比特币开发者更新了 BIP 360 草案,引入了“支付给默克尔根”(P2MR)这一拟议输出类型,旨在降低长期量子风险,同时保留 Taproot 的脚本灵活性。该提案彻底移除了 Taproot 的密钥路径支出机制,其目标直指最易受未来量子攻击影响的现代比特币地址。
P2MR 或可为抗量子攻击比特币提供保守的第一步。
比特币改进提案 (BIP) 360 仍在审核中,尚未生效。该提案提出 P2MR 作为 Pay-to-Taproot (P2TR) 的一种抗量子计算的替代方案,它直接指向 Tapscript 树的默克尔根,无需包含用于密钥路径支出的公钥。实际上,它的行为类似于 Taproot 输出,但始终只使用脚本路径。
这种区别至关重要,因为 Taproot 的密钥路径花费会暴露一个公钥。在当前的密码学条件下,从公钥推导出私钥在计算上是不可行的。但理论上,运行 Shor 算法的足够强大的量子计算机可以逆转椭圆曲线密码学。P2MR 只是简单地从等式中移除了暴露的密钥。
重要的是,P2MR 并未引入新的签名方案或操作码。它保留了完整的 Tapscript (BIP 342) 功能和默克尔化抽象语法树 (MAST) 风格的脚本树,包括叶子版本、控制块和附件数据——只是不包含内部公钥。钱包可以重用其现有的大部分 Taproot 代码。
输出结果仍然是 32 字节的哈希值,标记为“TapBranch”,提供与 P2WSH 相当的 128 位抗碰撞能力。开发者将其描述为迈向量子抗性的保守第一步,而非彻底的密码学革新。
该提案已经经历了多次修改和更名。最初于 2024 年起草,名为 P2QRH(“支付给量子抗性哈希”),在 2025 年底变为 P2TSH(“支付给 Tapscript 哈希”),最终在社区反馈后确定为 P2MR(“支付给 Merkle 根”),社区认为该名称应该更准确地反映其输出承诺的内容。
目前,BIP 360 仍处于草稿阶段,尚未合并或安排启用。比特币开发者邮件列表和社区论坛上仍在继续讨论。
量子问题为何存在
比特币的主要量子漏洞在于签名机制,而非哈希算法。链上暴露公钥的地址最容易受到攻击,因为Shor算法理论上可以利用这些公钥计算出私钥。
传统支付到公钥 (P2PK) 地址将公钥直接嵌入锁定脚本中,并持有约 170 万枚BTC,使其成为远程攻击的主要目标。重复使用的支付到公钥哈希 (P2PKH) 地址一旦因消费而泄露公钥,就会变得容易受到攻击。Taproot 的密钥路径消费也会泄露经过修改的公钥。
关于比特币面临风险的估计差异很大。一些分析表明,根据某些定义,20%到50%的比特币供应量可能面临风险,而另一些分析则认为,只有一小部分比特币的泄露会造成实质性的市场冲击。与密码学相关的量子计算机的出现时间通常预计还需要数年甚至数十年,但这种不确定性也引发了激烈的争论。
P2MR 并不能解决内存池窗口期间的短期暴露风险,也没有引入后量子签名。相反,它解决的是开发者所说的“长期暴露”威胁——即加密货币密钥公开可见,且长期处于闲置状态。
实际上,P2MR 允许用户(尤其是长期持有者或 Lightning、BitVM 或 Ark 等协议的参与者)将资金迁移到能够消除最明显的 ECC 风险敞口的输出形式,同时保留 Taproot 的脚本功能优势。它是渐进式的,而非革命性的。
对于一个倾向于渐进式软分叉而非彻底重构的网络而言,这种基调是经过深思熟虑的。量子危机或许还很遥远,但BIP 360表明,开发人员至少正在冷静、有条不紊地检查各种可能性,并且已经做好了充分的密码学准备。
常见问题❓
- 比特币 BIP 360 中的 P2MR 是什么?
P2MR(支付给 Merkle 根)是一种提议的输出类型,它消除了 Taproot 的密钥路径支出,同时保留了 Tapscript 的全部功能。 - 为什么有些比特币地址容易受到量子攻击?
理论上,将公钥暴露在链上的地址可能允许使用 Shor 算法的量子计算机推导出私钥。 - BIP 360 是否引入了后量子签名?
不,这是一个保守的举措,不会添加新的签名方案或操作码。 - BIP 360 今天在比特币平台上活跃吗?
不,它仍然是正在积极审核中的草稿拉取请求,没有启用时间表。
