对比特币真正的量子威胁与“破解加密”毫无关系

围绕量子计算机和比特币安全的叙述一直被一个根本的术语错误所混淆。媒体报道常声称量子计算机将“破解比特币加密”，但这种表述完全忽略了实际的漏洞所在。比特币并不在区块链上存储加密的秘密。真正的风险在于数字签名和公钥的泄露——这是一个截然不同的威胁向量。

理解真正重要的内容：签名而非秘密

比特币的安全模型依赖于ECDSA和Schnorr签名来证明所有权。区块链是一个透明的账本；每一笔交易和地址都是公开可见的。这意味着没有传统意义上的加密。安全性的问题不在于量子计算机是否能解密隐藏的内容，而在于它是否能从暴露的公钥中推导出私钥并伪造有效签名。

长期比特币核心开发者Adam Back明确指出：“比特币不使用加密。搞清楚基础知识。”这个术语错误多年来助长了对量子威胁的恐慌。实际上，量子风险涉及Shor算法，该算法理论上可以计算椭圆曲线上的离散对数。如果一个足够强大的量子计算机用此算法对链上公开的公钥进行计算，就可能推导出对应的私钥，从而授权未授权的交易。

瓶颈：当公钥暴露时

地址格式对量子风险具有重要影响。许多比特币地址类型只存储公钥的哈希值，这意味着原始公钥在未被花费之前保持隐藏。这种设计缩小了攻击者通过Shor算法计算私钥的窗口。

然而，其他脚本类型会更早暴露公钥。地址重复使用会将一次泄露变成持续的漏洞。由BIP 341引入的Taproot (P2TR)输出，将公钥直接嵌入输出脚本中，而不是哈希——这极大地改变了暴露的风险特征。

Project Eleven的“比特币风险清单”系统性追踪了这种暴露方式。他们的分析显示，链上已暴露公钥的比特币大约有670万枚，形成了研究人员定义的量子脆弱地址池。

计算障碍的量化

判断量子风险是否迫在眉睫，需要区分逻辑比特和物理比特。Roetteler等人的研究表明，计算256位椭圆曲线离散对数大约需要2330个逻辑比特。256的平方根关系——以及更广泛的算法复杂性——为这些估算提供了基础。

将逻辑比特转换为纠错后的物理比特，带来了巨大的开销。最新估算显示，约690万物理比特的量子比特在大约10分钟内可以破解一个256位椭圆曲线密钥（根据Litinski 2023年的模型）。其他分析则认为，破解一个密钥在一天内大约需要1300万物理比特。这些数字假设了特定的错误率和时间假设，实际中尚未得到验证。

IBM最近的路线图显示，容错量子计算机预计在2029年前后实现，尽管纠错组件的进展不断推动时间表向前。理论可行性到实际攻击的路径仍然异常陡峭。

Grover算法：哈希函数为何仍具韧性

量子算法对不同密码层的威胁不同。Shor算法直接针对离散对数问题，而Grover算法只提供平方根级别的加速，用于穷举搜索。对于比特币的SHA-256哈希，Grover加速的攻击大约需要2^128次操作——仍然是难以实现的，与椭圆曲线的破解不可同日而语。

因此，哈希函数在量子风险评估中仍是次要关注点。

迁移才是真正的挑战

如果出现具备量子能力的机器，威胁不会涉及重写比特币的共识历史。相反，攻击者会争分夺秒，试图在合法交易确认之前花掉暴露了私钥的输出。这将比特币的脆弱窗口从历史重建转向实时交易竞争。

协议升级提供了前进的路径。BIP 360提出了“支付到量子抗性哈希”输出类型，而像qbip.org这样的提案则倡导废弃传统签名，推动迁移，减少暴露的地址长尾。后量子签名方案如ML-KEM（NIST的FIPS 203标准）比传统签名大得多（几千字节而非几十字节），从根本上重塑交易经济和钱包设计。

钱包行为和地址重复使用模式在短期内也具有杠杆作用。一旦公钥在链上广播，未来任何向该地址的接收都将暴露。用户和开发者可以通过操作纪律和更好的钱包默认设置，降低暴露风险。

底线：没有时间线确定的风险衡量

比特币的量子脆弱性是真实存在的，但可以衡量——其紧迫性取决于容错量子计算机的开发，而非算法的突破。基础设施方面的挑战是可控的：追踪暴露情况、设计迁移路径、更新验证规则。叙事上的挑战在于纠正术语：比特币不存在破解加密的风险，因为它根本没有使用加密。它面临的是由暴露的公钥引发的签名伪造风险——而这个时间线取决于硬件，而非理论。