Ник Картер: Квантовые технологии на шаг от взлома Bitcoin, и 1,7 миллиона BTC находятся в зоне риска

20 дек. 2025 г.

Ключевые выводы

• Квантовые компьютеры представляют серьезную угрозу для Bitcoin.

• Около 1,7 миллиона BTC находятся в зоне риска из-за уязвимости публичных ключей.

• Необходимы меры по предотвращению повторного использования адресов и переходу на постквантовые подписи.

• Стандарты NIST для постквантовой криптографии уже утверждены и могут быть внедрены через soft fork.

• Подготовка к квантовым угрозам должна начинаться уже сейчас, чтобы избежать паники в будущем.

Угроза квантовых вычислений для Bitcoin больше не является фантастикой. Этой осенью Ник Картер, сооснователь Castle Island Ventures, в новом цикле публикаций и публичных выступлениях утверждает: самая серьёзная долгосрочная угроза для Bitcoin — это квантовые компьютеры. При этом, согласно Картеру, вопрос скорее в инженерии, чем в физике. Это мнение созвучно позиции квантового теоретика Скотта Ааронсона, который полагает, что создание машины, способной масштабно запускать алгоритм Шора, представляет собой исключительно сложную инженерную задачу, но не требует пересмотра законов физики. В качестве отправной точки можно ознакомиться с первой частью обзора Картера по криптографии Bitcoin, а контекст с точки зрения теории объясняет интервью Ааронсона. См. оригиналы: Bitcoin and the Quantum Problem – Part I и Scott Aaronson on why the hurdle is engineering.

Что означает «всего лишь инженерная задача» в 2025 году

  • Аппаратное обеспечение и алгоритмы развиваются. В мае 2025 года Крейг Гидни показал, как разложить RSA‑2048 менее чем за неделю, используя меньше миллиона шумных кубитов — в отличие от оценки в 20 миллионов в 2019 году. Это стало возможным благодаря улучшенным алгоритмам и методам коррекции ошибок. Хотя RSA и эллиптические кривые (ECC) различаются, направление очевидно: оценки ресурсов для криптографически значимых квантовых компьютеров (CRQC) становятся всё более реалистичными. См. статьи Гидни: arXiv:2505.15917 и арxiv:1905.09749.
  • Взлом ECC в теории может быть проще, чем RSA. Базовое исследование Roetteler, Naehrig, Svore и Lauter показало, что логарифмы на эллиптических кривых могут требовать меньше ресурсов, чем факторизация при одинаковом уровне классической безопасности. Это ещё один аргумент в пользу ранней подготовки Bitcoin. Подробнее: Quantum resource estimates for ECC discrete logs.
  • Физика понятна, масштабирование — нет. Ааронсон подчёркивает: новое в физике не требуется. Нужны масштабируемые существенно устойчивые к ошибкам кубиты и инженерные прорывы в области материалов, управления и коррекции ошибок. Его краткое объяснение здесь: YC interview transcript.

Сколько действительно уязвимого Bitcoin?

Согласно анализу Фонда прав человека (Human Rights Foundation) за 2025 год, примерно 6,51 миллиона BTC уязвимы к «дальнодействующим» квантовым атакам, нацеленным на уже раскрытые публичные ключи — как в старых выходах pay-to-public-key (P2PK), так и в повторно используемых адресах и тратах через Taproot. Из них около 1,72 миллиона BTC считается неактивными или технически неподвижными (включая ранние монеты P2PK, например, сатошевские), — это те самые «1,7 млн BTC на линии огня», о которых пишут заголовки. Активные пользователи пока могут перевести около 4,49 миллиона BTC в более безопасные типы выходов до наступления так называемого Q‑дня. Подробности в отчёте HRF: The Quantum Threat to Bitcoin.

Отдельное техническое исследование от Deloitte приводит к схожим выводам: примерно четверть предложения хранится в уязвимых ключевых форматах или на повторно используемых адресах, что подчёркивает важность избежания повторного использования и аккуратной траты из устаревших выходов. Подробнее здесь: Deloitte on quantum and the Bitcoin blockchain.

Два сценария угроз: дальнего и ближнего действия

  • Атаки дальнего действия нацелены на монеты, публичные ключи которых уже опубликованы в блокчейне (P2PK, повторное использование P2PKH, некоторые типы скриптов) или утекли (например, xpub). Эти ключи станут «легкой добычей», когда появятся CRQC. Подробности в HRF: Long‑range vs. short‑range.
  • Атаки ближнего действия (mempool) могут происходить при передаче транзакции до подтверждения, поскольку публичный ключ раскрывается в момент подписания. Для такого сценария потребуются крайне быстрые и устойчивые к ошибкам устройства. Это ещё раз доказывает: одного отказа от повторного использования адресов недостаточно в постквантовом мире. Справка по форматам адресов и окнам уязвимости: Project 11 – уязвимость Bitcoin-адресов и ForkLog о механизмах защиты от квантовых атак.

Возможен ли переход Bitcoin на постквантовые подписи через soft fork?

Да — по крайней мере, теоретически. Один из лидирующих предложений — BIP‑360 ("Pay to Quantum‑Resistant Hash", или P2QRH) — вводит проверку постквантовых подписей в tapscript с помощью новых опкодов или версий листов. Это предоставляет возможность внедрить стандартизированную подписание без полной замены скрипт-системы, позволяя миграцию через soft fork. Подробности: BIP‑360 и обсуждение на Delving Bitcoin.

Стандарты уже определены: в августе 2024 года NIST утвердил первые постквантовые схемы — ML‑KEM (Kyber) для установления ключей, ML‑DSA (Dilithium) и SLH‑DSA (SPHINCS+) для цифровых подписей. Эти рекомендации станут основой для будущих внедрений. См. документы: новость от NIST, FIPS 204 (ML‑DSA), FIPS 203 (ML‑KEM).

Однако важны и компромиссы. Постквантовые подписи значительно больше по размеру, чем ECDSA/Schnorr, что повлияет на комиссии и использование блок-пространства. Пользовательский интерфейс кошельков тоже должен адаптироваться: для управления ключами, HD-деривации, мультиподписей и др. Работа в этом направлении уже началась: идеи по HD-кошелькам и агрегированию.

Почему это обсуждается именно сейчас

Ник Картер не раз призывал разработчиков и институции Bitcoin рассматривать квантовую угрозу не как паническую спекуляцию, а как важный долгосрочный инженерный проект. В своих октябрьских и ноябрьских эссе 2025 года он подробно анализирует потенциальные уязвимости, сценарии взлома и пути миграции. См. материалы: Part I и Part II: The Quantum Supremacy. Для понимания текущих дебатов (декабрь 18–20, 2025), читайте: ForkLog: “Оценка влияния квантовых вычислений на Bitcoin”.

Практические советы для владельцев и разработчиков (2025)

До активации постквантовых алгоритмов на Bitcoin можно снизить риск, но не устранить его полностью:

  • Не используйте адреса повторно, избегайте скриптов с преждевременным раскрытием ключей. Предпочитайте SegWit-адреса с одной подписью и современные мультиси, скрывающие ключ до момента траты. Откажитесь от P2PK и повторных P2PKH, где возможно. Руководства: обзор Deloitte и Project 11.
  • Понимайте риски mempool. Даже «безопасные» адреса раскрывают ключ при передаче средств, то есть задержка подтверждения имеет значение. Подробнее: ForkLog.
  • Следите за BIP‑360 и похожими инициативами. Начальное тестирование, гибридные режимы (например, EC‑Schnorr + PQC), интеграция в кошельки — всё это важно для плавной миграции. Источники: BIP‑360 и обсуждение Delving Bitcoin.
  • Соблюдайте сроки и рекомендации NIST: при активации постквантовых подписей вы должны быть готовы оперативно адаптировать HSM, сервисы подписания и требования комплаенса. См. новость от NIST.

О сроках и ресурсах

Никто серьёзно не утверждает, что сегодня уже существует квантовый компьютер, способный взломать Bitcoin. Однако сокращение оценок ресурсов (например, работа Гидни 2025 года по RSA) и прогресс в коррекции ошибок усиливают аргументы Картера о необходимости заблаговременной подготовки. Алгоритм Шора по-прежнему угрожает ECC, а выход из уязвимых криптовалютных схем требует лет работы: разработки, тестирования и развёртывания на узлах, в кошельках и централизованных сервисах. Больше о ECC против RSA в квантовой перспективе: Roetteler et al. (2017). О готовых стандартах PQC, совместимых с soft fork: FIPS 204 / ML‑DSA.

Что это значит для самоконтроля над средствами (self-custody)

Самостоятельное хранение не устраняет квантового риска, но даёт вам свободу быстро действовать:

  • Вы решаете, когда и как переводить средства с уязвимых выходов.
  • Вы можете соблюдать гигиену адресов — не переиспользовать их, дробить UTXO и сокращать задержку в mempool — без участия биржи.
  • Вы можете заранее подготовить системные процедуры — резервные копии, пути деривации, тестовые транзакции — в ожидании постквантового обновления.

Если вы храните средства через OneKey, то уже подписываете транзакции офлайн и можете легко генерировать свежие адреса для приёма — это снижает окно уязвимости. Когда стандарты PQC стабилизируются и Bitcoin реализует соответствующий soft fork, аппаратный кошелёк с обновляемым ПО, такой как OneKey, поможет пользователям безопасно мигрировать с ротацией адресов и понятным интерфейсом для новых типов подписей. Главное в подходе — подготовка к переходу длиной в годы, а не паника в день Q.

Дополнительные материалы

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.