比特幣中的量子脆弱性：一種可控的風險

作者 | Christopher Bendiksen, CoinShares

編譯 | GaryMa 吳說區塊鏈

https://coinshares.com/us/insights/research-data/quantum-vulnerability-in-bitcoin-a-manageable-risk/

未來實際可用的量子計算機并非零概率的可能性，持續引發了圍繞其對比特幣加密安全潛在影響的廣泛討論。這當然是健康的，也是對一個數萬億美元價值儲存系統而言必要的預防措施。然而，盡管該技術在理論上帶來挑戰，其現實風險仍然遙遠，并且可以通過直接的手段加以應對。

對于機構投資者而言，理解這一問題需要將推測（以及不幸的是，大量自利性質的炒作和牟利行為）與基于證據的分析區分開來。比特幣的量子脆弱性并非迫在眉睫的危機，而是一個可以預見的工程層面考量，并且擁有充足的時間進行適應。

關鍵要點總結

量子脆弱性概述：Shor 算法在理論上可能暴露 ECDSA/Schnorr 中的密鑰，Grover 算法削弱 SHA-256；威脅仍然遙遠，僅限于約 170 萬枚 BTC 的 P2PK 地址（占總供應量的 8%），對市場造成沖擊的潛在可能性極小（見下文最后一點）

安全框架：依賴橢圓曲線進行授權、依賴哈希函數進行保護；量子計算無法改變 2100 萬枚的供應上限，也無法繞過工作量證明。現代 P2PKH/P2SH 在花費前隱藏公鑰；所謂 25% 的脆弱性說法夸大了可緩解的暫時性風險

時間線與可行性：在可行時間內（<1 年）攻破 secp256k1 需要當前邏輯量子比特數量的 10 到 10 萬倍；相關量子技術至少還需要 10 年。長期攻擊可在數年內進行?—?— 可能在十年內變得可行；短期攻擊（內存池攻擊）需要 <10 分鐘的計算時間?—?— 在除極長期（數十年）之外的任何時間尺度上都不可行

激進干預的優點（例如針對抗量子格式的軟/硬分叉或銷毀幣）：提前加固網絡，防范意外技術突破，提供遷移路徑，傳遞適應能力信號，增強投資者信心

激進干預的缺點：未經充分驗證的加密技術可能引入漏洞；可能將稀缺的開發資源浪費在尚未被證明或效率低下的方案上，并引發更多變更；假定休眠幣已丟失，導致強制或盜取；威脅中立性；侵蝕產權、去中心化、不可變性與信任

市場影響：現實中可能僅限于約 1 萬枚 BTC，這些幣可能因私鑰被攻破而突然、意外地進入市場；最終看起來更像是常規交易；持有人可以自愿遷移；剩余幣分布在 3.4 萬個、每個約 50 BTC 的地址中，即便在最為樂觀的技術突破情形下，也需要數十年才能被竊取

正確分析這一問題需要深度與細致的理解

比特幣的安全框架依賴兩大核心加密要素：用于交易授權的橢圓曲線數字簽名算法（ECDSA 或基于 secp256k1 的 Schnorr），以及用于挖礦和地址保護的 SHA-256 等哈希函數。ECDSA 生成非對稱密鑰對，在經典計算系統上，從公鑰推導出私鑰在計算上是不可行的。SHA-256 提供單向哈希，其逆向同樣在計算上不可行。量子算法帶來了特定的擔憂。一個常見的誤解是，量子計算會整體性地破解加密體系，但事實并非如此。下面我們總結了實用量子計算機對常見加密函數的影響。

現有加密類型?—?— 量子前與量子后：

當前面臨的主要問題是用于授權比特幣交易的 256 位 ECDSA（現為 Schnorr，但面臨同樣問題）簽名算法。Shor 算法在理論上可能解決支撐橢圓曲線的離散對數問題，一旦公鑰暴露，私鑰就可能被推導出來。

Grover 算法將 SHA-256 等對稱哈希的有效安全性從 256 位降低到 128 位，但由于計算需求極其龐大，暴力破解仍然不切實際，因此由哈希保護的地址依然安全。至于挖礦，量子計算機在理論上可能成為一種相當快速的挖礦設備，但其相較于 ASIC 是否具有經濟性完全不清楚（而且鑒于比特幣內置的自動難度調整機制，這一點并不重要）。重要的是，量子計算無法改變比特幣固定的 2100 萬枚供應上限，也無法繞過區塊驗證所需的工作量證明。

風險敞口僅限于公鑰可見的地址，主要是傳統的 Pay-to-Public-Key（P2PK）輸出，這些地址共持有約 160 萬枚 BTC，占總供應量的約 8%。然而，其中只有 10,200 枚 BTC 位于 UTXO 中，一旦被量子計算機竊取，才可能對市場造成任何顯著擾動。其余約 160 萬枚 BTC 分布在 32,607 個獨立的、約 50 BTC 的 UTXO 中，即便在對量子計算技術進步作出極端樂觀的假設下，也需要數千年才能解鎖。

量子脆弱幣的分布與數量

更現代的地址格式，如 Pay-to-Public-Key-Hash（P2PKH）或 Pay-to-Script-Hash（P2SH），通過哈希隱藏公鑰，在資金被花費之前保持安全。關于 25% 脆弱性的說法通常包含暫時性風險，例如交易所重復使用地址，這些問題可以通過最佳實踐輕松緩解；而且在技術發展真正變得危險之前，會有長達數年的預警期，為簡單的行為調整留下充足時間。

我們離危險區域還相當遙遠

截至 2026 年初，量子威脅并不迫近。要攻破 secp256k1，需要擁有數百萬個邏輯量子比特的量子系統?—?— 這遠遠超出了當前能力范圍。根據研究人員的說法，若要在一天之內逆推出一個公鑰，攻擊者需要一臺具備容錯和誤差控制能力的量子計算機，而這種性能目前尚未實現，并且需要 1300 萬個物理量子比特?—?— 約為當前最大量子計算機規模的 10 萬倍。若要在一小時內完成破解，其性能需要比當前量子計算機高出 300 萬倍。網絡安全公司 Ledger 的 CTO Charles Guillemet 向 CoinShares 表示：“要破解當前的非對稱加密，需要的是數量級在數百萬的量子比特。谷歌目前的 Willow 計算機只有 105 個量子比特。而且每增加一個量子比特，維持相干系統的難度都會呈指數級上升。”我們在此處對上述內容進行了更深入的分析。

包括谷歌在內的近期演示展示了進展，但距離對比特幣發動現實世界攻擊所需的規模仍然相去甚遠。

一些估計認為，與密碼學相關（但不一定在實踐中構成危險）的量子計算機可能要到 2030 年代或更晚才會出現，部分分析預測需要 10–20 年。

長期風險敞口（如 P2PK 地址）屆時可能面臨需要數年計算時間的攻擊；而短期風險敞口（如交易過程中在內存池中可見的公鑰）則要求在不到 10 分鐘內完成計算。

激進干預既有利也有弊

通過激進干預來應對這一問題的提議，例如在未經充分驗證或技術上尚不成熟的情況下進行抗量子地址格式的軟分叉，或更糟糕的是，通過硬分叉銷毀脆弱幣，都需要極端謹慎。這類行為不僅可能因無意中引入關鍵漏洞而引發技術災難，還可能削弱比特幣在產權和去中心化方面的核心原則，在沒有必要的情況下侵蝕信任。

在支撐其安全性的密碼學尚未被充分理解和驗證之前，引入新的地址格式極其危險，也不值得提倡。我們必須認識到，在實際可用的量子計算機出現之前，我們無法確定抗量子密碼學是否在可證明意義上有效。此外，如果過早選擇抗量子地址方案，我們可能會將稀缺的開發資源投入到最終被證明效率低下、迅速過時，甚至完全有缺陷的解決方案中。

我們從根本上無法確定這些脆弱幣是處于休眠狀態還是已經丟失，正如偶爾會有長期不活躍地址發生轉移所顯示的那樣。持有人有充分的機會自行、自愿地遷移資金，而如果量子能力不斷提升，未被認領的資產也可以自然地完成過渡。

在可預見的未來，市場層面的影響似乎有限。只有一小部分脆弱的 BTC，大約 10,200 枚，位于某些 P2PK 類別中，如果被迅速且突然地攻破，才可能影響流動性。這類事件更可能類似于常規的大額交易，而非引發系統性動蕩。更值得關注的是維護比特幣的不可變性和中立性，這些特性可能會因過早的協議更改而受到威脅。

為比特幣防范量子風險在技術上是可行且不會造成破壞性的。“比特幣可以采用后量子簽名。Schnorr 簽名（一次此前升級中的技術實現）為更多升級鋪平了道路，比特幣可以繼續進行防御性演進，”密碼學家 Adam Back 博士向 CoinShares 表示。通過軟分叉可以引入抗量子簽名，實現新加密標準的無縫集成。現有的一些提案，例如比特幣改進提案（BIP），已經勾勒出這種演進路徑。用戶可以根據自身判斷將資金遷移至安全地址，同時持續關注量子技術的發展?—?— 甚至可以將暴露的傳統地址作為技術進展的“指示器”。

對于機構投資者而言，關鍵洞見在于：量子風險是可控的，并且擁有充足的解決時間窗口。比特幣的架構本身具備內生的韌性，能夠支持前瞻性的適應。作為數字時代的健全貨幣，比特幣更值得基于其基本面來評估，而不是基于被夸大的技術威脅。