跳到主要内容

BIP-361:自 SegWit 以来比特币最具争议的提案

· 阅读需 14 分钟
Dora Noda
Dora Noda
Software Engineer

一小群比特币开发者刚刚提出了一项在五年前还不可思议的提议:在未来的量子计算机将其席卷到公开市场之前,蓄意冻结约 650 万枚 BTC,其中包括整个中本聪时代的储备。

欢迎来到 BIP-361 —— 这项提议迫使比特币在两个最神圣的价值之间做出选择:不可篡改性和生存。

一场价值 740 亿美元的防御性收缩

2026 年 2 月 11 日,比特币改进提案(BIP)代码库悄然为一份由 Casa 首席技术官 Jameson Lopp 和其他五位研究员撰写的草案分配了编号。到 4 月,这份草案 —— BIP-361 —— 已成为自 2017 年 SegWit 内战以来比特币界分歧最大的技术文档。

该提案旨在应对一个已隐藏了十年的战略风险。大约 650 万枚比特币存放在足够强大的量子计算机可以破解的地址中 —— 早期支付到公钥(P2PK)的输出、重复使用地址的支付到公钥哈希(P2PKH)钱包,以及任何公钥已经广播到链上的 UTXO。按现在的价格计算,这至少相当于 740 亿美元的风险敞口,而如果推算到所有休眠供应量,一些分析认为受风险影响的范围接近 4,000 到 5,000 亿美元。

在这些脆弱的代币中:据估计有 110 万枚 BTC 属于中本聪(Satoshi Nakamoto),分布在超过 22,000 个钱包中,这些钱包是通过独特的 “Patoshi 模式” 挖矿签名识别出来的。这些代币已经超过十年没有移动过了。它们无法自行移动。而在密码学相关量子计算机(CRQC)投入运行的世界里,它们只能以一种方式移动 —— 从中本聪的钱包流向其他人的钱包。

冻结究竟如何运作

BIP-361 并不是一个单一的开关。它是一个为期五年的精心编排的迁移过程,分为三个连续阶段,旨在让每个活跃的比特币持有者在共识层为他们做出选择之前,有时间自愿选择加入。

阶段 A 在激活约三年后开始。网络将拒绝接受向旧有的量子漏洞地址类型发送 BTC 的新交易。现有持有者仍然可以从这些地址中消费他们的代币 —— 这扇门只向外开启。其目的是促使钱包、交易所和托管服务商在截止日期前默认采用抗量子格式。

阶段 B 在两年后到来。此时,旧版签名在共识层面失效。任何未迁移到量子安全输出的 UTXO,根据定义,都将无法消费。代币仍然存在于链上,但网络识别出的任何签名都无法移动它们。它们被冻结了,是永久性的且是有意设计的。

阶段 C 是道德释放阀,目前仍在积极研究中。它将允许被冻结 UTXO 的所有者通过与 BIP-39 助记词挂钩的零知识证明来找回资金 —— 而无需向正在监视的量子对手暴露底层的私钥。如果实施,阶段 C 意味着失踪已久的持有者可以复活他们的资产,而无需交出保护资产的秘密。如果不实施,冻结就真的意味着冻结。

该提案并非孤立出现。它明确建立在 BIP-360 之上,后者已于 2026 年初通过 BTQ Technologies 进入测试网,并引入了一种名为支付到 Merkle 根(P2MR)的新输出类型。P2MR 的运作方式类似于支付到 Taproot(Pay-to-Taproot),但移除了密钥路径支出,从而消除了量子计算机可能利用的长期暴露攻击面。值得注意的是,BIP-360 尚未用基于格的方案(如 ML-DSA)取代 ECDSA 或 Schnorr —— 那场斗争还在后面。BIP-360 只是简单地将公钥隐藏在哈希之后,直到支出时才显露。BIP-361 随后规定:五年后,任何仍然暴露在外部的人都将被锁定。

Adam Back 的反对立场

该提案一经公布便碰了壁。在巴黎区块链周(Paris Blockchain Week)上,Blockstream 首席执行官 Adam Back —— 一位追踪量子领域 25 年的密码学家 —— 认为 BIP-361 是在用错误的工具解决错误的问题。

Back 的立场基于三项主张。首先,目前的量子计算机仍然 “本质上是实验室实验”,进展一直是 “渐进式的”。其次,比特币文化已经反复证明,当真正的威胁出现时,它可以迅速动员 —— 当风险明确时,错误会在数小时内被识别并修复。第三,构建持有者可以自愿选择加入的抗量子升级,保留了比特币关于主权控制的承诺,而强制冻结则开创了一个任何软分叉都从未跨越过的治理先例。

Lopp 阵营则押注于相反的方向。他们的赌注是,在压力下(价格暴跌且量子对手正在积极耗尽链上资金)进行协调,正是共识破裂的时候。与其在已经侵蚀网络持久性信心的危机期间尝试迁移,不如现在趁风平浪静时安排好迁移。

这就是剥离辞令后的实际分歧:比特币能在紧急情况下进行协调吗?还是必须在和平时期预先协调?所有其他的争论 —— 关于中本聪的中立性、关于 650 万枚 BTC 是否 “真的” 被遗弃、关于冻结是否等同于没收 —— 都是源于这个问题的后续讨论。

为什么威胁不再仅仅是假设

这场辩论之所以从一个边缘话题演变为 2026 年的一个正式 BIP 提案,原因很简单:时间表缩短了。

2026 年 3 月,Google 的量子 AI 团队发表研究指出,一台拥有不到 500,000 个物理量子比特(约合 1,200 个逻辑量子比特)的量子计算机就足以攻破椭圆曲线密码学。而早先的预测认为这需要 1,000 万个物理量子比特。Google 自身对其产品实现后量子就绪的内部目标是 2029 年。BIP-361 中引用的麦肯锡及学术路线图将 CRQC(具有密码学意义的量子计算机)的出现窗口锁定在 2027 年至 2030 年之间。

三年。对于一个迁移逻辑极为复杂的 1.3 万亿美元网络来说,这并不是一个宽裕的缓冲期。一项学术分析估计,假设整个社区达成协作共识,将每一个基于 ECDSA 的 UTXO 完全更换为后量子等效方案,将需要大约 1,828 小时(超过 76 天)的累积网络吞吐量专门用于迁移交易。如果量子攻击者同时在与网络竞速,这个计算结果会变得更加糟糕。

这种不对称性使得该威胁成为了战略问题,而不仅仅是技术问题。一个比世界其他地方提前六个月掌握 CRQC 能力的国家级行为体,并不需要攻击活跃使用的钱包——因为这些资金会定期移动并重新锚定在哈希后的公钥背后。攻击者只需要系统地从链上清晰可见的数百万个长期暴露的 P2PK 和重复使用的地址公钥中推导出私钥,并悄无声息地将其抽干。等到有人察觉时,供应冲击已经发生。

协议僵化与自我防卫的断裂带

比特币文化在历史上解决艰难权衡的方法通常是拒绝做出选择。协议僵化(Ossification)——即协议应尽可能少地、尽可能缓慢地更改的原则——被视为一种特性,而非漏洞。SegWit(2017 年)在激活前曾遭到激烈反对,并导致了 BCH 链的分叉。Taproot(2021 年)之所以能顺利激活,是因为它严格遵循自愿加入(opt-in)原则,并在不移除任何功能的前提下增加了新功能。经过多年的辩论,OP_CTV 契约最终于 2025 年激活。

BIP-361 在结构上与这三个先例截然不同。它不是自愿加入的。它不保留现有权利。它明确指出,某些 UTXO 类型的持有者在截止日期后将失去花费自己代币的能力。即使是争议最大的 SegWit 也没有移除现有的功能——它增加了一种新功能,并改变了使用旧功能的经济核算。

批评者认为,这开创了一个先例,即矿工信令可以因为任何足够“流行”的理由冻结 UTXO:OFAC 合规、追回失窃资金、法院裁定的没收、制裁执行。这种对“滑坡效应”的担忧并非偏执——而是一种结构性观察:一旦网络证明其有能力冻结某一类代币,剩下的唯一问题就是什么理由才足以证明将该类别列入冻结名单是正当的。

支持者则反驳称,另一种选择更糟糕:无所作为意味着接受供应冲击是不可避免的,意味着中本聪的代币(以及数百万其他人的代币)将被窃取而不是被冻结,意味着网络在该事件期间的价格发现过程将极具灾难性,足以让比特币在它花了十年时间才吸引到的机构资本眼中失去合法性。在这种语境下,冻结是较轻的侵害。

现实的结果很可能是一次分叉。有影响力的少数派将拒绝接受任何使有效签名追溯失效的共识规则。他们将运行阶段 B 之前的客户端。链将发生分裂。至于分裂后是像 Bitcoin Cash 那样(一个逐渐衰落的小市值分叉),还是演变成一场真正的分裂(两条势均力敌的链争夺“比特币”的名称),取决于交易所、托管机构和机构级 ETF 综合体如何处理此次激活。

对技术栈其他部分的基础设施影响

甚至在激活之前,BIP-361 就已经改变了所有运行比特币基础设施的人员的运营图景。钱包提供商现在就必须将量子安全地址生成加入其路线图,因为迁移窗口开启之时,绝不应该是发现其密钥派生库无法生成 P2MR 输出的时候。交易平台必须决定在阶段 A 期间如何处理向易受攻击地址类型的存款。管理冷存储持仓的托管服务商面临着尤为尖锐的问题:任何已物理隔离(air-gapped)多年的私钥都必须连接上线以签署迁移交易,这使其暴露在冷存储设计初衷就是要规避的运营风险之中。

对于 RPC 提供商和节点运营商来说,多阶段激活创造了一类新的边缘案例。在阶段 A 期间,内存池(mempools)必须拒绝发送到遗留类型的交易,但仅限于此类交易,同时仍需转发从这些类型中支出资金的交易。在阶段 B 期间,同样的节点必须实现共识逻辑,以区分有效的后量子签名和无效的遗留签名,且不容许有任何“差一错误”(off-by-one errors)。在激活期间为机构客户提供服务的任何基础设施提供商,都需要从第一天起就站在共识边界的正确一边。

闪电网络又增加了一层复杂性。通道状态证明依赖于签名,而这些签名的有效性必须在结算时(可能是在通道开启多年后)是可强制执行的。今天开启的、由 ECDSA 签名保护的通道,在 2031 年必须依然有效——否则该提案需要为进行中的通道承诺提供明确的祖父条款豁免。BIP-361 草案尚未详细讨论这一点。

比特币无法推迟的决定

使 BIP-361 与以往所有存在争议的软分叉(soft fork)不同的是,其时间表并非由比特币开发者设定。它是由全球的量子计算实验室设定的。比特币可以推迟做出决定,但决定本身并不会延迟。

社区拥有的窗口期与谷歌研究人员给出的时间大致相同:大约有三年的时间来选择一条路径。Adam Back 的“可选升级”路线要求持有人主动迁移,并接受相当一部分人不会这样做——而量子对手最终将攫取他们留下的资产。Lopp 的“强制迁移”路线则要求网络代表那些无法或不愿采取行动的持有人做出选择,并接受这违反了自创世区块(genesis block)以来一直坚持的原则。

无论哪条路径都无法完全保留比特币所宣称的所有特质。而第三条路径——假装截止日期并不存在——则会毁掉这一切。

BIP-361 实际上证明了比特币“不作为”的默认选项已经到期。该协议已达到一定的规模、历史和战略重要性,以至于不作为本身就是一个会产生后果的选择。网络是否能在不发生分裂的情况下消化这一事实,将是定义未来五年比特币走向的关键问题。

自 SegWit 以来最具争议的提案,最终可能会成为最清晰明确的一个。

BlockEden.xyz 在比特币和 25 多个其他区块链上运营生产级 RPC 基础设施,为开发钱包、托管系统和机构级应用的开发者提供服务。随着比特币量子迁移的辩论从论坛转向共识规则,那些能够同时支持传统地址类型和后量子地址类型且能保持稳定运行的基础设施提供商,将在激活之日屹立不倒。探索我们的 API 市场,在专为长远发展设计的基础设施上进行开发。

来源

Share on Twitter