Квантова криза наближається до блокчейну: ваші криптоактиви вже розкриваються «майбутнім»

Автор: Центр досліджень Web4

«Майбутнє вже настало, просто розподілено нерівномірно». — Вільям Ґібсон

Дев’яти хвилин достатньо, щоб одна чашка кави охолола, і достатньо, щоб квантовий комп’ютер зламав ваші приватні ключі зашифрованих активів.

Уявіть собі таку сцену.

Ви щойно ініціювали переказ, підтвердили адресу та натиснули «надіслати». Протягом наступних десяти хвилин ця транзакція тихо лежить у mempool’і, очікуючи, поки майнер її упакує. Вам здається це безпечним — адже еліптичнокриві криптографічні методи (ECC) захищають найдорожчі цифрові активи цього світу вже десятиліття, і жодного разу не помилялися.

Але ви не знаєте, що в одному з куточків Землі квантовий комп’ютер уже зафіксував вашу транзакцію. На ланцюгу він перехопив вашу відкриту адресу, а потім — за дев’ять хвилин, швидше за середній час майнінгу провідних зашифрованих активів — ваш приватний ключ було виведено, а кошти перенесено на адресу, яку ви не знаєте.

Це не сюжет із наукової фантастики, не сценарій голлівудського фільму.

Це 31 березня 2026 року, і в офіційному технічному блозі команди Google Quantum AI дослідження викладено на папері чітко й однозначно.

Згідно з опублікованими Google даними дослідження, за умови, що атакувальна сторона заздалегідь здійснює часткові теоретичні попередні розрахунки, достатньо потужному квантовому комп’ютеру потрібно приблизно 9 хвилин, щоб зламати приватний ключ зашифрованого активу, тоді як середній час формування блоку у провідних зашифрованих активах становить 10 хвилин. Це означає, що в часовому вікні, коли транзакція чекає на пакування, у нападника є близько 41% імовірності успішно перехопити й підмінити цю транзакцію.

Дослідження Google також указує, що нападнику може бути достатньо менш ніж 500 000 квантових бітів, щоб отримати змогу здійснювати ефективні атаки на наявні криптографічні алгоритми; а за наявності 1 200–1 450 високоякісних квантових бітів деякі типи практичних атак теоретично вже матимуть простір для реалізації. Це число явно нижче порогової позначки «потрібні мільйони квантових бітів», яку в галузі протягом тривалого часу довго цитували.

Ось що таке «квантова довірча криза» — системний ризик, прихований за кривою еволюції обчислювальної потужності, який уже відраховує час. Він не спрямований на якийсь один ланцюг чи конкретний протокол — він вказує на весь світ цифрових активів, що покладається на еліптичнокриву криптографію. Коли довіра буде зруйнована квантовим комп’ютером з математичного кореня, головна ціннісна пропозиція криптованих активів — «детермінованість без довіри» — більше не існуватиме.

Більш того, у цьому блозі Google навела безпрецедентно жорсткий графік: до 2029 року необхідно завершити міграцію на постквантову криптографію (PQC). Це не порада і не прогноз, а інженерний дедлайн. Також Google оголосила, що співпрацює з Coinbase, Центром досліджень блокчейну Стенфордського університету, Фондом Ethereum та іншими організаціями, щоб спільно просувати цю, можливо, найглибшу зміну базової безпеки з часів народження криптовсесвіту.

У блозі є одна фраза, яка особливо ріже слух — «терміновість дій дедалі зростає».

Ця фраза не є перебільшенням. Ваш «безпековий коридор» для криптованих активів закривається зі швидкістю, яку видно неозброєним оком.

Квантова криза — не кінець криптовсесвіту, а його обряд дорослішання — вона змушує галузь перейти від «технічних іграшок» до інфраструктури рівня інститутів.

I. «Ахіллесова п’ята» ECDLP-256: чому квантовий комп’ютер здатен легко розірвати її?

Щоб зрозуміти суть цієї кризи, спершу треба з’ясувати базове питання: за рахунок чого квантовий комп’ютер може зламувати наявну криптографічну систему?

Нині, включно з Ethereum і більшістю провідних публічних ланцюгів, використовується еліптичнокривий цифровий підпис (ECDSA) та базовий протокол ECDLP-256. Математичний фундамент цієї системи — це задача дискретного логарифму на еліптичних кривих: для традиційних обчислювачів потрібен час на рівні астрономічних величин.

Уявіть це як дуже складну задачу з математики. Традиційний комп’ютер може перебирати відповіді одну за одною — аж до загибелі Всесвіту, але все одно не знайде. Натомість, коли квантовий комп’ютер запускає алгоритм Shor, спосіб розв’язання повністю інший. Це не «перебирання» відповідей, а використання можливості паралельних обчислень у квантовій суперпозиції, що докорінно змінює складність розв’язання задачі.

Насправді головна загроза квантової атаки — це система відкритих ключів, а не хеш-алгоритми. Алгоритм Grover для хеш-функцій дає лише квадратичне прискорення, а не експоненційне; тож частина з хешуванням відносно безпечна. Реальний ризик — у момент, коли відкритий ключ опиняється на виду.

Момент, коли відкритий ключ стає відкритим, — це стартова точка квантової атаки.

Звіт дослідження Google розкриває два ключові висновки, на які кожен власник криптованих активів має звернути серйозну увагу.

Перше: поріг злому значно нижчий, ніж ви уявляли. Раніше в галузі загалом вважали, що щонайменше потрібні мільйони квантових бітів, аби загрожувати наявним криптографічним системам. Але оцінки Google суттєво знижують цей показник — у певних сценаріях атаки близько 1 200–1 450 високоякісних квантових бітів можуть становити реальну загрозу. Це різниця на порядок.

Друге: вікно атаки значно менше, ніж уявлялося. Як сказано вище, протягом десяти хвилин, доки транзакція чекає підтвердження, квантовий комп’ютер може завершити злам відкритого ключа. Це означає, що навіть якщо ви просто нормально ініціюєте транзакцію, вас можуть атакувати вже під час процесу — не тому, що вашу адресу «взяли під приціл», а тому, що під прицілом опинилася ваша «ця операція».

Оновлення Taproot відіграє у цьому питанні складну роль. Дослідницька команда Google особливо зазначила, що Taproot, підвищуючи ефективність транзакцій і приватність, водночас для деяких типів транзакцій «заздалегідь» і «у більшому обсязі» розкриває інформацію про відкриті ключі в ланцюгу, що навпаки робить типи адрес, які раніше мали вищий рівень захисту, більш уразливими до захоплення в сценаріях квантових атак.

Це не перебільшення. Згідно з оцінками Google, на сьогодні в ланцюгу повністю розкрито близько 6,9 мільйона відкритих ключів провідних криптованих активів — приблизно третина від загальної пропозиції. Серед них є близько 1,7 мільйона одиниць, отриманих під час раннього майнінгу. Інший звіт, спільно опублікований ARK Invest і Unchained, наводить близькі дані: близько 35% обсягу постачання перебуває в зоні потенційного квантового ризику.

Alex Thorn, директор з досліджень Galaxy Digital, зазначає, що поточний ризик здебільшого обмежений певними адресами в ланцюгу, де вже розкриті відкриті ключі, зокрема повторно використовувані адреси, адреси, що належать частині кастодіальних установ, а також активи в адресних форматах старіших версій. Аналіз безпекової інституції Project Eleven показує, що близько 7 мільйонів (за поточними цінами — приблизно 470 млрд доларів США) перебувають у такому стані «тривалого розкриття».

За цими числами стоять реальні гроші.

По-справжньому небезпечно не те, що квантові обчислення самі по собі існують, а те, що вся галузь робить вигляд, ніби цієї проблеми не існує.

II. 2029: це не «віддалена ціль», а жорсткий дедлайн

Час у цій історії — найжорстокіша змінна.

2029 рік — це не «далеке майбутнє», а жорсткий дедлайн — ваш коридор безпеки для криптованих активів закривається.

Чому саме 2029? Маршрутна карта Google не вигадана з повітря. За останні два роки темпи розвитку квантового апаратного забезпечення перевершили очікування багатьох людей.

У грудні 2024 року Google представила квантовий чип Willow на 105 кубітів, який може виконати стандартний базовий тест за менш ніж п’ять хвилин — ту саму контрольну задачу, на яку традиційному суперкомп’ютеру знадобилося б близько 1 025 років. Ще важливіше: Willow реалізує квантові обчислення «нижче порогу» — коли додавання більшої кількості кубітів у систему парадоксально знижує рівень помилок у експоненційній прогресії, що є проривом у квантовій корекції помилок.

Згодом провідні гравці на кшталт IBM, PsiQuantum та інші також послідовно опублікували власні апаратні маршрутні карти, і майже синхронно зафіксували ціль «квітових бітів на рівні тисяч» у проміжку між 2028 і 2030 роками. Ці дати — не випадковість: вся галузь синхронно наближається до критичної точки.

Але 2029 рік, який називає Google, не означає, що «в цьому році квантовий комп’ютер зламає криптовані активи». Google має на увазі: до 2029 року вона планує повністю перенести власну інфраструктуру на постквантову криптографію. Іншими словами, 2029 рік — це не час приходу загрози, а час закриття вікна безпеки.

Чому цей дедлайн настільки важливий для світу криптовалют?

Бо типовий хардфорк головного публічного ланцюга — від пропозиції до обговорення в спільноті, а далі до розгортання в тестнеті та активації в основній мережі — зазвичай займає 18–24 місяці. Від моменту публікації цієї статті до 2029 року лишається близько 34 місяців. Тобто практично немає простору для експериментів.

Якщо якийсь провідний публічний ланцюг до кінця 2027 року все ще не запустить міграцію PQC у тестнеті, дедлайн 2029 року майже неможливо буде виконати вчасно. Для тих, хто вважає «незмінність» незаперечною нормою, цей графік особливо жорстокий.

Нік Кетер дав цьому різку критичну оцінку. Партнер-засновник Castle Island Ventures публічно звинуватив частину розробників у тривалому ігноруванні пропозицій, пов’язаних із квантовим напрямом, і в підході на кшталт «заперечення, газлайтинг, встановлення порогів, страусина позиція». Він зазначив, що широко застосовувана еліптичнокрива криптографія «скоро стане застарілою — це питання часу». Неважливо, 3 роки чи 10 — вона вже застаріла. Єдине питання: як швидко розробники зрозуміють, що їм потрібно вбудувати змінюваність криптографії в мережу.

Ця дискусія розриває криптовсесвіт на два табори: один активно планує, виводячи постквантову безпеку в «найвищий стратегічний пріоритет»; інший повільно рухається вперед у довгій і болісній боротьбі консенсусу.

Повільність у цьому часовому вікні — це найдорожча ціна.

III. Хто діє? Хто спостерігає? — розкол у галузі триває

Перед обличчям квантової загрози швидкість реакції різних публічних ланцюгів сильно відрізняється, і це, найімовірніше, стане важливою змінною для змін у структурі галузі в найближчі кілька років.

Ethereum випереджає всіх.

У січні 2026 року Фонд Ethereum ухвалив знакове рішення: визначив постквантову безпеку як «найвищий стратегічний пріоритет» і оголосив про створення спеціальної команди з постквантової (PQ) безпеки.

Цю команду очолює інженер із криптографії Фонду Ethereum Томас Кораґер (Thomas Coratger); до складу входять криптографи та інженери, які тестують системи квантозахисту через розробницькі мережі (devnets). Фонд Ethereum також виділив на це загалом близько 2 млн доларів США: 1 млн доларів — на вдосконалення хеш-функції Poseidon, і ще 1 млн — на підтримку ширших постквантових досліджень.

За словами дослідника Ethereum Джастіна Дрейка (Justin Drake), після багатьох років роботи в тіні керівництво Фонду Ethereum формально підняло постквантову безпеку з рівня абстрактної теми досліджень до рівня ключового стратегічного фокусу. Розробнича мережа для розробки постквантового консенсусу з кількома клієнтами вже запущена; кілька команд беруть участь у щотижневих зустрічах щодо сумісності та спільно просувають роботи. Також стартували двотижневі зустрічі розробників, які координує дослідник Ethereum Antonio Sanso, присвячені постквантовим транзакціям.

Ethereum планує провести «День постквантового» (Post-Quantum Day) перед конференцією ETHCC у березні 2026 року, а також у жовтні 2026 року — більш масштабну постквантову подію, щоб показати прогрес і спланувати подальші кроки.

На стороні бірж дії Coinbase також швидкі.

У січні 2026 року Coinbase розкрила, що вже створено незалежну консультативну комісію з питань квантових технологій. Її членами є провідні вчені в галузі квантових обчислень — Скотт Ааронсон (Scott Aaronson), криптограф Дан Бонеґ (Dan Boneh), а також кілька експертів із Фонду Ethereum і сфери безпеки блокчейнів. Комісія оцінюватиме, як прогрес у квантових обчисленнях впливає на криптографію основних мереж безпеки, зокрема Ethereum, і публікуватиме відкриті матеріали досліджень та рекомендації для розробників, інституцій і користувачів. Перший позиційний документ очікується на початку 2027 року.

Coinbase також оприлюднила постквантову дорожню карту в трьох опорах, що охоплює оновлення продуктів, посилення внутрішнього управління ключами та довгострокові криптографічні дослідження — наприклад, інтеграцію постквантових схем підпису з безпечними багатосторонніми обчисленнями. CEO Браян Армстронґ (Brian Armstrong) підкреслив, що безпека є першочерговим завданням Coinbase, і закликав готуватися завчасно — ще до того, як квантовий апаратний рівень стане зрілим.

Інший провідний публічний ланцюг — тут ситуація значно складніша.

Одна з пропозицій, яка вперше формально включає квантову стійкість у довгострокову технічну дорожню карту, шляхом введення скрипта Pay-to-Merkle-Root прибирає опцію витрат ключового шляху в Taproot, максимально зменшуючи ризик розкриття відкритих ключів еліптичної кривої. Але по суті це обережне й поступове оновлення, а не радикальний капремонт криптографічної системи. Пропозиція не оновлює наявні UTXO і не замінює підписи ECDSA/Schnorr постквантовими альтернативами. Співавтор цієї пропозиції зазначив, що кількість відгуків, які вона отримала, перевищила будь-яку іншу пропозицію в історії цього покращення. Така глибина залучення спільноти сама по собі є ознакою стійкості цієї мережі, але це також означає, що формування консенсусу відбувається вкрай повільно.

Перед обличчям квантової кризи швидкість — це сама по собі безпека.

IV. Три випробування на шляху оновлення: чому міграція така складна?

Навіть за наявності стандартів, команд і дорожньої карти процес міграції з ECDSA до PQC досі наповнений технічними пастками. Це не просто оновлення програмного забезпечення, а повна перебудова базової криптографічної інфраструктури.

Перше випробування — сумісність. Нинішні основні постквантові алгоритми підпису (наприклад, ML-DSA) генерують підписи значно більшої довжини, ніж ECDSA — від розширення з 32 байтів до тисяч байтів. Ця різниця безпосередньо впливає на простір блоків, Gas-модель і мережеву пропускну здатність. В Ethereum це означає істотне падіння кількості транзакцій, які може вмістити один блок; в інших мережах це означає, що суперечки щодо розміру блоків можуть спалахнути знову.

У криптографії немає вічних щитів — лише постійно оновлювані спис і щит.

Друге випробування — захист старих активів. Як мігрувати UTXO або акаунти, які вже існують у старих адресах? Проста відповідь така: нехай користувачі самостійно переносять активи на нові PQC-адреси. Але проблема в тому, що адреси, які довго не рухалися — включно з величезною кількістю «сплячих» адрес, що втратили приватні ключі, ранніми адресами майнерів, а також адресами деяких засновників — назавжди не зможуть завершити міграцію. Як тільки ці «примарні активи» будуть зламані квантовим комп’ютером, вони можуть бути масово виставлені на продаж на ринку, спричинивши катастрофічне падіння цін.

Третє випробування — управління. Постквантова міграція майже неминуче вимагає хардфорку. А в криптосвіті хардфорк ніколи не є лише технічною проблемою — це ще й політичне питання. Коли ланцюг розколюється на два — один із оновленим PQC, а другий із збереженням початкової криптографічної системи — як розподіляться обчислювальні ресурси, спільнота й ліквідність? Історія вже дала попередження.

Обговорення технічного шляху триває. Окрім прямої міграції на PQC, розробники пропонували також альтернативи на кшталт механізму «пісочного годинника» — поступово обмежувати права витрачання адрес, де відкриті ключі вже розкрито, знижуючи системний ризик без примусової міграції. У кожного такого рішення є свої плюси й мінуси, але всі вони потребують часу на перевірку і досягнення консенсусу в спільноті.

Перебудова моста не може демонтувати опори, доки через нього триває рух. Міграція має відбуватися поетапно, бути перевірюваною та мати механізм відкату.

V. Ваш безпековий коридор для активів закривається — список дій

Перед обличчям цієї кризи, що наближається, що мають робити власники криптованих активів?

Не панікуйте й не переходьте до продажу. Квантові атаки ще не стали реальною загрозою. Як сказав директор з досліджень Galaxy Digital Alex Thorn, інвесторам не слід помилково трактувати цей довгостроковий технічний виклик як підставу для негайного уникання. Але «не панікувати» не означає «нічого не робити».

Вам потрібно розуміти рівні ризику. Перед квантовими загрозами різні типи адрес стикаються з різними рівнями ризику. Найнебезпечніші — старі адреси, які давно не використовувалися, особливо створені до 2019 року, а також адреси, де повторно використовується один і той самий відкритий ключ (наприклад, частина адрес для виведення коштів на біржах). Ризик звичайних адрес гаманців відносно нижчий — якщо ваша адреса ніколи не витрачала активи (тобто відкритий ключ не розкрито), квантовий комп’ютер зараз не може атакувати її. Поточний найнижчий ризик — у тих адрес, які вже мігрували на PQC-протоколи, але таких протоколів у провідних публічних ланцюгах практично ще немає.

У безпеці пасивне очікування — це активний ризик.

Конкретні дії, які ви можете вжити, включають: розподілене зберігання, рознесення великих сум активів по кількох адресах, щоб зменшити вплив злому в одній точці; відстеження сигналів міграції та пріоритетний вибір бірж і гаманців із чітко оприлюдненими PQC-дорожніми картами — Coinbase вже рухається в цьому напрямку; для тих, хто максимально не любить ризик, можна розглянути часткову конверсію активів у проєкти, для яких постквантовий шлях чітко визначений, але треба тверезо усвідомити — наразі не існує жодного PQC-продукту блокчейну, перевіреного практичним використанням у реальному бою.

Не вірте маркетингу будь-яких токенів, які стверджують «ми вже анти-квантові». Це все ще галузь, яка постійно верифікується в лабораторії та на тестнетах.

Thorn із Galaxy Digital дає судження, яке варто запам’ятати: квантові ризики слід моніторити, але не використовувати як виправдання для повного уникання. А якщо говорити словами ARK Invest, загроза квантових обчислень — це не раптово з’являючийся «сингулярний» момент, а поступовий процес, який можна відстежувати і який розвивається по етапах.

У звіті, спільно опублікованому Ark Invest і Unchained у березні 2026 року, через побудову п’ятиетапної рамки подано структурований інструмент для розуміння цього довгострокового ризику, і чітко вказано, що на цьому поточному етапі так званий «Q-Day» не становить гострої загрози. У звіті також зазначено, що мільйони криптованих активів можуть бути вже назавжди втрачені, а багато інших активів можна буде мігрувати на безпечніші адреси, коли з’явиться технічна загроза — за умови, що спільнота вже почала діяти.

Ваш безпековий коридор не буде відкритим завжди. Він закривається — день за днем стає вужчим.

Квантова криза змушує нас усвідомити, що справжнім викликом для блокчейну є не продуктивність і не масштабування, а те, чи зможе він стати реальною інфраструктурою довіри людської цивілізації. Коли криптографію може розкласти квантовий комп’ютер, єдине, що можна вважати довіреним, — це механізми управління, які пройшли випробування тиском.

VI. Від «технічних іграшок» до інфраструктури рівня інституцій: обряд дорослішання, через який неминуче доведеться пройти

Історики кажуть так: люди завжди переоцінюють короткостроковий вплив технологій і недооцінюють їх довгострокові наслідки.

Ставлення криптогалузі до квантових обчислень якраз протилежне. Вона недооцінила короткострокову терміновість квантової загрози та недооцінила довгострокову складність самої міграції.

Але якщо розширити горизонт погляду, можна дійти цікавішого висновку: квантова криза — це не кінець, а обряд дорослішання.

Гайдеґґер колись запитував про сутність технологій і вважав, що сучасна технологія — це «стійка/каркас» (座架), який уводить усе — включно з самою людиною — в порядок, що піддається обчисленню та керуванню. Початковий задум створення криптованих активів якраз полягав у протидії такому каркасу — у створенні мережі цінностей, на яку не впливає жодна централізована сила. Але, іронічно, квантовий комп’ютер як крайня технологічна сила зараз загрожує математичним основам цієї мережі ззовні.

Щоб відповісти на цю загрозу, криптосвіт має завершити самоперевтілення. Він уже не буде тією крипто-«гекерською утопією», де «код — це закон»; натомість він має еволюціонувати в інфраструктуру рівня інституцій, здатну активно керувати криптографічними ризиками, мати стійкість управління та приймати зовнішні аудити.

Для цього треба провести три фундаментальні оновлення.

Перше — оновлення криптографічної стійкості. Майбутні блокчейни мають прийняти взаємозамінні й оновлювані криптографічні фреймворки, більше не вшивати алгоритми підписів «намертво» в шар консенсусу. Це означає перехід від «разового дизайну» до «еволюційної архітектури».

Друге — оновлення зрілості управління. Хардфорк більше не буде лише суперечкою про масштабування або внутрішні чвари в спільноті; це означатиме «апгрейд інфраструктури» на рівні національної безпеки. Це потребує прозоріших механізмів прийняття рішень, ширшої участі зацікавлених сторін і більш суворого контролю за графіком.

Третє — оновлення обізнаності користувачів. Від «Not your keys, not your coins» до «Your keys can be cracked — prepare for migration». Користувачі мають діяти так само, як і сьогодні управляють паролями: регулярно перевіряти, чи не потрапляють їхні адреси в зону квантового ризику, і активно виконувати міграцію.

Квантова криза — це дзеркало, яке показує незрілість криптовсесвіту й водночас показує єдиний шлях до зрілості.

У «Листках літа» Камю написав: «У лютий морозі я нарешті знаю: у мені є непереможне літо».

Квантова зима наближається, але літо криптовсвіту — те, що пройшло випробування тиском і «гартувалося» через переродження — теж народжується в цій кризі.

Та чашка кави ще не охолола до кінця.

Тепер — перший день дій.