Исследование Google Quantum AI, опубликованное в начале апреля 2026 года при участии экспертов из Ethereum Foundation и Стэнфорда, кардинально пересмотрело оценку квантовой угрозы для безопасности Bitcoin. Согласно новым данным, для взлома криптографии на эллиптических кривых, лежащей в основе сети, потребуется не миллионы, а менее 500 000 физических кубитов. Это примерно в 20 раз меньше предыдущих оценок.
Команда разработала две квантовые схемы, реализующие алгоритм Шора для конкретной кривой secp256k1, используемой в Bitcoin. Одна схема требует около 1200 логических кубитов и 90 миллионов вентилей Тоффоли, другая — 1450 логических кубитов и 70 миллионов вентилей. При этом ключевым открытием стал сценарий практической атаки. Значительная часть вычислений, зависящая от общедоступных параметров кривой, может быть выполнена заранее. Как только публичный ключ целика появляется в мемпуле (например, при отправке транзакции), квантовому компьютеру потребуется всего около девяти минут, чтобы вычислить приватный ключ и создать конкурирующую транзакцию для перехвата средств.
Это создаёт «окно уязвимости», которое примерно соответствует среднему времени подтверждения блока в Bitcoin (10 минут). Вероятность успеха такой атаки «в реальном времени» оценивается в 41%. Однако более серьёзной угрозе подвержены 6,9 миллиона BTC (около трети от общего предложения), хранящиеся в кошельках, чьи публичные ключи уже навсегда записаны в блокчейн. Для них не требуется гонка со временем — атака может быть проведена в любой момент, когда появится необходимая вычислительная мощность.
Параллельно в сообществе развернулась дискуссия о уязвимости второго уровня Bitcoin — Lightning Network. Разработчик Уди Вертхаймер заявил, что сеть Lightning «беспомощно сломана» в постквантовом мире, поскольку при закрытии каналов в блокчейне раскрываются публичные ключи. Однако, как отмечают эксперты, эта угроза носит специфический характер: атакующий должен успеть вычислить приватный ключ в течение временного окна (от 6–7 до 24 часов), которое активируется только при принудительном закрытии канала.
Сообщество разработчиков Bitcoin и Lightning не бездействует. С декабря 2025 года было представлено более пяти серьёзных предложений по постквантовой криптографии, включая SHRINCS, SHRIMPS, BIP-360 и предложения по новым опкодам. Эти решения основаны на хэш-функциях и STARK-доказательствах, которые считаются устойчивыми к квантовым атакам. Таким образом, вызов является общим для всей цифровой инфраструктуры, а не уникальной проблемой Lightning, и работа по его решению активно ведётся.
