StarkWare 产品长 Avihu Levy 在 4 月 9 日公开发布抗量子比特币交易方案「Quantum Safe Bitcoin (QSB)」,在不更动協议的前提下,实现抗量子运算的交易保護。这是目前已知首个僅憑比特币现有 Legacy Script 規則,即可抵禦 Shor 演算法攻擊的可行方案。
量子威脅迫在眉睫,比特币社群共识未明
量子运算对比特币構成的威脅,在 Google Quantum AI 於上週发表的論文中再度受到关注。研究指出,破解比特币橢圓曲線加密 (ECDSA) 的成本比预期少了 90%,同时最快 9 分鐘就能从已曝光的公鑰还原出私鑰,Google 本身也訂下 2029 年完成自身服務后量子迁移的目標。
(Google 量子研究示警:破解比特币加密门檻大降,Taproot 与地址重用让 690 万枚 BTC 暴露量子风险)
比特币现行主要簽名机制 ECDSA,其安全性建立在橢圓曲線數学难題之上。一旦量子电腦具備足夠算力,攻擊者便能透过 Shor 演算法逆推私鑰、偽造簽名,进而竊取资产。从 P2PK 输出、Taproot 到傳统地址,只要公鑰曝光,都面臨私鑰遭破解的风险。
然而,由於主流应对方案皆需要修改比特币底層協议。无論是需要软分叉的 BIP-360 抗量子地址提案,还是 SPHINCS+ 等基於雜湊的簽名方案,都必須经过比特币社群出了名漫长且高度分歧的治理流程。
如今 QSB 的出现,成功繞过了这道关卡。
QSB 是什麼?如何在不动協议的情況下实现抗量子?
作为 BIP-360 的共同作者,Avihu Levy 近期发布的 QSB,主張无需變更共识即可在比特币上实现能抵禦量子攻擊的解決方案。
QSB 建立於 BitVM 創始人 Robin Linus 所开发的 Binohash 交易技術之上,並針对其中两个量子安全漏洞进行了修正:其一是可能被 Shor 演算法破解的橢圓曲線小 r 值簽名难題;其二是可能让攻擊者利用的 sighash 旗標漏洞。
在安全模型上,QSB 捨棄了依賴橢圓曲線數学难題的傳统假设,改为建立在 RIPEMD-160 雜湊函數上。量子电腦对雜湊函數的攻擊,只能透过 Grover 演算法取得二次加速,而非如 Shor 演算法对 ECDSA 那樣完全破解,因此其对 QSB 目前並不会構成威脅。
具體运作上,交易发起者需要解決一个计算成本高昂的雜湊謎題,將交易与一組特定參數綁定。任何人想竄改交易內容,答案就会立刻失效,必須从头重算。
整个方案完全在比特币现有的 Legacy Script 限制內运行,包括 201 个操作碼上限与 10,000 位元組的腳本大小限制,无需任何協议更动。該方案可达约 118 位元的抗量子安全性 (目前为 0)。
实际使用成本与操作限制:低至 75 美元的运算费用
QSB 目前並非零成本方案。每筆交易需支付约 75 至 150 美元的雲端 GPU 运算费用,以当前雲端算力的市场行情计算,整个计算过程可在幾小时內完成,且可跨多張 GPU 同步執行。
然而,QSB 仍存在现实限制。由於交易超出比特币预设的中继政策限制,必須直接提交給接受非標準交易的礦池,例如透过 Marathon 提供的 Slipstream 服務,同时方案目前也尚未支援闪电網路。
Levy 本人也定位 QSB 为「最后手段」,而非一般比特币交易的替代方案。
回顾现有抗量子方案,均需修改比特币原始協议
现有抗量子比特币方案幾乎全部都需要協议層的變更。BIP-360 提议引入新型量子抗性地址格式,但需要通过软分叉,並須獲得比特币社群的廣泛共识;SPHINCS+ 等基於雜湊的簽名方案同樣需要協议升級,且在效率与腳本大小方面面臨更大挑戰。
QSB 作为目前首个完全在现有比特币規則框架內运行、无需任何共识變更即可实现抗量子保護的方案,任何願意承擔相应 GPU 运算成本的用戶,今日即可使用,无需等待社群达成共识。
抗量子方案浮现,比特币持有者靜待佳音
就目前而言,尚无任何量子电腦具備破解比特币加密的实际能力,外界预期真正的威脅仍在 3 至 10 年后。然而,对於有在使用且公鑰曝光的比特币地址,一旦量子电腦达到攻擊门檻,便会成为首批目標,初步估计约有 690 万枚左右。
QSB 目前尚未整合进任何消费級钱包,一般用戶还无法透过现有软體直接啟用量子安全设定。但 Levy 此舉证明,这个方案在今天的比特币上確实存在且可行,后续剩下的是工程实作、钱包整合与时间。
对持有比特币的用戶而言,当前最務实的建议是:避免重複使用地址、密切关注钱包开发商的抗量子支援进度,並在主流软體提供量子安全迁移选項时,盡早將资产移转至受保護的地址。
这篇文章 比特币社群福音!首款无需软分叉的抗量子比特币交易方案 QSB 问世 最早出现於 链新聞 ABMedia。
