Квантове обладнання IBM зламало 15-бітний ключ ECC, але розробники біткойна стверджують, що випадкові біти збігаються з отриманим результатом

Основні висновки:

• 24 квітня Project Eleven нагородив дослідника Джанкарло Леллі 1 BTC (78 000 доларів) за злом 15-бітного ключа ECC на квантовому обладнанні IBM.
• Розробники Bitcoin продемонстрували, що результат Леллі повторюється при додаванні випадкового шуму, що свідчить про відсутність квантової переваги над класичними методами.
• Розрив між 15 бітами та 256-бітовим secp256k1 біткойна залишається інженерною прірвою в 2^241, що на даний момент залишає безпеку BTC недоторканою.

Проект Eleven вручив Джанкарло Леллі 1 BTC за 15-бітний квантовий злом ECC, але розробники програмного забезпечення називають це шумом

Проект Eleven описав це досягнення як 512-кратне збільшення складності простору пошуку порівняно з попереднім проривом 6-бітного ECC, здійсненим інженером Стівом Тіппеконіком на апаратному забезпеченні IBM у вересні 2025 року. Генеральний директор Алекс Пруден назвав це досягнення доказом того, що квантові атаки на ECC більше не потребують національних лабораторій або власного апаратного забезпечення.

Премія, вартість якої на момент вручення становила приблизно 78 000 доларів, була призначена для забезпечення відтворюваних публічних вимірювань квантових атак на ECC для ключів розміром від 1 до 25 бітів. Подана Леллі робота, включаючи повний код і журнали виконання, є загальнодоступною на Github.

Леллі реалізував дворегістровий варіант алгоритму Шора на хмарному апаратному забезпеченні IBM Quantum, націлений на еліптичні криві того типу, що використовуються у стандарті secp256k1 біткойна. Схема працювала на декількох процесорах IBM Heron r2, включаючи ibm_torino та ibm_fez, і спиралася на методи, розроблені для шумних квантових пристроїв середнього масштабу.

Розробники Bitcoin та криптографи швидко відкинули цей результат, стверджуючи, що квантове обладнання не додало жодної значущої цінності до результату. Пост Project Eleven у X, що оголошує про цю подію, тепер містить перевірку фактів від Community Notes, в якій зазначається, що підхід, використаний для відновлення 15-бітного ключа ECC, залежить від класичної верифікації вихідних даних, які не відрізняються від випадкового шуму, що фактично зводиться до класичного вгадування.

Колишній супровідник Bitcoin Core Йонас Шнеллі проаналізував роботу Леллі та виявив, що схема IBM, яка працює з приблизно 98 000 логічних вентилів із точністю близько 99,5% на вентиль, давала результати, статистично не відрізними від випадкового підкидання монети.

Шнеллі відтворив повне відновлення ключа приблизно в 20 рядках Python, використовуючи суто випадкові біти, без залучення квантового обладнання. Його висновок був прямим: квантовий комп'ютер не додав жодного виявляємого сигналу понад класичну випадковість.

Засновник Coinkite, Родольфо Новак, наполягав, що Project Eleven вводить громадськість в оману, назвавши його квантові твердження «театром». На X він стверджував, що «приватний ключ вирішується класично ще до того, як квантова схема навіть запускається», і що система «нічого не знаходить — їй підказують відповідь», додавши, що результати покладаються на «класичний фільтр перевірки». Новак зробив висновок, що хоча «квантова загроза для біткойна є реальною, але віддаленою», сьогоднішні демонстрації є «класичними обчисленнями в квантових костюмах».

Дослідник Юваль Адам незалежно підтвердив цей висновок, замінивши квантовий бекенд IBM Леллі на /dev/urandom, класичний генератор випадкових чисел Linux, і відновивши цільовий ключ ідентично. 15-бітна крива має простір пошуку лише 32 767 можливих приватних ключів, що є достатньо малим, щоб класичний верифікатор, який перевіряє кандидати на відповідність відкритому ключу, знайшов збіг через майже випадкову вибірку з високою ймовірністю.

Прихильник біткойна Джиммі Сонг описав квантовий комп'ютер як такий, що виконує ту саму функцію, що й /dev/urandom. Акаунт TFTC у X зазначив у широко поширеному твіті, що кожна публічна демонстрація алгоритму Шора на ECC на сьогоднішній день покладається на класичні попередні обчислення, які ефективно кодують відповідь у схему до запуску квантового обладнання.

Критики також вказали на конфлікт інтересів у структурі премії. Project Eleven, підтриманий Coinbase Ventures, Castle Island Ventures, Variant та Баладжі Срінівасаном, створив премію, оцінював заявки за допомогою трьох незалежних фізиків, присудив винагороду, а потім випустив прес-релізи, в яких попередив, що приблизно 6,9 мільйона BTC, що зберігаються у гаманцях з відкритими відкритими ключами, наражаються на потенційний довгостроковий ризик. Компанія продає інструменти постквантової криптографії.

Засновник Project Eleven відповідає на критику

Пруден визнав у наступному дописі, що результат не був Q-Day і що експерименти епохи NISQ зазвичай залежать від класичної допомоги. Він стверджував, що демонстрація все ж представляла поступовий, відтворюваний прогрес на доступному публічному обладнанні і що планування міграції до постквантової криптографії залишається розумним довгостроковим пріоритетом. Керівник Project Eleven додав:

«Підсумок: це поступовий прогрес у галасливій, молодій галузі — а не Q-Day. Це підкреслює, чому ми відстежуємо скорочення ресурсів і чому планування міграції до постквантової криптографії має значення для довгострокової безпеки. Скептицизм — це добре; зміна правил гри — ні. З радістю обговорю технічні деталі або поділюся відгуками репозиторію/суддів».

Розрив між результатом Леллі та будь-якою реальною загрозою для біткойна є значним. Крива secp256k1 біткойна забезпечує 256-бітний рівень безпеки. Відстань від 15 бітів до 256 бітів відповідає коефіцієнту 2 у степені 241 у обчислювальній складності. Навіть оптимістичні останні дослідження, включаючи статтю Google, опубліковану у квітні 2026 року, оцінюють, що для зламу 256-бітної ECC знадобиться менше ніж 500 000 фізичних кубітів — поріг, якого сучасне квантове обладнання далеко не досягає.

Цей епізод ілюструє напругу, яка зберігається у висвітленні квантових обчислень: поступові досягнення в апаратній сфері потрапляють у заголовки новин, але відстань між демонстраціями на іграшковій рівні та виробничими криптографічними системами залишається інженерною прогалиною, для якої немає рішення в найближчій перспективі. Модель безпеки біткойна залежить від цієї прогалини, і розробники стверджують, що вона залишається недоторканою.