Q-Day 逼近？Google 量子计算论文详解比特币潜在安全漏洞

当“量子计算”与“比特币”这两个词汇同时出现时，其引发的不仅是技术圈内的震动，更是对全球最庞大加密资产安全根基的深刻拷问。近期，Google Quantum AI团队发布的一篇重要论文，将这一讨论推向了新的高潮。论文的核心发现是，利用Shor算法破解比特币所使用的secp256k1椭圆曲线密码学，所需的量子计算资源，特别是逻辑量子比特的数量，相较此前的最佳估计有了“约一个数量级”的优化，降幅高达20倍。这并非一个遥远的科幻概念，而是对“Q-Day”（量子计算机有能力破解当前主流密码学的那一天）的重新校准，为整个加密货币行业敲响了警钟。

量子计算威胁的重新计量

2026年3月，由Google Quantum AI联合多家机构发布的论文《Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities》（确保椭圆曲线加密货币免受量子漏洞威胁）成为了行业焦点。该论文在负责任披露的原则下，通过零知识证明技术，在不公开攻击细节的前提下，向外界证实了他们已大幅优化了破解比特币等主流加密货币核心密码学（secp256k1曲线）的量子电路。

论文指出，破解256位secp256k1椭圆曲线离散对数问题（ECDLP），现在仅需约1,200至1,450个逻辑量子比特，以及7,000万至9,000万个Toffoli门。而在最乐观的工程假设下，执行这些电路的物理量子比特数量可控制在50万以内。这一数字相较于此前一些研究提出的数百万物理量子比特的估算，有了显著下降。

这一发现意味着，构建一个能够攻击比特币的“密码学相关量子计算机”（CRQC）的工程门槛被降低了，威胁到来的时间表可能比许多人预期的更近。尽管论文强调这仍是一个“理论风险”，但它直接将行业从“量子威胁还很遥远”的舒适区拉回到了“技术演进可能加速”的现实考量中。

来源：Google 论文

从理论到逼近的演进轨迹

比特币的安全性建立在两个核心密码学假设之上：一是椭圆曲线数字签名算法（ECDSA）所依赖的ECDLP难题，二是工作量证明（PoW）所依赖的SHA-256哈希函数的计算难度。量子计算的威胁，主要指向前者。

• 1994年： 数学家Peter Shor提出了能够高效解决大整数分解和离散对数问题的量子算法（Shor算法），从理论上宣告了量子计算对现有公钥密码体系的颠覆性潜力。
• 2017年至今： 随着量子硬件（特别是超导量子比特）和量子纠错技术的快速发展，关于“何时能破解比特币”的量化研究层出不穷。早期估算通常需要数百万甚至数千万物理量子比特。
• 2021-2025年： 学术界在算法优化和电路编译上不断突破，如采用“窗口算法”、“模数批处理”等技术，逐步降低了对逻辑量子比特和门数量的需求。
• 2026年3月（本事件）： Google团队的最新成果，将实现ECDLP所需的资源门坎再次大幅拉低。论文同时引入“快时钟”（如超导、光子）与“慢时钟”（如离子阱、中性原子）量子计算机的概念，指出前者可能在几分钟内完成一次私钥推导，理论上具备实施“交易过程中攻击”的潜力。

风险资产的量化与分类

论文提供了大量数据，揭示了比特币生态系统中潜在的量子风险敞口，这是本次事件最具冲击力的部分。

首先，论文根据比特币地址的脚本类型和地址复用情况，对量子风险进行了分类：

• P2PK（Pay-to-Public-Key）： 直接暴露公钥的脚本。这类地址从收到比特币的那一刻起，就处于“静止攻击”的威胁之下。论文估算约有170万枚比特币锁定在此类脚本中，这些大多是早期“中本聪时代”的挖矿奖励，极有可能已丢失私钥，成为无法迁移的“休眠资产”。
• P2TR（Pay-to-Taproot）： 作为2021年Taproot升级引入的新脚本，它虽然提升了隐私性和灵活性，但将“公钥”直接记录在锁定脚本中，使得它同样面临与P2PK相似的静态风险。
• 地址复用： 即使是通常能隐藏公钥的P2PKH或P2WPKH地址，一旦用户进行过一次支出（从而在链上暴露了公钥），该地址下剩余的所有比特币也会瞬间暴露于静止攻击之下。论文通过数据分析指出，考虑到地址复用、公钥暴露等因素，目前约有670万枚比特币（约占流通供应量的33%）处于理论上的量子攻击风险中，其中约230万枚是超过5年未动的“休眠资产”。

舆情观点拆解：技术社区的分歧与共识

该论文发布后，技术社区、加密货币社区及学术界迅速形成了多股观点碰撞：

• “紧迫派”观点： 认为这是迄今为止最权威、最严谨的量子威胁预警。资源估算的大幅降低，意味着“Q-Day”不再是几十年后的遥远概念，而是可能在几年内（随着工程学进步）到来的现实风险。他们呼吁所有依赖ECDLP的区块链社区必须立即启动并加速向后量子密码学（PQC）的迁移。
• “审慎派”观点： 强调论文中的“逻辑量子比特”与“物理量子比特”之间存在巨大鸿沟。将1,200个逻辑量子比特转化为50万个低错误率的物理量子比特，并实现可靠的门操作和纠错，在工程上仍面临难以估量的挑战。他们主张，在真正的“快时钟”CRQC诞生前，仍有充足的时间进行观察和准备。
• “质疑派”观点： 对Google团队通过“零知识证明”而非公开全部技术细节的方式发布报告表示担忧，认为这削弱了可验证性。同时，部分观点指出，论文作者与加密货币存在潜在的利益关联（如部分作者持有相关资产），可能会影响报告的客观性。

尽管观点各异，但一个正在形成的“共识”是：量子威胁是真实的、迟早会到来的。当下的争论焦点已不再是“会不会来”，而是“何时来”以及“我们如何应对”。

行业影响分析：从资产安全到生态演变

本次事件的影响远不止于比特币。

• 对加密资产的影响： 最直接的影响是，约670万枚比特币的价值锚点——即“持有私钥即拥有资产”的确定性——受到了未来技术的挑战。这不仅可能影响其长期价值，也为市场引入了新的不确定性因素，即技术风险（量子）将与传统市场、政策风险并列。
• 对生态格局的影响： 论文指出，以太坊因其账户模型、智能合约、Proof-of-Stake共识中对BLS签名和KZG承诺的依赖，其量子风险暴露面远超比特币。这可能导致在PQC迁移浪潮中，不同公链（如Solana、Algorand、XRP Ledger等已开始PQC实验的公链）的竞争力发生变化。拥有清晰PQC路线图或已具备“抗量子”能力的公链，可能在未来吸引更多关注和资金。
• 对技术演进的影响： 行业必将加速对PQC的研究和采纳。NIST已标准化的ML-DSA（原Crystals-Dilithium）、SLH-DSA（原SPHINCS+）等后量子签名方案，以及基于哈希的零知识证明（zk-STARKs），将进入更务实的部署阶段。公链的软硬分叉、钱包的升级、资产的迁移，将成为一项长达数年甚至十年的系统性工程。

多情境演化推演：未来的几种可能路径

面对这一缓慢但确定的技术浪潮，未来可能出现多种情境：

结语

Google的这篇论文，与其说是一次技术的最终宣判，不如说是一次为整个行业递上的、基于严谨数学和工程学分析的风险体检报告。它清晰地告诉我们，依赖于ECDLP的加密资产世界，正站在一个由经典计算机主宰的当下，和一个由量子计算机定义的未来之间的十字路口。6.7M枚比特币的理论风险，是一个庞大的数字，但它更像一个引信，引爆的是关于技术迭代速度、资产安全定义、社区治理智慧和政策响应能力的综合性大讨论。对于所有加密行业的参与者而言，当下最重要的或许不是预测量子计算机到来的确切日期，而是开始理解、讨论并支持区块链生态向“后量子时代”的演进。这是一场关乎未来数十年数字世界信任根基的接力赛，现在，发令枪已经响起。