比特幣 2028 遭破解？「量子末日時鐘」是廠商包裝 FUD 行銷

像 Postquant Labs 和 Hadamard Gate Inc. 經營的「量子末日時鐘」這樣的網站，將關於量子位元擴展和錯誤率的激進假設打包到一個時間線中，時間線涵蓋 2020 年代後期到 2030 年代初期。但美國國家安全局的 CNSA 2.0 指南建議國家安全系統在 2035 年前完成向後量子演算法過渡。

量子末日時鐘的激進假設與現實差距

根據量子末日時鐘，最近對邏輯量子位元數量的資源估計，加上樂觀的硬體誤差趨勢，表明在有利的模型下，打破 ECC 所需的物理量子位元類別將達到數百萬。時鐘的預設取決於硬體的指數級增長和隨著規模的擴大而提高的保真度，而運行時和糾錯開銷則被視為可以在短時間內克服的。

這種假設有多激進？Gidney 和 Ekerå 在 2021 年進行的一項被廣泛引用的分析估計，在大約 8 小時內計算 RSA-2048 需要大約 2000 萬個帶噪聲的物理量子比特，物理錯誤率約為 10⁻³。這凸顯了精煉工廠和代碼距離如何比原始設備數量更能推動總數。對於比特幣而言，破解橢圓曲線加密（ECC-256）所需的資源甚至更大。

行銷激進型時間表將量子比特呈指數級增長、誤差降至 10⁻³ 或更低作為前提，預測數百萬量子比特可在 2020 年代末至 2030 年代初實現密碼學破解。主流實驗室觀點則採取逐步縮放路徑，認為利用程式碼距離減少誤差需要數百萬量子比特，但最早窗口在 2030 年代中期至 2040 年代。保守派則指出物流成長緩慢、保真度提昇放緩和工廠瓶頸等限制因素，認為需要數千萬甚至更多量子比特，時程可能延至 2040 年代至 2050 年代及以後。

政府標準機構並未將 2027 至 2031 年的過渡期視為基準情況。美國國家安全局的 CNSA 2.0 指南建議，國家安全系統應在 2035 年前完成向後量子演算法的過渡，在此之前分階段實現里程碑。這要求在 2028 年前確定對量子敏感的服務，在 2031 年前優先考慮高優先級遷移，並在 2035 年前完成這些遷移。英國國家網路安全中心也提出了類似的節奏。

政策期限對於必須規劃資本預算、供應商依賴性和合規計畫的機構來說，是一個實際的風險指南針，它意味著多年的過渡，而不是兩年的斷崖式下跌。這種 7 年（2028-2035）的漸進時程與量子末日時鐘的 2-3 年激進預測形成鮮明對比，後者明顯是為了製造緊迫感以推銷產品。

實驗室進展與密碼學破解的巨大鴻溝

實驗室的進展是真實且相關的，但它並沒有展現出 Shor 演算法在比特幣破解參數下所需的規模、一致性、邏輯閘品質和 T 門工廠吞吐量的組合。據加州理工學院稱，一個擁有 6,100 個量子位元的中性原子陣列實現了 12.6 秒的相干性和高保真度傳輸，這是在實現容錯性方面邁出的工程一步，而不是在適當的碼距下演示低錯誤邏輯閘。

谷歌的 Willow 晶片在 105 量子位元上實現了演算法和硬體的雙重突破，聲稱在特定任務上能夠以指數級速度抑制誤差。同時，IBM 展示了一個運作在通用 AMD 硬體上的即時糾錯控制迴路，這是實現系統級容錯能力的重要一步。這些既定方案都無法消除先前資源研究發現的，在表面代碼假設下，RSA 和 ECC 等經典目標的主要開銷。

從 105 個量子位元到數百萬甚至數千萬個量子位元，這不是簡單的線性擴展問題。每增加一個量子位元，系統的複雜度呈指數增長。控制電路、冷卻系統、錯誤糾正開銷和量子位元間的串擾都會隨著規模擴大而急劇惡化。谷歌和 IBM 的突破證明了技術路徑的可行性，但距離密碼學意義上的實用量子電腦仍有數個數量級的差距。

對於比特幣和量子運算的威脅評估，最早的實質攻擊途徑是鏈上金鑰洩露，而非針對 SHA-256 的先捕獲後解密攻擊。據 Bitcoin Optech 稱，一旦出現具有密碼學意義的機器，那些已經洩露公鑰的輸出（例如傳統的 P2PK、花費後重複使用的 P2PKH 以及某些 Taproot 路徑）都將成為攻擊目標。同時，典型的 P2PKH 金鑰在使用前會受到雜湊加密的保護。

比特幣的多層防禦與升級路徑

核心貢獻者和研究人員正在追蹤多種隔離和升級方案，包括 Lamport 或 Winternitz 一次性簽章、P2QRH 位址格式，以及隔離或強制輪替不安全 UTXO 的提案。BIP-360 的支持者聲稱，超過 600 萬個比特幣存在於 P2PK、重用的 SegWit 和 Taproot 等量子暴露的輸出中，最好理解為支持者給出的上限，而不是共識指標。

移民的經濟學意義與物理意義同樣重要。隨著 NIST 最終確定金鑰封裝的 FIPS-203 和簽署的 FIPS-204，錢包和交易所今天就可以實施所選的系列標準。根據 NIST FIPS-204，ML-DSA-44 的公鑰為 1,312 字節，簽章為 2,420 字節，比 secp256k1 的公鑰和簽章大幾個數量級。

在目前的區塊限制下，用後量子簽章和公鑰取代典型的 P2WPKH 輸入見證，會將每次輸入的大小從數十個虛擬位元組增加到數千個位元組。除非配合聚合、支援批量驗證的結構或將大量資料移出熱點路徑的提交-揭示模式，否則這將壓縮吞吐量並推高費用。擁有大量已公開公鑰 UTXO 的機構有經濟動機在爭奪將需求集中到單一費用高峰窗口之前，有條不紊地取消公開和輪調。

比特幣對量子運算的防禦層級

哈希保護：P2PKH 地址在使用前受雜湊加密保護，公鑰不暴露

一次性簽章：Lamport 或 Winternitz 簽章可抵抗量子攻擊

P2QRH 位址格式：專為後量子時代設計的新地址標準

UTXO 輪替方案：隔離或強制輪替易受攻擊的輸出

比特幣先哈希後揭示的設計選擇已經將曝光時間推遲到在常見路徑上花費一段時間之後，而且當可信信號（而不是供應商時鐘）表明是時候繼續進行時，該網絡的策略手冊包括多種輪換和遏制選項。這種多層防禦架構為比特幣提供了充足的時間窗口來應對量子威脅。

傳統系統更脆弱 ATM 仍跑 Windows XP

然而，值得注意的是，當量子電腦使比特幣的加密技術變得脆弱時，其他傳統系統也會面臨同樣的風險。銀行、社群媒體、金融應用程式等等，都將面臨後門敞開的危險。如果遺留系統不進行更新，社會崩潰的風險比損失一些加密貨幣的風險更大。

對於那些認為比特幣升級速度會比銀行等系統慢的人，請記住，世界各地的一些 ATM 和其他銀行基礎設施仍然運行在 Windows XP 系統上。Windows XP 於 2001 年發布，微軟在 2014 年停止支援，但時至今日仍有大量關鍵金融設施在使用這個已有 24 年歷史的操作系統。這種遺留系統的升級慣性遠超公眾想像。

比特幣作為去中心化網絡，雖然共識機制複雜，但一旦社群達成共識，技術升級的執行效率往往高於傳統金融機構。比特幣歷史上的 SegWit 和 Taproot 升級雖然經歷了漫長的討論，但最終實施都相對順利。相比之下，銀行系統的跨機構協調、監管審批和遺留系統相容性問題，往往使升級週期延長至數年甚至十年。

末日時鐘的作用在於敘事，它將不確定性壓縮成緊迫感，從而引導人們尋求供應商的解決方案。這是經典的 FUD（Fear, Uncertainty, Doubt）行銷策略：製造恐慌，然後推銷解決方案。對於工程和資本規劃而言，重要的風險指南針以 NIST 最終確定的標準、政府在 2035 年左右的遷移期限以及標誌著容錯性真正轉折點的實驗室里程碑為基準。

根據 NIST 的 FIPS-203 和 FIPS-204，該工具路徑現已可用，這意味著錢包和服務可以開始解除金鑰洩漏並測試更大的簽名，而無需接受兩年的末日假設。比特幣和量子運算的關係應該基於科學共識和政府標準，而非廠商行銷的激進時程。