量子计算机不会“破解”比特币——但以下才是真正威胁你的密钥的因素

关于量子计算和比特币的最大误解是什么？大家一直在谈论破解区块链上实际上不存在的加密。

让我们先澄清事实。比特币并不在链上加密数据——公共账本的全部意义在于每一笔交易、每个地址和金额对所有人都是可见的。量子计算机理论上可以利用Shor算法从暴露的公钥推导出私钥，然后伪造未授权的签名。这不是解密；而是授权伪造。正如比特币开发者Adam Back直言不讳地说：比特币根本不使用加密。

真正的漏洞：暴露的公钥，而非加密的秘密

比特币的安全模型依赖于数字签名(ECDSA和Schnorr协议)来证明密钥所有权。只有在你生成有效签名并被网络接受时，币才会转移。问题不在于隐藏的加密数据——而在于链上待被利用的公钥。

不同的地址格式处理方式不同。许多地址采用对公钥的哈希，因此原始公钥在你花费币之前保持隐藏。这个暴露窗口很窄。但其他脚本类型会更早暴露公钥，如果你重复使用同一地址，那次一次的暴露就会成为有心攻击者的永久目标。

Project Eleven的“比特币风险清单”准确追踪了链上已暴露的公钥位置——映射量子计算机理论上可能攻击的面。其每周扫描显示，大约有670万BTC符合量子暴露标准，这些公钥已在输出中，等待拥有足够计算能力的任何人利用。

实际需要多少量子比特？

数学上可以衡量，尽管时间线尚不明确。研究人员估算，破解一个256位椭圆曲线密钥大约需要2330个逻辑量子比特——这是理论最低值。将其转化为实际的、经过纠错的量子机，成本巨大。

这些估算大致集中在以下基准：

• 690万物理量子比特，用于10分钟内破解密钥(Litinski 2023年估算)
• 1300万物理量子比特，在一天内破解
• 3.17亿物理量子比特，在一小时内破解

IBM近期的路线图显示，预计到2029年会有容错系统，但即使如此，时间线也假设错误校正技术能快速进步。每一种架构选择都会极大地影响运行时间。

为什么像SHA-256这样的哈希防御(不会面临同样的压力)

虽然Shor算法能摧毁椭圆曲线密码学，但哈希函数如SHA-256面临不同的量子挑战：Grover算法，它在暴力破解中只提供平方根的加速。经过Grover算法后，实际安全级别仍在2^128左右——远远没有达到可行的攻击范围，比离散对数破解要安全得多。哈希碰撞抗性不是瓶颈，关键在于公钥的暴露。

钱包行为的变化决定一切

如果量子计算机能比区块时间间隔更快地恢复密钥，攻击者不会重写比特币历史——他们只会在你抢先花费暴露的地址上竞争。地址重用是放大器；Project Eleven的分析指出，一旦公钥出现在链上，未来所有支付到该地址的交易都将处于风险之中。

Taproot输出(P2TR)改变了暴露模式，将32字节的调整后公钥直接包含在输出中，而不是隐藏在哈希背后。这并未立即带来威胁，但如果密钥恢复变得可行，暴露的内容就会发生变化。如今可以追踪到可衡量的漏洞池，无需猜测何时量子突破成为可能。

真正的挑战：迁移，而非紧急应对

这不是末日场景——而是基础设施升级。NIST已经标准化了后量子密码原语，如ML-KEM(FIPS 203)。比特币提案如BIP 360建议“抗量子哈希支付”作为迁移路径。

阻力点是真实存在的：后量子签名比传统签名大数千字节，这会重塑交易经济、钱包设计和手续费市场。逐步淘汰传统签名可能促使迁移，同时减少暴露密钥的长尾效应。

比特币面临的量子威胁取决于行为选择(地址重用)、协议设计(Taproot暴露)以及网络协调(签名迁移速度)——而非破解从未存在的加密堡垒。