量子威脅比特幣不在於破解加密——而在於暴露你的密鑰

關於量子電腦破解比特幣加密的普遍說法，根本上偏離了重點。比特幣並未在鏈上存儲可被量子機器解密的加密秘密。真正的脆弱點集中在一個更為具體的方面：如果出現具有密碼學相關能力的量子電腦，它可能利用暴露的公開金鑰，透過 Shor’s 演算法偽造未授權的交易。這個區別對於理解比特幣的時間線和應對策略都極為重要。

為何比特幣的安全模型完全不依賴加密

比特幣的區塊鏈作為一個公開帳本，所有交易、金額和地址對所有人都是可見的。所有權是透過數位簽章——特別是 ECDSA 和 Schnorr 簽章——來證明的，而不是透過必須隱藏的加密資料。這些簽章展示了對一個金鑰對的控制權；它們並不隱藏任何資訊。當有人花費幣時，他們會產生一個有效的簽章，網絡接受該簽章。區塊鏈本身並沒有待解密的密文。

這個根本的架構事實揭示了在討論量子威脅時常出現的術語問題。安全專家 Adam Back 明確指出：比特幣並未以傳統意義使用加密。將量子電腦稱為「比特幣加密的威脅」反映出對比特幣實際保護機制的誤解。該協議通過簽章和基於哈希的承諾來保護所有權，而非密文。

真實的量子風險：從暴露的公開金鑰推導私鑰

需要關注的情境範圍要狹窄得多：如果一個量子攻擊者能有效運行 Shor’s 演算法破解比特幣的橢圓曲線密碼學，他們就能從鏈上的公開金鑰推導出私鑰。有了私鑰，他們就可以產生有效的交易簽章，甚至可能重定向資金。

這個威脅是否會成真，取決於公開金鑰的暴露模式。許多比特幣地址格式會將公開金鑰的哈希值作為承諾——也就是說，原始金鑰在交易花費前保持隱藏。這個脆弱窗口相對較小。但其他腳本類型會較早暴露公開金鑰，而地址重用則會將一次性揭露轉變為持續的目標，增加金鑰恢復的風險。

Project Eleven 的「Bitcoin Risq List」正是追蹤鏈上已經可見的公開金鑰位置，映射出可能受到 Shor’s 演算法攻擊的地址池。根據最新的區塊鏈數據，他們識別出約有 670 萬比特幣存放在符合暴露條件的地址中。

在不知道何時到來的情況下衡量量子風險

破解橢圓曲線密碼學的計算需求目前已較為清楚，即使實現的時間表仍不確定。

Roetteler 等人的研究指出，計算一個 256 位橢圓曲線離散對數大約需要 2,330 個邏輯量子比特，這是理論上的最低要求。將邏輯量子比特轉換為一台具備錯誤更正功能的量子電腦，則需要巨大的物理量子比特數量。Litinski 2023 的分析顯示，使用約 690 萬個物理量子比特，約 10 分鐘內即可完成 256 位私鑰的計算。其他估計則認為，約 1300 萬個物理量子比特在一天內破解的可能性較高，這取決於時間和錯誤率的假設。

這些數字提供了一個可衡量的框架。由於公開金鑰的暴露是可以量化的——Project Eleven 每週進行自動掃描——我們可以在量子能力到來之前，追蹤到易受攻擊的UTXO池。

像 Taproot (BIP 341) 這樣的協議層變更，已在相關曝光模式上做出調整。Taproot 輸出包含一個 32 字節的經過調整的公開金鑰，直接嵌入輸出程式中，而非僅是公鑰哈希。這在今天不會造成漏洞，但如果金鑰恢復變得可行，則會改變哪些地址會暴露。同時，像 BIP 360 (“Pay to Quantum Resistant Hash”) 這樣的提案，則提出了向量子抗性輸出遷移的可能路徑。

行為防禦與哈希問題

對於比特幣操作來說，行為選擇和錢包設計提供了較為近期的應對措施。地址重用會大幅增加暴露風險；而每次交易都產生新地址的錢包，則能縮小攻擊面。如果私鑰恢復速度足夠快，能在一個區塊時間內完成，攻擊者將會競相花費已暴露的輸出，而非重寫共識歷史——這是一個根本不同的威脅模型。

哈希有時會被納入量子威脅範疇，但這裡的相關演算法是 Grover’s，而非 Shor’s。Grover 只提供平方根的加速，用於暴力搜尋，讓 SHA-256 的 preimage 抵抗力約為 2^128 的工作量，即使在量子攻擊下也如此。這與破解橢圓曲線離散對數相比，差距巨大。

遷移而非緊急：現實的前進路徑

NIST 已經制定了後量子密碼原語，如 ML-KEM (FIPS 203)，作為更廣泛的密碼轉型計劃的一部分。在比特幣內，開發者和研究人員也提出了遷移機制：使用量子抗性哈希承諾的新輸出類型、用於激勵遷移的遺留簽章退役機制，以及持續的錢包升級以減少地址重用。

近期企業的時間表也提供了背景資訊。IBM 最近概述了在 2029 年左右實現容錯量子系統的進展，儘管從實驗室示範到能攻擊已部署密碼的系統仍需較長時間且不確定。

對比特幣來說，量子挑戰最終是一個協調與遷移問題，而非立即的密碼崩潰。可行的衡量指標很簡單：追蹤UTXO集中已暴露的公開金鑰、優化錢包行為以降低暴露、在網絡層面採用量子抗性花費模式，同時保持驗證效率和手續費市場的穩定。