量子时代比特币真正面临的威胁：担忧与现实之间

量子计算机是什么，以及比特币为何应当担忧？

在我们讨论比特币的未来之前，首先需要理解威胁的本质。量子计算机是以完全不同的原理运作的机器，远非传统计算机所能比拟。它们使用的是量子比特（qubit），可以同时处于0和1的状态，这赋予它们潜在的天文数字级别的计算能力。对比特币而言，最具威胁的是Shor算法，它在理论上可以在多项式时间内从公钥中提取出私钥。

为什么这构成威胁？比特币通过基于ECDSA和Schnorr签名的数字签名方案来保障交易安全。目前，从数学角度来看，从公钥推算私钥几乎是不可能的——这是整个网络安全的基础。然而，足够强大的量子计算机可以突破这一防线。科学家估计，需要大约2000到4000个几乎无误的逻辑量子比特才能实现这一目标。目前的量子设备只有几十个量子比特，远未达到这一门槛。

安全窗口：比特币是否还有足够的时间？

这里出现了第一线安慰。估计表明，能够对比特币构成实际威胁的量子计算机至少还要十年以上。这在理论上为网络提供了足够的时间进行准备。美国国家标准与技术研究院（NIST）已批准了几种抗量子攻击的标准：ML-DSA(Dilithium) 和 SLH-DSA(SPHINCS+) 已作为FIPS 204和205发布，而FN-DSA(Falcon)正等待FIPS 206的批准。这些方案目前几乎可以抵抗量子攻击。

理论上，比特币可以引入新的输出类型(outputs)或结合后量子算法的混合签名方案。像Bitcoin Optech这样的团队已经在尝试签名聚合和基于Taproot的结构。性能研究表明，即使是SLH-DSA，也可以在与当前网络负载相当的参数下运行。比特币适应量子威胁的场景，从技术角度来看，并非不可能。

迁移成本：安全的隐性代价

但关于技术可能性的故事并不完整。转向后量子签名方案具有实际的经济后果。英国区块链协会（Journal of British Blockchain Association）发表的研究指出，量子安全的现实可行性意味着要降低区块容量——估计约减少一半。现有的后量子签名方案在物理尺寸上更大，验证时也需要更多的计算资源。

这意味着节点的运营成本会增加。交易手续费也会呈上升趋势，因为每个签名会占用更多的区块空间。这并非灾难，但也不是没有透明度的好处——这是量子安全与当前效率之间的权衡。

公开密钥问题：170万比特币面临危险

这里的问题变得更加令人担忧。量子攻击的脆弱性并非在所有比特币中都均匀分布，而是取决于地址类型以及公钥是否已在区块链上公开。

早期的pay-to-public-key（支付到公钥）输出会直接在链上存放未哈希的公钥——因此只受ECDSA安全性的保护，没有其他保护措施。标准的P2PKH和SegWit P2WPKH地址会在花费时才揭示公钥，平时隐藏在哈希后。更新的Taproot P2TR输出从一开始就编码了公钥，这意味着这些UTXO在被转移之前就已经暴露。

链上数据分析显示，约25%的比特币已经处于公钥公开的输出中。更具体地说，估计约有170万BTC处于“中本聪时代”的旧式P2PK输出中，另外还有数十万在新型Taproot输出中，且公钥已可见。这些资产中一些被认为“丢失”了，但实际上它们仍然存在，若出现足够强的量子计算能力，可能成为攻击者的目标。

从未公开公钥的比特币（如一次性P2PKH或P2WPKH）则安全得多。这些地址通过哈希保护，Grover算法只能提供平方级的加速——这是可以通过调整安全参数来抵消的威胁。

供给场景：几乎都导致混乱

迈克尔·赛勒（Michael Saylor）声称“安全性增强，供应减少”。这是一种简化的说法，忽略了实际场景的复杂性。

第一种场景是“通过放弃而减少供应”。那些在脆弱输出中持币、从未迁移的持币者，可能成为有效的阻碍——比如被标记为非法或被网络黑名单的币。这可能会实际减少流通中的有效供应。

第二种场景是“通过盗窃扭曲供应”。拥有足够强大量子机器的攻击者，可能逐个清空已公开公钥的钱包。这不是“燃烧”币，而是将它们转移到攻击者控制的地址——对币价没有任何利空影响。

第三种场景是“对物理定律的恐慌”。对即将到来的量子威胁的猜测，可能引发预先抛售、链分叉或大规模资本迁移。这种场景比技术本身更具破坏性。

这些路径都不能保证简单地减少流通供应，反而可能引发价格的混乱、争议性分叉和对旧钱包的攻击浪潮。

协调挑战：物理学问题较小

好消息是，比特币的工作量证明（SHA-256）相对抗量子。Grover算法只提供平方级加速，可以通过增加挖矿难度来补偿。最关键的威胁仍然是数字签名方案。

但这里出现了超出数学范畴的问题。比特币没有中央机构可以强制升级。每次后量子迁移都需要开发者、矿工、交易所和大户之间的压倒性共识。这种协调必须在量子计算机出现、能够进行实际攻击之前完成。

最新的风险分析强调，管理和时间比数学本身更为关键。比特币社区过去在简单升级方面就曾遇到困难。后量子迁移将是网络历史上最具挑战性的变革之一。

细节攻击：内存池中的隐患

一个常被忽视的细节是内存池（mempool）——等待确认的交易存放区。当有人用哈希化公钥的地址发币时，公钥会在交易过程中被揭示。在量子攻击场景中，可能出现“签名-窃取”攻击：量子观察者在内存池中等待，快速重建私钥，然后用更高手续费的交易抢先出块。

这并非易事，但也是一种潜在的风险，传统风险分析常常忽略。

总结：条件性乐观

比特币在量子时代可能变得更强大。网络可以引入新型签名方案，保护脆弱的输出，并采用更强的密码学保证。但赛勒的假设——“一切顺利，‘丢失的币’将永远冻结，供应将减少”——更像是对完美协调的赌注，而非物理定律。

现实更为复杂。约有170万比特币已处于易受攻击的输出中。迁移成本高昂，政治难度大，且需要前所未有的协调。比特币或许能从中变得更强，但前提是开发者和大户能提前反应，避免恐慌或大规模盗窃。

信心有限。工程技术是可行的，但社会层面的协调仍未知数。