好问题,这几个点其实是一串关联的逻辑。我分开说,顺便补充一些今年的最新进展。

## 一、能破 BTC,就能破全球金融吗?

底层逻辑上是的——**它们被同一种"武器"威胁**。

比特币的钱包安全靠 ECDSA(椭圆曲线签名),银行/网银/TLS 加密靠 RSA 和 ECC。这两类都属于"非对称加密",而 Shor 算法(量子算法)正好就是专门破这类问题的。ECC-256 这种保护比特币、以太坊数字签名的加密,同样可以被 Shor 算法求解。所以一台足够强的量子计算机,理论上对两边都构成威胁。

但**实际的"杀伤画像"差别很大**,这点很多人忽略:

- **比特币更"裸露"**:公钥一旦在链上暴露(尤其是地址重复使用,或在一笔交易广播后到确认前的窗口期),就成了攻击靶子。谷歌的研究提到一种"on-spend 攻击"——在交易暴露公钥后、10 分钟出块前破解私钥并抢走资金。而且区块链是去中心化的,**升级要全网协调、转账不可逆、被盗没人赔**。

- **传统金融反而更有缓冲**:有中心机构能集中打补丁、有反欺诈风控、交易可冻结可回滚、有保险和 KYC。它的攻击面广(数据量大),但防御和补救手段也多。

所以更准确的说法是:量子威胁的是**同一类数学难题**,但比特币因为"公开账本 + 不可逆 + 难协调"在某些场景下更脆弱。

顺带一提,比特币挖矿用的 SHA-256 不在此列——它只受 Grover 算法影响,而 Grover 只能把破解难度开平方(256 位变约 128 位强度),**依然安全**,不需要担心。

## 二、"破解币圈"这天快了吗?

短答:**不是马上,但方向明确,而且估算在快速逼近。**

现状:截至 2026 年,最强的量子计算机大约 1,500 量子比特,而破解 256 位 ECDSA 需要约 50 万甚至更多物理比特——目前没有这种机器。

但要注意,**"需要多少比特"这个数字这两年一直在往下掉**:

- 2026 年 3 月谷歌的新研究把所需物理比特从过去估的几十万降到"少于 50 万",称是约 20 倍的削减。

- 同月 Caltech 和一家量子初创的论文更激进,称约 10,000–26,000 物理比特、用约 10 天就可能破 ECC-256(不过作者有利益关联,数字有争议)。

时间预测上,业内主流口径是 **5–10 年**:谷歌和 Coinbase 顾问们的共识大致是 5 到 10 年;谷歌研究者本人也说对"2032 年 Q-Day"的信心明显上升。也有更激进的"末日时钟"喊 2028 年,但那偏少数。

真正现在就该警惕的是 **"先收割,后解密"(Harvest Now, Decrypt Later)**:有人/有国家可能在**今天**就大量囤积加密数据和暴露的公钥,等几年后量子机成熟再回头解密。所以"威胁"在某种意义上已经开始了,只是"破解"还没发生。

## 三、有抗量子算法吗?

**有,而且已经标准化、正在全球落地。** 这是最让人安心的部分。

NIST 在 2024 年 8 月正式发布了三套后量子标准:ML-KEM(FIPS 203,基于 Kyber,用于密钥交换,替代 RSA/ECDH)、ML-DSA(FIPS 204,基于 Dilithium,用于签名,替代 ECDSA)、SLH-DSA(FIPS 205,基于哈希的备用方案)。2025 年 3 月又选了 HQC 作为第五个算法,增加多样性以防某个算法被发现漏洞。

迁移已经在推进:NIST 计划在 2030 年后对新系统弃用 RSA 和椭圆曲线,2035 年后完全禁用。金融业也在动——已经有支付安全规范(如 PCI DSS)开始要求"量子安全"实践,Cloudflare、AWS、微软等都已部署混合方案。

**比特币这边**会更麻烦一些。它需要通过软分叉引入抗量子地址(目前社区在讨论 BIP-360 / BIP-361 这类提案),而且**每个持币人都得主动把币转到新的抗量子地址**才算安全——那些丢了私钥、公钥已永久暴露在链上的"沉睡币"(包括据说中本聪的约百万枚)可能成为最先被攻击的目标。这是个治理和协调难题,比技术本身更头疼。

---

**一句话总结**:量子破解威胁的是 BTC 和传统金融共用的那套加密数学,所以"能破一个原则上能破另一个";但这天大概率在 5–10 年后而非眼前;抗量子算法不仅存在、还已经是国际标准,真正的赛跑是"在量子机成熟之前,各系统(尤其去中心化的比特币)能不能完成迁移"。

需要的话,我可以再展开讲讲 Shor 算法到底怎么破椭圆曲线的,或者 ML-KEM/ML-DSA 这些后量子算法的原理。