#GoogleQuantumAICryptoRisk

Google Quantum AI только что опубликовала белую книгу, в которой тихо сжата одна из самых значимых временных линий в истории криптовалют, и большинство людей еще не полностью осознали, что это означает.

Основной вывод таков: взлом эллиптической кривой, на которой основаны Bitcoin и Ethereum, может потребовать примерно 500 000 физических кубитов на быстром сверхпроводящем системе — а не миллионы, как предполагали предыдущие модели. Это в 20 раз повысило эффективность выполнения оптимизированной версии алгоритма Шора, квантового метода, предназначенного именно для разрушения математической основы ECDSA-подписей. Сопутствующая статья от Oratomic предполагает, что нейтрально-атомные квантовые компьютеры могут сделать это с всего лишь 26 000 физических кубитов, жертвуя скоростью ради масштаба, затрачивая примерно 10 дней на ключ. Оба числа все еще недостижимы сегодня. Важное слово — «сегодня».

Поверхность атаки не равномерно распределена. Она сосредоточена в определенном классе адресов: устаревших кошельках P2PKH, где публичный ключ уже был раскрыт в блокчейне через предыдущие траты. Около 30–35 процентов всего циркулирующего запаса Bitcoin находится в таких адресах. Это включает монеты эпохи Сатоши, давно неактивные кошельки и адреса ранних майнеров, которые никогда не меняли свои ключи. Google оценивает, что примерно 1,7 миллиона бездействующих BTC и всего 6,9 миллиона BTC потенциально подвержены риску. Со стороны Ethereum цифры еще более впечатляющие — более $100 миллиардов долларов ETH находятся под угрозой, при этом выявлены уязвимыми топ-1000 кошельков и как минимум 70 крупных смарт-контрактов, включая контракты, обеспечивающие ключевые стейблкоины.

Это та асимметрия, которую большинство обсуждений игнорируют. Квантово-способный злоумышленник не должен взломать каждый кошелек. Ему нужно взломать именно те, что важны. Он может опередить транзакцию, как только публичный ключ будет опубликован в мемпуле, и получить приватный ключ до подтверждения блока. В статье Google предполагается, что эта атака «на траты» может быть выполнена менее чем за 10 минут в условиях продвинутых квантовых сценариев. Этот промежуток короче среднего времени блока Bitcoin.

Уязвимость Bitcoin здесь структурная и связана с управлением. Протокол использует ECDSA с кривой secp256k1 — именно ту категорию криптографии, которую Google отметил как требующую срочной миграции. Однако у Bitcoin нет согласованного плана перехода на постквантовую криптографию, нет выделенного финансирования для этого перехода и нет согласованных сроков. Децентрализованная модель управления, которая придает Bitcoin легитимность, также делает протокольные криптографические миграции чрезвычайно медленными. Мягкий форк с внедрением постквантовых подписей, таких как FALCON или SPHINCS+, потребовал бы годы согласования разработчиков, тестирования и активации. В то же время, бездействующие адреса не могут самостоятельно мигрировать. Принудительная ротация ключей потребовала бы либо механизмов управления на блокчейне, которых не существует, либо фактически сделала бы старые форматы адресов непотрачиваемыми — что поднимает вопросы конфискации и управления, которые сообщество исторически не смогло решить.

Ethereum находится в более структурированном положении, хотя и не застрахован. Фонд Ethereum уже восемь лет разрабатывает дорожную карту по постквантовой криптографии, охватывающую все уровни протокола. Команда уже проводит еженедельные тестовые сети для схем постквантовых подписей. Возможность координировать обновления через хардфорки дает Ethereum конкретный путь вперед, которого сейчас нет у Bitcoin. Эта асимметрия в управлении реальна, и она станет важной по мере сокращения временных рамок.

Объективная оценка вероятности: Джастин Дрейк, исследователь Ethereum и соавтор документа, оценивает вероятность появления криптографически значимого квантового компьютера в 10 процентов к 2032 году. Чарльз Эдвардс из Capriole Investments ставит вероятность Q-Day в 85 процентов к 2032 году. Разница между этими оценками говорит о важном — никто на самом деле не знает, и неопределенность не сокращается так быстро, как растут показатели кубитов. Сам Google установил внутренний дедлайн на 2029 год для миграции своей инфраструктуры аутентификации на постквантовую криптографию. Это сигнал, который стоит воспринимать всерьез. Когда организация, создающая самый мощный квантовый компьютер в мире, решает завершить свою миграцию за три года, остальная индустрия должна рассматривать это как ориентир, а не как отдаленную теоретическую проблему.

Что это не: неминуемая угроза, причина панической распродажи или доказательство того, что криптовалюта сломана. Лучшие квантовые системы сегодня — включая собственный чип Willow от Google — работают примерно с 100 до 1000 шумных, ошибко-склонных физических кубитов. Разрыв между текущим оборудованием и необходимыми 500 000 стабильных, исправленных ошибок кубитов остается огромным. Механизм proof-of-work Bitcoin и хеширование SHA-256 считаются квантоустойчивыми в ближайшей перспективе; алгоритм Гровера теоретически может сократить сложность майнинга вдвое, но это управляемо удвоением длины ключа и гораздо менее срочно, чем проблема подписей.

Что это: событие сжатия, подчеркивающее срочность обсуждения миграции. Времени было никогда не бесконечно. Теперь модели показывают, что оно значительно короче, чем предполагали предыдущие оценки. Практические шаги для тех, кто держит криптовалюту сегодня, просты — перейти на адреса Taproot или Bech32, перестать повторно использовать адреса и избегать оставления публичных ключей в устаревших форматах без защиты. Это действия с низким сопротивлением, которые дают время независимо от того, как решаются вопросы управления.

Глубокий вопрос — сможет ли сообщество Bitcoin добиться такого согласованного криптографического перехода, который теперь требует его модель угроз, в рамках временных рамок, которые предполагает поведение Google. Техническое решение есть. Решение управленческое еще нет.