Криптоіндустрія завжди вирізнялася масштабними наративами, але загроза квантових обчислень має особливу природу — вона знаходиться на перетині реальних технологічних меж і ринкової логіки оцінки «віддалених ризиків». Починаючи з 2026 року, BlackRock офіційно зазначає квантові обчислення як фактор ризику у проспекті IBIT, а директор досліджень Coinbase Девід Дуонг попереджає, що приблизно 6,51 мільйона BTC мають довгострокову експозицію. Тим часом токени з квантовою стійкістю, такі як Quantum Resistant Ledger (QRL), демонстрували одноденні зростання майже на 50%. Але чи ці сигнали вказують на термінову, практичну кризу, чи це лише наратив, який ринок оцінює наперед?
Паралельно, сам Bitcoin переживає значну ринкову корекцію. На момент написання цієї статті ціна Bitcoin становить $62 083,9, зниження за останні 30 днів — на -10,73%, а за рік — на -33,74%, із загальною ринковою капіталізацією близько $1,24 трильйона. Ринкові настрої наразі нейтральні. У такому ціновому середовищі, чи буде «квантова загроза» — довгостроковий структурний ризик — підсилена ринком як короткостроковий наратив?
Технічна реальність: два напрямки квантових алгоритмічних загроз і їх застосування
Загрозу квантових обчислень для Bitcoin часто узагальнюють як «можливість зламати криптографічні алгоритми», але це надто спрощує фундаментальні відмінності між двома типами алгоритмів. Алгоритм Шора спрямований на задачі факторизації цілих чисел та дискретного логарифму у криптографії з відкритим ключем, безпосередньо впливаючи на ECDSA і Schnorr — основні механізми авторизації транзакцій Bitcoin. Квантовий комп’ютер з достатньою кількістю логічних кубітів, який виконує алгоритм Шора, теоретично може відновити приватні ключі з відкритих ключів Bitcoin у блокчейні, підробити підписи й перемістити активи.
Однак існує значний розрив між «теорією» і «практикою». У звіті Бернштейна за 2026 рік зазначено, що перехід від десятків логічних кубітів до тисяч, необхідних для загрози ECDSA, — це «багатовимірна інженерна задача, яка потребує років проривного розвитку». Навіть після досягнення Google Quantum AI у березні 2026 року, коли ресурси для зламу криптографії на еліптичних кривих були зменшені приблизно у 20 разів, масштаб, необхідний для атаки на Bitcoin, все одно вимагатиме тисячі, а то й десятки тисяч стабільних логічних кубітів. Консенсус галузі полягає в тому, що цей технологічний рубіж залишиться недосяжним щонайменше 10–20 років.
На відміну від цього, алгоритм Гровера спрямований на хеш-функцію SHA-256. Теоретично він зменшує ефективне навантаження перебору з 2²⁵⁶ до 2¹²⁸, але це не «зламує» безпеку SHA-256 фундаментально. Дослідження CoinShares вказує, що навіть після оптимізації Гровера, 2¹²⁸ операцій залишаються непідйомними з інженерної точки зору, тому адреси, захищені хеш-функціями, залишаються безпечними. Щодо потенційного впливу Гровера на ефективність PoW-майнінгу — теоретично це може покращити пошук валідних нонсів, але ця перевага має значення лише за умови, що квантові майнінгові установки перевищують потужність сучасних ASIC-майнерів, що наразі недосяжно для алгоритму Гровера.
Структурна проблема, яку варто відзначити, — це модель атаки «Harvest Now, Decrypt Later» (HNDL). Агентство національної безпеки США та Національний центр кібербезпеки Великої Британії вже ідентифікують HNDL як актуальну загрозу: зловмисники збирають зашифровані дані сьогодні, чекаючи появи квантового комп’ютера, здатного до криптографічно релевантного зламу (CRQC) у майбутньому. Для Bitcoin транзакційні дані вже є публічними, тому «збір» практично не має витрат. Це означає, що з появою CRQC будь-яка адреса, чий відкритий ключ був коли-небудь розкритий, стає вразливою до ретроспективних атак. Це не лише віддалена теоретична проблема — вона вже враховується у деяких інституційних моделях ризику.
Кількісна оцінка експозиції: диференційовані ризики для різних типів адрес
Квантовий ризик розподілений нерівномірно у мережі Bitcoin — не всі власники BTC мають однакову ступінь загрози. Дані Glassnode щодо квантового ризику показують, що 85% адрес у гаманці Bitcoin біржі Binance мають розкриті відкриті ключі, теоретично відносячи їх до високого ризику квантових атак. Однак ці дані потребують більш детальної класифікації.
Ризик залежить від типу адреси і формує піраміду:
Адреси P2PK (Pay-to-Public-Key): відкриті ключі безпосередньо розміщені у блокчейні без захисту хешем, що робить їх найбільш вразливими. У цьому сегменті зберігається близько 1,7 мільйона BTC, приблизно 8% від загальної пропозиції, включаючи ранні кошти Satoshi Nakamoto — близько 1,1 мільйона BTC.
Адреси P2PKH (Pay-to-Public-Key-Hash): у блокчейні показується лише хеш відкритого ключа, а не сам ключ. Якщо ці адреси лише отримують (і не надсилали) транзакції, відкритий ключ залишається прихованим, забезпечуючи природний квантовий захист. Однак після витрати UTXO (тобто трансляції транзакції) відкритий ключ розкривається у блокчейні й переходить у зону ризику P2PK.
Адреси P2SH (Pay-to-Script-Hash) і Taproot (P2TR): експозиція залежить від конкретних скриптових структур і умов витрат. У січні 2026 року Девід Дуонг із Coinbase зазначив, що близько 32,7% пропозиції Bitcoin (приблизно 6,51 мільйона BTC) мають довгострокову експозицію через повторне використання адрес і певні типи скриптів, охоплюючи P2PK, нативні мультисиг-адреси і Taproot-адреси.
Інакше кажучи, основний квантовий ризик полягає не у тому, «скільки BTC може бути атаковано», а у тому, «скільки BTC вже має розкритий відкритий ключ на момент появи CRQC». Для окремих користувачів уникнення повторного використання адрес і зміна адреси для отримання після кожної транзакції можуть ефективно скоротити довгострокове вікно експозиції їхніх активів.
Стандартизація PQC NIST: чіткий графік міграції
У серпні 2024 року Національний інститут стандартів і технологій США (NIST) офіційно опублікував перший пакет стандартів постквантової криптографії: FIPS 203 (ML-KEM, раніше CRYSTALS-Kyber) для інкапсуляції ключів, FIPS 204 (ML-DSA, раніше CRYSTALS-Dilithium) і FIPS 205 (SLH-DSA, раніше SPHINCS+) для цифрових підписів, а також FIPS 206 (FN-DSA, раніше FALCON) як четвертий стандартизований алгоритм підпису. Ці стандарти мають не лише академічне значення — вони забезпечують практичні, промислові шляхи впровадження. У травні 2026 року NIST просунув дев’ять алгоритмів цифрового підпису до третього раунду додаткової стандартизації, додавши HQC як п’ятий алгоритм — на основі кодів з виправленням помилок, резервний для ML-KEM.
NIST встановив чітке вікно міграції: до 2035 року алгоритми RSA, ECC та інші основні, але вразливі до квантових атак, будуть офіційно виведені зі стандартів, хоча системи з високим ризиком мають перейти раніше. Для криптоіндустрії це означає, що спільнота Bitcoin повинна перейти від ECDSA/Schnorr до PQC-схем підпису протягом наступних 5–10 років. Враховуючи, що останній великий софтфорк Bitcoin (Taproot) зайняв близько трьох років від пропозиції до активації, глобальне оновлення із заміною системи підпису може потребувати ще більше часу на підготовку.
Варто відзначити, що деякі блокчейни першого рівня вже почали впроваджувати PQC-функціонал. Algorand здійснив першу постквантову захищену транзакцію у 2025 році, впровадивши цифрові підписи Falcon у смарт-контракти та системи доказу стану. NEAR Protocol оголосив у травні 2026 року про оновлення своїх систем консенсусу і підпису транзакцій, переходячи до постквантової епохи. Ці ранні кроки отримали позитивний ринковий відгук — NEAR виріс на 5,6% протягом 24 годин після оголошення, а Algorand — приблизно на 50% за тиждень. Квантово-стійкі токени стали одним із найпомітніших лідерів у крипторинку 2026 року, демонструючи значні системні надприбутки.
Реакція спільноти Bitcoin: від BIP-360 до BIP-361
Відповідь екосистеми Bitcoin на квантову загрозу вже вийшла за межі теоретичних дискусій і перейшла до конкретних пропозицій.
BIP-360, запропонований на початку 2026 року, є фундаментальним планом софтфорку, що вводить Pay-to-Merkle-Root (P2MR) як новий тип виходу, прибираючи квантово-вразливі ключові шляхи на рівні адрес і забезпечуючи квантовий захист для новостворених BTC. Він не вирішує питання існуючих коштів напряму, але встановлює безпечну базу для «майбутніх монет».
BIP-361, опублікований у червні 2026 року, є більш спірним і наразі найкомплекснішою пропозицією щодо квантової міграції. Автор Джеймсон Лопп і п’ять співавторів описують трьохетапний план міграції: протягом трьох років після активації забороняється надсилати нові BTC на старі адреси, всі користувачі мають перейти на квантово-стійкі адреси; через п’ять років старі підписи повністю відключаються, а невимігровані BTC заморожуються; третій етап вводить доказ з нульовим розголошенням як механізм відновлення, дозволяючи користувачам із мнемонічними фразами повернути активи, якщо вони пропустили міграцію. Лопп уточнив, що BIP-361 поки що є драфтом, «ескізом можливостей», а не фіналізованою реалізацією, і деталі будуть змінюватися з розвитком досліджень.
Реакція спільноти різко розділена. Прихильники розглядають механізм замороження як «захисний стимул» — краще проактивно встановити вікно міграції для захисту загальної безпеки активів, ніж дозволити квантовим атакуючим зламати і розпродати великі обсяги BTC, знищуючи цінність мережі. Критики називають це «авторитаризмом» і зрадою децентралізованої філософії Bitcoin, вважаючи, що примусове замороження активів compliant holders порушує базову довіру Bitcoin. Ця дискусія підкреслює глибшу істину: квантова міграція — це не лише технічне питання, а й боротьба за управління, права власності та консенсус спільноти.
Оскільки прогрес на рівні протоколу повільний, деякі команди зосереджуються на рішеннях прикладного рівня. У квітні 2026 року Postquant Labs запустила квантово-стійкий гаманець Bitcoin Quip Network, що використовує схему WOTS+ (Winternitz One-Time Signature) і смарт-контрактний рівень Arch Network для додаткового захисту без зміни базового протоколу Bitcoin. Такий підхід другого рівня забезпечує негайний захист для користувачів, готових мігрувати до досягнення консенсусу протоколу.
Ринковий наратив проти об’єктивного ризику
Квантово-стійкі наративи у крипторинку 2026 року мають об’єктивні підстави. BlackRock офіційно зазначає квантові обчислення як потенційний фактор збою криптоінфраструктури у проспекті IBIT; звіт Європейського центрального банку за лютий 2026 року підкреслює системний вплив квантових загроз на фінансову криптографію; NIST розпочав інституційне впровадження стандартів PQC. Ці сигнали спрямовують капітал — від інституцій до роздрібних інвесторів — до квантово-стійких активів.
Однак, з огляду на поточний технологічний прогрес, існує значний «тимчасовий розрив» між ринковим наративом і реальною загрозою. CRQC, здатний атакувати ECDSA, оцінюється як недосяжний щонайменше десять років. Проте технологічний прогрес часто нелінійний — березневе скорочення ресурсів для зламу еліптичних кривих від Google у 2026 році на 20 разів тимчасово змінило очікування галузі. Як показує нерівність Москви: якщо час підготовки міграції плюс час чутливості даних перевищує час появи CRQC, вікно міграції фактично відкрито. Сам NIST рекомендує інституціям впроваджувати «гібридні стратегії розгортання» (PQC + RSA/ECC), щоб уникнути системного ризику при масштабній заміні алгоритмів у майбутньому.
Для окремих власників вже доступні різні рішення «квантово-безпечного гаманця Bitcoin» — від WOTS+ Quip до стандарту ґратки NTRU Prime Bearby, користувачі можуть отримати суттєвий захист на прикладному рівні без очікування оновлення протоколу. Для інституцій та бірж актуальніші середньострокові завдання: оцінка експозиції адрес гаманців, побудова архітектури крипто-гнучкості та відстеження прогресу алгоритмів NIST. Важливо відзначити, що ціна Bitcoin впала більш ніж на 33% від торішнього максимуму $126 193, а ринок переживає макроекономічний тиск і структурні наративи. Квантова стійкість як довгострокова логіка швидше використовується для ротації секторів короткостроковим капіталом. Раціональне розмежування «технічних графіків» і «наративних графіків» є ключовим, щоб не потрапити під вплив волатильності.
Висновок
Реальний рівень загрози квантових обчислень для активів Bitcoin можна точно охарактеризувати як «довгостроковий, але реальний структурний ризик» за поточних технологічних умов. Алгоритм Шора може фундаментально підважити підписи ECDSA, але практична реалізація ще мінімум за десяток років; вплив Гровера на SHA-256 значно перебільшений; NIST визначив повний графік міграції з 2024 до 2035 року; спільнота Bitcoin просунулася від BIP-360 до BIP-361 із конкретними пропозиціями.
Однак «велике вікно часу» не означає «можна чекати». Модель атаки Harvest Now, Decrypt Later означає, що розкриття відкритих ключів сьогодні створює реальні загрози у майбутньому, а нелінійний прогрес квантових обчислень робить «десятирічне вікно» далеко не жорсткою гарантією. Ринкове передоцінювання включає раціональне дисконтування довгострокових ризиків, але може й підсилювати короткострокові наративи — особливо з падінням ціни Bitcoin більш ніж на 30% від історичного максимуму та нейтральними ринковими настроями, будь-який «деструктивний» наратив привертає надмірну увагу. Для раціональних криптопрофесіоналів навичка відрізняти підтверджений технічний прогрес від наративно-обумовлених ринкових коливань залишиться актуальною у найближчі роки.
