Coinbase опубликовала отчет по квантовой угрозе: какие блокчейны готовы к ней?

• Консультативный совет Coinbase опубликовал первый отчет по квантовой угрозе и PQ-криптографии.
• Общая рекомендация — переход на PQ до 2035 года, но лучше сделать это быстрее.
• Теоретически, создать FTQC для взлома алгоритма Шора можно, вопрос в масштабировании.
• Из сетей первого уровня дальше всего в разрезе PQ продвинулись Aptos и Algorand.

21 апреля 2026 года Независимый консультативный совет биржи Coinbase по квантовым вычислениям и блокчейну опубликовал свой первый отчет. В нем говорится о том, что квантовая угроза реальна и блокчейнам уже сейчас нужно внедрять меры по защите криптографии.

Во вступлении говорится следующее:

«Не следует игнорировать квантовые вычисления: у нас есть высокая уверенность в том, что в конечном итоге будет построен квантовый компьютер с высокой устойчивостью к ошибкам (FTQC). Поэтому блокчейны и более широкая криптографическая экосистема должны готовиться к этой возможности».

Вместе с тем эксперты отметили, что создание квантового компьютера, способного взломать алгоритм Шора — задача нетривиальная и прямо сейчас угрозы нет. Однако, с учетом определенных признаков развития этой технологии, Совет считает, что переход к квантовоустойчивой криптографии нужно завершить до 2035 года.

Сколько времени осталось до взлома блокчейнов?

Из отчета Совета следует, что для взлома алгоритма Шора потребуется FTQC, миллионы физических кубитов и миллиарды или даже триллионы двухкубитных гейтов. При этом уровень ошибок в последних должен быть в пределах определенного порога, в противном случае каждый следующий цикл проверки и исправлений приведет к созданию новых.

Эту проблему можно решить двумя способами:

• уменшить частоту ошибок в двухкубитных гейтах;
• создать схему устойчивости к таковым.

Только при пересечении этих двух направлений формируется «самоподдерживающаяся цепная реакция», которая и обеспечивает устранение ошибок быстрее, чем те появляются.

Изначально предполагалось, что для взлома современной криптографии потребуются двухкубитные гейты с точностью 99,9999%. Позднее этот порог понизили до 99,9%, что возможно при росте накладных расходов.

«В течение прошлого года Quantinuum и Google анонсировали устройства с точностью ~99,9% двухкубитных гейтов, которые можно применять к парам из ~100 физических кубитов. Если эту точность удастся поддерживать при масштабировании до десятков или сотен тысяч физических кубитов, теоретически этого будет достаточно для FTQC», — считают эксперты.

Однако масштабирование больших систем является сложной инженерной задачей. Так, в частности, нужно решить проблему маршрутизации кубитов на большом расстоянии. С учетом этого назвать точные сроки взлома современной криптографии квантовыми компьютерами невозможно.

Вместе с тем на прогресс в этом вопросе, по мнению экспертов, указывает следующее:

• появление отказоустойчивых двухкубитных гейтов с более высокой надежностью;
• отказоустойчивая реализация алгоритма Шора, используемая для факторизации небольшого числа (даже всего 21) или другой демонстрационной задачи;
• преимущества задач квантового моделирования, которые имеют значение на практике и могут быть проверены классическим компьютером.

Напротив, задержка в достижении этих этапов будет явным признаком задержки в области криптографически значимых квантовых вычислений, подчеркивается в отчете.

Уровни исполнения и консенсуса

Блокчейн состоит из двух слоев — консенсуса, который согласовывает порядок транзакций, и исполнения, применяющего их к общему состоянию. При этом, по мнению экспертов, переход сети к постквантовой криптографии (PQ) означает замену основных примитивов на обоих этих уровнях.

В случае со слоем консенсуса основной угрозой является алгоритм Шора, который при наличии достаточно мощного квантового компьютера может взломать используемую криптографию с открытым ключом. Для хеш-функций отдельно рассматривается атака Гровера. В системах Proof-of-Stake и BFT-консенсусе уязвимы, в частности, схемы подписи валидаторов, VRF и некоторые другие примитивы.

При этом, в случае с блокчейнами, которые используют BFT-консенсус, ключевой проблемой является то, что механизмы агрегирования и threshold-подписей не являются постквантово-безопасными, а прямого аналога им нет. Следовательно, в их случае необходима замена самого протокола консенсуса.

В отчете приводится альтернативный подход — не требовать от каждого внешнего наблюдателя полной криптографической проверяемости всех подписей, а строить консенсус по аутентифицированным каналам между валидаторами.

При этом полный переход существующих блокчейнов на постквантовый механизм консенсуса в конечном счете потребует замены цифровых подписей валидаторов. Поскольку стандарты и практические схемы еще развиваются, авторы рекомендуют сохранять криптографическую гибкость на уровне узлов и протокола.

Базовая стратегия — поэтапная миграция через контрольные точки: постквантовые подписи сначала вводятся выборочно, например для каждого определенного блока, и служат криптографическими якорями для всей предшествующей истории.

Слой исполнения, в свою очередь, отвечает за детерминированное применение согласованной последовательности транзакций к общему состоянию. Подписи транзакций подтверждают отправителя и разрешают изменение состояния. При этом простого перехода на PQ-подписи, по мнению экспертов, будет недостаточно.

В отчете приводятся требования к оптимальной стратегии миграции: она не должна ухудшать текущую безопасность, реально предоставлять постквантовую защиту, не должна создавать слишком большие издержки уже сейчас и по возможности должна требовать минимальных изменений в существующей архитектуре.

В этом случае многое зависит от конкретной архитектуры сети. В Ethereum, где есть развитый слой смарт-контрактов, менять логику подписания на уровне исполнения проще и можно реализовывать более гибкие стратегии. В сети биткоина любые изменения тяжелее, поэтому там особенно важны минимальные и заранее продуманные шаги. В качестве примера приводится BIP-360.

Но какой бы вариант ни был выбран, после PQ-апгрейда владельцам все равно придется переводить активы на новые счета или адреса, защищенные постквантовыми подписями. Эти переводы должны быть дополнительно защищены либо контрольными точками, либо обновлением подписей валидаторов, иначе они сами станут уязвимы.

Какие блокчейны движутся в правильном направлении?

Отдельный раздел отчета посвящен мерам по переходу к PQ-криптографии в основных сетях. Так, например, в случае с биткоином ключевая уязвимость — активы в UTXO, где открытый публичный ключ уже известен. Это около 6,9 млн $BTC, из которых 1,7 млн $BTC — это старые P2PK-выходы, включая часть так называемых «монет Сатоши».

Вероятным решением является переход на P2MR. Также обсуждаются подписи на базе хешей, поскольку они не вводят новых криптографических допущений, но их минус — большие размеры и возможное снижение пропускной способности.

В Ethereum есть четыре основные уязвимые точки:

• EOA на уровне исполнения — транзакции подписываются ECDSA, и после хотя бы одной исходящей транзакции публичный ключ можно восстановить из ончейн-данных;
• валидаторы — используют BLS, а публичные ключи доступны в цепочке;
• pairing-based proofs в EVM — например, Groth16;
• слой доступности данных — использует KZG, где атака на SRS может подорвать корректность доступности данных.

Базовая стратегия в этом случае — переход на подписи на базе хешей. Проблему большого размера последних можно решить за счет их агрегации через SNARK и Poseidon.

На уровне исполнения — абстракция аккаунтов, чтобы перевести каждый EOA под управление кошелька на базе смарт-контракта.

В случае с Solana эксперты отметили прогресс в вопросе перехода на PQ. В частности, разработчики запустили хранилище Solana Winternitz Vault. Подписи Winternitz основаны на базе хеша и по размеру управляемы, хотя они примерно на два порядка больше, чем ECDSA. Пользователь может перевести активы на новый адрес такого типа и тем самым нивелировать риск квантовой атаки.

Сеть Algorand описывается как одна из первых платформ, которая уже внедряет постквантовые подписи на уровнях консенсуса и исполнения, двигаясь по поэтапной дорожной карте. Более того, в блокчейне успешно провели первую транзакцию, устойчивую к квантовой угрозе, с использованием FN-DSA.

Ее проверка была добавлена как нативный примитив виртуальной машины. Через Logic Signatures (LogicSig), функцию авторизации транзакций через TEAL, пользователи могут создавать квантово-устойчивые аккаунты без изменений протокола.

Команда Sui уже обозначила несколько стратегий перехода к постквантовой защите, но авторы прямо отмечают, что пока непонятно, какая именно из них будет выбрана и внедрена. То есть направление задано, но финального плана еще нет.

В случае с Aptos переход на PQ может быть проще, поскольку адрес пользователя не выводится из хеша публичного ключа. Вместо этого публичный ключ хранится как метаданные аккаунта в виде ключа авторизации.

Поэтому для перехода на постквантовую схему пользователю не нужно переносить активы на новый адрес или новый аккаунт: достаточно подписать транзакцию, которая обновит ключ авторизации на постквантовый.

В AIP-137 команда Aptos описала поддержку SLH-DSA-SHA2-128 — подписей и публичных ключей на базе хеша. После внедрения пользователю достаточно будет один раз обновить ключ авторизации.

Также в отчете говорится, что некоторые L2-сети, включая Optimism, Arbitrum и Base, уже объявили о постквантовых планах.

В случае с Optimism, например, переход строится вокруг замены обычных EOA на кошельки на базе смарт-контрактов, которые могут быть защищены постквантовым публичным ключом и при этом продолжать управлять активами по механизму делегирования EIP-7702. Это позволяет не переносить средства на новый адрес.

Резюмируя все сказанное выше, сеть биткоина пока движется осторожно и больше сосредоточена на защите UTXO и правилах перехода. Ethereum готовит системную перестройку сразу нескольких слоев.

Solana, Algorand, Aptos и частично L2 уже показывают более прикладные маршруты миграции, где ключевой вопрос не только в криптографии, но и в том, как перевести пользователей и что делать с неактивными активами.

Из всего этого можно сделать вывод, что блокчейн-пространство не стоит на месте, а адаптируется к новым вызовам. Ключевым же вопросом является то, что будет реализовано быстрее — PQ-меры или FTQC.