Віталік Бутерін б'є на сполох: квантова загроза може вразити Ethereum до 2028 року

На конференції Devconnect у Буенос-Айресі співзасновник Ethereum зробив безпрецедентне попередження: еліптичні криві, що захищають Bitcoin та Ethereum, “будуть знищені“. Існує 20% ймовірність, що квантові комп’ютери зможуть зламати нинішню криптографію до 2030 року, тому у криптоіндустрії менше ніж чотири роки для переходу на квантово-стійкі системи.

20% ймовірність до 2030 року: цифри Віталіка

Наприкінці 2025 року Віталік Бутерін зробив щось незвичне для ризику, який зазвичай обговорюють у науковій фантастиці: він навів конкретні цифри. Спираючись на прогнози платформи Metaculus, він оцінив, що існує близько 20% ймовірності, що квантові комп’ютери, здатні зламати сучасну криптографію, з’являться до 2030 року. Медіанний прогноз ближчий до 2040 року.

Через кілька місяців на Devconnect у Буенос-Айресі Бутерін посилив свою риторику: «Еліптичні криві будуть знищені», — заявив він, посилаючись на дослідження, що атаки квантових комп’ютерів на 256-бітні еліптичні криві можуть стати реальними до президентських виборів у США 2028 року.

Ці заяви не мають на меті викликати паніку, а спонукати до дій. Як підсумував Бутерін: «Квантові комп’ютери не зламають криптовалюту сьогодні. Але індустрія повинна почати впроваджувати квантово-стійку криптографію задовго до того, як квантові атаки стануть практичними.»

Чому ECDSA вразлива до квантових обчислень

Безпека Ethereum (як і Bitcoin) базується на ECDSA (алгоритм цифрового підпису на еліптичних кривих) з використанням кривої secp256k1. Принцип простий: ваш приватний ключ — це велике випадкове число, публічний ключ — точка на кривій, обчислена з цього приватного ключа, а адреса — це хеш публічного ключа.

На класичному обладнанні перехід від приватного до публічного ключа простий, а зворотній шлях вважається обчислювально нездійсненним. Саме ця асиметрія робить 256-бітний ключ практично неможливим для підбору.

Квантові обчислення ставлять цю асиметрію під загрозу. Алгоритм Шора, запропонований у 1994 році, демонструє, що достатньо потужний квантовий комп’ютер зможе розв’язати рівняння дискретного логарифму (та пов’язані задачі факторизації) за поліноміальний час — що поставить під загрозу схеми RSA, Диффі-Геллмана та ECDSA.

Бутерін підкреслює важливу деталь: якщо ви ніколи не витрачали кошти з адреси, в мережі видимий лише хеш вашого публічного ключа (який залишається квантово-стійким). Але щойно ви здійснюєте транзакцію, ваш публічний ключ стає відомим — і майбутній квантовий зловмисник отримує основу для відновлення вашого приватного ключа.

Google Willow: сигнал до прискорення

Попередження Бутеріна з’явилися на тлі стрімкого технологічного прогресу. У грудні 2024 року Google презентувала Willow — свій 105-кубітний надпровідниковий квантовий процесор. Чіп виконав обчислення менш ніж за п’ять хвилин, на які сучасним суперкомп’ютерам знадобилося б приблизно 10 септильйонів (10²⁵) років.

Ще важливіше: Willow продемонстрував “error correction below threshold” — коли збільшення кількості кубітів зменшує рівень помилок замість його зростання. Це головний прорив, якого прагнули майже 30 років.

Втім, Гартмут Невен, директор Google Quantum AI, уточнив, що “чіп Willow не здатний зламати сучасну криптографію.” За його оцінками, для зламу RSA потрібно мільйони фізичних кубітів і це залишається справою щонайменше на 10 років уперед.

Наукові оцінки збігаються: для зламу 256-бітної еліптичної криптографії за годину потрібно десятки або сотні мільйонів фізичних кубітів — це далеко за межами сучасних можливостей. Але дорожні карти IBM та Google передбачають появу квантових комп’ютерів з виправленням помилок до 2029-2030 років.

Аварійний план Ethereum щодо квантових загроз

Задовго до публічних заяв Бутерін опублікував у 2024 році пост на Ethereum Research під назвою “Як провести хардфорк для порятунку більшості коштів користувачів у разі квантової надзвичайної ситуації”. У цьому плані описується, що зможе зробити Ethereum, якщо квантовий прорив застане екосистему зненацька:

• Виявити атаку та відкотити ланцюг: Ethereum поверне ланцюг до останнього блоку перед тим, як стане помітною масштабна квантова крадіжка.
• Відключити транзакції зі старих EOA: Традиційні зовнішньо керовані акаунти (EOA), що застосовують ECDSA, буде заморожено, щоб припинити подальші крадіжки через розкриті публічні ключі.
• Міграція до смарт-гаманців: Новий тип транзакції дозволить користувачам довести (через STARK-доказ з нульовим розголошенням), що вони контролюють оригінальну seed-фразу, і перейти до квантово-стійкого смарт-контрактного гаманця.

Цей план залишається інструментом для відновлення в крайньому випадку. Аргумент Бутеріна — необхідну інфраструктуру (абстракція акаунтів, стійкі ZK-системи, стандартизовані квантово-стійкі схеми підписів) можна і потрібно створювати вже зараз.

Квантово-стійка криптографія: існуючі рішення

Добра новина: рішення вже існують. У 2024 році NIST (Національний інститут стандартів і технологій США) фіналізував перші три стандарти постквантової криптографії (PQC): ML-KEM для інкапсуляції ключів, ML-DSA та SLH-DSA для підписів.

Ці алгоритми, засновані на решіткових мережах або хеш-функціях, розроблені для протидії атакам алгоритму Шора. Згідно з доповіддю NIST/Білого дому 2024 року, 7,1 мільярда доларів потрібно для міграції федеральних систем США на PQC у 2025–2035 роках.

У блокчейн-сфері ряд проєктів вже працює над цим переходом. Naoris Protocol розробляє децентралізовану інфраструктуру кібербезпеки з нативною інтеграцією постквантових алгоритмів відповідно до стандартів NIST. У вересні 2025 року протокол згаданий у поданні до SEC США як еталонна модель квантово-стійкої блокчейн-інфраструктури.

Підхід Naoris базується на механізмі dPoSec (Decentralized Proof of Security): кожен пристрій мережі стає валідатором, що в реальному часі перевіряє стан безпеки інших пристроїв. У поєднанні з постквантовою криптографією ця децентралізована сітка усуває єдині точки відмови традиційних архітектур.

Що потрібно змінити в Ethereum

Вже зараз кілька напрямків об’єднуються на рівні протоколу та гаманців. Абстракція акаунтів (ERC-4337) дозволяє мігрувати користувачів з EOA на змінювані смарт-гаманці, спрощуючи зміну схем підпису без екстрених хардфорків. Деякі проєкти вже демонструють квантово-стійкі гаманці стилю Lamport чи XMSS на Ethereum.

Але еліптичні криві використовуються не лише для ключів користувача. Підписи BLS, KZG-комітменти та деякі системи доказів rollup також ґрунтуються на складності логарифмування. Для справжньої квантово-стійкої стратегії потрібні альтернативи для всіх цих компонентів.

Згідно з даними Naoris Protocol, їх тестнет, запущений у січні 2025 року, опрацював понад 100 мільйонів постквантових безпечних транзакцій і в реальному часі нейтралізував понад 600 мільйонів загроз. Запуск основної мережі заплановано на перший квартал 2026 року, вона запропонує інфраструктуру ‘Sub-Zero Layer’, здатну працювати під існуючими блокчейнами.

Несхвальні голоси: Back та Szabo закликають до обережності

Не всі експерти розділяють термінову позицію Бутеріна. Adam Back, CEO Blockstream і піонер Bitcoin, вважає, що квантова загроза «віддалена на десятиліття» і радить “постійні дослідження замість поспішних чи руйнівних змін протоколу.” Його занепокоєння: оновлення, викликані панікою, можуть призвести до багів, що є небезпечнішими за саму квантову загрозу.

Nick Szabo, криптограф та піонер смарт-контрактів, розглядає квантову загрозу як “зрештою неминучу”, але більший акцент робить на нинішніх юридичних, соціальних та управлінських ризиках. Він використовує метафору “муха, що застрягла в бурштині”: що більше блоків накопичується навколо транзакції, то важче її змістити — навіть для сильного противника.

Ці позиції не суперечать Бутеріну: вони відображають різні часові горизонти. Виникає консенсус, що міграцію потрібно починати вже зараз, навіть якщо атака не є неминучою — саме тому, що перехід децентралізованої мережі триває роками.

Що мають пам’ятати криптовласники

Для трейдерів послання просте: продовжуйте звичайну роботу, але слідкуйте за оновленнями протоколу. Для довгострокових власників головне — впевнитися, що обрані платформи та протоколи активно готуються до постквантового майбутнього.

Кілька найкращих практик для зменшення ризику: обирайте гаманці та способи зберігання, які дозволяють оновлювати криптографію без зміни адреси, уникайте повторного використання адрес (менше публічних ключів потрапляє у мережу), та відстежуйте вибір постквантових підписів Ethereum, щоб перейти на них, коли з’явиться надійний інструментарій.

20% ймовірності до 2030 року також означає, що є 80% шанс, що квантові комп’ютери не загрожуватимуть криптовалюті в цей період. Але на ринку вартістю $3 трлн навіть 20% ризику катастрофічної втрати безпеки вимагає серйозної уваги.

Як підсумовує Бутерін: квантовий ризик слід розглядати так, як інженери думають про землетруси чи повені. Малоймовірно, що він зруйнує ваш дім цього року, але ймовірність достатньо висока на довгій дистанції, щоб варто було проектувати фундамент з урахуванням цієї загрози.