" Ключевые выводы
- Бутерин видит 20%-ную вероятность того, что до 2030 года квантовые компьютеры смогут взломать текущую криптографию, и утверждает, что Ethereum следует начать готовиться к этой возможности.
- Ключевой риск связан с ECDSA. Как только открытый ключ станет видимым в блокчейне, будущий квантовый компьютер теоретически сможет использовать его для восстановления соответствующего закрытого ключа.
- План Бутерина включает в себя откат блоков, заморозку EOA и перевод средств в квантово-устойчивые смарт-контрактные кошельки.
- Для смягчения последствий используются смарт-контрактные кошельки, одобренные NIST постквантовые подписи и гибкая инфраструктура криптовалюты, которая позволяет обмениваться схемами без хаоса.
В конце 2025 года соучредитель Ethereum Виталик Бутерин сделал нечто необычное. Он оценил риск, который обычно обсуждается в терминах научной фантастики.
Ссылаясь на платформу прогнозирования Metaculus, Бутерин заявил, что существует «вероятность примерно 20%» того, что квантовые компьютеры, способные взломать современную криптографию, появятся до 2030 года, медианный прогноз - ближе к 2040 году.
Несколько месяцев спустя на конференции Devconnect в Буэнос-Айресе Бутерин предупредил, что эллиптическая криптография, основа Ethereum и Bitcoin, «может выйти из строя до следующих президентских выборов в США в 2028 году». Он также призвал Ethereum перейти на квантово-устойчивую платформу примерно в течение 4 лет.
Рисунок 1.
По его словам, существует нетривиальная вероятность появления криптографически значимого квантового компьютера в 2020-х годах; если это так, то риск должен быть учтен в исследовательской программе Ethereum. Его не следует рассматривать как нечто отдаленное.
По состоянию на 2025 год данные Etherscan показывают более 350 000 000 уникальных адресов Ethereum, что подчеркивает масштаб роста сети, хотя лишь небольшая часть этих адресов имеет значимый баланс или остается активной.
Почему квантовые вычисления представляют собой проблему для криптографии Ethereum
Безопасность Ethereum в значительной степени основана на уравнении дискретного логарифма эллиптической кривой (elliptic curve discrete logarithm - ECDLP), которое лежит в основе алгоритма цифровой подписи на эллиптических кривых (elliptic curve digital signature algorithm - ECDSA). Ethereum использует для этих подписей эллиптическую кривую secp256k1. Проще говоря:
- Ваш закрытый ключ - это большое случайное число.
- Ваш открытый ключ - это точка на кривой, полученной из этого закрытого ключа.
- Ваш адрес - это хеш данного открытого ключа.
На классическом оборудовании переход от закрытого ключа к открытому несложный, но обратный переход считается вычислительно невозможным. Именно из-за этой асимметрии 256-битный ключ считается практически неугадываемым.
Рисунок 2.
Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер может решить дискретное логарифмическое уравнение и связанные с ним уравнения факторизации за полиномиальное время, что подорвет такие алгоритмы, как Ривеста-Шамира-Адлемана (RSA), Диффи-Хеллмана и ECDSA.
Рабочая группа по инжинирингу Интернета и Национальный институт стандартов и технологий (NIST) признают, что классические системы на эллиптических кривых будут уязвимы в присутствии криптографически релевантного квантового компьютера (CRQC).
Публикация Бутерина в Ethereum Research о потенциальной квантовой чрезвычайной ситуации подчеркивает ключевую тонкость Ethereum. Если вы никогда не совершали транзакции с адреса, в блокчейне виден только хеш вашего открытого ключа, который по-прежнему считается квантово-безопасным. После отправки транзакции ваш открытый ключ раскрывается, что дает будущему квантовому злоумышленнику исходные данные, необходимые для восстановления вашего закрытого ключа и слива средств со счета.
Таким образом, основной риск заключается не в том, что квантовые компьютеры взломают структуры данных Keccak или Ethereum, а в том, что будущая машина сможет атаковать любой адрес, открытый ключ которого был раскрыт когда-либо, что охватывает большинство пользовательских кошельков и многие хранилища смарт-контрактов.
Что сказал Бутерин и как он оценивает риск
Недавние комментарии Бутерина состоят из двух основных моментов.
Во-первых, это оценка вероятности. Вместо того, чтобы гадать самому, он указал на прогнозы Metaculus, согласно которым до 2030 года вероятность взлома квантовых компьютеров современной криптографии с открытым ключом составляет примерно 1:5. Те же прогнозы предполагают медианный сценарий около 2040 года. Он утверждает, что даже такой риск достаточно высок, чтобы Ethereum начал готовиться заранее.
Во-вторых, это фрейминг 2028 года. На Devconnect Бутерин, как сообщается, заявил аудитории, что «эллиптические кривые умрут», сославшись на исследование, которое предполагает, что квантовые атаки на 256-битные эллиптические кривые могут стать осуществимыми до президентских выборов в США в 2028 году. Некоторые СМИ сжали это до заголовка вроде «У Ethereum есть четыре года», но его послание было более конкретным:
- Современные квантовые компьютеры не могут сегодня атаковать Ethereum или Bitcoin.
- После появления CRQC ECDSA и связанные с ними системы становятся структурно небезопасными.
- Переход глобальной сети на постквантовые схемы занимает годы, поэтому ожидание очевидной опасности само по себе рискованно.
Другими словами, он мыслит как инженер по безопасности. Вы не эвакуируете город из-за 20% вероятности сильного землетрясения в течение 10 лет, но вы укрепляете мосты, пока есть время.
В последнем плане развития IBM новые квантовые чипы Nighthawk и Loon объединены с целью продемонстрировать отказоустойчивые квантовые вычисления к 2029 году. Также недавно было показано, что ключевой алгоритм коррекции квантовых ошибок может эффективно работать на традиционном оборудовании AMD.
План хард-форка «квантовой чрезвычайной ситуации»
Задолго до этих недавних публичных предупреждений Бутерин опубликовал статью Ethereum Research за 2024 год под названием «Как провести хард-форк, чтобы спасти средства большинства пользователей в квантовой чрезвычайной ситуации». В ней описывается, что может сделать Ethereum, если внезапный квантовый прорыв застанет экосистему врасплох.
Представьте себе публичное объявление о запуске крупных квантовых компьютеров, при этом злоумышленники уже опустошают кошельки, защищенные ECDSA. Что тогда нужно будет сделать?
1. Обнаружить атаку и откатить ее
Ethereum вернет блокчейн к последнему блоку, прежде чем масштабная квантовая кража станет очевидной.
2. Отключить устаревшие транзакции EOA
Традиционные внешние учетные записи (EOA), использующие ECDSA, будут заблокированы для отправки средств, что предотвратит дальнейшую кражу через открытые ключи.
3. Направлять все транзакции через кошельки со смарт-контрактами
Новый тип транзакции позволит пользователям с помощью STARK с нулевым разглашением доказать, что они контролируют исходную фразу или путь вывода - например, прообраз кошелька Bitcoin Improvement Proposal (BIP) 32 HD для уязвимого адреса.
Доказательство также будет указывать новый код проверки для квантово-устойчивого смарт-контрактного кошелька. После проверки контроль над средствами переходит к этому контракту, который с этого момента может применять пост-квантовые подписи.
4. Пакетные доказательства для эффективности использования газа
Поскольку доказательства STARK большие, дизайн предполагает пакетную обработку. Агрегаторы предоставляют пакеты доказательств, что позволяет многим пользователям совершать транзакции одновременно, сохраняя при этом секретный прообраз каждого пользователя в тайне.
Важнейшим моментом является то, что это позиционируется как средство восстановления на крайний случай, а не как план А. Виталик Бутерин утверждает, что значительная часть инфраструктурных компонентов протокола, необходимых для такого форка, включая абстракцию учетных записей, надежные системы защиты от ключа ZK и стандартизированные схемы квантово-безопасной подписи, может и должна быть реализована.
В этом смысле готовность к квантовым чрезвычайным ситуациям становится требованием к проектированию инфраструктуры Ethereum, а не просто интересным мысленным экспериментом.
Что говорят эксперты о сроках
Если Виталик Бутерин опирается на публичные прогнозы, что на самом деле говорят специалисты по аппаратному обеспечению и криптографии?
Что касается аппаратного обеспечения, чип Willow от Google, представленный в конце 2024 года, является одним из самых передовых общедоступных квантовых процессоров на сегодняшний день. Он содержит 105 физических кубитов и логические кубиты с коррекцией ошибок, способные превзойти классические суперкомпьютеры в определенных бенчмарках.
Однако директор Google по квантовому ИИ недвусмысленно заявил, что «чип Willow не способен взломать современную криптографию». По его оценкам, для взлома RSA потребуются миллионы физических кубитов, и это произойдет не менее чем через 10 лет.
Научные источники указывают на то же самое. В одном из широко цитируемых исследований показано, что для взлома 256-битной эллиптической криптографии в течение часа с использованием кубитов с поверхностной защитой кода потребуются десятки или сотни миллионов физических кубитов, что значительно превышает возможности, доступные сегодня.
Что касается криптографии, NIST и академические группы в таких местах, как Массачусетский технологический институт, годами предупреждали, что как только появятся криптографически релевантные квантовые компьютеры, они взломают практически все широко распространенные системы с открытыми ключами, включая RSA, Диффи-Хеллмана, его алгоритм на эллиптических кривых и ECDSA, используя алгоритм Шора. Это применимо как ретроспективно, путем расшифровки собранного трафика, так и в перспективе, путем подделки подписей.
Именно поэтому NIST почти 10 лет проводил свой конкурс «Постквантовая криптография» и в 2024 году завершил разработку первых трех стандартов PQC: ML-KEM для инкапсуляции ключей, ML-DSA и SLH-DSA для подписей.
Экспертного консенсуса относительно точного «дня Q» нет. Большинство оценок укладываются в 10-20-летний интервал, хотя в некоторых недавних работах рассматриваются оптимистичные сценарии, согласно которым отказоустойчивые атаки на эллиптические кривые могут стать возможными уже в конце 2020-х годов при амбициозных предположениях.
Политические организации, такие как Белый дом США и Национальный институт стандартов и технологий (NIST), достаточно серьезно относятся к риску, чтобы подтолкнуть федеральные системы к достижению PQC к середине 2030-х годов, что подразумевает нетривиальную вероятность того, что криптографически релевантные квантовые компьютеры появятся в течение этого периода.
В этом свете формулировки Бутерина «20% к 2030 году» и «возможно, до 2028 года» являются частью более широкого спектра оценок рисков, где реальный посыл заключается в неопределенности и длительном времени миграции, а не в идее о том, что уже сегодня машина для взлома кодов работает тайно.
В отчете Национального института стандартов и технологий и Белого дома за 2024 год подсчитано, что федеральным агентствам США потребуется около 7 100 000 000 долларов США для перехода своих систем на постквантовую криптографию в период с 2025 по 2035 год, и это только объем IT-инфраструктуры правительства одной страны.
Что нужно изменить в Ethereum, если ускорится квантовый прогресс?
Что касается протокола и кошелька, несколько направлений уже сходятся:
1. Абстракция учетных записей и смарт-контрактные кошельки
Переход пользователей с простых EOA на обновляемые смарт-контрактные кошельки посредством абстракции учетных записей в стиле ERC-4337 значительно упрощает последующую замену схем подписей без экстренных хардфорков. Уже сегодня некоторые проекты демонстрируют квантово-устойчивые кошельки в стиле Лампорта или расширенной схемы подписей Меркла (XMSS) на Ethereum.
2. Пост-квантовые схемы подписей
Ethereum потребуется выбрать (и протестировать в боевых условиях) одно или несколько семейств подписей PQC (вероятно, из ML-DSA/SLH-DSA NIST или конструкций на основе хэшей) и проработать компромиссы между размером ключа, размером подписи, стоимостью верификации и интеграцией смарт-контрактов.
3. Гибкость криптографии для остальной части стека
Эллиптические кривые используются не только для пользовательских ключей. Подписи BLS, обязательства KZG и некоторые системы проверки роллапов также зависят от дискретной логической стойкости. Серьезная дорожная карта квантовой устойчивости также нуждается в альтернативах для этих строительных блоков.
С точки зрения социальной и управленческой составляющей предложение Виталика Бутерина о квантовом аварийном форке служит напоминанием о том, какой уровень координации потребуется для любого реального реагирования. Даже при идеальной криптографии откат блоков, заморозка старых учетных записей или принудительная массовая миграция ключей будут политически и операционно спорными. Именно поэтому он и другие исследователи выступают за:
- Создание механизмов аварийного отключения или квантовой «канарейки», которые могут автоматически запускать правила миграции после доказуемого взлома небольшого, намеренно уязвимого тестового ресурса.
- Рассматривать постквантовую миграцию как постепенный процесс добровольного согласия, который пользователи могут использовать задолго до любой вероятной атаки, а не как спешку в последнюю минуту.
Для частных лиц и организаций ближайший контрольный список проще:
- Отдавайте предпочтение кошелькам и кастодиальным конфигурациям, которые позволяют обновить криптографию без необходимости перехода на совершенно новые адреса.
- Избегайте ненужного повторного использования адресов, чтобы уменьшить количество открытых ключей, которые будут раскрыты в блокчейне.
- Отслеживайте возможные варианты подписей Ethereum после квантовой эпохи и будьте готовы к миграции, как только появятся надежные инструменты.
К квантовому риску следует относиться так же, как инженеры относятся к наводнениям или землетрясениям. С учетом того, что в этом году они вряд ли разрушат ваш дом, но в долгосрочной перспективе это достаточно вероятно, поэтому имеет смысл проектировать крепкий фундамент.
Эта статья не содержит инвестиционных советов или рекомендаций. Любое инвестиционное и торговое действие сопряжено с риском, и читателям следует провести собственное исследование при принятии решения.
