Obat ketiga untuk kepanikan kuantum: Sekret kapal penyelamat Satoshi Nakamoto

4月中旬教链写过一篇科普，聊的是BIP-361提案和量子威胁的两副解药。当时教链的结论是：有BIP-39助记词的普通用户不用担心，有逃生通道。真正被卡住的是2013年之前的远古巨鲸——那些没有助记词的裸私钥持有者，包括中本聪。

教链当时说，这是一个三重困境：要么眼睁睁看着币被量子冻结，要么被量子黑客抢走，要么必须现身于世、提前把币挪走。

没想到不到一个月，5月2日，Paradigm的合伙人Dan Robinson就拿出了一份新提案，叫PACTs。全称是Provable Address-Control Timestamps，可验证地址控制时间戳。

量子恐慌的第三副解药。这副解药，给了裸私钥持有者包括中本聪，一个新的选择。

温故而知新

量子威胁这件事，普通用户不用太紧张。原因教链4月中旬那篇文章已经讲得很清楚了。

当前的BTC系统对抗量子计算机有两个死穴。死穴一是交易时会暴露公钥。死穴二是有些老地址的公钥早就赤裸裸地写在链上了。针对前者，有QSB方案兜底；针对后者，社区提了BIP-361，打算五年后统一冻结所有量子易受攻击的旧地址，同时给出一条基于零知识证明的迁移通道（逃生通道）。

但逃生通道有个硬前提：你得有BIP-39助记词。

BIP-39是2013年才引入的标准。12个或者24个英文单词，可以恢复整个钱包。而且从助记词到私钥经过了2048次哈希迭代，量子计算机也很难逆向破解。

早期巨鲸用的是完全不同的方式。私钥就是私钥，备份的是wallet.dat文件（甚至就是手抄私钥）。没有助记词，没有标准化的恢复机制。

中本聪挖矿是2009到2010年的事。他用的P2PK地址，公钥直接暴露；他持有的私钥也没有对应的BIP-39助记词。

这就是教链那篇文章的核心洞见：2013年之后的人有助记词，可以通过ZK证明自救；2013年之前的裸私钥持有者，没有助记词，只能靠传统签名自证，而量子时代签名等于自曝。

中本聪被关在了这个三重困境里。

PACTs是什么

Dan Robinson的提案试图为中本聪们提供一个自行打造救生艇逃生的新思路。

PACTs的核心思路很简单：不移动币，只证明所有权，而且在量子威胁到来之前悄悄证明。

具体怎么做呢？

第一步，赶在量子计算时代前面，提前生成证明。持有老地址私钥的人，用BIP-322这个标准对一段随机消息签个名，生成一份独一无二的所有权证明。再混入一个随机盐——你可以理解为给这份证明加一勺调料，让别人无法暴力猜出原始信息。然后把签名和盐打包，通过OpenTimestamps服务锚定到比特币区块链上，盖一个永久的时间戳。所有这些文件保存在自己手里，不公开。

第二步，未来需要动币时，出示证明。假设比特币网络确实采用了BIP-361，冻结了所有量子易受攻击的旧地址。这时候，如果你想让那些被冻结的币重新动起来，可以用一个STARK证明，向全网展示，你在量子威胁出现之前，就已经创建了那个时间胶囊。

STARK是一种抗量子计算机攻击的零知识证明。验证者不需要知道你到底是谁、有多少钱、什么时候做的证明，只需要确认你确实提前做好了那个承诺。

第三步，网络验证通过，币释放。

最关键的是，整个过程不暴露地址、不暴露金额、不暴露原始时间戳。

这就是零知识证明的魔力。你证明了你知道某个秘密，但完全不透露这个秘密是什么，也不透露任何和这个秘密相关的元数据。

PACTs能救中本聪吗

教链看到有些人说，PACTs不适用于中本聪的地址。这个说法其实是混淆了两个不同的问题。

技术上，PACTs完全可以兼容中本聪用的P2PK地址。签名、做承诺、盖时间戳、未来用STARK赎回，每一步都没有原理性障碍。

那为什么有人说它不适用呢？因为PACTs有一个硬前提，即必须由私钥持有者本人，在量子冻结生效之前，主动去创建这个承诺。如果私钥的控制人已经消失了，或者永远不会出现，那么技术上再完美，也没人能替他做这件事。

所以不是技术不兼容，而是执行的前提可能不成立。

而中本聪到底还在不在，没有人知道。

这就引出了PACTs最精妙的地方。

薛定谔的中本聪

假设中本聪还活着，并且看到了BIP-361和PACTs的讨论。他有两个选择：什么都不做，或者秘密创建一个PACTs承诺。

如果他什么都不做，若干年后如果冻结被社区实施，他的币将被永久锁死。世界会推断：中本聪果然不在了。

如果他秘密创建了承诺，但永远不去使用它。若干年后冻结实施，他的币同样被锁死。世界做出完全相同的推断：中本聪果然不在了。

看到了吗？两种截然不同的真相，指向完全相同的可观测结果。

而如果他某一天决定使用那个承诺去赎回，世界才会后知后觉地知道：原来那个人还在，还一直关注着比特币。

但是的但是，那个赎回动作本身，很可能会引爆一场比量子盗币更猛烈的风暴。媒体、黑客、政府、阴谋论者，全世界都会发疯似地去追查那个提交STARK证明的人。无论密码学把身份隐藏得多好，那个提交行为本身就是一个信号——中本聪还活着。

所以PACTs与其说是一条救生艇，不如说是一扇只有自己知道密码的后门。门后是一个可以永远不进去的房间，但房间里确实放着提前藏好的证据。

而这个房间里到底有没有东西，外界永远无法知道。

这枚时间胶囊处于一种量子态。它同时存在，又同时不存在。只有当中本聪本人选择让它坍缩——也就是真的去赎回那笔币——波函数才会变成一个确定的结果。

在此之前，任何猜测都是徒劳的。

教链觉得最有趣的地方在于，以数字拟真的量子态，对抗量子计算机的量子态，有一种以毒攻毒的美。

无声的迷宫

第一，PACTs不是BIP-361的替代品，而是它的补充。BIP-361解决的是社区如何统一行动的问题，PACTs解决的是个人如何在不暴露身份的前提下自救的问题。两者可以并行。

第二，PACTs的落地还需要很长的路。比特币网络目前不支持STARK验证。Dan Robinson自己也承认，这需要一套全新的基础设施，包括多重签名钱包、复杂脚本、硬件钱包支持，都需要仔细的标准化。这不是一两个月能完成的事。

第三，实践上, 对于普通用户来说，BIP-39助记词依然是量子时代最可靠的逃生通道。正如教链4月份那篇文章里说的，确保你的钱包是基于BIP-39助记词生成的。12个单词或者24个单词，抄在纸上，锁在保险柜里。

第四，关于中本聪。教链觉得，PACTs最大的价值不是真的救了他的币，而是给了他一个继续沉默的理由。他不需要做任何可能暴露自己的事，就保留了未来某一天悄悄复活的可能性。这种可能性是否存在，没有人能知道，也没有人能证伪。

也许这正是中本聪会喜欢的设计。比特币的创造者，用密码学为自己编织了一个完美的无声迷宫：要么永远消失，币被永久冻结；要么悄悄留下后门，但永远不用。

无论哪种结局，外界都只能看到同一个结果。

而真相，可能永远藏在那个未被观测的量子态里。