量子计算与区块链：威胁今年更近了一步

量子风险对加密货币一直被归为“以后”。一份来自谷歌量子AI的3月30日论文缩小了“以后”的范围。
→ 论文发现
破解锁定比特币和以太坊钱包的secp256k1曲线，所需的逻辑量子比特少于1200个。在实际硬件上，约为50万个物理量子比特。大约是之前估算的900万的20倍左右。
这份论文由谷歌、以太坊基金会和斯坦福大学合作完成。他们证明了这个数字，但没有公布实际的攻击方法。
不过，这只是一个计算结果，而非真实的机器。目前最好的计算机最多运行几千个量子比特。差距巨大。缩小的不是硬件，而是目标。
→ 实际时间线的位置
厂商的路线图看起来比实际更接近。IonQ计划到2028年实现1600个逻辑量子比特。IBM到2033年左右实现2000个。
但量子比特数量并不等同于在误差足够低的情况下运行9000万门电路的门槛。联合作者之一贾斯汀·德雷克（Justin Drake）估计，
到2032年，量子计算机以大约10%的概率恢复secp256k1密钥。
早2030年代，误差范围较宽，这是较为诚实的预估。不是五年倒计时。
→ 实际暴露的内容
任何其公钥已在链上的（P2PK输出、重复使用的地址）都可能成为Shor算法攻击的目标。这涉及数百万比特币，其中很大一部分来自中本聪时代，无法移动。
更近的担忧是“现在收集，未来解密”。暴露的数据今天就会被存档，一旦硬件到位就会被解密，因此收集不会等待CRQC的出现。
→ 已经在行动的人
• Circle发布了后量子路线图，计划在Arc主网上部署PQ签名
• Nervos CKB为密码学灵活性而建，支持在不进行硬分叉的情况下切换签名方案
• NIST已标准化大多数迁移将依赖的算法（Dilithium、Kyber、SPHINCS+）
阅读提示
“9分钟破解比特币”的标题先于证据而出。但这些估算只朝一个方向发展，而最危险的币种是那些无法迁移的。
链的应对方式取决于密钥迁移是否为实时工作，还是未来某天的问题。