一文搞懂 BIP-361，比特币社区到底在吵什么？

这周 BTC 社区关于 BIP-361 的讨论和争议很多，我按我的理解做个整理。
BIP-361 是由 Andrew Poelstra 提出、安全专家 Jameson Lopp 深入解读和推广的草案。这个草案的核心逻辑是：在量子计算机有能力破解比特币之前，防患于未然，把有暴露公钥的地址的 BTC 冻结掉 (且有补救措施)。
1/ 背景信息
过去 17 年，比特币一直都非常安全。它的安全性，是由非对称的、椭圆曲线数字签名算法 (ECDSA) 保障。 这套算法，让目前的计算机 (包括超级计算机) 几乎不可能在合理时间内，通过公钥推导出私钥。这保证了从私钥到公钥的单向不可逆性。
现在的危机，也就是转折点在于：物理学界普遍认为，足够强大的量子计算机 (拥有数百万个物理量子比特) 可以使用 Shor 算法，在极短时间内破解 ECDSA。
年初 Google Quantum AI 团队发布了一些研究进展，他们并没有攻破比特币，但数据显示，量子计算威胁加密货币的时间表，可能比大家预想的要早一些。
现在比特币社区的反应是，不必恐慌，但也得积极应对、讨论和行动起来。
这就是为什么，现在会有 BIP-360、BIP-361 等提案涌现，因为比特币是一个无 CEO 的开源软件社区，它的每次重大升级都极其缓慢，需要较长时间形成社区共识。如果等到量子计算机真正出现再行动，可能就来不及了。
2/ 升级对抗思路
从逻辑上来说，既然 Bitcoin 是开源软件，那么只要升级比特币的算法，来对抗量子计算即可。代码实现本身是有一些方案的，比如 NIST 选出的 Dilithium 等算法，虽然与现有的 ECDSA 算法相比有些副作用，但理论上是可行的。
更大的问题在于技术之外：升级完成后，我们这些人可以把 BTC 从旧地址，转移到新地址就安全了；但那些已经暴露了公钥的、持有者去世了或丢失私钥的地址怎么办呢？这些无主 BTC，没有人动得了。它们会永远暴露在量子攻击之下，成为攻击者的提款机，会引发市场崩溃。
这些已经暴露公钥的 BTC，有多大数量呢？
现在行业的估算是，已暴露的 BTC 约为 200-400 万枚 (含中本聪的 110 万枚)；另外 200-300 万枚是休眠，也就是「超过 5 年未移动」的币，这些是哈希加密的，量子计算机暂时无法直接破解。不管怎样，这是一个很大的数量。微策略费了吃奶的力气，现在也才买到 78 万枚 BTC。这几百万一旦被攻破，对比特币的杀伤力有多大，不用说了。
3/ BIP-361 到底想干什么
上面这个棘手的难题，就是 BIP-361 提案想要去应对和解决的。
这个提案的核心逻辑是：不升级到抗量子计算的钱包地址，里面的币会被冻结。从而倒逼所有人都迁移到抗量子性的地址。
具体分三个阶段，用 BIP9 的方式部署：
◦ Phase A (激活后约 160,000 个区块，约 3 年）：禁止向危险的传统地址 (暴露公钥的) 发送比特币。只允许往量子抗性 (PQ) 的新地址转移 BTC。这一步就是拦住更多人，别往坑里跳。
◦ Phase B (Phase A 后约 2 年，总计约 5 年）：节点将拒绝所有基于椭圆曲线的签名，包括传统的 ECDSA 和较新的 Schnorr 签名。没有转移走的量子脆弱的 UTXO，会被冻结无法花费。也就是说，如果你在 5 年内不操作，你的币在链上就不被承认了。
◦ Phase C (待定)：为了解决死人币/遗忘币的道德难题，对 Phase B 进行打补丁。只要用户还有助记词，可以通过零知识证明的方式，在不暴露旧公钥的前提下，向网络证明「我是这些币的所有者」，从而进行解冻。—— 在逻辑上是通顺的，但技术实现难度很大，还在理论验证阶段。
对于 Phase C，解释一下。现在的困境是：一些地址在转账时会暴露公钥，而量子计算会直接截胡把 BTC 抢走。所以 Phase C 的救赎/补丁思路是：
◦ 用户手里有 12/24 字助记词
◦ 利用 BIP-361 提到的零知识证明
◦ 用户向全网节点提交一个证明：「我不告诉你我的私钥是什么，但我证明我拥有这组助记词，可以衍生出对应旧地址的私钥路径，从而建立起与被冻结资产的所有权关联」
◦ 全网验证这个零知识证明 (且验证过程本身是抗量子的)，验证通过后，协议允许用户直接将冻结的币「镜像」到一个全新的、抗量子的地址上。
总之，BIP-361 的逻辑是，不要等被偷了再反应，而是提前把「可能被偷」的路堵死。
4/ 社区的争议
BIP-361 在 BTC 社区公布后，现在整体反对声音大于支持声音。
Adam Back 说：「这是没收，不是保护」。他偏向软 fork + 自愿升级，明确反对强制冻结。Marty Bent 也发了长 thread 批评，核心论点是认为违反了「your keys, your coins」原则，他主张自愿迁移 + 教育，而不是设置强制截止日期。
Charles Hoskinson 更激烈：这本质上是 hard fork，会让比特币变成 shitcoin。
从技术实现路径看是软分叉，但在社会共识层面，其强制性又引发了关于其是否属于硬分叉的激烈辩论。
Phil Geiger 的吐嘈比较到位：「我们必须先偷走人们的钱，才能防止他们的钱被别人偷走」。
提案共同作者 Jameson Lopp 自己也说：「我也不喜欢它，但我写它是因为我更不喜欢另一种结果——量子计算偷币」。两害相权取其轻罢了。
反对者不仅担心「偷钱」，也担心在 Phase C 引入零知识证明，会增加比特币代码库的复杂性，从而引入新的 Bug 攻击面。
也有人表示支持。
胡翌霖 @epr510 就表示支持，他的核心论点是：中本聪大概率已经销毁了私钥，这是他自由意志的体现。量子计算机会违背这个意志，把币重新动用。冻结那些被遗忘或被舍弃的币，才是尊重「财产自由支配」的原则。
他还反驳了「滑坡风险」的论点：冻结可被破解的地址属于改 bug，并不是审查。丢币的人是希望自己把币找回来，而不是量子攻击者拿走这些币，所以冻结方案并没有更加违背他们的自由。
Matt Corallo 提了一个折中方案：把抗量子升级和旧地址冻结拆开，两步独立推进。技术更新不用等共识，共识问题最终靠一次大分叉竞争解决。
5/ 会带来什么影响
从数字来看，其实很直观，几百万枚 BTC 价值几千亿美元。如果真按 BIP-361 提案实施，虽然在账面上会导致可流通供应量的骤然减少，形成某种意义上的技术性缩减，但如果共识因此分裂，市场对「比特币总量恒定及不可篡改性」的信心受损，其市场价值未必会因缩减而单纯上涨。
中本聪早年说过一句话：「Lost coins only make everyone else's coins worth slightly more. Think of it as a donation to everyone.」
对此，BIP-361 提案里换了一个说法「Quantum recovered coins only make everyone else's coins worth less. Think of it as a theft from everyone.」
丢币是捐赠，被量子计算机偷币是抢劫。
如果不冻结，只有三种可能：(1) 允许任何人偷，先到先得；(2) 限制性盗窃，比如矿工用 RBF 从量子回收中补贴收入；(3) 谁都不准偷。BIP-361 提案选了第三种。
提案本身大概率不会以当前版本通过，还会有很多修订。但它的意义是，把一个之前被很多人回避的问题摆上了台面上，这更有利于提前达成共识，一起抗量子计算机。