Ethereum рискует столкнуться с резким ростом комиссий из-за постквантовых подписей

В этом месяце Ethereum сделал постквантовую криптографию одной из ключевых стратегических задач. В экосистеме сформировали отдельную PQ-команду под руководством Томаса Коражера и объявили призовой фонд $1 млн на усиление криптографических примитивов на базе хеш-функций.

Заявление прозвучало за день до того, как a16z crypto опубликовали собственную дорожную карту. В ней фонд утверждает, что квантовые угрозы часто преувеличены, а преждевременный переход может привести к обмену уже проверенной безопасности на гипотетическую защиту.

Обе позиции выглядят обоснованно. И именно в этом противоречии становится видно, где на самом деле разворачивается ключевая борьба.

Ethereum Foundation подает постквантовую безопасность как точку перелома. Уже запущены мультиклиентные devnet-сети для консенсуса, со следующего месяца стартуют встречи All Core Devs раз в две недели для координации precompile-решений и путей account abstraction. В опубликованной дорожной карте обещают переход без потери средств и без остановки сети, рассчитанный на несколько лет.

21 января Coinbase объявила о запуске независимого консультативного совета по вопросам квантовой безопасности. В него вошел исследователь Ethereum Джастин Дрейк, что говорит о согласованности подходов между разными участниками индустрии и ориентации на долгосрочное планирование.

Solana еще в декабре проводила эксперименты с постквантовыми подписями в тестовой сети в рамках Project Eleven. Разработчики сразу подчеркнули, что речь идет о проактивной работе, а не о реакции на срочную угрозу.

В экосистеме Polkadot предложение JAM описывает внедрение ML-DSA и Falcon вместе с SNARK доказательствами для миграции.

Bitcoin, как и ожидалось, движется осторожнее. Предложение BIP-360 с переходом на pay-to-quantum-resistant-hash рассматривается как первый постепенный шаг, ограниченный реальностью текущего управления сетью.

Со стороны это может напоминать гонку вооружений, но не ту, что вызвана неминуемой опасностью.

На самом деле это соревнование институциональной готовности. Победит тот, кто сумеет сохранить экономику комиссий, эффективность консенсуса и удобство кошельков, одновременно обновив криптографическую основу до того, как внешнее давление заставит действовать в спешке.

Парадокс урожая

Ключевой аргумент a16z строится на разграничении риска отложенной расшифровки данных и уязвимостей цифровых подписей. Атаки HNDL имеют значение в тех случаях, когда злоумышленник может перехватить зашифрованные данные уже сегодня, а расшифровать их позже, когда квантовые компьютеры достигнут нужного уровня.

Эта угроза напрямую касается TLS, VPN и шифрования данных на хранении. С блокчейн подписями ситуация иная. Они подтверждают транзакции в реальном времени и не оставляют зашифрованных данных, которые можно было бы сохранить и взломать в будущем.

Ethereum фактически принимает такую логику, но настаивает, что оперативность все равно критична. Причина в том, что смена схем цифровых подписей затрагивает всю инфраструктуру. Это кошельки, форматы аккаунтов, аппаратные подписанты, кастодиальные сервисы, мемпул, рынки комиссий, сообщения консенсуса и доказательства расчетов на L2.

На такую миграцию нужны годы. Не потому, что квантовые компьютеры вот-вот появятся, а потому что масштаб инженерной работы огромен, а цена ошибки может быть фатальной.

Читайте также: Решение ФРС и биткоин: почему рынку важнее риторика, а не ставка

В 2024 году NIST утвердил первые постквантовые стандарты FIPS 203, 204 и 205. Также был выбран HQC как резервный механизм инкапсуляции ключей, а Falcon и FN DSA продвинулись к стадии черновых стандартов.

В июне 2025 года Евросоюз выпустил согласованную дорожную карту перехода на постквантовую криптографию. Эти шаги снизили неопределенность вокруг выбора алгоритмов и сделали планирование миграции более предметным, даже если криптографически значимые квантовые компьютеры все еще остаются далеким сценарием.

В отчете Citi за январь 2026 года приводятся вероятностные оценки масштабного взлома систем с открытым ключом в диапазоне между 2034 и 2044 годами. При этом многие эксперты считают появление CRQC в 2020-х годах крайне маловероятным.

Неопределенность сроков не отменяет необходимость подготовки. Напротив, она усиливает ее. Блокчейны, которые будут ждать однозначных сигналов угрозы, рискуют столкнуться со сжатыми сроками, проблемами координации и хаотичными решениями.

Раздувание подписей становится ключевым узким местом базового уровня

Проблема здесь сугубо техническая и упирается в размер подписей. В текущей модели Ethereum подпись ECDSA занимает около 65 байт. При цене 16 gas за ненулевой байт одна подпись обходится примерно в 1 040 gas, что и задает текущий базовый уровень комиссий.

С постквантовыми схемами ситуация меняется радикально. Кандидаты ML-DSA выдают подписи размером от 2 до 3 КБ, и наиболее вероятным стандартом для широкого применения считаются варианты на базе Dilithium. Подпись размером 2 420 байт уже требует около 38 720 gas только на передачу самих данных. Разница по сравнению с ECDSA составляет плюс 37 680 gas на одну транзакцию.

Такой рост нагрузки нельзя считать второстепенным. Без протокольного сжатия или агрегации подписей это напрямую ударит по пропускной способности сети и приведет к росту комиссий даже при неизменном спросе.

Именно в этом контексте ставка Ethereum на хеш-основанную криптографию и приз Poseidon Prize на $1 млн выглядят стратегически оправданными. Хеш-основанные подписи не используют алгебраические структуры, на которых основаны квантовые атаки, и при этом хорошо сочетаются с zero-knowledge доказательствами.

Читайте также: В России ускоряют принятие закона об изъятии криптовалют до полноценного регулирования рынка

Если Ethereum сможет сделать агрегацию подписей на базе STARK практически применимой, это позволит сохранить экономику комиссий и одновременно обновить криптографические допущения безопасности. Проблема в том, что сегодня не существует рабочего постквантового аналога BLS-агрегации. А zk-агрегация в ее текущем виде накладывает ощутимые ограничения на производительность.

От решения этой задачи напрямую зависит эффективность консенсуса. Современный консенсусный слой Ethereum глубоко завязан на агрегацию BLS-подписей. Валидаторы подписывают аттестации и сообщения sync-комитетов, после чего протокол объединяет тысячи подписей в компактные доказательства.

Если эта возможность будет утрачена без равноценной замены, сети придется либо существенно менять экономику участия валидаторов, либо пересматривать базовые предположения о живучести и скорости финализации.

Публичный акцент Ethereum Foundation на компактные криптографические основы и координацию мультиклиентных PQ-devnet сетей показывает, что внутри экосистемы это понимают. Агрегация подписей здесь выступает скрытым обрывом, который определяет успех или провал всего перехода.

UX кошельков как социальный слой криптографии

Поддержки на уровне протокола недостаточно, чтобы завершить миграцию.

В текущей архитектуре Ethereum обычные пользовательские аккаунты не позволяют безопасно и удобно ротировать ключи. Пользователям нужны сценарии миграции в один клик, без погружения в технические детали. Аппаратные кошельки должны выпускать обновления прошивок. Кастодиальные сервисы обязаны иметь инструменты для безопасной массовой миграции клиентов.

Именно поэтому исследователи Ethereum изучают системы с поддержкой восстановления ключей и подходы на базе seed-фраз. Их цель снизить координационные риски и убрать трение на уровне пользовательского опыта.

a16z при этом предупреждает, что слишком ранний переход несет собственные риски. Среди них незрелые реализации, изменение стандартов уже после развертывания и ошибки в новых криптографических библиотеках.

По мнению фонда, текущие угрозы вроде провалов управления и программных багов представляют куда более осязаемую опасность, чем гипотетические квантовые атаки в обозримом будущем.

Читайте также: Вероятность шатдауна США в январе выросла до 77%: рынок прогнозов усиливает тревожные сигналы

В этом и заключается суть подхода не паниковать. Слишком ранняя миграция означает обмен уже проверенной безопасности на спекулятивную. Цена ошибки здесь может оказаться выше, чем стоимость ожидания зрелых стандартов и более надежных инструментов.

Обе позиции логичны, потому что оптимизируют разные сценарии отказа. Ethereum Foundation стремится избежать спешной координации под внешним давлением.

a16z делает акцент на предотвращении самонанесенных ран из-за поспешного внедрения.

Это расхождение и указывает на реальное поле битвы. Конкурентное преимущество получат те сети, которые смогут выстроить инфраструктуру миграции заранее, не вынуждая пользователей преждевременно переходить на сырые стандарты.

Три сценария и разные победители

Сроки миграции зависят от внешних прорывов, которые никто не контролирует напрямую.

В сценарии медленного развития, где криптографически значимые квантовые компьютеры не появляются до 2040 х годов, переход происходит в ритме регуляторов и стандартов. Приоритет смещается в сторону безопасности, а не скорости. В выигрыше оказываются сети, которые заранее инвестировали в криптографическую гибкость. Речь идет о периодах с двойными подписями, гибридных схемах и заранее прописанных аварийных сценариях. Такой подход позволяет адаптироваться без сбоев и экстренных решений.

Базовый сценарий предполагает появление ощутимых квантовых угроз в середине 2030 х годов. В этом случае именно текущая работа определяет будущий результат. Если экосистема хочет обеспечить плавный переход к 2035 году, инструменты для кошельков и исследования в области агрегации подписей должны быть готовы к промышленному использованию на несколько лет раньше.

Именно под этот сценарий оптимизирована дорожная карта Ethereum Foundation. Здесь многолетний запас по времени и объясняет, почему инвестиции делаются уже сейчас.

В сценарии резкого шока, при котором прорывы укажут на реальный риск до 2030 года, ключевым фактором станет скорость реакции. Важнее всего окажется способность сети быстро заморозить уязвимые участки, мигрировать аккаунты и при этом сохранить живучесть. a16z считает такой исход маловероятным, но сам акцент фонда на планировании показывает, что даже маловероятные хвостовые риски заслуживают подготовки.

Среди сигналов, за которыми стоит следить, называют убедительные демонстрации масштабируемых систем с коррекцией ошибок, устойчивость логических кубитов и стабильные показатели точности квантовых операций. Дополнительными триггерами могут стать ускорение сроков миграции со стороны NIST или крупных государств, а также выпуск кастодиальными сервисами и аппаратными кошельками постквантовых подписей в продакшене.

Пока ни один из этих факторов не выглядит близким, но каждый из них способен резко сжать временные окна для принятия решений.

На практике поле борьбы разбивается на несколько уровней.

Планирование и криптографическая гибкость

Миграция на постквантовую криптографию это многолетняя программа, а главный риск здесь связан не с алгоритмами, а с координацией под давлением. Создание отдельной PQ-команды и формализация процессов у Ethereum Foundation показывают, что переход рассматривается как протокольная задача, а не эксперимент. a16z указывает на обратную сторону, преждевременные шаги могут увеличить риск из-за незрелых библиотек и меняющихся стандартов. Ключевой индикатор прогресса это публичная дорожная карта, поэтапное внедрение и заранее прописанный аварийный план.

UX кошельков и миграция аккаунтов

Без почти бесшовного пользовательского опыта миграция не состоится. Обычные пользовательские аккаунты остаются самым сложным элементом, поэтому акцент Ethereum на абстракции аккаунтов и обещания нулевого даунтайма делают пользовательский опыт центральной частью стратегии. a16z предупреждает, что раннее принуждение пользователей к новым схемам чревато самонанесенными потерями. Практический ориентир здесь это доля кошельков и кастодиальных сервисов с поддержкой двойных подписей и ротации ключей, а также реальное время миграции для нетехнических пользователей.

Агрегация подписей и экономика комиссий

Крупные размеры постквантовых подписей создают прямое давление на комиссии и пропускную способность. Ставка Ethereum на протокольное сжатие через LeanVM, хеш и zk указывает на попытку сохранить экономику сети. a16z справедливо отмечает, что даже корректная криптография бесполезна, если она портит пользовательский опыт. Здесь важно смотреть на реальные показатели агрегации, размер доказательств, время верификации и итоговую стоимость транзакций.

Консенсус и нагрузка на валидаторов

Консенсус Ethereum критически зависит от агрегации подписей. Потеря этого механизма без адекватной замены угрожает живучести сети и экономике участия. Мультиклиентные постквантовые сети и регулярные координационные созвоны показывают, что Ethereum рассматривает консенсус как самую сложную часть перехода. a16z занимает более осторожную позицию, указывая на высокий риск инженерных ошибок. Практические метрики здесь это рост нагрузки на CPU и сеть у валидаторов и сохранение стабильного включения аттестаций под нагрузкой.

Зрелость стандартов и совместимость

Зрелые стандарты снижают неопределенность и позволяют экосистемам сходиться на безопасных решениях. Призы, воркшопы и внешняя координация со стороны Ethereum указывают на стремление выстроить общий подход. a16z настаивает на ожидании зрелости стандартов и реализаций до начала массовой миграции. Важно следить за этапами NIST и ЕС, а также за появлением постквантовой поддержки в ключевых библиотеках и аппаратных кошельках без критических уязвимостей.

Новая статусная игра

Готовность к постквантовой криптографии постепенно превращается в метрику институциональной надежности. Этот процесс повторяет путь, который в прошлых циклах прошла зрелость L2 решений.

Сети без внятной постквантовой дорожной карты рискуют выглядеть неподготовленными к долгосрочному обеспечению расчетов, даже если непосредственная угроза остается далекой.

Именно этим объясняется, почему Solana, Polkadot и BTC уже ведут активную работу в этом направлении, несмотря на отсутствие консенсуса о скором наступлении условного Q-day.

Эта гонка не про то, кто первым формально включит постквантовую криптографию. Суть в том, кто сумеет сохранить пользовательский опыт, экономику комиссий и эффективность консенсуса в процессе перехода.

Ethereum делает ставку на хеш-основанные криптографические основы, zk-агрегацию и координацию через управление.

Для Solana проблема размера подписей особенно остра из-за ориентации на высокую пропускную способность, что вынуждает искать нестандартные архитектурные решения.

Polkadot выигрывает за счет гетерогенной шардинговой модели, которая позволяет экспериментировать с постквантовыми схемами на уровне отдельных цепочек.

BTC остается максимально консервативным. Это отражает ограничения управления и длинный хвост старых выходов, которые невозможно мигрировать без участия владельцев.

Если постквантовая готовность действительно станет новой гонкой L1, победит не та сеть, которая объявит больше призов или запусков. Победителем станет та, которая предложит путь миграции, который обычные пользователи действительно пройдут, сохранит пропускную способность при много килобайтных подписях и заменит текущие предположения об агрегации, не жертвуя живучестью сети.

Ключевыми зонами борьбы стали планирование, UX-кошельков и агрегация подписей. Причем отсчет этой гонки начался задолго до того, как рынок в целом осознал ее существование.