量子威胁对比特币的真正威胁在于签名的瓶颈，而不是不存在的加密。

多年来，整个行业一直在重复一句听起来令人恐惧的话：“量子计算机将破解比特币”。但这一叙述存在一个根本性的术语错误。事实更为复杂，但也更易于应对。

误解的核心：比特币不使用加密，而是使用数字签名

这里是大多数人忽略的关键点：比特币并不通过加密隐藏信息。区块链是一本完全公开的账本。任何人都可以查看每一笔交易、每一笔金额和每一个地址。没有任何内容被加密。

比特币保护的是花费你的币的能力，这主要通过数字签名(ECDSA 和 Schnorr) 以及基于哈希的承诺实现。当一个公钥在链上暴露时，一个足够强大的量子计算机可能会利用 Shor 算法推导出对应的私钥。

真正的安全瓶颈不在于加密，而在于公钥的暴露。

真正的风险所在：可见的公钥

根据你使用的地址格式，公钥可能在不同的时刻暴露：

• 带哈希的地址 (P2PKH、P2WPKH)：公钥在花费前被哈希隐藏。暴露窗口较小。
• Pay-to-pubkey 和 Taproot (P2TR)：直接在脚本中包含公钥。暴露窗口更大，尤其是在地址重复使用时。
• 地址重复使用：将临时暴露变成潜在的持续目标，可能被假设的量子攻击者利用。

Project Eleven 是一个专注于映射这一漏洞的开源项目，估算大约有6.7百万比特币符合量子暴露的标准。这些是区块链上公钥已可见的UTXO。

计算量子成本：从逻辑量子比特到物理量子比特

要真正破解系统，量子计算机需要：

2,330 个逻辑量子比特，作为用以计算256位椭圆曲线离散对数的上限(根据 Roetteler 等)。

但将其转化为一台容错的实际机器，则需要大量的纠错：

• 10分钟场景：约690万物理量子比特(Litinski, 2023)
• 1天场景：约1300万物理量子比特
• 1小时场景：约3.17亿物理量子比特

这些数字不是理论值，而是基于现实量子架构的估算。IBM 在其最新的企业路线图中提到，预计到2029年左右可以实现容错系统。路透社也报道了量子纠错方面的进展。

风险是可以衡量的，虽然尚未迫在眉睫

关键在于：虽然目前还没有能够运行 Shor 算法的量子计算机，但 Project Eleven每周进行自动扫描，追踪哪些UTXO存在漏洞。相关数据是公开且可获取的。

这意味着风险并非空穴来风。你可以现在就量化：

• 有多少比例的供应存在公钥暴露
• 这些具体地址有哪些
• 这些资金上次移动是在何时

Taproot (BIP 341) 改变了暴露模式，将一段经过调整的32字节公钥直接包含在输出中。虽然目前没有新漏洞，但如果密钥恢复变得可行，这将成为潜在的暴露点。

从理论暴露到实际迁移

未来的路径不是一场突如其来的技术战，而是签名迁移和用户行为的变化。

NIST 已经标准化了后量子密码原语(ML-KEM、FIPS 203)，用于更广泛的基础设施。在比特币中，BIP 360 提出了一种“Pay to Quantum Resistant Hash”类型的输出。同时，也存在推动废弃旧签名、促使迁移到抗量子格式的压力。

实际的推动因素包括：

• 钱包设计(避免地址重复)
• 带宽和手续费(后量子签名体积较大（几KB）)
• 社区协调采用新型花费路径

关键结论

“量子计算机会破解比特币的加密”这一说法在术语和机制上都存在错误。开发者需要关注的是：有多少UTXO的公钥已暴露、钱包如何应对这种暴露，以及网络能多快采用抗量子花费路径，同时保持验证限制和手续费市场。

这不是一个立即的威胁，而是一个基础设施的挑战，有明确的时间线和我们今天可以计算的应对策略。