比特币首个量子安全分叉已启动:为何 665 万枚 BTC 面临生存威胁
中本聪(Satoshi Nakamoto)的比特币钱包估计持有 110 万枚 BTC,价值超过 1,000 亿美元。这些代币中的每一枚都位于公钥永久暴露的地址中——这使其成为量子计算时代加密货币行业最有价值的“蜜罐”。2026 年 1 月 12 日,恰逢比特币创世区块诞生 17 周年,一家名为 BTQ Technologies 的公司推出了首个符合 NIST 标准的比特币抗量子分叉。保护 2 万亿美元数字资产免受量子湮灭的竞赛正式开启。
无人愿谈的 2 万亿美元漏洞
这里有一个会让每位比特币持有者感到恐惧的统计数据:根据 Delphi Digital 的全面分析,约 665 万枚 BTC——占总流通供应量的近 32%——由于其在区块链上永久暴露的公钥,正面临直接的量�子风险。
这并非遥远未来的理论担忧。这些脆弱的代币可分为两类:
丢失且无法移动(172 万枚 BTC): 这包括中本聪传奇般的 110 万枚 BTC 储备、早期的矿工奖励,以及发送到私钥已丢失地址的代币。由于无人能签署迁移交易,这些代币无法迁移到抗量子地址。当量子计算机到来时,它们将变成任何人都可领取的“无主之财”。
可移动但依然脆弱(449 万枚 BTC): 这些属于犯下关键错误的用户的资产:地址重用。每次在同一地址接收比特币并从中消费时,你的公钥就会永久暴露在区块链上。约 400 多亿美元的比特币存放在这些重用的地址中,等待所有者在为时已晚之前迁移到全新的、未暴露的地址。
漏洞存在的原因是比特币最初的 Pay-to-Public-Key (P2PK) 格式——在比特币早期被广泛使用——会直接在区块链上暴露公钥。现代的 Pay-to-Public-Key-Hash (P2PKH) 地址在消费之前会隐藏公钥,但一旦进行转账,公钥就会永久公开。区块链永不遗忘。
谷歌的量子飞跃:比你想象的更近
谷歌于 2024 年 12 月推出的 Willow 量子芯片在 2 小时内完成了一项世界上最快的超级计算机需要 3.2 年才能完成的计算。2025 年 10 月,谷歌的 Quantum Echoes 算法在硬件上首次展示了可验证的量子优势,其运行速度比最佳经典算法快 13,000 倍。
目前,Willow 拥有 105 个物理量子比特(qubits)。使用 Shor 算法破解比特币的椭圆曲线密码学 (ECDSA) 需要约 2,330 个稳定的逻辑量子比特——考虑到目前的错误率,这相当于需要超过 100 万个物理量子比特。
密码学相关的量子计算机 (CRQCs) 的时间表仍不确定。著名的比特币安全研究员 Jameson Lopp 估计,至少还需要十年的时间,这种可能性“大于 50%”。但微软的 Majorana 1 拓扑量子比特处理器(2025 年 2 月)以及行业制定的到 2030 年实现 100 万个量子比特的路线图,大大缩短了这些时间表。
真正的危险并非量子计算机明天就会突然攻克比特币。而是一种被称为“现在收获,稍后解密”(Harvest Now, Decrypt Later)的策略。对手——包括国家级参与者——已经在收集区块链数据和暴露的公钥,存储起来以便未来量子计算机具备能力时进行解密。美联储的一项研究已将其归类为“主动威胁”。比特币不可篡改、公开的账本使其成为了完美的“收获”目标:从 2009 年至今的每一个暴露的公钥,都永久可供未来的量子攻击使用。
BTQ Technologies:首个抗量子比特币分叉
2026 年 1 月 12 日,BTQ Technologies(纳斯达克股票代码:BTQ)启动了 Bitcoin Quantum 测试网——这是一个无需许可、符合 NIST 标准的抗量子分叉,它将比特币脆弱的 ECDSA 签名替换为 ML-DSA(基于模块格的数字签名算法,原名 CRYSTALS-Dilithium)。
这不仅仅是另一个山寨币分叉。它是第一个可投入生产的演示,证明了比特币的密码学基础可以升级,以在量子时代幸存。
ML-DSA 有何不同?
ML-DSA 是美国国家标准与技术研究院 (NIST) 在经过八年评估后,于 2024 年 8 月最终确定的三个后量子密码学标准之一。根据 NSM-10(第 10 号国家安全备忘录),现在所有美国国家安全系统都强制执行该标准,联邦机构必须在 2035 年前迁移到后量子密码学。
该算法基于格密码学 (lattice cryptography)——这种数学问题即使对于量子计算机来说也具有极高的计算难度。与依赖离散对数问题(Shor 算法可以有效解决)难度的 ECDSA 不同,格问题目前没有已知的量子快捷方式。
技术权衡
这里有一个陷阱:后量子签名的体积要大得多。ML-DSA 签名大约比 ECDSA 签名大 200 倍。这意味着:
- 区块传播变慢: 更大的签名在网络中传输需要更长的时间
- 更高的交易费用: 每笔交易的数据量更多意味着成本更高
- 吞吐量降低: 每个区块中能容纳的交易数量更少
这正是比特币尚未升级的原因。比特币加密原语的任何更改都需要矿工、节点运营商、开发者和用户之间达成压倒性的共识。它还需要硬分叉 —— 一种会创建新的、不兼容的区块链的拆分。
测试网开放且无许可
Bitcoin Quantum 的测试网邀请四种角色参与:
- 矿工: 运行节点、挖掘区块并发送量子安全交易
- 开发者: 构建界面、工具和矿池
- 研究人员: 审计 ML-DSA 实现、基准测试性能并探索攻击模型
- 用户: 在真实环境中测试量子安全交易
Delphi Digital 已将 Bitcoin Quantum 确定为“量子金丝雀”网络 —— 一个证明后量子比特币可行性的预警系统,并提供有关所涉及权衡的真实数据。
机构的觉醒
量子威胁已从学术论文转移到 SEC 文件中。贝莱德 (BlackRock)、VanEck 和其他主要资产管理公司现在在其比特币 ETF 招股说明书中明确披露了量子风险,涵盖了超过 700 亿美元的持有资产。这并非监管演戏 —— 而是承认威胁已重大到足以向投资者披露的程度。
机构的反应包括:
贝莱德比特币 ETF 风险披露: “量子计算的发展可能……损害区块链的安全性。”
美国政府指令: 联邦机构必须在 2035 年之前迁移到后量子密码学。在受监管框架内运营的比特币机构可能会面临类似的要求。
保险和托管的影响: 随着量子时间线的缩短,保险公司和托管机构开始在风险模型中评估量子漏洞。暴露地址中的代币最终可能会面临更高的保费或降低的承保范围。
比特币持有者现在该怎么办?
对于个人比特币持有者来说,行动项目非常明确:
1. 立即停止重复使用地址
每当你向一个地址接收比特币然后从中消费时,你的公钥就会永久暴露。每笔交易都使用一个新的接收地址。大多数现代钱包会自动执行此操作,但请务必核实你的设置。
2. 从旧有的 P2PK 地址迁移
如果你持有的比特币存储在 2011 年之前且使用 P2PK 格式的地址中,无论你是否消费过,你的公钥都已经被暴露。请立即迁移到现代的 P2PKH 或 P2WPKH (SegWit) 地址。
3. 不要惊慌,但要计划
量子威胁并非迫在眉睫,但“现在收集,稍后解密” (Harvest Now, Decrypt Later) 的窗口正在关闭。你今天暴露的代币将永远处于脆弱状态。将地址卫生视为基本的安全实践,而非偏执的准备。
4. 关注 Bitcoin Quantum ��测试网
如果你偏向技术,可以参与 BTQ 的测试网。从该实验中收集的数据将为比特币最终的主网迁移策略提供参考。
冻结提案:一个有争议的解决方案
2025 年 7 月,包括 Jameson Lopp 在内的比特币开发者共同起草了一份提案草案,该提案将冻结易受量子攻击的旧地址中的代币 —— 包括中本聪 (Satoshi Nakamoto) 的钱包。该提案引入了带有截止日期的阶段性软分叉:将你的代币迁移到量子安全地址,否则它们将变得无法使用。
这极具争议。冻结代币违背了比特币不可篡改和抗审查的核心原则。然而,支持者认为,允许量子易感代币被盗对网络的危害比先发制人地使它们无法使用更大。
这场辩论集中体现了一种根本性的紧张关系:是损失 665 万 BTC 给量子盗贼(包括中本聪的代币可能涌入市场)更好,还是先发制人地冻结它们以维护剩余供应的完整性更好?
目前还没有达成共识的答案,任何实施都需要社区的压倒性同意。
底线
比特币的量子漏洞不是一个可以悄悄修复的 Bug。它是对支撑整个网络的加密假设的根本挑战。BTQ Technologies 的测试网代表了展�示可行迁移路径的首次认真尝试。
关键要点:
- 665 万 BTC (供应量的 32%) 因公钥暴露而面临量子风险
- ML-DSA (NIST 标准化的后量子密码学) 现已证明可与比特币协同工作
- 权衡 是 200 倍大的签名、更慢的交易和更高的费用
- 加密相关量子计算机的时间线 尚不确定,但正在加速
- “现在收集,稍后解密” 意味着今天暴露的密钥将永远脆弱
比特币将在量子时代生存下来 —— 但并非没有重大变化。问题在于,社区能否在量子计算机迫使问题爆发之前,就这些变化达成共识。
时钟正在滴答作响。与大多数技术倒计时不同,没有人确切知道它何时归零。
随着区块链安全不断演进以应对量子威胁,可靠的基础设施变得比以往任何时候都更加关键。BlockEden.xyz 为构建下一代安全区块链应用的开发者提供企业级 API 端点和节点基础设施。探索我们的 API 市场,在为长期发展而设计的基石上进行构建。