機構投資者越來越多地詢問,量子比特幣的敘事如何影響長期安全假設,儘管實際威脅仍然看似遙遠。量子威脅的真正範圍公開討論常常暗示,量子計算可能會立即破解比特幣。然而,能夠用 Shor 演算法做到這點的機器,可能仍需數十年才能出現,而且真正的暴露範圍比戲劇性標題所暗示的要狹窄。比特幣依賴數位簽章來確保所有權,歷史上使用 ECDSA,自 Taproot 以來,也在 BIP340 下使用 Schnorr 簽章。這兩種方案都使用相同的橢圓曲線 secp256k1,藉由私鑰推導公鑰的方式在目前使用經典硬體時仍無法逆向。一台具備容錯能力、能在密碼學上達到相關規模運行 Shor 演算法的量子電腦,理論上可以解決橢圓曲線離散對數問題。這將使攻擊者能夠偽造有效簽章並直接竊取資金,因此這個攻擊向量最受關注。次要但仍令人擔憂的是 Grover 演算法,它能讓暴力破解搜尋問題獲得平方級的加速。它不會直接破解 SHA-256,但可能降低找到有效工作量證明(PoW)雜湊的工作量;若量子礦工能夠超越當前的專用集成電路礦機(ASIC)群隊,則可能改變挖礦經濟與中心化風險。此外,任何此類工作量證明的優勢仍取決於真實世界的工程:設計並運行一台優於專用 ASIC 的量子礦工,是一個獨立且巨大的挑戰,超出僅在實驗室中運行 Grover 演算法本身。比特幣真正暴露在哪裡只有當公鑰在鏈上可見時,基於 Shor 的攻擊才變得相關。這種暴露型態會因輸出類型與錢包做法而顯著不同,因此比特幣的量子風險並非均勻。具有長期暴露特徵的硬幣,指的是在建立 UTXO 時就會揭示公鑰,或公鑰在長時間內仍保持可見。這類包括:早期的 P2PK 輸出、已重複使用的地址(其資金與先前花費中揭示的金鑰相關),以及 Taproot P2TR 輸出(它會在 UTXO 中直接承諾一個經過調整的(tweaked)金鑰)。在這些情況下,公鑰可能在任何花費發生前很久就能被收割(harvest)。這會形成一種潛在的「現在收割,之後攻擊」情境:如果未來存在強大的量子機器,它們可能會在大量層面鎖定這些長期暴露的金鑰。相較之下,像 P2PKH(傳統)與 P2WPKH(SegWit)這樣的現代錢包類型會使用雜湊化的公鑰,只在花費時間點才揭示真實金鑰。然而,這會大幅縮小攻擊者的時窗:他們需要在合法花費被確認前的幾個區塊內,先推導出私鑰並廣播一筆衝突交易。各種估算對「暴露了多少硬幣」的結論不盡相同。有些分析認為,在廣泛假設下,總供應量中的 20–50% 可能會受到威脅。另一些觀點則認為這高估了實際的可利用性,尤其是當許多被暴露的硬幣分散在小型 UTXO 之中,或僅在 mempool 競賽期間短暫可見時。一份常被引用的報告將「實質暴露且集中」的子集合縮小到約 10,200 BTC。這很重要,但距離那種具系統性抹除的情境仍然很遠。此外,理論攻擊面與實務攻擊面的差異,對於可信的風險評估至關重要。容錯型量子瓶頸所有這些情境都假設存在大型、容錯型的量子電腦,且其規模遠超出目前裝置。如今,已公開為人所知的系統仍然噪聲很大、規模很小,並且不足以進行具密碼學意義的攻擊。破解比特幣的橢圓曲線簽章,可能需要數百萬個具強誤差更正能力的實體量子比特,才能產生足夠穩定的邏輯量子比特。一項近期研究估計,機器可能需要比目前任何量子處理器的能力強約 100,000 倍。對於這類硬體是否能夠在來得及影響比特幣的時間內出現,人們意見不一。即使如此,許多嚴肅的預測仍將最早可能的窗口集中在 2030 年代中期到 2040 年代中期,這給了生態系時間,但也不應成為自滿的藉口。關鍵在於:一旦出現具意義的能力,回應必須提前數年規劃、測試並協調完成。這就是為何討論已從科幻轉向工程與治理問題。後量子標準與遷移路徑核心挑戰在於:在嚴格的吞吐限制、保守的治理,以及持有者與服務提供者之間不均衡的誘因下,比特幣如何遷移到對量子具有韌性的密碼學。在 2024 年,NIST 完成了其第一套後量子密碼學標準,包括基於格的 ML-DSA(Dilithium)與 SLH-DSA(SPHINCS+)。這些方案正逐漸成為需要準備進行量子安全操作的大型系統的預設候選。對比特幣而言,任何現實的遷移都可能以階段方式推出。新的輸出類型與錢包預設將被導入,且可能會配合混合交易:在長時間的過渡期內,同時需要經典與後量子證明。然而,後量子簽章通常伴隨取捨:它們往往更大、且驗證所需計算更重,會增加區塊空間使用、頻寬需求,以及全節點驗證的成本。必須仔細設計,以避免對網路可擴展性與去中心化造成壓力。除了任何單一藍圖,還有幾個可能的方向。例如:具量子能力的輸出類型、在定義好的過渡窗口內使用混合政策、以及讓錢包預設逐步降低長期存在的公鑰暴露。軟分叉(soft fork)是引入新腳本類型最可能的機制;而硬分叉(hard fork)仍是高風險的最後手段,因為可能導致鏈的分裂。BIP 360 與 P2MR 作為漸進式的強化BIP 360,最近已合併到官方 BIPs 儲存庫,是迄今為止最具體的嘗試,將高層次的擔憂轉化為一個漸進式、比特幣原生的緩解措施,專注於長期暴露模式。該提案引入一種稱為「支付給 Merkle 根」(Pay-to-Merkle-Root,P2MR)的新輸出類型,設計上與 Taproot 的腳本樹(script trees)類似,但刻意移除了金鑰路徑(key-path)花費。相反,所有花費都必須揭示一條腳本路徑與 Merkle 證明。從概念上來說,P2MR 是「類 Taproot 的腳本樹,但沒有金鑰路徑(key-path)」。這種設計直接針對那些嵌入且長期存留的公鑰,這些公鑰最容易受到與 Shor 演算法相關的「現在收割,之後攻擊」情境的影響;同時又不會立即讓比特幣承諾使用沉重的後量子簽章方案。主要的取捨在於大小:P2MR 的花費證人(witness)比緊湊的 Taproot 金鑰路徑花費更大。然而,支持者認為:如果能顯著降低長時間的公鑰暴露,接受略大的腳本是值得的。BIP 360 將 P2MR 視為一個基礎構件,而非最終解答。它解決了部分問題——長期暴露的輸出;但短期 mempool 競賽的風險與全面轉向後量子簽章,仍需更多提案與共識。傳統 UTXO 與治理兩難該提案也凸顯一個更令人不安的現實:即使引入新型輸出與更佳的錢包預設,仍有相當比例的 UTXO 可能會長期停留在傳統腳本上,形成結構性脆弱的區域。一些持有的硬幣只是沉睡或遺失,擁有者永遠不會簽署新交易。其他則在機構托管或定制設置中,移動速度緩慢。此外,人類的慣性意味著,除非威脅迫在眉睫,否則一些用戶不會主動遷移。如果某天出現具密碼學意義的量子能力,那麼在原理上,一些長期暴露且擁有者無法聯繫的硬幣,可能會被先行推導出私鑰的人掃走。即使這被視為竊取而非協議失效,市場的衝擊也可能非常嚴重。大型沉睡叢集的突然清算,可能會破壞信心,引發緊急政策辯論,並激起對隱藏供應過剩的恐懼。然而,提出凍結、追繳或以其他方式對未遷移硬幣採取不同處理的方案,會引發關於不可變性、中立性與財產權的激烈爭議,這些問題直指比特幣社會契約的核心。治理僵局的可能性,是為何早期且審慎的規劃如此重要。一旦可信的量子攻擊開始,可能就沒有時間或共識來臨時修正。風險、時間表與現實準備在更廣泛的比特幣量子風險討論中,多數嚴肅分析師已經同意幾個要點:挑戰是真實的,時間表不確定,且攻擊面在不同輸出類型與錢包做法之間高度不均。重要的是,生態系並非從零起步。開發者已在探索可用 soft fork 實現的改進方案、像 P2MR 這樣的新輸出設計,以及由其他產業新興標準啟發的遷移策略。這正是長期機構持有者希望看到的工作。最困難的部分是協調。任何重大的轉變都可能需要數年時間,政治上具有爭議,並且受到那些從不移動的硬幣的影響。儘管如此,比特幣的保守升級文化也是一種優勢:能在不強制整個網路趕在倉促的硬分叉截止期限前,逐步實現選擇性變革。在這樣的背景下,量子比特幣的風險輪廓更像是一個長期工程挑戰,而非一個迫在眉睫的生存危機。透過持續研究、謹慎的錢包設計與逐步的協議強化,網路仍有時間做好準備。最終,理性的立場很清楚:準備勝於恐慌。將量子視為一個嚴肅但可控的威脅,比特幣可以持續演進其安全模型,而不犧牲其原本賦予價值的特性。
市場關注量子比特幣風險,因研究人員計劃分階段、謹慎準備
機構投資者越來越多地詢問,量子比特幣的敘事如何影響長期安全假設,儘管實際威脅仍然看似遙遠。
量子威脅的真正範圍
公開討論常常暗示,量子計算可能會立即破解比特幣。然而,能夠用 Shor 演算法做到這點的機器,可能仍需數十年才能出現,而且真正的暴露範圍比戲劇性標題所暗示的要狹窄。
比特幣依賴數位簽章來確保所有權,歷史上使用 ECDSA,自 Taproot 以來,也在 BIP340 下使用 Schnorr 簽章。這兩種方案都使用相同的橢圓曲線 secp256k1,藉由私鑰推導公鑰的方式在目前使用經典硬體時仍無法逆向。
一台具備容錯能力、能在密碼學上達到相關規模運行 Shor 演算法的量子電腦,理論上可以解決橢圓曲線離散對數問題。這將使攻擊者能夠偽造有效簽章並直接竊取資金,因此這個攻擊向量最受關注。
次要但仍令人擔憂的是 Grover 演算法,它能讓暴力破解搜尋問題獲得平方級的加速。它不會直接破解 SHA-256,但可能降低找到有效工作量證明(PoW)雜湊的工作量;若量子礦工能夠超越當前的專用集成電路礦機(ASIC)群隊,則可能改變挖礦經濟與中心化風險。
此外,任何此類工作量證明的優勢仍取決於真實世界的工程:設計並運行一台優於專用 ASIC 的量子礦工,是一個獨立且巨大的挑戰,超出僅在實驗室中運行 Grover 演算法本身。
比特幣真正暴露在哪裡
只有當公鑰在鏈上可見時,基於 Shor 的攻擊才變得相關。這種暴露型態會因輸出類型與錢包做法而顯著不同,因此比特幣的量子風險並非均勻。
具有長期暴露特徵的硬幣,指的是在建立 UTXO 時就會揭示公鑰,或公鑰在長時間內仍保持可見。這類包括:早期的 P2PK 輸出、已重複使用的地址(其資金與先前花費中揭示的金鑰相關),以及 Taproot P2TR 輸出(它會在 UTXO 中直接承諾一個經過調整的(tweaked)金鑰)。
在這些情況下,公鑰可能在任何花費發生前很久就能被收割(harvest)。這會形成一種潛在的「現在收割,之後攻擊」情境:如果未來存在強大的量子機器,它們可能會在大量層面鎖定這些長期暴露的金鑰。
相較之下,像 P2PKH(傳統)與 P2WPKH(SegWit)這樣的現代錢包類型會使用雜湊化的公鑰,只在花費時間點才揭示真實金鑰。然而,這會大幅縮小攻擊者的時窗:他們需要在合法花費被確認前的幾個區塊內,先推導出私鑰並廣播一筆衝突交易。
各種估算對「暴露了多少硬幣」的結論不盡相同。有些分析認為,在廣泛假設下,總供應量中的 20–50% 可能會受到威脅。另一些觀點則認為這高估了實際的可利用性,尤其是當許多被暴露的硬幣分散在小型 UTXO 之中,或僅在 mempool 競賽期間短暫可見時。
一份常被引用的報告將「實質暴露且集中」的子集合縮小到約 10,200 BTC。這很重要,但距離那種具系統性抹除的情境仍然很遠。此外,理論攻擊面與實務攻擊面的差異,對於可信的風險評估至關重要。
容錯型量子瓶頸
所有這些情境都假設存在大型、容錯型的量子電腦,且其規模遠超出目前裝置。如今,已公開為人所知的系統仍然噪聲很大、規模很小,並且不足以進行具密碼學意義的攻擊。
破解比特幣的橢圓曲線簽章,可能需要數百萬個具強誤差更正能力的實體量子比特,才能產生足夠穩定的邏輯量子比特。一項近期研究估計,機器可能需要比目前任何量子處理器的能力強約 100,000 倍。
對於這類硬體是否能夠在來得及影響比特幣的時間內出現,人們意見不一。即使如此,許多嚴肅的預測仍將最早可能的窗口集中在 2030 年代中期到 2040 年代中期,這給了生態系時間,但也不應成為自滿的藉口。
關鍵在於:一旦出現具意義的能力,回應必須提前數年規劃、測試並協調完成。這就是為何討論已從科幻轉向工程與治理問題。
後量子標準與遷移路徑
核心挑戰在於:在嚴格的吞吐限制、保守的治理,以及持有者與服務提供者之間不均衡的誘因下,比特幣如何遷移到對量子具有韌性的密碼學。
在 2024 年,NIST 完成了其第一套後量子密碼學標準,包括基於格的 ML-DSA(Dilithium)與 SLH-DSA(SPHINCS+)。這些方案正逐漸成為需要準備進行量子安全操作的大型系統的預設候選。
對比特幣而言,任何現實的遷移都可能以階段方式推出。新的輸出類型與錢包預設將被導入,且可能會配合混合交易:在長時間的過渡期內,同時需要經典與後量子證明。
然而,後量子簽章通常伴隨取捨:它們往往更大、且驗證所需計算更重,會增加區塊空間使用、頻寬需求,以及全節點驗證的成本。必須仔細設計,以避免對網路可擴展性與去中心化造成壓力。
除了任何單一藍圖,還有幾個可能的方向。例如:具量子能力的輸出類型、在定義好的過渡窗口內使用混合政策、以及讓錢包預設逐步降低長期存在的公鑰暴露。軟分叉(soft fork)是引入新腳本類型最可能的機制;而硬分叉(hard fork)仍是高風險的最後手段,因為可能導致鏈的分裂。
BIP 360 與 P2MR 作為漸進式的強化
BIP 360,最近已合併到官方 BIPs 儲存庫,是迄今為止最具體的嘗試,將高層次的擔憂轉化為一個漸進式、比特幣原生的緩解措施,專注於長期暴露模式。
該提案引入一種稱為「支付給 Merkle 根」(Pay-to-Merkle-Root,P2MR)的新輸出類型,設計上與 Taproot 的腳本樹(script trees)類似,但刻意移除了金鑰路徑(key-path)花費。相反,所有花費都必須揭示一條腳本路徑與 Merkle 證明。
從概念上來說,P2MR 是「類 Taproot 的腳本樹,但沒有金鑰路徑(key-path)」。這種設計直接針對那些嵌入且長期存留的公鑰,這些公鑰最容易受到與 Shor 演算法相關的「現在收割,之後攻擊」情境的影響;同時又不會立即讓比特幣承諾使用沉重的後量子簽章方案。
主要的取捨在於大小:P2MR 的花費證人(witness)比緊湊的 Taproot 金鑰路徑花費更大。然而,支持者認為:如果能顯著降低長時間的公鑰暴露,接受略大的腳本是值得的。
BIP 360 將 P2MR 視為一個基礎構件,而非最終解答。它解決了部分問題——長期暴露的輸出;但短期 mempool 競賽的風險與全面轉向後量子簽章,仍需更多提案與共識。
傳統 UTXO 與治理兩難
該提案也凸顯一個更令人不安的現實:即使引入新型輸出與更佳的錢包預設,仍有相當比例的 UTXO 可能會長期停留在傳統腳本上,形成結構性脆弱的區域。
一些持有的硬幣只是沉睡或遺失,擁有者永遠不會簽署新交易。其他則在機構托管或定制設置中,移動速度緩慢。此外,人類的慣性意味著,除非威脅迫在眉睫,否則一些用戶不會主動遷移。
如果某天出現具密碼學意義的量子能力,那麼在原理上,一些長期暴露且擁有者無法聯繫的硬幣,可能會被先行推導出私鑰的人掃走。即使這被視為竊取而非協議失效,市場的衝擊也可能非常嚴重。
大型沉睡叢集的突然清算,可能會破壞信心,引發緊急政策辯論,並激起對隱藏供應過剩的恐懼。然而,提出凍結、追繳或以其他方式對未遷移硬幣採取不同處理的方案,會引發關於不可變性、中立性與財產權的激烈爭議,這些問題直指比特幣社會契約的核心。
治理僵局的可能性,是為何早期且審慎的規劃如此重要。一旦可信的量子攻擊開始,可能就沒有時間或共識來臨時修正。
風險、時間表與現實準備
在更廣泛的比特幣量子風險討論中,多數嚴肅分析師已經同意幾個要點:挑戰是真實的,時間表不確定,且攻擊面在不同輸出類型與錢包做法之間高度不均。
重要的是,生態系並非從零起步。開發者已在探索可用 soft fork 實現的改進方案、像 P2MR 這樣的新輸出設計,以及由其他產業新興標準啟發的遷移策略。這正是長期機構持有者希望看到的工作。
最困難的部分是協調。任何重大的轉變都可能需要數年時間,政治上具有爭議,並且受到那些從不移動的硬幣的影響。儘管如此,比特幣的保守升級文化也是一種優勢:能在不強制整個網路趕在倉促的硬分叉截止期限前,逐步實現選擇性變革。
在這樣的背景下,量子比特幣的風險輪廓更像是一個長期工程挑戰,而非一個迫在眉睫的生存危機。透過持續研究、謹慎的錢包設計與逐步的協議強化,網路仍有時間做好準備。
最終,理性的立場很清楚:準備勝於恐慌。將量子視為一個嚴肅但可控的威脅,比特幣可以持續演進其安全模型,而不犧牲其原本賦予價值的特性。