比特幣面臨量子威脅:保護最大型區塊鏈的方向路徑
目前尚不存在足夠強大的量子電腦來破解並瓦解 Bitcoin 的區塊鏈。然而,開發者已經開始討論一波升級潮,目的是在這個潛在威脅來臨之前建立防禦層——而這完全有其依據,因為這個風險如今已不再是純粹的假設。
在本週,Google 的研究人員公布了一項研究,顯示一台足以破解 Bitcoin 核心密碼的量子電腦可以在不到 9 分鐘內完成——比一個 Bitcoin 區塊的平均確認時間快 1 分鐘左右。一些分析師認為這種威脅可能在 2029 年成為現實。
風險非常巨大:約 650 萬枚 bitcoin,價值達數千億美元,正位於量子電腦可能直接鎖定的地址之中。其中一部分屬於 Satoshi Nakamoto,Bitcoin 的匿名創辦人。除此之外,若被入侵,這將損害 Bitcoin 的核心原則——「相信程式碼」以及「健全的貨幣」。
以下是這項威脅如何運作,以及目前正在被考慮的緩解提案。
量子機器如何用兩種方式攻擊 Bitcoin
首先,先理解漏洞,再談提案。
Bitcoin 的安全性建立在一種單向數學關係上。當你建立錢包時,一把私鑰和一些秘密會被生成,接著再由此推導出公鑰。
要花費 bitcoin,你必須證明你擁有私鑰——並不是透過揭露它,而是用它來產生一個加密簽章,網路能夠驗證這個簽章。
這套系統之所以安全,是因為現代電腦需要數十億年才能破解橢圓曲線密碼——也就是用橢圓曲線數位簽章演算法(ECDSA)——從而推導出私鑰。因此,區塊鏈被視為在計算上幾乎不可能被入侵。
但未來的量子電腦可能把這條單向道路變成雙向:先從公鑰推導出私鑰,再把你的錢一掃而空。
公鑰會以兩種方式被暴露:要嘛是來自長期停留在鏈上的 coin(長期暴露攻擊),要嘛是正在移動的 coin 或等待在交易記憶池(mempool)的交易(短期暴露攻擊)。
Pay-to-Public-Key(P2PK)地址——由 Satoshi 與最早期的挖礦者使用——以及 Taproot(P2TR)、在 2021 年啟用的現行地址格式,都容易受到長期暴露攻擊的影響。這些地址中的 coin 不需要移動就能暴露公鑰;暴露已經發生,而且任何人都能讀到,包括未來的量子攻擊者。約 170 萬 BTC 正位於舊式的 P2PK 地址中——其中也包含 Satoshi 的 coin。
短期暴露攻擊涉及 mempool——未被確認交易的「候場室」。當交易待在那裡等著被納入區塊的同時,你的公鑰與簽章會對整個網路顯示。
一台量子電腦可以存取這些資料,但它只有極短的時間——在交易被確認、並被隨後的區塊「掩埋」之前——用來推導出相對應的私鑰並採取行動。
各項倡議
BIP 360:移除公鑰
如上所述,透過 Taproot 今天建立的所有新 Bitcoin 地址,都會永久在鏈上暴露公鑰,等於替未來的量子電腦提供了一個永遠不會消失的目標。
Bitcoin 改進提案(BIP)360 移除那種被永久嵌入鏈上、並向所有人展示的公鑰:透過引入一種新的輸出類型,稱為 Pay-to-Merkle-Root(P2MR)。
請記住,量子電腦會研究公鑰,反向推算出私鑰的精確形狀,並產生一個可運作的副本。如果我們移除了公鑰,攻擊者就不再有任何可依循的東西。與此同時,其餘所有內容——包含 Lightning 付款、多重簽章設定與其他 Bitcoin 功能——都維持不變。
然而,若被實作,這項提案只會保護未來的新 coin。此刻已在暴露公鑰的地址中流通的 170 萬 BTC,則是另一個問題,將透過下方其他提案來處理。
SPHINCS+ / SLH-DSA:基於雜湊函式的後量子簽章
SPHINCS+ 是一種建立在雜湊函式之上的後量子簽章機制,用以避免橢圓曲線密碼(Bitcoin 正在使用的那種)面對量子風險所引發的問題。儘管 Shor 演算法威脅 ECDSA,但像 SPHINCS+ 這樣基於雜湊函式的設計,被認為不會像同樣方式那樣容易受損。
這套方案已在多年公開審視之後,於 2024 年 8 月由美國國家標準與技術研究院(NIST)以 FIPS 205(SLH-DSA)的名義完成標準化。
作為換取更高等級的安全性,代價是更大的體積。當目前的 Bitcoin 簽章只有 64 位元組長時,SLH-DSA 簽章大小是 8 KB(千位元組)或更大。因此,如果採用 SLH-DSA,區塊空間需求將大幅增加,交易費用也會更高。
因此,像 SHRIMPS(另一種基於雜湊的後量子簽章方案)以及 SHRINCS 這樣的提案,已被提出以降低簽章大小,同時不犧牲後量子安全性。兩者都建立在 SPHINCS+ 之上,但目標是以更接近實務的方式保留其安全保證,並為區塊鏈節省更多空間。
Tadge Dryja 的 Commit/Reveal 系統:為 mempool 立下緊急煞車
這項提案是由 Lightning Network 的共同創辦人 Tadge Dryja 提出的一個 soft fork,目的在於保護 mempool 中的交易,免於未來遭受量子攻擊者的威脅。它透過把交易執行拆分為兩個階段:Commit 與 Reveal。
想像你跟合作夥伴說你會寄電子郵件給他們,然後你真的寄出了那封電子郵件。第一句是 commit 階段,而實際寄出郵件是 reveal 階段。
在區塊鏈上,這意味著你必須先公布你意圖的密封指紋——只是個雜湊函式,沒有揭露任何關於交易的資訊。區塊鏈會把時間戳永遠地蓋在那個指紋上。接著,當你發出真正的交易時,公鑰就會暴露——而這確實意味著:正在監控網路的量子電腦可能從中推導出私鑰,並建立一筆競爭交易來偷走你的資金。
但那筆偽造交易會立刻被拒絕。網路驗證:這筆花費交易是否有先前記錄在鏈上的承諾?你的交易是有的。攻擊者的交易沒有——因為他們剛剛在幾分鐘前才建立它。先行登記的指紋就是你得到排除嫌疑的證據。
問題在於成本會上升,因為交易被拆成兩個階段。因此,它被視為一種中繼性的橋梁——足夠實用、可以在社群持續建構量子防禦措施的同時先行部署。
Hourglass V2:放慢舊幣的拋售速度
由開發者 Hunter Beast 提出,Hourglass V2 瞄準一個與約 170 萬 BTC 相關的量子漏洞——這些硬幣位於舊地址中,已經公開暴露。
該提案承認那些 coin 可能在未來的量子攻擊中被竊取,並尋找方法透過把拋售限制在每個區塊最多 1 bitcoin,來放慢資金流失的速度;目的是避免隔夜的大規模清算引發市場崩潰。
類似的例子是大規模提款:你無法阻止所有人提款,但你可以限制提款速度,讓系統不會在一晚之內崩潰。這項提案存在爭議,因為即使是將限制設定到最低限度,仍被 Bitcoin 社群中的一些人視為違反原則:任何人都不應介入你花費 coin 的權利。
結論
這些提案目前都尚未啟用,而 Bitcoin 的分散式治理機制——包含開發者、礦工與節點營運者——意味著任何升級都需要時間才能落地實現。
即便如此,各項倡議之所以能持續定期出現,在本週 Google 的報告出爐之前就已顯示該問題早已在開發者的視野之中;這或許能減輕市場的擔憂。
相關文章