跳到主要内容

无需软分叉即可实现抗量子比特币,单次交易成本仅为 200 美元

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

如果你今天就能为你的比特币提供抗量子保护——无需硬分叉,无需软分叉,也无需为治理共识等待七年——只要你愿意为每笔交易支付约 200 美元,你会怎么想?

这正是 StarkWare 一篇新论文提出的方案,该论文已悄然成为 2026 年最重要的比特币研究成果之一。4 月 9 日,StarkWare 研究员 Avihu Levy 发表了《QSB:无需软分叉的抗量子比特币交易》(QSB: Quantum Safe Bitcoin Transactions Without Softforks)。在 24 小时内,CoinDesk、《The Quantum Insider》和《Bitcoin Magazine》都将其视为约 400 万枚 BTC(按 4 月价格计算超过 2800 亿美元)的潜在“逃生舱”,这些比特币目前存放在容易受到量子攻击的地址中。

限制是现实存在的,但带来的宽慰也是真实的。两者共同重塑了资深比特币持有者对“量子之日”(Q-Day)的思考方式。

为什么比特币突然有了量子时钟

在比特币的大部分历史中,量子风险只是一个注脚——一个被认为在“2035 年之后的某个时候”才会出现的工程问题。但这一时间表已经大幅提前。

谷歌的量子人工智能(Quantum AI)团队将其对“密码学相关量子计算机”(CRQC)的预估提前到了 2029 年。美联储的一份关于“现在收获,以后解密”(harvest now, decrypt later)风险的工作论文,现在将后量子迁移视为一个近期的政策关注点,而非科幻小说。Project Eleven 和其他研究小组经常引用这样一个事实:大约 400 万枚 BTC(约占流通供应量的 25%)存放在公钥已暴露的地址中:其中包括早期时代的 P2PK(付至公钥)输出,以及重复使用的 P2PKH(付至公钥哈希)地址(其公钥在比特币花费时即被泄露)。

这 400 万枚 BTC 是极具诱惑力的目标。一台运行 Shor 算法且功能足够强大的量子计算机可以从已暴露的公钥中推导出私钥,届时这些代币——包括归属于中本聪的约 100 万枚 BTC——都可能被洗劫一空。

“现在收获,以后解密”的论点认为,国家级对手今天就已经在归档这些公钥,等待硬件技术的跟进。正是这一点,将遥远的密码学风险转变为迫在眉睫的治理紧急情况。

两种标准答案——以及为什么它们都很慢

比特币开发者社区已经达成了两种结构性修复方案,但对于想要在本周就获得保护的持有者来说,这两种方案都远水解不了近渴。

BIP 360(付至 Merkle 根) 是领先的软分叉提案,已合并至官方 BIP 仓库,其共同作者包括来自 StarkWare 的研究员和 Ethan Heilman。它引入了一种新的输出类型,从链上脚本中移除了公钥,并为未来的后量子签名(如 ML-DSA (Dilithium) 和 SLH-DSA (SPHINCS+))搭建了支架。该方案构思周全、规范严谨,但根据 BIP 360 共同作者向 Cointelegraph 的表态,考虑到客户端实现、测试、软分叉信号激活以及用户迁移,距离全面激活大约需要 7 年的时间

BIP 361 对此进行了扩展,提议逐步淘汰旧有的 ECDSA 签名。批评者指出,这偏离了比特币“你的私钥,你的资产,永恒不变”的哲学初衷,因为未迁移的 UTXO 最终将变得无法花费。

这两个提案都是正确的长期工程方向。但对于那些合规团队今天就在询问公司金库中 12,000 枚 BTC 有多少面临风险的托管机构来说,它们都无济于事。

QSB 到底做了什么

Levy 的 QSB 方案之所以巧妙,正因为它不触碰协议层。它仅使用比特币脚本现有的功能,并依赖于一种量子计算机无法产生实质性威胁的密码学原语:哈希函数

其机制是一个两步走的“承诺/揭示”(commit/reveal)过程:

  1. 承诺(Commit): 在第一笔链上交易中,持有者发布一个哈希承诺,将未来的抗量子公钥(或基于哈希的一次性签名)与他们想要保护的 UTXO 绑定。
  2. 揭示(Reveal): 在随后的交易中,持有者揭示抗量子材料并花费该 UTXO。由于量子计算机无法逆转加密哈希,只看到承诺的对手在两步之间的窗口期内无法获得任何有用的信息。

QSB 在这种模式之上叠加了基于哈希的证明和链外 GPU 计算,使得链上占用空间保持在现有比特币节点可接受的范围内。无需新的操作码(opcode),无需共识更改,也无需升级协调。

Quantum Resistant Ledger 团队对该论文的公开评论——题为《它很聪明,但请阅读细则》(It's Clever. But Read the Fine Print)——值得认真对待:该方案足以实现抗量子的价值转移,但它将安全预算从链上共识转移到了用户必须支付的链外计算上。这就引出了费用问题。

每笔交易 200 美元的问题

据报道,每笔交易的成本在 75 美元到 200 美元之间,具体取决于 GPU 价格、参数选择和比特币的手续费状况。这主要受两种力量驱动:

  • 沉重的链外计算。 基于哈希的证明生成在单次运算上很便宜,但总量巨大。QSB 每笔交易都需要大量的 GPU 时间——这不是移动端钱包可以在本地运行的。
  • 庞大的链上签名。 即使使用了压缩技巧,像 SPHINCS+/SLH-DSA 这样基于哈希的签名大小也约为 8 KB 或更多,而 ECDSA 仅为 64 字节。区块空间是实打实的成本。

对于转移单个 8,000 美元 UTXO 的持有者来说,200 美元意味着 2.5% 的损耗——这并不经济。但对于将 500 万美元冷钱包余额整合到抗量子承诺中的托管机构来说,200 美元只是保险费中的一笔微不足道的零头。

这条成本曲线悄然决定了 QSB 的适用人群。

三层量子防御体系现已明朗

放大视角来看,整个行业正在形成清晰的分层架构。可以将其视为具有不同开启时间线的纵深防御体系:

  1. 改造方案(现已可用):类似 QSB 的 承诺/揭示(commit/reveal)方案。 无需治理。对于大额 UTXO 在经济上是可行的。在协议层赶进度时,这一层保护了中本聪时代的代币和机构余额。
  2. 协议升级(需多年时间):BIP 360 及其后续版本。 一种原生的比特币输出类型,移除了暴露的公钥,并为后量子签名预留了干净的插槽。激活周期较长,但这是最终的均衡状态。
  3. 原生构建(已在其他链上线):Naoris Protocol、Circle Arc。 Naoris 已于 2026 年 4 月 2 日上线主网,作为原生的后量子 Layer 1,它在 NIST 安全级别 5 下使用了 CRYSTALS-Dilithium (ML-DSA-87)。Circle 已宣布其 Arc L1 将在主网发布时支持量子抗性钱包签名,并随时间推移升级验证者签名。这些链永远不需要迁移遗留地址库。

每个层级针对不同的受众:QSB 适用于无法等待的比特币持有者;BIP 360 针对比特币协议本身;而 Naoris/Arc 则针对希望将量子抗性作为默认配置而非事后补丁的新资金。

QSB 可能意外创造的市场

如果你是一家托管机构——如 Coinbase Custody、Fidelity Digital Assets、BitGo、Anchorage——QSB 论文无疑是今年发布的比特币研究中最引人注目的,这并非因为它在密码学上的新颖性,而是因为它在商业上的可能性。

一个显而易见的产品方案已初具轮廓:

  • 量子迁移服务 作为机构托管之上的高端服务层级。客户支付每笔 UTXO 的迁移费(例如批量处理后为 250–500 美元),将其持有的资产转入受 QSB 保护的承诺中。
  • 批量处理经济学。 托管 8,000 个 UTXO 中 50,000 枚 BTC 的托管机构可以跨多个客户摊销 GPU 计算成本,并战略性地协商区块空间,将 200 美元的零售成本转变为 30–60 美元的批发成本。
  • 监管助力。 随着“现在收割,以后解密”进入 SEC、OCC 和欧洲银行监管机构的词汇表,预计企业客户将开始询问其比特币头寸是否已进行量子迁移。“尚未迁移”即将在董事会议上变成一个令人不安的回答。

Cardano 的 Charles Hoskinson 向来直言不讳,他在 4 月 16 日接受 CoinDesk 采访时辩称,比特币的量子修复最终需要进行一次“无法挽救中本聪代币”的硬分叉。QSB 是一个直接的反驳:这是一种无需触动共识即可保护任何所有者尚且活跃并能移动的 UTXO 的改造方案。

持有者实际上应该做什么

一个务实的行动指南由此产生:

  • 首先审计风险。 如果你的比特币存放在从未花费过的新生成 P2WPKH 或 Taproot 地址中,你的公钥就不在链上。虽然长期来看仍非免疫,但你的处境实质上比 P2PK 或重复使用的 P2PKH 持有者要好得多。
  • 优先处理大额、长期持有的冷 UTXO。 对于这些账户,200 美元的费用可以忽略不计,且“现在收割,以后解密”的归档文件最有可能已经捕获了你的公钥。
  • 密切关注 BIP 360。 当它激活时,经济模型将发生反转——原生量子安全输出将比 QSB 改造方案便宜得多。
  • 预计 2026 年第四季度将出现托管产品。 任何服务于机构客户的托管机构都将面临提供量子迁移路径的压力;率先行动的机构将赢得客户委托。

QSB 所代表的更深层次转变并非密码学,而是治理。多年来,关于比特币量子的讨论一直陷入二元对立:要么等待可能需要近十年的软分叉,要么接受尾部风险。一个可靠的改造选项打破了这种二元论。拥有坚定信念和资金的持有者现在可以以已知的价格购买保护,而无需征得任何人的许可。

这是一个非常“比特币”的方式,来解决一个非常“比特币”的问题。

BlockEden.xyz 提供跨 Bitcoin、Sui、Aptos、Ethereum 以及其他 27 条链的企业级 RPC 和索引基础设施。如果你正在构建需要追踪 UTXO 状态、监控内存池(mempool)活动或大规模索引 承诺/揭示 模式的工具,请探索我们的 API 市场 —— 旨在历经未来十年协议变革的基建服务。

来源

Share on Twitter