机构投资者越来越多地询问:量子比特币叙事将如何影响长期安全性假设,尽管实际威胁在目前看来仍显得遥远。量子威胁的真实范围公众讨论常常暗示,量子计算可能会在不久的将来破解比特币。然而,能够使用 Shor 算法做到这一点的机器很可能仍需数十年才会出现,并且真正的暴露范围比耸动的头条所暗示的要窄。比特币依赖数字签名来保障所有权,历史上使用过 ECDSA,并且自 Taproot 起也在 BIP340 中采用 Schnorr 签名。两种方案都使用相同的椭圆曲线 secp256k1:从私钥推导公钥,而这种从数学意义上逆转的操作在当前条件下用经典硬件仍不可行。如果存在一种具备容错能力的量子计算机,能够在密码学上具有相关规模下运行 Shor 算法,那么理论上它可以求解椭圆曲线离散对数问题。这将使攻击者能够伪造有效签名并直接窃取资金,因此这一攻击向量吸引了最多的关注。次要但同样需要担忧的是 Grover 算法,它为暴力搜索类问题提供二次加速。它不会直接彻底破解 SHA-256,但可能会降低找到有效工作量证明哈希所需的工作量。如果某个量子挖矿者能够超过当今的 ASIC 矿机舰队速度,那么这甚至可能会改变挖矿经济,并带来集中化风险。此外,任何这类工作量证明优势仍然取决于现实世界的工程能力:设计并运营出优于专用 ASIC 的量子矿机是一项独立的巨大挑战——这超出了单纯在实验室中运行 Grover 算法本身。比特币真正暴露在哪里基于 Shor 的攻击,只有在公钥出现在链上时才会变得相关。这个暴露画像会因输出类型与钱包实践而显著不同,这也是为什么比特币的量子风险并不均匀。长期暴露的币种,是那些在创建 UTXO 时就会揭示公钥,或会在较长时间内保持可见的情况。该类别包括早期的 P2PK 输出、已被重复使用的地址(其资金与此前花费时揭示出的密钥绑定),以及 Taproot 的 P2TR 输出——它们在 UTXO 中直接承诺一个经过 tweak 的密钥。在这些情况下,公钥可以在任何花费发生之前很久就被收集。这就形成一种潜在的“先收割、后攻击”情景:如果未来存在强大的量子机器,攻击者可以成规模地瞄准那些长期暴露的密钥。相对而言,现代钱包类型如 P2PKH(传统)和 P2WPKH(SegWit)使用的是哈希形式的公钥,只会在花费时才揭示实际密钥。然而,这会大幅缩短攻击者的窗口:他们需要在合法花费确认之前的短短几个区块内,既推导出私钥,又广播一笔与之冲突的交易。关于有多少币种处于暴露状态,不同估计存在差异。某些分析认为,在较宽泛的假设下,总供应量的 20–50% 可能存在脆弱性。另一些观点则认为,这种评估高估了实际可利用性,尤其是当许多暴露币被分散在较小的 UTXO 之中,或仅在 mempool 的竞争中短暂可见时。一份被广泛引用的报告将“实质性暴露且高度集中”的子集进一步缩小到大约 10,200 BTC:这数目很可观,但远未达到系统性彻底清除的情景。此外,区分理论攻击面与实际攻击面的差异,对于可信的风险评估至关重要。容错型量子瓶颈以上所有情景都假设存在大型、容错的量子计算机,并且其规模远超当前设备。今天,公开已知的系统仍然噪声很大、规模较小,且不足以实施在密码学上具有意义的攻击。破解比特币椭圆曲线签名,可能需要数百万个物理量子比特,并配合强纠错机制,才能生成足够多稳定的逻辑量子比特。近期一项研究估计:机器的能力可能需要比今天任何已可用的量子处理器强大约 100,000×。关于这种硬件是否能在时间上赶得上并影响比特币,人们看法不一。话虽如此,许多严肃的预测将最早可能窗口集中在 2030 年代中期到 2040 年代中期附近:这给生态系统留出了时间,但并不意味着可以掉以轻心。关键在于:如果某种有意义的能力真的出现,响应必须提前数年进行规划、测试与协调。这也是为什么讨论已从科幻问题转向工程与治理层面的难题。后量子标准与迁移路径核心挑战在于:在严格的吞吐限制、保守的治理框架,以及持币者与服务提供方之间激励不均的情况下,比特币如何迁移到对量子更具抗性的密码学。在 2024 年,NIST 完成了其首套后量子密码学标准,包括基于格的 ML-DSA(Dilithium)以及 SLH-DSA(SPHINCS+)。这些方案正在成为大型系统的默认候选,用于为量子安全操作做准备。对比特币而言,任何现实可行的迁移都很可能分阶段推进。新的输出类型与钱包默认设置将被引入,并可能在长期过渡期内同时推出需要同时提供经典与后量子证明的混合交易。不过,后量子签名通常伴随取舍:它们往往更大、验证所需计算也更重,从而增加区块空间占用、带宽需求,并提高完整节点的验证成本。需要精心设计,以避免给网络可扩展性与去中心化带来压力。在任何单一蓝图之外,可能存在多种合理方向。选项包括:具备量子能力的输出类型、为一个定义明确的过渡窗口制定混合策略,以及逐步降低长期存在的公钥暴露面的钱包默认设置。引入新的脚本类型,最可能的机制是软分叉(soft fork);而硬分叉(hard fork)仍然是高风险的最后手段,因为它可能导致链分裂。BIP 360 与 P2MR:渐进式加固BIP 360 最近已合并进官方 BIPs 仓库,是迄今为止最具体的一次尝试:把高层担忧转化为一种渐进的、比特币原生的缓解措施,重点关注长期暴露模式。该提案引入了一种新的输出类型,名为 Pay-to-Merkle-Root(P2MR)。其设计在功能上类似于 Taproot 的脚本树,但它会刻意移除 key-path 花费。相反,所有花费都必须揭示一个脚本路径,并提供一个 Merkle 证明。从概念上讲,P2MR 是“类似 Taproot 的脚本树,但不包含 key-path”。该设计直接瞄准那些长期嵌入的公钥——它们在与 Shor 算法相关的“先收割、后攻击”情景中最容易受到威胁——同时又不会立即把比特币承诺到重量级的后量子签名方案上。主要的权衡在于体积:P2MR 的花费会携带比紧凑的 Taproot key-path 花费更大的见证数据。不过支持者认为,如果它能显著减少长时间的公钥暴露,那么接受稍微更大的脚本是值得的。BIP 360 将 P2MR 定位为基础构件,而不是最终答案。它解决了问题的一部分——长期暴露的输出——而短生命周期的 mempool 竞争风险,以及向完整后量子签名的转变,则仍需要额外的提案与共识。传统 UTXO 与治理困境该提案还强调了一个更不舒服的现实:即使有新的输出类型与更好的钱包默认设置,UTXO 集合中仍可能有一部分不可忽视地会在传统脚本上长期停留,从而形成结构性脆弱性的口袋。一些持有可能只是闲置或丢失,所有者将永远不会签署新的交易。另一些则在机构托管安排或定制配置中,迁移速度较慢。此外,人类的惰性也意味着:直到威胁感到迫近,一些用户才不会自愿迁移。如果未来某种在密码学上具有相关性的量子能力真的出现,那么一些长期暴露的币——其所有者又无法联系——在原则上可能会被任何能先推导出其私钥的人所扫走。即便这被视为盗窃而非协议失败,市场影响也可能是严重的。大型闲置簇的突然清算可能会打碎信心,引发紧急政策层面的争论,并助长关于隐藏供给超量的恐惧。然而,对冻结、追偿(claw back)或以其他方式对未迁移币种进行差别处理的提案,会引发围绕不可变性、中立性与财产权利的爆炸性问题——这些问题直指比特币社会契约的核心。治理僵局的可能性,是为什么早期、审慎的规划如此重要的原因之一。一旦可信的量子攻击已经开始,就可能几乎没有时间或共识去临时发挥、提出激进修复。风险、时间表与现实准备度在关于比特币量子风险的更广泛争论中,目前大多数严肃分析师都一致认同几个要点:挑战是真实的,时间表不确定,而攻击面在不同输出类型与钱包实践之间高度不均匀。重要的是,生态系统并非从零开始。开发者已经在探索可通过软分叉实现的增强方案、新的输出设计如 P2MR,以及受其他行业中涌现出的标准启发的迁移策略。正是这类工作,长期视野的机构持有人最希望看到。最困难的部分是协调。任何重大的过渡都可能需要数年,并在政治上引发争议,同时还会因那些永远不移动的币而被进一步复杂化。话虽如此,比特币保守的升级文化也是一种优势:它能在不迫使整个网络在仓促的硬分叉最后期限内行动的情况下,实现自愿参与(opt-in)、分阶段的变更。在这种背景下,量子比特币风险画像看起来更像是一项跨长期周期的工程挑战,而不是迫在眉睫的生存悬崖。凭借持续的研究、审慎的钱包设计,以及渐进式的协议加固,网络仍然有时间做好准备。最终,理性的立场很清楚:准备胜过恐慌。通过把量子视为一种严肃但可管理的威胁,比特币可以继续演进其安全模型,而不需要牺牲其最初被证明有价值的那些特性。
市场关注量子比特比特币风险,研究人员计划分阶段、谨慎准备
机构投资者越来越多地询问:量子比特币叙事将如何影响长期安全性假设,尽管实际威胁在目前看来仍显得遥远。
量子威胁的真实范围
公众讨论常常暗示,量子计算可能会在不久的将来破解比特币。然而,能够使用 Shor 算法做到这一点的机器很可能仍需数十年才会出现,并且真正的暴露范围比耸动的头条所暗示的要窄。
比特币依赖数字签名来保障所有权,历史上使用过 ECDSA,并且自 Taproot 起也在 BIP340 中采用 Schnorr 签名。两种方案都使用相同的椭圆曲线 secp256k1:从私钥推导公钥,而这种从数学意义上逆转的操作在当前条件下用经典硬件仍不可行。
如果存在一种具备容错能力的量子计算机,能够在密码学上具有相关规模下运行 Shor 算法,那么理论上它可以求解椭圆曲线离散对数问题。这将使攻击者能够伪造有效签名并直接窃取资金,因此这一攻击向量吸引了最多的关注。
次要但同样需要担忧的是 Grover 算法,它为暴力搜索类问题提供二次加速。它不会直接彻底破解 SHA-256,但可能会降低找到有效工作量证明哈希所需的工作量。如果某个量子挖矿者能够超过当今的 ASIC 矿机舰队速度,那么这甚至可能会改变挖矿经济,并带来集中化风险。
此外,任何这类工作量证明优势仍然取决于现实世界的工程能力:设计并运营出优于专用 ASIC 的量子矿机是一项独立的巨大挑战——这超出了单纯在实验室中运行 Grover 算法本身。
比特币真正暴露在哪里
基于 Shor 的攻击,只有在公钥出现在链上时才会变得相关。这个暴露画像会因输出类型与钱包实践而显著不同,这也是为什么比特币的量子风险并不均匀。
长期暴露的币种,是那些在创建 UTXO 时就会揭示公钥,或会在较长时间内保持可见的情况。该类别包括早期的 P2PK 输出、已被重复使用的地址(其资金与此前花费时揭示出的密钥绑定),以及 Taproot 的 P2TR 输出——它们在 UTXO 中直接承诺一个经过 tweak 的密钥。
在这些情况下,公钥可以在任何花费发生之前很久就被收集。这就形成一种潜在的“先收割、后攻击”情景:如果未来存在强大的量子机器,攻击者可以成规模地瞄准那些长期暴露的密钥。
相对而言,现代钱包类型如 P2PKH(传统)和 P2WPKH(SegWit)使用的是哈希形式的公钥,只会在花费时才揭示实际密钥。然而,这会大幅缩短攻击者的窗口:他们需要在合法花费确认之前的短短几个区块内,既推导出私钥,又广播一笔与之冲突的交易。
关于有多少币种处于暴露状态,不同估计存在差异。某些分析认为,在较宽泛的假设下,总供应量的 20–50% 可能存在脆弱性。另一些观点则认为,这种评估高估了实际可利用性,尤其是当许多暴露币被分散在较小的 UTXO 之中,或仅在 mempool 的竞争中短暂可见时。
一份被广泛引用的报告将“实质性暴露且高度集中”的子集进一步缩小到大约 10,200 BTC:这数目很可观,但远未达到系统性彻底清除的情景。此外,区分理论攻击面与实际攻击面的差异,对于可信的风险评估至关重要。
容错型量子瓶颈
以上所有情景都假设存在大型、容错的量子计算机,并且其规模远超当前设备。今天,公开已知的系统仍然噪声很大、规模较小,且不足以实施在密码学上具有意义的攻击。
破解比特币椭圆曲线签名,可能需要数百万个物理量子比特,并配合强纠错机制,才能生成足够多稳定的逻辑量子比特。近期一项研究估计:机器的能力可能需要比今天任何已可用的量子处理器强大约 100,000×。
关于这种硬件是否能在时间上赶得上并影响比特币,人们看法不一。话虽如此,许多严肃的预测将最早可能窗口集中在 2030 年代中期到 2040 年代中期附近:这给生态系统留出了时间,但并不意味着可以掉以轻心。
关键在于:如果某种有意义的能力真的出现,响应必须提前数年进行规划、测试与协调。这也是为什么讨论已从科幻问题转向工程与治理层面的难题。
后量子标准与迁移路径
核心挑战在于:在严格的吞吐限制、保守的治理框架,以及持币者与服务提供方之间激励不均的情况下,比特币如何迁移到对量子更具抗性的密码学。
在 2024 年,NIST 完成了其首套后量子密码学标准,包括基于格的 ML-DSA(Dilithium)以及 SLH-DSA(SPHINCS+)。这些方案正在成为大型系统的默认候选,用于为量子安全操作做准备。
对比特币而言,任何现实可行的迁移都很可能分阶段推进。新的输出类型与钱包默认设置将被引入,并可能在长期过渡期内同时推出需要同时提供经典与后量子证明的混合交易。
不过,后量子签名通常伴随取舍:它们往往更大、验证所需计算也更重,从而增加区块空间占用、带宽需求,并提高完整节点的验证成本。需要精心设计,以避免给网络可扩展性与去中心化带来压力。
在任何单一蓝图之外,可能存在多种合理方向。选项包括:具备量子能力的输出类型、为一个定义明确的过渡窗口制定混合策略,以及逐步降低长期存在的公钥暴露面的钱包默认设置。引入新的脚本类型,最可能的机制是软分叉(soft fork);而硬分叉(hard fork)仍然是高风险的最后手段,因为它可能导致链分裂。
BIP 360 与 P2MR:渐进式加固
BIP 360 最近已合并进官方 BIPs 仓库,是迄今为止最具体的一次尝试:把高层担忧转化为一种渐进的、比特币原生的缓解措施,重点关注长期暴露模式。
该提案引入了一种新的输出类型,名为 Pay-to-Merkle-Root(P2MR)。其设计在功能上类似于 Taproot 的脚本树,但它会刻意移除 key-path 花费。相反,所有花费都必须揭示一个脚本路径,并提供一个 Merkle 证明。
从概念上讲,P2MR 是“类似 Taproot 的脚本树,但不包含 key-path”。该设计直接瞄准那些长期嵌入的公钥——它们在与 Shor 算法相关的“先收割、后攻击”情景中最容易受到威胁——同时又不会立即把比特币承诺到重量级的后量子签名方案上。
主要的权衡在于体积:P2MR 的花费会携带比紧凑的 Taproot key-path 花费更大的见证数据。不过支持者认为,如果它能显著减少长时间的公钥暴露,那么接受稍微更大的脚本是值得的。
BIP 360 将 P2MR 定位为基础构件,而不是最终答案。它解决了问题的一部分——长期暴露的输出——而短生命周期的 mempool 竞争风险,以及向完整后量子签名的转变,则仍需要额外的提案与共识。
传统 UTXO 与治理困境
该提案还强调了一个更不舒服的现实:即使有新的输出类型与更好的钱包默认设置,UTXO 集合中仍可能有一部分不可忽视地会在传统脚本上长期停留,从而形成结构性脆弱性的口袋。
一些持有可能只是闲置或丢失,所有者将永远不会签署新的交易。另一些则在机构托管安排或定制配置中,迁移速度较慢。此外,人类的惰性也意味着:直到威胁感到迫近,一些用户才不会自愿迁移。
如果未来某种在密码学上具有相关性的量子能力真的出现,那么一些长期暴露的币——其所有者又无法联系——在原则上可能会被任何能先推导出其私钥的人所扫走。即便这被视为盗窃而非协议失败,市场影响也可能是严重的。
大型闲置簇的突然清算可能会打碎信心,引发紧急政策层面的争论,并助长关于隐藏供给超量的恐惧。然而,对冻结、追偿(claw back)或以其他方式对未迁移币种进行差别处理的提案,会引发围绕不可变性、中立性与财产权利的爆炸性问题——这些问题直指比特币社会契约的核心。
治理僵局的可能性,是为什么早期、审慎的规划如此重要的原因之一。一旦可信的量子攻击已经开始,就可能几乎没有时间或共识去临时发挥、提出激进修复。
风险、时间表与现实准备度
在关于比特币量子风险的更广泛争论中,目前大多数严肃分析师都一致认同几个要点:挑战是真实的,时间表不确定,而攻击面在不同输出类型与钱包实践之间高度不均匀。
重要的是,生态系统并非从零开始。开发者已经在探索可通过软分叉实现的增强方案、新的输出设计如 P2MR,以及受其他行业中涌现出的标准启发的迁移策略。正是这类工作,长期视野的机构持有人最希望看到。
最困难的部分是协调。任何重大的过渡都可能需要数年,并在政治上引发争议,同时还会因那些永远不移动的币而被进一步复杂化。话虽如此,比特币保守的升级文化也是一种优势:它能在不迫使整个网络在仓促的硬分叉最后期限内行动的情况下,实现自愿参与(opt-in)、分阶段的变更。
在这种背景下,量子比特币风险画像看起来更像是一项跨长期周期的工程挑战,而不是迫在眉睫的生存悬崖。凭借持续的研究、审慎的钱包设计,以及渐进式的协议加固,网络仍然有时间做好准备。
最终,理性的立场很清楚:准备胜过恐慌。通过把量子视为一种严肃但可管理的威胁,比特币可以继续演进其安全模型,而不需要牺牲其最初被证明有价值的那些特性。