量子時代真正威脅比特幣的是什麼：在擔憂與現實之間

什麼是量子電腦，為什麼比特幣應該擔心？

在我們討論比特幣的未來之前，先了解威脅的本質。量子電腦是運作原理與傳統電腦完全不同的機器。它們不使用比特(0或1)，而是使用量子比特（qubit），可以同時處於0和1的狀態，這使它們具有潛在的天文數字計算能力。對比特幣來說，最具威脅的是Shor的算法，理論上能在多項式時間內從公開金鑰推算出私鑰。

為什麼這是個威脅？比特幣通過基於ECDSA和Schnorr簽名的數字簽名方案來保護交易。目前，從公開金鑰計算私鑰在數學上是不可能的——這是整個網絡安全的基礎。然而，足夠強大的量子電腦能夠突破這層防禦。科學家估計，約需要2000到4000個幾乎無錯誤運作的邏輯量子比特。現有的量子設備僅運作在幾十個量子比特，遠未達到這個門檻。

安全窗口：比特幣還有足夠的時間嗎？

這裡出現了一線希望。估計能對比特幣構成實質威脅的量子電腦，至少還有十年的距離。理論上，這給予網絡足夠的時間來做準備。美國國家標準與技術研究院（NIST）已經批准了抗量子攻擊的標準：ML-DSA(Dilithium)和SLH-DSA(SPHINCS+)已作為FIPS 204和205發布，而FN-DSA(Falcon)則等待FIPS 206的批准。這些方案目前幾乎可以抵禦量子攻擊。

理論上，比特幣可以部署新的輸出類型(outputs)或混合簽名，整合後量子算法。像Bitcoin Optech這樣的團隊已經在測試簽名聚合和基於Taproot的結構。性能測試顯示，即使是SLH-DSA，也能在與當前負載相當的網絡條件下運行。比特幣適應量子威脅的場景，技術上並非不可能。

遷移成本：安全的隱性代價

但技術可能性的故事並不完整。轉向後量子簽名方案，會帶來實際的經濟影響。根據《英國區塊鏈協會期刊》的研究，實現量子安全的現實性，會導致區塊容量下降——估計約減半。現有的後量子簽名方案在物理尺寸上更大，驗證時也需要更多計算資源。

這將增加節點的運營成本。交易手續費也會趨於上升，因為每個簽名佔用的空間更大，限制在區塊空間內。這不是災難，但也不是純粹的好處——這是安全性與效率之間的權衡。

公開金鑰洩露問題：1.7百萬比特幣處於危險中

這裡的情況變得更令人擔憂。量子攻擊的脆弱性並非在所有比特幣中都一樣，取決於地址類型以及公開金鑰是否已在區塊鏈上曝光。

早期的pay-to-public-key（支付到公鑰）地址，直接在鏈上存放未經哈希的公鑰——因此只受ECDSA安全性保護，沒有其他保護措施。標準的P2PKH和SegWit P2WPKH地址，則將公鑰隱藏在哈希後，直到用戶花費該比特幣時才會曝光。較新的Taproot P2TR地址，從一開始就將公鑰編碼在地址中，這意味著這些UTXO在轉移前就已經暴露。

數據分析顯示，約25%的比特幣已經在公開曝光公鑰的輸出中。更精確地說，估計約有1.7百萬BTC仍在“中本聰時代”的舊式P2PK輸出中，還有數十萬在較新的Taproot輸出中，且公鑰已經可見。有些這些資產歷史上被認為“丟失”，但實際上是漂浮的資產，一旦量子計算能力足夠，可能成為第一個攻擊者的獵物。

未曾曝光公鑰的比特幣（如一次性P2PKH或P2WPKH）則安全得多。它們受到哈希地址的保護，根據Grover算法，攻擊者只會獲得平方級的加速——這個威脅可以通過調整安全參數來抵禦。

供應場景：幾乎都會引發混亂

Michael Saylor曾說過，“安全性提升，供應下降”。這個簡化的說法忽略了現實中更複雜的情況。

第一種情境是“供應縮水，因放棄”。那些在脆弱輸出中持有比特幣、從未進行遷移的持有者，可能會成為實質的阻礙——被標記為非法或被列入黑名單的資產，可能會被網絡規則阻擋。這確實會減少流通中的有效供應。

第二種情境是“供應扭曲，因盜竊”。量子攻擊者若擁有合適的機器，能逐一清空曝光的錢包。這不是“燃燒”比特幣，而是將它們轉移到攻擊者控制的地址，對資產價值沒有直接影響。

第三種情境是“恐慌引發的物理反應”。對即將到來的量子威脅的猜測，可能引發預先拋售、鏈分裂或大規模資金遷移。這種情況比技術本身更危險。

這些路徑都不一定會導致純粹的供應縮減（對多頭有利），反而可能引發價格的混亂變動、分叉爭議或對舊錢包的攻擊浪潮。

協調挑戰：物理學問題較小

好消息是，基於SHA-256的比特幣工作量證明相對抗量子。Grover算法只會帶來平方級的加速，這可以通過提高挖礦難度來抵消。最危險的仍是數字簽名方案。

但這裡出現了一個超越數學的問題。比特幣沒有中央權威來強制推動更新。每次後量子遷移都需要開發者、礦工、交易所和大戶之間的壓倒性共識。這種協調必須在量子電腦能進行實質攻擊之前完成。

最新的風險投資分析指出，管理和時間比數學本身更具風險。比特幣社群過去在簡單升級上就曾遇到困難。後量子轉型將是史上最具挑戰性的變革。

記憶池中的微妙攻擊

一個常被忽略的細節是記憶池——交易等待打包的空間。當有人從哈希公鑰地址發送比特幣時，其公鑰會在此過程中曝光。在量子攻擊者的情境下，可能出現“簽名並竊取”的攻擊：量子觀察者在記憶池中等待，快速重建私鑰，並用更高的手續費發送競爭交易。

這不是容易的攻擊，但卻是傳統風險分析常常忽略的可能性。

總結：條件性樂觀

比特幣在量子時代仍有可能變得更強。網絡可以部署新型簽名方案，保護脆弱的輸出，並提供更堅固的加密保障。但Saylor的假設——一切順利，“丟失的比特幣保持鎖定”，以及“供應下降”——更像是對完美協調的賭注，而非純粹的物理限制。

現實更為複雜。約有1.7百萬比特幣已在易受攻擊的輸出中。遷移成本高昂，政治上困難，且需要前所未有的協調。比特幣或許能從中變得更強，但前提是開發者和大戶能提前反應，並避免恐慌或大規模盜竊。

信心是有限的。工程技術是可行的，但社群協調仍是未知數。