Центр вознаграждений 
24 апреля 2026 года независимый итальянский исследователь Гианкарло Лелли взломал 15-битный ключ эллиптической кривой на доступном облачном квантовом компьютере и выиграл Q-Day Prize в размере 1 BTC от Project Eleven. Это стало крупнейшей публичной демонстрацией атаки такого класса, которая потенциально может угрожать безопасности Bitcoin, Ethereum и других блокчейнов, использующих криптографию на эллиптических кривых. Семью месяцами ранее рекорд составлял 6 бит — достижение Лелли увеличило сложность задачи в 512 раз.
Разница между 15 битами и 256 битами, защищающими реальные Bitcoin-кошельки, по-прежнему огромна. Однако скорость прогресса и исследование Google (март 2026), показавшее, что для полного взлома может потребоваться менее 500 000 физических кубитов, изменили дискуссию: теперь в центре внимания не "если", а "когда". Разработчики Bitcoin уже обсуждают конкретные планы миграции.
Что именно сделал Гианкарло Лелли
Лелли использовал вариант алгоритма Шора для восстановления приватного ключа по соответствующему публичному ключу в пространстве поиска из 32 767 возможных значений. Он запустил расчеты на облачном квантовом устройстве примерно с 70 кубитами — без доступа к национальным лабораториям, проприетарным чипам или институциональному финансированию. Это оборудование публично доступно, и любой с достаточными знаниями может арендовать время на нем.
Целью атаки была задача дискретного логарифмирования на эллиптической кривой (ECDLP) — именно она лежит в основе публичных и приватных ключей Bitcoin. При отправке Bitcoin кошелек подписывает транзакцию приватным ключом, соответствующим публичному. Предполагалось, что ни один компьютер не сможет восстановить приватный ключ по публичному. Лелли показал, что квантовый компьютер способен это сделать — пусть и в небольшом масштабе и на арендованном оборудовании.
Для сравнения: классический компьютер перебирает все комбинации поочередно, как подбирает код замка. Квантовый компьютер с алгоритмом Шора может использовать квантовую суперпозицию, чтобы параллельно рассматривать множество вариантов, значительно ускоряя расчет. Для 15 бит это 32 767 комбинаций, а для 256 бит — больше вариантов, чем атомов во Вселенной.
В интервью Decrypt Лелли рассказал, что участвовал из желания бросить себе вызов и из искреннего интереса к технологиям. Сам факт, что независимый исследователь, используя только облачные сервисы и собственный бюджет, смог добиться результата за год, столь же важен, как и техническая сторона достижения.
Что такое Project Eleven и Q-Day Prize
Project Eleven — компания, разрабатывающая постквантовые средства защиты для Bitcoin и всей криптоиндустрии. В 2025 году она привлекла $6 млн инвестиций для защиты от квантовой угрозы.
Q-Day Prize — это публичный конкурс компании: 1 BTC тому, кто первым сломает максимально большой ключ эллиптической кривой на реальном квантовом оборудовании. "Q-Day" обозначает момент, когда квантовые компьютеры станут достаточно мощными для взлома криптографии Bitcoin. Предложив награду, Project Eleven стимулировала исследования на открытом рынке.
Ранее рекорд принадлежал Стиву Типпеконнику, который в сентябре 2025 года взломал 6-битный ключ на квантовом компьютере IBM с 133 кубитами. Но у 6-битного ключа всего 64 варианта, а результат Лелли (15 бит) — это 32 767 вариантов, рост в 512 раз.
Project Eleven также запускает Yellowpages — реестр постквантовых криптографических ключей, где пользователи могут создавать гибридные пары ключей с привязкой к существующим BTC-адресам. Это должно облегчить миграцию до наступления критической ситуации.
Почему 15 бит — не 256 бит, но тренд важен
Bitcoin использует 256-битную криптографию, а Лелли взломал 15 бит. Очевидно, что 15 бит не представляют угрозы реальным кошелькам. Пространство поиска для 256 бит огромно, а добавление каждого бита удваивает сложность.
Однако динамика привлекает внимание специалистов. В сентябре 2025 года рекорд был 6 бит, а к апрелю 2026 — уже 15 бит. Ограничения теперь технические, а не физические: современные квантовые компьютеры ограничены примерно 1 100 физическими кубитами. Для вскрытия 256 бит потребуется около 500 000 физ. кубитов (по данным Google Quantum AI, март 2026), что в 20 раз меньше прежних оценок.
Другое исследование (Caltech и Oratomic) предполагает возможность снижения этого числа до 10 000 кубитов при использовании нейтральных атомов. Если эти данные подтвердятся, сроки значительно сократятся. По данным Quantum Insider, три научные статьи за три месяца полностью изменили временные рамки угрозы.
| Веха | Размер ключа | Пространство поиска | Дата |
|---|---|---|---|
| Стив Типпеконник (IBM 133-кубит) | 6 бит | 64 варианта | сентябрь 2025 |
| Гианкарло Лелли (облачный квантовый компьютер) | 15 бит | 32 767 вариантов | апрель 2026 |
| Полный взлом Bitcoin (оценка) | 256 бит | 1,16 × 10^77 вариантов | неизвестно |
Сколько биткоинов действительно под угрозой
Уязвимость зависит от того, виден ли ваш публичный ключ в блокчейне. Около 6,9 млн BTC хранятся на адресах с уже раскрытым публичным ключом — это старые форматы или адреса, с которых уже совершались траты. По текущему курсу это примерно $650 млрд потенциально подверженных угрозе.
Современные адреса Bitcoin — Pay-to-Taproot (P2TR) или Pay-to-Witness-Public-Key-Hash (P2WPKH) — не раскрывают публичный ключ до первой траты. Однако после подписания транзакции ключ становится видимым. В исследовании Google отмечается, что гипотетический квантовый злоумышленник может попытаться перехватить незавершенную транзакцию примерно за девять минут, что может опережать подтверждение примерно в 41% случаев.
Практический вывод: если вы храните BTC на адресе, с которого уже были расходы, ваш публичный ключ виден и теоретически может быть уязвим для будущей квантовой атаки. Если адрес ни разу не использовался для трат, публичный ключ скрыт за хэшем, что усложняет взлом.
Эта уязвимость касается не только Bitcoin: все блокчейны, использующие ECDSA или схожие схемы подписей на эллиптических кривых (Ethereum, Solana и большинство Layer-1), сталкиваются с аналогичными рисками. Ethereum уже публикует свою дорожную карту по постквантовой криптографии, Ripple подготовила планы миграции, а системы доказательств с нулевым разглашением (например, StarkNet) по умолчанию устойчивы к квантовым атакам. Но для Bitcoin как крупнейшей и самой консервативной по обновлениям сети задача миграции особенно чувствительна.
BIP-360 и план миграции Bitcoin к постквантовой защите
Разработчики Bitcoin не ждут наступления Q-Day. В феврале 2026 года предложен BIP-360 — новый тип адреса Pay-to-Merkle-Root (P2MR), который не раскрывает публичный ключ даже при тратах. Квантовая уязвимость полностью исчезает для монет на P2MR-адресах.
BTQ Technologies реализовала BIP-360 на тестовой сети в марте 2026 года: полная поддержка P2MR, выходы SegWit v2 и кошельки для всех операций с такими транзакциями.
Сопутствующее предложение BIP-361 предполагает поэтапную миграцию: пользователи должны перевести средства на квантово-устойчивые адреса. Не переведённые монеты со временем будут заморожены. CoinDesk сообщает, что это вызвало острые дебаты: либо сеть будет замораживать такие монеты, либо они могут быть утеряны в случае квантового взлома. Кошельки без доступа к приватным ключам (например, примерно 1,1 млн BTC, предположительно принадлежащих Сатоши) не смогут добровольно мигрировать.
Разгорелась активная дискуссия: заморозка средств противоречит принципу "ваши ключи — ваши монеты". Но сохранение уязвимых монет оставляет риск их потери при появлении достаточного по мощности квантового компьютера. Консенсуса пока нет, а успех Лелли лишь ускорил обсуждение. Прогресс на 512x за 7 месяцев делает позицию "у нас есть ещё много времени" менее состоятельной.
Часто задаваемые вопросы
Могут ли квантовые компьютеры прямо сейчас взломать Bitcoin?
Нет. Максимальный публично взломанный ключ — 15 бит, а в Bitcoin используется 256 бит. У современных квантовых компьютеров — около 1 100 кубитов, необходимый минимум для реального взлома оценивается в 500 000 кубитов или более. Большинство экспертов считают, что практическая угроза возникнет не раньше чем через 10 лет.
Кто такой Гианкарло Лелли?
Итальянский независимый исследователь, победитель Q-Day Prize от Project Eleven (1 BTC) за взлом 15-битного ключа на облачном квантовом компьютере. Работал над задачей год, использовал доступное облачное оборудование.
Что такое BIP-360 и как он защищает Bitcoin от квантовых атак?
BIP-360 — это новый тип адреса Pay-to-Merkle-Root (P2MR), который не раскрывает публичный ключ даже при расходах. Это полностью устраняет уязвимость к квантовым атакам для новых транзакций. Тестовая сеть Bitcoin поддерживает BIP-360 с марта 2026 года.
Сколько биткоинов уязвимы для квантовых вычислений?
Около 6,9 млн BTC находятся на адресах с раскрытыми публичными ключами и теоретически могут быть взломаны в случае появления необходимой мощности у квантовых компьютеров. Средства на адресах, с которых никогда не проводились траты, более защищены, поскольку на цепочке виден лишь хэш, а не сам ключ.
Выводы
Достижение Гианкарло Лелли — доказательство концепции, а не кризис. Но темпы прогресса (с 6 до 15 бит за 7 месяцев) и исследование Google, сократившее оценку необходимых ресурсов в 20 раз, заставили сообщество Bitcoin рассматривать квантоустойчивость как актуальный вопрос. BIP-360 уже внедрён на тестовой сети, а обсуждение миграции активно ведётся — для 6,9 млн BTC с раскрытыми публичными ключами это становится особенно важным. Владельцы BTC на старых адресах или адресах с расходами должны внимательно следить за развитием предложений BIP-360/361. Исследователи прогрессируют быстрее ожидаемого, и защитные меры должны ускоряться.
Данный материал предназначен только для информационных целей и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой связана с высокими рисками. Перед принятием решений проводите собственный анализ.
