量子计算威胁比特币？专家拆解真实风险：并非迫在眉睫

2026年3月31日，Google旗下的Google Quantum AI发布了一份引发广泛关注的白皮书，称未来量子计算机破解比特币加密所需的资源比此前预估降低了约20倍。这项研究迅速升温，“量子计算机9分钟攻破比特币”的大标题开始在市场上流传。但事实上，这种恐慌每年都会出现一两次，只不过这次因为背靠Google的名字，听起来格外唬人。

我们对这份57页的论文及同期发布的多项关键研究进行了系统梳理，为你拆解相关说法的真实可信度，当前量子计算的发展究竟对加密货币和挖矿行业产生了多大影响，相关风险又处于何种阶段、是否真的迫在眉睫。

重新衡量的技术风险

传统上，比特币的安全性建立在一个单向数学关系之上。创建钱包时，系统会生成一个私钥，公钥则由私钥推导而来。使用比特币时，用户需要证明自己拥有私钥，但并不是直接透露私钥，而是用私钥生成一个网络可以验证的加密签名。这套机制之所以安全，是因为现代计算机需要数十亿年才能从公钥逆向推导出私钥，具体来说，就是破解椭圆曲线数字签名算法（ECDSA）所需的时间远超过目前的可行范围，所以区块链从密码学层面来讲一直被认为是不可能被攻破的。

但量子计算机的出现打破了这种规则。它的工作方式不同，它不会逐个检查密钥，而是同时探索所有可能性，并利用量子干涉效应找出正确的密钥。打个比方，传统计算机像是一个人在黑暗的房间里一把一把试钥匙，量子计算机则像是几把万能钥匙，可以同时匹配所有锁芯，更高效地逼近正确答案。一旦量子计算机足够强大，攻击者就能从你暴露的公钥中快速算出你的私钥，然后伪造一笔交易，把你的比特币转到他自己名下。这类攻击一旦发生，由于区块链交易的不可逆性，资产将很难追回。

Google的研究与发现

2026年3月31日，Google Quantum AI联合斯坦福大学与以太坊基金会，发布了一份长达57页的白皮书。这篇论文的核心是评估量子计算对椭圆曲线数字签名算法（ECDSA）的具体威胁。大多数区块链和加密货币都使用基于离散对数问题（ECDLP-256）的256位椭圆曲线密码学来保护钱包和交易。研究团队发现，破解ECDLP-256所需的量子资源已经显著减少。

他们设计了一套运行Shor算法的量子电路，专门用于从公钥逆向推导私钥。这套电路需要在特定类型的量子计算机上运行，即超导量子计算架构。这是目前谷歌、IBM等公司主要研发的技术路线，其特点是运算速度快，但需要极低的温度来维持量子比特的稳定。在假设硬件性能符合谷歌旗舰量子处理器标准的前提下，这种攻击可以在几分钟内用不到50万个物理量子比特完成。这一数字比此前的估算降低了约20倍。

为了更直观地评估这一威胁，研究团队进行了破解模拟。他们将上述电路配置代入比特币的真实交易环境，发现一台理论上的量子计算机可以在约9分钟内完成从公开公钥到私钥的逆向推导，成功率约为41%。而比特币的平均出块时间是10分钟。这意味着不止大约32%至35%的比特币供应量因为公钥已经暴露在链上面临被静态攻破的风险，同时攻击者理论上可以在你的交易被确认之前发起半路截胡，抢先转走资金。虽然具备上述能力的量子计算机尚未出现，但是这一发现将量子攻击从“静态资产收割”延伸到了“实时交易拦截”，也引发了市场不小的焦虑。

后量子密码学迁移的重要性

Google在同一时间给出了另一个关键信息：公司将后量子密码学（PQC）迁移的内部截止日期提前到了2029年。简单来说，后量子密码学迁移就是把今天所有依赖RSA和椭圆曲线加密的系统“换锁”，换成量子计算机难以撬动的锁。在谷歌发布这个白皮书文件之前，这本来是一件计划周期很长的工程。此前美国国家标准与技术研究院（NIST）给出的时间线是2030年前弃用旧算法、2035年前完全禁用，行业普遍以为还有十年左右的时间来准备。但Google近期根据自己在量子硬件、量子纠错和量子因数分解资源估算三个方向的最新进展，判断量子威胁比原来以为的更近了，于是把自己内部的迁移deadline大幅提前到2029年。这客观上压缩了整个行业的准备周期，也向加密行业传递了一个信号：量子计算机的进展比预期快，安全升级需要提前搬上日程。

到底需不需要担心

量子计算会不会让整个比特币网络失效？有威胁，但威胁集中在签名安全层面。量子计算并不会直接影响区块链的底层结构，也不会让挖矿机制失效。它真正针对的是数字签名环节。比特币的每一笔交易都需要用私钥签名，以证明资金归属。网络验证的是签名是否正确。量子计算的潜在能力，是在公开公钥之后反推出私钥，从而伪造签名。

这带来两种现实风险。一种是在交易过程中发生的。当发起一笔交易，信息进入网络但尚未被打包进区块时，理论上存在被抢先替换的可能，这类攻击被称为“on-spend attack”。另一种则是针对历史上已经暴露公钥的地址，例如长期未动用或者重复使用地址的钱包，这类攻击时间更充裕，也更容易理解。

但需要强调的是，这些风险并不是对所有比特币或所有用户普遍成立。只有在你发起交易的那几分钟窗口期内，或者你的地址历史上已经暴露过公钥时，才会面临威胁。这不是对整个系统的即时颠覆。

威胁是否会这么快到来？

“9分钟破解”的前提是已经制造出一台拥有50万个物理量子比特的容错量子计算机。而Google目前最先进的Willow芯片仅有105个物理量子比特，IBM的Condor处理器约1,121个，距离50万的门槛还有好几百倍的差距。以太坊基金会研究员Justin Drake给出的估计是，到2032年发生量子破解日（Q-Day）的概率仅为10%。所以这不是迫在眉睫的危机，但也不是可以完全无视的尾部风险。

量子计算最大的威胁是什么？

比特币并不是受影响最大的系统，它只是价值最直观、最容易被公众感知的一个。量子计算带来的挑战是一个更广泛的系统性问题。所有依赖公钥加密的互联网基础设施，包括银行系统、政府通信、安全电子邮件、软件签名、身份认证体系，都将面临同样的威胁。这正是Google、美国国家安全局（NSA）和美国国家标准技术研究所（NIST）等机构在过去十年中持续推动后量子密码学迁移的原因。一旦具备实际攻击能力的量子计算机出现，受到冲击的不会只是加密货币，而是整个数字世界的信任体系。因此，这并不是一个属于比特币的单一风险，而是一次面向全球信息基础设施的系统性升级。

量子挖矿的想象与可行性

在Google发布论文的同一天，BTQ Technologies发表了一篇题为《Kardashev Scale Quantum Computing for Bitcoin Mining》的研究论文，从物理和经济学角度量化了量子挖矿的可行性。论文作者Pierre-Luc Dallaire-Demers从底层硬件到上层算法，对量子挖矿涉及的全部技术环节进行了完整建模，从而估算了用量子计算机挖矿的实际成本。

研究结果发现，即使在最有利的假设下，用量子计算机挖矿仍需要大约10⁸个物理量子比特和10⁴兆瓦的功率，这大约相当于一个大型国家电网的总输出。而在比特币2025年1月的主网难度下，所需资源飙升至约10²³个物理量子比特和10²⁵瓦特，这已经接近一颗恒星的能源输出水平。相比之下，整个比特币网络目前的耗电量约为13-25吉瓦，与量子挖矿所需的能源规模相差不止一个量级。

研究进一步指出，Grover算法的理论加速优势在实际工程中会被各类开销抵消，无法真正转化为挖矿收益。量子挖矿在物理和经济层面都不切实际。

加密货币不会消亡，但需要升级换代

如果说量子计算提出了一个问题，那么行业其实也一直有答案。这个答案就是“后量子密码学”（Post-Quantum Cryptography，PQC），即对量子计算机也具有抵御能力的加密算法。具体技术路径包括引入抗量子签名算法、优化地址结构以减少公钥暴露、以及通过协议升级逐步完成迁移。目前，NIST已完成后量子密码学的标准化制定，其中ML-DSA（基于模块格的数字签名算法，FIPS 204）与SLH-DSA（基于哈希的无状态签名算法，FIPS 205）是两大核心后量子签名方案。

在比特币网络层面，BIP 360（Pay-to-Merkle-Root，简称P2MR）已于2026年初正式纳入比特币改进提案库。它针对的是2021年激活的Taproot升级所引入的一种交易模式。Taproot本意是提升比特币的隐私和效率，但它的“密钥路径花费”功能会在交易时暴露公钥，反而未来可能成为量子攻击的目标。BIP 360的核心思路是移除这条暴露公钥的路径，改变交易结构，让资金转移不再需要展示公钥，从而从源头减少量子风险的敞口。

对于加密货币行业来说，区块链的升级牵涉到链上兼容性、钱包基础设施、地址体系、用户迁移成本以及社区协调等一系列问题，需要协议层、客户端、钱包、交易所、托管机构乃至普通用户共同参与，为整个生态系统更新换锁。但至少整个行业已经对此有了共识，后续推进只是执行落地与时间周期的问题。

标题很唬人，现实没那么急

详细拆解了这些最新进展之后可以发现，事情并没有那么耸人听闻。人类对量子计算的研究固然在加速走向现实，但我们仍拥有充足的应对时间。今天的比特币并不是一个静态系统，而是一个在过去十余年中不断演进的网络。从脚本升级到Taproot，从隐私改进到扩容方案，它一直在变化中寻找安全与效率的平衡。

量子计算所带来的挑战，也许只是下一次升级的理由。量子计算的时钟正在滴答作响。好消息是，我们都听得到它的声音，也来得及做出反应。在这个计算能力不断跃迁的时代，我们需要做的，就是让加密世界的信任机制，始终跑在技术威胁的前面。