後量子時代前夜:比特幣如何構建下一代安全防線?
撰文:Luke,火星財經
夜幕低垂的拉斯維加斯,在比特幣 2025 年會議的一場私密午餐會上,加密貨幣的資深專家們罕見地流露出凝重。 空氣中瀰漫的並非紙醉金迷的喧囂,而是一種更為深沉的憂慮:量子計算,這項曾被視為遙遠未來的顛覆性技術,正以驚人的速度逼近,其寒光已然投射在比特幣看似堅不可摧的加密壁壘之上。 警告聲稱,強大的量子計算機可能在數年內破解比特幣的私鑰,將價值約 420 億美元的比特幣置於險境,甚至可能引發一場波及整個市場的「清算事件」。
這並非危言聳聽。 谷歌量子人工智能團隊的最新研究如同火上澆油,指出破解當前廣泛使用的 RSA 加密算法所需的量子資源,比先前估計的驟減了 20 倍。 儘管比特幣使用的是橢圓曲線數字簽名算法(ECDSA),而非 RSA,但兩者在數學基礎上均面臨量子算法的潛在威脅。 Casa 聯合創始人 Jameson Lopp 的疾呼言猶在耳:「比特幣社區需要在量子威脅真正演變成生存危機之前達成共識,找到緩解之道。」
我們距離那個可能被量子計算「摧毀」的未來,究竟還有多遠? 這不僅僅是一個技術問題,更關乎信任、財富乃至一個新興行業的命運。
量子幽靈如何叩擊比特幣的加密之門?
要理解量子計算對比特幣的威脅,首先需要審視比特幣安全的基石——ECDSA。 簡單來說,當你創建一個比特幣錢包時,會生成一對密鑰:一個私鑰(你必須絕對保密)和一個公鑰(可以公開)。 公鑰經過一系列哈希運算生成比特幣地址。 交易時,你用私鑰對交易進行數字簽名,網絡中的其他人可以用你的公鑰來驗證這個簽名的確出自你手,且交易信息未被篡改。 對於經典計算機而言,從公鑰反推出私鑰,在數學上被認為是不可行的,這正是比特幣安全的根基。
然而,量子計算機的出現,特別是 1994 年彼得·肖爾(PEter Shor)提出的肖爾算法,徹底改變了這一局面。 肖爾算法能夠高效地解決大數質因數分解和離散對數問題,而這恰恰是 RSA 和 ECDSA 等公鑰密碼體係安全性的數學基礎。 一旦一台足夠強大的量子計算機得以構建並穩定運行,它理論上就能利用肖爾算法,通過已知的公鑰迅速計算出對應的私鑰。
哪些比特幣最先暴露在量子炮火之下? 首當其衝的是那些直接暴露了公鑰的地址。 最典型的便是比特幣早期使用的 P2PK(Pay-to-Public-Key)地址,其地址本身或相關交易直接公開了公鑰。 據估計,仍有數百萬比特幣(一種說法是約 190 萬至 200 萬枚)沉睡在這類地址中,其中不乏傳說中屬於中本聰的早期「創世」比特幣。 此外,更為常見的 P2PKH(Pay-to-Public-Key-Hash)地址,雖然地址本身是公鑰的哈希值,相對安全,但一旦該地址發生過支出交易,其公鑰就會在交易數據中被公開。 如果這些地址被重複使用(即多次從同一地址發出交易),其公鑰便持續暴露,同樣面臨風險。 據德勤等機構早前分析,因地址重用等原因導致公鑰暴露的比特幣可能也高達數百萬枚。 包括較新的 Taproot(P2TR)地址,儘管引入了 Schnorr 簽名等技術優化,但在某些情況下,公鑰或其變體仍可能被推斷出來,使其無法完全豁免於量子威脅。
綜合來看,沉澱在各類易受攻擊地址中的比特幣總量,可能占到比特幣總供應量的一定比例。 早前(如 2022 年)的估算認為,大約有 400 萬到 600 萬枚比特幣處於較高風險中。 若以當前比特幣價格(例如,假設為 7 萬美元一枚)粗略計算,這部分資金的價值可達 2800 億至 4200 億美元。 這或許是「420 億美元」風險警告的一個更合理的解釋來源——它指的不是一個精確的數字,而是對巨額財富暴露於潛在風險的一種警示。
更令人不安的是所謂的「短程攻擊」(Short-Range Attack)。 當你發起一筆比特幣交易時,你的公鑰會隨著交易信息一同廣播到網絡中,等待礦工打包確認。 這個過程通常需要 10 到 60 分鐘。 如果一台量子計算機能在這短暫的時間窗口內從廣播的公鑰中破解出私鑰,它就能構造一筆新的交易,以更高的手續費搶先將你的比特幣轉走。 一旦這種攻擊成為現實,那麼幾乎所有類型的比特幣交易都將面臨即時威脅。
量子硬件的競賽:從理論到現實的疾行
長期以來,構建一台能夠運行肖爾算法破解實際密碼系統的量子計算機,被認為是遙不可及的。 然而,近年來的進展卻令人矚目,尤其是在提升量子比特(qubit)的質量、數量以及糾錯能力方面。 真正衡量量子計算機破解密碼能力的關鍵,並非僅僅是物理量子比特的數量,而是能夠可靠執行複雜算法的「邏輯量子比特」的數量和質量。
谷歌量子人工智能團隊的研究員 Craig Gidney 在 2025 年初的更新研究中指出,破解 2048 位 RSA 加密(常用於傳統網絡安全)可能不再需要先前估計的數千萬物理量子比特,而是「少於一百萬個帶有噪聲的量子比特」,並且可能在「不到一周」的時間內完成。 這一估計的顯著降低,得益於算法優化和錯誤校正技術的進步,例如近似剩餘數運算、更高效的邏輯量子比特存儲以及「魔術態」提純等技術的應用。 儘管 Gidney 強調,這樣的量子計算機仍需滿足苛刻的條件(如連續五天穩定運行,極低的門錯誤率),遠超當前技術水平,但它無疑縮短了我們感知中的「量子安全距離」。 而對於比特幣所使用的 ECDSA (secp256k1 曲線 ),雖然具體破解所需的量子資源相較於 RSA-2048 的最新估算尚無同樣精確且廣為接受的公開數據,但密碼學界的普遍觀點是,由於其數學結構,量子計算機攻破 ECDSA 可能比攻破 RSA 更為容易。
在硬件層面,幾大巨頭正在奮力追趕。 IBM 的量子路線圖雄心勃勃,其「Osprey」處理器已達 433 物理量子比特,「COndor」更是達到實驗性的 1121 物理量子比特。 更重要的是,IBM 專注於提升量子比特質量和糾錯能力,其「Heron」處理器(133 量子比特)憑藉更低的錯誤率成為當前發展重點,併計劃在 2025 年推出擁有 1386 物理量子比特的「Kookaburra」系統,通過多芯片連接實現更大規模。 其更長遠的目標是在 2029 年實現擁有 200 個高質量邏輯量子比特的「Starling」系統,屆時預計能執行高達 1 億次的量子門操作。
谷歌也在持續發力,其「Willow」芯片(據稱擁有 105 物理量子比特)在 2025 年初亮相,被其團隊描述為「可擴展邏輯量子比特的有說服力的原型」,並在量子糾錯方面取得了「低於閾值」的進展,這是實現容錯量子計算的關鍵一步。
而 Quantinuum 公司則在 2025 年投下了一顆「重磅炸彈」,宣布其「Helios」量子計算系統將在當年晚些時候商業化可用,並且能夠支持「至少 50 個高保真邏輯量子比特」。 這一聲明,如果完全實現,將是量子計算從實驗研究邁向具有實際計算能力(尤其是在特定應用領域)的重要里程碑。 該公司還在 2025 年 5 月展示了創紀錄的邏輯量子比特隱形傳態保真度,進一步證明了其在構建高質量邏輯量子比特方面的領先地位。
儘管如此,距離能夠威脅比特幣的容錯量子計算機的出現,專家們的預測仍存在分歧。 一些樂觀(或悲觀,取決於立場)的估計認為可能在未來 3 到 5 年內出現,而另一些則認為至少還需要十年或更長時間。 重要的是,量子威脅並非一個「開 / 關」式的突變,而是一個概率逐漸增加的過程。 硬件的每一次進步,算法的每一次優化,都在悄然縮短著倒計時。
比特幣的「量子反擊戰」:未雨綢繆還是亡羊補牢?
面對日益清晰的量子威脅,比特幣社區並非束手無策。 密碼學界早已開始研究「後量子密碼」(PoSt-Quantum Cryptography, PQC),即那些被認為能夠抵抗已知量子算法攻擊的新型密碼算法。 美國國家標準與技術研究院(NIST)經過多年篩選,已經公佈了首批標準化的 PQC 算法,主要包括用於密鑰封裝的 CRYSTALS-Kyber,以及用於數字簽名的 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。
對於比特幣而言,基於哈希的簽名方案(Hash-Based Signatures, HBS),如 SPHINCS+,因其安全性不依賴於尚待大規模檢驗的數學難題(如格密碼),而是基於已得到充分研究的哈希函數的抗碰撞性,被認為是一個有力的競爭者。 SPHINCS+ 是無狀態的(相比其前輩 XMSS 等),這一點對於區塊鏈的分佈式特性尤為重要。 然而,基於哈希的簽名通常面臨簽名體積較大、密鑰生成和驗證時間較長等挑戰,這些都可能對比特幣的交易效率和區塊鏈的存儲造成壓力。 如何在不犧牲比特幣核心特性的前提下整合這些 PQC 算法,是一個巨大的技術難題。
更大的挑戰在於如何將比特幣從現有的 ECDSA 遷移到新的 PQC 標準。 這不僅僅是代碼層面的修改,更涉及到對比特幣協議進行根本性的升級,以及全球數百萬用戶、數千億美元資產的平穩過渡。
首先是升級方式的選擇:軟分叉還是硬分叉? 軟分叉對舊節點兼容,通常被認為風險較低,但實現複雜 PQC 功能的自由度可能受限。 硬分叉則不兼容舊規則,所有參與者必須升級,否則將導致區塊鏈分裂,這在比特幣歷史上往往伴隨著巨大的爭議和社區分裂風險。
其次是遷移機制。 如何讓用戶將他們存儲在舊地址(ECDSA)中的比特幣安全地轉移到新的量子抵抗(QR)地址? 這個過程需要設計得既安全便捷,又要防止在遷移窗口期出現新的攻擊向量。
比特幣思想領袖 Jameson LOPp 在其廣為討論的文章《反對允許量子計算機恢復比特幣》中,對這一問題提出了深刻的見解。 他認為,如果任由擁有量子算力者「恢復」(實為竊取)那些未使用 PQC 保護的比特幣,無異於一場面向少數技術寡頭的財富再分配,這將嚴重損害比特幣的公平性和可信度。 他甚至提出了一個頗具爭議的設想:設定一個「最終遷移期限」(drop-dead date),在此之後,未遷移到 QR 地址的比特幣可能會被協議視為「已銷毀」或永久無法花費。 Lopp 承認,這是一種艱難的權衡,可能導致部分用戶資產損失(尤其是那些長期休眠或丟失私鑰的地址),甚至引發硬分叉,但他認為這是為了保護比特幣網絡長期完整性和核心價值主張所必須考慮的「苦藥」。
另一位開發者 Agustin Cruz 則提出了一個名為 QRAMP(量子抵抗地址遷移協議)的具體硬分叉提案。 該提案主張設定一個強制遷移期,逾期未遷移的比特幣也將被視為「燃燒」,以此來「逼迫」整個生態系統迅速過渡到量子安全狀態。 這類激進的提案凸顯了社區在應對量子威脅路徑上的潛在分歧,以及在去中心化治理模式下達成共識的艱鉅性。
除了升級到 PQC 地址,持續倡導並強化「不重用地址」的最佳實踐,也能在一定程度上降低風險,但這終究只是權宜之計,無法根除量子算法對 ECDSA 本身的威脅。
生態徬徨:在慣性與求變之間
面對如此重大的系統性風險,比特幣生態系統的準備情況如何? 一些新興的公鏈項目,如 Quantum Resistant Ledger (QRL),從設計之初就內置了 PQC 特性,或者如 Algorand 等項目也在積極探索 PQC 集成方案。 它們如同輕舟,在後量子密碼的浪潮中嘗試先行。
然而,比特幣這艘「萬噸巨輪」,因其巨大的市值、廣泛的用戶基礎以及根深蒂固的去中心化和抗審查理念,使其任何核心協議的改動都異常困難和緩慢。 開發者社區對量子威脅的認知正在深化,相關的討論(例如 Lopp 的文章、QRAMP 提案以及在 Bitcoin-dev 郵件列表中的零星探討)也在進行,但距離形成一個清晰、得到廣泛共識的升級路線圖,似乎還有很長的路要走。 目前,尚缺乏來自主流比特幣交易所、錢包服務商或大型礦池關於其 PQC 過渡計劃的明確公開信息,這從一個側面反映出,比特幣的 PQC 轉型更多還處於理論研究和早期探討階段,而非迫在眉睫的工程實施。
這種狀態,讓比特幣陷入一種「太大而不能倒,卻又太慢而難以進化」的困境。 其強大的網絡效應和品牌認知是其護城河,但在快速迭代的技術革新面前,這種穩定性有時也可能轉化為一種惰性。
「量子清算」:遠不止失去密鑰那麼簡單
倘若比特幣未能在量子計算機具備實際攻擊能力之前完成 PQC 過渡,會發生什麼? 這絕不僅僅是部分用戶丟失比特幣那麼簡單。
一場大規模的量子攻擊,首先可能觸發市場的「清算事件」。 一旦信心動搖,恐慌性拋售可能導致比特幣價格災難性雪崩。 這種衝擊波不會局限於比特幣本身,很可能蔓延至整個加密貨幣市場,甚至對那些在加密領域有大量風險敞口的傳統金融機構產生漣漪效應。
更深遠的影響在於信任的崩塌。 比特幣之所以被賦予「數字黃金」的稱號,很大程度上源於其號稱「堅不可摧」的加密安全性。 如果這一基石被量子計算輕易攻破,那麼建立在其上的所有價值敘事、應用場景都將面臨嚴峻考驗。 公眾對數字資產的整體信任度可能會降至冰點。
與其他已知的比特幣安全風險(如 51% 攻擊、重大軟件漏洞、日益收緊的全球監管)相比,量子威脅的獨特性在於其顛覆性。 51% 攻擊雖然能造成雙花或交易審查,但難以直接竊取私鑰;軟件漏洞可以修復;監管壓力則更多影響合規和應用邊界。 而量子攻擊一旦實現,則是對現有加密體系的「降維打擊」,直接威脅到資產的最終所有權。
回顧密碼學的歷史,從 DES 到 AES 的升級,再到 SHA-1 哈希算法的逐步棄用,每一次重大的密碼體系遷移,都是在中心化機構(如政府、標準組織)主導下,歷經數年甚至數十年的漫長過程。 比特幣的去中心化治理模式,雖然賦予了其強大的韌性和抗審查能力,但在需要快速、統一行動以應對全局性技術變革時,卻可能顯得步履蹣跚。
結語:在量子迷霧中探索前行之路
量子計算,這把懸在比特幣頭上的達摩克利斯之劍,其墜落的時間點尚不明朗,但劍身的寒氣已然可感。 它對整個密碼學世界,尤其是以比特幣為代表的加密貨幣領域,構成了迄今為止最為深刻的長期挑戰。
比特幣社區正面臨一場前所未有的考驗:如何在堅守其去中心化、抗審查、代碼即法律等核心信條的同時,完成一次關乎生死存亡的底層密碼體系升級。 這不僅是一場與量子計算機發展的賽跑,更是 PQC 算法研究、標準化、比特幣協議創新、社區共識凝聚以及全球生態系統協同遷移的複雜系統工程。
未來之路充滿不確定性。 是成功進化,化量子威脅為技術革新的催化劑,邁入一個更為安全的後量子時代? 還是因共識之難、遷移之艱,最終在量子計算的黎明中黯然失色? 歷史的車輪滾滾向前,答案,或許就隱藏在未來幾年比特幣社區的每一個決策、每一次代碼提交、以及每一場激烈的辯論之中。 這注定是一個關於創新、風險與堅韌的未完待續的故事,而我們每個人,無論是參與者還是觀察者,都身處這波瀾壯闊的變革前夜。
