中本聰預測比特幣的雜湊防禦,早於對量子風險的擔憂 16 年

十六年前,Satoshi Nakamoto 在 2010 年於論壇回覆質疑者,而那段回覆至今仍指引網路如何在守護它的資金。

重點整理

  • Satoshi Nakamoto 在 2010 年 7 月 16 日的 Bitcointalk 論壇貼文中力挺 SHA-256。
  • Google Quantum AI 將其 2026 年「突破比特幣曲線」的估計下修至 500,000 個 qubits。
  • 開發者在 2026 年提出 BIP-360 及其他構想,以準備具抗量子能力的位址。

一則立下規則的論壇貼文

2010 年 7 月 16 日,一位名叫 bdonlan 的使用者在 Bitcointalk 論壇上質疑比特幣對「雙重 SHA-256」的雜湊處理。他問這項設計是否削弱了資安。

Satoshi 直接作答。比特幣的發明人將 SHA-256 比作從 32-bit 到 64-bit 的運算跨越,而不是位元長度的小幅提升。他說,電腦在 4 GB 時就會耗盡 32-bit 的位址空間,但沒有人會預期會在近期耗盡 64-bit 的空間。SHA-256 的運作方式相同,而且數學也讓比特幣留有足夠的餘裕。

Satoshi 也替網路安排了退出方案。若 SHA-256 真的被證實出現削弱,開發者就能在設定的區塊高度上,以軟分叉遷移到新的雜湊函數。舊雜湊與新雜湊會並行運作,直到每個節點都完成升級。

比特幣的市值自此已成長到超過一兆,而網路每天都在結算數千億美元的價值。這一切活動的每一美元,至今仍取決於十六年前那則論壇回覆中被 Satoshi 力挺的雜湊函數。

為什麼比特幣要跑兩次雜湊而不是一次

比特幣的程式會把資料雜湊兩次:SHA256(SHA256(data)),開發者稱為 SHA256d。密碼學家 Niels Ferguson 與 Bruce Schneier 建議採用這種作法來對抗區塊長度延伸攻擊,這是一種 SHA-2 所使用的 Merkle-Damgard 結構的缺陷。

礦工會把區塊標頭雜湊兩次,以符合網路的難度目標;節點則會把交易雜湊兩次,以建立 Merkle 樹。錢包則加上第三層:在 SHA-256 之後進行 RIPEMD-160,把公開金鑰縮短成位址。

Satoshi 選擇 SHA-256 是有原因的。美國國家標準與技術研究院(NIST)在 2001 年把該演算法公布為 SHA-2 家族的一部分,提供了相較於 SHA-1 的大幅強度提升;而在比特幣於 2009 年 1 月啟動時,SHA-1 已經在當時出現裂痕。SHA-256 要強制碰撞大約需要 2^128 次運算,要強制找出原像則大約需要 2^256 次運算。

十六年後,仍沒有人破解這項設計。沒有研究人員發現針對完整 SHA-256 的可運作碰撞、原像或第二原像攻擊。降輪版本已落入密碼分析的攻擊範圍,但這些攻擊在擴展到真正的 64 輪演算法之前就會失去規模。NIST 與像 ECRYPT-CSA 這樣的獨立團隊,仍持續把完整函數評定為安全。

挖礦硬體也講述同樣的故事。特定用途積體電路(ASIC)製造商已打造出整套產品線圍繞 SHA-256d,而目前網路雜湊率已達 exahash 範圍。Satoshi 曾預測,單靠摩爾定律也永遠不會威脅這個函數,而難度調整則讓區塊時間即使在挖礦算力呈指數成長下仍維持接近每 10 分鐘。

量子運算改變了討論內容

傳統的窮舉暴力從來沒有讓 Satoshi 擔心,而至今也仍沒有威脅到比特幣。量子運算把風險拆成兩個彼此分離的問題。

Grover 演算法會加速窮舉搜尋。若用在 SHA-256 上,它會把有效安全性從 256 bits 降到約 128 bits,這個數字仍遠在可及範圍之外。研究人員表示,攻擊者需要達到世界尚未打造的量級的量子硬體,事情因此在目前仍保持安全。

Shor 演算法才是更大的問題,它針對的是簽名,而不是雜湊。一台正在執行 Shor 的量子電腦可能會從比特幣使用的橢圓曲線上的某個「已曝光的公開金鑰」推導出私鑰。據估計,約 700 萬枚比特幣、接近總供給的 35%,目前位於其公開金鑰已曝光的位址中;若這類硬體存在,這些資產就會面臨風險。

Google Quantum AI 在 2026 年發表研究,將破解比特幣曲線所需的 qubit 數量降至約 500,000 個實體 qubits。現有的量子機器運作在大約 1,000 到 1,500 個 qubits 的量級。研究人員仍把可運作威脅的落點估在 2029 到 2035 年之間,取決於錯誤校正的進展。

十六年後,開發者重新檢視這個問題

Satoshi 在 2010 年期間不只一次回到與雜湊相關的疑慮,其中包含若 SHA-256 出現部分碰撞會怎樣。他的答案保持一致:先把誠實的鏈鎖定下來,等到麻煩擴散之前;接著再遷移到新的函數。

後續的比特幣升級並沒有碰到核心雜湊。隔離見證(Segregated Witness)在 2017 年啟用,而 Taproot 在 2021 年啟用;兩者的目標都偏向效率與隱私,而不是雜湊。直到 2020 年代,當 Grover 與 Shor 的演算法相關認知在密碼學社群擴散後,抗量子才成為開發者更關注的主題。

開發者提出 Satoshi 承諾的退出路徑

比特幣開發者已經提出在 2010 年 Satoshi 描述的遷移路徑,只是把焦點放在簽名而非雜湊上。已有幾個想法被端上桌。

BIP-360 引入新的位址格式:以 bc1z 開頭的「支付到 Merkle 根(pay-to-Merkle-root)位址」,並以具抗量子能力的簽名方案為基礎。開發者在 2026 年合併採納了這項提案。配套提案 BIP-361 則說明網路如何在未來逐步淘汰較舊且已曝光的位址型態。至於後者做法,爭議會更大一些。

錢包供應商如今面臨壓力,必須停止位址重複使用,並在任何量子截止期限到來前引導使用者採用較新的輸出型態。

遷移本身也有障礙。開發者仍需要一套計畫,用於處理那些鎖在舊位址中、其持有人失聯或無法聯繫的幣,包括與 Satoshi 早期錢包相關的任何比特幣。後量子簽名也比比特幣目前使用的簽名占用更多區塊空間,而研究人員也正在測試基於雜湊的簽名方案,以讓這種遷移不至於太難推進。

這代表比特幣持有者要做什麼

就今天而言,SHA-256 不需要任何行動。用來保護挖礦與交易歷史的雜湊函數,仍未被任何已知攻擊影響,不論是古典或量子攻擊。

「簽名曝光」才是值得關注的項目。把幣放在舊式位址的人,或任何曾重複使用比特幣位址的人,比起那些在使用現代輸出型態、且公開金鑰在花費前會保持隱藏的人,承擔的曝光風險更高。

Satoshi 在 2010 年那則串文末尾提出的警告,如今讀起來仍像是目前的政策。任何足以破解 SHA-256 的攻擊,很可能也會損害像 SHA-512 這樣更強的近親,因此單靠「完全破解」看起來不太可能。比特幣的防禦從來不是永恆不變。它依賴的是在威脅變成現實之前,能夠移動。

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 打賞
  • 回覆
  • 轉發
  • 分享
回覆
請輸入回覆內容
請輸入回覆內容
暫無回覆
  • 已置頂