量子计算 vs 比特币:时间线、威胁及持币者须知
Google 的 Willow 量子芯片可以在五分钟内解决传统超级计算机需要 10 𥝱(septillion,即 10 的 24 次方)年才能完成的任务。与此同时,价值 7180 亿美元的比特币存放在量子计算机理论上可以破解的地址中。你应该感到恐慌吗?还不用——但时钟正在滴答作响。
比特币面临的量子威胁不是“是否”会发生的问题,而是“何时”发生的问题。随着我们进入 2026 年,对话已从不屑一顾的怀疑转向了认真的准备。以下是每位比特币持有者需要了解的时间线、实际漏洞以及已经在开发中的解决方案。
量子威胁:解析数学原理
比特币的安全性建立在两个加密支柱之上:用于交易签名的椭圆曲线数字签名算法 (ECDSA) 和用于挖矿及地址哈希的 SHA-256。两者面临不同程度的量子风险。
Shor 算法,在足够强大的量子计算机上运行,可以从公钥推导出私钥——从而有效地撬开任何公钥已暴露的比特币地址。这是生存威胁。
Grover 算法 为哈希函数的暴力破解提供二次加速,将 SHA-256 的有效强度从 256 位降低到 128 位。这令人担忧,但并非立即致命——128 位的安全性依然非常强大。
关键问题:针对比特币运行 Shor 算法需要多少个量子比特?
估算差异巨大:
- 保守估计:2,330 个稳定的逻辑量子比特理论上可以破解 ECDSA
- 实际情况:由于纠错需求,这需要 100 万至 1,300 万个物理量子比特
- 萨塞克斯大学估算:1,300 万个量子比特在一天内破解比特币加密
- 最激进估算:3.17 亿个物理量子比特在一小时内破解 256 位 ECDSA 密钥
Google 的 Willow 芯片拥有 105 个量子比特。105 与 1,300 万之间的巨大差距解释了为什么专家们目前并没有感到恐慌。
现状:2026 年的现实检查
2026 年初的量子计算格局如下:
目前的量子计算机正跨越 1,500 个物理量子比特的门槛,但错误率依然很高。大约需要 1,000 个物理量子比特才能创建一个稳定的逻辑量子比特。即使有 AI 辅助的激进优化,在 12 个月内从 1,500 个跃升至数百万个量子比特在物理上也是不可能的。
专家的时间线预测:
| 来源 | 估算 |
|---|---|
| Adam Back (Blockstream CEO) | 20-40 年 |
| Michele Mosca (滑铁卢大学) | 到 2026 年有 1/7 的机会发生根本性的加密突破 |
| 行业共识 | 具备破解比特币的能力需要 10-30 年 |
| 美国联邦指令 | 到 2035 年逐步淘汰 ECDSA |
| IBM 路线图 | 到 2029 年达到 500-1,000 个逻辑量子比特 |
2026 年的共识:今年不会出现量子末日。然而,正如一位分析师所言,“量子计算在 2026 年成为加密安全意识中顶级风险因素的可能性很高。”
7180 亿美元的漏洞:哪些比特币面临风险?
并非所有比特币地址都面临同等的量子风险。漏洞完全取决于公钥是否已在区块链上公开。
高风险地址 (P2PK - Pay to Public Key):
- 公钥直接在链上可见
- 包括比特币早期(2009-2010 年)的所有地址
- 中本聪估算的 110 万枚 BTC 属于此类
- 总暴露量:约 400 万枚 BTC(占总供应量的 20%)
低风险地址 (P2PKH, P2SH, SegWit, Taproot):
- 公钥经过哈希处理,仅在花费时显现
- 只要你从不重复使用花费后的地址,公钥就始终保持隐藏
- 现代钱包的最佳实践自然地提供了一些量子抗性
关键洞察:如果你从未从某个地址发送过资金,你的公钥就不会暴露。一旦你花费并重复使用该地址,你就会变得脆弱。
中本聪的代��币呈现出一个独特的难题。 那些存放于 P2PK 地址中的 110 万枚 BTC 无法转移到更安全的格式——因为转移需要私钥对交易进行签名,而我们没有证据表明中本聪能够或将会这样做。如果量子计算机达到足够的性能,这些代币将成为全球最大的加密赏金。
“现在收集,以后解密”:阴影下的威胁
即便量子计算机今天无法破解比特币,对手可能已经在为明天做准备。
“现在收集,以后解密” (Harvest Now, Decrypt Later) 策略涉及现在从区块链收集暴露的公钥并存储,等待量子计算机成熟。当 Q-Day 到来时,拥有公钥档案的攻击者可以立即掏空脆弱的钱包。
国家级参与者和复杂的犯罪组织很可能已经在实施这一策略。今天在链上暴露的每一个公钥都可能成为 5-15 年后的潜在目标。
这创造了一个令人不安的现实:对于任何已暴露的公钥,安全时钟可能已经开始滴答作响。
正在开发中的解决方案:BIP 360 与后量子密码学
比特币开发者社区并没有坐以待毙。多种解决方案正在开发和标准化进程中。
BIP 360:支付至量子抗性哈希 (P2TSH)
BIP 360 提议一种量子抗性的 Tapscript 原生输出类型,作为迈向量子安全比特币的关键“第一步”。该提案概述了三种量子抗性签名方法,能够在不破坏网络效率的情况下实现逐步迁移。
到 2026 年,倡导者希望看到 P2TSH 的广泛采用,允许用户主动将资金迁移到量子安全地址。
NIST 标准化的后量子算法
截至 2025 年,NIST 已最终确定了三项后量子密码学标准:
- FIPS 203 (ML-KEM):密钥封装机制
- FIPS 204 (ML-DSA/Dilithium):数字签名(基于格)
- FIPS 205 (SLH-DSA/SPHINCS+):基于哈希的签名
BTQ Technologies 已经演示了一个使用 ML-DSA 替代 ECDSA 签名的比特币运行实现。他们的 Bitcoin Quantum Core Release 0.2 证明了迁移在技术上的可行性。
权衡挑战
像 Dilithium 这样基于格(Lattice-based)的签名比 ECDSA 签名大得多——可能大 10 到 50 倍。这将直接影响区块容量和交易吞吐量。一个具备量子抗性的比特币每个区块处理的交易可能会减少,从而导致手续费上涨,并可能将较小的交易推向链下。
比特币持有者现在该做什么
量子威胁虽然真实存在,但并非迫在眉睫。以下是针对不同类型持有者的实用建议框架:
对于所有持有者:
- 避免地址复用:永远不要向你已经花费过资金的地址发送比特币
- 使用现代地址格式:SegWit (bc1q) 或 Taproot (bc1p) 地址会对你的公钥进行哈希处理
- 关注动态:跟踪 BIP 360 的开发进度和 Bitcoin Core 的发布版本
对于大额持有者 (>1 BTC):
- 审计你的地址:使用区块浏览器检查是否有任何资产存储在 P2PK 格式中
- 考虑更新冷存储:定期将资金转移到新地址
- 记录你的迁移计划:了解当量子安全选项成为标准时,你将如何转移资金
对于机构持有者:
- 将量子风险纳入安全评估:贝莱德 (BlackRock) 在其 2025 年的比特币 ETF 申请文件中增加了量子计算警告
- 监测 NIST 标准和 BIP 进展:为未来的迁移成本编制预算
- 评估托管服务商:确保他们拥有量子迁移路线图
治理挑战:比特币独特的脆弱性
与以太坊通过以太坊基金会拥有更集中的升级路径不同,比特币的升级需要广泛的社会共识。没有中央机构可以强制执行后量子迁移。
这带来了几个挑战:
丢失和遗弃的代币无法迁移。 据估计,有 300 万到 400 万枚 BTC 永久丢失。这些代币将无限期地处于量子脆弱状态,一旦量子攻击变得可行,就会形成一个潜在的可被盗取的比特币池。
中本聪的代币引发了哲学问题。 社区是否应该先发制人地冻结中本聪的 P2PK 地址?Ava Labs 首席执行官 Emin Gün Sirer 曾提议这样做,但这将从根本上挑战比特币的不可篡改性原则。通过硬分叉来冻结特定地址会开启一个危险的先例。
协调需要时间。 研究表明,执行全面的网络升级(包括迁移所有活跃钱包)在乐观情况下可能需要至少 76 天的专门链上努力。在实际操作中,随着网络的持续运行,迁移可能需要数月甚至数年的时间。
中本聪 (Satoshi Nakamoto) 预见到了这种可能性。在 2010 年的一篇 BitcoinTalk 帖子中,他写道:“如果 SHA-256 被完全攻破,我认为我们可以在问题开始前就诚实的区块链达成某种协议,将其锁定,然后使用新的哈希函数继续运行。”
问题在于,社区能否在威胁实现之前,而不是之后,达成这种协议。
底线:紧迫但不恐慌
能够破解比特币的量子计算机可能还需要 10 到 30 年的时间。目前的直接威胁较低。然而,缺乏准备的后果是灾难性的,而且迁移需要时间。
加密行业的反应应与威胁相匹配:深思熟虑、技术严谨且主动出击,而非被动反应。
对于个人持有者来说,行动项目非常明确:使用现代地址格式,避免复用,并关注动态。对于比特币生态系统而言,未来五年是实施和测试量子抗性解决方案的关键期,必须未雨绸缪。
量子时钟正在滴答作响。比特币还有时间——但并不是无限的时间——去适应。
BlockEden.xyz 在 25 多个网络中提供企业级区块链基础设施。随着加密行业为量子时代做准备,我们致力于支持优先考虑长期安�全的协议。探索我们的 API 服务,在为未来挑战做好准备的网络上进行构建。