量子威胁比特币的问题不在于破解加密——而在于暴露你的密钥

关于量子计算机破解比特币加密的广泛叙述，基本上偏离了核心问题。比特币并不在链上存储可被量子机解密的加密秘密。实际上，真正的漏洞集中在一个更为具体的问题上：如果出现具有密码学相关能力的量子计算机，它可能利用暴露的公钥，通过Shor算法伪造未授权的交易。这一区别对于理解比特币的时间线和应对策略具有极其重要的意义。

为什么比特币的安全模型根本不依赖加密

比特币的区块链作为一个公共账本，所有交易、金额和地址对所有人都是可见的。所有权通过数字签名——具体来说是ECDSA和Schnorr签名——来证明，而不是通过必须隐藏的加密数据。这些签名展示了对密钥对的控制权；它们并不隐藏任何内容。当有人花费比特币时，他们会生成一个网络接受的有效签名。区块链本身没有任何密文需要解密。

这一基本架构事实揭示了在讨论量子威胁时常出现的术语问题。安全专家Adam Back直言不讳地指出：比特币并不采用传统意义上的加密。将量子计算机称为“比特币加密”的威胁，反映了对比特币实际保护机制的误解。该协议通过签名和基于哈希的承诺来保护所有权，而非密文。

实际的量子风险：从暴露的公钥推导私钥

需要关注的场景要狭窄得多：如果量子攻击者能够高效运行Shor算法破解比特币的椭圆曲线密码学，他们就可以从链上的公钥推导出私钥。有了私钥，他们就能创建有效的交易签名，甚至可能重定向资金。

这种威胁是否会成为现实，取决于公钥的暴露模式。许多比特币地址格式在交易花费前只提交公钥的哈希值——意味着原始公钥在交易被花费之前保持隐藏。这一漏洞窗口相对较小。但其他脚本类型会更早暴露公钥，而地址重用则会将一次性披露变成持续的目标，增加密钥恢复的风险。

Project Eleven的“比特币风险清单”正是追踪链上已暴露公钥的具体位置，映射出潜在易受Shor算法攻击的地址池。根据最新的区块链数据，他们的分析显示，约有670万比特币存放在符合暴露条件的地址中。

在未知何时到来情况下衡量量子风险

破解椭圆曲线密码学的计算需求目前已基本明确，即使实现的时间表仍不确定。

Roetteler等人的研究表明，计算256位椭圆曲线离散对数大约需要2330个逻辑量子比特的理论最低要求。将逻辑量子比特转化为实际的纠错量子计算机，会带来巨大的物理量子比特开销。Litinski在2023年的分析指出，使用大约690万物理量子比特，约10分钟内可以完成256位私钥的计算。其他估算则集中在1300万左右的物理量子比特，假设在一天内完成，具体取决于时间和误差率的假设。

这些数字提供了一个可衡量的框架。因为公钥暴露是可以量化的——Project Eleven每周进行自动扫描——我们可以在不等待量子能力到来的情况下，追踪潜在的脆弱UTXO池。

协议层面的变更，比如Taproot（BIP 341）在相关方面改变了暴露模式。Taproot输出在输出脚本中直接包含一个32字节的调整公钥，而不是仅仅一个公钥哈希。这在今天并不构成漏洞，但如果未来密钥恢复变得可行，它会改变哪些地址会暴露出来。同时，像BIP 360（“支付给抗量子哈希”）这样的提案，提出了迁移到抗量子输出的潜在路径。

行为防御与哈希问题

对于比特币操作而言，行为选择和钱包设计提供了更为近期的应对手段。地址重用会大大增加暴露风险；而每次交易都生成新地址的钱包可以缩小攻击面。如果私钥恢复变得足够快速，攻击者将会竞相花费已暴露的输出，而不是重写共识历史——这是一种根本不同的威胁模型。

哈希在量子威胁中有时被一并考虑，但这里的相关算法是Grover算法，而非Shor算法。Grover算法对暴力搜索提供平方根的加速——即使在量子攻击下，SHA-256的预映像抗性仍大约是2^128的工作量。这远远不同于破解椭圆曲线离散对数。

迁移，而非紧急：未来的现实路径

NIST已将ML-KEM（FIPS 203）等后量子密码原语标准化，作为更广泛的密码过渡计划的一部分。在比特币中，开发者和研究人员也在提出迁移机制：使用抗量子哈希承诺的新输出类型、遗留签名的退役机制以激励迁移，以及持续升级钱包以减少地址重用。

近期的企业时间表也提供了背景信息。IBM最近提出，到2029年实现容错量子系统的进展，尽管从实验室演示到能够攻击已部署密码系统的量子计算机仍需较长时间，且前景不确定。

对比特币而言，量子挑战最终是一个协调和迁移的问题，而非立即的密码学崩溃。可操作的指标很简单：追踪UTXO集中暴露的公钥、优化钱包行为以最小化暴露、在网络层面采用抗量子的支出模式，同时保持验证效率和手续费市场的稳定。