Биткойн должен стать устойчивым к квантовым атакам к 2029 году

Криптограф из Стэнфорда Дэн Бонех заявляет, что Биткойн должен уже сейчас готовиться к квантовым взломам, но предупреждает, что поспешный переход к постквантовым технологиям может привести к более серьезным сбоям, чем сама угроза.

Дискуссия о постквантовом переходе Биткойна набирает обороты после того, как Изабель Фоксен Дюк привлекла внимание к свежему интервью со stanfordским криптографом Дэном Бонехом, который утверждал, что в ближайшей перспективе большую опасность может представлять не столько неминуемая квантовая атака на сеть, сколько ошибочная миграция.

В интервью Бонех сказал: «Не паникуйте, но и не игнорируйте», охарактеризовав квантовый риск как серьезную долгосрочную инженерную проблему, а не как неминуемое событие, означающее конец Биткойна (BTC).

«По моему мнению, поспешный переход к постквантовой системе с большей вероятностью приведёт к катастрофической ошибке… чем вероятность того, что на нас нападет квантовый компьютер»
— говорит криптограф из Стэнфорда @danboneh о потенциальном переходе Биткойна к постквантовой системе Изабель Фоксен Дюк️

Его наиболее остроумное замечание, получившее широкое распространение в X (бывшей Twitter), прозвучало так: «Если попытаться агрессивно перейти на постквантовую архитектуру, например, к 2029 году, я считаю, что это будет ошибкой для блокчейна», добавив, что, по его мнению, поспешный переход на постквантовую архитектуру с большей вероятностью приведет к катастрофической ошибке, чем к атаке со стороны квантового компьютера.

Почему в сообществе Биткойна сейчас обсуждают квантовые технологии?

Непосредственным поводом послужила опубликованная 30 марта белая книга Google Quantum AI, соавтором которой является Бонех, в котором говорится, что алгоритм Шорса для решения задачи дискретного логарифма по эллиптической кривой длины 256 бит на secp256k1 может работать с использованием ≤1200 логических кубитов и ≤90 миллионов вентилей Тоффоли или ≤1450 логических кубитов и ≤70 миллионов вентилей Тоффоли.

В документе также отмечается, что на сверхпроводящих архитектурах с уровнем физических ошибок 10−310−3 и плоской связностью такие схемы могут выполняться за считанные минуты с использованием менее полумиллиона физических кубитов.

Бонех сказал Фоксену Дюку, что оценки Google имеют значение, но он по-прежнему считает появление квантового компьютера, значимого с точки зрения криптографии, до 2035 года возможным, но маловероятным при текущем уровне финансирования. Он отметил, что достижение каких-либо результатов к концу десятилетия кажется весьма амбициозной задачей, хотя и не невозможной, если бы эта область рассматривалась как национальный приоритет.

Это противоречие уже отразилось на управлении Биткойном. BIP 361, озаглавленный «Миграция на постквантовые системы и прекращение использования устаревших подписей», гласит, что по состоянию на 1 марта 2026 года более 34% всех биткойнов раскрыли открытый ключ в цепочке, что теоретически делает эти UTXO уязвимыми для достаточно мощного квантового компьютера.

Что на самом деле предлагает Бонех?

Бонех не призывает к самоуспокоенности. Он заявил, что Биткойн переживет квантовую угрозу, и назвал утверждения о том, что это невозможно, «безумными», поскольку основной путь уже известен: перевести пользователей на постквантовые адреса и подписи, а затем постепенно отказаться от уязвимых устаревших механизмов.

Однако он также раскритиковал сжатые сроки миграции. В интервью он отметил, что такое предложение, как BIP 361, требует более тщательной проработки и больше времени, указав при этом на более разумный подход, предполагающий переход в более отдаленной перспективе.

Спор выходит за рамки сроков. Бонех утверждал, что Биткоину следует серьёзно рассмотреть возможность использования гибридных подписей, сочетающих существующую криптографию на основе эллиптических кривых с постквантовыми схемами, вместо того чтобы навязывать резкий переход. Он также заявил, что предпочёл бы подписи на основе решёток, а не чисто хеш-ориентированные решения, поскольку они оставляют больше пространства для пороговых подписей и дальнейших криптографических инноваций.

Этот аргумент вписывается в более широкую тенденцию в отрасли. В другом репортаже crypto.news консультанты Coinbase аналогичным образом предупредили, что угроза не является непосредственной, но подготовка не может ждать. А в материалах crypto.news сохраняется текущий консенсус о том, что на сегодняшний день ни одна существующая машина не способна взломать Биткойн, даже несмотря на то, что расчетный порог ресурсов снижается.