比特币的量子之争不断偏离主题,因为人们总是同时争论两个不同的问题。
其中一个问题是技术性的:如果量子计算技术发展到足以破解比特币的签名机制,协议可以做出应对。新的地址类型、迁移规则、软分叉、弃用机制、密钥轮换等等,这些都是实际的工程问题。但它终究是一个工程问题。
另一个问题是法律方面的:假设有人使用量子计算机推导出旧钱包的私钥并盗取了其中的比特币。这究竟是怎么回事?他是找回了被遗弃的财物,还是偷走了别人的比特币?
2026年4月,BIP-361提案冻结了超过650万美元的BTC,这些比特币存放在易受量子攻击的UTXO中,其中包括估计与中本聪相关的超过100万美元的比特币。这不再仅仅是抽象的讨论,而是一场关于所有权、没收以及在一个最终只承认控制权的体系中财产意义的现实斗争。
我在此不就何时会出现能够攻击比特币的量子计算机发表立场。更具体的问题才是首要的:如果这种计算机真的出现,并且有人开始使用量子密钥转移长期休眠的比特币,法律会将其视为合法找回还是盗窃?
古典物权法给出了一个相当直白的答案:这就是盗窃。
这个答案会让一些比特币爱好者感到沮丧,因为比特币本身并不像法院那样强制执行所有权,而是强制执行控制权。如果你能提供有效的支出凭证,网络就会接受这笔支出。但这反而凸显了问题的关键。网络越是强调控制权,就越需要明确阐述法律对相关行为的规定。
在这方面,法律并不特别神秘。
旧硬币并非因为年代久远就无人认领。
实际量子风险
首先,我们不妨从更具体、更实际的威胁入手。并非所有比特币都面临同等的风险。通常情况下,地址只有在所有者进行消费后才会泄露公钥。这一点至关重要,因为量子攻击者无法简单地查看链上任何未被触及的地址并获取私钥。
真正的风险存在于一种更为有限的输出类型中。早期的支付到公钥(P2TR)输出会将完整的公钥暴露在链上。一些较旧的脚本构造也会如此。Taproot 输出也是如此:P2TR 输出直接提交一个 32 字节的输出密钥,而不是它的哈希值。地址重用也可能在用户使用同一密钥材料消费并留下资金后暴露公钥。这些才是人们所说的比特币泄露真正指的。
这一场景的实现时间线已经缩短。2026年3月31日,谷歌量子人工智能团队发布研究报告称,只需不到50万个物理量子比特即可破解比特币的secp256k1曲线,比之前估计的约900万个量子比特减少了20倍。同一篇论文直接模拟了内存池攻击:在交易过程中,公钥会在区块确认前暴露约10分钟,这使得量子攻击者有机会在交易确认前推导出密钥。
目前的硬件距离这些阈值还相差甚远:谷歌的Willow芯片拥有105个量子比特,IBM的Nighthawk芯片拥有120个量子比特。但算法优化速度已经超过了硬件扩展速度。美国国家标准与技术研究院(NIST)的后量子迁移路线图要求在2030年前逐步淘汰联邦系统中易受量子攻击的算法,并在2035年前彻底禁用这些算法。虽然这一联邦时间表对比特币没有约束力,但它为机构持有者和监管机构衡量比特币的准备程度提供了一个基准。
这些硬币中有很多年代久远。有些肯定已经遗失了。有些属于已故的主人。有些被塞在纸质钱包里、被遗忘的备份中、由来已久的储存习惯中,或者无人整理的遗产里。还有一些可能属于仍然健在的人,只是他们根本不想碰它们。
最后一点比那些“丢失的币”论者通常承认的要重要得多。从外部来看,账户休眠状态本身并不能说明什么。一个钱包可能十二年无人问津,原因可能是:所有者去世了;所有者丢失了私钥;所有者自律性强;所有者疑神疑鬼;加密货币被锁定在多方共享的系统中;或者所有者就是中本聪,宁愿保持传闻也不愿卷入诉讼。区块链并不会告诉你哪种解释才是真相。
正是这种不确定性,使得物权法从未将沉默视为所有权的万能解药。
休眠并不等于放弃
这些讨论中流传的随意的“先到先得”的直觉,几乎与物权法的实际运作方式毫无关系。
所有权不会因为房产闲置而消失。所有权持续有效,直至其被转让、放弃、依法消灭,或被某些实际适用的法律原则所取代。时间本身并不能使所有权消失。不作为本身也不能使所有权消失。价值当然也不能使所有权消失。
因此,如果有人想论证休眠比特币也属于可利用对象,通常会从“遗弃”的角度切入。这种说法很简单:这些币一直放在那里,无人问津,很可能已经丢失,因此它们一定是被遗弃的。
法律的规定远比这严格。弃置通常需要既有放弃所有权的意图,又有表明该意图的行为。所有者必须在实质上打算放弃该财产,并且采取某种行动来表明其放弃意图。仅仅长期不转移资产并不足以构成弃置,尤其是在资产明显具有价值的情况下。
这并非什么繁琐的技术细节……这是物权法的核心原则之一。如果仅仅因为未使用就足以剥夺所有权,那么法律就等于允许任何人肆意掠夺那些长期保持沉默的所有者的财产。这并非我们对土地、房屋、股票、埋藏的现金或传家宝的规则。比特币亦是如此。
以最简单的极端情况为例。如果有人故意将币发送到一个没有可用私钥的销毁地址,这看起来就像是放弃账户,因为既有明确的行动,也有明确的信号。但这个例子恰恰证明了量子黑客想要证明的相反情况。它展示了当一个人真正有意放弃账户时,账户会是什么样子。大多数休眠钱包的情况都与此截然不同。
更恰当的解读是平常的解读:古币就是古币。有些遗失了,有些无法获取,有些被遗忘,有些沉睡着。但这些都不会使它们变成无人认领的财产。
近期立法也开始将这种理念正式化。英国的《2025年财产(数字资产ETC)法案》于2025年12月2日获得御准,该法案设立了第三类个人财产,明确涵盖加密代币。在美国,《统一商法典》第12条已被30多个州和哥伦比亚特区采纳,承认“可控电子记录”是一个独立的法律类别。这两个体系均不将休眠状态视为放弃所有权。通过正式将数字资产归类为财产,这两个体系都提高了任何声称旧币默认无主的论点的门槛。
死亡并不会抹去所有权。
下一步通常是从“遗弃”转向“死亡”。好吧,也许这些硬币并没有被遗弃,但早期持有者中肯定有很多已经去世了。这难道不会改变分析结果吗?
但这并非袭击者所希望的那样。
一些早期钱包会引发一种薛定谔的继承人问题:当窃贼想要获得无主财产时,所有者会被自信地宣布死亡;而当继承责任出现时,所有者又被视为名义上可继承。物权法不允许这种叠加。
当一个人去世时,所有权并不会消失,而是会转移。财产会归于继承人、受遗赠人,或者,如果两者都不存在,则通过财产归属法归于国家。法律不会对此视而不见,任由他人随意处置。即使占有变得混乱、不便或无法行使,法律也会维护所有权的连续性。
这与有形财产的类比几乎直白得令人难以接受。如果一个人去世时拥有一座牧场,第一个剪断锁的擅闯者并不会凭借一己私利和Optimism就成为新的所有者。遗产继承由遗产管理机构负责。如果没有继承人,君主有权索取。有价值的财产不会仅仅因为原所有者去世就变成无人认领。
比特币在这方面也不例外。丢失的私钥并不代表所有权的转移。无法访问并不等同于所有权的转移。一个陌生人即使后来利用更先进的工具获取了私钥,也并非发现了无人认领的宝藏。他只是获得了转移仍然属于他人或他人遗产的实际能力。
这项结论对数量最多的旧币——即中本聪的币——至关重要。无论中本聪是生是死,还是永久销声匿迹,都不会改变这些币的法律归属。它们要么属于中本聪本人,要么属于中本聪的遗产。它们不会变成赏金猎人的猎物,任由第一个拿着量子撬棍出现的人得逞。
无人认领财产法并不能挽救这一理论。
有些人认为,闲置的比特币可以被纳入无人认领财产法的管辖范围。这种误解可以理解,但却忽略了这些法规的实际运作方式。
无人认领财产法通常通过持有人运作。银行、经纪人、交易所或其他保管机构对所有者负有财产保管义务。如果所有者失踪足够长的时间,国家将介入并要求持有人报告并上缴该资产,但所有者日后仍有权认领。该原则建立在中间机构之上。
这种框架对于交易所余额来说已经足够好了。它适用于托管钱包。它也适用于存放在企业处、可以被命令交出资产的情况。
对于自托管比特币来说,情况并非如此。自托管的UTXO没有中间银行,没有交易所持有资金,也没有等待指令的转账代理。没有国家可以强制执行的托管人。只有网络、密钥以及能够或不能生成有效支出的个人。
这意味着政府通常可以控制托管加密货币,但对于自保比特币,限制则更为严格。法律可以规定比特币的所有权,有时也可以规定谁应该交出比特币,但法律无权获取私钥。
同样的问题也驳斥了《统一商法典》第12条下更为复杂的论点。量子攻击者如果获取了私钥,实际上可能获得了资产的“控制权”。但控制权并不等同于所有权,从来都不是。窃贼如果找到了你保险箱的密码,也获得了控制权。但他仍然偷走了里面的东西。
逆权占有并不适用,而打捞则更糟。
每当有人想用理论外衣来美化量子盗窃时,就会有人提起两个类比:逆权占有和打捞。
两者都无法在接触事实后幸存下来。
逆权占有是为土地纠纷而发展起来的,它包含一些在土地纠纷中行之有效的条件。占有必须公开且广为人知,才能使真正的所有者有机会注意到这种逆权主张并提出异议。而量子攻击者将代币转移到一个新的地址,则完全达不到这种效果。没错,这种转移在链上是可见的。但是,这在法律意义上并不构成有效的通知。在公共账本上进行的匿名转移,并不能告知所有者是谁在主张所有权,主张的依据是什么,以及可以在哪个司法管辖区对该主张提出质疑。
这项政策的合理性也随之失效。逆权侵占有助于解决长期存在的土地纠纷,确认产权,并奖励对闲置不动产的合理利用。比特币不存在这些结构性问题。区块链已经记录了所有权的链条。
打捞更糟糕。打捞奖励的是那些从危险中拯救财产的人。量子掠夺者并非从危险中拯救财产,而是利用危险。在很多情况下,正是他才使得危险变得重要。把这种行为称为“打捞”,就像把一个海盗称为救生员,仅仅因为他开着船而来:一种伪装成法律理论的委婉说法。
BIP-361 真正争论的是什么
这就是BIP-361的重要性所在。它是第一个真正意义上的提案,旨在通过协商一致的方式解决这个问题,而不是等到事后由法院和评论员来争论不休。
总体而言,该提案将分阶段实施。首先,用户将被禁止向易受量子攻击的地址类型发送新的比特币,但仍允许将现有资金转移到更安全的地址。之后,易受攻击的UTXO中的旧签名将不再有效,无法用于花费这些比特币。实际上,任何剩余的未迁移资金都将被冻结。此外,还提出了一种利用与BIP-39种子持有相关的零知识证明的恢复机制,但该部分仍处于设想阶段,尚未完善。
关键在于,恢复路径仅适用于使用 BIP-39 助记符生成的钱包。早期的钱包格式,包括与中本聪相关的支付到公钥的输出,在目前的提案下没有切实可行的恢复途径。这一限制并非偶然。这意味着,按照目前的设计,C 阶段将保留较新采用者的产权,同时永久剥夺最早采用者的产权。这实际上是一种并非由立法机构而是由协议变更所规定的诉讼时效。
该方案的吸引力显而易见。如果网络预知某类加密货币很可能成为先到先得的掠夺者,它就可以拒绝认可这种掠夺行为。这实质上是对所有权的一种捍卫,防止纯粹的技术捷径。它将量子参与者视为窃贼,剥夺其获利的权利。
但这只是故事的一半。另一半并不会因为协议设计者不愿看到就消失。
该提案还引发了第二个法律问题,而且这个问题更难回避。B阶段不仅能阻止盗窃,还能使那些未能及时或无力迁移的真正业主失去权益。这一点至关重要,因为物权法不仅考察规则的制定动机是否正当,还会考察规则对业主的影响。
称之为“盗窃”并不准确。BIP-361 并没有将这些代币重新分配给开发者、矿工或其他新的所有者。它并没有像窃贼通常那样,通过某种方式使冻结池中的代币增值。但是,“非盗窃”并不能结束调查。更贴切的类比是侵占,或者至少是与之非常接近的某种行为。如果规则是,所有者昨天可以合法消费,但明天就不能了,原因并非他转让了所有权,并非他放弃了这些代币,也并非法院驳回了他的所有权,而是因为网络认为这些代币过于危险,不宜继续流通,那么网络所做的就不仅仅是“保护产权”。它有意地阻止了某些产权的实际行使。
这正是冻结令在法律上显得棘手的原因。冻结令的支持者可以辩称这是两害相权取其轻,他们或许是对的。但两害相权取其轻并不等同于法律上的清白。一项永久阻止持有者获取自己硬币的规则,看起来不再像是普通的盗窃,而更像是通过协商一致强行剥夺。
最棘手的案例往往会引发最强烈的反对意见。时间锁定的UTXO就是一个最典型的例子。如果用户故意创建了一个在冻结日期之后到期的时间锁定,那么该所有者并非疏忽或放弃这些代币,而是主动将其设置为在未来某个日期之前无法使用。然而,协议仍然可以在该日期到来之前永久冻结这些代币。其他一些较早的钱包结构也存在类似的问题。如果最终的恢复路径依赖于BIP-39种子,那么一些早期的钱包格式可能根本没有实际的恢复途径。遗产也以另一种形式造成了同样的矛盾。所有者可能已经去世,但所有权并没有消失,而是转移到了其他地方。冻结代币并不会消除潜在的所有权主张,它只是消除了网络履行该主张的意愿。
因此,B阶段更恰当的描述并非抽象意义上的“防盗规则”,而是一种没收式的防御机制。或许这种机制情有可原,甚至必不可少,但至少对部分所有者而言,其实际效果仍然是没收性的。该方案并非简单地选择所有者而非窃贼,在某些情况下,它甚至会选择某一类所有者而非另一类,并将不受青睐的那类所有者的损失视为维护系统安全的代价。
但这并不意味着BIP-361在任何直接的、可诉诸法庭的意义上都是非法的。比特币共识的改变并非国家行为,因此,除非政府直接介入,否则征用征用这一类比并不恰当。但从私法角度来看,侵占的类比则更难成立。所有权在表面上可能仍然完好无损,但实际控制权却被蓄意摧毁。
这就是量子辩论的核心所在。放任量子攻击者窃取休眠币的行为,看起来就像盗窃。通过软分叉冻结易受攻击的币种或许是两害相权取其轻,但这并非没有代价,无论从物质层面还是道德层面来看都是如此。对某些币主而言,这看起来很像没收。
法律上的答案很明确,即使比特币的答案并非如此。
传统物权法不会认可量子密钥推导作为一种巧妙的合法追偿方式。
休眠并非遗弃。死亡转移所有权,而非解除所有权。无人认领财产法适用于保管人,而非自留财产。逆权占有不适用于匿名未转让交易单 (UTXO)。打捞简直是个笑话。
因此,如果有人使用量子计算机获取休眠钱包的私钥并转移其中的加密货币,法律系统几乎肯定会将其定性为盗窃。
但BIP-361表明,比特币可能并非面临被盗和所有权完全保护之间的抉择,而是面临攻击者盗窃和协议剥夺之间的抉择。冻结易受攻击的比特币或许是应对特殊威胁的一种合理措施,甚至可能是网络唯一可以容忍的应对方式。然而,我们必须如实描述这种做法。对于某些持有者,尤其是那些持有时效锁定、使用旧钱包格式或没有切实可行的迁移方案的持有者而言,冻结与其说是保护,不如说是没收。
这使得这个问题远不止是一场简单的道德剧。比特币打破了财产法通常所依据的所有权和占有权之间的界限。法院可以认定是量子黑客窃取了这些比特币。法院也可以认定协议层面的冻结严重侵犯了所有者的权利。但比特币链仍然只会承认其经济主体所采纳的规则。
因此,这场争论并非仅仅在于比特币是否应该在量子跃迁期间捍卫产权,而在于比特币为了捍卫其他产权,愿意牺牲哪些产权。
欢迎来到古典政治学的世界。
本文由 Colin Crossman 撰写。文中观点仅代表作者个人立场,并不一定反映$ BTC Inc 或 Bitcoin Magazine 的观点。
这篇文章《当量子计算机来抢夺你的比特币:古典物权法接下来会发生什么》最初发表于 Bitcoin Magazine,作者是 Colin Crossman。
