如果赋予量子计算机强大能力的物理学原理,同时也可能清空中本聪(Satoshi)的钱包——以及随之而来的价值约 4400 亿美元的比特币,那会怎样?2026 年 1 月,一家名为 Project Eleven 的纽约初创公司以 1.2 亿美元的估值筹集了 2000 万美元,旨在确保在那一天到来之前,防御措施已经准备就绪。在 Castle Island Ventures、Coinbase Ventures、Variant 和 Balaji Srinivasan 的支持下,本轮融资标志着首个进入“量子安全加密(quantum-safe crypto)”领域的严肃资本周期——也标志着比特币最隐秘的生存风险正式成为了一个可获投资的行业。
多年来,“量子风险”一直存在于学术论文的脚注中。但在 2026 年,它进入了风险投资条款清单、NIST 标准以及一场实时的 BIP(比特币改进提案)辩论中。以下是原因,以及目前正在构建的实际内容。
让量子威胁成真的融资轮次
Project Eleven 的 A 轮融资于 2026 年 1 月 14 日结束,由 Castle Island Ventures 领投,Coinbase Ventures、Variant、Fin Capital、Quantonation、Nebular、Formation、Lattice Fund、Satstreet Ventures、Nascent Ventures 和 Balaji Srinivasan 参投。这笔 2000 万美元的资金将 Project Eleven 的投后估值推高至 1.2 亿美元,使其在 16 个月内的总融资额达到约 2600 万美元——该公司此前曾在 2025 年中期筹集了 600 万美元的种子轮融资。
创始人 Alex Pruden 曾是美国陆军步兵和特种作战部队军官,他简洁地阐述了公司的使命:数字资产需要有组织地迁移到抗量子密码学,而必须有人来制造这些“铁锹和铲子(基础工具)”。
值得关注的不只是融资金额,还有投资者的组合。Castle Island 和 Coinbase Ventures 通常不会为纯投机性的理论开出七位数的支票。Variant、Nascent 和 Lattice 是加密原生基金,而 Quantonation 则是专注于量子技术的投资者。他们共同释放了一个信号:量子安全基础设施已从研究层面的好奇心跨越到了预算开支项——而且比特币超过 1.4 万亿美元的市值,足以成为在攻击出现之前就资助防御的动力。
为什么比特币的密码学突然面临紧迫倒计时
比特币通过 secp256k1 曲线上的椭圆曲线数字签名(ECDSA)保护着约 1970 万枚代币。ECDSA 在传统硬件上是无法破解的,但 Shor 算法(一种 1994 年提出的量子算法)可以在多项式时间内分解大整数并计算离散对数。一旦出现了足够大且具有容错能力的量子计算机,每一个暴露的比特币公钥都将变成一个等待被获取的私钥。
这种威胁蛰伏了数十年,因为硬件看起来还遥不可及。但这个时间窗口在 2026 年 3 月崩��溃了。
3 月 31 日,Google Quantum AI 发布了新的资源估算,显示破解比特币的 secp256k1 曲线需要少于 1,200 个逻辑量子比特(logical qubits)和大约 9000 万个 Toffoli 门——这相当于在超导表面码架构(superconducting surface-code architecture)上需要不到 500,000 个物理量子比特。之前的估算大约是 900 万个物理量子比特。一篇论文就将需求降低了 20 倍。
一位谷歌研究员给出了这一里程碑的概率:到 2032 年,量子计算机有至少 10% 的机会能从暴露的公钥中恢复 secp256k1 ECDSA 私钥。谷歌官方目前已敦促开发者在 2029 年之前完成迁移。
目前的硬件距离 50 万个量子比特还很遥远。谷歌的 Willow 芯片目前拥有 105 个物理量子比特。IBM 的 Condor 在 2023 年跨越了 1,121 个量子比特的门槛,而该公司的 Nighthawk 在 2025 年达到了 120 个逻辑量子比特。但是,“遥不可及”与“令人不安的临近”之间的距离,正是保险定价生存的空间——如果迁移需要十年时间,那么比特币的风险暴露就不是 2035 年才需要面对的问题。
哪些资产真正处于风险中——而哪些不是
并非所有比特币都面临同样的风险。脆弱性取决于某种代币的公钥是否曾在链上广播过。
- 支付至公钥 (P2PK):比特币最早几年的输出——包括中本聪挖掘的大约 100 万枚 BTC——直接在脚本中嵌入了原始公钥。这些公钥永久暴露,为量子攻击者提供了一个长期的、无防御的攻击路径。
- 重用地址:任何类型的重用地址在第一笔支出交易确认的那一刻就会暴露公钥,此后任何剩余余额都会变得脆弱。
- 现代地址 (P2PKH, P2WPKH, 带密钥路径支出的 P2TR):在第一次支出之前只显示哈希值。它们在冷钱包中是安全的,但在交易广播期间会失去保护——在这个时间窗口内,拥有量子能力的对手可能会进行抢先交易(front-run)。
总量是惊人的。据估计,约有 650 万至 700 万枚 BTC 存储在量子脆弱的 UTXO 中,按当前价格计算价值约 4400 亿美元。这并不是隐藏在订单簿角落里的尾部风险。这是加密领域第五大“资产类别”,而其所有权属于尚未露面的攻击者。
正在竞争的三种缓解方案
Project Eleven 的 2000 万美元资金并非孤立投入。它正处于关于比特币如何实际转型的三方辩论中心,而给出的答案各不相同。
1. 迁移工具:Project Eleven 的 Yellowpages
Project Eleven 的旗舰产品 Yellowpages 是一个后量子密码学注册表。用户利用基于格的算法(lattice-based algorithms)生成混合密钥对,创建将新的量子安全密钥与现有 Bitcoin 地址相关联的密码学证明,并将该证明的时间戳记录在可验证的链下账本上。当�(或如果)Bitcoin 采用后量子地址标准时,Yellowpages 的用户已经预先提交了可以申领其代币的密钥。
至关重要的是,Yellowpages 是目前唯一实际部署在 Bitcoin 生产环境中的后量子密码学解决方案。该公司还为 Solana 构建了一个后量子测试网——在其他人还在起草白皮书时,悄无声息地将自己定位为跨链迁移供应商。
2. 协议级地址标准:BIP-360
由开发者 Hunter Beast 倡导的 BIP-360 提出了一种名为 Pay-to-Merkle-Root (P2MR) 的新 Bitcoin 输出类型。P2MR 的功能类似于 Pay-to-Taproot,但剥离了容易受量子攻击的密钥路径支出(key-path spend),取而代之的是 FALCON 或 CRYSTALS-Dilithium 签名——这两种方案都是被认为具有量子抗性的基于格的方案。
如果通过软分叉激活,BIP-360 将为用户提供一个迁移目的地。然而,它并不能自动解救已经暴露的代币。
3. 代币冻结:BIP-361
于 2026 年 4 月提出的 BIP-361 是最具争议的回应:冻结大约 650 万枚处于量子威胁下的 BTC——包括中本聪(Satoshi)的一百万枚代币——以防止攻击者进行抢跑(front-run)交易。恢复将仅限于从 BIP-39 助记词生成的钱包。P2PK 输出和其他早期格式将实际上被销毁。
该提议将 Bitcoin 社区沿其最古老的裂痕分离开来。一派认为不可篡改性和公信中立性是神圣不可侵�犯的——即使攻击者最终窃取了这些代币。另一派则反驳称,允许 4400 亿美元在单个周末迁移到敌对势力手中将是货币史上最大的财富转移,而且 Bitcoin 固定供应模型的完整性本身就是值得捍卫的属性。
目前没有完美的答案。要么 Bitcoin 接受 650 万枚代币可能被悄无声息盗取的事实,要么接受通过协议级干预冻结代币,而这将建立一个网络在过去 17 年里一直极力避免的先例。
NIST FIPS 203/204 设定加密默认标准
技术基石现在已经存在,因为 NIST 已经将其最终定稿。2024 年 8 月 13 日,该机构发布了三项后量子密码学标准:
- FIPS 203 (ML-KEM):基于模块格的密钥封装机制,衍生自 CRYSTALS-Kyber。用于取代 RSA 和 ECDH 进行密钥交换。
- FIPS 204 (ML-DSA):基于模块格的数字签名算法,衍生自 CRYSTALS-Dilithium。用于取代 ECDSA 和 RSA 进行签名。
- FIPS 205 (SLH-DSA):无状态基于哈希的数字签名标准,衍生自 SPHINCS+,提供了一种保守的基于哈希的签名替代方案。
美国国家安全局(NSA)的 CNSA 2.0 路线图强制要求在 2027 年前为新的机密系统部署后量子加密,并在 2035 年前完成全面过渡。NIST 自身预计关键基础设施的采用周期为 5-10 年。Cloudflare 的目标是到 2029 年实现全面的后量子覆盖。
Bitcoin 的迁移时间表本应处于这个范围之内。困难在于,主权国家的 IT 部门可以强制执行最后期限。而一个无需许可的去中心化网络必须说服成千上万个独立的参与者在没有 CEO 的情况下进行协作。
Optimism 对标:Ethereum 的超级链(Superchain)如何应对
Bitcoin 在这场竞赛中并不孤单。2026 年 1 月底,Optimism 为其超级链(Superchain)发布了一份为期 10 年的后量子路线图——这形成了一个有用的对比。
OP Stack 计划分为三层:
- 用户层:利用 EIP-7702 让外部账户 (EOA) 将签名权限委托给能够验证后量子签名的智能合约账户,而不必强制用户放弃现有地址。
- 共识层:将 L2 排序器(sequencers)和批处理提交者(batch submitters)从 ECDSA 迁移到后量子方案。
- 迁移窗口:在 2036 年 1 月截止日期前,同时支持 ECDSA 和后量子签名。
Optimism 还在游说 Ethereum 主网,希望其承诺将验证者从 BLS 签名和 KZG 承诺中迁移出来的时间表。据报道,以太坊基金会已参与其中。
架构上的分歧具有启发性。Ethereum 的账户抽象路线图(以及 Solana 的运行时灵活性)使后量子迁移更像是一次智能合约升级。而 Bitcoin 的 UTXO 模型和极简的脚本语言使其成为一场软分叉辩论,需要在开发者、矿工和经济节点之间达成社会共识。同样的问题产生了截然不同的治理挑战。
投资者论点:保险溢价定价
为什么在今天还没有量子计算机能破解 Bitcoin 的情况下,2000 万美元的 A 轮融资在 1.2 亿美元的估值下是合理的?
这背后的逻辑是精算。如果你认为 Q 日(Q-day)在 2032 年之前发生的概率为 10%,并将其应用于 1.8 万亿美元的 Bitcoin 和 Ethereum 风险敞口,预期损失将超过 1800 亿美元。即使是对该风险敞口收取 1% 的保险溢价,在托管商、交易所、钱包和受监管的代币化平台中也能产生 18 亿美元的经常性收入。Project Eleven 只需要占领其中的一小部分,就足以支撑数十亿美元的估值。
竞争格局非常稀疏。Zama 正在构建全同态加密 (FHE) 原语,而非签名替代方案。Mina 在设计上对后量子友好,但它是一个独立的 L1,而非迁移供应商。AWS KMS 和 Google Cloud HSM 最终将提供开箱即用的后量子签名服务——但追求通用型 PQC 服务的大型云服务商,与实际为 Bitcoin 交付了生产级工具的领域专家团队不可同日而语。
Project Eleven 面临的风险与任何“为必然性而建的基础设施”初创公司相同:如果迁移耗时太长,客户就不会为此预留预算;如果发生得太快,在 Project Eleven 建立分销渠道之前,它就会被云供应商吞噬。A 轮融资为其赢得了在尴尬的过渡期内成为默认选择的资金支持。
建设者、托管机构和持有者现在应该做什么
实际步骤虽枯燥乏味,且无需等待比特币治理:
- 审计地址重用。任何曾经支出过且仍持有余额的地址都在广播其公钥。将资金转移到你从未进行过交易的新地址。
- 避免 P2PK 和传统格式。如果你的托管技术栈仍涉及这些格式,请计划迁移到单次使用的现代地址类型。
- 跟踪 BIP-360 / BIP-361 的进展。对于长期持有者来说,激活时间表比现货价格更重要。
- 对于机构:现在就开始调研阶段。NIST 和美联储都建议在两到四年内完成资产清点和迁移规划。这包括 HSM 供应商路线图、KYT 流程和财务政策。
- 对于建设者:设计具有加密敏捷性(crypto-agility)的新系统。如今硬编码 ECDSA 的协议将比那些在接口后抽象化签名方案的协议支付更高的迁移成本。
即使 Q-day 永远不会以 Google 论文中所描述的形式到来,其中的大多数步骤也是有用的。它们同样能减少针对传统威胁的攻击面。
大局观:量子迁移是新的“千年虫”——只不过它是真实存在的
千年虫(Y2K)的比喻被过度使用了,但在结构上是恰当的。这是一个长期预警、技术性强、重治理、具有外部强制期限的升级,成功是无形的,而失败则是灾难性的。据估计,全球经济为补救 Y2K 花��费了 3000 亿至 6000 亿美元。后量子迁移的成本可能会更高,因为安装基数更大,且正在升级的系统包括没有任何一家公司可以控制的公有区块链。
Project Eleven 的 2000 万美元融资是对比特币无法再忽视时间表的首次严肃承认。Optimism 的 10 年路线图是主要 L2 的首次严肃承认。Google 3 月 31 日的论文则是量子领域巨头首次严肃承认时间线比行业假设的要短。
到 2027 年,预计会出现三件事:至少有一个与后量子地址类型相关的 BIP 达到激活状态(BIP-360 是领先候选者),每个主要的机构托管商都会发布量子准备声明,以及至少还有两家以上的初创公司以 Project Eleven 的模式完成融资。到 2030 年,后量子签名将成为每份企业加密采购 RFP(招标书)中的必选项。
Q-day 可能会也可能不会按照 Google 的时间表到来。抵御它的迁移已经开始,而抢占先机的窗口期正在迅速缩小。
BlockEden.xyz 在 15+ 条链上运营企业级 RPC 和索引基础设施。随着后量子标准的成熟和链级迁移的展开,我们的节点是新签名方案、地址类型和双重支持窗口在生产环境中实际运行所需的层级。探索我们的 API 市场,在为加密转型的长远发展而设计的基础设施上进行构建。
