Виталик Бутерин бьёт тревогу: квантовая угроза может затронуть Ethereum до 2028 года

На конференции Devconnect в Буэнос-Айресе сооснователь Ethereum выступил с беспрецедентным предупреждением: эллиптические кривые, которые защищают Bitcoin и Ethereum, «обречены на гибель». С вероятностью 20% квантовые компьютеры смогут взломать нынешнюю криптографию до 2030 года, и у криптоиндустрии остается менее четырех лет на переход к системам, устойчивым к квантовым атакам.

20% вероятность до 2030 года: расчеты Виталика

В конце 2025 года Виталик Бутерин сделал нечто необычное для риска, который обычно обсуждается как научная фантастика: он озвучил конкретные цифры. Ссылаясь на прогнозы платформы Metaculus, он оценил, что существует примерно 20% вероятность появления квантовых компьютеров, способных взломать нынешнюю криптографию, до 2030 года. Медианный прогноз ближе к 2040 году.

Через несколько месяцев на Devconnect в Буэнос-Айресе Бутерин ужесточил риторику: «Эллиптические кривые обречены на гибель», – заявил он, ссылаясь на исследования, согласно которым квантовые атаки на 256-битные эллиптические кривые могут стать реальными до выборов президента США в 2028 году.

Эти заявления не призваны вызывать панику, а должны мобилизовать к действию. Как резюмировал Бутерин: «Квантовые компьютеры не сломают криптовалюту сегодня. Но индустрии необходимо внедрять постквантовую криптографию задолго до того, как квантовые атаки станут практичными.»

Почему ECDSA уязвима перед квантовыми вычислениями

Безопасность Ethereum (как и Bitcoin) основана на ECDSA (алгоритм цифровой подписи с эллиптической кривой) с использованием кривой secp256k1. Принцип прост: ваш приватный ключ — это большое случайное число, публичный ключ — это точка на кривой, полученная из приватного ключа, а адрес — это хеш публичного ключа.

На классическом оборудовании переход от приватного ключа к публичному прост, но обратная операция считается компьютерно невыполнимой. Эта асимметрия делает 256-битный ключ практически невозможно угадать.

Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер сможет решать дискретные логарифмические (и связанные с факторизацией) задачи за полиномиальное время — что скомпрометирует схемы RSA, Диффи-Хеллмана и ECDSA.

Бутерин подчеркивает важную деталь: если вы никогда не тратили средства с адреса, в цепочке виден только хеш публичного ключа (он устойчив к квантовым атакам). Но как только вы отправляете транзакцию, ваш публичный ключ раскрывается — и будущий квантовый злоумышленник получит материал для восстановления вашего приватного ключа.

Google Willow: сигнал ускорения

Предупреждения Бутерина звучат на фоне ускоряющегося технологического прогресса. В декабре 2024 года Google представила Willow — свой квантовый процессор на 105 сверхпроводящих кубитах. Чип выполнил вычисление менее чем за пять минут, тогда как современным суперкомпьютерам это заняло бы около 10 септиллионов (10²⁵) лет.

Еще важнее: Willow продемонстрировал квантовую коррекцию ошибок «ниже порога», при которой увеличение числа кубитов снижает уровень ошибок вместо его роста. Это крупный прорыв, которого стремились добиться почти 30 лет.

Однако Хартмут Невен, директор Google Quantum AI, уточнил: «чип Willow не способен взломать современную криптографию.» По его оценке, для взлома RSA потребуется миллионы физических кубитов, и это не произойдет раньше чем через 10 лет.

Академические анализы сходятся во мнении: для взлома 256-битной эллиптической криптографии за час потребуется десятки или сотни миллионов физических кубитов — это далеко за пределами нынешних возможностей. Но дорожные карты IBM и Google нацелены на создание устойчивых к ошибкам квантовых компьютеров к 2029-2030 годам.

Аварийный план Ethereum при квантовой угрозе

Задолго до публичных заявлений Бутерина он опубликовал в 2024 году пост на Ethereum Research под названием «Как сделать хардфорк для спасения средств большинства пользователей при квантовой чрезвычайной ситуации». Этот план описывает, что может сделать Ethereum, если квантовый прорыв застанет экосистему врасплох:

• Обнаружить атаку и откатить цепочку: Ethereum откатит блокчейн к последнему блоку до того, как станет заметна масштабная квантовая кража.
• Отключить старые EOA-транзакции: Традиционные внешние аккаунты (EOA), использующие ECDSA, будут заморожены, чтобы прекратить дальнейшие кражи через раскрытые публичные ключи.
• Миграция на смарт-контрактные кошельки: Новый тип транзакций позволит пользователям доказать (с помощью нулевого доказательства STARK), что они контролируют оригинальную seed-фразу, и затем перейти на смарт-контрактный кошелек, устойчивый к квантовым атакам.

Этот план остается инструментом последнего шанса. Аргумент Бутерина — необходимую инфраструктуру (абстракция аккаунтов, надежные ZK-системы, стандартизированные постквантовые схемы подписей) можно и нужно строить уже сейчас.

Постквантовая криптография: существующие решения

Хорошие новости: решения уже существуют. В 2024 году NIST (Национальный институт стандартов и технологий) утвердил первые три стандарта постквантовой криптографии (PQC): ML-KEM для инкапсуляции ключей, ML-DSA и SLH-DSA для подписей.

Эти алгоритмы, основанные на решеточных сетях или хеш-функциях, разработаны для устойчивости к атакам алгоритма Шора. В отчете NIST/Белого дома за 2024 год оценивается, что переход федеральных систем США на PQC с 2025 по 2035 год обойдется в 7,1 миллиарда долларов.

В блокчейн-секторе сразу несколько проектов работают над этим переходом. Naoris Protocol разрабатывает децентрализованную кибербезопасную инфраструктуру с изначальной интеграцией постквантовых алгоритмов, соответствующих стандартам NIST. В сентябре 2025 года протокол был упомянут в заявке в SEC США как модель для квантоустойчивой блокчейн-инфраструктуры.

Подход Naoris основан на механизме dPoSec (Decentralized Proof of Security): каждое устройство в сети становится узлом-валидатором, который в реальном времени проверяет состояние безопасности других устройств. В сочетании с постквантовой криптографией эта децентрализованная сеть устраняет единые точки отказа традиционных архитектур.

Что нужно изменить в Ethereum

Уже сейчас возникло несколько направлений развития на уровне протокола и кошельков. Абстракция аккаунтов (ERC-4337) позволяет переводить пользователей с EOA на обновляемые смарт-контрактные кошельки, облегчая смену схем подписей без экстренных хардфорков. Некоторые проекты уже демонстрируют кошельки на Ethereum, устойчивые к квантовым атакам (например, Lamport или XMSS).

Но эллиптические кривые используются не только для пользовательских ключей. Подписи BLS, обязательства KZG и некоторые системы доказательств rollup также базируются на сложности дискретного логарифмирования. Для настоящей квантовой устойчивости нужны альтернативы для всех этих компонентов.

По данным, опубликованным Naoris Protocol, их тестнет, запущенный в январе 2025 года, обработал более 100 миллионов постквантово защищенных транзакций и в реальном времени предотвратил более 600 миллионов угроз. Запуск основной сети намечен на первый квартал 2026 года, предлагая инфраструктуру уровня ‘Sub-Zero Layer’, способную работать под существующими блокчейнами.

Иные мнения: Back и Szabo призывают к осторожности

Не все эксперты разделяют срочность Бутерина. Adam Back, CEO Blockstream и пионер Bitcoin, считает, что квантовая угроза «в десятилетиях впереди» и рекомендует «постепенные исследования вместо поспешных и разрушительных изменений протокола.» Его опасение — обновления, вызванные паникой, могут привести к ошибкам, более опасным, чем сама квантовая угроза.

Nick Szabo, криптограф и пионер смарт-контрактов, рассматривает квантовый риск как «в конечном итоге неизбежный», но придает большее значение текущим юридическим, социальным и управленческим угрозам. Он использует метафору «муха, застрявшая в янтаре»: чем больше блоков накапливается вокруг транзакции, тем сложнее ее отменить — даже самым сильным противникам.

Эти точки зрения не противоречат позиции Бутерина: они отражают разные горизонты планирования. Формирующийся консенсус таков: миграцию нужно начинать уже сейчас, даже если атака не является неминуемой — именно потому, что переход децентрализованной сети занимает годы.

Что важно помнить держателям криптовалют

Для трейдеров послание простое: продолжайте обычную работу, отслеживайте обновления протоколов. Для долгосрочных держателей приоритет — убедиться, что выбранные платформы и протоколы активно готовятся к постквантовому будущему.

Несколько лучших практик для снижения риска: выбирайте кошельки и кастодиальные решения, которые позволяют обновлять криптографию без необходимости менять адреса, избегайте повторного использования адресов (меньше публичных ключей раскрыто в блокчейне) и следите за выбором постквантовых схем подписей в Ethereum, чтобы своевременно перейти на новые инструменты.

Вероятность 20% к 2030 году также означает, что есть 80% шанс, что квантовые компьютеры не угрожают криптовалютам в этот период. Но на рынке в 3 триллиона долларов даже 20% риск катастрофического сбоя безопасности требует серьезного внимания.

Как резюмирует Бутерин: к квантовому риску следует относиться так, как инженеры относятся к землетрясениям или наводнениям. Маловероятно, что это разрушит ваш дом в этом году, но вероятность на длинной дистанции достаточно велика, чтобы стоит изначально закладывать защиту в фундамент.