Стан квантових обчислень і те, що потрібно, щоб загрозити Біткоїну
Квантові обчислення зробили суттєвий крок вперед, але галузь все ще перебуває у переході від шумової апаратури до ранньої помилкової стійкості.
Ключовий зсув відбувається від суто фізичних кубітів до логічних кубітів, вірності воріт, часу виконання та корекції помилок. Цей зсув важливий для Біткоїну, оскільки оцінки ризику залежать від логічних кубітів і помилково-стійких операцій, а не від загальної кількості апаратури.
Який реальний стан розвитку квантових обчислень?
Прогрес видно на трьох фронтах: нижче-порогова корекція помилок, демонстрації малих логічних кубітів та глибші схеми з нижчим рівнем шуму.
У кінці 2024 року була продемонстрована нижче-порогова корекція помилок, при якій швидкість помилок знижувалася при збільшенні масштабу системи.
заявляє, що їхні поточні системи можуть виконувати певні схеми з більш ніж 5 000 двокубітових воріт і опублікували дорожню карту до системи з 200 логічними кубітами та помилково-стійкими операціями до 2029 року.
повідомляє про 48 логічних кубітів з корекцією помилок та 64 логічних кубіти з виявленням помилок з 98 фізичних кубітів, а також 50 логічних кубітів з виявленням помилок на Helios з кращою ніж пороговою продуктивністю.
повідомляє про 24 заплутані логічні кубіти та обчислення з 28 логічними кубітами на апаратному забезпеченні з нейтральними атомами.
Галузь все ще не має великомасштабної помилково-стійкої машини. Це одна з причин існування.
Їхня ціль – квантовий комп’ютер, обчислювальна вартість якого перевищує його вартість до 2033 року, і агентство все ще валідує конкуруючі архітектури, а не сертифікує, що якась команда вже досягла цієї точки.
Що можуть робити квантові комп’ютери сьогодні?
Сучасні системи можуть робити чотири речі з достовірністю. Вони можуть виконувати бенчмарк-задачі за межами класичних методів грубої сили, включаючи випадкове вибіркове зондування Google та більш недавню роботу над квантовими ехо.
Вони можуть виконувати обмежені, спеціалізовані симуляції в фізиці та хімії, часто у гібридних потоках з класичними високопродуктивними обчисленнями. Вони можуть демонструвати логічні кубіти та помилково-стійкі субпрограми на малих масштабах. Вони також функціонують як тести для корекції помилок, декодування та систем контролю.
Що вони не можуть робити сьогодні, це частина, яка має значення для Біткоїну.
Жодна публічна система не має навіть близько логічного кубіту, помилково-стійного бюджету воріт або тривалого часу виконання, необхідного для криптографічно-релевантних атак на secp256k1. Google’s Willow містить 105 фізичних кубітів.
Ведучі публічні демонстрації логічних кубітів залишаються в десятках, а не в тисячах. Недавня оцінка зазначає, що атака на Біткоїн перебуває в діапазоні від десятків мільйонів воріт Toffoli, залишаючи велику прогалину між поточними машинами та криптографічно-релевантною системою.
Що потрібно зробити, щоб створити квантові комп’ютери, які можуть розбити Біткоїн на деякому рівні?
Критичний поріг – це криптографічно-релевантний квантовий комп’ютер, здатний виконувати алгоритм Шора проти еліптичної-кривої дискретної логарифмічної проблеми на secp256k1.
За даними, менше 1 200 логічних кубітів та 90 мільйонів воріт Toffoli, або менше 1 450 логічних кубітів та 70 мільйонів воріт Toffoli, можуть у принципі розв’язати ECDLP-256.
При надпровідних припущеннях з фізичними помилковими швидкостями 10 -3 та планарною зв’язністю автори оцінюють, що така атака може бути виконана за кілька хвилин з менше ніж 500 000 фізичних кубітів.
Це встановлює. Шлях вперед не є просто лінійним підйомом від близько 100 фізичних кубітів до 500 000. Більш складна задача полягає в створенні великої кількості стабільних логічних кубітів, підтримці десятків мільйонів помилково-стійних операцій, досягненні швидких циклів та інтеграції всього цього з декодуванням в реальному часі, кріогенними або фотонними з’єднаннями, класичним контролем та виробничими модулями.
Той самий документ стверджує, що швидкозадійні системи, такі як надпровідні та фотонні платформи, є більш релевантними для атак на криптовалюту, ніж повільнозадійні системи, такі як іонні пастки та нейтральні атоми, оскільки час виконання може бути вирішальним у вікні мемпулу.
Для Біткоїну “розбити на деякому рівні” не означає порушення мережі в один крок. Раніший ризик полягає у відновленні приватних ключів з відкритих публічних ключів або атаці на витрати, поки публічні ключі видимі.
У своєму, Google каже, що блокчейни, які покладаються на ECDLP-256, потребують постквантового міграційного шляху та відзначає короткострокове пом’якшення, наприклад, уникання відкритих або повторно використовуваних вразливих адрес гаманців.
Чи є прогноз Google на 2029 рік справжнім?
Цьому питання потрібно зробити розрізнення. У власній мовній термінології Google,, а не остаточна дата для машини, яка розбиває Біткоїн.
25 березня 2026 року Google заявила, що встановлює графік для постквантової криптографічної міграції до 2029 року, посилаючись на прогрес у апаратному забезпеченні, корекції помилок та оцінці ресурсів.
31 березня 2026 року, компанія заявила, що майбутні квантові комп’ютери можуть порушити еліптичну-криву криптографію, використовувану в криптовалютах, з меншою кількістю кубітів та воріт, ніж раніше оцінювалося. Це пов’язані, але не ідентичні заяви.
Як термін міграції, 2029 рік виглядає агресивним, але обґрунтованим. Як жорсткий прогноз для можливості порушення Біткоїну, публічні докази залишаються тоншими.
Google суттєво зменшила оцінку атаки, а IBM має публічний графік на 2029 рік для 200 логічних кубітів та 100 мільйонів воріт. Тим не менш, ціль IBM на 2029 рік залишається значно нижчою від останньої оцінки Google для атаки на secp256k1.
Горизонт утилітарного бенчмарка DARPA розширюється до 2033 року, який є більш консервативною точкою відліку. На поточних доказах 2029 рік працює краще як термін підготовки, ніж як встановлена дата для Q-Дня.
Яка може бути вартість досягнення цієї точки?
Ніхто не опублікував остаточний публічний бюджет для квантового комп’ютера, який може розбити Біткоїн. Найсильніші публічні сигнали походять від капітальних зборів, урядових пакетів та будівництва об’єктів.
для утилітарних помилково-стійких систем та окремо забезпечила публічний пакет у розмірі 940 мільйонів доларів Австралії для свого будівництва в Брисбені.
та пізніше оголосили про подальший раунд фінансування у 2025 році. Іллінойс також зібрав план квантового парку на 500 мільйонів доларів та пакет податкових стимулів у розмірі 200 мільйонів доларів навколо місця в Чикаго, пов’язаного з PsiQuantum.
Розумна інференція полягає в тому, що перша генерація криптографічно-релевантної системи перебуває в діапазоні низьких одиниць мільярдів доларів, і потенційно вище, коли повний кампус, спеціалізована фабрикація, упаковка, кріогенна техніка, класичні обчислення, мережа, контроль електроніки та багаторічні витрати на персонал включаються.
Публічний та приватний капітал вже збігаються на цій шкалі. Це тепер будівництво інфраструктури.
Які орієнтири потрібно спостерігати з цього моменту?
Перший орієнтир – перехід від десятків до сотень високоякісних логічних кубітів, які залишаються стабільними досить довго, щоб виконувати значимі програми.
Після цього наступний поріг – чи можуть ці логічні кубіти підтримувати мільйони до десятків мільйонів помилково-стійких воріт з декодуванням в реальному часі та масштабуванням виробництва. Графік IBM прямо кадрує цей прогрес з 200 логічними кубітами та 100 мільйонами воріт у 2029 році, а потім Blue Jay з 2 000 логічними кубітами та 1 мільярдом воріт у 2033 році.
Другий орієнтир – архітектурна валідация. вказує на швидкозадійні архітектури як системи, найбільш релевантні для атак на криптовалюту, оскільки час виконання може бути вирішальним у вікні мемпулу.
Третій орієнтир – незалежна валідация. програми DARPA мають значення, оскільки вони змушують компанії перетворювати дорожні карти в аудитовані інженерні плани. Microsoft та PsiQuantum вже перейшли до фінальної фази валідації та співдизайну US2QC, тоді як IBM, Quantinuum, Atom, IonQ, QuEra, Xanadu та інші залишаються на етапі B QBI.
Якщо одна з цих програм прийде до висновку, що дизайн можна побудувати так, як задумано, це матиме більше ваги, ніж стандартна корпоративна дорожня карта.
Четвертий орієнтир – криптографічна відповідь.
та каже, що організації повинні почати міграцію зараз, з вразливими алгоритмами на шляху до зняття та видалення до 2035 року. Для Біткоїну та ширшого криптографічного стека достовірний шлях міграції суттєво змінює профіль ризику.
Хто найбільш імовірно створить квантовий комп’ютер першим?
Відповідь залежить від визначення “першим”. Якщо бенчмарк – перша публічна помилково-стійка система з значимим логічним кубітом, IBM та Quantinuum мають найсильніший публічний випадок сьогодні.
IBM має найчіткішу довгострокову публічну дорожню карту для сотень, потім тисяч логічних кубітів. Quantinuum має деякі з найсильніших публічних даних про логічні кубіти, захоплені в пастку, та порогову продуктивність.
Якщо бенчмарк – перший незалежно валідований шлях до утилітарного масштабу, Microsoft та PsiQuantum виділяються, оскільки вже перейшли до фінальної фази валідації та співдизайну US2QC. Це не вирішує гонку, але вказує на те, що серйозний урядовий процес перегляду вважає ці шляхи досить зрілими для глибшого системного аналізу.
Якщо бенчмарк – перша система, плідно-релевантна для Біткоїну, швидкозадійні платформи заслуговують на найбільшу увагу. На поточних публічних доказах це вказує більше на надпровідні або фотонні стеки, ніж на системи, захоплені в пастку, або нейтральні атоми, для найдостовірнішої можливості атаки.
Це тримає Google, IBM, PsiQuantum та потенційно Microsoft’s топологічний шлях у групі з найбільшою увагою, залишаючи при цьому місце для несподіванки від іншої архітектури, підтримуваної DARPA.
Що потрібно, щоб зловмисник використав таку машину після того, як провідна лабораторія доведе її можливість?
Бар’єр залишається надзвичайно високим. Будь-який зловмисник повинен мати доступ до системи рівня об’єкта, спеціалізованих ланцюжків постачання, передових електронних засобів контролю, упаковки, кріогенної техніки або великої фотонної інфраструктури, програмного забезпечення для корекції помилок, компіляторів та команди, яка охоплює квантове апаратне забезпечення, корекцію помилок, системну інженерію та криптографію.
Графік інфографіки, що показує криптографічну стійкість Біткоїну проти квантових обчислень, включаючи постквантові стандарти NIST, графік IBM, бар’єри доступу та проєктовані орієнтири з 2024 по 2035 рік
Ймовірний профіль вартості залишається в діапазоні низьких одиниць мільярдів доларів, а інженерний слід буде важко приховати. Це спонукає перший достовірний ризик до держави, державної програми або зловживання можливістю існуючої лабораторної можливості, а не незалежної кримінальної побудови.
Є також другий рівень складності. Навіть після того, як провідна лабораторія продемонструє теоретичну можливість, перетворення її в надійне зловмисне використання буде вимагати стабільного часу виконання, достатньої доступності машини, розвідувальної інформації та способу операціоналізації результатів до того, як захисники завершать міграцію.
У своєму, Google утримала деталі атаки та використала методи з нульовим знанням для валідації заяв без публікації оперативної книги. Це підвищує бар’єр для безрозсудного реплікування.
Найчіткіший історичний аналог “обчислювального прориву на рівні дослідження до можливості зловмисника” – це DES.
У 1977 році Вітфілд Діффі та Мартін Геллман стверджували, що машина, здатна розбити DES за близько добу, коштуватиме близько 20 мільйонів доларів, що поставило цю можливість у руки держави.
У 1998 році Електронний фонд фронтиру побудував Deep Crack за менше ніж 250 000 доларів та розбив DES за 56 годин.
У 2006 році машина COPACOBANA на основі FPGA змусила цю вартість впасти нижче 10 000 доларів, показуючи, що можливість, яка раніше обговорювалася на рівні національної лабораторії, перейшла в діапазон комерційно доступного спеціалізованого апаратного забезпечення.
Патерн має значення більше, ніж точний
За матеріалами CryptoSlate