припинити подальші атаки через відкриті публічні ключі.
3. Міграція на квантово-стійкі гаманці: Новий тип транзакцій дозволить користувачам довести (через STARK-з нульовим знанням) контроль над початковим сидом, а потім перейти на квантово-стійкий смарт-контракт-гаманець.

Це — засіб екстреного відновлення, не найкращий сценарій. Але основна ідея Бутеріна — створювати інфраструктуру вже зараз: абстракцію акаунтів, надійні системи нульових знань, стандарти для пост-квантових підписів — а не панікувати під час кризи.

Створення інфраструктури пост-квантового рівня до того, як стане запізно

Обнадійлива новина: рішення вже існують. У 2024 році NIST завершила перший етап стандартизації трьох алгоритмів пост-квантової криптографії:

• ML-KEM для ключового обгортання
• ML-DSA і SLH-DSA для цифрових підписів

Ці алгоритми, засновані на решітковій математиці або хеш-функціях, є математично стійкими до атак алгоритму Шора. Звіт NIST і Білого дому 2024 року оцінює витрати у 7,1 мільярда доларів на міграцію систем федерального рівня США до пост-квантової криптографії у період з 2025 по 2035 рік.

На стороні блокчейну кілька проектів працюють над цим переходом. Naoris Protocol розробляє децентралізовану інфраструктуру кібербезпеки, що нативно інтегрує алгоритми NIST, сумісні з пост-квантовою криптографією. У вересні 2025 року цей протокол був поданий до SEC США як зразкова модель квантово-стійкої блокчейн-інфраструктури.

Naoris використовує механізм dPoSec (Decentralized Proof of Security): кожен мережевий пристрій стає валідатором, що в реальному часі перевіряє стан безпеки інших пристроїв. У поєднанні з пост-квантовою криптографією ця децентралізована сітка усуває єдині точки відмови в традиційних архітектурах безпеки. За даними Naoris, їхній тестнет обробив понад 100 мільйонів пост-квантово-захищених транзакцій і зменшив понад 600 мільйонів загроз у реальному часі. Основний мережевий запуск заплановано на початок 2026 року.

Абстракція акаунтів і квантово-готові гаманці: шлях уперед

Кілька інфраструктурних напрямків сходяться на стороні протоколів і гаманців. Абстракція акаунтів (ERC-4337) дозволяє користувачам мігрувати з зовнішніх акаунтів на оновлювані смарт-контракти-гаманці, що дає змогу змінювати схеми підписів без екстрених хард-форків або зміни адрес.

Деякі проєкти вже демонструють квантово-стійкі гаманці типу Lamport або XMSS на Ethereum — прототипи, що показують, що шлях оновлення технічно існує. Однак еліптичні криві виходять за межі ключів користувачів. Підписи BLS, KZG-зобов’язання та певні системи підтвердження ролапів також залежать від складності дискретного логарифму. Комплексна дорожня карта щодо квантової стійкості вимагає альтернатив для всіх цих компонентів одночасно.

Інфраструктурне завдання — не криптографічна інновація, а скоординоване розгортання у децентралізованій мережі. Це вимагає почати вже зараз, задовго до того, як криза змусить поспішати з реалізаціями.

Обережні голоси: коли час і оцінка ризиків розходяться

Не всі експерти поділяють відчуття терміновості Бутеріна. Адам Бек, CEO Blockstream і піонер Bitcoin, називає квантову загрозу «через десятиліття» і виступає за «послідовні дослідження, а не поспішні або руйнівні зміни протоколів». Його головна турбота: панічні оновлення можуть спричинити помилки у реалізації, що будуть більш небезпечними, ніж сама квантова загроза.

Нік Сабо, криптограф і теоретик смарт-контрактів, вважає, що ризик квантових атак — «завжди неминучий», але більше уваги слід приділяти нинішнім правовим, управлінським і соціальним загрозам. Він використовує думковий експеримент із «янтарем»: коли транзакційні блоки накопичуються навколо транзакції, можливість змінити її — навіть із гіпотетичними квантовими комп’ютерами — стає дедалі обмеженішою. Економічна та криптографічна історія закладає глибоку захисну систему.

Ці позиції не суперечать погляду Бутеріна; вони відображають різні часові горизонти та моделі ризику. Виникає консенсус, що міграцію слід починати вже зараз, оскільки перехід у децентралізованій мережі потребує років — навіть якщо вікно атаки залишається далеким.

Як захистити свої активи у передквантовому світі

Практичний висновок для власників криптовалюти залежить від часових рамок:

Для активних трейдерів: продовжуйте звичайні операції, слідкуйте за рішеннями щодо пост-квантової криптографії Ethereum і будьте готові мігрувати, коли з’явиться надійний інструментарій.

Для довгострокових власників: обирайте платформи та протоколи, що активно готуються до квантової стійкості. Віддавайте перевагу гаманцям і сховищам, здатним оновлювати криптографію без необхідності змінювати адреси.

Основні рекомендації для зменшення ризиків:

• Уникайте повторного використання адрес: менше відкритих публічних ключів — менше цілей, коли алгоритм Шора стане практичним
• Використовуйте оновлювані гаманці: смарт-контракти-гаманці з криптографічною гнучкістю довше зберігатимуть безпеку, ніж фіксовані EOA
• Слідкуйте за дорожньою картою Ethereum: слідкуйте за стандартизацією пост-квантових підписів

Ймовірність у 20% до 2030 року означає також 80% — що квантові комп’ютери не становитимуть загрози для крипто до цього часу. Але у ринку вартістю у трильйони доларів навіть 20% ризику катастрофічної втрати безпеки виправдовує серйозну підготовку.

Синтез Бутеріна відображає баланс: ставтеся до квантової загрози так само, як інженери ставляться до природних катастроф. Малоймовірно, що це зруйнує ваш дім цього року, але ймовірність у довгостроковій перспективі досить висока, щоб проектувати фундамент відповідно. Різниця в тому, що для інфраструктури блокчейну у нас ще є час закласти ці основи — за умови, що дія почнеться вже зараз, до того, як алгоритм Шора перейде з теоретичної загрози у практичну реальність.