跳到主要内容

比特币的量子分叉:670 万枚 BTC 面临风险及两大分配者阵营

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

约 670 万枚 BTC 存放于已经向世界广播了公钥的地址中。这约占总供应量的三分之一,其中包括归属于中本聪(Satoshi Nakamoto)的约 110 万枚比特币。从原理上讲,一台功能足够强大的量子计算机可以推导出其中任何一个地址的私钥。

加密货币领域引用率最高的两家研究机构查看了完全相同的数据,却对资产配置者今年应该采取的行动得出了截然相反的结论。

Capriole Investments 创始人 Charles Edwards 认为,社区必须在 2026 年底之前发布量子修复方案,否则将面临 20% 的估值折让;如果网络进展缓慢,到 2028 年价格可能会跌破 50,000 美元。灰度研究(Grayscale Research)在其《2026 年数字资产展望:机构时代的黎明》中,将量子风险称为“红鲱鱼”(掩盖真相的干扰项)——虽然真实存在但尚且遥远,不太可能影响 2026 年的价格,且被正在重塑该资产类别的机构资金浪潮所掩盖。

这不是一场关于威胁是否真实的争论。双方都承认威胁是真实的。这是一场关于成本何时体现在价格中的争论——而这个问题现在正驱动着两种完全不同的配置方案。

众人争论不休的数字:670 万枚 BTC

比特币的量子脆弱性并非均一的。风险取决于持有代币的地址类型,以及该地址的公钥是否曾在链上出现过。

支撑 2026 年大部分讨论的数据明细大致如下:

  • 约 172 万枚 BTC 存放于 Pay-to-Public-Key (P2PK) 输出中。 这些是 2009 年时期的原始地址,包括中本聪的大部分资产。P2PK 直接暴露公钥。由于许多持有者被认为已经去世或丢失了私钥,没有接收者能将这些代币迁移到量子安全的地址。
  • 约 490 万枚 BTC 存放于跨其他格式的重复使用地址中。 一旦你从 Pay-to-Public-Key-Hash (P2PKH)、Pay-to-Witness-Public-Key-Hash (P2WPKH) 或 Taproot 输出进行转账,公钥就会在见证数据(witness data)中可见。如果持有者重复使用该地址,或者在首次消费后留下余额,公钥将在网络随后的历史中保持暴露。
  • 约 20 万枚 BTC 分布在其他重复使用或部分暴露的类别中。

总计:约 680 万枚 BTC,或约占流通供应量的 34%,存放在理论上可被具备 Shor 算法能力的量子计算机窃取的地址中。剩余的三分之二——存放于公钥从未广播过的 P2PKH/P2WPKH/Taproot 未花费输出中——受量子计算机无法通过相同算法破解的额外哈希层保护。

这种不对称性正是这场辩论在结构上显得如此奇特的原因。比特币的量子风险并非“网络崩溃”,而是“早期采用者和不注意地址重复使用的用户被掏空,而谨慎的一次性使用 HODL 者则安然无恙”。市场必须对集中在特定代币群体而非均匀分布在整个供应中的威胁进行定价。

Edwards 的观点:立即计价风险,加速发布修复方案

Charles Edwards 一直是量子辩论中看空派最响亮的机构声音。他在 2025 年底和 2026 年的一系列演讲中阐述的论点由三部分组成。

首先,折扣已经存在。 Edwards 认为,如果对比特币“易受攻击的存量”供应与“新发行流量”采取诚实的现金流折现模型(DCF),那么相对于量子风险为零的情况,该资产已经理应承受约 20% 的减记。在他的框架中,网络在没有明确的量子抗性迁移路径的情况下每度过一个月,这种折扣就会进一步扩大。

其次,时间表比人们想象的要短。 Edwards 引用了德勤(Deloitte)的分析,估计约 25% 的 BTC 暴露在风险中,并将其与公共量子硬件的快速进展联系起来。他反复提及 Project Eleven 的“Q-Day 奖”——该奖项于 2026 年 4 月 24 日授予研究员 Giancarlo Lelli,因为他在一台公开可用的量子计算机上破解了一个 15 位的椭圆曲线密钥。Steve Tippeconnic 在 2025 年 9 月的 6 位演示是首次公开破解;Lelli 的 15 位结果在 7 个月内实现了 512 倍的提升。指数级增长并非理论。

第三,银行救不了比特币。 Edwards 更尖锐的论点是,比特币将在传统金融之前受到冲击,因为银行已经开始迁移到后量子加密方案——而且即使银行失败,它们也有法律机制来追回欺诈性转账。比特币没有这种机制。对中本聪时代的 P2PK 地址进行成功的量子窃取将是不可逆的、公开的,并且会从根本上摧毁对该资产的信心。

他建议的行动:在 2026 年底之前发布量子抗性迁移路径。如果比特币不这样做,Edwards 对 2028 年最坏情况的预测是 BTC 将跌至 50,000 美元以下——不是因为届时量子计算机真的破解了 ECDSA,而是因为对“无法修复的悬崖”的预期会在悬崖到来之前很久就体现在价格中。

灰度的观点:真实存在,但不属于 2026 年

灰度的《2026 年数字资产展望》持相反立场。量子计算被公认为是一个长期考虑因素,但该公司的表述非常明确:它是 2026 年市场的“烟雾弹”。

灰度的论点建立在三个支撑性主张之上。

第一:硬件尚不具备。 预计最早要到 2030 年才会出现能够从公钥推导私钥的足够强大的量子计算机。Google 在 2026 年 4 月发布的白皮书估计,攻击 256 位 ECC 需要不到 50 万个物理量子比特 —— 而 Google 在 2024 年底推出的旗舰芯片 Willow 拥有 105 个。随后 Caltech 和 Oratomic 的论文将中性原子架构的要求降低至约 10,000 个量子比特,但即便如此,也比目前任何公开量子系统所展示的高出大约两个数量级。

第二:开发者的反应是真实的。 BIP-360 引入了 Pay-to-Merkle-Root (P2MR) —— 一种新的比特币输出类型,它使用 Dilithium(现已被 NIST 标准化为 ML-DSA)后量子签名,并对比特币攻击隐藏公钥。该提案于 2026 年 2 月 11 日并入比特币官方 BIP 仓库。BTQ Technologies 在次月发布了第一个可运行的测试网实现 (v0.3.0)。迁移路径已经存在;只是尚未激活。

第三:2026 年的催化剂占据主导地位。 灰度的展望将 2026 年界定为“机构时代”的开始。现货 ETF 的资产管理规模(AUM)已突破 870 亿美元。《CLARITY 法案》正处于 5 月参议院银行业委员会的审议轨道上。SEC 主席 Paul Atkins 发布了四类代币分类法,为机构级资金流入该资产类别铺平了道路。灰度认为,在这种背景下,低估 2030 年及以后的尾部风险是错误的。

隐含的资产配置指令是“坚持做多,忽略噪音”。灰度的立场并非认为量子风险是虚假的 —— 该公司明确指出,比特币和大多数区块链最终将需要进行后量子升级。其立场是,2026 年的价格发现将由 ETF 资金流、监管透明度和宏观流动性驱动,而非 2030 年的假设性硬件。

两种资产配置方案

将这两个阵营简化为操作指令,分歧便变得显而易见。

Edwards 阵营方案(防御型):

  • 立即提前启动迁移工具审查。托管商在测试网上对 BIP-360 钱包进行压力测试。冷存储提供商在 2026 年底前发布后量子迁移路线图。
  • 抢先将暴露的冷存储 UTXO 重新支付到新鲜的一次性地址,将公钥重新隐藏在哈希之后。
  • 在今天支付真实成本 —— 操作复杂性、审计开销,以及可能在协调迁移期间出现的费用激增 —— 以避免 2028-2030 年的灾难性尾部风险。
  • 将 2026 年 BTC 的任何疲软部分归因于量子隐忧,而不仅仅是宏观因素。

灰度阵营方案(机会型):

  • 继续根据 ETF 资金流模型、监管催化剂和四年周期脱钩理论来衡量 BTC 规模。
  • 假设有序的、类似以太坊基金会(EF)风格的协议升级节奏能在 2027-2030 年窗口期间解决迁移问题。
  • 不要为今天的“抗量子基础设施”风险支付溢价;以 2026 年的现金流衡量,其估值并不合理。
  • 关注量子硬件的里程碑,但将其视为监测信号,而非配置信号。

两种方案在各自的逻辑下都是合理的。分歧在于对不对称性的看法 —— 具体而言,是 Edwards 所主张的防御成本相对于成功后的回报较小,还是灰度所主张的防御成本相对于成功后的回报过大。

两个阵营都在回避的治理问题

2026 年量子辩论中最令人不安的部分并非硬件时间表,而是 BIP-361 提出的治理问题。

2026 年 4 月 15 日,Jameson Lopp 与五位共同作者发布了 BIP-361 —— “后量子迁移与旧版签名落日计划”。这是一项提议,通过软分叉激活后,将强制量子弱点地址持有者在最后期限前完成迁移。阶段 A(约 160,000 个区块,激活后约三年)将停止网络接受发往易受攻击的旧版地址类型的新交易。阶段 B(约两年后)将拒绝任何使用这些地址的旧版 ECDSA 或 Schnorr 签名的交易。未迁移钱包中的资金将实际上被冻结。

技术理由很简单:如果不淘汰旧版签名,一次量子盗取就可能动摇整个网络的信心。政治理由则非常残酷。“谁持有私钥,谁就控制代币 —— 绝无例外”自 2009 年以来一直是比特币的一项核心承诺。BIP-361 为这项承诺设定了有效期。

Adam Back 在巴黎区块链周上提出的反对建议是,抗量子特性应作为“可选”升级添加,而非强制冻结。Back 公开表示,目前的量子计算机“本质上仍然是实验室实验”,强制淘汰休眠资产(最著名的是中本聪的资产)将开创一个凌驾于比特币核心产权保证之上的先例。

在开发者论坛和 X 上,BIP-361 被批评者称为“威权主义”和“掠夺性”。他们认为,即便该提案在技术上是必要的,它也损害了该资产对机构买家最具吸引力的属性:没有人,甚至开发者,可以夺走你的代币。

这是 Edwards 和灰度阵营都没有直接解决的部分。Edwards 阵营想要一个解决方案,BIP-361 是目前最具体的方案;但 BIP-361 也是最有可能在意识形态上撕裂比特币社区并产生争议性分叉的政策选择。灰度阵营想要等待;但等待会缩短任何软分叉辩论在威胁显现前进行的时间窗口。

基础设施的影响解析

无论哪方阵营是正确的,迁移过程都将为区块链基础设施提供商产生可衡量的负载特征。抗量子测试和预防性迁移产生的 RPC 流量模式,与 DeFi 模因币垃圾交易完全不同。

托管级的迁移测试往往会产生:

  • 密集的归档节点读取 —— 全量 UTXO 扫描,以识别机构账目中暴露的公钥。
  • 持续的签名方案证明流量 —— 验证新部署的 P2MR 输出在传统和后量子验证器下是否都能正确校验。
  • 批量地址格式扫描 —— 机构钱包对哪些 UTXO 处于易受攻击格式进行批处理检查。
  • 结算事件的长时间运行 Trace 查询 —— 这类调试级负载是主流通用型 RPC 提供商未曾优化的。

这种负载会首先出现在 Edwards 阵营一方。Grayscale 阵营的分配者直到不得不做时才会产生此类流量。因此,量子迁移正在从理论走向实践的早期信号,将表现为托管商 RPC 流量模式的转变,这远早于其在 BTC 现货价格上的体现。

BlockEden.xyz 在 Bitcoin、Sui、Aptos、Ethereum 以及 25 个以上的链上运营机构级 RPC 和索引器基础设施 —— 包括量子迁移测试倾向于产生的归档节点和 Trace 负载。如果你的团队正在 Bitcoin 或任何其他资产上压力测试后量子工具,请 探索我们的 API 市场,获取专为非平凡负载构建的基础设施。

到 2026 年底需关注的重点

Edwards 与 Grayscale 之间的分歧是真实的资产分配者分歧,但这种分歧将在未来八个月内通过几个关键里程碑得到解决。

量子硬件: 关注下一个 Q-Day 奖项的授予。如果在公共硬件上实现 20 位或 24 位 ECC 破解,将使指数级威胁变得显而易见,不容忽视。相反,如果到 2026 年底公共领域没有进一步进展,则会延长 Grayscale 的观望周期。

BIP-361 激活路径: 该提案是否获得了足够的开发者支持以进入真正的激活讨论,还是 Adam Back 的可选升级反向提案占据了主导地位?任何一种结果都会实质性地改变迁移时间表。

托管商行为: Coinbase Custody、BitGo、Anchorage 和 Fidelity Digital Assets 是否发布后量子准备声明。第一家承诺在生产环境中使用 BIP-360 钱包的主要托管商,将是 Edwards 的紧迫感正在渗透到运营决策中的领先指标。

现货价格反应: 如果 2026 年 BTC 的表现比其 ETF 流入模型低 15% 以上,Edwards 的 “量子贴现” 框架将变得难以忽视。如果 BTC 达到或超过 Grayscale 的上半年历史最高价预测,那么 “红鲱鱼”(伪命题)框架将默认胜出。

需要关注的不对称性在于:Edwards 最终必须是正确的,他的观点才能成立,即使 2026 年的价格没有反映出来。而 Grayscale 需要现在就是正确的 —— BTC 在没有明显量子阴影的情况下每上涨一个月,都会强化 “红鲱鱼” 框架;但一次单一的信心冲击事件可能会在一周内抹去该论点多年的积累。

这就是分歧点。两家机构,同样的数据,相反的策略。市场会在量子计算机做出选择之前先选边站队。

来源

Share on Twitter