31 березня 2026 року команда Quantum AI компанії Google опублікувала довгоочікуваний white paper, у якому оновлено технічну оцінку загроз квантових обчислень для криптоактивів. Співавторами звіту виступили Гартмут Невен, віцепрезидент Google Research, і Раян Беббуш, директор з досліджень квантових алгоритмів. У документі застосовано методики доказів із нульовим розголошенням для оприлюднення найновіших оцінок ресурсів, необхідних для квантових атак, а часовий горизонт загрози визначено до 2029 року. У white paper зазначено, що майбутнім квантовим комп’ютерам, релевантним для криптографії (CRQC), може знадобитися менше ніж 500 000 фізичних кубітів для зламу криптографії на еліптичних кривих (ECDSA), яка захищає Bitcoin та Ethereum, всього за кілька хвилин. Це твердження викликало значний резонанс у галузі та спонукало до нового аналізу вразливостей криптоактивів у квантову епоху.
9-хвилинна загроза і 6,9 мільйона BTC: ключові висновки white paper
Вперше Google публічно розкрила власну схему оптимізації квантових схем для розв’язання задачі дискретного логарифмування на еліптичних кривих (ECDLP-256) із довжиною 256 біт. Дослідження показує, що кількість логічних кубітів, необхідних для такої атаки, зменшилася з попередніх оцінок у кілька тисяч до лише 1 200–1 450, а кількість вентилів Тоффолі (базова операція у квантових обчисленнях) становить близько 70–90 мільйонів. Виходячи з поточних темпів розвитку надпровідникових квантових процесорів, Google прогнозує: CRQC із приблизно 500 000 фізичних кубітів зможе зламати ECDLP-256 за лічені хвилини.
У white paper виділено дві основні загрози для мережі Bitcoin. По-перше, застосування алгоритму Шора для прямого зламу приватних ключів невикористаних публічних адрес, насамперед так званих "сплячих адрес", серед яких приблизно 1,1 мільйона BTC, що, ймовірно, належать Сатоші Накамото. По-друге, "hijacking attacks" (атаки із захопленням транзакції): у приблизно дев’ятихвилинний проміжок між трансляцією транзакції та її підтвердженням у блоці зловмисник може швидко отримати приватний ключ відправника та змінити адресу призначення. За оцінками Google, до 6,9 мільйона BTC у мережі Bitcoin піддаються таким ризикам, що за поточними ринковими цінами становить понад 47 мільярдів доларів США.
Щодо Ethereum, у white paper зазначено, що складна логіка транзакцій платформ смартконтрактів і взаємодія рівня Layer 2 можуть призвести до п’яти векторів квантових атак, зокрема викрадення приватних ключів вузлів-валідаторів, підробки підписів у кросчейн-мостах і повторних атак на історичні стани. Google попереджає, що ці вектори можуть поставити під загрозу понад 100 мільярдів доларів заблокованих активів у мережі Ethereum.
Від алгоритму Шора до 2029 року: еволюція квантових загроз
Загроза квантових обчислень для криптографії з відкритим ключем відома давно. Ще у 1994 році математик Пітер Шор запропонував алгоритм Шора, довівши, що квантові комп’ютери можуть ефективно розв’язувати задачі факторизації великих чисел і дискретного логарифмування. У 2016 році Національний інститут стандартів і технологій США (NIST) розпочав проєкт стандартизації постквантової криптографії (PQC), а Google у тому ж році почала планування переходу на нові алгоритми.
До 2024 року NIST оприлюднив перший пакет стандартів постквантової криптографії, що ознаменувало перехід PQC від академічних досліджень до інженерних рішень. Google активно бере участь у формуванні галузевих стандартів, а у 2025 році компанія оголосила внутрішній графік переходу ключової інфраструктури на PQC до 2029 року. White paper 2026 року є продовженням та посиленням попередніх попереджень Google щодо цього терміну. У документі прямо згадується співпраця Google із Coinbase, Стенфордським центром досліджень блокчейну та Ethereum Foundation для розвитку механізмів відповідального розкриття вразливостей і стратегій міграції галузі.
Ключові віхи:
| Рік | Подія |
|---|---|
| 1994 | Пітер Шор пропонує алгоритм Шора, вказуючи на загрозу квантових обчислень для криптографії з відкритим ключем |
| 2016 | Google розпочинає дослідження постквантової криптографії; NIST запускає стандартизацію PQC |
| 2024 | NIST публікує перші проєкти стандартів PQC |
| 2025 | Google визначає внутрішній дедлайн завершити міграцію на PQC до 2029 року |
| Березень 2026 | Google публікує white paper з оцінкою ресурсів для квантових атак, що привертає широку увагу галузі |
Правда про 1 200 кубітів
Основні дані white paper ґрунтуються на двох ключових оптимізаціях: кількості логічних кубітів і числі вентилів Тоффолі. Дослідники зібрали дві квантові схеми: одну з 1 200 логічними кубітами та 90 мільйонами вентилів Тоффолі, іншу — з 1 450 логічними кубітами та 70 мільйонами вентилів Тоффолі. Порівняно з поширеною у 2024 році галузевою оцінкою у 20 000–30 000 логічних кубітів, результати Google зменшують необхідні ресурси майже у 20 разів.
З точки зору апаратного забезпечення Google екстраполювала дані на основі характеристик свого флагманського квантового процесора. Якщо вважати, що кожен логічний кубіт будується з приблизно 400 фізичних кубітів (з урахуванням накладних витрат на квантову корекцію помилок), то для 1 200 логічних кубітів потрібно близько 480 000 фізичних кубітів. З огляду на темпи масштабування квантового обладнання на 1,5–2 рази на рік, Google вважає досягнення такого масштабу до 2029 року цілком реалістичним.
| Ціль атаки | Необхідно логічних кубітів | Вентилі Тоффолі | Орієнтовний час виконання |
|---|---|---|---|
| Злам ECDLP-256 (схема 1) | 1 200 | 90 мільйонів | Хвилини |
| Злам ECDLP-256 (схема 2) | 1 450 | 70 мільйонів | Хвилини |
| Попередні галузеві оцінки | 20 000–30 000 | Не вказано | Від годин до днів |
За даними ринку Gate, станом на 1 квітня 2026 року Bitcoin (BTC) коштує $68 201,5, добовий обсяг торгів — $821,63 млн, ринкова капіталізація — $1,41 трлн, частка ринку — 55,68%. Ethereum (ETH) коштує $2 103,61, добовий обсяг торгів — $407,98 млн, ринкова капіталізація — $249,77 млрд, частка ринку — 10,08%. Якщо ризики, описані у white paper, реалізуються, лише під загрозою 6,9 мільйона BTC опиниться понад $47 млрд за поточними цінами, а $100 млрд у ризику для Ethereum становитимуть понад 40% його ринкової капіталізації.
Розбіжності в оцінках ринку: від паніки до раціональності
Після публікації white paper основні думки й суперечки як у галузі, так і поза нею швидко розділилися.
Прихильники — серед яких Google, окремі академічні установи та спільноти дослідників безпеки — переконані: відповідальне розкриття точних вимог до ресурсів для квантових атак є ключовим для оновлення галузі. Застосування Google доказів із нульовим розголошенням для перевірки здійсненності атак без розкриття схем вважається новою моделлю балансу між прозорістю та безпекою. Пряме згадування партнерів, таких як Coinbase, Стенфордський центр досліджень блокчейну та Ethereum Foundation, свідчить, що провідні гравці ринку визнають і беруть участь у механізмі попередження про ризики.
Опоненти й скептики зосереджуються на трьох аспектах: терміновості часових рамок, можливих ринкових потрясіннях через розкриття інформації та стійкості поточних архітектур блокчейну. Деякі учасники криптоспільноти вважають, що попри заяву white paper про "відповідальне розкриття", його публікація неминуче провокує панічні дискусії, які можуть підірвати довіру до криптоактивів нефінансовими методами. Окрім того, розробники ядра Bitcoin наголошують: навіть якщо квантові атаки стануть технічно можливими, мережа Bitcoin не залишиться беззахисною. Наприклад, хоча оновлення Taproot може в окремих сценаріях збільшити площу атаки, воно також закладає підґрунтя для гнучкіших скриптів і схем підпису.
| Тип думки | Представники | Основна позиція |
|---|---|---|
| Проактивне попередження | Google, деякі академічні установи | Відповідальне розкриття — ключ до оновлення галузі; міграція на PQC здійсненна |
| Обережний оптимізм | Деякі розробники ядра | Квантові загрози реальні, але мережа може оновитися через soft fork тощо |
| Скептицизм і опозиція | Частина криптоспільноти, інвестори | Розкриття може посилити паніку; реальні пороги атак значно вищі за теоретичні оцінки |
Три аспекти white paper
Аналізуючи white paper Google, важливо розрізняти факти, думки та прогнози.
Google справді опублікувала white paper, що містить конкретні дані про компіляцію квантових схем (1 200 логічних кубітів, 70 мільйонів вентилів Тоффолі тощо), підтверджені доказами з нульовим розголошенням. Google визначила термін міграції до 2029 року та має фактичну співпрацю з організаціями, зокрема Ethereum Foundation. У документі прямо зазначено, що оновлення Taproot у Bitcoin може збільшити площу атаки.
Твердження на кшталт "квантові обчислення можуть завершити існування Bitcoin раніше, ніж очікувалось" відображають висновки дослідницької групи. Оцінка 6,9 мільйона BTC під загрозою базується на припущенні, що "всі довготривалі сплячі адреси не вжили захисних заходів", що не завжди відповідає дійсності. Аналогічно, попередження про п’ять векторів атак на Ethereum ґрунтуються на припущенні, що зловмисники вже мають у розпорядженні CRQC.
Реалістичність досягнення квантовими комп’ютерами описаного у white paper масштабу до 2029 року — це екстраполяція на основі поточного прогресу апаратного забезпечення. Чи зможе кількість фізичних кубітів зрости з сотень нині до 500 000 за три роки, залежить від проривів у квантовій корекції помилок і виробництві обладнання, що залишається дуже невизначеним.
Варто згадати й порівняння з дописом Сатоші Накамото на форумі у 2010 році. На подібні дискусії про технологічні прориви він відповів: "Якщо SHA-256 буде повністю скомпрометовано, думаю, ми зможемо досягти консенсусу щодо відкату блокчейну до відомого доброго стану й продовжити роботу звідти." Це перегукується із сучасним консенсусом у галузі: "Шифрування завжди простіше, ніж злам", і підкреслює, що адаптивність криптоактивів є складовою їхньої моделі безпеки.
Від бірж до самостійного зберігання: реструктуризація галузі у постквантову епоху
White paper Google вже призвела до трьох помітних змін у криптоіндустрії.
По-перше, пришвидшено перехід від теоретичної постквантової криптографії до інженерних впроваджень. Після публікації стандартів PQC у 2024 році деякі нові блокчейни та Layer 2-проєкти розпочали тестування схем підпису Falcon і Dilithium. Після виходу white paper обговорення "термінів міграції на PQC" поширилися з академічного середовища на біржі, постачальників гаманців і операторів майнінг-пулів. Для великих бірж проєктування систем адрес для депозитів і виведення, сумісних із PQC, із одночасним захистом поточних активів стане технічним викликом найближчих двох років.
По-друге, визначено чіткі вимоги до оновлення для користувачів самостійного зберігання та спадкових проєктів. Ризик для 6,9 мільйона BTC, на якому акцентовано у white paper, стосується двох типів адрес: довготривалих "сплячих адрес" і UTXO, які використовують публічні ключі (наприклад, формат Legacy P2PK). Це означає, що кожен користувач, який досі застосовує застарілі формати адрес або тримає активи, що не рухались тривалий час, із часом лише збільшує свою вразливість. Для проєктів смартконтрактів, розгорнутих до 2017 року, якщо їхня логіка перевірки підписів не допускає оновлення, може виникнути перманентний "замок" безпеки.
По-третє, виникла потреба переосмислення механізмів управління активами на блокчейні. Якщо квантові атаки стануть реальністю, питання швидкого замороження викрадених активів, координації soft fork для PQC на рівні всієї мережі та обробки незворушних активів на ранніх адресах, як у Сатоші, стануть новими викликами, що виходять за межі технологій і потребуватимуть соціальної координації всієї галузі.
Три сценарії майбутнього: моделювання квантової епохи
Виходячи з поточного прогресу технологій і реакції галузі, можна виділити три ймовірні сценарії:
Сценарій 1: Оптимістичний (міграція на PQC випереджає квантові атаки). У цьому випадку основні блокчейни, біржі та постачальники гаманців завершують оновлення до PQC до 2028 року, а основні адреси активів переходять на стійкі до квантових атак схеми підпису. Навіть якщо у 2029 році квантові комп’ютери досягнуть можливості зламу, мережа вже не має вразливих поверхонь для атак. Для цього необхідні швидкий консенсус і достатні інженерні ресурси.
Сценарій 2: Песимістичний (квантові атаки випереджають оновлення галузі). Прориви у квантовому обладнанні відбуваються швидше, ніж очікувалось, і зловмисники отримують можливість зламу до завершення міграції на PQC. Мережі Bitcoin та Ethereum стикаються з масовими витоками приватних ключів, ринкова довіра руйнується, а вартість активів стрімко падає. Галузь може вдатися до екстремальних заходів: замороження вразливих адрес за соціальним консенсусом, відкату транзакцій або навіть запуску нових ланцюгів.
Сценарій 3: Найімовірніший (фазове оновлення та локалізовані ризики). Галузь завершує міграцію основних форматів адрес на PQC у 2028–2030 роках, але багато "довгохвостих" активів, спадкових проєктів і неоновлених адрес самостійного зберігання залишаються під загрозою. Квантові атаки починаються з прицільних ударів по великих, слабо захищених адресах. Управління ризиками переходить від "єдиного галузевого оновлення" до "пріоритетного захисту критичних активів".
Висновок
White paper Quantum AI від Google за 2026 рік — це не апокаліптичне пророцтво для світу криптовалют, а технічне попередження про ризики, що стають дедалі точнішими. Документ перетворює квантові атаки з "далеких теоретичних загроз" на "кількісно вимірювані інженерні виклики", надаючи галузі цінне вікно для оновлення. Завдяки оновленню Taproot у Bitcoin чи гнучкій архітектурі смартконтрактів Ethereum вже закладено технічну основу для постквантової криптографії. Для кожного учасника криптоекосистеми розуміння природи квантових загроз, оцінка власної експозиції до ризиків і проактивне слідування міграції на PQC стануть центральними для захисту цифрових активів у найближчі роки. Історія криптографічних технологій не раз доводила: справжню безпеку забезпечує не ігнорування загроз, а передбачення викликів і системна відповідь на них.
