比特幣面臨量子電腦的威脅：技術迷思還是真實問題？

Question

普遍流傳的觀點認為量子電腦對比特幣的加密構成威脅，這基於對網路架構的誤解。事實上，比特幣的安全性並非建立在存於區塊鏈中的加密秘密之上——相關議題在許多技術文獻中皆有提及，但很少進入大眾的認知。相反地，真正的挑戰在於數位簽章與公開金鑰的曝光，這才是理論上量子威脅的實際攻擊向量。

真正的威脅在哪裡？

將加密系統與數位簽章系統混淆，是造成關於quantum-ready比特幣誤導資訊的主要原因。區塊鏈是一個公開的帳本——每筆交易、金額與地址對所有人皆可見。在此系統中，沒有任何資訊是以傳統意義上的加密方式保護的。

比特幣的安全性建立在兩個支柱上：(ECDSA與Schnorr)簽章系統，以及(hashing)雜湊函數。這些機制保證了金鑰對的控制權，但並未透過加密來保護資訊。若一台足夠先進的量子電腦能執行Shor演算法，就能從公開的區塊鏈公開金鑰中推導出私鑰。這是偽造授權，而非解密。

曝露並非在整個網路中均勻分布。許多地址格式會將公開金鑰進行雜湊——原始公開金鑰在交易發出前保持隱藏。這縮小了潛在攻擊者的時間窗口。

Project Eleven每週進行掃描，並發布「Bitcoin Risq List」，追蹤公開金鑰的地址。目前估計約有6,7百萬BTC存於符合量子曝露標準的地址中。這為整體風險分析提供參考。

其他類型的腳本，特別是Taproot (P2TR)，會在輸出腳本中直接曝光32字節的修改後公開金鑰。這改變了曝露的輪廓，但目前尚未形成新的曝露風險——只有在出現與密碼學相關的專用機器時，才可能成為關鍵。

研究指出明確且可衡量的目標。為了計算出256位橢圓曲線私鑰，約需要2330個邏輯量子比特(參考：Roetteler等)。但將此轉換為實用的量子電腦，仍需數百萬個物理量子比特，因為誤差校正的需求。

2023年的估算顯示：

架構設計中的時間、錯誤率與誤差校正策略，會使實際成本產生巨大差異。

當談到雜湊函數時，會提到Grover演算法。它能提供對暴力搜尋的平方加速，但並非像Shor演算法那樣破解離散對數。對SHA-256的反向工程，目標仍是約2^128的工作量——即使經過量子優化，也遠不及對橢圓曲線的威脅。

量子風險主要是遷移挑戰，而非技術災難。NIST已經標準化了後量子密碼原理，例如ML-KEM (FIPS 203)。比特幣社群也在討論提案，如BIP 360，提出「Pay to Quantum Resistant Hash」。

遷移的關鍵限制在於頻寬、存儲與交易費用。後量子簽章的大小將達到數千字節，而非數十字節，這將改變交易的經濟性與錢包的用戶體驗。

近期報告指出，IBM等公司預計在2029年前後，能建立抵抗錯誤的系統。這暗示遷移的時間窗口為數年，而非數月。

真正重要的元素包括：有多少UTXO已曝光公開金鑰、錢包的曝露反應，以及網路能多快採用抗量子攻擊的支付路徑，同時維持驗證與市場費用的穩定。

重複使用地址會擴大曝露時間窗——未來對同一地址的存取仍會被揭露。相反地，錢包設計可以透過妥善管理地址與提前遷移到後量子格式，降低風險。

量子電腦對比特幣的威脅並非虛構，但其性質與流行的敘事截然不同。這不是破解加密的問題，而是需要生態系統協調演進的挑戰，每個決策的參考都應建立在對網路當前曝露狀況的可衡量數據之上。