作者 | Christopher Bendiksen, CoinShares

編譯 | GaryMa 吳說區(qū)塊鏈

https://coinshares.com/us/insights/research-data/quantum-vulnerability-in-bitcoin-a-manageable-risk/

未來實際可用的量子計算機(jī)并非零概率的可能性，持續(xù)引發(fā)了圍繞其對比特幣加密安全潛在影響的廣泛討論。這當(dāng)然是健康的，也是對一個數(shù)萬億美元價值儲存系統(tǒng)而言必要的預(yù)防措施。然而，盡管該技術(shù)在理論上帶來挑戰(zhàn)，其現(xiàn)實風(fēng)險仍然遙遠(yuǎn)，并且可以通過直接的手段加以應(yīng)對。

對于機(jī)構(gòu)投資者而言，理解這一問題需要將推測（以及不幸的是，大量自利性質(zhì)的炒作和牟利行為）與基于證據(jù)的分析區(qū)分開來。比特幣的量子脆弱性并非迫在眉睫的危機(jī)，而是一個可以預(yù)見的工程層面考量，并且擁有充足的時間進(jìn)行適應(yīng)。

關(guān)鍵要點總結(jié)

量子脆弱性概述：Shor 算法在理論上可能暴露 ECDSA/Schnorr 中的密鑰，Grover 算法削弱 SHA-256；威脅仍然遙遠(yuǎn)，僅限于約 170 萬枚 BTC 的 P2PK 地址（占總供應(yīng)量的 8%），對市場造成沖擊的潛在可能性極小（見下文最后一點）

安全框架：依賴橢圓曲線進(jìn)行授權(quán)、依賴哈希函數(shù)進(jìn)行保護(hù)；量子計算無法改變 2100 萬枚的供應(yīng)上限，也無法繞過工作量證明?，F(xiàn)代 P2PKH/P2SH 在花費前隱藏公鑰；所謂 25% 的脆弱性說法夸大了可緩解的暫時性風(fēng)險

時間線與可行性：在可行時間內(nèi)（<1 年）攻破 secp256k1 需要當(dāng)前邏輯量子比特數(shù)量的 10 到 10 萬倍；相關(guān)量子技術(shù)至少還需要 10 年。長期攻擊可在數(shù)年內(nèi)進(jìn)行?—?— 可能在十年內(nèi)變得可行；短期攻擊（內(nèi)存池攻擊）需要 <10 分鐘的計算時間?—?— 在除極長期（數(shù)十年）之外的任何時間尺度上都不可行

激進(jìn)干預(yù)的優(yōu)點（例如針對抗量子格式的軟/硬分叉或銷毀幣）：提前加固網(wǎng)絡(luò)，防范意外技術(shù)突破，提供遷移路徑，傳遞適應(yīng)能力信號，增強投資者信心

激進(jìn)干預(yù)的缺點：未經(jīng)充分驗證的加密技術(shù)可能引入漏洞；可能將稀缺的開發(fā)資源浪費在尚未被證明或效率低下的方案上，并引發(fā)更多變更；假定休眠幣已丟失，導(dǎo)致強制或盜?。煌{中立性；侵蝕產(chǎn)權(quán)、去中心化、不可變性與信任

市場影響：現(xiàn)實中可能僅限于約 1 萬枚 BTC，這些幣可能因私鑰被攻破而突然、意外地進(jìn)入市場；最終看起來更像是常規(guī)交易；持有人可以自愿遷移；剩余幣分布在 3.4 萬個、每個約 50 BTC 的地址中，即便在最為樂觀的技術(shù)突破情形下，也需要數(shù)十年才能被竊取

正確分析這一問題需要深度與細(xì)致的理解

比特幣的安全框架依賴兩大核心加密要素：用于交易授權(quán)的橢圓曲線數(shù)字簽名算法（ECDSA 或基于 secp256k1 的 Schnorr），以及用于挖礦和地址保護(hù)的 SHA-256 等哈希函數(shù)。ECDSA 生成非對稱密鑰對，在經(jīng)典計算系統(tǒng)上，從公鑰推導(dǎo)出私鑰在計算上是不可行的。SHA-256 提供單向哈希，其逆向同樣在計算上不可行。量子算法帶來了特定的擔(dān)憂。一個常見的誤解是，量子計算會整體性地破解加密體系，但事實并非如此。下面我們總結(jié)了實用量子計算機(jī)對常見加密函數(shù)的影響。

現(xiàn)有加密類型?—?— 量子前與量子后：

當(dāng)前面臨的主要問題是用于授權(quán)比特幣交易的 256 位 ECDSA（現(xiàn)為 Schnorr，但面臨同樣問題）簽名算法。Shor 算法在理論上可能解決支撐橢圓曲線的離散對數(shù)問題，一旦公鑰暴露，私鑰就可能被推導(dǎo)出來。

Grover 算法將 SHA-256 等對稱哈希的有效安全性從 256 位降低到 128 位，但由于計算需求極其龐大，暴力破解仍然不切實際，因此由哈希保護(hù)的地址依然安全。至于挖礦，量子計算機(jī)在理論上可能成為一種相當(dāng)快速的挖礦設(shè)備，但其相較于 ASIC 是否具有經(jīng)濟(jì)性完全不清楚（而且鑒于比特幣內(nèi)置的自動難度調(diào)整機(jī)制，這一點并不重要）。重要的是，量子計算無法改變比特幣固定的 2100 萬枚供應(yīng)上限，也無法繞過區(qū)塊驗證所需的工作量證明。

風(fēng)險敞口僅限于公鑰可見的地址，主要是傳統(tǒng)的 Pay-to-Public-Key（P2PK）輸出，這些地址共持有約 160 萬枚 BTC，占總供應(yīng)量的約 8%。然而，其中只有 10,200 枚 BTC 位于 UTXO 中，一旦被量子計算機(jī)竊取，才可能對市場造成任何顯著擾動。其余約 160 萬枚 BTC 分布在 32,607 個獨立的、約 50 BTC 的 UTXO 中，即便在對量子計算技術(shù)進(jìn)步作出極端樂觀的假設(shè)下，也需要數(shù)千年才能解鎖。

量子脆弱幣的分布與數(shù)量

更現(xiàn)代的地址格式，如 Pay-to-Public-Key-Hash（P2PKH）或 Pay-to-Script-Hash（P2SH），通過哈希隱藏公鑰，在資金被花費之前保持安全。關(guān)于 25% 脆弱性的說法通常包含暫時性風(fēng)險，例如交易所重復(fù)使用地址，這些問題可以通過最佳實踐輕松緩解；而且在技術(shù)發(fā)展真正變得危險之前，會有長達(dá)數(shù)年的預(yù)警期，為簡單的行為調(diào)整留下充足時間。

我們離危險區(qū)域還相當(dāng)遙遠(yuǎn)

截至 2026 年初，量子威脅并不迫近。要攻破 secp256k1，需要擁有數(shù)百萬個邏輯量子比特的量子系統(tǒng)?—?— 這遠(yuǎn)遠(yuǎn)超出了當(dāng)前能力范圍。根據(jù)研究人員的說法，若要在一天之內(nèi)逆推出一個公鑰，攻擊者需要一臺具備容錯和誤差控制能力的量子計算機(jī)，而這種性能目前尚未實現(xiàn)，并且需要 1300 萬個物理量子比特?—?— 約為當(dāng)前最大量子計算機(jī)規(guī)模的 10 萬倍。若要在一小時內(nèi)完成破解，其性能需要比當(dāng)前量子計算機(jī)高出 300 萬倍。網(wǎng)絡(luò)安全公司 Ledger 的 CTO Charles Guillemet 向 CoinShares 表示：“要破解當(dāng)前的非對稱加密，需要的是數(shù)量級在數(shù)百萬的量子比特。谷歌目前的 Willow 計算機(jī)只有 105 個量子比特。而且每增加一個量子比特，維持相干系統(tǒng)的難度都會呈指數(shù)級上升?！蔽覀冊诖颂帉ι鲜鰞?nèi)容進(jìn)行了更深入的分析。

包括谷歌在內(nèi)的近期演示展示了進(jìn)展，但距離對比特幣發(fā)動現(xiàn)實世界攻擊所需的規(guī)模仍然相去甚遠(yuǎn)。

一些估計認(rèn)為，與密碼學(xué)相關(guān)（但不一定在實踐中構(gòu)成危險）的量子計算機(jī)可能要到 2030 年代或更晚才會出現(xiàn)，部分分析預(yù)測需要 10–20 年。

長期風(fēng)險敞口（如 P2PK 地址）屆時可能面臨需要數(shù)年計算時間的攻擊；而短期風(fēng)險敞口（如交易過程中在內(nèi)存池中可見的公鑰）則要求在不到 10 分鐘內(nèi)完成計算。

激進(jìn)干預(yù)既有利也有弊

通過激進(jìn)干預(yù)來應(yīng)對這一問題的提議，例如在未經(jīng)充分驗證或技術(shù)上尚不成熟的情況下進(jìn)行抗量子地址格式的軟分叉，或更糟糕的是，通過硬分叉銷毀脆弱幣，都需要極端謹(jǐn)慎。這類行為不僅可能因無意中引入關(guān)鍵漏洞而引發(fā)技術(shù)災(zāi)難，還可能削弱比特幣在產(chǎn)權(quán)和去中心化方面的核心原則，在沒有必要的情況下侵蝕信任。

在支撐其安全性的密碼學(xué)尚未被充分理解和驗證之前，引入新的地址格式極其危險，也不值得提倡。我們必須認(rèn)識到，在實際可用的量子計算機(jī)出現(xiàn)之前，我們無法確定抗量子密碼學(xué)是否在可證明意義上有效。此外，如果過早選擇抗量子地址方案，我們可能會將稀缺的開發(fā)資源投入到最終被證明效率低下、迅速過時，甚至完全有缺陷的解決方案中。

我們從根本上無法確定這些脆弱幣是處于休眠狀態(tài)還是已經(jīng)丟失，正如偶爾會有長期不活躍地址發(fā)生轉(zhuǎn)移所顯示的那樣。持有人有充分的機(jī)會自行、自愿地遷移資金，而如果量子能力不斷提升，未被認(rèn)領(lǐng)的資產(chǎn)也可以自然地完成過渡。

在可預(yù)見的未來，市場層面的影響似乎有限。只有一小部分脆弱的 BTC，大約 10,200 枚，位于某些 P2PK 類別中，如果被迅速且突然地攻破，才可能影響流動性。這類事件更可能類似于常規(guī)的大額交易，而非引發(fā)系統(tǒng)性動蕩。更值得關(guān)注的是維護(hù)比特幣的不可變性和中立性，這些特性可能會因過早的協(xié)議更改而受到威脅。

為比特幣防范量子風(fēng)險在技術(shù)上是可行且不會造成破壞性的?！氨忍貛趴梢圆捎煤罅孔雍灻chnorr 簽名（一次此前升級中的技術(shù)實現(xiàn)）為更多升級鋪平了道路，比特幣可以繼續(xù)進(jìn)行防御性演進(jìn)，”密碼學(xué)家 Adam Back 博士向 CoinShares 表示。通過軟分叉可以引入抗量子簽名，實現(xiàn)新加密標(biāo)準(zhǔn)的無縫集成?，F(xiàn)有的一些提案，例如比特幣改進(jìn)提案（BIP），已經(jīng)勾勒出這種演進(jìn)路徑。用戶可以根據(jù)自身判斷將資金遷移至安全地址，同時持續(xù)關(guān)注量子技術(shù)的發(fā)展?—?— 甚至可以將暴露的傳統(tǒng)地址作為技術(shù)進(jìn)展的“指示器”。

對于機(jī)構(gòu)投資者而言，關(guān)鍵洞見在于：量子風(fēng)險是可控的，并且擁有充足的解決時間窗口。比特幣的架構(gòu)本身具備內(nèi)生的韌性，能夠支持前瞻性的適應(yīng)。作為數(shù)字時代的健全貨幣，比特幣更值得基于其基本面來評估，而不是基于被夸大的技術(shù)威脅。