跳到主要内容

比特币 1.3 万亿美元的量子时钟:9 分钟攻破 ECDSA 与 BIP-360 拯救 690 万枚 BTC 的竞赛

· 阅读需 14 分钟
Dora Noda
Dora Noda
Software Engineer

九分钟。这是一份 57 页的 Google 量子 AI(Google Quantum AI)论文中提到的时间窗口,该论文指出,未来的量子计算机仅需这点时间就能从已公开的公钥中逆向推导出比特币私钥——这段时间短到足以包含在单个区块确认内,长到足以改写整个 1.3 万亿美元网络的风险状况。这篇由斯坦福大学和以太坊基金会的研究人员共同撰写、发表于 2026 年 3 月 30 日的论文,不仅预测了潜在的危机,还做了一件更微妙的事:它缩小了那个关键的数字。破解 ECDSA 所需的资源比先前的估计下降了 20 倍。Google 目前内部设定的后量子迁移目标是 2029 年。

比特币没有那么多时间。如果它想要优雅地完成迁移,就必须加快进度。网络开发者们深知这一点——这也是为什么 2026 年 4 月成为了自 SegWit 激活以来对比特币密码学影响最深远的一个月。BIP-360 已经在测试网上线。一项冻结遗留地址的后续提案正以草案形式流传。Adam Back、Jameson Lopp 和 Bitcoin Core 的维护者们分成了不同的阵营,他们争论的焦点不再是威胁是否真实存在,而是在时间耗尽时,谁来承担代价。

风险图谱:690 万枚 BTC、34% 的供应量以及中本聪的代币

Google 论文中被引用最多的数字是 9 分钟。而最令人不安的数字是 690 万。这是公钥已在链上公开的比特币供应量上限——这意味着量子攻击者不需要在内存池(mempool)中竞速抢跑交易。他们可以闲暇时推导私钥,并在任何想要的时候花费这些代币。

风险暴露分为几个层级:

  • Pay-to-Public-Key (P2PK) 地址:大约 170 万枚 BTC,其中包括归属于中本聪早期开采的超过 110 万枚 BTC 的代币奖励。公钥直接存储在 scriptPubKey 中,没有任何遮掩。
  • 各类脚本类型中的重复使用地址:当 P2PKH、P2WPKH 或 Taproot 地址哪怕只进行过一次消费,其公钥就会在消费交易中暴露。研究人员估计,这使得受威胁的供应量远超 600 万枚 BTC。
  • 休眠地址:截至 2026 年 3 月 1 日,流通供应量中超过 34% 的地址在某些时刻暴露了公钥。存放了十年的代币并不安全——它们反而更危险,因为在不暴露密钥的情况下,它们无法进行资产转移。

这就是最严峻形式的“现在收割,以后解密”问题。过去 15 年里的每一次地址重复使用都已经记录在区块链上,无法撤销。唯一的防御手段是迁移——在足够强大的机器出现之前,将代币转移到后量子地址格式。

BIP-360:Pay-to-Merkle-Root 与首个测试网区块

BIP-360 由 Ethan Heilman 共同撰写并于 2026 年 2 月发布,是第一个提供前向兼容地址格式的具体比特币改进提案。它引入了 Pay-to-Merkle-Root (P2MR),该机制提交的是一个包含多种可能签名方案的默克尔树(Merkle tree),而不是在链上嵌入任何单一公钥。

P2MR 的优雅之处在于,它允许网络在无需立即选定最终方案的情况下采用抗量子签名。一个 P2MR 输出可以在消费时展示 SLH-DSA (SPHINCS+) 签名路径、Falcon 路径,或者是 ECDSA 加后量子的混合路径。公钥永远不会被写入 UTXO 本身,而只是作为一个承诺(commitment)。观察者在代币移动之前无法得知任何关于签名密钥的信息,即便移动了,也只会公开所使用的特定路径。

2026 年 3 月 20 日,BTQ Technologies 在比特币测试网上激活了 BIP-360 v0.3.0 的首个生产部署。超过 50 名矿工加入了这一实验,在新规则下产出了超过 100,000 个区块。虽然测试网不是比特币主网,距离正式激活还很遥远,但它回答了批评者多年来的疑问:P2MR 真的能处理这种吞吐量和签名大小吗?初步结果显示是可以的,但需要付出代价。

空间难题:从 64 字节到 8 KB

这是工程上的代价。目前的 ECDSA 或 Schnorr 比特币签名大小为 64 字节。而 NIST 标准化的后量子替代方案 SLH-DSA(前身为 SPHINCS+,于 2024 年 8 月敲定为 FIPS 205)每个签名的大小约为 8 KB。这是 125 倍的增长。

区块空间是零和博弈。比特币区块的权重限制(weight limit)并不会因为签名变大而改变。如果所有签名在一夜之间都变成 8 KB,有效的交易吞吐量将下降两个数量级以上,手续费市场将把除了最高价值转移之外的所有交易排除在外。这不仅仅是一个小的用户体验(UX)问题——这是比特币尚未完成迁移的核心原因。

两个研究方向正试图解决这一成本问题:

  • SHRIMPS 和 SHRINCS:无状态的基于哈希的方案,在保持 SPHINCS+ 安全保证的同时,将签名大小目标定在 2 KB 左右。
  • Falcon 系列格签名(Lattice signatures):比 SPHINCS+ 更小(约 700 字节),但涉及更多关于格问题难度的假设——其风险状况与纯哈希方案不同。
  • 使用现有比特币脚本的提交/公开(Commit/reveal)方案:通过巧妙编码,在无需任何协议升级的情况下,以每笔交易约 200 美元的成本实现后量子承诺。虽然昂贵,但目前已可用于高价值的冷存储。

目前还没有哪个选项是显而易见的最优解。BIP-360 的默克尔承诺设计是对冲风险的一种方式,让人们不必现在就做出最终选择。

BIP-361:冻结中本聪比特币的提议

2026 年 4 月 14 日,Jameson Lopp 与五位共同研究者向 Bitcoin BIPs 仓库提交了 BIP-361 的草案 —— “后量子迁移与传统签名停用(Post Quantum Migration and Legacy Signature Sunset)”。这是自 2017 年区块大小战争以来最具政治爆炸性的比特币提案,它分为三个逐步递进的阶段:

  • 阶段 A(激活后约 3 年):新交易可能不再允许将资金发送 传统的量子易受攻击地址类型。资金仍可以离开这些易受攻击的地址,但钱包和务将默认推向 P2MR。
  • 阶段 B(激活后约 5 年):共识层使所有传统签名失效。任何在此区块高度之前未完成迁移的代币都将变得无法支出。即被冻结。
  • 阶段 C(研究中):一种受限的恢复机制,使用与 BIP-39 助记词绑定的零知识证明(ZKP)。用户可以在不泄露私钥的情况下证明对冻结 UTXO 的所有权,但前提是他们仍控制着原始助记词。丢失助记词的代币将永久丢失。

数据是残酷的。阶段 B 将冻结锁定在 P2PK 脚本中的 170,000 枚 BTC,以及归属于中本聪的约 110 万枚 BTC。以每枚 BTC 95,000 美元计算,这将有超过 1,200 亿美元的代币通过共识被停用 —— 这是任何数字网络历史上最大规模的私有财产强制征收。

分歧:Adam Back 对阵 Lopp,意识形态纯洁性与对抗性思维

社区的反应在几小时内便迅速出现,并沿着可预见的断层线分裂。

反对冻结的一方:

  • Adam Back 公开主张进行可选的后量子升级,不设强制停用,认为冻结代币违反了比特币无需许可所有权的核心承诺。
  • Marty Bent (TFTC) 称该提案“荒谬”。
  • Bitcoin Magazine 的 Brian Trollz 直接予以拒绝。
  • Phil Geiger (Metaplanet) 总结了反对意见:“我们必须通过窃取人们的钱来防止他们的钱被偷。”

支持冻结的一方:

  • Lopp 将草案定性为“对潜在未来威胁的对抗性思维”,并指出他目前并不认为这些措施需要立即激活。
  • 机构托管方 暗中支持停用,因为任何幸存的前量子代币池都会成为永久性的系统性风险 —— 一个量子攻击者可以在没有时间压力的情况下瞄准的巨大蜜罐。

哲学上的分歧是真实存在的。比特币的承诺是代币不会被法定指令没收。BIP-361 颠覆了这一点:代币可能因不作为而被没收。反对者认为,让丢失或沉睡的代币被未来的量子攻击者盗取,仅仅是维持原始承诺的代价。支持者则认为,等待盗窃发生将使一种比特币无法承受的先例合法化。

7 年的跑道以及迁移停滞的后果

BIP-360 的共同作者 Ethan Heilman 估计,即使立即启动,完整的迁移也至少需要 7 年时间。时间表大致细分为:

  • 第 1 年:BIP-360 主网激活及钱包支持推广。
  • 第 2–3 年:交易所、托管方和商户的集成。带有后量子签名路径的硬件钱包固件更新。
  • 第 4–5 年:如果 BIP-361 或其继任者被采纳,将在共识层面强制执行阶段 A 的限制。
  • 第 6–7 年:传统签名停用、冻结地址处理、恢复机制部署。

谷歌内部设定的 2029 年期限正处于这一窗口期内。Bernstein 的分析师预计,在量子计算具备操作相关性之前,有 3 到 5 年的过渡期。Ark Invest 则认为威胁是长期的,而非迫在眉睫。在“非迫在眉睫”与“7 年迁移期”之间的差距,将是比特币治理在本世纪余下时间里所要面对的焦点。

跨链对比:以太坊、Solana 与原生量子安全的新兴链

比特币并非唯一在与时间赛跑的链,但它是治理受限最严重的。

  • 以太坊:Vitalik Buterin 在 2026 年 2 月发布了后量子路线图。EIP-8141 引入了一种“框架交易(frame transaction)”信封,可同时携带 ECDSA 和后量子签名,允许账户在不更改地址的情况下迁移签名类型。抗量子签名的 Gas 成本最高可达 66 倍,需要批处理方案来保持经济可行性。以太坊基金会的目标是在 2030 年前实现全面抗量子性。
  • Solana:2025 年 12 月,Solana 基金会与 Project Eleven 合作启动了一个测试网,将每一个 Ed25519 签名替换为 CRYSTALS-Dilithium。初步测量显示其维持了约 3,000 TPS,尽管早期的独立测试曾报告称,由于签名增大了 40 倍,吞吐量下降了高达 90%。Jump Crypto 的备选验证者客户端 Firedancer 支持多种签名后端,使得 Solana 在以太坊最终确定 EIP-8141 之前就具备了后量子迁移能力。
  • 原生量子安全的 L1 链:Circle Arc、Algorand 以及其他几条较新的链在创世之初就采用了后量子原语,完全跳过了迁移问题。他们在 2027 年的营销辞令几乎是不言自明的。

比特币的劣势不在于技术,而在于政治。以太坊有基金会,Solana 有 Anza 和 Firedancer 团队。而比特币只有 Core 维护者和一种粗略共识模型 —— 当初仅仅为了发布 Taproot 这一争议小得多的升级,就花费了近 4 年时间。

这对构建者和持有者意味着什么

对于今天在 Bitcoin 上构建或持有 Bitcoin 的任何人来说,有三个实际影响非常突出:

  1. 冷存储实践比以往任何时候都更重要。地址复用一直是一种隐私反模式。现在它成了一种加密风险。即使在 BIP-360 激活之前,为每笔交易使用新地址也能赢得时间,因为在被花费之前,具有从未泄露公钥的未花费 P2WPKH 和 Taproot 输出在“现在收获,以后解密”模型下仍然是安全的。
  2. 多重签名和 Taproot 脚本路径也需要迁移计划。具有已公开支出路径的复杂脚本与单密钥地址面临同样的暴露问题。托管服务应开始审计其冷存储结构中哪些能在后量子世界中幸存,哪些需要在阶段 A 截止日期期间进行强制迁移。
  3. 基础设施提供商将承担运营负荷。当 BIP-360 激活时,钱包、交易所和 RPC 提供商将花费两年时间进行枯燥的基础设施改造工作:支持新的地址格式、处理混合签名验证,并帮助用户迁移 UTXO 而不会因手续费飙升或漏洞而损失资金。这些基础设施的质量将决定迁移是顺利还是混乱。

量子时钟的滴答声并非紧跟新闻标题的速度,而是遵循标准委员会、测试网推广和 BIP 激活的速度——这正是 2026 年 4 月至关重要的原因。第一个 BIP 已在测试网上线。第二个已经起草。社区正在争论。这正是一个功能性迁移在元年该有的样子。

另一种选择——等到一台拥有 500,000 个量子比特的机器真正出现——是行不通的。

BlockEden.xyz 为 Bitcoin、Ethereum、Solana 以及 20 多个面临后量子迁移决策的区块链提供企业级节点和 API 基础设施。探索我们的 API 市场,在旨在随加密前沿共同进化的基础设施上进行构建。

来源

Share on Twitter