作者:Blockstream Team
來源:https://blog.blockstream.com/quantum-computing-and-bitcoin-eli5/
報紙和新聞網站的頭條都說量子計算機將會毀滅比特幣。真相是:構成比特幣安全性的一個部分會受到威脅。Blockstream 的工程師們已經在開發修復措施。
什麼是 “量子計算機”?
你的筆記本電腦,是用 “比特” 來 “思考” 的:它們就像極為微小的開關,只有兩種狀態,要麼是 0,要麼是 1 。這樣的電腦作的所有計算,從加載網頁到驗證比特幣交易,歸根結底,就是用極快的速度撥動數十億個這樣的開關。
而量子計算機則用 “量子比特” 來思考。比特只有兩種狀態(0 或 1),量子比特則可以保持這兩個數值的某種組合,僅在你測量它時才會分解成一個數值。將許多量子比特組合在一起,它們所能表示的狀態的集合就會隨著量子比特數量的增加呈指數級膨脹, 而駕馭量子硬件的數學,讓我們可以在所有這些狀態上同時運行計算,這是傳統的計算機無法做到的。
你可以用迷宮來理解。常規的計算機,一次只能嘗試一條路徑,直到走通了為止。量子計算機卻能同時探索許多路徑。對某一類數學問題來說,這意味著(量子計算機)解出一個具體問題的步驟會少得多。不過,也並不是所有類型的數學問題都這樣;量子計算機只是在一小部分數學問題上有速度優勢,而不是全方位碾壓。
不能把量子計算機粗暴理解為 “更快的計算機”。它不會讓你的互聯網瀏覽器變得更快,也不會讓你的視頻直播更流暢、文件加載速度更快。它是一種專用的工具,而它擅長解決的問題跟你的比特幣密鑰直接相關。
比特幣系統如何實現資金的安全保管
比特幣系統使用兩種數學來確保你的資金是安全的。
第一類用於 證明/驗證 所有權。在你轉移比特幣的時候,你需要用一個秘密鑰匙(你的私鑰)簽名交易,來證明這些比特幣是你的。整個網絡種的節點都會用一個相關的公鑰來檢查你的簽名。整個系統依賴於一個假設:沒有人可以從你的公鑰中計算出你的私鑰(因此,沒有人能偽造你的簽名來花費你的比特幣)。今天的計算機是做不到的,從宇宙大爆炸算到今天也還算不出來。
第二類用於挖礦。每時每刻,比特幣礦工們都要競相找出一個符合條件的哈希值,如今競爭激烈程度已經達到集體每秒嘗試數萬億次猜測。這讓比特幣網絡保持運行、防止有人重寫交易歷史。
量子計算機直接威脅第一類數學,對第二類的影響要更小的多,而且影響的主要是網絡的中心化,而不是網絡的品性。
為什麼量子計算機可以改變這個等式
運行 “Shor 算法”,量子計算機可以從一個比特幣公鑰復原出私鑰。然後,使用這個私鑰,就可以像真正的主人那樣取走比特幣,
就想象有這麼一把鎖。今天的計算機,在可以想象的時間尺度內都打不開這把鎖。但足夠強大的量子計算機就可以打開。
挖礦使用了另一種數學(SHA-256 哈希允許)。“Grover 算法” 讓量子計算機在運行哈希函數時可以獲得平方級的加速效果,因此,能夠用上量子計算機的大型礦工相比小礦工就會具有優勢。這對挖礦行業的去中心化是一個隱患,但不影響比特幣網絡確認交易的能力。實際上,這種風險比前面說的偽造簽名的風險要遙遠得多:它所需要的量子計算硬件比攻擊 secp256k1(用當前的比特幣公鑰算出背後的私鑰)所需的要大得多,而且 Grover 算法無法很好地並行化,這會限制其理論優勢轉化為實際性能。
比特幣所面臨的量子計算威脅主要跟持有比特幣的人有關,跟網絡的運行方式無關。許多報道都弄顛倒了。
威脅有多迫切?
量子計算硬件進步很快,但這些數字的意義還要看具體的語境。IBM 的 Condor 門模型芯片 在 2023 年就達到了 1121 量子比特。 Google 的 Willow 芯片 在 2024 年 12 月只達到了 105 量子比特,但取得了一個更加重要的成果:它實現了第一種 “低於閾值” 的量子糾錯機制,這是研究者們從 1995 年就開始追求的目標。已經能夠保存更大的 “中性原子” 數組 —— Caltech 團隊展示了一個長達 6100 量子比特的數組 —— 但光憑量子比特的數量無法衡量它在計算上的有用性。
攻破比特幣當前使用的共私鑰所要求的能力,是遠遠超過當前的任何硬件的。在 2025 年 5 月到 2026 年 3 月之間出版的研究性論文,將預計需要的要求降低了大概 20 倍:
- 2022 年的估計(來自 University of Sussex, 2022):需要大約 1300 萬物理量子比特,才能在 1 小時內攻破一個 256 位的密鑰
- 更新後的估計(來自 Google Quantum AI, March 2026):少於 50 萬物理量子比特
- 最激進的估計(在尚未證實有效的架構上):少於 1 萬物理量子比特
現有的硬件,與最激進的估計相比也還有很大差距,而且,單看量子比特的數目,最多隻是管中窺豹。 Google 的論文警告稱, 量子比特數量統計無法反映絕大部分決定一臺量子計算機有用性的特徵:錯誤率、保真度(fidelity)、連接性,以及長時間維持糾錯狀態直至完成計算的能力。差距確實在減少,但並不是所有重要的維度都有同等的進步。
專家們普遍認為,強大到能夠攻破密碼學的量子計算機還要 10 到 20 年才會出現。Global Risk Institute 的 2025 報告稱,接下來 10 年內出現密碼學相關量子計算機的概率在 28 ~ 49% 之間,在該年度報告誕生的 7 年以來最高估計值。Blockstream 公司的首席執行官(也是工作量證明系統的發明者)Adam Back 估計是 20 到 40 年。
許多機構按照更迫近的估計來安排工作。NIST(國家標準及技術研究所)發佈了當前服役的簽名標準(ECDSA 和 RSA)的棄用時間表,從 2030 年代末開始。Google 的量子計算機團隊已經公開建議各組織遷移敏感的系統,時間表也接近。無論威脅是在 10 年後還是 40 年後到來,計劃的時間窗口都能覆蓋比特幣網絡自身的升級週期。
以下是最重要的部分:比特幣網絡的升級往往要花費數年時間。Taproot 升級花費了大概三年半(從郵件組出現第一個激活提議開始算),而後量子遷移可能要花更長時間,因為每一個持幣人都需要將自己的錢幣移動到新的地址類型,而不能只是升級軟件。所以,要從現在就開始準備,而不能等威脅成真時再開始。
倒計時已經開始
使用量子計算的攻擊者無需等待量子計算機成熟之後再選擇攻擊對象。一旦一個公鑰暴露在區塊鏈上(任何人都可以觀察到)—— 無論是陳舊的 P2PK 輸出(公鑰天然暴露)、任何地址的交易花費腳本,還是存過資金的 Taproot (P2TR) 輸出 —— 公鑰都會永遠記錄在區塊鏈上,並且一旦硬件成熟就可以攻擊。
這不需要解密。比特幣網絡並不加密它的共識數據。攻擊者只需要等硬件成熟,就可以從一個已經公開的公鑰直接計算出它背後的私鑰。
安全研究員們在傳統密碼學中討論過一種類似的模式,叫做 “現在捕獲,以後解密”;美聯儲在 2025 年出版的一篇論文將它稱為分佈式賬本網絡的一種額外風險(active risk)。比特幣的情形在細節上有所不同(因為本來就沒有加密,所有沒有東西可以解密),但模式是一樣的:現在就可是收集目標數據,以後再攻擊。
數據收集可能已經在進行。竊賊隨後就到。
所有比特幣都暴露在風險之下嗎?
不,並不是所有地址上的比特幣都面臨等量的量子計算風險。
有風險的是那些潛在攻擊者可以看到的公鑰,包括:
- 早期(2009 ~ 2010)的比特幣地址(P2PK 類型)會在地址中直接展示公鑰;這裡麵包括被廣泛猜測屬於中本聰的 100 萬 BTC 。
- 任何已經用來發送過交易的地址,因為花費腳本必然在區塊鏈上揭曉公鑰(不管地址本身是什麼類型)
- P2TR(Taproot)地址,在地址存入資金後就會暴露一個版本的公鑰。在設計 Taproot 的時候,這被當成一個可以接受的犧牲,因為量子計算威脅似乎還遠。BIP 360 這樣的提議的設計出發點就是移除這種暴露。
- 停留在交易池中的交易。它們還未出現在區塊鏈上,但其公鑰(暴露在交易的花費腳本中)已經能被觀察網絡的人看見,因此量子攻擊者有機會在礦工確認這筆交易之前計算出能夠簽名的私鑰
Chaincode Labs 的研究員們在 2025 年 3 月估計,流通中的比特幣中大約有 30%(大約 600 萬 BTC),其公鑰已經暴露。
暫時安全的:更老的地址格式,比如 P2PKH、P2SH、P2WPKH、P2WSH,將公鑰藏在額外的數學層後面(地址上展示的是公鑰的哈希值)。公鑰僅在你花費資金的時候才會揭曉。如果你用這樣的地址收取了比特幣但從未花費過,那麼你的公鑰還是隱藏的。大約 65% 的比特幣放在未揭曉的公鑰上。
這種隱藏狀態會在你花費資金的時候終結。廣播到整個網絡的交易會讓公鑰曝光,足夠強大的量子攻擊者可以嘗試搶在你的交易被確認之前算出能夠簽名的私鑰。P2WSH 地址提供了目前最強的公鑰隱藏能力,但一樣會在你花費資金的時候結束。
安全的:工作量證明和地址派生,以及所有使用 SHA-256 哈希運算將交易們關聯在一起的結構。量子算法無法有意義地爆破這些操作。
中本聰的錢怎麼辦?
Adam Back 指出:一個很長的後量子遷移窗口,會讓通過軟分叉來“棄用未遷移的 ECDSA/schnorr 簽名 顯得更合情理”。在這種路線下,錢幣有數年的時間遷移到量子抗性地址、保持安全;而從未移動過的錢幣,不論是因為弄丟私鑰還是來自中本聰的錢包,都將變為任何人都不可花費,包括攻擊者。Back 還專門反對主動凍結量子脆弱地址的提議,認為這是開發者的越權。
解決方案並非最難的部分
密碼學部分的解決方案已經有了。在長達 8 年的評估之後,NIST(美國負責標準化的機構)已經在 2024 年 8 月敲定了第一批三種後量子密碼學標準。 數學準備號了。但讓比特幣網絡升級才是難的部分。
更大體積的簽名意味著更高的鏈上交易成本。在 NIST 標準化的後量子簽名方案中,簽名體積最小的一種(ML-DSA,FIPS 204),其單個簽名和公鑰的體積之和也達到了大約 3700 字節。比特幣當前的 Schnorr 密鑰路徑花費是 64 字節。這意味著每一筆交易的密碼學開銷都要膨脹大約 58 倍,並且每個區塊能夠容納的交易數量會出現同比例的下降。更大的簽名意味著交易的體積更大、手續費也更高(每個人都要承擔)。
比特幣改變起來很慢,並且這就是它的本性。修改比特幣協議需要在一個全球的、去中心的網絡中達成廣泛的共識。但比特幣確實升級過。隔離見證(2017)修復了交易熔融性,提高了可擴展性。Taproot(2021) 帶來了更智能的編程能力和更好的隱私性。兩種都是被整個網絡接受的軟分叉。後量子遷徙應該也會按類似的劇本上演,但也將比這兩者都複雜得多。
每個持幣人都要行動。升級比特幣的代碼不會自動為資金帶來量子抗性。每個持幣人都需要主動將錢幣從舊的地址轉移到新的量子安全地址。以比特幣當前的吞吐量(大約每秒處理 3 到 10 筆交易),讓所有錢幣完成遷徙需要花費數月乃至數年時間。
BIP 360 的支持者們指出,即使在樂觀的假設之下,全面遷移也要花費數年時間。在社區都同意一個計劃之時,這個過程才能開始,而這樣的計劃還沒出現。
已經在開發的東西
Blockstream 團隊沒有袖手旁觀。
Liquid 側鏈是一個測試場地。Liquid 網絡是比特幣的一條側鏈,由 Blockstream 公司開發。該側鏈使用 Simplicity 編程語言,這是專門為比特幣的安全模型而設計的一種智能合約編程語言。在比特幣主網絡上,部署新的密碼學需要整個網絡變更協議。但在使用 Simplicity 的 Liquid 側鏈上,同樣的功能可以作為一個智能合約來發布,無需整個網絡的共識變更,意思是抗量子保護措施可以在幾周內推出,而不像比特幣那樣需要幾年來推動一次軟分叉。
這個活的網絡上已經出現了第一筆後量子交易。 在 2026 年 3 月,Blockstream 的研究部門已經在 Liquid 上部署了 “ SHRINCS”(一種緊湊的後量子簽名方案)。五筆真實的交易得到了廣播和確認,創造了在生產環境中的比特幣側鏈上的第一筆後量子交易。
SHRINCS 在常規操作中產生 324 字節的簽名。(如果在富狀態模式下重複使用同一個公鑰,那麼每多簽名一次,簽名體積就要增加 16 字節)。NIST 標準下最小的簽名也要 2420 字節以上。這 7 倍的體積縮減,決定了簽名是會佔據交易成本的絕大部分,還是在區塊鏈語境下具備實用性。
SHRINCS 僅僅依賴於 SHA-256 的安全性 —— 比特幣已經將它用在工作量證明、地址派生和默克爾樹中。沒有新的密碼學假設,全都是比特幣已經在使用的假設。許多最初向 NIST 提交的後量子候選方案,都在標準化期間被傳統計算機攻破了,這凸顯了保守的密碼學基礎的價值。
使用 SHRIMPS 更替硬件簽名器。2026 年 3 月,Blockstream 的密碼學家 Jonas Nick 提出了 SHRIMPS ,專門考慮了硬件簽名器的生命週期:你當前在用的設備損壞時、或者你要換用更新一代的產品時,要怎麼辦。同一個備份最多可以導入到 1024 臺設備中,並允許它們獨立簽名,簽名體積是 2.5 KB —— 依然比 NIST 的哈希簽名標準(SLH-DSA)小了 3 倍。如果你預計自己會更換硬件簽名器,不妨記住,SHRIMPS 是專門為此設計的。
通往比特幣主網的道路。Blockstream 的研究部門正在探索 OP_SHRINCSVERIFY 的設計哲學:提議的這種操作碼將使比特幣腳本能夠直接驗證基於哈希函數的後量子簽名。這項工作還在公開討論階段,還沒有形成最終的 BIP 。如果該提議在未來有個版本能夠得到採用,持幣人將可以逐個為自己的地址增加量子抗性簽名花費方式,無需等待整個網絡遷移。
這種方法與 BIP 360(支付到默克爾根)(移除了 Taproot 的量子脆弱的密鑰花費路徑)形成互補。 BIP 360 提供了地址結構。OP_SHRINCSVERIFY 提供了簽名驗證能力。相得益彰。
試驗場模式。Liquid 是一個活的金融網絡,保護著總計數十億美元的價值。在 Liquid 上不是新的密碼學,可以產生比特幣共識升級過程所需要的那種證據。OP_CAT 已經存在於 Liquid 側鏈,並且催生了將它加入比特幣的 BIP 347 提議。後量子密碼學也可以沿用相同的模式:在 Liquid 上開發、證明它可以在真實的經濟環境中工作,然後用生產環境中的數據形成未來的具體提議。
今天可以做什麼
- 使用新式的錢包軟件。Blockstream app 使用較新的地址格式。在絕大部分地址類型中,你的公鑰都是隱藏的(直到你花費資金。
- 避免地址複用。 絕大部分新式錢包軟件,都會自動為每一筆交易生成一個新的地址。如果你現在用的軟件沒有這個特性,那麼請換一個軟件。重複使用同樣的地址,在未來的量子威脅面前會增加你的暴露面。
- 將資金從舊的、已經暴露公鑰的地址轉出。如果你有比特幣放在已經花費過的地址上,尤其是舊的紙錢包或者早期交易所的取款地址,請將其中的錢幣轉移到一個全新的地址。這會讓你的資金脫離 “公鑰已經暴露” 的情形。
- 關注新聞。關心 BIP 360 和 OP_SHRINCSVERIFY 的進度。
給企業的建議:在長期保管計劃中考慮量子計算機的成熟時間。遷移窗口意味著,你在 2026 年作出的決定,會塑造你在接下來 10 年的遭遇。
比特幣面臨的量子計算威脅是真實的、具體的,不像新聞標題說的那樣。但比特幣的升級週期以年為單位,而且預計攻破在比特幣中服役的密碼學所需要的資源在快速下降。準備時間是有的,但需要我們珍惜。
(完)
