Центр вознаграждений 
24 апреля 2026 года независимый исследователь Джанкарло Лелли получил приватный ключ по открытому ключу на эллиптической кривой размером 15 бит, используя облачный квантовый процессор. Он применил модифицированный алгоритм Шора, и эксперимент прошёл успешно. Организация Project Eleven, изучающая квантовую безопасность, вручила ему Q-Day Prize — 1 биткоин за крупнейшую публичную атаку на криптографию, защищающую Bitcoin, Ethereum и большинство других блокчейнов.
Ключ в 15 бит далёк от защищённых 256-битных ключей реальных кошельков — безопасность Bitcoin не нарушена. Однако разрыв между возможностями квантовых компьютеров сегодня и необходимым уровнем для угрозы реальным кошелькам сокращается быстрее, чем это осознают многие участники рынка. На это указывают три научные публикации, вышедшие в первом квартале 2026 года.
Что сделал Лелли и почему это важно
Атака была направлена на проблему дискретного логарифмирования эллиптических кривых (ECDLP) — математическую задачу, позволяющую вычислить открытый ключ по приватному, но не решаемую в обратную сторону классическими компьютерами. При отправке Bitcoin ваш кошелёк подписывает транзакцию приватным ключом и публикует соответствующий открытый ключ. Если кто-то решит ECDLP для вашего открытого ключа, он сможет получить приватный ключ и завладеть средствами.
Взлом Лелли охватил пространство 32 767 возможных значений — мало по сравнению с 2^256, защищающим реальные ключи Bitcoin. Но важно направление развития. Предыдущий публичный рекорд — 6-битный взлом, выполненный Стивом Типпекоником в сентябре 2025, — охватывал всего 64 значения. Результат Лелли — скачок в 512 раз, причём достигнут на публично доступном облачном квантовом оборудовании.
Главное — не размер ключа, а темпы роста возможностей. За год квантовые исследователи перешли от теории к работающим демонстрациям на доступном оборудовании.
Насколько 15 бит далеки от 256 бит
Честно говоря, между 15 и 256 битами — огромная пропасть. 256-битный ключ эллиптической кривой содержит около 10^77 возможных вариантов. Текущие квантовые процессоры содержат максимум 1000–1500 кубитов, большинство из которых слишком шумные для криптографических вычислений. Для взлома реального ключа Bitcoin потребуется гораздо больше кубитов и более качественная коррекция ошибок, которой пока не существует.
Но в начале 2026 года ситуация изменилась: три научные статьи сильно снизили оценку необходимых ресурсов для атаки на 256-битный ECDLP.
Google Quantum AI опубликовала в марте 2026 года доклад из 57 страниц, где показано, что оптимизированные квантовые цепи могут решить ECDLP-256, используя менее 1200–1450 логических кубитов и 70–90 миллионов вентилей Тоффоли. Это эквивалентно менее 500 000 физических кубитов в архитектуре на сверхпроводниках с коррекцией ошибок на коде поверхности. Предыдущая оценка — около 10 миллионов; Google снизил показатель в 20 раз.
Вторая статья от Caltech и Oratomic пошла дальше: нейтрально-атомная квантовая архитектура способна выполнить такую атаку с примерно 10 000 физическими кубитами. Эта архитектура ещё экспериментальна, но именно её развивают компании QuEra и Pasqal.
Переход от «нам нужно 10 млн кубитов» к «возможно, потребуется 10 000» произошёл всего за три месяца. Исследователи Project Eleven отмечают: сокращение разрыва между 15 и 256 битами теперь считается инженерной задачей, а не фундаментальной проблемой физики.
Какие адреса Bitcoin подвержены риску
Не все адреса Bitcoin одинаково уязвимы для квантовой атаки. Наибольший риск — у адресов, где открытый ключ уже виден в блокчейне.
Если вы получили биткоины на адрес и никогда с него не отправляли, в сети виден только хэш открытого ключа. Хэширование — дополнительная защита: даже если ECDLP будет решена, хэш не поддаётся обратному вычислению. Монеты в безопасности до обнародования открытого ключа. Но как только вы тратите средства с адреса, открытый ключ публикуется в сети в подписи транзакции. Любой адрес, с которого когда-либо отправляли транзакцию, хранит открытый ключ в блокчейне навсегда.
По оценке Project Eleven, примерно 6.9 млн BTC размещены на адресах с видимыми открытыми ключами — это около трети от общего предложения, оцениваемое более чем в $550 млрд по текущему курсу. В том числе — около 1.1 млн BTC Сатоши Накамото с первых дней майнинга, когда использовался формат Pay-to-Public-Key и открытые ключи всегда публиковались.
Практический вывод для пользователей: если вы используете современный кошелёк и не повторно расходуете адреса, ваша экспозиция к квантовой угрозе существенно ниже по сравнению с хранением средств на старых адресах.
| Тип адреса | Открытый ключ виден? | Квантовый риск |
|---|---|---|
| Никогда не использовался (только хэш) | Нет | Низкий, пока не взломан хэш |
| Был использован хотя бы раз | Да | Высокий, если решён ECDLP |
| Pay-to-Public-Key (ранний BTC) | Да (по умолчанию) | Высокий |
| Taproot (P2TR) | Ключ виден в keypath | Средний |
Как Bitcoin готовится к защите от квантовых атак
Сообщество разработчиков Bitcoin активно работает над защитой. BIP-360 (Pay-to-Merkle-Root, P2MR) предлагает новый тип выхода транзакции, аналогичный Taproot, но исключающий уязвимый keypath эллиптической кривой. В BIP-360 подпись формируется с помощью постквантовой криптографии вместо математики эллиптических кривых — уже реализовано на тестовой сети.
На этой основе 14 апреля 2026 года в официальном репозитории опубликован BIP-361, описывающий план миграции с жёстким дедлайном. По его условиям, после льготного периода, расходование средств с адресов на базе ECDSA станет недействительным — монеты, не переведённые на квантово-устойчивые адреса, будут заморожены.
Вопрос о заморозке вызывает споры: это коснётся и монет Сатоши, и других давно неактивных кошельков с публичными ключами. Одни считают защиту сети приоритетом, другие видят в этом подрыв принципа собственности. Консенсуса пока нет — это один из самых острых вопросов управления сетью.
Google рекомендовал завершить миграцию на постквантовые криптографические стандарты, что даёт Bitcoin около трёх лет для внедрения и активации нового протокола. Для сети, на которую ушло четыре года на активацию Taproot, это весьма сжатые сроки.
Что это значит для Ethereum и других сетей
Квантовая угроза актуальна для всех блокчейнов, использующих ECDSA или похожие схемы подписей на эллиптических кривых. У Ethereum есть специфическая проблема: любой адрес, с которого когда-либо была отправлена транзакция, хранит открытый ключ навсегда. Ethereum-аккаунты редко меняются, поэтому доля ETH на уязвимых адресах, вероятно, выше, чем у Bitcoin.
В дорожной карте Ethereum предусмотрена миграция к постквантовым решениям (категория обновлений Splurge), но конкретных сроков и EIP пока нет. Исследования в области сигнатур на решётках опубликованы, но их внедрение — вопрос будущего.
Для небольших сетей задача ещё сложнее: такие проекты, как Solana или Avalanche, тоже используют ECDSA или EdDSA, но располагают меньшими ресурсами для миграции. Парадоксально, что современные и быстрые блокчейны тоже основаны на криптографии 1990-х, которая теперь может быть атакована квантовыми алгоритмами.
Часто задаваемые вопросы
Может ли квантовый компьютер украсть мой Bitcoin прямо сейчас?
Нет. Ключ, взломанный Лелли, примерно в 10^72 раз меньше 256-битных ключей реальных кошельков. Ни один публично известный квантовый компьютер не обладает необходимым количеством и качеством кубитов. Угроза реальна, но не является немедленной.
Сколько кубитов потребуется для взлома шифрования Bitcoin?
Согласно докладу Google в марте 2026, менее 500 000 физических кубитов на сверхпроводниковой архитектуре с коррекцией ошибок. Статья Caltech и Oratomic — возможно, 10 000 кубитов на платформе с нейтральными атомами. Современные квантовые компьютеры ограничены 1000–1500 кубитами — разрыв велик.
Что такое BIP-360 и защитит ли он Bitcoin от квантовых атак?
BIP-360 вводит тип выхода Pay-to-Merkle-Root, убирающий уязвимый участок эллиптической кривой. Он реализован в тестовой сети, а BIP-361 предлагает график миграции и заморозку старых адресов. Эти меры сделают сеть квантово-устойчивой, но требуют мягкой форка и согласия сообщества.
Стоит ли переводить свои биткоины на новый адрес?
Если ваши средства на адресе, с которого не было исходящих операций, публичный ключ не раскрыт — квантовый риск ниже. Если вы тратили с адреса — ключ в блокчейне навсегда. Использование современных кошельков с генерацией новых адресов для каждой операции снижает риск, хотя в данный момент эксплуатировать уязвимость невозможно.
Итоги
Взлом 15-битного ключа эллиптической кривой — не кризис для Bitcoin, а доказательство концепции. Оценки ресурсов для атаки на 256-битные ключи за квартал снизились в 20 раз, и, вероятно, будут снижаться дальше с ростом качества оборудования и оптимизацией алгоритмов. В разработке находятся BIP-360 и BIP-361, однако на внедрение новой схемы подписей у всей сети всего три года — а противник совершенствуется быстро. Основной риск — 6,9 млн BTC на адресах с публичными ключами. Владельцам стоит внимательно следить за дебатами по BIP-361. Время на переход к новой криптографии ограничено, отсчёт пошёл с марта.
Данный материал носит исключительно информационный характер и не является индивидуальной инвестиционной рекомендацией. Торговля криптовалютой связана со значительными рисками. Перед принятием инвестиционных решений рекомендуется проводить самостоятельный анализ.
