Почему квантовые компьютеры угрожают приватности биткоина

# Собиратель секретов. Почему квантовые компьютеры угрожают приватности биткоина

В сентябре 2025 года Федеральная резервная система США (ФРС) опубликовала аналитический документ о стратегии Harvest Now, Decrypt Later (HNDL). Этот подход предполагает, что злоумышленники заранее собирают зашифрованные данные, чтобы в будущем расшифровать их с помощью достаточно мощных квантовых компьютеров.

Авторы доклада используют биткоин как пример и изучают, какие последствия может иметь стратегия HNDL для блокчейнов, основанных на традиционных методах криптографии.

Исследователи пришли к выводу, что даже своевременное внедрение постквантовой криптографии не защитит приватность исторических данных из-за неизменности блокчейна. Вместе с представителями биткоин-миксера Mixer.Money рассказываем, какие проактивные действия могут предпринять пользователи, чтобы повысить приватность даже после наступления «Дня Q».

Как работает HNDL

Принцип атаки прост: злоумышленник копирует базы данных и другие защищенные сведения. Мгновенной выгоды нет, но когда появится криптоаналитически релевантный квантовый компьютер (Cryptoanalytically-Relevant Quantum Computer, CRQC), он сможет получить доступ к приватным ключам/информации, связанной с историей транзакций.

Для биткоина квантовая угроза означает потенциальный взлом цифровых подписей. Достаточно мощный квантовый компьютер сможет вычислить приватный ключ по публичному, что открывает возможность компрометации кошельков и истории транзакций.

«На первый взгляд в такой ситуации вопрос приватности — наименьшая из проблем. Однако исследование ФРС как раз обращает внимание на то, что своевременное внедрение постквантовой криптографии не защитит исторические данные. Даже если пользователи переведут средства на квантово устойчивые адреса, злоумышленники потенциально смогут раскрыть ранее недоступные данные о транзакциях и связях между адресами», — отмечают представители Mixer.Money.

В исследовании ФРС подчеркивается, что, в отличие от вопросов безопасности, проблема конфиденциальности не имеет простого решения. Исторические данные биткоина беззащитны перед ретроспективным взломом.

Уязвимость биткоин-адресов

Существуют разные типы биткоин-адресов. Степень их уязвимости перед квантовым взломом зависит от того, когда и в каком виде публичный ключ становится видимым.

• Pay-to-Public-Key (P2PK). Сам открытый ключ служит адресом получателя. Монеты Сатоши Накамото (около 1 млн BTC) находятся на подобных UTXO. Публичные ключи этих монет известны всем прямо сейчас. Они попадают в категорию long-range атаки: у злоумышленников неограниченное время для подбора приватных ключей;
• Pay-to-Public-Key-Hash (P2PKH). В блокчейн записывается только хеш открытого ключа. Сам ключ не виден, пока с адреса не было исходящих переводов.

Уязвимость возникает при первой трате. Владелец публикует полный открытый ключ в скрипте, доказывая право собственности. С этого момента адрес перестает быть квантово устойчивым. Если злоумышленник в будущем получит квантовый компьютер, он сможет вычислить приватный ключ.

SegWit-адреса с префиксом bc1q работают по тому же принципу, что и P2PKH. До первой траты UTXO безопасны, но после публичный ключ становится достоянием блокчейна.

Taproot-адреса (P2TR) с префиксом bc1p содержат короткую версию публичного ключа (ситуация похожа на старый P2PK). По данным Chaincode Labs, на январь 2025 года на Taproot приходилось 32,5% всех выходов UTXO, но всего 0,74% общего предложения первой криптовалюты.

Квантовый компьютер сможет массово восстановить приватные ключи и определить, какие адреса принадлежат одному человеку. Аналитики Deloitte оценили, что уже сегодня примерно 25% всех биткоинов потенциально находятся под угрозой квантового анализа. Исследование Chaincode Labs расширяет диапазон до 20–50% монет в обращении (4–10 млн BTC). В эту категорию попадают:

• старые UTXO с открытыми ключами (P2PK);
• утерянные монеты на известных адресах;
• сотни тысяч биткоинов на адресах с раскрытыми ключами из-за повторного использования.

Крупные держатели — биржи и кастодиальные сервисы — исторически часто хранили средства на одних и тех же адресах. Это означает концентрацию огромных сумм на отдельных ключах, что делает их приоритетными целями для квантовых атак.

Как защитить приватность уже сейчас

Квантовый взлом грозит ретроспективно раскрыть всю историю биткоина, поэтому пользователям стоит подумать о приватности транзакций заранее. Полностью устранить угрозу HNDL без перехода на новые алгоритмы невозможно. Однако снижение ончейн-связей усложнит анализ. Для этого нужно:

• не использовать адреса повторно. Для каждого получения платежа генерируйте новый адрес. Повторный прием средств приводит к тому, что разные входящие объединяются и их проще связать с вами. Также при повторной трате открытый ключ будет раскрыт и станет потенциально уязвимым для квантовых атак;
• разрывать транзакционные связи. Избегайте ситуаций, когда вся цепочка «отправитель-получатель»‎ очевидна стороннему наблюдателю. Если вы переводите средства между собственными кошельками или осуществляете платеж, который хотелось бы сохранить анонимным, рассмотрите использование биткоин-миксеров.

Например, Mixer.Money позволяет получить биткоины на новые адреса, не связанные между собой ончейн и без необходимости проходить KYC. Сервис разделяет монеты пользователя на части и отправляет на биржи. Через случайно выбранный промежуток времени (чтобы избежать анализа по временным меткам) пользователь получает такое же количество монет (за вычетом комиссии), но с других бирж и от разных инвесторов.

Благодаря этому разрываются связи между исходной транзакцией и конечным получателем. Сторонний аналитик видит в блокчейне, что средства пришли от множества адресов, не имеющих явной связи с отправителем. По сути, Mixer.Money затруднит как классический ончейн-анализ, так и потенциальный будущий квантовый анализ истории транзакций.

«Старайтесь не раскрывать свою личность, привязывая ее к адресам. Не отправляйте напрямую биткоины с анонимного кошелька на биржу, где пройдена верификация личности. Лучше выводить средства через миксер. Не публикуйте публично адреса, которыми вы пользуетесь. Не делитесь расширенным публичным ключом вашего кошелька (xpub) — эти данные могут быть проанализированы как сейчас, так и ретроспективно»‎, — добавляют в Mixer.Money.

Чем меньше информация о ваших транзакциях привязана к вам или объединена между собой, тем сложнее ее собрать воедино при наступлении квантовой эры.

Квантовый переход без KYC

Исследование ФРС показывает неочевидные аспекты приватности, на которые стоит обратить внимание тем, кто хочет сохранять анонимность в блокчейне биткоина в долгосрочной перспективе.

Экосистема постепенно готовится к постквантовой криптографии. Появляются предложения вроде BIP-360 для перехода на новые адреса. Эксперты обсуждают сроки наступления «Дня Q»‎ и пути миграции.

Рядовому пользователю важно понимать: квантовая угроза — не теоретический сценарий, а практический риск, который со временем только увеличивается. Чем раньше принять меры по защите приватности в сети биткоина, тем лучше.