Квантовое оборудование IBM взломало 15-битный ключ с исправлением ошибок, но разработчики Bitcoin утверждают, что случайные биты совпадают с полученным результатом

Основные выводы:

• 24 апреля Project Eleven присудил исследователю Джанкарло Лелли 1 BTC (78 000 долларов) за взлом 15-битного ключа ECC на квантовом оборудовании IBM.
• Разработчики Bitcoin показали, что результат Лелли повторяется при использовании случайного шума, что свидетельствует об отсутствии квантового преимущества по сравнению с классическими методами.
• Разница между 15 битами и 256-битным secp256k1 Биткойна остается инженерной пропастью в 2^241, что на данный момент оставляет безопасность BTC нетронутой.

Project Eleven вручает Джанкарло Лелли 1 BTC за взлом 15-битного ECC с помощью квантовых технологий, но разработчики программного обеспечения называют это шумом

Project Eleven охарактеризовал это достижение как 512-кратное увеличение сложности поискового пространства по сравнению с предыдущим взломом 6-битной ECC, выполненным инженером Стивом Типпекоником на оборудовании IBM в сентябре 2025 года. Генеральный директор Алекс Пруден охарактеризовал это достижение как доказательство того, что для квантовых атак на ECC больше не требуются национальные лаборатории или проприетарное оборудование.

Приз, оцениваемый на момент вручения примерно в 78 000 долларов, был предназначен для обеспечения воспроизводимых публичных измерений квантовых атак на ECC для ключей длиной от 1 до 25 бит. Работа Лелли, включая полный код и журналы выполнения, доступна для общественности на Github.

Лелли реализовал двухрегистровый вариант алгоритма Шора на облачном аппаратном обеспечении IBM Quantum, нацеленный на эллиптические кривые того вида, который используется в стандарте secp256k1 Биткойна. Схема работала на нескольких процессорах IBM Heron r2, включая ibm_torino и ibm_fez, и опиралась на методы, разработанные для шумных квантовых устройств среднего масштаба.

Разработчики Bitcoin и криптографы быстро отвергли этот результат, утверждая, что квантовое оборудование не добавило никакой значимой ценности к результату. Пост Project Eleven в X, объявляющий об этом достижении, теперь сопровождается проверкой фактов в разделе «Заметки сообщества», в которой говорится, что подход, использованный для восстановления 15-битного ключа ECC, зависит от классической проверки выходов, неотличимых от случайного шума, что фактически сводится к классическому угадыванию.

Бывший сопровождающий Bitcoin Core Йонас Шнелли проанализировал работу Лелли и обнаружил, что схема IBM, работающая примерно с 98 000 вентилями с точностью около 99,5% на вентиль, давала результаты, статистически неотличимые от случайного подбрасывания монеты.

Шнелли воспроизвел полное восстановление ключа примерно в 20 строках Python, используя чисто случайные биты, без участия квантового оборудования. Его вывод был прямым: квантовый компьютер не добавил никакого обнаружимого сигнала по сравнению с классической случайностью.

Основатель Coinkite Родольфо Новак настаивал, что Project Eleven вводит общественность в заблуждение, назвав его заявления о квантовых технологиях «театром». В X он утверждал, что «закрытый ключ решается классически еще до того, как квантовая схема запускается», и что система «ничего не находит — ей подсказывают ответ», добавив, что результаты полагаются на «классический фильтр проверки». Новак пришел к выводу, что хотя «квантовая угроза для Биткойна реальна, но отдалена», сегодняшние демонстрации представляют собой «классические вычисления в квантовых костюмах».

Исследователь Юваль Адам независимо подтвердил этот вывод, заменив квантовый бэкэнд IBM Лелли на /dev/urandom, классический генератор случайных чисел Linux, и восстановив целевой ключ точно так же. 15-битная кривая имеет пространство поиска, состоящее всего из 32 767 возможных закрытых ключей, что достаточно мало для того, чтобы классический верификатор, сверяющий кандидаты с открытым ключом, с высокой вероятностью находил совпадение путем почти случайной выборки.

Сторонник биткойна Джимми Сонг описал квантовый компьютер как выполняющий ту же функцию, что и /dev/urandom. Аккаунт TFTC в X отметил в широко читаемом треде, что каждая публичная демонстрация алгоритма Шора на ECC на сегодняшний день опирается на классические предварительные вычисления, которые фактически кодируют ответ в схему до запуска квантового оборудования.

Критики также указали на конфликт интересов в структуре приза. Project Eleven, поддерживаемый Coinbase Ventures, Castle Island Ventures, Variant и Баладжи Сринивасаном, учредил приз, оценил заявки с помощью трех независимых физиков, присудил вознаграждение, а затем выпустил пресс-релизы с предупреждением о том, что примерно 6,9 млн BTC, хранящихся в кошельках с открытыми открытыми ключами, подвергаются потенциальному долгосрочному риску. Компания продает инструменты постквантовой криптографии.

Основатель Project Eleven отвечает на критику

Пруден признал в последующей ветке обсуждений, что результат не был «Q-Day» и что эксперименты эпохи NISQ обычно зависят от классической помощи. Он утверждал, что демонстрация все же представляла собой постепенный, воспроизводимый прогресс на доступном общедоступном оборудовании и что планирование перехода на постквантовую криптографию остается разумным долгосрочным приоритетом. Руководитель Project Eleven добавил:

«Итог: это постепенный прогресс в шумной, находящейся на ранней стадии развитии области — а не Q-Day. Это подчеркивает, почему мы отслеживаем сокращение ресурсов и почему планирование перехода на постквантовую криптографию имеет значение для долгосрочной безопасности. Скептицизм — это хорошо; смещение целей — нет. Буду рад обсудить технические детали или поделиться отзывами репозитория/судей».

Разница между результатом Лелли и любой реальной угрозой для Биткойна существенна. Кривая secp256k1 Биткойна обеспечивает 256-битную защиту. Расстояние от 15 бит до 256 бит представляет собой коэффициент 2 в степени 241 в вычислительной сложности. Даже оптимистичные недавние исследования, включая статью Google, опубликованную в апреле 2026 года, оценивают, что для взлома 256-битной ECC потребуется менее 500 000 физических кубитов — порог, которого современное квантовое оборудование далеко не достигает.

Этот эпизод иллюстрирует противоречие, которое сохраняется во всех публикациях о квантовых вычислениях: постепенные достижения в области аппаратного обеспечения попадают в заголовки новостей, но разрыв между демонстрациями в масштабе игрушек и производственными криптографическими системами остается инженерной проблемой, не имеющей решения в ближайшей перспективе. Модель безопасности Биткойна зависит от этого разрыва, и разработчики заявляют, что она остается незыблемой.