Автор|0xjacobzhao @ IOSG
Представьте, что на рассвете в 203X году сигнал тревоги системы мониторинга блокчейна внезапно разрывает тишину: группа спящих более десяти лет ранних BTC-адресов начинает призрачно перемещать активы. Никакого взлома, никакой утечки приватных ключей, только «законные» подписи, сгенерированные из воздуха. Когда ценные спящие UTXO один за другим опустошаются, рынок наконец пробуждается: некая неизвестная квантовая вычислительная сущность уже может обратно вычислить приватные ключи напрямую из публичных ключей, обнародованных в прошлом. Паника мгновенно пробивает рынок, в глубинах даркнета бешено распродаются накопленные десять лет базы публичных ключей по принципу «сначала собрать, потом расшифровать», ожидая, когда вычислительная мощность превратит их в богатство. А сообщество биткойна погружается в беспрецедентный раскол веры: столкнувшись со спящими монетами, разграбленными квантовыми вычислениями, — стоять насмерть за неприкосновенность принципа «код — закон» или через софт-форк принудительно заморозить унаследованные активы? Столкновение нарратива о собственности и законов выживания полностью взрывает узел управления. В тот день блоки по-прежнему создавались по порядку, сеть не останавливалась ни на секунду, квантовые вычисления не стали апокалиптической магией, стирающей всё, но погрузили всю экосистему Web3 в затяжную игру реконструкции криптографии и бездны консенсуса.
Квантовые вычисления часто трактуются как «дамоклов меч апокалипсиса», нависший над блокчейном. Пересматривая самый большой «долг безопасности», с которым вскоре столкнется мир Web3, мы обнаруживаем, что угроза квантовых вычислений по своей сути является экстремальным стресс-тестом для трёх основополагающих принципов блокчейна: «публичный реестр, необратимость активов, самоуправление приватными ключами». Когда забрезжил свет квантовых компьютеров с коррекцией ошибок (CRQC), индустрия сталкивается с необходимостью за оставшиеся 5-8 лет «инженерного комфортного окна» до наступления Q-Day преодолеть чрезвычайно сложный социальный консенсус и игры управления.
Квантовые вычисления: принципы, ценность и угрозы
Квантовые вычисления — это новая парадигма вычислений, основанная на принципах квантовой механики. В качестве носителя информации используются кубиты (qubit), которые преодолевают бинарное ограничение классических битов (только 0 или 1) и используют квантовые свойства, такие как суперпозиция, запутанность, интерференция и измерение, для достижения вычислительной эффективности, недостижимой для классических вычислений:
-
Суперпозиция (Superposition) — Расширяет пространство состояний: кубит может находиться в линейной комбинации 0 и 1.
-
Квантовая запутанность (Entanglement) — Устанавливает глобальные корреляции: сильная нелокальная взаимосвязь, формируемая между несколькими кубитами.
-
Квантовая интерференция (Interference) — Управление амплитудами вероятности: основной механизм ускорения квантовых алгоритмов, когда амплитуды вероятности неправильных ответов взаимно уничтожаются (деструктивная интерференция), а амплитуды правильных ответов усиливаются (конструктивная интерференция).
-
Квантовое измерение (Measurement) — Коллапсирует квантовое состояние к одному классическому результату. Суть квантовых алгоритмов не в том, чтобы «прочитать все ответы», а в том, чтобы правильный ответ появлялся с гораздо более высокой вероятностью при измерении.

Рис.1: Четыре столпа квантовых вычислений
(①) Суперпозиция расширяет пространство состояний — кубит существует на сфере Блоха в виде непрерывной смеси |0⟩ и |1⟩.
(②) Запутанность создает нелокальные корреляции: измерение одного кубита мгновенно определяет состояние его партнера.
(③) Интерференция — двигатель ускорения: амплитуды неправильных ответов гасятся, амплитуды правильных — усиливаются.
(④) Измерение коллапсирует квантовое состояние в единый классический результат — задача алгоритма заранее обеспечить подавляющую вероятность появления правильного результата.
Два ключевых квантовых алгоритма: «Снижение размерности» Шора и «Брутфорс-ускоритель» Гровера
-
Алгоритм Шора (1994): «Снижение размерности» для асимметричной криптографии: Алгоритм Шора использует квантовые свойства, чтобы напрямую «увидеть» математические закономерности разложения больших целых чисел и дискретного логарифмирования, тем самым полностью уничтожая основы доверия в современном интернете и блокчейне, такие как RSA и эллиптические кривые (ECC); однако из-за ограничений, связанных с затратами на квантовую коррекцию ошибок в реальности, для взлома основных криптографических алгоритмов по-прежнему требуются миллионы физических кубитов, хотя при более агрессивной оптимизации алгоритмов этот порог может быть значительно снижен.
-
Алгоритм Гровера (1996): «Брутфорс-ускоритель» для симметричной криптографии: Алгоритм Гровера не может напрямую взломать структуру шифра, но он резко — пропорционально квадратному корню — увеличивает скорость «угадывания пароля» компьютером (например, напрямую снижает криптостойкость 128-битного шифрования до уровня 64 бит); его угроза гораздо менее смертоносна, чем у Шора, и методы противодействия просты и грубы — обычно можно восстановить запас безопасности, используя более длинные ключи, более длинные хеш-выводы или более высокие параметры безопасности (например, переход на AES-256 или SHA-512).

Рис.2: Два ключевых квантовых алгоритма: Алгоритм Шора и Алгоритм Гровера
Коммерциализация квантовых вычислений: «Гонка» пяти технологических лагерей
Ни одна из технологий кубитов пока не заняла явного лидирующего положения в инженерии. В настоящее время коммерчески продвигаются пять направлений, каждое со своими преимуществами и недостатками.

Позитивная ценность и негативные угрозы квантовых вычислений
Ключевая ценность квантовых вычислений заключается в преодолении границ возможностей классических вычислений для определенных сложных проблем, что способствует скачкообразному переходу на новый уровень в фундаментальной науке и инженерии. Их позитивная ценность в основном сосредоточена в двух направлениях: во-первых, моделирование сложных квантовых систем, включая квантовую химию, разработку лекарств, новые материалы и энергетические технологии; во-вторых, решение задач оптимизации высокой сложности, включая логистику, финансы, цепочки поставок, проектирование микросхем и промышленное планирование. При этом квантовое моделирование широко считается более определенным долгосрочным сценарием применения, а сложная оптимизация все еще находится на стадии исследования и проверки. В настоящее время квантовые вычисления находятся на ключевом этапе перехода от лабораторного прототипа к инженерному применению; декогеренция, физический шум, затраты на коррекцию ошибок и масштабируемость системы остаются ключевыми барьерами для преодоления промышленной пропасти.
Квантовая угроза же по своей сути направлена на основы современной системы асимметричной криптографии и распространяется по логике «срок жизни данных × сложность миграции × выгода от атаки»: национальная безопасность, военно-промышленный комплекс и разведывательные системы принимают на себя первый удар, сталкиваясь со стратегическим риском «собрать сейчас, расшифровать позже» (HNDL); финансовая и платежная инфраструктура, глубоко зависящая от TLS, HSM и систем аутентификации, первой войдет в русло миграции для соответствия требованиям; корневые сертификаты доверия интернета и экосистемы блокчейн/Web3 сталкиваются с множественными системными рисками, включая подписание кода, облачное управление ключами (KMS), необратимость активов в цепи и миграцию управления; а в таких областях, как здравоохранение, энергетика, промышленный контроль и IoT, из-за длительного жизненного цикла устройств и узкого окна для обновлений, сформируются долгосрочные и трудно устранимые риски на периферии.

Временное окно и правило планирования: Q-Day и неравенство Моски
Q-Day — это момент времени, когда квантовый компьютер впервые обретает практическую способность взломать основные асимметричные криптоалгоритмы. Это не определенная дата, а вероятностный интервал, на который влияют прогресс в аппаратном обеспечении, возможности коррекции ошибок, оптимизация алгоритмов и секретность государственных проектов. Текущие основные прогнозы примерно сконцентрированы в периоде 2035–2045 гг., быстрый сценарий может сдвинуть его к 2030–2035 гг., а период до 2030 г. считается маловероятным риском на периферии.
Неравенство Моски X + Y > Z объясняет, почему, даже если Q-Day еще не близок, миграция на постквантовую криптографию по-прежнему имеет реальную срочность. Здесь X — время, в течение которого данные должны оставаться секретными, Y — время, необходимое для завершения криптографической миграции, Z — оставшееся время до Q-Day. Пока сумма жизненного цикла данных и периода миграции превышает оставшееся время до наступления Q-Day, система уже входит в зону отставания миграции: данные, собранные сегодня, могут быть расшифрованы квантовыми вычислениями в будущем. Следовательно, квантово-безопасная криптография — это не аварийная инженерия после наступления Q-Day, а долгосрочная миграция инфраструктуры, которую необходимо начать заранее.

Рис.3: Распределение экспертных прогнозов Q-Day на 2026 год. Каждая полоса показывает разумный диапазон из одного источника; точки отмечают центральную оценку.
Цветовая кодировка представляет категории высказываний: красный = радикальная индустрия; оранжевый = базовый опрос/консенсус; синий = дорожная карта оборудования; зеленый = скептики.
Постквантовая криптография (PQC): Технические направления, стандартизация и панорама отраслевой миграции
Постквантовая криптография (Post-Quantum Cryptography, PQC), также называемая квантово-безопасной криптографией, представляет собой систему криптографических алгоритмов нового поколения, предназначенную для защиты от атак будущих квантовых компьютеров. Ее ключевая особенность заключается в том, что она по-прежнему работает на существующих классических вычислительных архитектурах, но ее безопасность основана на математических задачах, которые также трудно эффективно решить квантовым компьютерам. PQC стала наиболее реалистичной и обладающей наибольшим потенциалом для масштабного развертывания основной линией квантово-безопасной миграции глобальной цифровой инфраструктуры.
Основные технические направления: Соперничество решеточной криптографии и хеш-подписей
В настоящее время исследования и внедрение PQC в основном сосредоточены на нескольких математических направлениях:
-
Решеточная криптография (Lattice-based): Безопасность основана на задачах высокомерных решеток (например, Module-LWE), сочетает эффективность и безопасность, является ключевым направлением для стандартизации и инженерного внедрения на данный момент; представительные алгоритмы — ML-KEM и ML-DSA.
-
Криптография на основе хеш-функций (Hash-based): Зависит только от устойчивости хеш-функций к коллизиям, математические предположения крайне минималистичны и консервативны; представительный стандарт — SLH-DSA.
-
Другие направления: Криптография на основе кодов (HQC) была выбрана NIST в марте 2025 года в качестве пятого алгоритма PQC в качестве нерешеточного резервного варианта для ML-KEM, проект стандарта ожидается в 2026 году, а окончательный стандарт — в 2027 году; в то время как многомерная (Multivariate) и изогенная (Isogeny-based) криптография из-за проблем с безопасностью или эффективностью пока не вошли в основную линию первоначальной стандартизации NIST, причем изогенное направление потерпело серьезную неудачу после взлома алгоритма SIKE.
Этап стандартизации: NIST устанавливает格局 «одна инкапсуляция, две подписи»
Процесс стандартизации FIPS под руководством Национального института стандартов и технологий США (NIST) стал ключевым поворотным моментом в переходе PQC от теории к применению. В августе 2024 года NIST официально выпустил три основных стандарта, установив базовое разделение труда для миграции PQC:
-
FIPS 203 (ML-KEM): Механизм инкапсуляции ключей (KEM) на основе решеточных задач, отвечает за обмен ключами.
-
FIPS 204 (ML-DSA): Алгоритм цифровой подписи на основе решеточной криптографии, отвечает за общие цифровые подписи.
-
FIPS 205 (SLH-DSA): Алгоритм цифровой подписи на основе бессостоятельного хеширования, служит альтернативным вариантом для подписей высокого уровня безопасности.
Экосистема отраслевого внедрения: Трехуровневая архитектура основной линии, перехода и вспомогательных средств
Помимо основных алгоритмов, построение квантово-безопасной системы зависит от многоуровневых инженерных стратегий:
-
Гибридное развертывание (Hybrid): Используется режим параллельного подписания/шифрования «традиционный алгоритм (например, ECC/RSA) + PQC» в качестве инструмента хеджирования рисков на раннем этапе миграции, обеспечивая, что даже если в новом алгоритме обнаружатся неизвестные уязвимости, традиционный алгоритм по-прежнему обеспечит базовую безопасность.
-
Криптографическая гибкость (Crypto-agility): Архитектурный дизайн, позволяющий системе быстро заменять, обновлять или откатывать алгоритмы для противодействия риску взлома алгоритмов, который может возникнуть в будущем.
-
Вспомогательные усиливающие технологии: включают квантовое распределение ключей (QKD) (применимо для правительственных/военных выделенных сетей, но не может заменить верификацию подписей в интернете), квантовую генерацию случайных чисел (QRNG), а также аппаратные модули безопасности (HSM/Secure Enclave) для повышения качества случайных чисел и безопасности хранения ключей.

Рис. 4: Панорама путей квантовой безопасности
Квантовые риски и практика квантовой безопасности в блокчейн-индустрии
Блокчейн не является первостепенной целью квантовой угрозы, но представляет собой наиболее ценный для исследований сценарий «стресс-теста». По сравнению с традиционным Web2, который полагается на централизованные механизмы (такие как ротация сертификатов, заморозка счетов) для смягчения рисков утечки данных, блокчейн напрямую и немедленно превращает кризис базовой криптографии в потерю активов и тупик управления. Лежащие в основе его архитектуры «три необратимости» — постоянная публичность реестра, необратимость передачи активов и самоуправление приватными ключами — делают активы с обнародованными публичными ключами уязвимыми для восстановления приватных ключей и подделки подписей, без какого-либо централизованного подстраховочного механизма. Что еще более критично, широко используемые в основных публичных блокчейнах системы подписей на эллиптических кривых и BLS-подписей структурно уязвимы перед алгоритмом Шора; как только появится квантовый компьютер с коррекцией ошибок (CRQC), злоумышленник сможет вывести приватный ключ из обнародованного в цепи публичного ключа и подделать подпись, фундаментально поколебав основы доверия в блокчейне.

Диаграмма угроз для криптографических компонентов блокчейн-систем
Для блокчейн-индустрии ключевой вопрос заключается не в противодействии текущим хакерам, а в запуске «обратного отсчета миграции», гонки со временем. Квантовые вычисления не уничтожат блокчейн мгновенно, но заставят отрасль пройти через более трудную, чем в Web2, реконструкцию базовой криптографии. Истинный риск заключается не в отсутствии стандартизированных постквантовых алгоритмов, а в том, сможет ли вся экосистема до наступления Q-Day (критического момента, когда квантовый компьютер с коррекцией ошибок приобретет практические возможности взлома) завершить скоординированную миграцию по всей цепочке — от базовых протоколов до существующих активов.
В этом процессе квантовая угроза распространяется не равномерно, а передается по пятиуровневой архитектуре: «активы, протокол, инфраструктура, приложения, управление». Ключевое понимание заключается в том, что высокоценные инфраструктурные уровни (такие как биржи, кастодианы, кросс-чейн мосты) подвергнутся давлению раньше, чем протоколы сетей уровня 1 (L1); а окончательным узким местом, определяющим успех или неудачу этой миграции по всей цепочке, станет не замена криптографических технологий, а чрезвычайно сложный социальный консенсус и игры управления.

Практика квантовой безопасности Биткойна и Эфириума
Квантовые риски Биткойна: Обнародование публичных ключей, увеличение размера подписи и управленческие трения
Квантовые риски Биткойна распределены не равномерно по всем BTC, а в высокой степени зависят от того, был ли публичный ключ уже обнародован в цепи. Истинный высокий риск сосредоточен не на всех UTXO сети, а на унаследованных выходах раннего периода, адресах с обнародованными публичными ключами, на которых еще есть баланс, а также на долгосрочных спящих высокоценных UTXO. Хеш-компоненты Биткойна (SHA-256, SHA256d и RIPEMD-160) в основном сталкиваются со снижением запаса безопасности из-за алгоритма Гровера, а не с структурным разрушением, как ECDSA/Schnorr от алгоритма Шора.
-
Высокий риск: UTXO со статически обнародованным публичным ключом: Ранние выходы P2PK, Taproot (P2TR), а также уже потраченные и повторно используемые адреса P2PKH/P2WPKH, на которых все еще есть баланс. Их полный публичный ключ навсегда записан в цепь, и они окажутся на передовой, как только появится CRQC, будучи напрямую взломаны алгоритмом Шора.
-
Средний риск: UTXO, чей публичный ключ еще не обнародован, но будет обнародован в будущем: Непотраченные и неиспользуемые повторно адреса P2PKH/P2WPKH. В цепи обнародован только хеш публичного ключа, риск существует только в течение короткого «окна квантового опережения» между широковещательной рассылкой транзакции и ее подтверждением.
-
Низкий риск: Активы, уже перенесенные на квантово-безопасные адреса: Активы, которые в будущем будут перенесены через софт-форк на квантово-безопасные (PQ) адреса, будут иметь значительно сниженный риск, но это в высокой степени зависит от долгосрочной скоординированной модернизации всей экосистемы.
Инженерные проблемы: Увеличение размера подписи и путь «софт-форк в первую очередь»
В условиях управленческой структуры Биткойна политические затраты на единовременный хард-форк и отказ от ECDSA/Schnorr чрезвычайно высоки. Внедрение через софт-форк новых типов квантово-безопасных выходов является одним из более реалистичных постепенных путей. В настоящее время соответствующие обсуждения включают такие проекты, как BIP-360 / P2MR (Pay-to-Merkle-Root), но до достижения консенсуса всей сети и активации еще очень далеко.
За это придется заплатить высокую «инженерную пошлину»: текущие подписи ECDSA/Schnorr составляют всего около 64–72 байт, в то время как объемы кандидатов ML-DSA (2.4–4.6 КБ) и SLH-DSA (7–49 КБ) взрывно возрастают в десятки раз. Такое увеличение вызовет системную цепную реакцию: напрямую повысит вес блока и комиссии, усугубит нагрузку на хранилища и пропускную способность узлов, приведет к значительному ухудшению набора UTXO и пользовательского опыта кошельков, в конечном итоге создав отрицательную обратную связь, которая, в свою очередь, увеличит сопротивление миграции всей сети на квантово-безопасную криптографию.
Что еще более важно, Биткойну не хватает возможности быстрого переключения алгоритмов. В отличие от централизованных систем, где единый субъект может обновить сертификаты или заменить алгоритмы, здесь требуется синхронная адаптация правил консенсуса, форматов адресов, кошельков, пулов, бирж, кастодианов и аппаратных кошельков. Следовательно, квантово-безопасная миграция — это не точечное технологическое обновление, а долгосрочная скоординированная инженерная работа во всей экосистеме.
Управленческие игры: «Дилемма ценностей» унаследованных UTXO
Даже если PQ-адреса будут успешно запущены, вопрос о том, как обращаться с долгосрочно не мигрирующими унаследованными UTXO, включая те ранние долгосрочно спящие BTC, которые обычно считаются принадлежащими эпохе Сатоши Накамото, останется предельной проблемой. Оба крайних варианта конфликтуют с ключевыми ценностями Биткойна:
-
Бездействие: Унаследованные монеты станут «бесплатным обедом» для первого атакующего, обладающего возможностями CRQC, что вызовет панику на рынке.
-
Принудительная заморозка/аннулирование: Прямо противоречит принципу собственности «Not your keys, not your coins» и нарративу о неизменности, что легко может расколоть консенсус сообщества и даже привести к разделению цепи (форку).
Практичным компромиссным путем является внедрение многолетнего механизма «Закат унаследованных активов» (Legacy Sunset): через долгосрочное распространение предупреждений об устаревании, постепенное увеличение трения в политике ретрансляции для траты старых выходов и, в конечном счете, наложение ограничений через софт-форк при многосторонней координации. Обсуждения, подобные BIP-361 (legacy signature sunset), по сути, исследуют именно этот путь.
Таким образом, миграция Биткойна в корне не является криптографической проблемой. PQ-алгоритмы уже существуют и могут быть внедрены; истинное узкое место заключается в социальном консенсусе вокруг таких вопросов, как неизменность, права собственности и легитимность «объявления активов квантово-небезопасными». Иными словами, квантовый риск для Биткойна — это не сценарий апокалипсиса, когда однажды всё внезапно обнулится, а постепенный процесс от теоретической возможности до экономической дороговизны и практической выполнимости; то, чего действительно должна добиться индустрия, — это завершить координацию миграции до того, как атака станет экономически оправданной.

Рис. 5: Квантово-безопасная миграция Биткойна: долгосрочный процесс управления
Квантово-безопасная миграция Эфириума — Полноценная реконструкция и «Lean» дорожная карта
Эфириум активно противостоит квантовой угрозе. Команда постквантовых исследований Фонда Эфириума (EF) (https://pq.ethereum.org/) возглавляет работу, которая стабильно продвигается через открытые управленческие процессы, такие как All Core Devs. Его ключевая стратегия заключается не в «разовой ставке на единый квантово-безопасный (PQ) алгоритм», а в комплексном повышении криптографической гибкости сети (Cryptographic Agility) — обеспечении долгосрочной заменяемости, обновляемости и проверяемости аутентификации аккаунтов, подписей консенсуса, систем доказательств и уровней обязательств данных.
Квантовые риски Эфириума в высокой степени сконцентрированы на четырех криптографических компонентах: EOA-аккаунты (ECDSA/secp256k1), консенсус валидаторов (BLS-подписи), доступность данных (KZG-коммитменты) и часть ZK-систем доказательств. Для этого EF разработала «Lean» дорожную карту, параллельно продвигаемую по трем направлениям: исполнение, консенсус, данные.
-
Уровень исполнения (пользовательские аккаунты): Буфер AA и полигон для экспериментов L2
Перед лицом огромного количества EOA прямое сопротивление хард-форку чрезвычайно велико. Эфириум опирается на абстракцию аккаунтов (такие как ERC-4337 и EIP-7702), чтобы наделить смарт-контрактные кошельки «гибкостью подписей», поддержать гибридные подписи и постепенную миграцию, избегая принудительной координации всей сети. В то же время L2, благодаря гибкому управлению, становятся естественным полигоном для развертывания PQ.
-
Уровень консенсуса (подписи валидаторов): «Комбинация» leanXMSS и leanVM
Нацелена на полную замену BLS-подписей, зависящих от спаривания на эллиптических кривых. Ключевая стратегия заключается в использовании основанной на хешах leanXMSS в сочетании с минималистичным zkVM (leanVM) для агрегации SNARK. Ключевое инженерное достижение: ожидается, что leanVM сможет сжать огромные данные хеш-подписей примерно в 250 раз, компенсируя увеличение объема PQ-подписей, сохраняя при переходе в постквантовую эпоху преимущество «одна подпись для множества».
-
Уровень данных (Blob, DA и KZG): Долгосрочная реконструкция базовых коммитментов
В условиях CRQC базовые предположения безопасности KZG все еще нуждаются в переоценке и долгосрочной миграции на более PQ-совместимые системы коммитментов или доказательств, с конечным направлением движения в сторону основанных на хешах STARK или решеточных систем коммитментов. Это многолетняя реконструкция базового уровня протокола, а не мгновенный отказ в ближайшей перспективе.
Кроме того, квантовые риски Эфириума распределены не равномерно. EOA — это самый крупный пул стоимости; биржи, мосты, горячие кошельки кастодианов, ключи управления/обновления, ключи секвенсеров L2 и административные ключи — это высокоценные операционные ключи, которые могут подвергнуться давлению раньше самого протокола. В целом, квантово-безопасная миграция Эфириума — это не точечная замена подписей, а многолетний полноценный инженерный проект с участием аккаунтов, консенсуса, DA, ZK, L2, мостов, кастодианов и формальной верификации.

Рис. 6: Постквантовая миграция Ethereum: исполнение (пользовательские аккаунты), консенсус (подписи валидаторов) и данные (коммитменты и доказательства).

Панорамное сравнение постквантовых миграций Bitcoin и Ethereum
Теоретически, все публичные блокчейны, зависящие от традиционной асимметричной криптографии, сталкиваются с квантовыми рисками. Но формирующими системный вопрос постквантовой миграции по-прежнему остаются в основном Биткойн и Эфириум: первый затрагивает унаследованные UTXO, неизменность и управление правами собственности, второй — полноценную реконструкцию аккаунтов, консенсуса, DA, ZK и L2. Другие публичные блокчейны больше подходят в качестве дополнительных ориентиров для технических путей и сценариев риска.
-
Solana представляет инженерные изыскания по стоимости верификации PQ-подписей для высокопроизводительных блокчейнов. В ее сообществе уже были обсуждения о верификации syscall для Falcon-512 / FN-DSA, но это решение все еще носит исследовательский дополнительный характер, не заменяет существующий Ed25519 и не означает, что Solana уже сформировала официальную дорожную карту миграции.
-
Starknet / STARK представляет более PQ-совместимое ZK-направление с системой доказательств на основе хешей. По сравнению с SNARK-системами, зависящими от спаривания/KZG, базовый механизм доказательств STARK более подходит в качестве направления для постквантовых ZK; однако это не означает, что вся сеть Starknet уже квантово-безопасна — подписи кошельков, параметры хеширования, механизмы мостов и расчеты на Ethereum L1 по-прежнему требуют синхронной миграции.
-
QRL, Quantus, Abelian и другие нативные или квазинативные PQ-блокчейны предоставляют технический ориентир для чистой постквантовой разработки: QRL представляет раннее направление хеш-подписей, Quantus — нативный PQ L1 нового поколения в рамках нарратива NIST PQC, Abelian склоняется к ориентированному на приватность решеточному L1. Они демонстрируют возможный путь «построения квантово-безопасного блокчейна с первого дня», но их сетевое влияние, ликвидность и экосистема приложений все еще намного слабее, чем у BTC/ETH, что делает их более подходящими в качестве технических образцов.
Вывод: Погашение долга безопасности и обратный отсчет «Q-Day» для всей экосистемы
Квантовые вычисления — это не «оружие апокалипсиса», уничтожающее блокчейн, а системный сброс современной системы асимметричной криптографии. Основная угроза заключается в будущих крупномасштабных квантовых компьютерах с коррекцией ошибок (CRQC), обладающих способностью к стратегическому взлому. Истинный риск для индустрии заключается не в отсутствии постквантовых алгоритмов (PQC), а в том, сможет ли вся экосистема Web3 завершить скоординированную миграцию по всей цепочке до наступления Q-Day (критической точки квантового взлома). В краткосрочной и среднесрочной перспективе риск отказа существующих систем подписей и высокие затраты на полноценное обновление образуют тяжелый «долг безопасности»; в долгосрочной перспективе давление на выживание превратится в катализатор для индустрии, напрямую порождая совершенно новые направления в инфраструктуре безопасности, такие как PQ-гибридные кошельки, квантово-безопасный институциональный кастодиан, радары квантовых рисков и агрегация PQ-подписей.
Хотя макро-период подготовки может длиться 5–15 лет, по-настоящему комфортное «инженерное окно» составляет всего 5–8 лет. Это требует высокой координации всей цепочки (от предложений BIP/EIP, реализации узлов, адаптации кошельков до обновлений для соответствия требованиям бирж и кастодианов). Что еще более важно, переоценка рынка может произойти раньше самого Q-Day: как только оценки необходимых квантовых ресурсов будут постоянно пересматриваться в сторону уменьшения, дорожные карты аппаратного обеспечения значительно ускорятся или регулирующие органы и крупные кастодианы первыми выдвинут требования к соответствию PQC, рынок может начать досрочно пересматривать криптографическую модель безопасности блокчейн-активов. В течение этого окна две ключевые экосистемы столкнутся с совершенно разными предельными испытаниями:
-
Bitcoin: Основная проблема заключается не в криптографии, а в глобальном социальном консенсусе и управлении правами собственности. Вопрос о том, как обращаться с долгосрочно спящими, унаследованными UTXO с обнародованными публичными ключами, является политической игрой, затрагивающей основы нарратива о «неизменности».
-
Ethereum: Основная проблема заключается в инженерной сложности многоуровневых протоколов и полноценной экосистемы. Как завершить кросс-уровневую криптографическую замену для уровней аккаунтов, консенсуса, DA и ZK, не парализуя сеть, и при этом компенсировать увеличение объема подписей.
В долгосрочном распределении активов управленческие трения, связанные с постквантовым переходом, формируют «структурный риск на периферии» для BTC, но ни в коем случае не являются причиной для негативного взгляда в настоящий момент. Крайне консервативное управление Биткойна, «трудно поддающееся изменениям», представляет собой эффект обоюдоострого меча: это одновременно и наибольшее сопротивление квантово-безопасной миграции, и ключевой защитный барьер, поддерживающий его нарратив о сохранении стоимости и противостоящий централизованному вмешательству, что требует от инвесторов отказа от статичной веры в то, что «BTC никогда не потребует серьезных обновлений». В будущем, если временные рамки Q-Day будут существенно ускорены, сообщество откажется продвигать PQ-миграцию, в то время как периферийная экосистема уже начнет действовать, или обработка унаследованных активов зайдет в полный тупик, рынок проведет переоценку модели безопасности и базового консенсуса BTC.






