專家警告說,量子計算機有可能在未來僞造比特幣的數字簽名,從而允許未經授權的交易。
簡而言之
今天的量子計算機太小且不穩定,無法威脅現實世界的密碼學。
早期的比特幣錢包因公開密鑰暴露而在長期內風險最大。
開發者正在探索後量子簽名和潛在的遷移路徑。
量子計算機今天無法破解比特幣的加密,但谷歌和IBM的新進展表明,差距正在比預期的更快縮小。他們在容錯量子系統方面的進展提高了“Q日”的風險,即一臺足夠強大的機器可能會破解舊的比特幣地址,並暴露出超過$711 billion的脆弱錢包。
將比特幣升級到後量子狀態需要數年,這意味著工作必須在威脅到來之前很久就開始。專家表示,挑戰在於沒有人知道那會是什麼時候,社區一直在努力就如何最好地推進計劃達成共識。
這種不確定性導致了一種持久的恐懼,即能夠攻擊比特幣的量子計算機可能會在網絡準備好之前上線。
在這篇文章中,我們將探討量子威脅對比特幣的影響,以及需要改變什麼以使第一區塊鏈做好準備。
一次成功的攻擊不會看起來戲劇性。一個具備量子能力的小偷會首先掃描區塊鏈,尋找任何曾經透露過公鑰的地址。舊錢包、重複使用的地址、早期礦工的輸出和許多休眠賬戶都屬於這個類別。
攻擊者複製公鑰並使用Shor算法通過量子計算機運行它。該算法於1994年由數學家彼得·肖爾開發,賦予量子機器更有效地因式分解大數字和解決離散對數問題的能力,遠遠超過任何傳統計算機。比特幣的橢圓曲線簽名依賴於這些問題的難度。擁有足夠的錯誤修正量子位,量子計算機可以使用肖爾的方法計算與暴露的公鑰相關聯的私鑰。
正如Andreessen Horowitz的研究合夥人兼喬治城大學的副教授Justin Thaler告訴Decrypt的那樣,一旦私鑰被恢復,攻擊者就可以轉移貨幣。
“量子計算機能做什麼,這與比特幣相關的是,偽造比特幣今天使用的數字簽名,”Thaler說。“擁有量子計算機的人可以授權一筆交易,將所有比特幣從你的賬戶中提取,或者無論你如何想著它,當你並未授權時。這就是擔憂。”
偽造的簽名在比特幣網絡中看起來是真實的。節點會接受它,礦工會將其包含在區塊中,鏈上的任何東西都不會標記該交易為可疑。如果攻擊者同時襲擊大量暴露的地址,那麼數十億美元可能在幾分鐘內轉移。市場會在任何人確認量子攻擊正在發生之前開始反應。
2025年量子計算的現狀
在2025年,量子計算終於開始感覺不那麼理論,而更具實用性。
2025年1月:谷歌的105量子位Willow晶片顯示出急劇的錯誤減少,並且超越了傳統超級計算機的基準。
2025年2月:微軟推出了其Majorana 1平台,並報告了與Atom Computing的記錄邏輯量子位糾纏。
2025年4月:NIST將超導量子位的相干性擴展至0.6毫秒。
2025年6月:IBM設定了到2029年達到200個邏輯量子位的目標,並在2030年代初期超過1000個。
2025年10月:IBM糾纏了120個量子位;谷歌確認了經過驗證的量子加速。
2025年11月:IBM宣布了新的晶片和軟件,旨在於2026年實現量子優勢,並在2029年前實現容錯系統。
確認了一個經過驗證的量子加速。
為什麼比特幣變得脆弱
比特幣的簽名使用橢圓曲線密碼學。從地址中支出會揭示其背後的公鑰,並且這種暴露是永久性的。在比特幣早期的支付至公鑰格式中,許多地址甚至在第一次支出之前就已經在鏈上公布了其公鑰。後來的支付至公鑰哈希格式在第一次使用之前保持了密鑰的隱藏。
由於它們的公鑰從未隱藏,這些最古老的貨幣,包括約100萬中本聰時代的比特幣,暴露於未來的量子攻擊之下。轉換為後量子數字簽名,Thaler說,需要積極參與。
“為了讓中本聰保護他們的貨幣,他們必須將其轉移到新的後量子安全錢包中,”他說。“最大的擔憂是被遺棄的貨幣,價值約1800億美元,其中約1000億美元被認為是中本聰的。這些都是巨額的數字,但它們被遺棄了,這才是真正的風險。”
增加風險的是與丟失的私鑰相關的貨幣。許多已經超過十年未被觸碰,沒有那些密鑰,它們永遠無法轉移到量子抗性錢包中,使它們成為未來量子計算機的可行目標。
沒有人能直接在鏈上凍結比特幣。針對未來量子威脅的實際防禦集中在遷移脆弱資金、採用後量子地址或管理現有風險上。
然而,Thaler指出,後量子加密和數字簽名方案伴隨著高昂的性能成本,因為它們比當今輕量級的64字節簽名大得多且資源密集。
“如今的數字簽名約64個字節。後量子版本可能大10到100倍,”他說。“在區塊鏈中,這個大小的增加是一個更大的問題,因為每個節點必須永遠存儲這些簽名。管理這種成本,數據的實際大小,在這裡比在其他系統中困難得多。”
保護的途徑
開發人員提出了幾個比特幣改進提案,以準備未來的量子攻擊。它們採取了不同的路徑,從輕量級的可選保護到全面的網絡遷移。
BIP-360 (P2QRH):創建新的“bc1r...”地址,將當今的橢圓曲線簽名與後量子方案如ML-DSA或SLH-DSA結合。它提供了無需硬分叉的混合安全性,但更大的簽名意味著更高的費用。
量子安全Taproot:為Taproot添加一個隱藏的後量子分支。如果量子攻擊變得現實,礦工可以進行軟分叉以要求後量子分支,同時用戶在此之前正常操作。
量子抗性地址遷移協議 (QRAMP):一個強制的遷移計劃,將脆弱的UTXO轉移到量子安全地址,可能通過硬分叉。
支付至Taproot哈希 (P2TRH):用雙重哈希版本替換可見的Taproot密鑰,限制暴露窗口,而不需要新的加密技術或破壞兼容性。
非互動式交易壓縮 (NTC) 通過STARKs:使用零知識證明將大型後量子簽名壓縮為每個區塊一個證明,降低存儲和費用成本。
承諾-揭示方案:依賴於在任何量子威脅出現之前發佈的哈希承諾。
輔助UTXO附加小型後量子輸出以保護支出。
“毒丸”交易允許用戶預發布恢復路徑。
Fawkescoin樣式的變體在真正的量子計算機被證明之前保持休眠。
綜合這些提案,描繪出一條逐步實現量子安全的道路:像P2TRH這樣的快速、低影響修復,隨著風險的增長,像BIP-360或基於STARK的壓縮這樣的更重的升級。它們都需要廣泛的協調,許多後量子地址格式和簽名方案仍在早期討論中。
Thaler指出,比特幣的去中心化——其最大的優勢——也使得重大升級緩慢且困難,因為任何新的簽名方案都需要礦工、開發者和用戶之間的廣泛共識。
“比特幣有兩個主要問題。首先,升級需要很長時間,如果有的話。其次,還有被遺棄的貨幣。任何向後量子簽名的遷移必須是主動的,而那些舊錢包的擁有者已經不在了,”Thaler說。“社區必須決定它們的命運:要麼同意將它們從流通中移除,要麼什麼都不做,讓具備量子能力的攻擊者獲取它們。第二條路徑在法律上是灰色的,而那些奪取貨幣的人可能根本不在乎。”
大多數比特幣持有者不需要立即採取行動。一些習慣在減少長期風險方面大有裨益,包括避免重複使用地址,這樣你的公鑰在你花費之前保持隱藏,並堅持使用現代錢包格式。
今天的量子計算機還無法突破比特幣,對它們何時會突破的預測差異很大。一些研究人員認為在未來五年內會出現威脅,其他人則將其推到2030年代,但持續的投資可能加快這一時間表。
