BIP-360 解讀：比特幣首次邁向量子防禦，但為何只是「第一步」？

撰文：Cointelegraph

編譯：AididiaoJP，Foresight News

核心要點

• 量子風險主要威脅到已揭露的公鑰，而非比特幣採用的 SHA-256 哈希演算法。 因此，減少公鑰暴露成為開發者著力解決的核心安全問題。
• BIP-360 引入了支付到默克爾根（P2MR）的腳本，透過移除 Taproot 升級中的金鑰路徑花費選項，強制所有 UTXO 的花費都必須經由腳本路徑，從而最大限度地降低橢圓曲線公鑰的暴露風險。
• P2MR 保留了智能合約的靈活性，依然透過 Tapscript 梅克爾樹支援多簽、時間鎖和複雜的託管結構。

比特幣的設計哲學使其能夠抵禦嚴峻的經濟、政治和技術挑戰。 截至 2026 年 3 月 10 日，其開發者團隊正著手應對一項新興的技術威脅：量子運算。

近期發布的比特幣改進提案 360（BIP-360），首次正式將抗量子性列入了比特幣的長期技術路線圖。 儘管部分媒體報導傾向於將其描述為重大變革，但實際情況更為審慎和循序漸進。

本文將深入探討 BIP-360 如何透過引入支付到默克爾根（P2MR）腳本，移除 Taproot 的金鑰路徑花費功能，從而降低比特幣的量子風險敞口。 本文旨在闡明該提案的改進之處、引入的權衡因素，以及它為何尚未能使比特幣實現完全的後量子安全。

量子計算對比特幣的威脅來源

比特幣的安全性建立在密碼學基礎之上，主要包括橢圓曲線數字簽名演算法（ECDSA）以及透過 Taproot 升級引入的 Schnorr 簽名。 傳統電腦無法在可行時間內從公鑰逆向推導出私鑰。 然而一台具備足夠能力的量子電腦若運行肖爾演算法，則有可能破解橢圓曲線離散對數問題，進而危及私鑰安全。

關鍵差異如下：

• 量子攻擊主要威脅公鑰密碼體系，而非雜湊函數。 比特幣採用的 SHA-256 演算法在量子計算面前相對穩健。 格羅佛演算法僅能提供二次方的加速效果，而非指數級加速。
• 真正的風險在於公鑰在區塊鏈上被公開的時刻。

基於此，社群普遍將公鑰暴露視為最主要的量子風險來源。

2026 年比特幣的潛在脆弱點

比特幣網絡中的各類地址類型，面臨的未來的未來數量不盡相同標準：start;">重複使用的地址：當資金從該地址被花費時，其公鑰便在鏈上公開，一旦未來出現密碼學相關量子計算機（CRQC），該公鑰將面臨風險。

BIP-360 正是直接針對密鑰路徑暴露問題而設計。

BIP-360 的核心內容：引入 P2MR

BIP-360 提案

BIP-360 提案新增了一種名為支付到默克爾的類型。 此類型在結構上借鑒了 Taproot，但做出了一項關鍵性變更：徹底移除了金鑰路徑花費選項。

與 Taproot 承諾一個內部公鑰不同，P2MR 僅承諾腳本樹的默克爾根。 花費 P2MR 輸出的流程為：

揭示腳本樹中的一個葉子腳本。

提供一個默克爾證明，以證實該葉子腳本隸屬於被承諾的默克爾根。

整個過程中，不存在任何基於公鑰的花費路徑。

移除密鑰路徑花費帶來的直接影響包括：

• 避免因直接進行簽名驗證而暴露公鑰。
• 所有花費路徑均依賴於抗量子性更強的基於哈希的承諾。
• 長期存在於鏈上的橢圓曲線公鑰數量將顯著減少。
• 相較於依賴橢圓曲線假設的方案，基於哈希的方法在抵禦量子攻擊方面具有顯著優勢，從而大幅縮減了潛在的攻擊面。

BIP-360 所保留的功能

一個常見的誤解是，放棄密鑰路徑花費會削弱比特幣的智能合約或腳本功能。 事實上，P2MR 完全支援以下功能：

• 多簽配置
• 時間鎖定
• 條件付款
• 高階託管安排

BIP-360 透過 Tapscript 梅克爾樹來實現上述所有功能。 此方案在保留完整腳本能力的同時，捨棄了便利但有潛在風險的直接簽章路徑。

背景知識：中本聰曾在早期論壇討論中簡要提及量子計算，並認為若其成為現實，比特幣可以遷移至更強的簽名方案。 這表明，為未來的升級預留靈活性，是其初始設計想法的一部分。

BIP-360 的實踐影響

BIP-360 雖然看似一項純技術改進，但其影響將廣泛觸及錢包、交易所和託管服務等層面。 若提案被採納，它將逐步重塑新的比特幣輸出的創建、花費和保管方式，尤其對重視長期抗量子性的用戶產生深遠影響。

• 錢包支援：錢包應用程式可能會提供可選的 P2MR 地址（可能以 “bc1z” 開頭），作為“量子加固”選項，供用戶接收新幣或存儲長期持有資產。
• 交易費用：由於採用腳本路徑會引入更多見證數據，P2MR 交易相較於 Taproot 金鑰路徑花費會略大，可能導致交易費用稍有增加。 這體現了在安全性與交易緊湊性之間所做的權衡。
• 生態協同：全面部署 P2MR 需要錢包、交易所、託管機構和硬體錢包等各方進行相應更新。 相關規劃與協調工作需提早數年啟動。

背景知識：各國政府已開始關注「先收集，後解密」的風險，即當下大量收集並儲存加密數據，以待未來量子電腦問世後進行破解。 這種策略與對比特幣已暴露公鑰的潛在擔憂如出一轍。

儘管 BIP-360 增強了比特幣對未來量子威脅的防禦能力，但它並非一次徹底的密碼學體系重構。 理解其限制同樣至關重要：

• 現有資產不自動升級：所有舊的未花費交易輸出（UTXO）在用戶主動將資金轉移至 P2MR 輸出之前，其脆弱性依然存在。 因此，遷移過程完全取決於使用者的個體行為。
• 不引入新型後量子簽章：BIP-360 並未採用基於格的簽章方案（如 Dilithium 或 ML-DSA）或基於雜湊的簽章方案（如 SPHINCS+）來取代現有的 ECDSA 或 Schnorr 簽章。 它僅移除了 Taproot 金鑰路徑帶來的公鑰暴露模式。 要在基礎層全面過渡到後量子簽名，將需要一次規模大得多的協議變更。
• 無法提供絕對的量子免疫：即使未來突然出現可實際運作的 CRQC，抵禦其衝擊仍需礦工、節點、交易所和託管機構之間進行大規模、高強度的協同應對。 長期未動的「休眠幣」可能引發複雜的治理難題，並對網路造成巨大壓力。

開發者前瞻性佈局的動因

量子計算的技術發展路徑充滿不確定性。 部分觀點認為其實用化仍需數十年，而另一些則指出，IBM 在 2020 年代末的容錯量子電腦目標、谷歌在量子晶片上的突破、微軟在拓撲量子運算上的研究，以及美國政府設定的 2030-2035 年密碼系統過渡期限，都預示著相關進展期限正在加速。

關鍵基礎設施的遷移需要漫長的時間週期。 比特幣的開發者強調，必須從 BIP 設計、軟體實現、基礎設施適配到用戶採納等各個環節進行系統性規劃。 如果等到量子威脅迫在眉睫再行動，將可能因時間不足而陷入被動。

若社群達成廣泛共識，BIP-360 可能透過分階段的軟分叉方式推進：

• 活化 P2MR 新型輸出類型。
• 錢包、交易所和託管機構逐步增加對其的支援。
• 使用者在數年內漸進式地將資產遷移至新地址。

這個過程與當年隔離見證（SegWit）和 Taproot 升級所經歷的從可選到廣泛應用的路徑類似。

圍繞 BIP-360 的廣泛討論

關於實施 BIP-360 的緊迫性及其潛在成本，社區內仍存在持續的討論。 核心議題包括：

• 為長期持有者帶來的輕微費用增加是否可以接受？
• 機構使用者是否應率先進行資產遷移，發揮示範效應？
• 對於那些永遠不會被移動的「沉睡」比特幣，應如何妥善處理？
• 錢包應用應如何向使用者準確傳達「量子安全」概念，既不引發不必要的恐慌，又能提供有效資訊？

這些討論仍在持續進行中。 BIP-360 的提出極大地推動了相關議題的深入探討，但遠未為所有問題畫下句號。

背景知識：量子電腦可能破解當前密碼學的理論構想，可追溯至 1994 年數學家彼得·肖爾提出肖爾演算法之時，這遠早於比特幣的出現。 因此，比特幣對未來量子威脅的規劃，本質上是對這三十餘年歷史的理論突破的回應。

使用者目前可採取的應對措施

目前，量子威脅並非迫在眉睫，使用者無需過度擔憂。 但採取一些審慎的措施是有益的：

• 堅持地址不重複使用原則。
• 始終使用最新版本的錢包軟體。
• 專注於比特幣協議升級的相關動態。
• 留意錢包應用何時開始支援 P2MR 位址類型。
• 持有大量比特幣的用戶，應 quietly 評估自身風險敞口，並考慮制定相應的 contingency 計劃。

BIP-360：邁向抗量子時代的第一步

BIP-360 標誌著比特幣在協議層面減少量子風險敞口方面邁出了第一個具體步驟。 它重新定義了新輸出的創建方式，最大限度地減少了公鑰的意外洩露，並為未來的長期遷移規劃奠定了基礎。

它不會自動升級現有的比特幣，保留了當前的簽名體系，並凸顯了一個事實：實現真正的抗量子安全，需要一個謹慎協調、覆蓋全生態的持續努力。 這有賴於長期的工程實踐和分階段的社區採納，而非單一 BIP 提案所能一蹴而就。