На сверхпроводящей архитектуре с surface code error correction и частотой ошибок 10⁻³ алгоритм требует менее 500 000 физических кубитов — примерно в 20 раз меньше предыдущей лучшей оценки. Разрыв до реальной атаки — 4700x. Но тренд однозначный.
Что известно:
Работа «Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities» (arXiv:2603.28846) вышла 30 марта 2026 года. Авторы — девять исследователей из Google Quantum AI, UC Berkeley, Stanford и Ethereum Foundation.
Алгоритм Шора для задачи ECDLP (дискретного логарифма на эллиптических кривых) выполняется менее чем на 1200 логических кубитах и 90 млн вентилях Тоффоли. Результаты опубликованы в режиме ответственного раскрытия — без полного раскрытия схем контуров. На сверхпроводящих архитектурах с частотой ошибок 10⁻³ — выполнение занимает минуты при менее чем 500 000 физических кубитах.
Почему критично именно для Bitcoin:
Работа не утверждает, что квантовые компьютеры угрожают майнингу. SHA-256, обеспечивающий proof-of-work, устойчив к алгоритму Шора. Угроза специфична для ECDSA и Schnorr-подписей на secp256k1.
Квантовый компьютер достаточной мощности способен вскрыть приватный ключ Bitcoin примерно за девять минут после того, как публичный ключ оказывается раскрыт. Полное вычисление занимает 18–23 минуты в зависимости от варианта контура — но первую фазу атакующий предвычисляет заранее. Это классический race condition: 10-минутное окно блока Bitcoin работает против него. Под прямым риском — около 6,9 млн BTC, примерно треть всего supply.
Отдельная проблема — ~1,7 млн BTC на старых P2PK-адресах, включая монеты Сатоши: публичные ключи там уже раскрыты и видны всем.
Технические детали:
Параметры железа в работе намеренно консервативны — те же «benign»-параметры, что использовались в RSA-2048-работе Гидни 2025 года. Предыдущая лучшая оценка — работа Litinski (2023) на активно-объёмной фотонной архитектуре PsiQuantum с нелокальными межмодульными соединениями — требовала ~9 млн физических кубитов. Иными словами, 500 000 — нижняя оценка для идеального железа, которого ещё не существует.
«Низко висящие плоды ещё срываются», — пишет соавтор Джастин Дрейк. ИИ к поиску оптимизаций ещё не привлекался. Дрейк допускает, что число логических кубитов «вполне может уйти ниже 1000 в ближайшее время». 500 000 физических кубитов — не дно, а промежуточная отметка.
⏱ Сколько ждать:
Google Willow сегодня — 105 кубитов. Нужно: <500 000. Разрыв — 4700x.
Дрейк оценивает вероятность Q-Day к 2032 году в ≥10%. При сохранении текущих темпов прогресса масштаб 500 000 кубитов может быть достигнут в начале 2030-х.
Кто готовится:
🔹 Ethereum: постквантовый roadmap — обновления L1-протокола к 2029 году, полная миграция займёт дополнительные годы; программа уже запущена.
🔹 Google: внутренний дедлайн PQC-миграции собственных сервисов — 2029.
🔹 Регуляторы: американские федеральные агентства получили дедлайн апрель 2026 по планам PQC-миграции (NSM-10); ЕС установил цель квантовой устойчивости критической инфраструктуры к 2030 году.
🔹 Bitcoin: разработчики изучают несколько защит — BIP-360 (удаление keypath-уязвимости в Taproot через схему P2MR), хэш-based подписи SPHINCS+, lattice-based схемы Dilithium/ML-DSA, схему commit/reveal для мемпула.
Наш взгляд:
BIP-360 — не криптографическая перестройка, а точечная заплатка. Он убирает уязвимость keypath в Taproot, но не заменяет ECDSA или Schnorr на постквантовые схемы — lattice-based (Dilithium, ML-DSA) или hash-based (SPHINCS+). Полный переход потребует значительно более масштабных изменений. И BIP-360 защищает только новые монеты — ~1,7 млн BTC на уже открытых публичных адресах остаются нерешённой проблемой.
По оценке соавтора BIP-360 Итана Хейлмана, даже при полном консенсусе Bitcoin потребуется 7 лет для полной миграции — и это он называет оптимистичным прогнозом. SegWit занял ~8,5 лет от концепции до внедрения, Taproot — ~7,5 лет.
Главный риск — не физика квантовых компьютеров, а governance Bitcoin. Ethereum может договориться о хардфорке; у Bitcoin для этого нет ни центра принятия решений, ни согласованного таймлайна. При сохранении текущего темпа снижения оценок следующий алгоритмический порог может быть достигнут раньше, чем завершится миграция.
Итог:
Физический барьер в 4700x реален. Но алгоритмический потолок ещё не достигнут, а governance-барьер Bitcoin — хронический. Дедлайн PQC-миграции — не Q-Day, а сегодня.
Успеет ли Bitcoin договориться о хардфорке до того, как железо догонит алгоритм?
Источники:
arXiv:2603.28846 — оригинальная работа Google Quantum AI
CoinDesk — разбор работы и реакция сообщества
SiliconAngle — детали публикации и параметры атаки
BIP-360 — официальная спецификация P2MR
#Bitcoin #QuantumComputing #Cryptography #PQC #Кибербезопасность
