Почему Виталик считает, что квантовые вычисления могут сломать криптографию Ethereum быстрее, чем ожидалось

Основные выводы

• Бутерин видит неневозможный 20% шанс того, что квантовые компьютеры могут сломать текущую криптографию до 2030 года, и он утверждает, что Ethereum должен начать готовиться к этой возможности.
• Ключевой риск связан с ECDSA. Как только публичный ключ становится видимым в блокчейне, будущий квантовый компьютер теоретически может использовать его для восстановления соответствующего приватного ключа.
• Квантовый план экстренного реагирования Бутерина включает в себя откат блоков, замораживание EOA и перемещение средств в смарт-контракты, устойчивые к квантовым атакам.
• Смягчение означает смарт-контрактные кошельки, одобренные NIST постквантовые подписи и крипто-гибкую инфраструктуру, которая может менять схемы без хаоса.

В конце 2025 года сооснователь Ethereum Виталик Бутерин сделал нечто необычное. Он присвоил цифры риску, который обычно обсуждается в терминах научной фантастики.

Ссылаясь на платформу прогнозирования Metaculus, Бутерин сказал, что существует “около 20% вероятности”, что квантовые компьютеры, способные разрушить современную криптографию, могут появиться до 2030 года, при этом медианный прогноз ближе к 2040 году.

Через несколько месяцев на Devconnect в Буэнос-Айресе он предупредил, что эллиптическая криволинейная криптография, основа Ethereum и Bitcoin, “может сломаться до следующих президентских выборов в США в 2028 году.” Он также призвал Ethereum перейти на квантово-устойчивые основы в течение примерно четырех лет.

Согласно его словам, существует ненулевой шанс того, что в 2020-х годах появится криптографически значимый квантовый компьютер; если это так, то риск должен быть учтен в исследовательской дорожной карте Ethereum. Это не должно рассматриваться как что-то для дальнего будущего.

Вы знали? По данным Etherscan на 2025 год более 350 миллионов уникальных адресов Ethereum, что подчеркивает, насколько широко сеть выросла, хотя лишь небольшая доля этих адресов имеет значительные балансы или остаются активными.

Почему квантовые вычисления представляют проблему для криптографии Ethereum

Большая часть безопасности Ethereum основана на уравнении эллиптической кривой дискретного логарифма (ECDLP), которое является основой для алгоритма цифровой подписи на основе эллиптической кривой (ECDSA). Ethereum использует эллиптическую кривую secp256k1 для этих подписей. Проще говоря:

• Ваш закрытый ключ - это большое случайное число.
• Ваш открытый ключ — это точка на кривой, полученная из этого закрытого ключа.
• Ваш адрес является хешем этого открытого ключа.

На классическом оборудовании переход от закрытого ключа к открытому ключу прост, но обратный процесс считается вычислительно невозможным. Эта асимметрия является причиной того, что 256-битный ключ рассматривается как фактически неугаданный.

Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер может решить уравнение дискретного логарифма и связанные уравнения факторизации за полиномиальное время, что подорвет такие схемы, как Rivest-Shamir-Adleman (RSA), Диффи-Хеллмана и ECDSA.

Интернет-инженерный совет и Национальный институт стандартов и технологий (NIST) оба признают, что классические системы эллиптических кривых будут уязвимы в присутствии криптографически значимого квантового компьютера (CRQC).

Пост Бутерина о потенциальной квантовой угрозе подчеркивает ключевую тонкость для Эфириума. Если вы никогда не тратили средства с адреса, на блокчейне виден только хэш вашего публичного ключа, который все еще считается квантово-устойчивым. Как только вы отправляете транзакцию, ваш публичный ключ раскрывается, что дает будущему квантовому злоумышленнику сырьё, необходимое для восстановления вашего приватного ключа и опустошения счета.

Таким образом, основной риск заключается не в том, что квантовые компьютеры разрушат Keccak или структуры данных Ethereum; дело в том, что будущая машина может нацелиться на любой адрес, чий открытый ключ когда-либо был раскрыт, что охватывает большинство пользовательских кошельков и многие казначейства смарт-контрактов.

Что сказал Бутерин и как он оценивает риски

Недавние комментарии Бутерина содержат две основные части.

Первое — это оценка вероятности. Вместо того чтобы угадать самостоятельно, он указал на прогнозы Metaculus, которые оценивают вероятность появления квантовых компьютеров, способных сломать современную публичную ключевую криптографию, примерно как один к пяти до 2030 года. Те же прогнозы ставят медианную ситуацию около 2040 года. Его аргумент заключается в том, что даже такой риск с длинным хвостом достаточно высок, чтобы Ethereum подготовился заранее.

Второе - это обрамление 2028 года. На Devconnect он, как сообщается, сказал аудитории, что “эллиптические кривые умрут”, ссылаясь на исследования, которые предполагают, что квантовые атаки на 256-битные эллиптические кривые могут стать осуществимыми до президентских выборов в США в 2028 году. Некоторые материалы сжали это в заголовок вроде “У Ethereum есть четыре года”, но его сообщение было более тонким:

• Текущие квантовые компьютеры не могут атаковать Ethereum или Bitcoin сегодня.
• Как только CRQC будут существовать, ECDSA и связанные с ним системы станут структурно небезопасными.
• Миграция глобальной сети на постквантовые схемы занимает годы, поэтому ожидание очевидной угрозы само по себе является рискованным.

Другими словами, он мыслит как инженер по безопасности. Вы не эвакуируете город, потому что существует 20% вероятность крупного землетрясения в следующем десятилетии, но вы укрепляете мосты, пока у вас еще есть время.

Знали ли вы? Последняя дорожная карта IBM сочетает новые квантовые чипы, Nighthawk и Loon, с целью продемонстрировать устойчивые к ошибкам квантовые вычисления к 2029 году. Она также недавно показала, что ключевой алгоритм коррекции квантовых ошибок может эффективно работать на обычном оборудовании AMD.

Внутри плана хард-форка “квантовой чрезвычайной ситуации”

Задолго до этих недавних публичных предупреждений, Бутерин опубликовал пост о исследованиях Ethereum 2024 года под названием «Как провести хард-форк, чтобы спасти средства большинства пользователей в случае квантовой чрезвычайной ситуации». В нем описывается, что Ethereum мог бы сделать, если внезапный квантовый прорыв застанет экосистему врасплох.

Представьте себе публичное сообщение о запуске крупномасштабных квантовых компьютеров, и злоумышленники уже draining ECDSA-secured кошельки. Что тогда?

Обнаружить атаку и откатить изменения

Эфириум вернет цепочку к последнему блоку, прежде чем крупномасштабная квантовая кража стала явно видимой.

Отключить транзакции наследуемых EOA

Традиционные внешние счета, (EOAs) использующие ECDSA, будут заморожены для отправки средств, что предотвратит дальнейшую кражу через открытые публичные ключи.

Направляйте все через кошельки смарт-контрактов

Новый тип транзакции позволит пользователям доказать, с помощью нулевого знания STARK, что они контролируют оригинальный сид или путь деривации — например, предложение по улучшению биткойна (BIP) 32 HD кошелька предобраз, для уязвимого адреса.

Доказательство также будет содержать новый код валидации для смарт-контрактного кошелька, устойчивого к квантовым атакам. После проверки контроль над средствами переходит к этому контракту, который может применять постквантовые подписи с этого момента.

Пакетные доказательства для газовой эффективности

Поскольку доказательства STARK велики, дизайн предполагает объединение. Агрегаторы представляют пакеты доказательств, что позволяет многим пользователям перемещаться одновременно, сохраняя при этом секретные предизображения каждого пользователя в тайне.

Крайне важно, что это рассматривается как инструмент восстановления в последнюю очередь, а не как план А. Аргумент Бутерина заключается в том, что большая часть протокольной инфраструктуры, необходимой для такого форка, включая абстракцию аккаунтов, мощные системы ZK-доказательств и стандартизованные квантово-стойкие схемы подписи, может и должна быть построена.

В этом смысле подготовка к квантовым чрезвычайным ситуациям становится обязательным требованием к инфраструктуре Ethereum, а не просто интересным мысленным экспериментом.

Что говорят эксперты о сроках

Если Бутерин полагается на общественные прогнозы, что на самом деле говорят специалисты по аппаратному обеспечению и криптографии?

С аппаратной стороны чип Willow от Google, представленный в конце 2024 года, является одним из самых продвинутых публичных квантовых процессоров на сегодняшний день, с 105 физическими кубитами и логическими кубитами с коррекцией ошибок, которые могут обойти классические суперкомпьютеры по определённым критериям.

Однако директор по квантовому ИИ Google ясно заявил, что «чип Willow не способен сломать современную криптографию». Он оценивает, что для взлома RSA потребуется миллионы физических кубитов, и это как минимум через 10 лет.

Академические ресурсы указывают в одном и том же направлении. Одно широко цитируемое исследование показывает, что для взлома 256-битной эллиптической кривой криптографии за час с использованием кубитов, защищённых поверхностным кодом, потребуется десятки или сотни миллионов физических кубитов, что далеко превышает всё, что доступно сегодня.

С точки зрения криптографии, группы NIST и академические группы в таких местах, как Массачусетский технологический институт, на протяжении многих лет предупреждали, что как только появятся криптографически значимые квантовые компьютеры, они сломают практически все широко используемые системы открытых ключей, включая RSA, Диффи-Хеллмана, Эллиптический кривой Диффи-Хеллмана и ECDSA, с помощью алгоритма Шора. Это применяется как ретроспективно, расшифровывая собранный трафик, так и перспективно, подделывая подписи.

Вот почему NIST потратил почти десятилетие на проведение своего конкурса по постквантовой криптографии и в 2024 году утвердил свои первые три стандарта PQC: ML-KEM для инкапсуляции ключей и ML-DSA и SLH-DSA для подписей.

Нет экспертного консенсуса по поводу точной “Q-Даты”. Большинство оценок находятся в пределах 10-20 лет, хотя некоторые недавние исследования рассматривают оптимистичные сценарии, в которых устойчивые к сбоям атаки на эллиптические кривые могут стать возможными в конце 2020-х годов при агрессивных предположениях.

Политические органы, такие как Белый дом США и NIST, воспринимают этот риск достаточно серьезно, чтобы подтолкнуть федеральные системы к переходу на PQC к середине 2030-х годов, что подразумевает незначительный шанс того, что криптографически значимые квантовые компьютеры появятся в этом горизонте.

Учитывая это, фраза Бутерина «20% к 2030 году» и «возможно, до 2028 года» является частью более широкой спектра оценок рисков, где реальное сообщение заключается в неопределенности плюс длительные сроки миграции, а не в том, что машина для взлома кода тайно работает онлайн сегодня.

Знаете ли вы? Согласно отчету Национального института стандартов и технологий и Белого дома за 2024 год, предполагается, что переход федеральных агентств США на постквантовую криптографию обойдется примерно в 7,1 миллиарда долларов в период с 2025 по 2035 год, и это всего лишь ИТ-структура правительства одной страны.

Что нужно изменить в Ethereum, если прогресс в квантовых технологиях ускорится

На стороне протокола и кошелька уже сходятся несколько потоков:

Абстракция аккаунта и смарт-контрактные кошельки

Перемещение пользователей от простых EOA к обновляемым кошелькам на основе смарт-контрактов, через абстракцию учетных записей в стиле ERC-4337, значительно упрощает замену схем подписей позже без экстренных хард-форков. Некоторые проекты уже демонстрируют кошельки, устойчивые к квантовым атакам, в стиле Lamport или eXtended Merkle Signature Scheme (XMSS) на Ethereum сегодня.

Постквантовые схемы подписи

Ethereum должен выбрать ( и протестировать ) одну или несколько семейств подписи PQC (, вероятно, из конструкций NIST ML-DSA/SLH-DSA или основанных на хэшах ) и проанализировать компромиссы в размере ключа, размере подписи, стоимости верификации и интеграции смарт-контрактов.

Криптоагильность для остальной части стека

Эллиптические кривые используются не только для пользовательских ключей. Подписи BLS, обязательства KZG и некоторые системы доказательства rollup также полагаются на сложность дискретного логарифма. Серьезная квантово-устойчивая дорожная карта требует альтернатив для этих строительных блоков.

С точки зрения социального управления, предложение Бутерина о квантовом экстренном форке напоминает о том, сколько координации потребуется для любого реального ответа. Даже с идеальной криптографией откат блоков, замораживание устаревших аккаунтов или внедрение массовой миграции ключей будет политически и операционно спорным. Это часть причин, по которым он и другие исследователи выступают за:

• Создание механизмов аварийного отключения или квантовых канарейек, которые могут автоматически активировать правила миграции, как только меньший, преднамеренно уязвимый тестовый актив будет доказательно сломан.
• Рассматривать миграцию к пост-квантовым технологиям как постепенный процесс, в который пользователи могут включаться задолго до появления каких-либо серьезных атак, а не как спешку в последнюю минуту.

Для физических и юридических лиц краткосрочный контрольный список проще:

• Предпочитайте кошельки и системы хранения, которые могут обновлять свою криптографию, не заставляя переходить на совершенно новые адреса.
• Избегайте ненужного повторного использования адресов, чтобы меньше открытых ключей было раскрыто в цепочке.
• Отслеживайте окончательные выборы подписи Ethereum после квантовых вычислений и будьте готовы к миграции, как только появятся надежные инструменты.

Квантовый риск следует рассматривать так же, как инженеры думают о наводнениях или землетрясениях. Маловероятно, что он разрушит ваш дом в этом году, но достаточно вероятно в долгосрочной перспективе, чтобы имеет смысл проектировать фундаменты с учетом этого.

Эта статья не содержит инвестиционных советов или рекомендаций. Каждое вложение и торговый шаг сопряжены с риском, и читатели должны проводить собственное исследование при принятии решения.

• #Блокчейн
• #Криптовалюты
• #Альткоины
• #Безопасность
• #Эфириум
• #Виталик Бутерин
• #Кибербезопасность
• #Дефи
• #Ethereum 2.0
• #Ethereum Цена
• #Квантовые вычисления
• #Как Добавьте реакцию !