У березні 2026 року дискусії щодо квантових обчислень і криптографічної безпеки знову набирають обертів. Після запуску компанією Google чипа Willow із 105 кубітами наприкінці 2024 року на ринку зберігається занепокоєння щодо того, "коли квантові комп’ютери зламають Bitcoin". Нещодавно ARK Invest і Unchained спільно опублікували аналітичний документ, який системно розглядає ці питання. На відміну від поширеної панічної концепції "Q-Day", звіт пропонує п’ятиетапну модель розвитку, доводячи, що загроза квантових обчислень для Bitcoin буде поступовою, відстежуваною і захищеною.
Чому загроза квантових обчислень для Bitcoin переоцінена?
Більшість сучасної паніки на ринку щодо квантових обчислень виникає через неправильне розуміння стану технології. Звіт ARK Invest підкреслює: ми перебуваємо на нульовому етапі п’ятиетапної моделі, коли "квантові комп’ютери існують, але ще не мають комерційної цінності". Цей період у наукових колах називається ерою NISQ — ерою квантових комп’ютерів середнього масштабу з високим рівнем шуму.
З кількісної точки зору, для зламу алгоритму цифрового підпису на еліптичних кривих Bitcoin (ECDSA) потрібно щонайменше 2 330 логічних кубітів і десятки мільйонів або навіть мільярди квантових операцій. Найсучасніші квантові процесори, такі як Willow, мають близько 100 фізичних кубітів, а рівень помилок значно перевищує поріг, необхідний для стійких обчислень. Різниця між сучасною технологією і необхідним рівнем для зламу Bitcoin доречно порівнюється із шляхом "від транзисторних радіоприймачів до смартфонів".
Як п’ятиетапна модель визначає еволюцію квантових ризиків?
П’ятиетапна модель ARK Invest формує для ринку спільну мову для відстеження прогресу ризиків. Ці етапи не є випадковими — вони базуються на інженерній траєкторії розвитку квантових обчислень і симетричному розвитку криптографічної атаки та захисту.
Етап 0 (поточний): Квантові комп’ютери існують, але не мають комерційної цінності і ще не становлять криптографічної загрози. Етап 1: Квантові системи досягають комерційних проривів у сферах хімії та матеріалознавства, але не пов’язані з криптографічними системами. Етап 2: Квантові комп’ютери здатні зламувати слабкі ключі або застарілі криптографічні системи — це дебют "криптографічно значущих квантових комп’ютерів" (CRQC), але вони атакують лише вразливі системи, не 256-бітний ECC Bitcoin. Етап 3: Квантові комп’ютери теоретично можуть зламати ECC, хоча й повільно; на цьому етапі основним ризиком стають ранні P2PK-адреси (з давно відкритими публічними ключами). Етап 4: Настає критичний поріг — квантові комп’ютери зламують приватні ключі швидше, ніж 10-хвилинний інтервал блоків Bitcoin. Якщо протокол не буде оновлено, Bitcoin опиниться під загрозою існування.
Які адреси піддаються атакам "Harvest Now, Decrypt Later"?
Обговорюючи квантові загрози, важливо розрізняти "пасивний ризик" і "активний ризик". Більшість адрес Bitcoin — ті, що починаються з 1, 3 або bc1 (формати P2PKH, P2SH, P2WPKH) — відкривають свої публічні ключі лише коротко під час трансляції транзакції. Для того, щоб зламати, підписати і транслювати транзакцію протягом 10 хвилин, необхідна обчислювальна потужність значно перевищує сучасні технологічні можливості.
Справжній ризик полягає в ранніх P2PK-адресах з 2009–2010 років. Публічні ключі цих адрес безпосередньо записані у блокчейн і постійно відкриті. Це дозволяє зловмисникам застосовувати стратегію "Harvest Now, Decrypt Later": масово завантажити ці публічні ключі зараз і чекати, поки квантові комп’ютери стануть достатньо потужними для їх зламу. За оцінками, ці високоризикові адреси містять від 2 до 4 мільйонів біткоїнів, зокрема близько 1,1 мільйона у гаманцях Сатоші Накамото.
Чи може постквантова криптографія випередити розвиток квантових комп’ютерів?
Це ключова гонка за майбутнє криптографічних мереж. Звіт ARK Invest подає відносно оптимістичний прогноз: розробка постквантової криптографії (PQC) наразі випереджає створення квантових комп’ютерів, здатних зламати шифрування Bitcoin.
Між 2025 і початком 2026 року сфера PQC демонструє значний прогрес. У 2024 році NIST офіційно оприлюднив стандарти FIPS 203 і FIPS 204, засновані відповідно на алгоритмах ML-KEM і ML-DSA. На симпозіумі Real World Crypto у березні 2026 року академічні та промислові кола представили нові можливості міграції до PQC: реалізації Threshold ML-DSA вже забезпечують прийнятну продуктивність у середовищах багатосторонніх обчислень, із затримкою підпису між континентами менше ніж 750 мілісекунд. Протокол Signal впроваджує вдосконалення XHMQV для балансування обчислювальних навантажень постквантових алгоритмів. Ці досягнення свідчать, що до моменту, коли квантові загрози досягнуть етапу 3, стандартизація та інженерна реалізація PQC можуть уже бути готові.
Скільки часу займе оновлення протоколу Bitcoin для квантової стійкості?
Терміни оновлення — ключова змінна для оцінки ризику. Співавтори BIP-360 раніше оцінювали, що повне постквантове оновлення може зайняти близько семи років, включаючи розробку рішення, досягнення консенсусу в спільноті, впровадження soft fork і оновлення вузлів по всій мережі.
Поєднуючи цей термін із сценарним аналізом ARK Invest: у збалансованому сценарії квантові комп’ютери досягають етапу 3 за 10–20 років; у песимістичному — прорив може статися раптово; в оптимістичному — розвиток квантових обчислень може надовго застопоритися через інженерні труднощі. Навіть у найтерміновішому песимістичному сценарії спільнота Bitcoin має простір для аварійного розгортання — кілька PQC-пропозицій можна прискорити під тиском. Семирічний цикл оновлення і десяти- чи більше річне вікно загрози створюють відносно комфортний запас часу, якщо розробники і спільнота почнуть дослідження і тестування вже зараз, а не чекатимуть сигналів етапу 2.
Чому квантові обчислення становлять більш безпосередню загрозу для зашифрованих комунікацій, ніж для Bitcoin?
Часто ігнорований факт: зашифровані месенджери піддаються більш прямому квантовому ризику, ніж Bitcoin. Експерти IBM нещодавно вказали, що інструменти з наскрізним шифруванням, такі як Signal і Threema, стикаються з нагальною проблемою "Harvest Now, Decrypt Later".
Причина полягає у відмінностях механізмів обміну ключами. Signal оновив свій протокол PQXDH у 2023 році для захисту сеансових ключів від майбутніх квантових загроз; Threema співпрацює з IBM для інтеграції алгоритму ML-KEM від NIST. На відміну від цього, тиск на оновлення Bitcoin зосереджений на алгоритмах підпису транзакцій і може бути пом’якшений поступовою міграцією форматів адрес. Якщо месенджери будуть масово розшифровані для історичних повідомлень, шкода для приватності буде незворотною, тому міграція до PQC у сфері комунікацій є більш нагальною.
Як ринок має трактувати квантове ціноутворення ризиків у 2026 році?
З точки зору ціноутворення активів, квантовий ризик не стане домінуючим фактором, що впливає на оцінку криптоактивів у 2026 році. У "2026 Digital Asset Outlook" від Grayscale зазначено: загрози квантових обчислень навряд чи вплинуть на ціни криптовалют у 2026 році, а квантове тестування агентств, таких як DARPA, показує, що квантові комп’ютери, здатні зламати криптографію, ще дуже далекі.
Однак "відсутність впливу на ціну" не означає "відсутність уваги". Ціноутворення ризиків на ринку часто має випереджальний характер — коли квантові обчислення досягнуть етапу 1 (комерційні застосування), крипторинки можуть почати коригувати премії за ризик; на етапі 2 (злам слабких криптосистем) ринок переходить у фазу "видимої загрози". Раціональна стратегія: у цей період ризикового вакууму у 2026 році створити систему відстеження прогресу PQC, а не чекати сигналів етапу 3 для поспішної реакції.
Підсумок
Вплив квантових обчислень на криптографічні мережі — це, по суті, поколінне оновлення криптографічної інфраструктури. Переформулювання загрози як "відстежуваного, поступового процесу" не покликане зменшити тривогу, а створює підґрунтя для обґрунтованих захисних дій.
Основні завдання поточного етапу очевидні: по-перше, активно мігрувати високоризикові адреси (P2PK), оскільки власники мають самостійно активувати ці сплячі біткоїни; по-друге, продовжити стандартизацію PQC на рівні протоколу — такі пропозиції, як BIP-360, потребують ширшого обговорення у спільноті і тестування на testnet; по-третє, створити механізми міжгалузевої співпраці, використовуючи інженерний досвід месенджерів Signal і Threema у міграції до PQC.
"Q-Day" не настане раптово, але й не залишиться назавжди відсутнім. Кожен крок від етапу 0 до етапу 4 — це симетрична гра між технічним співтовариством і зловмисниками. Чи переможе криптоіндустрія у цьому марафоні, залежить від сьогоднішніх рішень: чи залишаться квантові загрози далеким науково-фантастичним сценарієм, чи стануть частиною технічної дорожньої карти наступного десятиліття, поступово формуючи захисну інфраструктуру?
FAQ
Q: Що таке "Q-Day"? Чи справді він настане?
A: "Q-Day" — це гіпотетичний момент, коли квантові обчислення стануть достатньо потужними для зламу сучасних систем криптографії з відкритим ключем. Аналіз ARK Invest свідчить, що ця подія не станеться раптово, а наближатиметься поступово через помітні технологічні етапи, даючи спільноті достатньо часу для захисних оновлень.
Q: Чи мій Bitcoin зараз у безпеці? Чи потрібно його переміщати?
A: Переважна більшість Bitcoin із сучасними форматами адрес (наприклад, P2WPKH, P2TR) наразі і у найближчі 10–20 років перебуває у безпеці. Якщо ви зберігаєте Bitcoin на адресах P2PK до 2011 року, рекомендується самостійно мігрувати на сучасний формат адреси.
Q: Як мережа Bitcoin буде оновлюватися для квантової стійкості?
A: Головним чином через soft fork, що впроваджують постквантові алгоритми підпису, як запропоновано у BIP-360. Ці оновлення сумісні з існуючою моделлю UTXO. Користувачам не потрібно негайно діяти, але з часом доведеться перевести активи на нові формати адрес.
Q: Що квантові обчислення атакуватимуть першими?
A: Технічно злам слабких криптосистем (етап 2) відбудеться раніше, ніж злам ECC Bitcoin (етап 3). За рівнем терміновості, ризики "Harvest Now, Decrypt Later" для зашифрованих месенджерів є більш прямими, ніж для Bitcoin, оскільки такі протоколи, як Signal, можуть зберігати історичні повідомлення, які згодом будуть масово розшифровані.
Примітка щодо даних: Усі пороги кубітів, класифікації адрес і технічні часові рамки наведені відповідно до галузевих досліджень і технічних стандартів, доступних станом на 13 березня 2026 року. Щодо даних про ціни криптоактивів, звертайтеся до реальних котирувань Gate.
