Прийнято вважати, що під прямою загрозою квантових комп'ютерів знаходиться близько 6,8 млн. $BTC — близько 32% усієї емісії — монети, що зберігаються на адресах з відкритими публічними ключами. Однак реальний масштаб проблеми значно ширший: за достатнього рівня розвитку квантових технологій уразливим виявиться кожен біткоїн, який перебуває в обігу.
Два рівні вразливості
Найбільш очевидна загроза — монети з відкритими публічними ключами. Саме їх відслідковує Bitcoin Risq List – відкритий реєстр Project Eleven, дослідницької організації у галузі постквантової безпеки криптоїнфраструктури. Такі монети доступні для атаки будь-якої миті: зловмиснику достатньо квантової машини, яка методично обчислює приватний ключ, маючи в розпорядженні скільки завгодно часу.
Другий рівень загрози зачіпає решту емісії. При кожному переміщенні монет публічний ключ потрапляє до мемпулу — зони непідтверджених транзакцій — і залишається відкритим від десяти хвилин до години, доки майнер не включить транзакцію до блоку. Квантовий комп'ютер, здатний обчислити приватний ключ за цей проміжок часу, міг би перехопити транзакцію, підмінити одержувача та провести подвійне витрачання. Здійснити витрати без розкриття публічного ключа неможливо – це фундаментальна властивість протоколу.
Монети Сатоші та втрачені біткоїни
Окрему проблему становлять близько 1,7 млн. $BTC на давно неактивних адресах: монети, здобуті Сатоші Накамото та іншими першопрохідниками, чиї публічні ключі відкрито вже понад 15 років. Перевести їх у квантово-захищені адреси нема кому. Додатково близько 2,6 млн $BTC безповоротно втрачено, за оцінкою компанії River Financial станом на березень 2026 року: приблизно 1,6 млн $BTC втрачено з моменту запуску мережі в 2009 році, ще близько 968 000 $BTC – гадані монети Сатоші, які не переміщаються. У підсумку під питанням знаходиться від 13 до 30% всього обсягу емісії — монети, які швидше за все ніколи не потраплять у квантово-захищені адреси.
Сценарій атаки розвивається поетапно: спочатку квантові машини атакують адреси з давно відкритими ключами як найбільш доступні, а в міру зростання обчислювальних потужностей під удар потрапляють транзакції в мемпулі. При досить довгому горизонті планування вразливим виявляється весь біткоїн без винятку.
Перешкоди на шляху до захисту
Технічні рішення існують, проте їх використання пов'язане зі значними труднощами:
- Досягнення консенсусу в децентралізованій мережі – історично болісний процес. Біткоїн-спільнота вже розколювалася через питання про розмір блоку, і низка впливових учасників публічно заперечує актуальність квантової загрози.
- Квантово-стійкі підписи в 10–100 разів більші за нинішні, що знижує кількість транзакцій у блоці та ставить питання про можливе збільшення його розміру.
- Міграція монет займе роки, а значну частину — монети Сатоші та втрачені біткоїни — не буде переміщено ніколи.
- Доля «немігрованих» монет залишається відкритим питанням: спалити їх або залишити потенційним атакуючим.
Терміни та заходи захисту
Сучасні квантові комп'ютери налічують від 100 до 1000 куб. Згідно з дослідженням компанії Universal Quantum спільно з Університетом Суссекса, для злому біткоін-адреси за один день знадобиться машина з 13 млн кубитів. За дорожньою картою IBM, до 2033 року компанія розраховує досягти 2 000 логічних кубитів – це набагато менше необхідного для атаки на биткоин. Американський Національний інститут стандартів та технологій вимагає завершити відмову від уразливих алгоритмів у своїх стандартах до 2035 року.
Ethereum, на відміну від біткоїну, вже включив постквантовий захист до офіційної дорожньої карти протоколу з горизонтом чотири роки.
Найбільш конкретною пропозицією для біткоїну залишається BIP-360 з типом виходів Pay-to-Merkle-Root (P2MR). Механізм працює так: на відміну від нинішньої схеми, де публічний ключ безпосередньо фігурує в транзакції та стає доступним для квантової атаки, P2MR приховує його за криптографічним деревом хешів (Merkle tree). Транзакція проходить через проміжні вузли дерева, не розкриваючи ключ безпосередньо. Компроміс – зростання обсягу даних кожної транзакції та відповідне зниження пропускної спроможності мережі.
Реальна загроза для біткоїну, за більшістю технічних оцінок, знаходиться за межами поточного десятиліття. Однак невирішеними залишаються два принципові питання: чи встигне децентралізована спільнота узгодити та впровадити захисні заходи до появи квантових машин потрібної потужності, і що станеться з мільйонами монет, які фізично неможливо перевести у безпечні адреси.
Думка ІІ
З погляду машинного аналізу даних, квантова загроза для біткоїну має асиметричну природу, яка рідко потрапляє у фокус дискусії. Захисникам мережі необхідно оновити кожний гаманець, кожну біржу та весь протокол – атакуючому достатньо зламати один ключ. Ця асиметрія характерна для всієї цифрової інфраструктури: як наголошується в аналізі реального обсягу емісії біткоїну, протокол накопичив цілий пласт технічних рішень минулого, які неможливо змінити заднім числом. Показово й інше: той самий аргумент про квантову вразливість однаково застосовний до банківської інфраструктури, біржових платформ та державних систем — усі вони використовують криптографію з відкритим ключем, вразливу перед алгоритмом Шора. Чи стане квантова загроза специфічною проблемою біткоїну чи системним викликом, перед яким опиниться вся цифрова економіка одночасно?