Заголовки о квантовых вычислениях все чаще намекают, что Bitcoin находится на грани краха: утверждается, что будущие машины смогут взломать его криптографию за считанные минуты или полностью подавить сеть.
Но академические исследования рисуют более ограниченную картину. Некоторые широко цитируемые «прорывы» опираются на упрощенные задачи, которые не отражают реальную криптографию. А квантовые атаки на Bitcoin? Энергия, требуемая для этого, эквивалентна небольшая звезде — об этом говорят исследовательские работы, которыми на X делился предприниматель в сфере оборудования для Bitcoin Родольфо Новак.
Безопасность Bitcoin основывается на двух разных видах математики, и квантовые компьютеры угрожают им двумя разными способами.
Во-первых, известной как алгоритм Шора, — уделяется внимание безопасности кошельков. В теории он позволяет достаточно мощному квантовому компьютеру вывести приватный ключ из публичного ключа. Это дало бы атакующему возможность напрямую взять контроль над средствами, нарушив гарантии владения, на которых держится bitcoin.
Во-вторых, известной как алгоритм Гровера, — рассматривается майнинг. Он дает теоретическое ускорение для процесса проб и ошибок, который выполняют майнеры, — но, как показано в одной из статей ниже, это преимущество в значительной степени исчезает, стоит только попытаться построить такую машину.
Две эти угрозы часто смешивают в заголовках. Но они проявляются совершенно по-разному, если учесть ограничения реального мира.
Две недавние работы, отмеченные в треде на X — одна трезвый инженерный разбор, другая — беззлобная сатира — приводят этот тезис с противоположных сторон. Вместе, как предполагается, наряду с тредом, который суммирует контрарные исследования и точки зрения, текущая паника в crypto Twitter смешивает реальную долгосрочную обеспокоенность с новостным циклом, поставленным как театр.
Майнинг упирается в стену из физики
Первая статья — от Пьера-Люка Дальера-Демерса и команды BTQ Technologies, опубликованная в марте 2026 года, — задается вопросом: сможет ли квантовый компьютер реально перемайнить BTC с помощью Grover’s algorithm, квантовой техники, которая позволяет компьютеру «угадывать» решение задачи гораздо быстрее, чем любая обычная машина — в случае bitcoin это ускоряет процесс проб и ошибок, который майнеры используют, чтобы находить валидные блоки.
Ставки выше, чем звучит. Именно майнинг защищает BTC от атаки 51% — сценария, в котором один участник контролирует достаточно большую мощность хеширования, чтобы переписать недавнюю историю транзакций, сделать double-spend монет или цензурировать сеть. Если бы квантовый майнер смог доминировать в производстве блоков, под угрозой оказался бы сам консенсус, а не только отдельные кошельки.
В теории Grover дает путь к такому доминированию. На практике, считают исследователи, ответ рушится, как только вы учитываете стоимость оборудования и его требования к энергии. Запуск Grover против SHA-256 — математической формулы, которую майнеры bitcoin соревнуются решить, чтобы добавить новые блоки в blockchain и получить награды — физически невозможен.
Запуск алгоритма на bitcoin потребовал бы квантового оборудования масштаба, который никто не знает, как построить.
На каждом шаге поиска выполняются сотни тысяч деликатных операций, и для каждой из них требуется собственная выделенная система поддержки из тысяч qubits — только чтобы держать ошибки под контролем. А поскольку bitcoin производит новый блок каждые десять минут, у любого атакующего будет лишь узкое окно времени, чтобы закончить задачу, заставляя его запускать огромные количества таких машин параллельно.
На Bitcoin’s January 2025 difficulty авторы оценивают, что квантовый «флот» майнинга потребовал бы примерно 10²³ qubits, потребляя 10²⁵ watts — это приближается к энергетическому выходу звезды (для справки: это все еще 3% от солнечной энергии Земли). Вся текущая Bitcoin blockchain при этом потребляет около 15 gigawatts.
Квантовая атака 51% — это не только дорого. Она физически недостижима в любом масштабе, который реально может потянуть цивилизация.
Записи о квантовом факторинге — в основном театр
Вторая статья — от Питера Гаттмана из University of Auckland и Стефана Нойхауса из Zürcher Hochschule в Швейцарии — нацелена на другой аспект нарратива: ровный барабанный бой заголовков о том, что квантовые компьютеры уже начинают взламывать шифрование.
Авторы ставят задачу воспроизвести каждый крупный квантовый «прорыв» в факторинге за последние два десятилетия. У них это получается — с помощью домашнего компьютера VIC-20 1981 года, абака и собаки по имени Scribble, натренированной лаять три раза.
Шутка попадает в точку, потому что основной смысл серьезен. Факторинг — это математическая задача в основе большинства современных видов шифрования: нужно взять очень большое число и найти два простых числа, которые при умножении дают это число.
Для числа, содержащего сотни цифр, считается, что это фактически невозможно на любом обычном компьютере. Grover’s algorithm, квантовая техника, лежащая в основе угрозы для bitcoin wallet, — причина, по которой люди переживают, что квантовые машины в конечном итоге смогут сделать это.
Но, по словам Гаттмана и Нойхауса, почти каждую демонстрацию на сегодняшний день «подтасовывали». В некоторых случаях исследователи выбирали числа, у которых скрытые простые множители находились всего в нескольких цифрах друг от друга, так что их было легко угадать с помощью простого трюка на обычном калькуляторе.
В других случаях они сначала запускали сложную часть задачи на обычном компьютере — шаг, называемый preprocessing, — а затем передавали квантовой машине обрезанную, тривиально легкую версию, чтобы «решить». Квантовому компьютеру засчитывают «прорыв», но реальную работу сделали где-то еще.
Авторы сосредотачиваются на одной недавней статье, в которой утверждалось, что китайская команда с помощью D-Wave machine добилась прогресса в направлении взлома RSA-2048 — стандарта шифрования, который защищает большую часть банковских операций, email и e-commerce трафика в интернете.
Исследователи опубликовали десять примерных чисел в качестве доказательства. Гаттман и Нойхаус прогнали эти числа через эмулятор VIC-20 и восстановили ответы примерно за 16 секунд на каждое число. Простые числа были подобраны так, чтобы располагаться всего в нескольких цифрах друг от друга, что делало их легко находимыми с помощью алгоритма, который математик John von Neumann адаптировал из абак-техники в 1945 году.
Почему это продолжает происходить? Авторы предлагают простое объяснение: quantum factoring — поле с высоким профилем и ограниченным количеством реальных результатов, а стимул публиковать что-то впечатляюще звучащее очень силен.
Выбор заранее «подкрученных» чисел или выполнение большей части работы в классическом режиме позволяет исследователям заявлять новый «рекорд», не продвигая лежащую в основе науку. В статье предлагаются новые стандарты оценки, которые требовали бы случайных чисел, отсутствия preprocessing и сохранения множителей в секрете от экспериментаторов. Ни одна демонстрация на сегодняшний день им бы не соответствовала.
Вывод не в том, что квантовые вычисления безвредны. И не в том, что каждый заголовок о «прорыве» означает реальный прогресс на пути к взлому современного шифрования — и трейдерам стоит скептически относиться к следующему подобному сообщению, когда оно появится.
Что по-прежнему заслуживает беспокойства
Ни одна из этих статей не отвергает квантовую угрозу полностью.
Реальная уязвимость — это bitcoin wallets, а не майнинг. Миллионы bitcoin лежат в старых или повторно используемых адресах, где ключевая информация уже раскрыта в blockchain, что делает их наиболее вероятной долгосрочной целью, если квантовые машины улучшатся.
С момента публикации этих работ изменилось не то, насколько реальна угроза, а оценки. Недавняя статья исследователей из Google предполагает, что вычислительная мощность, необходимая для такой атаки, может резко снизиться: шифрование, которое защищает Bitcoin blockchain, станет уязвимым в атаке, которая займет минуты.
Это не означает, что атака близка. Авторы раскрывают в статье, что создание такой машины в настоящее время физически невозможно и требует инженерных достижений, которые еще не сделаны: от лазеров, управляющих qubits, до скорости, с которой их можно считывать, и до способности удерживать десятки тысяч атомов во взаимодействии без потерь.
Есть также признаки того, что общественное представление может быть неполным. В некоторых недавних исследованиях ключевые технические детали скрывали, а эксперты предупреждали, что прогресс в этой области может быть не всегда открыто делиться.
Тем не менее, разработчики уже работают над исправлениями, включая способы снизить раскрытие ключей и новые типы подписей, разработанные для устойчивости к квантовым атакам.
Рынки отражают мнение, что эта угроза все еще «застряла в учебнике». Трейдеры видят невысокий шанс того, что bitcoin заменит свой майнинговый алгоритм до 2027 года, но оценивают гораздо более высокую вероятность — примерно 40% — для обновлений вроде BIP-360, нацеленных на снижение риска для wallet.
Квантовая угроза Bitcoin реальна, но важно помнить, что создание машин, используемых для атаки на blockchain, ограничено пределами физики.
