量子运算威胁爆发！Coinbase 研究主管：33% 比特币恐被破解

Coinbase 全球投資研究主管 David Duong 警告，量子運算進步速度超出預期，約三分之一比特幣因公鑰暴露而容易受到量子攻擊。貝萊德 5 月已將量子運算列為風險，研究人員預測 4 至 5 年內量子電腦可能破解比特幣加密技術。

量子運算從理論威脅變成結構性風險

量子運算對比特幣的威脅不再是遙遠的科幻情節。Coinbase 全球投資研究主管 David Duong 在 LinkedIn 發出警告，稱量子運算的進步速度比 3.3 兆美元的加密貨幣產業所反映的速度更快。他指出，即使對比特幣的直接攻擊尚未迫在眉睫，但量子威脅已經從遙遠的理論擔憂演變為真正的結構性風險。

Duong 寫道：「隨著量子運算的進步，比特幣的長期安全性可能正在進入一個新的階段。投資者越來越擔心量子運算的風險可能比之前預想的來得更快。」這種擔憂並非空穴來風。量子電腦是一種新型機器，它利用量子力學定律以與當今電腦截然不同的方式處理資訊。它們目前仍處於實驗階段，但如果達到足夠的規模，它們可能會破解比特幣的加密技術。

量子運算研究員 Pierre-Luc Dallaire-Demers 在 10 月告訴媒體，他預計量子電腦將在 4 至 5 年內破解比特幣的加密技術。這個時間框架遠比多數投資者想像的更近。貝萊德在 5 月提交的旗艦產品 iShares 比特幣信託基金的修訂招股說明書中，已明確將量子運算列為風險因素，顯示機構投資者正在認真對待這一威脅。

三分之一比特幣為何容易受攻擊

持有約三分之一比特幣供應量的錢包的加密輸出是公開可見的，這使得它們極易受到暴力破解攻擊。這個關鍵漏洞源於比特幣早期的技術設計。在比特幣發展初期，許多交易使用 P2PK（Pay-to-Public-Key）格式，直接將公鑰暴露在區塊鏈上。這些舊式地址一旦公鑰暴露，量子電腦就可以從中推導出私鑰。

現代比特幣地址（如 P2PKH 和 SegWit 地址）在未花費時公鑰是隱藏的，只有在進行交易時才會暴露。然而，一旦這些地址進行過至少一次交易，公鑰就永久記錄在區塊鏈上。這意味著任何曾經進行過交易但仍持有比特幣的地址，都可能成為量子攻擊的目標。

根據鏈上數據分析，約 370 萬枚比特幣（佔總供應量約 17.6%）存放在這些公鑰已暴露的地址中。加上早期 P2PK 地址中的比特幣，總計約三分之一的比特幣供應處於潛在風險之中。更令人擔憂的是，這些地址中有相當部分屬於早期礦工和長期持有者，其中可能包括中本聰本人挖掘的比特幣。

量子運算的雙重威脅路徑

比特幣的安全性依賴於兩個加密建置模組。第一種是橢圓曲線數位簽章演算法（ECDSA），它確保只有私鑰的所有者才能授權交易。第二種是 SHA-256，它是工作量證明挖礦的基礎雜湊函數。Duong 指出，量子電腦對比特幣存在兩種截然不同的風險。

量子運算對比特幣的兩大攻擊向量

經濟風險（量子挖礦）：如果量子電腦運算能力夠強大，它們能以遠高於傳統比特幣挖礦的效率挖出區塊，扭曲比特幣網路的激勵機制

安全風險（私鑰破解）：量子電腦可從暴露的公鑰推導出私鑰，使攻擊者能從易受攻擊的位址中竊取資金

優先威脅等級：Duong 認為鑑於目前的擴展性限制，量子挖礦仍是較低優先順序問題，簽名安全才是核心問題

第二個風險更為直接且迫切。一旦量子電腦達到足夠的量子位元數（估計需要數百萬個邏輯量子位元），它們可以使用 Shor 演算法在合理時間內從公鑰計算出私鑰。這意味著任何公鑰已暴露的地址都可能在數小時內被破解，資金被盜取。

相比之下，量子挖礦威脅較小。雖然量子電腦理論上可以加速 SHA-256 的雜湊計算，但根據 Grover 演算法，量子優勢僅為平方根級別，遠不如對 ECDSA 的指數級優勢。此外，比特幣的難度調整機制可以應對算力突然增加的情況，使得量子挖礦不會立即破壞網路。

防禦措施與時間賽跑

比特幣社群並非對量子威脅毫無準備。研究人員正在探索「基於哈希的簽名」等量子抗性加密方案，以實現量子證明升級。這些新型簽名方案不依賴於橢圓曲線或因數分解等容易被量子攻擊的數學難題，而是基於雜湊函數的單向性，即使量子電腦也無法有效破解。

然而，升級比特幣協議以納入量子抗性加密並非易事。這需要全網路的共識升級（硬分叉），所有節點和錢包軟體都必須更新。更複雜的是，如何處理那些公鑰已暴露的舊地址？強制遷移可能侵犯用戶財產權，但不遷移則讓這些資金永久暴露於風險之中。

時間是最關鍵的因素。如果量子電腦在比特幣完成量子抗性升級之前達到破解能力，可能造成災難性後果。投資者和持有者需要密切關注量子運算的進展，並考慮將資金遷移到從未暴露公鑰的新地址。對於長期持有者而言，定期更新到最新的地址格式（如 Taproot）並避免重複使用地址，是降低量子風險的實際措施。