比特幣開發者更新了 BIP 360 草案,引入了“支付給默克爾根”(P2MR)這一擬議輸出類型,旨在降低長期量子風險,同時保留 Taproot 的腳本靈活性。該提案徹底移除了 Taproot 的密鑰路徑支出機制,其目標直指最易受未來量子攻擊影響的現代比特幣地址。
P2MR 或可為抗量子攻擊比特幣提供保守的第一步。
比特幣改進提案 (BIP) 360 仍在審核中,尚未生效。該提案提出 P2MR 作為 Pay-to-Taproot (P2TR) 的一種抗量子計算的替代方案,它直接指向 Tapscript 樹的默克爾根,無需包含用於密鑰路徑支出的公鑰。實際上,它的行為類似於 Taproot 輸出,但始終只使用腳本路徑。
這種區別至關重要,因為 Taproot 的密鑰路徑花費會暴露一個公鑰。在當前的密碼學條件下,從公鑰推導出私鑰在計算上是不可行的。但理論上,運行 Shor 算法的足夠強大的量子計算機可以逆轉橢圓曲線密碼學。P2MR 只是簡單地從等式中移除了暴露的密鑰。
重要的是,P2MR 並未引入新的簽名方案或操作碼。它保留了完整的 Tapscript (BIP 342) 功能和默克爾化抽象語法樹 (MAST) 風格的腳本樹,包括葉子版本、控制塊和附件數據——只是不包含內部公鑰。錢包可以重用其現有的大部分 Taproot 代碼。
輸出結果仍然是 32 字節的哈希值,標記為“TapBranch”,提供與 P2WSH 相當的 128 位抗碰撞能力。開發者將其描述為邁向量子抗性的保守第一步,而非徹底的密碼學革新。
該提案已經經歷了多次修改和更名。最初於 2024 年起草,名為 P2QRH(“支付給量子抗性哈希”),在 2025 年底變為 P2TSH(“支付給 Tapscript 哈希”),最終在社區反饋後確定為 P2MR(“支付給 Merkle 根”),社區認為該名稱應該更準確地反映其輸出承諾的內容。
目前,BIP 360 仍處於草稿階段,尚未合併或安排啟用。比特幣開發者郵件列表和社區論壇上仍在繼續討論。
量子問題為何存在
比特幣的主要量子漏洞在於簽名機制,而非哈希算法。鏈上暴露公鑰的地址最容易受到攻擊,因為Shor算法理論上可以利用這些公鑰計算出私鑰。
傳統支付到公鑰 (P2PK) 地址將公鑰直接嵌入鎖定腳本中,並持有約 170 萬枚BTC,使其成為遠程攻擊的主要目標。重複使用的支付到公鑰哈希 (P2PKH) 地址一旦因消費而洩露公鑰,就會變得容易受到攻擊。Taproot 的密鑰路徑消費也會洩露經過修改的公鑰。
關於比特幣面臨風險的估計差異很大。一些分析表明,根據某些定義,20%到50%的比特幣供應量可能面臨風險,而另一些分析則認為,只有一小部分比特幣的洩露會造成實質性的市場衝擊。與密碼學相關的量子計算機的出現時間通常預計還需要數年甚至數十年,但這種不確定性也引發了激烈的爭論。
P2MR 並不能解決內存池窗口期間的短期暴露風險,也沒有引入後量子簽名。相反,它解決的是開發者所說的“長期暴露”威脅——即加密貨幣密鑰公開可見,且長期處於閒置狀態。
實際上,P2MR 允許用戶(尤其是長期持有者或 Lightning、BitVM 或 Ark 等協議的參與者)將資金遷移到能夠消除最明顯的 ECC 風險敞口的輸出形式,同時保留 Taproot 的腳本功能優勢。它是漸進式的,而非革命性的。
對於一個傾向於漸進式軟分叉而非徹底重構的網絡而言,這種基調是經過深思熟慮的。量子危機或許還很遙遠,但BIP 360表明,開發人員至少正在冷靜、有條不紊地檢查各種可能性,並且已經做好了充分的密碼學準備。
常見問題❓
- 比特幣 BIP 360 中的 P2MR 是什麼?
P2MR(支付給 Merkle 根)是一種提議的輸出類型,它消除了 Taproot 的密鑰路徑支出,同時保留了 Tapscript 的全部功能。 - 為什麼有些比特幣地址容易受到量子攻擊?
理論上,將公鑰暴露在鏈上的地址可能允許使用 Shor 算法的量子計算機推導出私鑰。 - BIP 360 是否引入了後量子簽名?
不,這是一個保守的舉措,不會添加新的簽名方案或操作碼。 - BIP 360 今天在比特幣平臺上活躍嗎?
不,它仍然是正在積極審核中的草稿拉取請求,沒有啟用時間表。
