量子迁移问题:为什么你的比特币地址在一次交易后就会变得不安全
当你签署一笔比特币交易时,你的公钥就会永久地在区块链上可见。15 年来,这并不重要——保护比特币的 ECDSA 加密在计算上是经典计算机无法破解的。但量子计算机改变了一切。一旦拥有足够强大能力的量子计算机出现(Q-Day),它可以在几小时内从你暴露的公钥中重构出你的私钥,从而掏空你的地址。被低估的 Q-Day 问题不仅仅是“升级加密”。关键在于,已签署过交易的地址中存有的 665 万枚 BTC 已经处于风险之中,而且其迁移难度比升级企业 IT 系统要大得多。
以太坊基金会设立的 200 万美元后量子研究奖金,以及 2026 年 1 月成立的专门 PQ 团队,标志着“最高战略优先级”地位的确立。这并非未来的规划——而是紧急备战。Project Eleven 专门为后量子加密安全筹集了 2000 万美元。Coinbase 成立了后量子顾问委员会。与 Q-Day 的赛跑已经开始,区块链面临着传统系统所不具备的独特挑战:不可篡改的历史、分布式协作,以及存放在公钥已暴露地址中的 665 万枚 BTC。
公钥暴露问题:为什么你的地址在签名后会变得脆弱
比特币的安全依赖于一种基础的不对称性:从私钥派生公钥很容易,但逆向推导在计算上是不可能的。你的比特币地址是公钥的哈希值,这提供了额外的一层保护。只要你的公钥保持隐藏,攻击者就无法针对你的特定密钥。
然而,一旦你签署一笔交易,你的公钥就会在区块链上变得可见。这是不可避免的——签名验证需要公钥。对于接收资金,你的地址(公钥的哈希值)就足够了。但支出资金则需要揭示公钥。
经典计算机无法利用这种暴露。破解 ECDSA-256(比特币的签名方案)需要解决离散对数问题,估计需要 2^128 次运算——即使是运行数千年的超级计算机也无法实现。
量子计算机打破了这一假设。Shor 算法在具有足够量子比特和纠错能力的量子计算机上运行,可以在多项式时间内解决离散对数问题。据估计,一台拥有约 1,500 个逻辑量子比特的量子计算机可以在几小时内破解 ECDSA-256。
这创造了一个关键的脆弱性窗口:一旦你从一个地址签署了交易,该公钥就会永远暴露在链上。如果以后出现了量子计算机,所有先前暴露的密钥都将变得脆弱。存放在已签署交易地址中的 665 万枚 BTC 正伴随着永久暴露的公钥,等待着 Q-Day 的到来。
没有交易历史的新地址在首次使用前仍然是安全的,因为它们的公钥尚未暴露。但遗留地址——中本聪的代币、早期采用者的持有量、以及签署过交易的交易所冷钱包——都是滴答作响的定时炸弹。
为什么区块链迁移比传统加密升级更难
传统的 IT 系统也面临量子威胁。银行、政府和企业使用的加密技术都容易受到量子攻击。但它们的迁移路径是直接的:升级加密算法、轮换密钥并重新加密数据。虽然昂贵且复杂,但在技术上是可行的。
区块链迁移面临着独特的挑战:
不可篡改性:区块链历史是永久性的。你无法追溯性地更改过去的交易来隐藏已暴露的公钥。一旦泄露,它们就会在成千上万个节点中永远泄露。
分布式协作:区块链缺乏强制执行升级的中央机构。比特币的共识需要矿工、节点和用户的多数同意。为后量子迁移协调一次硬分叉在政治和技术上都非常复杂。
向后兼容性:在过渡期间,新的后量子地址必须与遗留地址并存。这导致了协议的复杂性——两种签名方案、双重地址格式、混合模式交易验证。
丢失的密钥和非活跃用户:数百万枚 BTC 存放于那些丢失密钥、已故或多年前放弃加密货币的人所拥有的地址中。这些代币无法自愿迁移。它们是应该保持脆弱状态,还是由协议强制迁移(这可能面临破坏访问权限的风险)?
交易规模和成本:后量子签名比 ECDSA 大得多。根据方案的不同,签名大小可能会从 65 字节增加到 2,500 字节��以上。这会使交易数据膨胀,提高手续费并限制吞吐量。
算法选择的共识:该选择哪种后量子算法?NIST 标准化了多种算法,但每种都有权衡。如果选错了,可能意味着以后需要重新迁移。区块链必须押注于那些在未来几十年内依然安全的算法。
以太坊基金会的 200 万美元研究奖金正针对这些确切的问题:如何在不破坏网络、不失去向后兼容性、或不因签名冗余导致区块链无法使用的情况下,将以太坊迁移到后量子加密技术。
665 万 BTC 问题:暴露地址会面临什么?
截至 2026 年,约有 665 万 BTC 存放于签署过至少一次交易的地址中,这意味着它们的公钥已经暴露。这占比特币总供应量的约 30%,其中包括:
中本聪的代币:由比特币创建者开采的约 100 万 BTC 仍未移动。这些地址中的许多从未签署过交易,但其他地址因早期交易而暴露了密钥。
早期采用者的持有量:数以千计的 BTC 由早期矿工和采用者持有,他们在每枚代币仅值几美分时积累了这些资产。许多地址处于休眠状态,但拥有历史交易签名。
交易所冷存储:交易所将数百万 BTC 存放在冷存储中。虽然最佳实践是轮换地址,但传统的冷钱包往往因过去的整合交易而暴露了公钥。
丢失的代币:据估计有 300 万至 400 万 BTC 已丢失(所有者去世、私钥遗忘、硬盘被丢弃)。这些地址中的许多都具有暴露的密钥。
在 Q-Day 发生时,这些代币会怎样?有几种可能的情况:
方案 1 - 强制迁移:通过硬分叉授权在截止日期前将代币从旧地址移动到新的后量子地址。未迁移的代币将变得无法消费。这会“销毁”丢失的代币,但能保护网络免受量子攻击耗尽国库。
方案 2 - 自愿迁移:用户自愿迁移,但暴露的地址仍然有效。风险:量子攻击者在所有者迁移之前耗尽易受攻击的地址。这会引发“迁移竞赛”的恐慌。
方案 3 - 混合方法:引入后量子地址,但无限期保持向后兼容性。接受易受攻击的地址最终将在 Q-Day 后被耗尽,将其视为自然选择。
方案 4 - 紧急冻结:在检测到量子攻击时,通过紧急硬分叉冻结易受攻击的地址类型。这为迁移赢得了时间,但需要比特币所抵制的中心化决策。
没有一个是理想的。方案 1 破坏了合法丢失的密钥。方案 2 允许量子盗窃。方案 3 接受数百亿美元的损失。方案 4 破坏了比特币的不可篡改性。以太坊基金会和比特币研究人员现在就在努力应对这些权衡,而不是在遥远的未来。
后量子算法:技术解决方案
几种后量子加密算法提供了抵御量子攻击的能力:
基于哈希的签名 (XMSS, SPHINCS+):安全性依赖于哈希函数,这些函数被认为是抗量子的。优点:易于理解、保守的安全假设。缺点:签名尺寸大(2,500+ 字节),导致交易成本昂贵。
基于格的密码学 (Dilithium, Kyber):基于量子计算机难以解决的格问题。优点:签名较小(约 2,500 字节),验证效率高。缺点:较新,且比基于哈希的方案经过的实战测试更少。
STARKs (可扩展透明知识论证):抗量子攻击的零知识证明,因为它们依赖于哈希函数而非数论。优点:透明(无需受信任的设置)、抗量子、可扩展。缺点:证明尺寸大,计算成本高。
多变量密码学:通过求解多变量多项式方程组来保证安全。优点:签名生成速度快。缺点:公钥尺寸大,不够成熟。
基于编码的密码学:基于纠错码。优点:速度快、研究充分。缺点:密钥尺寸非常大,在区块链中使用不切实际。
以太坊基金会正在探索基于哈希和基于格的签名,认为它们是区块链集成中最具前景的方案。QRL (量子抗性账本) 在 2018 年率先实现了 XMSS,证明了可行性,但在交易尺寸和吞吐量方面做出了妥协。
由于保守的安全理念,比特币可能会选择基于哈希的签名 (SPHINCS+ 或类似算法)。以太坊可能会选择基于格的签名 (Dilithium) 以尽量减少尺寸开销。两者都面临同样的挑战:比 ECDSA 大 10 到 40 倍的签名会使区块链体积和交易成本飙升。
时间表:距离 Q-Day 还有多久?
预测 Q-Day(量子计算机破解 ECDSA 的时刻)具有投机性,但趋势是明确的:
乐观(对攻击者而言)时间表:10 到 15 年。IBM、谷歌和初创公司在量子比特数量和纠错方面取得了快速进展。如果进展继续呈指数级增长,1,500 个以上的逻辑量子比特可能会在 2035 年至 2040 年间出现。
保守时间表:20 到 30 年。量子计算面临着巨大的工程挑战——纠错、量子比特相干性、规模化。许多人认为实际攻击仍需几十年。
悲观(对区块链而言)时间表:5 到 10 年。政府的秘密计划或突破性发现可能会加速这一进程。谨慎的规划应假设较短的时间表,而非较长的。
以太坊基金会在 2026 年 1 月将后量子迁移视为“最高战略优先级”,这表明内部估计比公开讨论承认的要短。你不会为了 30 年后的风险拨付 200 万美元并组建专门团队。你这样做是为了 10 到 15 年内的风险。
比特币的文化抵制紧迫感,但关键开发者承认这一问题。虽然存在后量子比特币的提案(处于 BIPs 草案阶段),但达成共识需要多年时间。如果 Q-Day 在 2035 年到来,比特币需要在 2030 年开始迁移,以便为开发、测试和网络推广留出时间。
个人现在可以采取的措施
虽然协议层解决方案还需要数年时间,但个人可以减少风险敞口:
定期迁移到新地址:从某个地址转账后,将剩余资金转移到新地址。这可以最大限度地缩短公钥暴露时间。
使用多重签名钱包:量子计算机必须同时破解多个签名,这增加了难度。虽然这并非完全抗量子,但可以争取时间。
避免重复使用地址:绝不要向已经发送过资金的地址转账。每次支出都会重新暴露公钥。
关注最新进展:关注以太坊基金会后量子(PQ)研究、Coinbase 顾问委员会的更新,以及与后量子密码学相关的比特币改进提案(BIPs)。
分散持有资产:如果你担心量子风险,可以分散投资于抗量子链(QRL)或风险较小的资产(权益证明 PoS 链比工作量证明 PoW 链更容易迁移)。
这些只是权宜之计,而非根本解决方案。协议层面的修复需要针对价值数十亿美元资产和数百万用户的协调网络升级。挑战不仅在于技术,还在于社会、政治和经济层面。