Сооснователь Solana Анатолий Яковенко призвал экосистему Bitcoin готовиться к «квантовой эпохе» уже к ~2030. Смысл простой: настоящая уязвимость не в хэшах блоков, а в подписях (сейчас это ECDSA/Schnorr), и миграция на постквантовые схемы — это годы работы: стандарты, BIP’ы, новые типы адресов, поддержка кошельков/бирж и массовый «переезд» средств. Ниже — понятный разбор угроз, масштаба, сценариев миграции и чек-листы для разработчиков и пользователей.

Где реальная уязвимость: простыми словами

Bitcoin держится на двух крупных столпах криптографии: хэш-функции (SHA-256) и подписи транзакций (исторически ECDSA, в Taproot — Schnorr). Хэши защищают «структуру» блоков и майнинг: даже быстрый квантовый алгоритм (Гровера) даёт лишь квадратичное ускорение, и это компенсируется увеличением сложности. А вот подписи — тоньше: при достаточно мощном квантовом компьютере алгоритм Шора способен по публичному ключу вычислить приватный. Значит, если ваш публичный ключ уже раскрыт в блокчейне, теоретическая атака становится возможной.

Когда «засвечивается» публичный ключ

• P2PK (очень старые выходы). Ключ раскрыт сразу. Такие UTXO — самые уязвимые.
• P2PKH / P2WPKH. Пока вы не тратили — в блокчейне хранится только хэш ключа. При трате публичный ключ раскрывается — с этого момента он может стать целью, если средства не переведены дальше.
• Taproot (Schnorr). Схема подписей другая, но принцип тот же: показали публичный ключ — получили ту же теоретическую угрозу при наличии сильного квантового компьютера.

Итог: самый большой риск — на адресах и выходах, где публичный ключ уже опубликован (старые форматы, повторные траты без дальнейшей релокации).

Масштаб: сколько BTC под ударом

Оценки разнятся, но «вилка» даёт ориентир. Консервативный взгляд — порядка четверти предложения уже имеет раскрытые ключи (или окажется раскрытым при первой трате). Более агрессивные оценки говорят о 20–50% монет, где ключи уже были показаны хотя бы раз; встречаются и «верхние» расчёты ~6,26 млн BTC. Нельзя трактовать эти числа как «завтра украдут», но они показывают масштаб: речь о миллионах монет, причём часть — на «дремлющих» адресах ранних лет, владельцы которых давно офлайн.

Почему готовиться нужно раньше «квантового дня Х»

Есть стратегия атак под названием HNDL — harvest now, decrypt later («собери сейчас — вскрой потом»). Противник уже сегодня может собирать и индексировать данные (в т.ч. наборы публичных ключей и подписей), чтобы попытаться их вскрыть, когда техника дозреет. Поэтому подход «подождём подтверждения прорыва и начнём» проигрышный: к моменту прорыва окно на безопасную миграцию будет слишком коротким.

Что уже готово: стандарты и конструктор

Индустрия криптографии не стоит на месте. Стандартизаторы утвердили первую волну постквантовых алгоритмов (PQC) — это фундамент, на котором можно строить решения для блокчейнов:

• Dilithium / Falcon (подписи на решётках) — компактные и быстрые, удобны для транзакций, но требуют аккуратной реализации.
• SPHINCS+ — хеш-базирующие подписи: более тяжёлые по размеру, но с минималистскими допущениями.
• Kyber — схема шифрования/обмена ключами (полезна для каналов, не для подписей транзакций, но может пригодиться в сервисной инфраструктуре).

Важно: стандарт есть — но это только начало. Нужно доказать, что конкретная схема подходит блокчейну по размеру подписи/ключа, скорости, удобству миграции и, главное, по безопасной интеграции в существующий стек Bitcoin.

Bitcoin и постквант: возможные пути

Сценариев несколько. Ниже — рабочие маршруты, которые обсуждают инженеры и исследователи (без «магии», только прагматика).

1) «Гибридные» выходы (две подписи)

Новый тип адреса, где средства можно потратить подписью старого типа ИЛИ нового постквантового (условие «или»), либо даже «и то, и другое» (условие «и»). Это позволит:

• переводить средства постепенно, без «жёсткой отсечки»;
• сначала протестировать PQ-цепочку, сохранив возможность экстренного возврата по старой ветке;
• дать кошелькам и биржам время на доработку без риска стопора сети.

2) Софтфорк с новым типом скрипта

Добавить в язык сценариев выходов (script) опкоды/конструкции для проверки конкретной PQ-подписи. Это «мягкое» обновление правил консенсуса, если удастся удержать обратную совместимость и минимизировать «вес» транзакций.

3) Адреса-«мосты» и массовый «переезд»

Ключевая задача — UX. Пользователь должен одним нажатием инициировать перевод всех UTXO в новые форматы, а кошелёк — сам правильно спланировать комиссии, последовательность и защитные окна. Биржи — обеспечить автоматический «upgrade route» для биржевых балансов.

4) «Стимулы» для спящих UTXO

Самая спорная тема: как аккуратно подтолкнуть старые монеты с раскрытыми ключами к переезду. Идеи варьируются от «мягких напоминаний и поощрений» до временных технических ограничений на трату уязвимых выходов без переупаковки в новый формат. Это крайние меры, но о них говорят именно потому, что риск системный.

Технические узлы: неочевидные сложности

• Размеры подписей и комиссии. PQ-подписи зачастую крупнее. Это значит: больше байт в блоке, выше плата за газ/комиссии. Задача дизайнеров — подобрать схему с приемлемым блоутом и оптимизировать сериализацию.
• Скорость верификации. Узлы должны успевать проверять подписи без просадки пропускной способности. Иначе вырастет время распространения блоков и риск форков.
• Холодное хранение и HSM. Аппаратные модули безопасности и устройства холодного хранения нужно переоснастить: новые форматы ключей, новые кривые/решётки, новые прошивки.
• Совместимость со старым софтом. Кошельки, сервисы аналитики, эксплореры, библиотеки — всё это нужно обновить и синхронизировать по времени.

Роадмап экосистемы (условный, но реалистичный)

1. 2025–2026. Исследования и стенды: бенчмарки Dilithium/Falcon/SPHINCS+, сценарии адресов, прототипы BIP, пилоты в testnet.
2. 2026–2027. Формализация BIP(ов), аудит реализаций, первые кошельки с «гибридными» адресами, интеграции с кастоди.
3. 2027–2028. Софтфорк/активация новых правил, массовая поддержка бирж, запуск «мастер-миграций» для пользователей.
4. 2029–2030. Большая волна переезда UTXO, свод правил для оставшихся «спящих» монет, финализация инструментов мониторинга.
5. 2030–2035. Завершение критических этапов, «долгая» миграция хвоста, поддержка только PQ-совместимых сценариев для новых выпусков.

Как это коснётся бизнеса и инфраструктуры

• Биржи/брокеры. Нужно обеспечить атомарные обновления хранилищ, совместимость депозита/вывода, отчёты для аудиторов. Будут окна обслуживания и миграции адресов.
• Кастоди и фонды. Политики ключей, мультиподпись, HSM — всё обновляется. Введутся двойные процедуры: «старый + PQ» до завершения перехода.
• Регуляторы и аудиторы. Появятся чек-листы «PQ-готовности»: какие средства уже переведены, какие в очереди, кто подписывает, какие гарантии.

Пользовательский ликбез: что делать уже сейчас

1) Не переиспользуйте адреса

Каждая новая трата — новый адрес. Не светите публичный ключ заранее. Современные кошельки делают это по умолчанию — проверьте настройки.

2) Следите за апдейтами кошелька

Выбирайте кошельки с активной разработкой. Они раньше поддержат «гибридные» выходы и массовый «переезд» UTXO.

3) Делайте миграции по частям

Когда появятся PQ-адреса: начните с мелких сумм. Отработайте на них, затем переносите основной баланс. Не гоните всё одной транзакцией.

4) База безопасности никуда не делась

Сильные пароли, менеджер паролей, TOTP-2FA, офлайн-бэкапы сид-фразы, сверка адресов/сумм, антифишинговые метки. Это защищает от реальных угроз уже сегодня.

Для быстрой проверки гигиены посмотрите наши материалы: «Безопасность в крипте», «С чего начать» и базовую вики по управлению рисками /wiki/terms/risk_management.

Частые вопросы (коротко)

«А что с хэшами блоков? Их тоже сломают?»

Даже с квантовым ускорением (Гровер) преимущество против SHA-256 — квадратичное, не «магическое». Достаточно повышать сложность/параметры. Критичнее подписи, а не хэши.

«Если мой публичный ключ не раскрыт — я в безопасности?»

До первой траты — риск ниже. Но как только вы потратите, ключ «засветится». Поэтому в PQ-мире мы хотим, чтобы даже после раскрытия подпись оставалась стойкой — для этого и нужна миграция.

«Почему нельзя просто ждать и однажды “переключить тумблер”?»

Потому что в экосистеме миллионы пользователей, десятки тысяч сервисов и миллиардные балансы. Нужны годы, чтобы все прошли путь «кошелёк → адрес → UTXO → хранилища → отчётность» без потерь.

Немного драматизма — по делу

История с постквантовым переходом — это не хайп и не страшилка. Это «Y2K для криптографии», только длиннее: одновременно меняются алгоритмы, форматы адресов, процессы бирж и привычки пользователей. Ставки — не абстракция: миллионы BTC уже когда-то раскрывали ключи и могут попасть под сценарий HNDL. Если начать сейчас — это плановая миграция. Если тянуть — получится «гонка в последний день», где выигрывают атакующие.

Ключевые моменты

• Угроза касается подписей, а не хэшей.
  ECDSA/Schnorr теоретически ломаются квантовым компьютером при наличии публичного ключа.
• Масштаб — миллионы BTC.
  Часть монет уже уязвима из-за раскрытых ключей; важно дать им безопасный маршрут переезда.
• Инструменты готовы частично.
  Есть стандарты постквантовых подписей; теперь дело за инженерией Bitcoin: BIP’ы, «гибридные» выходы, поддержка кошельков/бирж.
• Таймлайн реалистичен.
  Начать — до ~2030, критические этапы закончить до ~2035. Это потребует дисциплины экосистемы.
• Пользователю — действовать сейчас.
  Не переиспользовать адреса, обновлять кошелёк, готовиться к частям переносить UTXO и соблюдать базовую гигиену безопасности.