Почему Виталик считает, что квантовые вычисления могут взломать криптографию Эфириума раньше, чем ожидалось | sololaki

Ключевые выводы

Бутерин видит нетривиальную 20%-ную вероятность того, что квантовые компьютеры смогут взломать современную криптографию до 2030 года, и утверждает, что Ethereum должен начать готовиться к такой возможности.
Ключевой риск связан с ECDSA. Как только открытый ключ станет видимым в цепочке, будущий квантовый компьютер теоретически сможет использовать его для восстановления соответствующего закрытого ключа.
Чрезвычайный квантовый план Бутерина включает в себя откат блоков, заморозку EOA и перевод средств в квантово-устойчивые кошельки со смарт-контрактами.
Смягчение означает кошельки со смарт-контрактами, пост-квантовые подписи, одобренные NIST, и гибкую криптографическую инфраструктуру, которая может менять схемы без хаоса.

В конце 2025 года сооснователь Ethereum Виталик Бутерин сделал нечто необычное. Он привел цифры о риске, который обычно обсуждается в терминах научной фантастики.

Ссылаясь на платформу прогнозирования Metaculus, Бутерин заявил, что существует «вероятность около 20%» того, что квантовые компьютеры, способные взламывать современную криптографию, могут появиться до 2030 года, а средний прогноз — ближе к 2040 году.

Несколько месяцев спустя на конференции Devconnect в Буэнос-Айресе он предупредил, что криптография на основе эллиптических кривых, основа Эфириума и Биткойна, «может сломаться до следующих президентских выборов в США в 2028 году». Он также призвал Ethereum перейти на квантово-устойчивую основу в течение примерно четырех лет.

По его словам, существует нетривиальная вероятность появления криптографически значимого квантового компьютера в 2020-х годах; если да, то этот риск входит в дорожную карту исследований Ethereum. Не следует относиться к этому как к чему-то отдалённому будущему.

Вы знали? По состоянию на 2025 год данные Etherscan шоу более 350 миллионов уникальных адресов Ethereum, что подчеркивает, насколько широко выросла сеть, хотя лишь небольшая часть этих адресов имеет значимые балансы или остается активной.

Почему квантовые вычисления являются проблемой для криптографии Ethereum

Большая часть безопасности Ethereum основана на уравнении дискретного логарифма эллиптической кривой (ECDLP), которое является основой алгоритма цифровой подписи эллиптической кривой (ECDSA). Для этих подписей Ethereum использует эллиптическую кривую secp256k1. Просто:

Ваш закрытый ключ представляет собой большое случайное число.
Ваш открытый ключ — это точка на кривой, полученной на основе этого закрытого ключа.
Ваш адрес представляет собой хеш этого открытого ключа.

На классическом оборудовании перейти от закрытого ключа к открытому несложно, но считается, что обратный путь вычислительно невозможен. Именно из-за этой асимметрии 256-битный ключ считается практически неугадываемым.

Почему Виталик считает, что квантовые вычисления могут взломать криптографию Эфириума раньше, чем ожидалось

Квантовые вычисления угрожают этой асимметрии. Алгоритм Шора, предложенный в 1994 году, показывает, что достаточно мощный квантовый компьютер может решать уравнение дискретного логарифма и связанные с ним уравнения факторизации за полиномиальное время, что подорвало бы такие схемы, как Ривест-Шамир-Адлеман (RSA), Диффи-Хеллман и ECDSA.

Целевая группа интернет-инжиниринга и Национальный институт стандартов и технологий (NIST) признают, что классические системы с эллиптическими кривыми будут уязвимы в присутствии криптографически значимого квантового компьютера (CRQC).

Сообщение Бутерина об исследовании Эфириума о потенциальной квантовой чрезвычайной ситуации подчеркивает ключевую тонкость Эфириума. Если вы никогда не тратили деньги с адреса, в цепочке виден только хэш вашего открытого ключа, и он по-прежнему считается квантовобезопасным. Как только вы отправляете транзакцию, ваш открытый ключ раскрывается, что дает будущему квантовому злоумышленнику сырье, необходимое для восстановления вашего закрытого ключа и опустошения учетной записи.

Таким образом, основной риск заключается не в том, что квантовые компьютеры сломают структуры данных Keccak или Ethereum; дело в том, что будущая машина может быть нацелена на любой адрес, открытый ключ которого когда-либо был раскрыт, что охватывает большинство пользовательских кошельков и множество казначейств смарт-контрактов.

Что сказал Бутерин и как он формулирует риск

Недавние комментарии Бутерина состоят из двух основных частей.

Во-первых, это оценка вероятности. Вместо того, чтобы гадать самому, он указал на прогнозы Metaculus, согласно которым вероятность того, что квантовые компьютеры, способные взломать современную криптографию с открытым ключом, составят примерно один из пяти до 2030 года. Те же прогнозы помещают средний сценарий примерно в 2040 год. Его аргумент заключается в том, что даже такого рода хвостовой риск достаточно высок, чтобы Эфириум мог подготовиться заранее.

Во-вторых, это кадры 2028 года. Сообщается, что на Devconnect он заявил аудитории, что «эллиптические кривые умрут», ссылаясь на исследования, которые предполагают, что квантовые атаки на 256-битные эллиптические кривые могут стать возможными до президентских выборов в США в 2028 году. Некоторые репортажи сжимали это до заголовка типа «Эфириуму четыре года», но его сообщение было более детальным:

Современные квантовые компьютеры сегодня не могут атаковать Эфириум или Биткойн.
Как только CRQC существуют, ECDSA и связанные с ней системы становятся структурно небезопасными.
Переход глобальной сети на постквантовые схемы занимает годы, поэтому ждать очевидной опасности само по себе рискованно.

Другими словами, он думает как инженер по технике безопасности. Вы не эвакуируете город, потому что вероятность сильного землетрясения в следующем десятилетии составляет 20%, но вы укрепляете мосты, пока у вас еще есть время.

Вы знали? последняя разработка IBM дорожная карта объединяет новые квантовые чипы Nighthawk и Loon с целью продемонстрировать отказоустойчивые квантовые вычисления к 2029 году. Недавно компания также показала, что ключевой алгоритм квантовой коррекции ошибок может эффективно работать на обычном оборудовании AMD.

Внутри плана хард-форка «квантовой чрезвычайной ситуации»

Задолго до этих недавних публичных предупреждений Бутерин опубликовал публикацию Ethereum Research от 2024 года под названием «Как провести хард-форк, чтобы сохранить средства большинства пользователей в квантовой чрезвычайной ситуации». В нем описывается, что может сделать Эфириум, если внезапный квантовый прорыв ошеломит экосистему.

Обнаружить атаку и откатить назад

Эфириум вернет цепочку к последнему блоку, прежде чем станет ясно видно крупномасштабное квантовое воровство.

Отключить устаревшие транзакции EOA

Традиционные внешние учетные записи (EOA), использующие ECDSA, будут лишены возможности отправлять средства, что предотвратит дальнейшее хищение через открытые открытые ключи.

Направляйте все через кошельки со смарт-контрактами

Новый тип транзакции позволит пользователям с помощью STARK с нулевым разглашением доказывать, что они контролируют исходное начальное число или путь деривации — например, прообраз HD-кошелька Bitcoin Improvement Proposal (BIP) 32 для уязвимого адреса.

В доказательстве также будет указан новый код проверки для квантово-устойчивого кошелька со смарт-контрактами. После проверки контроль над средствами переходит к этому контракту, который с этого момента может обеспечить соблюдение постквантовых подписей.

Серийные испытания эффективности использования газа

Поскольку пробные экземпляры STARK большие, конструкция предполагает пакетную обработку. Агрегаторы отправляют пакеты доказательств, что позволяет множеству пользователей действовать одновременно, сохраняя при этом секретный прообраз каждого пользователя.

Важно отметить, что это позиционируется как инструмент восстановления в крайнем случае, а не как план А. Аргумент Бутерина заключается в том, что большая часть протокольного оборудования, необходимого для такого форка, включая абстракцию учетных записей, надежные системы, устойчивые к ZK, и стандартизированные квантово-безопасные схемы подписи, могут и должны быть построены.

В этом смысле готовность к квантовым чрезвычайным ситуациям становится требованием к проектированию инфраструктуры Ethereum, а не просто интересным мысленным экспериментом.

Что говорят эксперты о сроках

Если Бутерин опирается на публичные прогнозы, что на самом деле говорят специалисты по аппаратному обеспечению и криптографии?

Что касается аппаратного обеспечения, то чип Willow от Google, представленный в конце 2024 года, на сегодняшний день является одним из самых совершенных общедоступных квантовых процессоров со 105 физическими кубитами и логическими кубитами с исправлением ошибок, которые могут превзойти классические суперкомпьютеры в определенных тестах.

Тем не менее, директор по квантовому искусственному интеллекту Google прямо заявил, что «чип Willow не способен взломать современную криптографию». По его оценкам, для взлома RSA потребуются миллионы физических кубитов, и на это потребуется как минимум 10 лет.

Академические ресурсы указывают в том же направлении. Один широко цитируемый анализ показывает, что взлом 256-битной криптографии на основе эллиптических кривых за час с использованием кубитов, защищенных поверхностным кодом, потребует от десятков до сотен миллионов физических кубитов, что намного превосходит все, что доступно сегодня.

Что касается криптографии, NIST и академические группы в таких местах, как Массачусетский технологический институт, в течение многих лет предупреждали, что, как только появятся криптографически значимые квантовые компьютеры, они взломают практически все широко распространенные системы с открытым ключом, включая RSA, Диффи-Хеллмана, эллиптическую кривую Диффи-Хеллмана и ECDSA, с помощью алгоритма Шора. Это применимо как ретроспективно, путем расшифровки собранного трафика, так и перспективно, путем подделки подписей.

Вот почему NIST потратил почти десять лет на проведение конкурса пост-квантовой криптографии и в 2024 году завершил работу над первыми тремя стандартами PQC: ML-KEM для инкапсуляции ключей и ML-DSA и SLH-DSA для подписей.

Эксперты не пришли к единому мнению относительно точного «дня Q». Большинство оценок рассчитано на период от 10 до 20 лет, хотя в некоторых недавних работах рассматриваются оптимистические сценарии, согласно которым отказоустойчивые атаки на эллиптические кривые могут быть возможны в конце 2020-х годов при агрессивных предположениях.

Политические органы, такие как Белый дом США и NIST, достаточно серьезно относятся к риску, чтобы подтолкнуть федеральные системы к PQC к середине 2030-х годов, что подразумевает нетривиальную вероятность того, что на этом горизонте появятся криптографически значимые квантовые компьютеры.

В этом свете формулировка Бутерина «20% к 2030 году» и «возможно, до 2028 года» является частью более широкого спектра оценок риска, где реальным посланием является неопределенность плюс длительные сроки миграции, а не идея о том, что машина для взлома кодов сегодня тайно работает.

Вы знали? Отчет Национального института стандартов и технологий и Белого дома за 2024 год. оценки что переход федеральных агентств США на постквантовую криптографию в период с 2025 по 2035 год обойдется примерно в 7,1 миллиарда долларов, и это всего лишь ИТ-стек правительства одной страны.

Что нужно изменить в Эфириуме, если квантовый прогресс ускорится

На стороне протокола и кошелька уже сходятся несколько потоков:

Абстракция аккаунта и кошельки со смарт-контрактами

Перевод пользователей с простых EOA на обновляемые кошельки со смарт-контрактами посредством абстракции учетных записей в стиле ERC-4337 значительно упрощает последующую замену схем подписи без экстренных хард-форков. Некоторые проекты сегодня уже демонстрируют квантово-устойчивые кошельки в стиле Лампорта или расширенной схемы подписи Меркла (XMSS) на Ethereum.

Схемы постквантовой подписи

Ethereum необходимо будет выбрать (и протестировать) одно или несколько семейств подписей PQC (вероятно, из ML-DSA/SLH-DSA NIST или конструкций на основе хэша) и найти компромисс между размером ключа, размером подписи, стоимостью проверки и интеграцией смарт-контрактов.

Крипто-гибкость для остальной части стека

Эллиптические кривые используются не только для пользовательских клавиш. Подписи BLS, обязательства KZG и некоторые сводные системы проверки также полагаются на твердость дискретного бревна. Серьезная дорожная карта квантовой устойчивости также нуждается в альтернативах для этих строительных блоков.

Что касается социальной и управленческой стороны, предложение Бутерина о квантовой чрезвычайной развилке является напоминанием о том, какой координации потребует любой реальный ответ. Даже при наличии совершенной криптографии откат блоков, заморозка устаревших учетных записей или принудительная миграция ключей были бы спорными с политической и операционной точки зрения. Это одна из причин, почему он и другие исследователи утверждают:

Создание аварийного переключателя или механизмов квантовой канарейки, которые могут автоматически активировать правила миграции, как только будет доказано, что меньший, заведомо уязвимый тестовый ресурс сломан.
Рассматривать постквантовую миграцию как процесс постепенного согласия, который пользователи могут принять задолго до любой реальной атаки, а не как схватку в последнюю минуту.

Для частных лиц и организаций контрольный список на ближайшую перспективу проще:

Отдавайте предпочтение кошелькам и системам хранения, которые могут обновить криптографию без необходимости перехода на совершенно новые адреса.
Избегайте ненужного повторного использования адресов, чтобы в цепочке было открыто меньше открытых ключей.
Отслеживайте возможные варианты постквантовой подписи Эфириума и будьте готовы к миграции, как только станут доступны надежные инструменты.

К квантовому риску следует относиться так же, как инженеры относятся к наводнениям или землетрясениям. Маловероятно, что ваш дом будет разрушен в этом году, но вполне вероятно, что в долгосрочной перспективе имеет смысл проектировать фундамент с учетом этого.