Попередження Google про квантові дослідження: хакери можуть зламати біткоїн за 9 хвилин, ефективність атак зростає в 20 разів

Останній білий папір, опублікований Google Quantum AI (Google Quantum AI) від Google, показує, що квантовий комп’ютер приблизно на 500 000 кубітів (qubit) теоретично може зламати еліптичнокриву цифрову підписну схему Bitcoin (ECDSA) за 9 хвилин, а кількість кубітів, необхідна для цього, зменшена приблизно в 20 разів порівняно з попередніми оцінками індустрії.

Ключове наукове проривлення: чому 9 хвилин є критичною точкою загрози

Раніше криптографічна спільнота загалом оцінювала, що для злому Bitcoin ECDSA потрібні мільйони кубітів, тож квантові атаки більше були б схожі на далеке майбутнє ідеяльне припущення. Нове дослідження Google через оптимізацію алгоритмів стискає цю межу до менш ніж 500 000 кубітів, підвищуючи ефективність атаки приблизно в 20 разів — це найбільш руйнівний ключовий висновок цієї роботи.

Логіка загрози цього відкриття пов’язана з перегонами проти часу. Транзакції Bitcoin від моменту трансляції до підтвердження в новому блоці в середньому тривають 10 хвилин. Якщо квантовий комп’ютер за 9 хвилин зможе вивести приватний ключ із відкритого ключа, який став відомим із транзакції, хакер зможе завершити викрадення коштів до того, як транзакція буде підтверджена. Теоретична ймовірність успіху цього сценарію атаки становить близько 41%.

Які саме біткоїни несуть найвищий ризик: розкриття відкритого ключа — ключова вразливість

Не всі біткоїни, що зберігаються, зазнають однакового ризику. Рівень ризику здебільшого залежить від того, чи відкритий ключ уже був розкритий у мережі блокчейну:

Адреси за старим форматом P2PK: адреси, створені на ранньому етапі, напряму показують відкритий ключ у блокчейні, тому це найризикованіший тип утримань

Адреси, з якими вже виконувалися транзакції: під час кожного ініціювання переказу підпис транзакції одночасно розкриває інформацію про відкритий ключ, тож у майбутньому ці адреси стикаються з ризиком виведення приватного ключа за допомогою квантових обчислень

2,3 мільйона біткоїнів з високим ризиком утримання: дослідження вказує, що близько 2,3 мільйона біткоїнів, збережених у старих адресах, наразі мають найвищий ризик

Сучасні адреси для одноразового використання SegWit: сучасний адресний відкритий ключ, який ніколи не відправляв транзакцій, ще не розкритий, тож ризик відносно найнижчий

Термін захисту до 2029 року: реальні виклики для міграції в постквантову безпеку

Google встановив останній дедлайн для «криптографічної залежності» на 2029 рік, тобто очікується, що в цей період або близько нього квантові комп’ютери досягнуть масштабу обчислювальної потужності, достатнього для формування реальної загрози — раніше, ніж у частини ранніх оцінок.

Постквантова криптографія (PQC) є визнаним індустрією напрямом реагування: ці алгоритми спираються на математичні задачі, які квантовому комп’ютеру складно швидко розв’язати, тож безпека може зберігатися й у квантову епоху. Водночас модернізація мережі Bitcoin для підтримки постквантових алгоритмів стикається зі значними практичними перешкодами: Bitcoin є дуже децентралізованим, і будь-яке підняття рівня протоколу потребує широкого консенсусу між майнерами, розробниками та власниками. Історично кожне велике оновлення вимагало кілька років. Індустрія опиняється під подвійним часовим тиском — прискореним розвитком квантових технологій і водночас тривалими циклами прийняття рішень у спільноті.

Поширені запитання

Чи означає це, що Bitcoin зараз уже не безпечний?

Ні. Дослідження чітко зазначає, що наразі у світі не існує квантового комп’ютера, здатного реалізувати такий тип атаки, тож на поточному етапі Bitcoin усе ще безпечний. Це дослідження змінює лише оцінений графік того, коли саме настане «квантова загроза», а не оголошує, що поточна безпека вже була порушена. Google ставить «вузол» на 2029 рік, що означає: у індустрії є приблизно три роки, щоб підготувати заходи захисту.

Які власники Bitcoin мають вживати захисних заходів першочергово?

Найвищий ризик — у тих біткоїнів, які зберігаються на адресах у ранньому форматі P2PK або на адресах, з якими вже виконувалися транзакції, тому що відкриті ключі цих адрес назавжди оприлюднені в блокчейні. Дослідження оцінює, що приблизно 2,3 мільйона біткоїнів належать до цієї категорії високого ризику. Рекомендований захисний захід — перенести кошти на абсолютно новостворені сучасні адреси (наприклад, у форматі Taproot), зменшуючи ризик розкриття відкритого ключа до того, як буде готовий постквантовий захист.

Чи може постквантова криптографія повністю вирішити загрозу від квантових хакерів?

Постквантова криптографія (PQC) — це наразі найголовніший технічний шлях реагування, а її алгоритмічний дизайн робить обчислювальні переваги квантового комп’ютера складними для використання. Якщо мережа Bitcoin успішно завершить оновлення до PQC, то навіть коли квантовий комп’ютер досягне масштабу обчислювальної потужності на рівні 500 000 кубітів, описаного в дослідженні Google, він не зможе зламати підпис у наявний спосіб. Водночас фактичні строки впровадження технічного оновлення залежать від швидкості формування консенсусу в спільноті Bitcoin — це змінна, яку важче прогнозувати, ніж саму лише технічну сторону.