Квантовий ризик і криптографічна безпека: чому заклик Ніка Сзабо до обережності важливіший за заголовки

Індустрія криптовалют стикається з справжнім довгостроковим викликом безпеки, але дискусія навколо загроз квантових обчислень стала поляризованою. У той час як попередження Віталіка Бутеріна щодо квантових загроз для Ethereum і Bitcoin привернули увагу — цитуючи 20% ймовірність того, що квантові комп’ютери зможуть зламати сучасну криптографію до 2030 року — більш зважені голоси, такі як Нік Цабо, пропонують важливу перспективу щодо того, як індустрія насправді має реагувати. Дискусія не стосується того, чи становлять квантові комп’ютери загрозу; вона стосується терміновості, методології та уникнення панічних помилок, які можуть бути більш небезпечними за саму загрозу.

Технічна реальність: ECDSA під квантовим штурмом

Безпекова архітектура Ethereum і Bitcoin базується на ECDSA (Алгоритм цифрового підпису на еліптичних кривих) з використанням кривої secp256k1. Криптографічний принцип простий: приватний ключ генерує відповідний публічний ключ за допомогою математичної трансформації, яка легко виконується в одному напрямку, але обчислювально неможлива у зворотному — принаймні на класичних комп’ютерах.

Квантові обчислення кардинально змінюють цю обчислювальну задачу. Алгоритм Шора, запропонований у 1994 році, може розв’язувати задачу дискретного логарифму за поліноміальний час за допомогою квантових процесорів. Як тільки квантовий комп’ютер досягне достатньої кількості кубітів, теоретично він зможе вивести приватні ключі з публічно доступних ключів у блокчейні.

Практична вразливість проявляється не при створенні адрес, а при здійсненні транзакцій. Не використаний адрес лише відкриває хеш публічного ключа (квантово-стійкий), але витрачена транзакція розкриває фактичний публічний ключ, створюючи теоретичну поверхню атаки для майбутніх квантових можливостей. Це важливо: більшість бездіяльних активів залишається захищеною навіть у майбутньому з квантовими можливостями, але активні адреси справді під ризиком.

Квантовий прорив Google: прогрес без паніки

Квантовий процесор Willow від Google, випущений у грудні 2024 року, став значним інженерним досягненням. Система з 105 кубітів виконала обчислення за менше ніж п’ять хвилин, що потребували б приблизно 10 септильйонів (10²⁵) років на сучасних суперкомп’ютерах. Більш важливо, що Willow продемонстрував “нижче порогу” квантове виправлення помилок — досягнення, до якого дослідники прагнули майже три десятиліття, — коли додаткові кубіти фактично знижують рівень помилок, а не збільшують їх.

Проте контекст важливий. Хартмут Невен, директор Google Quantum AI, чітко заявив, що Willow не може зламати сучасну криптографію. Академічний консенсус вказує, що компрометація 256-бітної еліптичної кривої криптографії у практичний термін вимагатиме десятків або сотень мільйонів фізичних кубітів. Поточні системи працюють приблизно на 100-1000 кубітах. Дорожні карти галузі передбачають появу квантових комп’ютерів з високою стійкістю до помилок до 2029-2030 років, але значний інженерний шлях ще попереду.

Вже існуючий шлях міграції

Індустрія криптографії вже має квантово-стійкі альтернативи. NIST завершив свої перші стандарти пост-квантової криптографії у 2024 році: ML-KEM для капсулювання ключів, ML-DSA та SLH-DSA для цифрових підписів. Ці алгоритми, засновані на решітковій математиці та хеш-функціях, залишаються стійкими до атак алгоритму Шора навіть при масштабуванні квантових процесорів.

Проєкти криптовалюти вже почали операційні пілоти. Рамкова структура Ethereum для абстракції облікових записів (ERC-4337) дозволяє користувачам переходити від традиційних зовнішніх облікових записів до оновлюваних смарт-контрактних гаманців, що дозволяє змінювати схеми підпису без примусового міграції адрес. Уже існують проєкти, які демонструють реалізацію квантово-стійких гаманців на базі Lamport і XMSS.

Реальні дані розвитку підтверджують можливість: тестова мережа Naoris Protocol, запущена на початку 2025 року, нібито обробила понад 100 мільйонів пост-квантово безпечних транзакцій, одночасно виявляючи та пом’якшуючи понад 600 мільйонів загроз безпеці у реальному часі. Інфраструктура, здатна підтримувати пост-квантові системи, не є теоретичною — вона вже функціонує і масштабується.

Емерджентні протоколи Бутеріна і розумне планування

Пост Віталіка Бутеріна у 2024 році у Ethereum Research окреслив надійні аварійні процедури у разі несподіваної реалізації квантових загроз. Протокол передбачає повернення ланцюга до стану до атаки, тимчасове замороження зовнішніх облікових записів, залежних від ECDSA, та міграційні шляхи з використанням доказів з нульовою довірою для підтвердження володіння seed, що дозволяє перейти до квантово-стійких гаманців.

Ці механізми — це обережне планування на випадок надзвичайних ситуацій, а не панічні реакції. Вони визнають можливість, не прискорюючи радикальні зміни, які можуть створити нові вразливості.

Мудрість Цабо: довгострокова стратегія захисту

Нік Цабо, піонер у криптографії та теоретик смарт-контрактів, пропонує інший підхід, який не заперечує загрозу, але переосмислює її терміновість. Цабо наголошує, що безпека криптовалюти суттєво покращується з часом — не лише через готовність до квантових обчислень, а через внутрішні властивості блокчейну. Він використовує переконливу метафору: кожен новий доданий блок функціонує як янтар, що накопичується навколо транзакції, ускладнюючи її зняття будь-якою атакою, навіть квантовою.

Цабо визнає, що квантовий ризик є “загалом неминучим”, але зазначає, що негайні юридичні, соціальні та управлінські загрози заслуговують такої ж або більшої уваги. Його позиція — не протидія пост-квантовій міграції, а заклик до реалістичних термінів і методичного впровадження, щоб уникнути реактивних дій, які можуть призвести до гірших вразливостей, ніж сама квантова загроза.

Формування консенсусу: починайте перехід без паніки

Адам Бек, CEO Blockstream і архітектор Bitcoin, також стверджує, що загроза квантових обчислень має десятилітній або довший масштаб і виступає за “послідовні дослідження, а не поспішні або руйнівні зміни протоколу”. Його занепокоєння обґрунтоване досвідом: аварійні протокольні зміни, особливо у децентралізованих мережах, часто створюють несподівані вразливості.

Індустріальний консенсус, що формується навколо цих поглядів, пропонує середній шлях: почати міграцію до квантово-стійких рішень негайно, оскільки децентралізовані мережі потребують років для досягнення консенсусу та впровадження, але зосередитися на методичній розробці, а не на реактивних кардинальних змінах.

Практичні рекомендації для учасників криптовалюти

Для активних трейдерів і частих транзакцій — рекомендація проста: продовжуйте звичайну діяльність, слідкуючи за розвитком протоколів. Для довгострокових власників — стратегія трохи змінюється:

Пріоритет — зберігання та інфраструктура гаманців, що підтримують криптографічну гнучкість — системи, які дозволяють оновлювати схеми підпису без примусового створення нових адрес. Мінімізуйте повторне використання адрес, щоб зменшити кількість публічно-вразливих ключів у майбутньому. Стежте за реальними рішеннями Ethereum щодо пост-квантової міграції та їхніми термінами, готуючись до переходу, коли з’являться надійні, аудиторські інструменти, готові до виробництва, а не раніше за це.

Математика управління ризиками

20% ймовірність квантової загрози до 2030 року логічно означає 80% ймовірність того, що криптографічна безпека залишиться цілісною протягом цього періоду. У ринковій капіталізації понад 3 трильйони доларів навіть 20% ризику катастрофічної втрати безпеки заслуговують серйозної уваги. Однак увага — це не прискорення.

Як і пропонують Бутерін і Цабо різними аргументами, загрози квантових обчислень слід розглядати так, як інженери підходять до сейсмічних або повеневих ризиків: малоймовірно, що вони загрожують інфраструктурі цього року, але досить ймовірно протягом тривалого часу, щоб врахувати цю можливість у фундаментальному проектуванні. Переходження до пост-квантової криптографії — це необхідна еволюція інфраструктури, яку слід здійснювати обережно, а не у паніці.