Криптоиндустрия всегда отличалась масштабными нарративами, однако угроза квантовых вычислений выделяется по особой причине — она находится на стыке реальных технологических ограничений и рыночной логики оценки «отдалённых рисков». С 2026 года BlackRock официально указывает квантовые вычисления в числе факторов риска в проспекте IBIT, а руководитель исследовательского отдела Coinbase Дэвид Дуонг предупреждает, что примерно 6,51 млн BTC подвержены долгосрочному воздействию. Одновременно токены, устойчивые к квантовым атакам, такие как Quantum Resistant Ledger (QRL), за сутки могут вырасти почти на 50 %. Возникает вопрос: эти сигналы свидетельствуют о срочном, требующем действий кризисе или это лишь нарратив, который рынок закладывает в цену заранее?
В то же время биткоин переживает значительную рыночную коррекцию. На момент написания статьи цена биткоина составляет 62 083,9 $, что на 10,73 % ниже, чем месяц назад, и на 33,74 % ниже, чем год назад. Общая капитализация рынка — около 1,24 трлн $. Рыночные настроения сейчас нейтральные. В такой ценовой ситуации может ли «квантовая угроза» — долгосрочный структурный риск — быть усилена рынком и превратиться в краткосрочный нарратив?
Техническая реальность: два вектора угроз квантовых алгоритмов и их применимость
Угроза квантовых вычислений для биткоина часто сводится к формуле «они могут взломать криптографические алгоритмы», однако это чрезмерно упрощает фундаментальные различия между двумя типами алгоритмов. Алгоритм Шора нацелен на задачи факторизации целых чисел и дискретного логарифма в криптографии с открытым ключом, что напрямую затрагивает ECDSA и подписи Шнорра — ключевые механизмы авторизации транзакций в биткоине. Квантовый компьютер с коррекцией ошибок и достаточным количеством логических кубитов, запускающий алгоритм Шора, теоретически способен восстановить приватный ключ по публичному ключу, размещённому в блокчейне, подделать подпись и перевести активы.
Однако между «теорией» и «практикой» существует огромная пропасть. В отчёте Бернштейна за 2026 год отмечается, что переход от существующих десятков логических кубитов к тысячам, необходимых для угрозы ECDSA, — это «многомерная инженерная задача, требующая лет прорывных достижений». Даже с учётом успеха Google Quantum AI в марте 2026 года, когда необходимые ресурсы для взлома эллиптической криптографии были сокращены примерно в 20 раз, для атаки на биткоин всё равно потребуется тысячи или даже десятки тысяч стабильных логических кубитов. В отрасли существует консенсус, что такой технологический уровень будет достигнут не ранее чем через 10–20 лет.
В то же время алгоритм Гровера нацелен на хеш-функцию SHA-256. Теоретически он снижает сложность перебора с 2²⁵⁶ до 2¹²⁸, но это не означает фундаментального «взлома» SHA-256. В исследовании CoinShares отмечается, что даже после оптимизации Гровера 2¹²⁸ операций остаются практически невыполнимыми с инженерной точки зрения, поэтому адреса, защищённые хеш-функциями, сохраняют безопасность. Что касается потенциального влияния Гровера на эффективность майнинга PoW, то в теории он может ускорить поиск валидных nonce, но это преимущество будет иметь значение только в случае, если квантовые майнеры смогут превзойти современные ASIC-устройства, а до этого уровня Гровер не дотягивает даже теоретически.
К структурным рискам относится и модель атаки «Собрать сейчас — расшифровать потом» (Harvest Now, Decrypt Later, HNDL). И АНБ США, и Национальный центр кибербезопасности Великобритании уже признают HNDL реальной угрозой: злоумышленники перехватывают зашифрованные данные сегодня, чтобы расшифровать их в будущем при появлении Квантового компьютера, релевантного для криптографии (CRQC). В случае биткоина данные транзакций и так публичны, поэтому «сбор» не требует затрат. Это означает, что после появления CRQC любой адрес, публичный ключ которого когда-либо был раскрыт, становится уязвимым для ретроспективных атак. Это не только теоретическая перспектива — подобные сценарии уже учитываются в институциональных моделях управления рисками.
Оценка уязвимости: дифференциация рисков по типам адресов
Квантовый риск распределён по сети биткоина неравномерно — не все BTC подвержены одинаковой угрозе. По данным Glassnode, 85 % адресов в кошельке Binance биткоина имеют раскрытые публичные ключи, что теоретически относит их к группе высокого риска. Однако для корректной оценки необходима более тонкая классификация.
Риск различается по типу адреса и формирует пирамиду:
Адреса P2PK (Pay-to-Public-Key): публичный ключ размещён в блокчейне без защиты хешем, что делает такие адреса наиболее уязвимыми. На них хранится около 1,7 млн BTC, примерно 8 % от общего предложения, включая ранние монеты Сатоши Накамото (около 1,1 млн BTC).
Адреса P2PKH (Pay-to-Public-Key-Hash): в блокчейне представлен только хеш публичного ключа, сам ключ не раскрывается. Пока такие адреса только принимают (и не отправляют) транзакции, публичный ключ остаётся скрытым, что обеспечивает естественный квантовый барьер. Однако после первой траты UTXO (то есть отправки транзакции) публичный ключ становится видимым и попадает в ту же зону риска, что и P2PK.
Адреса P2SH (Pay-to-Script-Hash) и Taproot (P2TR): степень уязвимости зависит от структуры скрипта и условий расходования средств. В январе 2026 года Дэвид Дуонг из Coinbase отметил, что примерно 32,7 % предложения биткоина (около 6,51 млн BTC) подвержены долгосрочной уязвимости из-за повторного использования адресов и особенностей скриптов, включая P2PK, нативные мультиподписи и Taproot-адреса.
Иными словами, ключевой квантовый риск заключается не в том, «сколько BTC может быть атаковано», а в том, «сколько BTC уже имеют раскрытый публичный ключ к моменту появления CRQC». Для частных пользователей отказ от повторного использования адресов и смена адреса для получения после каждой транзакции позволяют эффективно сократить окно уязвимости их активов.
Стандартизация NIST PQC: чёткий график перехода
В августе 2024 года Национальный институт стандартов и технологий США (NIST) официально выпустил первый пакет стандартов постквантовой криптографии: FIPS 203 (ML-KEM, ранее CRYSTALS-Kyber) для инкапсуляции ключей, FIPS 204 (ML-DSA, ранее CRYSTALS-Dilithium) и FIPS 205 (SLH-DSA, ранее SPHINCS+) для цифровых подписей, а также FIPS 206 (FN-DSA, ранее FALCON) как четвёртый стандарт подписи. Эти стандарты не ограничиваются теорией — они предусматривают практические промышленные реализации. В мае 2026 года NIST вывел девять алгоритмов цифровой подписи в третий раунд дополнительной стандартизации, добавив HQC как пятый алгоритм на основе кодов с исправлением ошибок — резерв для ML-KEM.
NIST определил чёткое окно миграции: к 2035 году алгоритмы RSA, ECC и другие массово используемые, но уязвимые для квантовых атак, будут официально выведены из стандартов, а для систем с повышенным риском сроки перехода наступят раньше. Для криптоиндустрии это означает, что сообществу биткоина предстоит перейти с ECDSA/Шнорра на схемы постквантовых подписей в течение ближайших 5–10 лет. Учитывая, что последняя крупная мягкая вилка биткоина (Taproot) заняла около трёх лет с момента предложения до активации, глобальное обновление с заменой системы подписей может потребовать ещё больше времени на подготовку.
Отметим, что некоторые блокчейны первого уровня уже внедряют постквантовые решения. В 2025 году Algorand провёл первую транзакцию с постквантовой защитой, применив подписи Falcon в смарт-контрактах и системах подтверждения состояния. В мае 2026 года NEAR Protocol анонсировал обновление консенсуса и системы подписей транзакций, нацеливаясь на постквантовую эпоху. Эти шаги получили положительную реакцию рынка: NEAR вырос на 5,6 % в течение суток после анонса, а Algorand — примерно на 50 % за неделю. Токены с квантовой защитой стали одними из главных лидеров роста крипторынка 2026 года, демонстрируя значительную системную сверхдоходность.
Реакция сообщества биткоина: от BIP-360 к BIP-361
Ответ биткоин-сообщества на квантовую угрозу перешёл от теоретических дискуссий к конкретным предложениям.
BIP-360, предложенный в начале 2026 года, представляет собой базовый план мягкой вилки, вводящий новый тип выхода Pay-to-Merkle-Root (P2MR), исключающий уязвимые для квантовых атак ключевые пути на уровне адреса и обеспечивающий защиту для новых BTC. Этот механизм не затрагивает уже существующие средства, но формирует безопасную основу для «будущих монет».
BIP-361, опубликованный в июне 2026 года, вызывает больше споров и на данный момент является самым комплексным предложением по миграции. Его автор — Джеймсон Лопп в соавторстве с пятью экспертами. В документе описан трёхэтапный план: в течение трёх лет после активации запрещается отправка новых BTC на устаревшие адреса, все пользователи должны перейти на квантово-устойчивые адреса; через пять лет устаревшие подписи полностью отключаются, а невостребованные BTC замораживаются; на третьем этапе вводится механизм восстановления на основе доказательств с нулевым разглашением, позволяющий владельцам мнемонических фраз вернуть средства, если они пропустили миграцию. Лопп подчёркивает, что BIP-361 — это пока черновик, «набросок возможностей», детали которого будут дорабатываться по мере развития исследований.
Реакция сообщества крайне поляризована. Сторонники считают механизм заморозки «оборонительным стимулом»: лучше заранее задать окно миграции для защиты общей безопасности активов, чем допустить массовый взлом и сброс BTC квантовыми атакующими, что уничтожит ценность сети. Критики называют это «авторитаризмом» и предательством децентрализованной философии биткоина, указывая, что принудительная заморозка средств добросовестных держателей противоречит базовому доверию. Эта дискуссия отражает более глубокую суть: квантовая миграция — не только техническая задача, но и вопрос управления, прав собственности и консенсуса сообщества.
Поскольку прогресс на уровне протокола идёт медленно, некоторые команды сосредоточились на решениях прикладного уровня. В апреле 2026 года Postquant Labs запустила квантово-устойчивый кошелёк Quip Network для биткоина, использующий схему WOTS+ (Winternitz One-Time Signature) и уровень смарт-контрактов Arch Network для дополнительной защиты без изменения базового протокола биткоина. Такой подход второго уровня обеспечивает мгновенную защиту для пользователей, готовых перейти на новые решения до достижения консенсуса по протоколу.
Рыночный нарратив против объективного риска
Квантово-устойчивые нарративы на крипторынке 2026 года имеют объективные основания. BlackRock официально указывает квантовые вычисления как потенциальный фактор отказа криптоинфраструктуры в проспекте IBIT; в февральском отчёте Европейского центрального банка подчёркивается системное влияние квантовых угроз на финансовую криптографию; стандарты NIST по PQC уже внедряются на институциональном уровне. Всё это стимулирует переток капитала — от институциональных до частных инвесторов — в квантово-устойчивые активы.
Тем не менее, с учётом текущего технологического прогресса, между рыночным нарративом и реальной угрозой сохраняется значительный «разрыв по времени». Ожидается, что CRQC, способный атаковать ECDSA, появится не ранее чем через десять лет. Однако технологический прогресс часто развивается нелинейно — сокращение Google в марте 2026 года необходимых ресурсов для взлома эллиптической криптографии в 20 раз на время изменило ожидания отрасли. Как отмечает неравенство Москы: если время подготовки к миграции плюс период чувствительности данных превышает время появления CRQC, окно миграции уже открыто. Сам NIST рекомендует организациям использовать «гибридное развертывание» (PQC + RSA/ECC), чтобы избежать системных рисков при массовой замене позже.
Для частных держателей уже доступны различные решения «квантово-безопасного биткоин-кошелька» — от WOTS+ в Quip до стандартов решёток NTRU Prime в Bearby, что позволяет обеспечить существенную защиту на прикладном уровне без ожидания обновления протокола. Для институтов и бирж более актуальны задачи оценки уязвимости адресов кошельков, построения крипто-гибких архитектур и отслеживания прогресса по алгоритмам NIST. Примечательно, что цена биткоина снизилась более чем на 33 % от прошлогоднего пика в 126 193 $, а рынок переваривает макроэкономические факторы и структурные нарративы. Квантовая устойчивость как долгосрочная логика, скорее всего, будет использоваться для ротации секторов краткосрочным капиталом. Рациональное различение «технических сроков» и «нарративных сроков» становится необходимым, чтобы не поддаться волатильности.
Заключение
Фактический уровень угрозы, которую квантовые вычисления представляют для биткоина, сегодня можно точно охарактеризовать как «долгосрочный, но реальный структурный риск». Алгоритм Шора способен фундаментально подорвать безопасность подписей ECDSA, однако практическая реализация возможна не ранее чем через десятилетие; влияние Гровера на SHA-256 существенно преувеличено; NIST определил чёткий график миграции с 2024 по 2035 год; а сообщество биткоина продвинулось от BIP-360 к BIP-361, предлагая конкретные решения.
Однако «большой запас времени» не означает, что «можно ждать». Модель атаки «Собрать сейчас — расшифровать потом» подразумевает, что сегодняшние раскрытия публичных ключей станут реальной угрозой в будущем, а нелинейный характер прогресса квантовых вычислений делает «10-летнее окно» весьма условным. Рыночное ценообразование частично отражает рациональное дисконтирование долгосрочных рисков, но способно усиливать краткосрочные нарративы — особенно в условиях падения цены биткоина более чем на 30 % от исторического максимума и нейтральных настроений на рынке, любой «деструктивный» нарратив привлекает повышенное внимание. Для рациональных криптопрофессионалов умение отличать подтверждённый технический прогресс от нарративно обусловленных рыночных колебаний останется важнейшим навыком в ближайшие годы.
