Основные тезисы
-
Бутерин оценивает вероятность взлома текущей криптографии квантовыми компьютерами до 2030 года в 20% и утверждает, что Ethereum должен начать готовиться к этой возможности.
-
Ключевой риск связан с ECDSA. Как только публичный ключ становится видимым в сети, будущий квантовый компьютер теоретически может использовать его для восстановления соответствующего приватного ключа.
-
План действий в случае возникновения квантовой угрозы от Бутерина включает откат блоков, заморозку EOA и перенос средств в квантоустойчивые смарт-контрактные кошельки.
-
Смягчение последствий означает использование смарт-контрактных кошельков, постквантовых подписей, одобренных NIST, и криптогибкой инфраструктуры, способной переключать схемы без хаоса.
В конце 2025 года сооснователь Ethereum Виталик Бутерин сделал нечто необычное. Он присвоил цифры риску, который обычно обсуждается в терминах научной фантастики.
Ссылаясь на платформу прогнозирования Metaculus, Бутерин сказал, что существует «примерно 20% вероятность» появления квантовых компьютеров, способных взломать сегодняшнюю криптографию, до 2030 года, при этом медианный прогноз ближе к 2040 году.
Через несколько месяцев на Devconnect в Буэнос-Айресе он предупредил, что эллиптическая криптография, основа Ethereum и Bitcoin, «может быть взломана до следующих президентских выборов в США в 2028 году». Он также призвал Ethereum перейти на квантоустойчивые основы примерно через четыре года.
По его мнению, существует немалая вероятность появления криптографически значимого квантового компьютера в 2020-х годах; если это произойдет, то этот риск должен быть включен в план исследований Ethereum. Нельзя рассматривать это как что-то из далекого будущего.
Знаете ли вы? По данным Etherscan на 2025 год, более 350 миллионов уникальных адресов Ethereum, что подчеркивает, насколько широко распространена сеть, хотя лишь небольшая часть этих адресов содержит значительные остатки или остается активной.
Почему квантовые вычисления представляют проблему для криптографии Ethereum
Большая часть безопасности Ethereum основана на уравнении дискретного логарифма эллиптической кривой (ECDLP), которое является основой алгоритма цифровой подписи эллиптической кривой (ECDSA). Ethereum использует эллиптическую кривую secp256k1 для этих подписей. Проще говоря:
- Ваш приватный ключ – это большое случайное число.
- Ваш публичный ключ – это точка на кривой, полученная из вашего приватного ключа.
- Ваш адрес – это хэш вашего публичного ключа.
На классическом оборудовании переход от приватного ключа к публичному прост, но обратный переход считается вычислительно невозможным. Эта асимметрия означает, что 256-битный ключ считается практически невзламываемым.
Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер может решить уравнение дискретного логарифма и связанные с ним уравнения факторизации за полиномиальное время, что подорвет такие схемы, как Rivest-Shamir-Adleman (RSA), Diffie-Hellman и ECDSA.
Internet Engineering Task Force и National Institute of Standards and Technology (NIST) признают, что классические эллиптические криптосистемы будут уязвимы в присутствии криптографически значимого квантового компьютера (CRQC).
Публикация Бутерина в Ethereum Research о потенциальной квантовой чрезвычайной ситуации подчеркивает ключевую тонкость для Ethereum. Если вы никогда не тратили средства с адреса, то в сети виден только хэш вашего публичного ключа, и он все еще считается квантово безопасным. Как только вы отправите транзакцию, ваш публичный ключ будет раскрыт, что даст будущему квантовому злоумышленнику исходные данные, необходимые для восстановления вашего приватного ключа и опустошения учетной записи.
Таким образом, основная проблема заключается не в том, что квантовые компьютеры взломают Keccak или структуры данных Ethereum, а в том, что будущая машина сможет нацелиться на любой адрес, чей публичный ключ когда-либо был раскрыт, что охватывает большинство пользовательских кошельков и многие казначейства смарт-контрактов.
Что сказал Бутерин и как он формулирует риск
В своих недавних комментариях Бутерин выдвинул два основных тезиса.
Во-первых, это оценка вероятности. Вместо того чтобы гадать самому, он указал на прогнозы Metaculus, которые оценивают вероятность появления квантовых компьютеров, способных взломать сегодняшнюю криптографию с открытым ключом, примерно в одну пятую до 2030 года. Те же прогнозы помещают медианный сценарий примерно на 2040 год. Его аргумент заключается в том, что даже этот вид хвостового риска достаточно высок, чтобы Ethereum мог подготовиться заранее.
Во-вторых, это формулировка 2028 года. На Devconnect он, по сообщениям, сказал аудитории, что «эллиптические кривые умрут», сославшись на исследования, которые показывают, что квантовые атаки на 256-битные эллиптические кривые могут стать осуществимыми до президентских выборов в США в 2028 году. Некоторые публикации сжали это в заголовок вроде «У Ethereum есть четыре года», но его сообщение было более нюансированным:
- Текущие квантовые компьютеры не могут атаковать Ethereum или Bitcoin сегодня.
- Как только CRQC появятся, ECDSA и связанные системы станут структурно небезопасными.
- Миграция глобальной сети на постквантовые схемы занимает годы, поэтому ожидание очевидной опасности само по себе рискованно.
Другими словами, он мыслит как инженер по безопасности. Вы не эвакуируете город, потому что есть 20% шанс землетрясения в ближайшее десятилетие, но вы укрепляете мосты, пока у вас есть время.
Знаете ли вы? Последняя дорожная карта IBM сочетает в себе новые квантовые чипы, Nighthawk и Loon, с целью демонстрации отказоустойчивых квантовых вычислений к 2029 году. Он также недавно показал, что ключевой алгоритм квантовой коррекции ошибок может эффективно работать на обычном оборудовании AMD.
Внутри плана аварийного форка "квантовая чрезвычайная ситуация"
Задолго до этих недавних публичных предупреждений Бутерин опубликовал в 2024 году публикацию в Ethereum Research под названием «Как выполнить жесткий форк, чтобы спасти средства большинства пользователей в случае квантовой чрезвычайной ситуации». В ней описывается, что Ethereum может сделать, если внезапный квантовый прорыв застанет экосистему врасплох.
Представьте себе публичное объявление о появлении крупномасштабных квантовых компьютеров и злоумышленниках, которые уже опустошают кошельки, защищенные ECDSA. Что тогда?
Обнаружение атаки и откат
Ethereum вернет цепочку к последнему блоку перед тем, как крупномасштабные квантовые кражи станут явно видимыми.
Отключение транзакций legacy EOA
Традиционные внешне управляемые учетные записи (EOA), использующие ECDSA, будут заморожены для отправки средств, что пресечет дальнейшие кражи через раскрытые публичные ключи.
Перенаправление всего через смарт-контрактные кошельки
Новый тип транзакции позволит пользователям доказать, с помощью STARK с нулевым знанием, что они контролируют исходный seed или путь вывода – например, preimage HD-кошелька BIP 32 для уязвимого адреса.
Доказательство также укажет новый код валидации для квантоустойчивого смарт-контрактного кошелька. После проверки контроль над средствами переходит к этому контракту, который может обеспечить постквантовые подписи с этого момента.
Пакетное подтверждение для повышения эффективности использования газа
Поскольку STARK-доказательства велики, в дизайне предусмотрено пакетное подтверждение. Агрегаторы отправляют пакеты доказательств, что позволяет многим пользователям действовать одновременно, сохраняя при этом секретный preimage каждого пользователя в безопасности.
Важно отметить, что это позиционируется как инструмент аварийного восстановления в последнюю очередь, а не как план А. Бутерин утверждает, что большая часть протокольной инфраструктуры, необходимой для такого форка, включая абстракцию учетных записей, надежные системы ZK-доказательств и стандартизированные квантово-безопасные схемы подписи, может и должна быть построена.
В этом смысле подготовка к квантовой чрезвычайной ситуации становится требованием к проектированию инфраструктуры Ethereum, а не просто интересным мысленным экспериментом.
Что говорят эксперты о сроках
Если Бутерин опирается на публичные прогнозы, что говорят специалисты в области аппаратного обеспечения и криптографии?
В области аппаратного обеспечения чип Willow от Google, представленный в конце 2024 года, является одним из самых передовых публичных квантовых процессоров на сегодняшний день, с 105 физическими кубитами и исправленными кубитами с логическими кубитами, которые могут превзойти классические суперкомпьютеры в определенных тестах.
Однако директор Google по квантовому ИИ прямо заявил, что «чип Willow не способен взломать современную криптографию». Он оценивает, что для взлома RSA потребуется миллион физических кубитов и это произойдет не раньше чем через 10 лет.
Академические источники указывают на то же самое. Один из широко цитируемых анализов показывает, что для взлома 256-битной эллиптической криптографии в течение часа с использованием кубитов, защищенных поверхностным кодом, потребуется от десятков до сотен миллионов физических кубитов, что намного превышает все, что доступно сегодня.
В области криптографии NIST и академические группы из мест, таких как Массачусетский технологический институт, годами предупреждают, что как только криптографически значимые квантовые компьютеры появятся, они сломают по сути все широко развернутые системы с открытым ключом, включая RSA, Diffie-Hellman, Diffie-Hellman с эллиптическими кривыми и ECDSA, с помощью алгоритма Шора. Это применяется как ретроспективно, путем расшифровки перехваченного трафика, так и перспективно, путем подделки подписей.
Поэтому NIST провел почти десятилетие, проводя конкурс по постквантовой криптографии, и в 2024 году финализировал свои первые три стандарта PQC: ML-KEM для инкапсуляции ключей и ML-DSA и SLH-DSA для подписей.
Не существует единого мнения экспертов относительно точной даты "Q-Day". Большинство оценок находятся в пределах 10-20 лет, хотя некоторые недавние работы предполагают оптимистичные сценарии, в которых отказоустойчивые атаки на эллиптические кривые могут быть возможны в конце 2020-х годов при агрессивных предположениях.
Органы власти, такие как Белый дом и NIST, серьезно относятся к риску, настолько, что продвигают переход федеральных систем на PQC к середине 2030-х годов, что подразумевает ненулевую вероятность появления криптографически значимых квантовых компьютеров в этот период.
В этом свете формулировка Бутерина "20% к 2030 году" и "возможно, до 2028 года" является частью более широкого спектра оценок рисков, где истинное послание – это неопределенность плюс длительные сроки миграции, а не идея, что взламывающая машина тайно работает сегодня.
Знаете ли вы? В отчете Национального института стандартов и технологий и Белого дома за 2024 год оценивается, что потребуется около 7,1 миллиарда долларов для перехода федеральных агентств США на постквантовую криптографию в период с 2025 по 2035 год, и это только ИТ-инфраструктура правительства одной страны.
Что нужно изменить в Ethereum, если прогресс в области квантовых вычислений ускорится
На уровне протокола и кошелька сходятся несколько тенденций:
Абстракция учетных записей и смарт-контрактные кошельки
Переход пользователей от простых EOA к модернизируемым смарт-контрактным кошелькам, используя абстракцию учетных записей в стиле ERC-4337, упрощает переключение схем подписи в будущем без экстренных форков. Некоторые проекты уже демонстрируют квантово-устойчивые кошельки в стиле Lamport или XMSS в Ethereum.
Постквантовые схемы подписи
Ethereum потребуется выбрать (и протестировать) одну или несколько семейств постквантовых подписей (вероятно, из ML-DSA/SLH-DSA или хэш-основанных конструкций NIST) и проработать компромиссы между размером ключа, размером подписи, стоимостью проверки и интеграцией со смарт-контрактами.
Криптогибкость для остальной части стека
Эллиптические кривые используются не только для пользовательских ключей. Подписи BLS, обязательства KZG и некоторые системы доказательства для сворачивания также полагаются на надежность дискретного логарифма. Серьезная квантово-устойчивая дорожная карта требует альтернатив для этих строительных блоков.
На социальном и управленческом уровне предложение Бутерина по аварийному форку при квантовой чрезвычайной ситуации напоминает о том, насколько необходима координация в случае реального реагирования. Даже при идеальной криптографии откат блоков, заморозка устаревших учетных записей или принудительная массовая миграция ключей были бы политически и операционно сложными. Именно поэтому он и другие исследователи утверждают:
- Создание переключателей или квантовых канареек, которые могут автоматически запускать правила миграции, как только уязвимый тестовый актив будет подтвержден как взломанный.
- Рассматривать миграцию на постквантовую эпоху как постепенный процесс, который пользователи могут принять задолго до появления реальной угрозы, а не как панику в последнюю минуту.
Для отдельных лиц и учреждений краткосрочный контрольный список проще:
- Предпочтительнее кошельки и настройки хранения, которые могут обновлять свою криптографию, не заставляя вас переходить на совершенно новые адреса.
- Избегайте ненужного повторного использования адресов, чтобы меньше публичных ключей попадали в сеть.
- Следите за окончательным выбором постквантовых подписей Ethereum и будьте готовы к миграции, как только появятся надежные инструменты.
К квантовым рискам следует относиться так же, как инженеры думают о наводнениях или землетрясениях. В этом году это вряд ли уничтожит ваш дом, но вероятность этого достаточно высока в долгосрочной перспективе, чтобы спроектировать фундамент с учетом этого.
