跳到主要内容

ARK Invest 量化比特币的量子威胁:34.6% 的供应面临风险,但时钟尚未开启

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

ARK Invest 与 Unchained 的一份联合白皮书完成了一项在此规模上无人能及的工作:它对比特币面临量子计算攻击的程度给出了一个精确的数字。答案是 —— 总供应量的 34.6%,按当前价格计算约 2400 亿美元 —— 这一结果既令人警觉又令人欣慰。令人警觉是因为它将此前被视为遥远假设的威胁量化了。令人欣慰是因为报告还表明,剩余 65.4% 的 BTC 安全地处于量子计算机无法破解的加密哈希保护之下,而且该行业可能还有十年的准备时间。

量子威胁的五个阶段

ARK 和 Unchained 没有将量子风险视为简单的二进制开关,而是提出了一个五阶段框架,描绘了量子计算从实验室奇迹到加密武器的演进过程。

阶段 1 — 商业效用(当下): 量量计算为制药、物流和材料科学解决优化和模拟问题。在加密领域尚无相关性。这是我们在 2026 年所处的阶段。

阶段 2 — 加密相关性(预警): 量子机器开始破解玩具级加密问题 —— 例如小密钥尺寸或过时的算法。比特币使用的 secp256k1 椭圆曲线仍未受到影响,但危险信号已经显现。

阶段 3 — ECC 脆弱性(首次真正的风险): 运行 Shor 算法的量子计算机可以从已知公钥推导出私钥 —— 但速度很慢。在这一阶段,攻击者可能需要数天或数周才能破解单个密钥。暴露公钥的比特币地址变得脆弱,但这种攻击对大多数目标而言并不实际。

阶段 4 — 亚区块时间破解(关键阈值): 量子机器破解私钥的速度快于比特币 10 分钟的出块时间。这是比特币货币系统面临生存挑战的时刻:攻击者可以在内存池(mempool)中看到一笔交易,提取发送者的公钥,推导出私钥,并在原始交易确认前广播一笔竞争交易。

阶段 5 — 加密崩溃: 量子计算机几乎瞬时破解密钥。如果没有后量子防御措施,比特币的安全模型将彻底崩溃。

ARK 预计,我们最早要到 2030 年代中期才会达到阶段 3。目前最先进的量子处理器 —— 谷歌 105 个量子比特的 Willow 芯片、IBM 1386 个量子比特的 Kookaburra —— 与在一天内破解比特币加密所需的约 1300 万个逻辑量子比特相比,仍有数个数量级的差距。

到底什么是脆弱的?

34.6% 的数据细分为三类暴露的比特币,每一类都有不同的风险概况:

传统 P2PK 输出(约 170 万 BTC): 最早期的比特币交易使用 Pay-to-Public-Key (P2PK) 脚本,直接将原始公钥存储在区块链上。任何人今天都可以读取这些公钥。这一类别包括中本聪(Satoshi Nakamoto)估计持有的 110 万 BTC —— 这些在 2009 年至 2010 年间挖掘的代币从未移动过。这些是最脆弱的地址,因为公钥是永久可见的,给予了量子攻击者无限的破解时间。

复用地址(约 500 万 BTC): 当用户从某个地址花费资金时,交易会公开公钥。如果该地址随后收到新资金,这些新代币就处于已暴露的密钥保护之下。地址复用长期以来一直不被比特币最佳实践所推荐,但它占据了量子脆弱供应量的最大份额。

Taproot P2TR 输出(约 20 万 BTC): Taproot 的密钥路径花费机制也会暴露公钥,使足够强大的量子计算机可以利用这一点。虽然 Taproot 是比特币最新的地址格式,但其设计优先考虑了效率和隐私,而非抗量子性。

什么是安全的

剩余 65.4% 的比特币供应量存储在哈希化的地址格式中 —— 主要是 P2PKH (Pay-to-Public-Key-Hash) 和 P2SH (Pay-to-Script-Hash) —— 在这些格式中,公钥一直隐藏在 SHA-256 和 RIPEMD-160 哈希之后,直到资金被花费的那一刻。量子计算机擅长通过 Shor 算法破解椭圆曲线密码学,但通过 Grover 算法对哈希函数仅能提供二次方级别的加速。使用 Grover 算法破解 SHA-256 仍需要大约 2^128 次操作 —— 这是一个如此巨大的数字,即使对于量子机器来说,实际上仍然是不可能的。

关键洞察:如果你将比特币持有在标准的哈希地址中且从未从中消费过,那么在任何现实的时间线内,你的代币都是量子安全的。

BIP-360:比特币的首个量子防御提案

白皮书强调了 BIP-360 —— 现已更名为 Pay-to-Merkle-Root (P2MR) —— 作为比特币迈向抗量子性首个具体步骤的重要性。BIP-360 最初被提议为 P2QRH (Pay-to-Quantum-Resistant-Hash),后为通用性而更名,它引入了一种新的输出类型,消除了 Taproot 的密钥路径花费漏洞。

以下是 BIP-360 的功能与局限:

它的功能:

  • 消除了 Taproot 交易中暴露公钥的密钥路径花费。
  • 引入了 Pay-to-Merkle-Root (P2MR) 输出,将所有花费条件保留在默克尔树(Merkle-tree)承诺之后。
  • 建立了一个框架,使后量子签名方案可以通过未来的软分叉插入。
  • 可以作为向后兼容的软分叉部署,遵循 SegWit 和 Taproot 的采用模式。

它不具备的功能:

  • 它本身不添加后量子数字签名 —— 这需要单独的升级。
  • 它不能保护已经暴露的 P2PK 和复用地址。
  • 它不强制迁移;现有的地址类型继续有效。

实际意义:BIP-360 是必要的基础设施,而非完整的解决方案。它为比特币的地址架构做好了后量子签名的准备,而无需预先规定最终将采用哪种具体算法(如 ML-DSA、SLH-DSA 或其他算法)。

后量子签名竞赛

NIST 于 2024 年 8 月敲定了首批三项后量子密码学标准:

  • ML-KEM (FIPS 203): 基于格(Lattice-based)的密钥封装,源自 CRYSTALS-KYBER
  • ML-DSA (FIPS 204): 基于格的数字签名,源自 CRYSTALS-Dilithium
  • SLH-DSA (FIPS 205): 无状态哈希数字签名,源自 SPHINCS+

对于比特币而言,签名标准最为重要。ARK 和 Unchained 的白皮书建议通过软分叉升级集成 ML-DSA 或 SLH-DSA。两者各有利弊:

ML-DSA 提供的签名较小(约 2.4 KB)且验证速度更快,这使其更符合比特币的带宽限制。然而,基于格的密码学相对较新,其长期安全性假设尚未经过充分的实战检验。

SLH-DSA 依赖于哈希函数 —— 这种数学原语已经保护了 65.4% 的比特币供应量。它非常保守且已被深入理解,但签名要大得多(根据参数不同,约为 8-40 KB),这可能会导致比特币交易大幅膨胀。

BTQ Technologies 已经展示了一个使用 ML-DSA 的比特币概念验证实现,在其 “Bitcoin Quantum Core Release 0.2” 中替换了脆弱的 ECDSA 签名。但从测试网演示走向全网共识需要多年的审查、测试和社会协调。

比特币与以太坊方案的对比

虽然比特币正通过 BIP-360 和未来的签名升级有条不紊地构建量子抗性,但以太坊采取了更激进的时间表。Vitalik Buterin 在 2026 年 2 月公布了一份量子防御路线图,包含几个并行轨道:

  • EIP-8141 允许账户切换签名方案 —— 包括抗量子方案 —— 而无需更改钱包。Buterin 确认该提案将随 2026 年底的 Hegotá 硬分叉一起发布。
  • 成立于 2026 年 1 月的专门后量子安全团队,正在研究用基于哈希的方案替代 BLS 验证者签名。
  • ETH2030 路线图目标是通过六种签名方案和递归 STARK 聚合实现全面的量子抗性。

这种方式的差异反映了每个网络的设计哲学。比特币优先考虑谨慎和向后兼容性 —— 任何更改都必须达成压倒性的共识,并以软分叉的形式部署。以太坊移动速度更快,利用其硬分叉文化和账户抽象更积极地更换密码学原语。

两种方法都难说绝对优劣。比特币保守的路径降低了因仓促升级而引入新漏洞的风险。以太坊更快的节奏意味着量子保护能更早到达,但也承担了更多的实现风险。

比特币持有者当下应做的事

ARK/Unchained 的白皮书虽然敲响了警钟,但从根本上是乐观的。量子威胁是真实的,但尚有一段距离,比特币的开源开发进程有时间实施防御。尽管如此,个人持有者现在可以采取以下步骤:

  1. 停止重复使用地址。 每次从一个地址花费资金时,都会暴露公钥。为每笔交易使用新的接收地址 —— 这已经是最佳实践。

  2. 将资金移出遗留的 P2PK 输出。 如果你在非常旧的地址格式(以 “04” 开头或未压缩公钥的地址)中持有比特币,请将其转移到现代的 P2SH 或 P2WPKH 地址。

  3. 关注 BIP-360 的进展。 当该升级激活时,迁移到 P2MR 输出。这在今天并不紧迫,但随着量子硬件的进步将变得越来越重要。

  4. 不必对中本聪的币感到恐慌。 早期 P2PK 地址中的 110 万枚 BTC 无法移动(假设私钥已丢失)。如果量子计算机真的破解了这些密钥,社区将面临的是治理问题,而非技术问题。

宏观视角

ARK/Unchained 白皮书发布之际,量子计算的讨论已从科幻小说转向战略规划。谷歌的 Willow 芯片在 2024 年证明了低于阈值的纠错。IBM 的多处理器量子系统正突破 4,000 个量子比特。NIST 的后量子标准正在互联网基础设施中部署,Chrome 和 Android 计划在 2026 年中期默认使用后量子 TLS。

比特币 34.6% 的漏洞窗口大到足以要求采取行动,但也小到可以解决。五阶段框架为生态系统提供了一个追踪进度的共同语言。BIP-360 提供了架构基础。NIST 标准提供了密码学工具。

问题不在于比特币是否会变得具有量子抗性,而在于社区是否能在第三阶段到来之前协调好必要的升级。鉴于比特币通过 SegWit、Taproot 等实现的有条不紊、共识驱动的演进记录,成功的准备而非灾难的发生是大概率事件。

时钟尚未开始滴答作响。但我们第一次确切地知道,我们在为什么而倒计时。

BlockEden.xyz 为多条链提供企业级区块链 API 服务和节点基础设施。随着行业为后量子转型做准备,可靠的基础设施变得更加关键。探索我们的 API 市场,在经得起考验的基础上进行构建。

Share on Twitter