量子计算对比特币的威胁：深入分析与应对策略

撰文：Eli Nagar 编译：Block unicorn 在发布第一部分之后，我想看看大家是否对此感兴趣，是否值得深入探讨。读者的反馈让这个决定变得非常容易。所以，第二部分来了。

第五部分：谷歌的重磅消息（2026 年 3 月）

温馨提示：本节内容较为专业。如果你觉得难以理解，以下一个简要总结：

• 谷歌、斯坦福大学及其他机构发表了一篇重要的研究论文，表明攻破比特币加密的难度比我们之前认为的容易 20 倍，而且需要的量子计算单元数量不到 50 万个，而不是数百万个。
• 未来的量子计算机可以在大约 9 分钟内破解一个比特币私钥，这比比特币交易确认所需的大约 10 分钟还要短。这意味着攻击者有可能在比特币交易完成之前，甚至在交易过程中就将其窃取。
• 比特币最新的升级版本 Taproot（2021 年）实际上从量子角度来看使情况变得更糟。它公开了关键信息，让量子攻击者有无限的时间来破解它。
• 大约 690 万枚 BTC（价值数千亿美元）存放在对这类攻击易受影响的地址类型中。
• 谷歌使用一种巧妙的技术（零知识证明）证明了他们的计算是正确的，该技术在不泄露实际攻击蓝图的情况下验证了结果。
• 目前还没有如此强大的量子计算机。但他们认为目标已经向我们拉近了 20 倍，比特币社区现在就需要开始准备了。

还不够吗？那我们继续

在我研究这个主题的时候，谷歌发布了一个重磅消息。

2026 年 3 月 30 日，谷歌量子人工智能团队与斯坦福大学（Dan Boneh）、以太坊基金会（Justin Drake）和加州大学伯克利分校合作，发表了一篇题为《保护椭圆曲线加密货币免受量子漏洞攻击：资源估算与缓解措施》的 57 页论文。我通读了全文。这篇论文从根本上改变了我对这一威胁的理解（当然，这是与之前的假设相比而言）。

这篇论文为何重要

之前的估算表明，破解比特币的加密需要数百万个物理量子比特。而谷歌的这篇论文证明，只需不到 50 万个量子比特即可完成，数量减少了 20 倍。这并不意味着比特币面临迫在眉睫的危险，但意味着危险比社区之前假设的更近。

资源减少 20 倍

论文提出了两种优化的量子电路设计，用于运行 Shor 算法以解决 256 位椭圆曲线离散对数问题 (ECDLP-256)，该数学问题用于保护比特币的签名：

TOFFOLI 门

一种基本的量子逻辑门，可操作三个量子比特。它是量子计算的通用构建模块。电路中 Toffoli 门的数量是衡量计算成本的关键指标，门数越少，执行速度越快，误差累积越少。

为了便于理解，以下是与之前估算的比较：

这种减少来自算法优化，而非硬件进步。研究人员应用了两项关键技术：状态复用（通过复用初始相位估计状态，在一次执行中从公钥导出多个私钥）和除法批处理（并行运行算法的多个实例并合并模除运算，这项技术被称为「蒙哥马利技巧」）。这些改进纯粹是针对 Shor 算法实现方式的数学改进。

9 分钟攻击

这个发现让我震惊不已。在超导量子架构（例如谷歌的 Willow 芯片系列等「快时钟」机器）上，这种攻击大约只需 9 分钟即可完成。

论文对此进行了精确计算：假设控制系统的反应时间为 10 微秒（超导量子比特的标准），并且每个 Toffoli 门有 50% 的开销，那么在超导 CRQC 上，7000 万或 9000 万个 Toffoli 门可以在 18 分钟或 23 分钟内解析完成。然而，算法的前半部分（对所有地址都通用）可以预先计算。从这个「预处理状态」开始，攻击大约需要 9 分钟或 12 分钟，具体时间取决于电路变体。

动态攻击

这种攻击中，量子攻击者等待受害者广播一笔交易（从而暴露公钥），然后争分夺秒地推导出私钥，并在原交易确认前提交一笔与之竞争的欺诈交易。9 分钟攻击使得这种攻击能够有效应对比特币约 10 分钟的区块时间。

静态攻击

这种攻击针对的是公钥已在区块链上公开的加密货币（例如 P2PK、P2TR 和重复使用的地址）。攻击者拥有无限的时间，无需争分夺秒。攻击者可以随时窃取这些加密货币。

Taproot：比我们想象的更糟

作为一名比特币爱好者，我读到这篇文章时感到非常痛心。其中一项最重要的发现与 Taproot (P2TR) 有关，P2TR 是比特币最近一次重大升级（2021 年）。该论文明确指出，P2TR 与 2009 年的原始 P2PK 格式具有相同的漏洞级别。

原因在于：P2TR 将修改后的公钥直接存储在锁定脚本中，而没有使用哈希值进行隐藏。这意味着从收到比特币的那一刻起，公钥就暴露在区块链上，这使得量子攻击者可以无限期地离线攻击 ECDLP。

该论文引用了 BIP-360 的 P2MR（Pay-to-Merkle-Root，支付给 Merkle 根）提案作为潜在的解决方案，本质上是在 P2TR 的基础上移除了存在量子漏洞的密钥路径支出。P2MR 保留了 Taproot 的诸多优点，同时避免了重新引入静态攻击漏洞。

690 万枚 BTC 面临风险

该论文利用 bigquery-public-data.crypto_bitcoin 数据库中的数据计算得出，所有协议类型中约有 690 万枚比特币存在漏洞。这一数字远高于之前普遍引用的 400 万至 500 万枚比特币，主要原因是 Taproot 的输出现在也被纳入了漏洞范围。

论文指出了公钥暴露的四种不同方式：

• 弱地址漏洞，锁定脚本直接泄露公钥（P2PK、P2TR、P2MS）。
• 地址复用漏洞，过去花费交易中的解锁脚本泄露公钥。
• 公共内存池暴露，交易在等待确认期间公钥可见。
• 链下暴露，公钥被共享到其他地方（交易所、区块链浏览器、链下记录）。

快时钟 vs. 慢时钟场景

论文对两种类型的量子计算机进行了关键区分，这两种类型对攻击何时以及如何变得可行有着截然不同的影响：

场景 2 可能先到来

论文指出，慢时钟架构可能比快时钟架构更早达到所需的量子比特数量，因为它们在规模化方面可能面临的工程挑战更少。如果真是如此，静态攻击将比动态攻击更容易发生，从而为社区提供一个短暂的窗口期，在此期间只有已泄露的密钥面临风险。然而，该论文警告说：「32 位 ECDLP 被破解与 256 位 ECDLP 被破解之间的时间间隔可能很短」，这意味着一旦破解开始，进展速度可能会非常快。

休眠资产和「数字打捞」

我发现论文中最引人深思的部分是第八节，它探讨了一个最具政治敏感性的问题：休眠资产，即由丢失密钥、已故所有者或废弃钱包持有的比特币，将如何处理？

论文估计，大约有 230 万枚比特币存储在休眠的 P2PK 地址（至少 5 年未使用）中，这些比特币可以通过量子计算机「收割」。他们利用自己的模拟表明，一台高速 CRQC 可以从单个最大的钱包中积累约 2000 枚比特币，并在数天到数月内处理数十万个地址。

论文概述了正在讨论的三种社区方案：

论文还提出了第四种方案：「坏账侧链」，即一个专门用于恢复的侧链（类似于传统金融中的「坏账银行」），CRQC 运营商会将恢复的休眠资产发送到该侧链。该侧链将实施相关流程，通过链下所有权证明来识别真正的所有者并归还资产，同时控制资产重新投放的速度，以防止市场混乱。

数字打捞

论文提出的一种法律框架，借鉴了现有的遗弃财产法（例如海上打捞和美国修订版《统一无人认领财产法》）。在该框架下，量子回收的休眠代币将被视为「打捞」财产，并采用法律程序来识别合法所有者并管理收益，类似于清算机构处理银行破产资产的方式。

第六部分：拟议的解决方案

好了，所以威胁是真实的。接下来我想回答的问题是：我们正在采取哪些措施来应对？比特币社区提出了几种方案，每种方案都涉及安全性、实用性和修改比特币规则的难度之间的权衡。

后量子签名方案

后量子密码学 (PQC) 旨在抵御经典计算机和量子计算机攻击的密码算法。与现有算法（如 RSA、ECDSA）不同，这些算法基于量子计算机无法高效解决的数学难题。2024 年 8 月，美国国家标准与技术研究院 (NIST) 最终确定了其首个 PQC 标准。

有几种 PQC 签名方案可能取代比特币中的 ECDSA：

BIP-360：QuBit 软分叉 BIP（比特币改进提案）

这是正式提出比特币变更的流程。任何人都可以撰写 BIP，但只有当社区达成共识并被矿工 / 节点采纳后，它才能成为比特币的一部分。重大变更（例如添加新的签名方案）被称为「软分叉」，它们会收紧规则，使旧软件仍然能够运行，同时提供新功能。

软分叉

这是对比特币规则的一种向后兼容的变更。旧节点仍然会接受所有新区块作为有效区块；它们只是无法理解新功能。这比「硬分叉」（会强制所有人升级或分裂网络）造成的破坏更小。

BIP-360 由 Hunter Beast 于 2024 年年中提出，是目前最具体的为比特币添加量子抗性的提案。它引入了：

• 一种名为 P2QRH（Pay-to-Quantum-Resistant-Hash，支付到量子抗性哈希）的新输出类型，作为 SegWit 版本 3 算法灵活性，一个版本字节让网络支持多种 PQC 算法，因此即使一种算法失效，也可以使用其他算法
• 设计为软分叉以实现向后兼容

提交 - 揭示方案

一种临时防御机制，可以在交易广播窗口期间保护免受量子攻击：

局限性

提交 - 揭示方案可以保护花费窗口，但对于公钥已永久暴露在链上的币（P2PK 输出、复用地址）则无济于事。对于这些币，攻击者无需捕获正在进行的交易，即可随时发起攻击。

冻结易受攻击的输出

最具争议的提案：一种软分叉，使暴露的 P2PK 输出中的币无法花费，除非所有者通过抗量子方法证明其所有权。这将保护那些丢失了私钥的比特币所有者免受量子攻击者的窃取。

第七部分：QSB - 无需软分叉的量子安全比特币

正是这个提案让我开始深入研究。上周，StarkWare 的首席产品官 Avihu Levy 提出了 QSB（量子安全比特币）方案，该方案仅使用比特币现有的规则即可实现抗量子攻击的比特币交易。无需软分叉，无需社区共识，也无需更改协议。

最初听到这个方案时，我持怀疑态度。但随着我深入研究，我越来越印象深刻。这与 BIP-360 有着本质的区别。QSB 不是通过修改比特币的规则来添加新的签名类型，而是巧妙地利用比特币现有脚本语言的特性，从原本并非为此目的而设计的部分构建出抗量子攻击的能力。

密钥库：Quantum-Safe-Bitcoin-Transactions（github）

核心洞察：哈希到签名的难题

QSB 的构建基于一个令人惊讶的观察。比特币使用哈希函数（一种单向数学运算工具，将数据转换成固定大小的「指纹」）和数字签名（证明你拥有私钥的凭证）。通常情况下，这两者是分开的。QSB 的诀窍在于使一个函数的输出看起来像另一个函数。

因此，QSB 使用 GPU（强大的显卡）搜索数万亿个候选结果，直到找到一个组合，使得比特币自身的验证系统接受该哈希输出作为有效的签名。安全性不再依赖于量子计算机可以破解的「锁钥」数学运算。相反，它依赖于哈希运算的不可逆性，而量子计算机对此无能为力。

工作原理：三个阶段

花费一笔 QSB 交易分为三个步骤。每一步都涉及大量的计算，本质上是要尝试数十亿种组合，直到找到合适的组合为止，就像一把拥有数万亿种可能性的密码锁：

• 锁定（Pinning）：首先，系统会搜索特定的交易参数组合，将付款锁定到特定的目的地。可以把它想象成一个密封严实的信封，即使是量子攻击者也无法在不破坏封条的情况下更改收款人姓名。这需要尝试大约 70 万亿种组合。
• 证明所有权（摘要轮，x2）：交易脚本包含 150 个预先提交的密钥（经过哈希处理，因此是隐藏的）。为了证明所有权，付款人需要揭示这些密钥的特定子集，该子集是通过解决另一个哈希难题来选择的。这就是真正的量子安全「签名」：攻击者需要从数万亿种可能性中猜出正确的子集，而量子计算机在这里没有捷径可走。为了提高安全性，此步骤会运行两次。
• 整合所有信息（组装）：一旦 GPU 集群找到所有三个谜题的有效解决方案，所有者的安全设备（如硬件钱包）就会组装最终交易并将其广播到网络。

安全性和成本

关于 QSB 安全性的最重要一点是：Shor 算法（威胁比特币的量子攻击）对它毫无优势。整个方案都建立在哈希函数之上，而量子计算机无法有效地破解哈希函数。即使是 Grover 算法（另一种可以部分加速哈希运算的量子技术），其安全性也远远高于任何实际可攻击的级别。

至于成本：完成一笔 QSB 交易所需的 GPU 计算费用约为 75 至 150 美元（推荐配置，租用云端 GPU 时间）。较轻的配置费用约为 40 至 80 美元。计算可以分配到任意数量的 GPU 上，GPU 越多，速度越快，类似于比特币挖矿的工作原理。

局限性

QSB 仅适用于旧式比特币交易。它依赖于名为 FindAndDelete 的旧版功能，该功能已在 2017 年比特币的 SegWit 升级中移除。它无法保护现代地址格式（SegWit、Taproot）的比特币，仅支持旧式的 P2SH 格式。

无法通过常规网络发送。常规比特币节点会将 QSB 交易视为非标准交易而拒绝。它们必须直接提交给愿意接受它们的矿池。

成本高昂且复杂。每笔交易需要 75 至 150 美元的 GPU 成本，此外，你还需要在安全设备上管理特殊密钥并与矿工协调。这与「扫描并发送」相去甚远。

突破比特币的限制。推荐的设置正好使用 201 个操作码（比特币允许的绝对最大值），并且几乎达到了 10,000 字节的脚本限制。没有空间添加其他功能。它也不支持闪电网络（比特币的快速支付层）。

无法找回丢失的代币。与其他所有提案一样，QSB 要求用户主动转移代币。如果你丢失了密钥（例如中本聪的代币），它们仍然容易受到攻击。

早期阶段。截至 2026 年 4 月，GPU 搜索引擎已实现并经过演示，但端到端交易组装和链上广播尚未完成。

第八部分：解决方案比较

在研究了所有这些提案之后，我想将它们并排对比一下。以下是我整理的对比表：

第九部分：时间线与结论

在完成所有这些研究之后，以下是我对时间线的理解。它并不像我开始撰写本文时预期的那样清晰。

我从这一切中得到的启示

• 威胁是真实存在的，而且比之前预想的更近。谷歌在 2026 年 3 月发表的论文将所需的物理量子比特数量减少了 20 倍，降至 50 万以下。目前的硬件容量比预期少了约 500 倍，而不是之前认为的 10,000 倍。谷歌估计，到 2032 年出现「量子日」的概率为 10%。
• SHA-256 挖矿是安全的。Grover 的算法不会对比特币的工作量证明构成实际威胁。真正的危险在于签名，而非挖矿本身。
• 约 690 万枚比特币面临风险（约占总供应量的 35%），因为它们的公钥已被泄露。这其中包括中本聪通过 P2PK 输出的约 170 万枚比特币，以及 Taproot (P2TR) 输出中不断增长的比特币数量。谷歌的论文指出，Taproot (P2TR) 与 P2PK 具有相同的漏洞级别。
• Taproot 是一次量子安全倒退。
• P2TR 与 P2PK 类似，会将公钥暴露在链上，并且在 2025 年占所有比特币交易的 21.68%。
• 在快速时钟的 CRQC 上，9 分钟攻击是可行的，这意味着在单个比特币区块间隔内，有大约 41% 的概率可以推导出私钥。这意味着针对所有交易类型的在花费攻击都将成为现实。
• BIP-360 是最全面的长期解决方案，但它需要社区共识和多年的部署时间。
• QSB 是一项卓越的技术成就，它是一种在比特币现有规则下运行的量子安全方案。由于其成本、复杂性和脚本限制，它只能作为一种紧急逃生方案，而非通用解决方案。
• 现在是时候采取行动了。谷歌的论文明确敦促所有易受攻击的加密货币社区「立即加入向 PQC 的迁移」。比特币的治理速度缓慢，Taproot 从提案到激活用了大约 4 年时间。量子抗性升级可能需要更长时间，而且窗口期可能比预期的要短。

当我开始这项研究时，我原本以为会得出「没关系，我们还有几十年时间」的结论。但现在我不能这么说了。作为一名比特币爱好者，我认为社区需要认真对待这个问题，不是恐慌，而是像比特币迄今为止应对所有挑战那样，保持清醒务实的态度。

如果这篇文章帮助你更好地理解了量子威胁，请分享它。越多的比特币爱好者真正理解这个问题，我们共同解决问题的机会就越大。