Дебати про квантову хронологію: чому Нік Szabo і Віталік Бутерін не погоджуються щодо того, коли криптографія у криптовалютах помре

На конференції Devconnect у Буенос-Айресі на початку 2026 року співзасновник Ethereum Віталік Бутерін висловив різке попередження: еліптичні криві, що забезпечують безпеку Bitcoin і Ethereum, є вразливими, і галузі, можливо, залишилось 2–4 роки для підготовки. Однак не всі поділяють його відчуття терміновості. Криптограф і піонер смарт-контрактів Нік Szabo пропонує протилежну точку зору — з погляду іншого розуміння термінів і ризиків. Їхній розбіжність відкриває глибшу істину: квантова загроза реальна, але як саме галузь має реагувати, залишається справжнім предметом дискусії серед провідних фахівців.

Сценарій 20%: цифри за тривогою

Віталік Бутерін не брав свій попереджувальний меседж з повітря. Наприкінці 2025 року він посилався на прогнози платформи Metaculus, які оцінювали ймовірність приблизно у 20% того, що квантові комп’ютери, здатні зламати сучасну криптографію, з’являться до 2030 року. Медіанний прогноз ближче до 2040 року — все ще в межах планувального горизонту багатьох користувачів блокчейну, але менш терміновий.

Що підвищило напругу у його риториці, — дослідження, яке показувало, що квантові атаки на 256-бітові еліптичні криві можуть стати здійсненними до президентських виборів у США 2028 року. На Devconnect він коротко сформулював це фразою: «Еліптичні криві помруть». Його мета не була панікою, а мобілізацією. «Квантові комп’ютери сьогодні не зламають криптовалюту», — пояснив Бутерін. — «Але галузь має почати впроваджувати пост-квантову криптографію задовго до того, як квантові атаки стануть практичними».

Посил: не чекайте, поки загроза стане очевидною — починайте діяти вже зараз, адже міграція децентралізованої мережі займає роки.

Чому ECDSA стає вразливою для квантових атак

Ethereum і Bitcoin обидва використовують ECDSA (Еліптичний Кривий Цифровий Підпис) з кривою secp256k1. Модель безпеки елегантна: приватний ключ — це великий випадковий номер, публічний — точка на кривій, отримана з цього числа, а адреса — хеш публічного ключа.

Класично, обернути цей процес — перейти від публічного ключа до приватного — нездійсненно через обчислювальні обмеження. 256-бітовий ключ практично неможливо вгадати методом перебору. Ця асиметрія — основа безпеки блокчейну.

Квантові обчислення руйнують цю асиметрію. Алгоритм Шора, запропонований у 1994 році, показує, що достатньо потужний квантовий комп’ютер може розв’язати дискретний логарифм за поліноміальним часом. Це означає, що ECDSA, RSA, Diffie-Hellman та інші схеми можуть бути зламані за секунди.

Бутерін підкреслює важливий момент: якщо ви ніколи не витрачали з адреси, на блокчейні видно лише хеш публічного ключа — і він залишається квантово-стійким. Але як тільки ви здійснюєте транзакцію, публічний ключ стає відкритим. Майбутній квантовий зломщик із достатньою кількістю кубітів може використати цей відкритий ключ для відновлення приватного. Це вразливість — асиметрична: нові адреси безпечніші, а вже існуючі — під загрозою.

Google Willow: каталізатор

Наприкінці 2024 року Google представила Willow, квантовий процесор на 105 кубітів на основі надпровідників. Willow виконав обчислення за менше ніж п’ять хвилин — тоді як сучасні класичні суперкомп’ютери потребували б приблизно 10²⁵ років — тобто 10 септильйонів років.

Ще важливіше: Willow продемонстрував «нижче порогу» квантового виправлення помилок, коли додавання кубітів зменшує, а не збільшує, рівень помилок. Це прорив, над яким дослідники працювали майже 30 років. Це сигнал, що квантові комп’ютери з високою стійкістю переходять від теорії до практики.

Однак Хартмут Невен, директор Google Quantum AI, застерігає: «Чип Willow не здатен зламати сучасну криптографію». Він оцінює, що для зламу RSA-2048 потрібно мільйони фізичних кубітів, і це принаймні через 10 років. Науковий консенсус сходиться на тому, що для зламу 256-бітових еліптичних кривих за годину потрібно десятки або сотні мільйонів фізичних кубітів — далеко за межами нинішніх можливостей. Проте IBM і Google вже мають дорожні карти щодо створення квантових комп’ютерів з високою стійкістю до 2029–2030 років, що робить теоретичну загрозу досить близькою.

Пост-квантові рішення: вже стандартизовані

Гарна новина: галузь не повинна винаходити відповіді з нуля. У 2024 році NIST (Національний інститут стандартів і технологій) затвердив перші три стандарти пост-квантової криптографії:

• ML-KEM для ключового обгортання
• ML-DSA і SLH-DSA для підписів

Ці алгоритми, засновані на решітковій математиці або хеш-функціях, розроблені для протистояння атакам алгоритму Шора. Спільний звіт NIST і Білого дому оцінив вартість міграції федеральних систем США до пост-квантової криптографії у 2025–2035 роках у 7,1 мільярда доларів — значна, але керована сума.

На стороні блокчейну з’явився Naoris Protocol — конкретний приклад інфраструктури, готової до квантової епохи. Протокол інтегрує відповідні стандартам NIST пост-квантові алгоритми і був згаданий у поданні до SEC у вересні 2025 року як зразок. Naoris використовує механізм dPoSec (Decentralized Proof of Security), де кожен пристрій стає валідатором, що в реальному часі перевіряє безпеку інших пристроїв. Цей децентралізований підхід, у поєднанні з пост-квантовою криптографією, усуває традиційні єдині точки відмови. За даними Naoris, їхній тестнет, запущений у січні 2025 року, обробив понад 100 мільйонів транзакцій із пост-квантовою безпекою і виявив понад 600 мільйонів загроз у реальному часі. Основна мережа запущена на початку першого кварталу 2026 року і пропонує інфраструктуру «Sub-Zero Layer», що працює під існуючими блокчейнами.

Надзвичайний резерв Ethereum

Перед публічними заявами Бутерін уже розробляв план дій у випадку квантової кризи. У своєму пості Ethereum Research 2024 року «Як зробити хард-форк для збереження коштів у квантовій надзвичайній ситуації» він описав, що теоретично можна зробити, якщо прорив у квантовій криптографії застукає екосистему зненацька:

1. Виявити і повернути ланцюг до останнього блоку перед великим крадіжкою через квантовий злом
2. Заблокувати транзакції на основі старих ECDSA-адрес, щоб припинити подальше крадіжки через відкриті публічні ключі
3. Мігрувати користувачів на смарт-контракти-гаманці з доказами власності через zero-knowledge proofs, переходячи до квантово-стійких смарт-контрактних гаманців

Це — крайній захід. Але основна ідея Бутеріна — що необхідна інфраструктура — абстракція акаунтів (ERC-4337), надійні системи zero-knowledge, стандартизовані схеми підписів — має бути створена вже зараз, до будь-якої надзвичайної ситуації.

Контраргумент Ніка Szabo: час, загрози і янтар

Не всі поділяють терміновість Бутеріна. Нік Szabo, криптограф, який започаткував концепцію смарт-контрактів, вважає, що квантова загроза — «згодом неминуча», але дивиться на неї інакше.

Szabo наголошує, що сучасні загрози часто мають соціальний, правовий і управлінський характер — не лише технічний. Він використовує метафору: транзакція — як «муха, застрягла в янтарі». Чим більше блоків накопичується навколо неї, тим важче її звільнити навіть для потужних зломщиків. За історією блокчейну, старі монети і транзакції отримують практичний імунітет через вагу консенсусу і історичну закріпленість. Точка зору Szabo не заперечує квантову загрозу, а розглядає її у ширшому контексті, де часова природа блокчейну дає несподіваний захист.

Адам Бек, CEO Blockstream і один із піонерів Bitcoin, має схожу позицію. Він вважає, що квантова загроза — «десятки років», і рекомендує «послідовні дослідження, а не поспішні або руйнівні зміни протоколів». Його побоювання: паніка може спричинити оновлення з помилками, більш небезпечними за саму квантову загрозу — справжня інженерна проблема при роботі з системами, що керують трильйонами вартістю.

Узгодження позицій: різні горизонти часу

Ці погляди не суперечать одне одному; вони відображають різні оцінки ризиків і часові рамки. Бутерін орієнтується на 2–4 роки для термінових дій. Szabo і Бек вважають, що загроза — у десятки років, і хоча вона реальна, поспішні зміни несуть власний ризик. Загальний висновок: інфраструктуру для міграції потрібно створювати і тестувати вже зараз, навіть якщо час атаки невизначений — адже перехід у децентралізованих протоколах займає роки і не може бути зроблений поспіхом.

Ця дискусія підкреслює важливий момент: квантова загроза для крипто — не бінарна ситуація «так/ні», а багатовимірне питання щодо термінів і підготовки.

Практичні кроки для криптоспільноти сьогодні

Для активних трейдерів — просте повідомлення: продовжуйте звичайну діяльність і слідкуйте за оновленнями протоколів. Для довгострокових власників — переконайтеся, що обрані платформи і протоколи активно готуються до пост-квантової епохи. Деякі рекомендації:

• Обирайте оновлювані гаманці і схеми зберігання, що дозволяють змінювати криптографічні алгоритми без зміни адрес
• Уникайте повторного використання адрес, щоб мінімізувати кількість публічних ключів, відкритих у мережі
• Слідкуйте за графіком міграції Ethereum до пост-квантової криптографії і готуйтеся до переходу, коли інструменти стануть готовими
• Розподіляйте зберігання активів між платформами з різним рівнем готовності до пост-квантової криптографії

Ймовірність у 20% до 2030 року означає, що є ще 80%, що квантові комп’ютери не стануть загрозою для крипто в цьому періоді. Але у ринку вартістю понад 3 трильйони доларів така ймовірність — причина для серйозної підготовки, а не паніки. Необхідно будувати інфраструктуру з урахуванням майбутніх викликів.

Як підсумовує Бутерін: квантову загрозу слід сприймати так, як інженери ставляться до землетрусів і повеней. Малоймовірно, що вона зруйнує ваш дім цього року, але з урахуванням довгострокової перспективи — цілком можливо, тому важливо закладати фундамент із урахуванням цих ризиків. Чи більше ви схиляєтеся до терміновості Бутеріна чи до обережності Szabo — відповідь одна: час готуватися — вже зараз.