9 分鐘破解比特幣？谷歌量子白皮書的邊界與誤讀

文：Max He @ Safeheron Lab

本文核心判断

• Google 白皮書顯著推進了量子風險的工程化評估，但並未證明 CRQC 已接近現實落地

• 資源估算的下降 ≠ 現實攻擊能力已到位，中間仍存在大量未跨越的工程挑戰

• 行業需要建立的不只是「採用後量子演算法」的能力，而是「應對密碼學持續變化」的能力

• 2030–2035 是倒推遷移準備的關鍵參照窗口，而不是量子攻擊到來的精確時點

2026 年 3 月 30 日，Google Quantum AI 共同以太坊基金會和史丹福大學的研究者發布了一篇重磅白皮書 [1]。這篇長達 57 頁的論文系統性地分析了量子運算對加密貨幣的威脅，並給出了迄今為止最為激進的資源估算：破解比特幣和以太坊所依賴的 256 位橢圓曲線密碼學，只需不到 50 萬個物理量子位元——這比此前的最佳估算縮減了近 20 倍。

同時，論文將量子攻擊的討論從比特幣擴展到整個加密貨幣生態，並進一步指出，在以太坊的智慧合約、質押共識以及資料可用性取樣等機制中，同樣存在潛在的量子攻擊面。這意味著，這篇白皮書討論的已不再只是「比特幣私鑰是否會被量子破解」這一單點問題，而是在推動整個產業重新審視：現有區塊鏈系統面對量子能力演進時，哪些安全假設可能需要被重新評估。

這篇白皮書在區塊鏈產業引發了明顯的震動。「量子運算或可在數分鐘內破解比特幣」的說法迅速擴散，也讓許多從業者開始重新審視既有的安全假設。它之所以引發如此強烈的反應，也不只是因為資源估算進一步下降，更因為它第一次把「鏈上交易窗口攻擊是否可能」與「區塊鏈系統是否來得及完成遷移」放到了同一個討論平面上。問題開始不再只是學術上的「能不能破解」，而是工程和治理上的“是否還有足夠時間準備”。

但在這些情緒背後，更值得追問的問題是：Google 實際上證明了什麼？又沒有證明什麼？這項工作在多大程度上改變了我們對量子風險的理解？

值得注意的是，這篇白皮書討論的影響範圍並不局限於比特幣式的金鑰暴露問題，而是延伸到了更廣義的加密貨幣系統攻擊面。不過，本文更關注的仍然是這篇工作對整體量子風險判斷所帶來的變化，而不是逐項展開不同鏈上機制的具體影響。

1 Google 這次到底做了什麼？

1.1 ECDLP：區塊鏈安全的基本假設

當前主流加密貨幣的安全性，建立在橢圓曲線離散對數問題（ECDLP）之上 [2]。以比特幣和以太坊使用的 secp256k1 曲線為例 [3]，其核心假設是：在經典運算條件下，給定公鑰（橢圓曲線上的點），無法在可行時間內推導出對應的私鑰。

這一假設在過去數十年中被廣泛接受，並構成了整個區塊鏈系統的基礎安全前提。然而，Shor 演算法 [4] 指出，在理想的量子運算模型下，ECDLP 可以被高效求解，從而在理論上動搖這一安全基礎。

1.2 資源估算：破解需要多少量子運算能力

Google 這次工作的核心，並不是提出新的攻擊方式，而是重新回答一個長期存在的問題：如果未來真的能夠造出足夠大、足夠穩定、能夠執行這類量子演算法的量子運算機，破解 ECDLP 需要多大的運算資源？

論文建構並最佳化了針對 secp256k1 的量子電路，並給出了兩種不同最佳化方向的實作路徑：一種盡可能降低邏輯量子位元數量，另一種盡可能減少非 Clifford 門（如 Toffoli 門）的數量。在一組明確的硬體與糾錯假設下，這些電路可以在少於 50 萬個物理量子位元的規模上執行。

與此前的主流估算 [5][6] 相比，這一結果在「時空體積」（spacetime volume）這一綜合指標上有明顯改進。更重要的是，它將原本偏理論化的討論，轉化為一組可以對比、可以追蹤的工程參數。

1.3「9 分鐘」：這個數字是怎麼來的

在資源估算之外，論文還進一步給出了一個攻擊時間的直觀量級。

在假設量子閘操作時間約為微秒級、並考慮一定執行開銷的情況下，完整運行相關量子電路大致需要十幾分鐘。考慮到量子演算法的部分計算可以在公鑰出現之前預先完成，真正與目標公鑰相關的計算可以壓縮到約一半時間，從而得到「約 9 分鐘」的估算。

這個數字之所以引發廣泛關注，是因為它接近比特幣約 10 分鐘的平均出塊時間。這意味著，在某些假設下，攻擊者理論上可能在交易確認之前完成私鑰恢復。

需要強調的是，這一時間估算依賴於一整套理想化前提，其意義更多在於提供一個量級參考，而不是現實攻擊能力的直接體現。

1.4 零知識證明：為什麼不公開電路

論文的另一個重要特點，是在不公開具體量子電路的前提下，引入了一種「可驗證揭露」的方式 [7]。

研究團隊將電路透過雜湊進行承諾，並在一個公開的驗證程序中，對電路在一組隨機輸入上的行為進行檢查，同時驗證其資源上界。整個驗證過程被封裝為一個零知識證明，使得任何第三方都可以在不接觸電路細節的情況下，確認相關聲明的正確性。

這種做法在「保護攻擊細節」與「提高結論可信度」之間取得了一種平衡，也使得資源估算不再只是研究者的陳述，而具備了密碼學意義上的可驗證性。

2 這件事該怎麼理解？

在進一步理解這些結果之前，有一個概念值得先明確。

論文中多次提到 CRQC (Cryptographically Relevant Quantum Computer）。這個術語直譯為「密碼學相關的量子運算機」，但它並不是對量子運算機的泛稱，而是指那些已經具備現實密碼分析能力的量子運算系統。換句話說，真正值得區塊鏈產業關注的，並不是量子運算是否持續進步，而是它何時發展到足以在現實條件下破解 ECDLP 這類密碼問題。

從這個角度看，Google 這篇工作的意義，不只是展示量子運算的進展本身，而是在更具體地回答一個問題：一台能夠對現實密碼系統構成威脅的量子運算機，究竟需要具備怎樣的資源規模、執行能力和時間特性。

進一步來說，這個問題可以從三個維度來理解：量子運算系統的執行特性、技術演進可能帶來的不同路徑，以及這些能力最終對應的攻擊方式。

2.1 快時鐘和慢時鐘：量子運算機並不只有一種

論文提出的一個重要視角，是區分不同類型的量子運算架構。

一些平台（如超導量子位元 ）具有較快的基本操作速度，糾錯週期較短，可以在較短時間內執行深電路；而另一些平台（如離子阱 [14] 或中性原子 ）操作速度較慢，但在其他方面可能具有優勢。

這種差異意味著，「量子運算能力」並不是一個單一指標。同樣規模的量子系統，在不同架構下，對密碼學問題的實際攻擊能力可能存在數量級上的差別。

這種執行特性的不同，直接影響的是 CRQC 形成的方式和時間結構：有些系統更接近在短時間窗口內完成計算，而另一些系統則更適合長時間運行。

2.2 兩種可能的演進路徑

基於上述架構差異，可以進一步考慮量子運算能力的演進路徑。

一種情況是，具備較快執行能力的量子系統率先達到容錯水準，此時針對鏈上交易的即時攻擊（例如在交易確認前恢復私鑰）將成為主要風險。另一種情況是，較慢但更穩定的系統先取得突破，此時攻擊更可能集中在長期暴露的公鑰上，例如歷史地址或重複使用的金鑰。

這兩種路徑並不互斥，但它們對應的風險時間結構和防禦重點存在明顯差異。

從這個角度看，CRQC 的出現並不一定對應一個明確的時間點，而更可能呈現為不同能力逐步具備的過程。

2.3 三種攻擊方式

在上述框架下，可以將量子攻擊大致分為三類。

第一類是「交易中的攻擊」（on-spend attack），即在交易進入記憶體池後、被寫入區塊前的時間窗口內恢復私鑰。第二類是「靜態攻擊」（at-rest attack），針對已經長期暴露在鏈上的公鑰，攻擊者可以擁有更充裕的計算時間。第三類是「設定攻擊」（on-setup attack），針對某些依賴公共參數的協定，透過一次性量子運算獲取可重複利用的後門。

這三類攻擊的共同點在於，它們都依賴同一個基礎能力——在可接受時間內求解 ECDLP，但對時間窗口和系統結構的依賴各不相同。

從結果上看，這三類攻擊只是同一件事情的不同表現形式：當量子運算能力達到 CRQC 所代表的水準之後，對不同系統條件和時間約束的具體影響。

3 離真正的量子攻擊還有多遠？

3.1 這篇白皮書沒有證明什麼

需要強調的是，這篇白皮書雖然顯著推進了量子風險的工程化評估，但它並沒有證明 CRQC 已經接近現實落地，也沒有證明現有區塊鏈體系會在短期內面臨真實可行的量子攻擊。

論文真正做的，是在一組明確假設下進一步壓縮了破解 secp256k1 所需的資源估算，並將原本偏抽象的風險討論，推進到了一個更適合工程評估的位置。它證明的是：相關問題比過去理解的更具體，也更值得持續追蹤；但它並沒有證明，支撐這些攻擊所需的大規模容錯量子系統已經近在眼前。

3.2 資源需求在下降，但工程距離仍然明顯

更進一步說，從「量子演算法在理論上可以破解 ECDLP」，到「現實世界中真的出現足以威脅密碼系統的量子運算能力」，中間並不只是簡單的工程放大問題。真正決定量子攻擊能否落地的，不只是紙面上的資源估算數字，還包括容錯架構、誤差校正、即時解碼、控制系統，以及長時間穩定執行深電路所需的整體系統能力。

其中部分條件，確實屬於工程實作問題；但它們並不能被簡單理解為「只要繼續投入，遲早一定會自然解決」。量子糾錯與容錯運算在理論上給出了可擴展路徑，但現實世界是否能夠把這些條件真正整合成一台可持續運行、足以威脅現實密碼系統的 CRQC，仍然存在明顯不確定性。

從這個角度看，Google 這篇白皮書更精確的意義，不是宣告量子攻擊已經迫近，而是讓產業第一次能夠以更具體的工程參數來討論這一風險，同時也提醒我們：不應把資源估算的下降，直接等同於現實攻擊能力已到位。

3.3 這不是一個適合精確預測年份的問題

也正因如此，量子攻擊的到來並不適合被理解為一個可以精確預測的時間點。對區塊鏈產業來說，真正重要的並不是「哪一年一定會出現 CRQC」，而是相關能力是否正在朝著一個越來越值得警惕的方向演進。

一方面，關鍵突破可能在短時間內顯著改變資源需求；另一方面，看似接近的技術路線，也可能長期停留在某些基礎瓶頸之前。這意味著，我們很難透過「今年多少量子位元、明年多少量子位元」這樣的線性外推，去判斷現實攻擊能力會在何時出現。

因此，對這一問題更穩妥的理解，不是試圖押注某一個精確年份，而是承認它具有較強的不確定性，同時把注意力放在那些真正會改變風險判斷的底層訊號上。

3.4 最值得警惕的，是預警訊號可能並不明顯

這也意味著，社群不應期待透過某一次「公開示範量子攻擊」來獲得清晰的預警訊號。

很多人習慣於把公開示範視為技術成熟的標誌，似乎只要還沒有看到現實世界中的示範，就說明距離真正威脅還很遠。但在量子密碼分析這個問題上，這種直覺未必成立。等到某些標誌性示範真的出現時，相關能力可能已經在更底層的技術環節上累積了相當長一段時間，防禦窗口也可能已經明顯收窄。

對區塊鏈產業而言，這恰恰是它最難處理的一點：真正重要的變化，未必會以一種清晰、漸進、對外可見的方式展開。

4 我們該如何判斷量子進展？

4.1 不要只看量子位元數量

如果說第 3 章回答的是「現在大概處在什麼位置」，那麼接下來的問題就是：未來應該看什麼，才能更準確地判斷量子進展。

最容易被傳播、也最容易被誤解的指標，是量子位元數量。它夠直觀，也夠醒目，但對密碼分析能力來說，它遠遠不是唯一，甚至也不是最關鍵的指標。單純增加物理量子位元數量，並不自動意味著系統已經接近現實攻擊能力。

真正更值得關注的，是這些量子位元是否能夠在容錯條件下被有效組織起來，是否能夠穩定支撐深電路執行，以及它們是否與演算法和控制系統形成閉環。對產業來說，「有多少量子位元」最多只能說明規模變化，而不能單獨說明現實威脅的接近程度。

4.2 真正值得關注的是三類訊號

如果要對量子進展形成一個相對可操作的判斷框架，可以重點關注三類訊號。

第一類是硬體訊號。這裡真正重要的，不只是物理量子位元數量，而是是否開始出現穩定的邏輯量子位元，誤差校正是否進入可擴展階段，以及系統是否能夠在糾錯條件下持續運行。

第二類是演算法訊號。Google 這次白皮書本身就是一個典型例子。對區塊鏈產業而言，更值得關注的，不是某個單一數字本身，而是這類資源估算是否在持續下降：邏輯量子位元數量是否下降、關鍵閘操作數量是否下降、整體時空體積是否持續收斂。

第三類是系統訊號。這往往最容易被忽視。即使硬體和演算法都在進步，仍然需要看到系統層級能力是否逐漸成熟，例如長時間穩定執行深電路的能力、控制系統的擴展性，以及多項關鍵條件是否開始同時具備。現實中的攻擊能力，最終依賴的不是單一指標，而是這些條件能否匯聚成一條閉合的工程路徑。

4.3 公開示範可以參考，但不能當作唯一訊號

很多人會自然地期待某種「標誌性時刻」：例如某個實驗平台公開示範了在小規模曲線上執行相關演算法，于是大家把它看作風險真正開始顯現的訊號。

這種訊號當然有參考價值，但它不適合作為唯一的判斷依據。因為從技術演進的角度看，公開示範往往只是一個結果，而不是最早的變化本身。真正更重要的，是前面提到的那些底層條件是否已經逐步具備。

對產業而言，更現實的做法不是等待一個戲劇性的時刻，而是建立持續追蹤的習慣：觀察硬體是否進入新的階段，演算法資源是否持續壓縮，以及系統能力是否正在從「分散改善」走向「整體成形」。比起「什麼時候看到示範」，更值得問的是：在看到示範之前，我們是否已經看懂了技術進展的方向。

5 我們該如何判斷量子進展？

5.1 這不是「現在的問題」，但必須現在開始準備

從工程現實來看，量子運算尚未具備對現有加密貨幣體系發起攻擊的能力。無論是在硬體規模、誤差控制，還是長時間穩定執行深電路的能力上，距離論文所假設的條件仍然存在明顯差距。

但這並不意味著產業可以繼續把這一問題無限期地延後下去。與過去相比，一個重要變化在於：相關技術路徑已經變得越來越清晰，資源估算也在持續收斂。對區塊鏈系統而言，真正需要關注的，不是某一個具體時間點，而是是否已經為未來的遷移預留了足夠的時間和空間。

密碼學基礎設施的升級往往不是一次簡單的軟體替換。它涉及協定、實作、生態協同、資產遷移以及使用者習慣的變化，其時間尺度通常以年為單位，而不是月或季度。從這個角度看，這不是一個「現在就會爆發」的問題，但已經是一個必須盡早進入規劃的問題。

5.2 演算法會變，但區塊鏈系統設計不需要被推翻

量子運算直接衝擊的，是區塊鏈系統底層所依賴的密碼學假設，例如基於橢圓曲線的簽名方案，而不是區塊鏈系統作為一類安全系統所面對的問題本身。

這意味著，許多今天已經被證明有效的安全機制，並不會因為量子運算的出現而失去價值。對區塊鏈和數位資產產業來說，無論是金鑰管理、多方運算（MPC）、硬體隔離（TEE）、權限控制、稽核機制，還是圍繞帳戶體系、交易審批、風控與治理所建立起來的整體安全架構，解決的仍然是金鑰暴露、單點失效、內部風險以及操作失誤等現實問題。這些問題不會隨著底層密碼學原語的變化而消失。

因此，更合理的理解不是「量子時代需要把整套區塊鏈安全體系推倒重來」，而是：需要升級的，首先是底層密碼學元件；而需要保留和增強的，則是區塊鏈系統在金鑰保護、權限分層、風險隔離和治理控制方面已經形成的設計原則。 真正重要的，不只是替換某一種簽名演算法，而是讓整個系統具備承載這類密碼學遷移的能力。

5.3 從「選哪種演算法」走向「能否平滑遷移」

當前後量子密碼學已經進入標準化與工程落地階段。NIST 主導的首批 PQC 標準已於 2024 年正式發布 [12]，但不同方案在效能、簽名大小、實作複雜度以及安全假設上仍然存在明顯差異，工程實踐和產業採用路徑也仍在持續演進之中。

在這種背景下，相比過早押注某一種具體演算法，更重要的問題正在發生變化：系統是否具備平滑遷移的能力。

這種能力包括幾個層面：能否在不影響業務連續性的前提下引入新的簽名方案；能否支援一段時間內的混合模式；以及當標準和工程實踐繼續演進時，是否還能繼續調整和相容。

從長遠看，區塊鏈產業真正需要建立的，不只是「採用後量子演算法」的能力，而是「應對密碼學持續變化」的能力。前者是一輪遷移，後者才是長期可持續的系統設計。

6 結語：一次重要的技術訊號

從今天的工程現實來看，量子運算仍不足以對現有加密貨幣體系構成實際威脅。無論是硬體規模、誤差控制，還是長時間穩定執行深電路所需的容錯能力，距離論文所假設的條件仍有明顯差距。換句話說，CRQC 並不是一項“只要時間到了就自然會落地”的技術，其實現仍取決於一系列尚未完全跨越的工程挑戰。

但與此同時，這個問題也已不再適合被視為遙遠未來的抽象討論。Google 在 2026 年 3 月明確將自身的後量子遷移時間線設到 2029 年[8]；英國 NCSC 則給出了 2028、2031、2035 三個遷移關鍵節點 [9]；G7 Cyber Expert Group 面向金融體系的路線圖雖然不設監管性 deadline，但也將 2035 視為整體遷移的參考目標，並建議關鍵系統盡量在 2030～2032 之間優先完成遷移 [10]。

同時，也需要避免過度解讀。就目前主流公開資料來看，即便較為激進的公開判斷，更多也是將風險窗口前移到 2030 年前後，而不是形成「CRQC 會在 2030 年前明確落地」的一致結論。Global Risk Institute 2025 年專家調查顯示，未來 10 年內出現 CRQC 屬於「quite possible（28%–49%）」，未來 15 年內才進入「likely（51%–70%）」區間 [11]。

因此，Google 這篇白皮書最重要的意義，並不在於宣告量子攻擊已經到來，而在於它讓這個問題第一次變得足夠具體：可以討論，可以評估，也必須開始準備。對區塊鏈和數位資產產業來說，2030～2035 是一個值得認真對待、並為遷移預留空間的關鍵窗口。它未必對應量子攻擊真正到來的具體年份，但很可能決定產業到那時是否仍然擁有從容應對的餘地。