Почему Виталик считает, что квантовые компьютеры могут взломать криптографию Ethereum раньше, чем ожидалось

Бутерин видит нетривиальный 20% шанс того, что квантовые компьютеры могут взломать текущую криптографию до 2030 года, и он утверждает, что Ethereum должен начать готовиться к такой возможности.

Ключевой риск связан с ECDSA. Как только публичный ключ становится видимым в блокчейне, будущий квантовый компьютер теоретически может использовать его для восстановления соответствующего приватного ключа.

В конце 2025 года соучредитель Ethereum Виталик Бутерин сделал нечто необычное. Он дал количественную оценку риску, который обычно обсуждается в научно-фантастических терминах.

Ссылаясь на прогностическую платформу Metaculus, Бутерин заявил, что существует «около 20% вероятности» того, что квантовые компьютеры, способные взломать современную криптографию, могут появиться до 2030 года, при этом медианный прогноз ближе к 2040 году.

Несколько месяцев спустя на Devconnect в Буэнос-Айресе он предупредил, что криптография на эллиптических кривых, основа Ethereum и Bitcoin, «может быть взломана до следующих президентских выборов в США в 2028 году». Он также призвал Ethereum перейти на квантово-устойчивые основы примерно в течение четырех лет.

По его словам, существует нетривиальный шанс появления криптографически значимого квантового компьютера в 2020-х годах; если это произойдет, то этот риск должен быть включен в дорожную карту исследований Ethereum. Его не следует рассматривать как нечто для отдаленного будущего.

Знаете ли вы? По данным Etherscan на 2025 год, показано более 350 миллионов уникальных адресов Ethereum, что подчеркивает, насколько широко выросла сеть, хотя лишь небольшая часть этих адресов содержит значимые балансы или остается активной.

Большая часть безопасности Ethereum основана на уравнении дискретного логарифма на эллиптических кривых (ECDLP), которое является основой алгоритма цифровой подписи на эллиптических кривых (ECDSA). Ethereum использует эллиптическую кривую secp256k1 для этих подписей. Проще говоря:

На классическом оборудовании переход от приватного ключа к публичному ключу прост, но обратный переход считается вычислительно неосуществимым. Эта асимметрия является причиной того, что 256-битный ключ считается практически не поддающимся угадыванию.

Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер может решить уравнение дискретного логарифма и связанные с ним уравнения факторизации за полиномиальное время, что подорвет такие схемы, как Rivest-Shamir-Adleman (RSA), Diffie-Hellman и ECDSA.

Рабочая группа по инженерным проблемам Интернета (IETF) и Национальный институт стандартов и технологий (NIST) признают, что классические системы на эллиптических кривых будут уязвимы в присутствии криптографически значимого квантового компьютера (CRQC).

Пост Бутерина в Ethereum Research о потенциальной квантовой чрезвычайной ситуации подчеркивает ключевую тонкость для Ethereum. Если вы никогда не тратили средства с адреса, то в блокчейне виден только хеш вашего публичного ключа, и это по-прежнему считается квантово-безопасным. Как только вы отправляете транзакцию, ваш публичный ключ раскрывается, что дает будущему квантовому злоумышленнику исходный материал, необходимый для восстановления вашего приватного ключа и опустошения счета.

Таким образом, основной риск заключается не в том, что квантовые компьютеры взломают Keccak или структуры данных Ethereum; он заключается в том, что будущая машина может нацелиться на любой адрес, чей публичный ключ когда-либо был раскрыт, что охватывает большинство пользовательских кошельков и многие казначейства смарт-контрактов.

Во-первых, это оценка вероятности. Вместо того чтобы гадать самому, он указал на прогнозы Metaculus, которые оценивают вероятность появления квантовых компьютеров, способных взломать современную криптографию с открытым ключом, примерно в один к пяти до 2030 года. Те же прогнозы помещают медианный сценарий около 2040 года. Его аргумент заключается в том, что даже такой хвостовой риск достаточно высок, чтобы Ethereum начал готовиться заранее.

Во-вторых, это формулировка 2028 года. На Devconnect он, как сообщается, сказал аудитории, что «эллиптические кривые умрут», ссылаясь на исследования, которые предполагают, что квантовые атаки на 256-битные эллиптические кривые могут стать осуществимыми до президентских выборов в США в 2028 году. Некоторые СМИ сжали это в заголовок вроде «У Ethereum есть четыре года», но его сообщение было более нюансированным:

Другими словами, он мыслит как инженер по безопасности. Вы не эвакуируете город из-за 20% вероятности сильного землетрясения в следующем десятилетии, но вы укрепляете мосты, пока у вас еще есть время.

Знаете ли вы? Последняя дорожная карта IBM связывает новые квантовые чипы, Nighthawk и Loon, с целью демонстрации отказоустойчивых квантовых вычислений к 2029 году. Недавно она также показала, что ключевой алгоритм квантовой коррекции ошибок может эффективно работать на обычном оборудовании AMD.

Задолго до этих недавних публичных предупреждений Бутерин опубликовал в 2024 году пост в Ethereum Research под названием «Как провести хардфорк для спасения средств большинства пользователей в случае квантовой чрезвычайной ситуации». В нем описывается, что Ethereum мог бы сделать, если внезапный квантовый прорыв застанет экосистему врасплох.

Традиционные внешние учетные записи (EOA), использующие ECDSA, будут заморожены от отправки средств, что предотвратит дальнейшие кражи через раскрытые публичные ключи.

Новый тип транзакции позволит пользователям доказать с помощью STARK-доказательства с нулевым разглашением, что они контролируют исходный сид или путь деривации — например, прообраз HD-кошелька Bitcoin Improvement Proposal (BIP) 32 для уязвимого адреса.

Доказательство также будет указывать новый код валидации для квантово-устойчивого кошелька на смарт-контракте. После проверки контроль над средствами переходит к этому контракту, который с этого момента может применять постквантовые подписи.

Поскольку STARK-доказательства велики, дизайн предусматривает пакетирование. Агрегаторы отправляют пакеты доказательств, что позволяет многим пользователям перемещать средства одновременно, сохраняя при этом секретный прообраз каждого пользователя приватным.

Важно отметить, что это позиционируется как инструмент восстановления на крайний случай, а не план А. Аргумент Бутерина заключается в том, что большая часть базовой инфраструктуры протокола, необходимой для такого форка, включая абстракцию аккаунтов, мощные ZK-системы доказательств и стандартизированные квантово-безопасные схемы подписи, может и должна быть построена.

Что касается аппаратного обеспечения, чип Willow от Google, представленный в конце 2024 года, является одним из самых передовых публичных квантовых процессоров на сегодняшний день, имея 105 физических кубитов и логические кубиты с коррекцией ошибок, которые могут превосходить классические суперкомпьютеры по определенным бенчмаркам.

Тем не менее, директор Google по квантовому ИИ прямо заявил, что «чип Willow не способен взломать современную криптографию». Он оценивает, что для взлома RSA потребуются миллионы физических кубитов, и это произойдет не ранее чем через 10 лет.

Академические ресурсы указывают в том же направлении. Один широко цитируемый анализ показывает, что для взлома 256-битной криптографии на эллиптических кривых в течение часа с использованием кубитов, защищенных поверхностным кодом, потребуются десятки-сотни миллионов физических кубитов, что намного превосходит все, что доступно сегодня.

Что касается криптографии, NIST и академические группы в таких местах, как Массачусетский технологический институт, годами предупреждали, что как только появятся криптографически значимые квантовые компьютеры, они взломают практически все широко используемые системы с открытым ключом, включая RSA, Diffie-Hellman, Elliptic Curve Diffie-Hellman и ECDSA, с помощью алгоритма Шора. Это применимо как ретроспективно, путем дешифрования перехваченного трафика, так и проспективно, путем подделки подписей.

Именно поэтому NIST почти десять лет проводил свой конкурс по постквантовой криптографии и в 2024 году завершил разработку первых трех стандартов PQC: ML-KEM для инкапсуляции ключей, а также ML-DSA и SLH-DSA для подписей.

Нет единого мнения экспертов относительно точной даты «Q-Day». Большинство оценок находятся в диапазоне 10-20 лет, хотя некоторые недавние работы допускают оптимистичные сценарии, при которых отказоустойчивые атаки на эллиптические кривые могут стать возможными в конце 2020-х годов при агрессивных предположениях.

Политические органы, такие как Белый дом США и NIST, относятся к риску достаточно серьезно, чтобы подталкивать федеральные системы к переходу на PQC к середине 2030-х годов, что подразумевает нетривиальный шанс появления криптографически значимых квантовых компьютеров в этом горизонте.

В этом свете формулировка Бутерина «20% к 2030 году» и «возможно, до 2028 года» является частью более широкого спектра оценок рисков, где реальное сообщение — это неопределенность плюс длительные сроки миграции, а не идея о том, что машина для взлома кода тайно работает уже сегодня.

Знаете ли вы? Отчет Национального института стандартов и технологий и Белого дома за 2024 год оценивает, что миграция систем федеральных агентств США на постквантовую криптографию в период с 2025 по 2035 год обойдется примерно в 7,1 миллиарда долларов, и это только ИТ-инфраструктура правительства одной страны.

Перевод пользователей с обычных EOA на обновляемые кошельки на смарт-контрактах, посредством абстракции аккаунтов в стиле ERC-4337, значительно упрощает последующую замену схем подписи без экстренных хардфорков. Некоторые проекты уже демонстрируют квантово-устойчивые кошельки в стиле Лампорта или eXtended Merkle Signature Scheme (XMSS) на Ethereum сегодня.

Ethereum потребуется выбрать (и протестировать в боевых условиях) одно или несколько семейств PQC-подписей (вероятно, из ML-DSA/SLH-DSA NIST или хеш-основанных конструкций) и проработать компромиссы в размере ключа, размере подписи, стоимости верификации и интеграции со смарт-контрактами.

Эллиптические кривые используются не только для пользовательских ключей. Подписи BLS, обязательства KZG и некоторые системы доказательства для роллапов также полагаются на сложность дискретного логарифма. Серьезная дорожная карта квантовой устойчивости нуждается в альтернативах и для этих строительных блоков.

Что касается социальной и управленческой стороны, предложение Бутерина о форке в случае квантовой чрезвычайной ситуации напоминает о том, сколько координации потребуется для любого реального ответа. Даже при идеальной криптографии откат блоков, замораживание устаревших аккаунтов или принудительная массовая миграция ключей были бы политически и операционно спорными. Отчасти поэтому он и другие исследователи выступают за:

Создание механизмов аварийного отключения или квантовых «канареек», которые могут автоматически запускать правила миграции, как только меньший, намеренно уязвимый тестовый актив будет доказательно взломан.

Квантовый риск следует рассматривать так, как инженеры думают о наводнениях или землетрясениях. Маловероятно, что он разрушит ваш дом в этом году, но достаточно вероятно в долгосрочной перспективе, чтобы имело смысл проектировать фундамент с учетом этого.

Эта статья не содержит инвестиционных советов или рекомендаций. Каждое инвестиционное и торговое действие сопряжено с риском, и читатели должны проводить собственное исследование при принятии решения.