专家警告说,量子计算机有可能在未来伪造比特币的数字签名,从而允许未经授权的交易。
简而言之
今天的量子计算机太小且不稳定,无法威胁现实世界的密码学。
早期的比特币钱包因公开密钥暴露而在长期内风险最大。
开发者正在探索后量子签名和潜在的迁移路径。
量子计算机今天无法破解比特币的加密,但谷歌和IBM的新进展表明,差距正在比预期的更快缩小。他们在容错量子系统方面的进展提高了“Q日”的风险,即一台足够强大的机器可能会破解旧的比特币地址,并暴露出超过$711 billion的脆弱钱包。
将比特币升级到后量子状态需要数年,这意味著工作必须在威胁到来之前很久就开始。专家表示,挑战在于没有人知道那会是什么时候,社区一直在努力就如何最好地推进计划达成共识。
这种不确定性导致了一种持久的恐惧,即能够攻击比特币的量子计算机可能会在网络准备好之前上线。
在这篇文章中,我们将探讨量子威胁对比特币的影响,以及需要改变什么以使第一区块链做好准备。
一次成功的攻击不会看起来戏剧性。一个具备量子能力的小偷会首先扫描区块链,寻找任何曾经透露过公钥的地址。旧钱包、重复使用的地址、早期矿工的输出和许多休眠账户都属于这个类别。
攻击者复制公钥并使用Shor算法通过量子计算机运行它。该算法于1994年由数学家彼得·肖尔开发,赋予量子机器更有效地因式分解大数字和解决离散对数问题的能力,远远超过任何传统计算机。比特币的椭圆曲线签名依赖于这些问题的难度。拥有足够的错误修正量子位,量子计算机可以使用肖尔的方法计算与暴露的公钥相关联的私钥。
正如Andreessen Horowitz的研究合伙人兼乔治城大学的副教授Justin Thaler告诉Decrypt的那样,一旦私钥被恢复,攻击者就可以转移货币。
“量子计算机能做什么,这与比特币相关的是,伪造比特币今天使用的数字签名,”Thaler说。“拥有量子计算机的人可以授权一笔交易,将所有比特币从你的账户中提取,或者无论你如何想著它,当你并未授权时。这就是担忧。”
伪造的签名在比特币网络中看起来是真实的。节点会接受它,矿工会将其包含在区块中,链上的任何东西都不会标记该交易为可疑。如果攻击者同时袭击大量暴露的地址,那么数十亿美元可能在几分钟内转移。市场会在任何人确认量子攻击正在发生之前开始反应。
2025年量子计算的现状
在2025年,量子计算终于开始感觉不那么理论,而更具实用性。
2025年1月:谷歌的105量子位Willow晶片显示出急剧的错误减少,并且超越了传统超级计算机的基准。
2025年2月:微软推出了其Majorana 1平台,并报告了与Atom Computing的记录逻辑量子位纠缠。
2025年4月:NIST将超导量子位的相干性扩展至0.6毫秒。
2025年6月:IBM设定了到2029年达到200个逻辑量子位的目标,并在2030年代初期超过1000个。
2025年10月:IBM纠缠了120个量子位;谷歌确认了经过验证的量子加速。
2025年11月:IBM宣布了新的晶片和软件,旨在于2026年实现量子优势,并在2029年前实现容错系统。
确认了一个经过验证的量子加速。
为什么比特币变得脆弱
比特币的签名使用椭圆曲线密码学。从地址中支出会揭示其背后的公钥,并且这种暴露是永久性的。在比特币早期的支付至公钥格式中,许多地址甚至在第一次支出之前就已经在链上公布了其公钥。后来的支付至公钥哈希格式在第一次使用之前保持了密钥的隐藏。
由于它们的公钥从未隐藏,这些最古老的货币,包括约100万中本聪时代的比特币,暴露于未来的量子攻击之下。转换为后量子数字签名,Thaler说,需要积极参与。
“为了让中本聪保护他们的货币,他们必须将其转移到新的后量子安全钱包中,”他说。“最大的担忧是被遗弃的货币,价值约1800亿美元,其中约1000亿美元被认为是中本聪的。这些都是巨额的数字,但它们被遗弃了,这才是真正的风险。”
增加风险的是与丢失的私钥相关的货币。许多已经超过十年未被触碰,没有那些密钥,它们永远无法转移到量子抗性钱包中,使它们成为未来量子计算机的可行目标。
没有人能直接在链上冻结比特币。针对未来量子威胁的实际防御集中在迁移脆弱资金、采用后量子地址或管理现有风险上。
然而,Thaler指出,后量子加密和数字签名方案伴随著高昂的性能成本,因为它们比当今轻量级的64字节签名大得多且资源密集。
“如今的数字签名约64个字节。后量子版本可能大10到100倍,”他说。“在区块链中,这个大小的增加是一个更大的问题,因为每个节点必须永远存储这些签名。管理这种成本,数据的实际大小,在这里比在其他系统中困难得多。”
保护的途径
开发人员提出了几个比特币改进提案,以准备未来的量子攻击。它们采取了不同的路径,从轻量级的可选保护到全面的网络迁移。
BIP-360 (P2QRH):创建新的“bc1r...”地址,将当今的椭圆曲线签名与后量子方案如ML-DSA或SLH-DSA结合。它提供了无需硬分叉的混合安全性,但更大的签名意味著更高的费用。
量子安全Taproot:为Taproot添加一个隐藏的后量子分支。如果量子攻击变得现实,矿工可以进行软分叉以要求后量子分支,同时用户在此之前正常操作。
量子抗性地址迁移协议 (QRAMP):一个强制的迁移计划,将脆弱的UTXO转移到量子安全地址,可能通过硬分叉。
支付至Taproot哈希 (P2TRH):用双重哈希版本替换可见的Taproot密钥,限制暴露窗口,而不需要新的加密技术或破坏兼容性。
非互动式交易压缩 (NTC) 通过STARKs:使用零知识证明将大型后量子签名压缩为每个区块一个证明,降低存储和费用成本。
承诺-揭示方案:依赖于在任何量子威胁出现之前发布的哈希承诺。
辅助UTXO附加小型后量子输出以保护支出。
“毒丸”交易允许用户预发布恢复路径。
Fawkescoin样式的变体在真正的量子计算机被证明之前保持休眠。
综合这些提案,描绘出一条逐步实现量子安全的道路:像P2TRH这样的快速、低影响修复,随著风险的增长,像BIP-360或基于STARK的压缩这样的更重的升级。它们都需要广泛的协调,许多后量子地址格式和签名方案仍在早期讨论中。
Thaler指出,比特币的去中心化——其最大的优势——也使得重大升级缓慢且困难,因为任何新的签名方案都需要矿工、开发者和用户之间的广泛共识。
“比特币有两个主要问题。首先,升级需要很长时间,如果有的话。其次,还有被遗弃的货币。任何向后量子签名的迁移必须是主动的,而那些旧钱包的拥有者已经不在了,”Thaler说。“社区必须决定它们的命运:要么同意将它们从流通中移除,要么什么都不做,让具备量子能力的攻击者获取它们。第二条路径在法律上是灰色的,而那些夺取货币的人可能根本不在乎。”
大多数比特币持有者不需要立即采取行动。一些习惯在减少长期风险方面大有裨益,包括避免重复使用地址,这样你的公钥在你花费之前保持隐藏,并坚持使用现代钱包格式。
今天的量子计算机还无法突破比特币,对它们何时会突破的预测差异很大。一些研究人员认为在未来五年内会出现威胁,其他人则将其推到2030年代,但持续的投资可能加快这一时间表。
