9 分鐘破解比特幣私鑰？ 量子威脅下的區塊鏈生存指南

撰文：Changan，Biteye 內容團隊

TL;DR

Google量子理論團隊最新筆元顯示，具備 50 萬個量子金鑰的字數已在 60 萬個量子金鑰上曝光新比特幣上的比特幣威脅元。 雖然現有技術距此目標還差 446 倍，且預計 2029 年前後才可能實現，但這不再是遙遠科幻。 比特幣社群正推進 BIP-360、SPHINCS+ 等抗量子升級方案。 一般使用者目前無需恐慌，但應檢查地址格式（避免長期使用 bc1p 開頭的 Taproot 地址）、養成"一地址一交易"習慣，並關注錢包廠商的後續更新。

2026 年 3 月 31 日，一個普通的星期一，加密圈突然炸了。

Google量子 AI 團隊發了一篇論文，說量子電腦破解比特幣私鑰只需要 9 分鐘，而比特幣一個區塊的確認時間，平均是 10 分鐘。

有人說這是危言聳聽，有人說離現實還差十萬八千里，但這次發出警告的是谷歌。

量子電腦到底能不能破解比特幣？ 威脅是真實的還是誇大的？ 普通人需要做什麼？ 這篇文章試著把這件事講清楚。

一、Google那篇論文到底說了什麼

之前產業裡的普遍共識是，如果要破解比特幣的加密演算法，量子電腦需要數百萬個量子位元。 這個數字大得離譜，所以大家都覺得這件事至少還有幾十年。 但谷歌這篇論文把這個數字壓到了不到 50 萬。 一下子縮水了 20 倍。

論文裡有一個具體的攻擊場景：當你發出一筆比特幣交易，你的公鑰會短暫暴露在網路裡，等待被打包進區塊。 這個視窗平均 10 分鐘。 而根據Google的估算，一台足夠強大的量子電腦可以在約 9 分鐘內，從你的公鑰反推出私鑰，然後偽造一筆更高礦工費的交易，把錢在你的原始交易上鍊之前截走，成功率約 41%。

當然，論文描述的是一台具備完整糾錯能力的容錯量子計算機。 谷歌自己的 Willow 處理器只有 105 個實體量子位元，而論文要求的是 50 萬個。 兩者之間差了 446 倍，所以能破解 BTC 的量子電腦暫時還不存在。

Google自己定下的目標是 2029 年完成向後量子密碼學的遷移，這個時間點某種程度上也說明了他們認為威脅會在什麼時間窗口內變得現實。

但如果有一天這台機器造出來了，破解比特幣的成本比你想的低得多。

二、量子計算機和普通計算機，到底哪裡不一樣

但在聊這件事意味著什麼之前，得先搞清楚一個問題：量子計算機到底是什麼？

普通計算機用位元處理訊息，每個位元只有兩種狀態：0 或 1。

做任何計算，都是在對這些 0 和 1 進行操作。 256 位元的私鑰意味著有 2²⁵⁶種可能的組合：用經典電腦暴力破解，即使集合全球所有算力，也需要比宇宙年齡還長的時間，這就是為什麼比特幣在過去 15 年裡一直很安全。

量子電腦用的是量子位元（qubit），量子位元的神奇之處在於疊加態：它可以同時是 0 也是 1。8 個量子位元不是只能表示 1 個狀態，而是可以同時表示 256 個狀態。 量子位元越多，並行處理的能力就呈指數級增長。

但光有並行還不足以對 BTC 產生威脅，真正讓量子電腦對密碼學構成威脅的是 1994 年麻省理工學院數學家 Peter Shor 發明的"Shor 演算法"。 這個演算法專門用來分解大整數和解橢圓曲線離散對數問題，而這兩個難題，恰好就是比特幣和以太坊私鑰安全性的根基。

舉個例子：傳統計算機就像你要在迷宮裡找出口，只能一條路一條路地試；量子計算機配上 Shor 算法，就像有人給了你迷宮的俯視圖，看一眼就能知道出口在哪裡。

比特幣用的簽名演算法叫 ECDSA（橢圓曲線數位簽名演算法），運行在 secp256k1 曲線上。 這套系統對經典計算機是銅牆鐵壁，但 Shor 演算法可以專門攻破橢圓曲線的數學結構。

三、量子計算機究竟怎麼偷走你的比特幣

搞清楚量子計算機的原理之後，再來看它具體威脅比特幣。

建立錢包時，系統會產生一個私鑰，一串隨機的 256 位元 數字。 由私鑰推導出公鑰，再由公鑰推導出錢包位址。 這條鏈只能順著走，知道私鑰能算出公鑰，反過來卻不行。

當你發送比特幣時，私鑰只用來產生一個數位簽名，隨交易廣播出去，告訴全網這筆錢是你發的。 網路驗證簽名合法，交易確認，完成。

Shor 演算法理論上可以破解橢圓曲線密碼學，也就是比特幣私鑰安全性的根基。 但沒有人把這件事當一回事，因為運行這個演算法所需的運算能力，經典計算機根本達不到。

問題在於，量子電腦這些年真的在進步。 一旦它夠強大，量子電腦只需要拿到你的公鑰，就能反推出私鑰，偽造你的簽名，把錢轉走。

這就引出了一個關鍵問題：你的公鑰是否已經暴露了？

公鑰的暴露分為兩種情況。

第一種是長期暴露，公鑰已經永久寫在鏈上，量子機器隨時可以讀取。 有兩類位址屬於這種情況：

中本聰和早期礦工使用的原始地址格式，那個年代公鑰直接明文存儲；

bc1p 開頭的地址，Taproot 本意是量子密鑰在隱私和效率，但設計地址在其上。

第二種是短期暴露，在你發出交易的那一刻，傳統地址格式在未花費狀態下，公鑰藏在哈希值後面，外人看不到。 但每當你發送一筆交易，公鑰就會隨交易進入記憶體池，在被打包進區塊之前對全網可見，這個視窗平均 10 分鐘。

也就是說，不管你平常操作多謹慎，只要發出過交易，就有被攻擊的可能性。

目前約有 690 萬枚比特幣的公鑰已經永久暴露在鏈上。 無論這些幣在個人錢包裡還是交易所的熱錢包裡，只要地址屬於上述高風險類型，或該地址曾經發出過交易，公鑰就已經洩漏了。

四、比特幣社區在做什麼

谷歌論文發布當天，CZ @cz_binance 在推特上回應：不需要量子恐慌，有升級到行業威脅的能力，但有抗量子能力，但有反量子能力的問題：不需要升級到行業威脅。

V 神 @VitalikButerin 的態度則謹慎得多，他很早就開始警告這個問題，給出過一個估算：2030 年之前出現真正具備攻擊能力的量子計算機，概率約 20%。

兩個人都認為威脅是真的，只是對緊迫程度的判斷不一樣。 比特幣開發者社群早在這篇論文之前就沒有忽視這個問題，目前有四個方向被認真討論。

BIP-360，也叫 Pay-to-Merkle-Root。 現在的比特幣位址會把公鑰永久寫在鏈上，BIP-360 的想法是把公鑰從交易結構裡徹底移除，改用 Merkle 根來取代。 量子機器沒有公鑰可以分析，攻擊就無從下手。

這個方案已經在 BTQ Technologies 的測試網上跑起來了，目前有超過 50 個礦工參與，處理了超過 20 萬個區塊。 但需要說清楚的是，BIP-360 只保護新產生的幣，那 170 萬枚已經暴露公鑰的舊地址仍然是個問題。

SPHINCS+：正式名稱是 SLH-DSA，是一種基於雜湊函數的後量子簽章方案。 它的邏輯很直接：既然 Shor 演算法專門針對橢圓曲線，那就換掉橢圓曲線，用雜湊函數來做簽章。

這個方案已經在 2024 年 8 月透過 NIST 標準化。 麻煩在於簽名體積：現在比特幣的 ECDSA 簽名只有 64 字節，SPHINCS+ 的簽名超過 8KB，體積膨脹了 100 多倍，會大幅推高交易費用和區塊空間需求。

為此開發者又提出了 SHRIMPS 和 SHRINCS 等最佳化方案，目標是在不犧牲安全性的前提下壓縮簽名大小。

Commit/reveal 方案：由閃電網路共同創辦人 Tadge Dryja 提出，這個方案針對的是記憶體池裡的短期暴露風險。 它把一筆交易分成兩個階段：

第一階段先提交一個哈希指紋，不包含任何交易信息，只是在鏈上留下一個時間戳

第二階段再廣播真實交易，公鑰這時才暴露出來。 即使量子攻擊者在第二階段截獲了公鑰並推算出私鑰，它偽造的交易也會被網路拒絕，因為沒有對應的第一階段預先提交記錄。 代價是每筆交易多一個步驟，成本略為上升。

這被社群視為一種過渡方案，在更完整的抗量子體系建立起來之前先用著。

Hourglass V2：由開發者 Hunter Beast 提出，專門針對那 170 萬枚已經永久暴露公鑰的老地址。 這個方案的邏輯很悲觀但很現實：既然這些地址的公鑰已經無法隱藏，一旦量子機器夠強大，這些幣遲早會被偷。

Hourglass V2 不打算阻止老地址被盜的，而是把每個區塊允許從這類地址轉出的比特幣限制在 1 枚，就像銀行擠兌時限制每日取款額度。

這個提案爭議極大，因為比特幣社群有一條原則：任何人都無權干涉你的比特幣，即使是這種有限度的限制，很多人也認為越界了。

這不是比特幣第一次面對需要升級的壓力。 2017 年的擴容之爭打了幾年，最後分裂出了 Bitcoin Cash。 2021 年的 Taproot 升級從提案到啟動花了將近四年。 每次，社區都要經歷漫長的爭論、拉鋸、妥協，才能推動任何一件事向前走一步。 量子威脅的應對，大機率也會走同一條路。

五、一般使用者現在需要做什麼

說了這麼多，一般使用者能做什麼？

答案沒有你想像的那麼複雜。 量子電腦今天還破解不了你的比特幣，但有幾件事現在就可以開始注意。

打開你的錢包，看看接收地址是什麼開頭。 bc1p 開頭是 Taproot 位址，公鑰預設嵌入位址本身，屬於長期暴露的高風險格式。 如果你的資產放在這類位址裡且從未動過，現在的風險還是理論層面的，但值得關注後續 BIP-360 的進展。

bc1q 開頭的 SegWit 位址，以及 1 開頭的傳統位址，在從未花費的狀態下公鑰仍然受到哈希保護，相對安全。 但只要你發出過一筆交易，公鑰就已經永久暴露在鏈上了。

盡量不要在同一個地址重複收款和轉帳。 每次發送交易都會暴露公鑰，用過的地址就不再有哈希保護。 大多數現代錢包預設會在每次收款後產生新地址，這個功能打開著就好。

Ledger、Trezor 這類硬體錢包廠商將是抗量子升級的重要一環。 一旦 BIP-360 或後量子簽章方案在主網激活，錢包需要同步支援新的位址格式和簽章演算法。 這個過程用戶端要做的事情可能只是更新固件，但也可能需要把資產從舊地址遷移到新格式地址。 現在能做的是確保你使用的錢包來自有持續更新能力的廠商，並且保持專注。

交易所不需要用戶操作，技術升級由他們的團隊負責推播。 Coinbase 已經成立了量子顧問委員會，各大交易所在監管壓力下也會跟進。 放在有信譽的大交易所裡的資產，量子升級對你來說是透明的。

六、寫在最後

"量子計算機會破解比特幣"這個說法流傳很多年了，每次出現都會被嘲諷一輪，然後什麼都沒發生。 久而久之，大家開始默認這是個狼來了的故事。

這次發出警告的是Google。 比特幣的開發者已經在認真準備應對方案，以太坊那邊的路線圖也在推進。 但這件事之前一直停留在理論層面，量子電腦到底能不能真正攻克比特幣的加密演算法，現在沒有人能給出確定的答案。

Google說 2029 年，有人說還要幾十年，也有人說永遠不會。 這個問題的答案，只有時間知道。

量子計算的進展也從來不是勻速的，上一個重大突破發生在沒有人預料到的時間節點，下一個也可能一樣。