9 分鐘破解比特幣私鑰？量子威脅下的區塊鏈生存指南

作者：Changan I Biteye內容團隊

TLDR; Google量子AI團隊最新論文顯示，具備50 萬量子比特的容錯量子電腦理論上可在9 分鐘內破解比特幣私鑰，威脅約690 萬枚已揭露公鑰的比特幣。雖然現有技術距此目標還差446 倍，且預計2029 年前後才可能實現，但這不再是遙遠科幻。比特幣社群正推進BIP-360、SPHINCS+ 等抗量子升級方案。一般使用者目前無需恐慌，但應檢查地址格式（避免長期使用bc1p 開頭的Taproot 地址）、養成"一地址一交易"習慣，並關注錢包廠商的後續更新。

2026年3月31日，一個普通的星期一，加密圈突然炸了。

Google量子AI團隊發了一篇論文，說量子電腦破解比特幣私鑰只需要9分鐘，比特幣一個區塊的確認時間，平均是10分鐘。

有人說這是危言聳聽，有人說離現實差十萬八千里，但這次發出警告的是Google。

量子計算機到底能不能破解比特幣？威脅是真實的還是誇大的？普通人需要做什麼？這篇文章試著把這件事講清楚。

一、谷歌那篇論文到底說了什麼

之前產業裡的普遍共識是，如果要破解比特幣的加密演算法，量子電腦需要數百萬個量子位元。這個數字大得離譜，所以大家都覺得這件事至少還有幾十年。但谷歌這篇論文把這個數字壓到了不到50 萬。一下子縮水了20 倍。

論文裡有一個具體的攻擊場景：當你發出一筆比特幣交易，你的公鑰會短暫暴露在網路裡，等待被打包進區塊。這個視窗平均10分鐘。而根據Google的估算，一台足夠強大的量子電腦可以在約9 分鐘內，從你的公鑰反推出私鑰，然後偽造一筆更高礦工費的交易，把錢在你的原始交易上鍊之前截走，成功率約41%。

當然，論文描述的是一台具備完整糾錯能力的容錯量子電腦。 Google自己的Willow 處理器只有105個實體量子位元，而論文要求的是50萬個。兩者之間差了446倍，所以能破解BTC 的量子電腦暫時還不存在。

谷歌自己設定的目標是2029 年完成向後量子密碼學的遷移，這個時間點某種程度上也說明了他們認為威脅會在什麼時間窗口內變得現實。

但如果有一天這台機器造出來了，破解比特幣的成本比你想的低很多。

二、量子計算機和普通計算機，到底哪裡不一樣

但在聊這件事意味著什麼之前，要先搞清楚一個問題：量子電腦到底是什麼？

普通計算機用比特處理訊息，每個比特只有兩種狀態：0 或1。

做任何計算，都是在對這些0 和1 進行操作。 256 位元的私鑰意味著有2²⁵⁶種可能的組合：用經典電腦暴力破解，即使集合全球所有算力，也需要比宇宙年齡還長的時間，這就是為什麼比特幣在過去15年裡一直很安全。

量子電腦用的是量子位元（qubit），量子位元的神奇之處在於疊加態：它可以同時是0 也是1。8 個量子位元不是只能表示1 個狀態，而是可以同時表示256 個狀態。量子位元越多，並行處理的能力就呈指數級增長。

但光有並行還不足以對BTC 產生威脅，真正讓量子電腦對密碼學構成威脅的是1994 年麻省理工學院數學家Peter Shor 發明的"Shor演算法"。這個演算法專門用來分解大整數和解橢圓曲線離散對數問題，而這兩個難題，恰好就是比特幣和以太坊私鑰安全性的根基。

舉個例子：傳統計算機就像你要在迷宮裡找出口，只能一條路一條路地試；量子計算機配上Shor 演算法，就像有人給了你迷宮的俯視圖，看一眼就能知道出口在哪裡。

比特幣用的簽章演算法叫ECDSA（橢圓曲線數位簽章演算法），運行在secp256k1 曲線上。這套系統對經典計算機是銅牆鐵壁，但Shor 演算法可以專門攻破橢圓曲線的數學結構。

三、量子電腦究竟怎麼偷走你的比特幣

搞清楚量子電腦的原理之後，再來看它具體怎麼威脅比特幣。

建立錢包時，系統會產生一個私鑰，一串隨機的256位數。由私鑰推導出公鑰，再由公鑰推導出錢包位址。這條鏈只能順著走，知道私鑰能算出公鑰，反過來卻不行。

當你發送比特幣時，私鑰只用來產生一個數位簽名，隨交易廣播出去，告訴全網這筆錢是你發的。網路驗證簽名合法，交易確認，完成。

Shor 演算法理論上可以破解橢圓曲線密碼學，也就是比特幣私鑰安全性的根基。但沒有人把這件事當一回事，因為運行這個演算法所需的運算能力，經典計算機根本達不到。

問題在於，量子電腦這些年真的在進步。一旦它夠強大，量子電腦只需要拿到你的公鑰，就能反推出私鑰，偽造你的簽名，把錢轉走。

這就引出了一個關鍵問題：你的公鑰是否已經被揭露了？

公鑰的暴露分為兩種情況。

第一種是長期暴露，公鑰已經永久寫在鏈上，量子機器隨時可以讀取。有兩類地址屬於這種情況：

中本聰和早期礦工使用的原始地址格式，那個年代公鑰直接明文儲存；
bc1p 開頭的位址，Taproot 本意是改善隱私和效率，但設計上把公鑰嵌入了地址本身，結果在量子威脅面前適得其反。

第二種是短期暴露，在你發出交易的那一刻，傳統地址格式在未花費狀態下，公鑰藏在哈希值後面，外人看不到。但每當你發送一筆交易，公鑰就會隨交易進入記憶體池，在被打包進區塊之前對全網可見，這個視窗平均10分鐘。

也就是說，不管你平常操作多謹慎，只要發出交易，就有被攻擊的可能性。

目前約有690 萬枚比特幣的公鑰已經永久暴露在鏈上。無論這些幣在個人錢包裡還是交易所的熱錢包裡，只要地址屬於上述高風險類型，或該地址曾經發出過交易，公鑰就已經洩漏了。

四、比特幣社群在做什麼

谷歌論文發布當天，CZ @cz_binance 在推特上回應：不需要恐慌，加密貨幣升級到抗量子演算法就能解決問題，威脅是真實的，但產業有能力應對。

V神@VitalikButerin 的態度則謹慎得多，他很早就開始警告這個問題，給出過一個估算：2030 年之前出現真正具備攻擊能力的量子計算機，概率約20%。

兩個人都認為威脅是真實的，只是對緊迫程度的判斷不一樣。比特幣開發者社群早在這篇論文之前就沒有忽視這個問題，目前有四個方向被認真討論。

1️⃣BIP-360，也叫Pay-to-Merkle-Root。現在的比特幣位址會把公鑰永久寫在鏈上，BIP-360的想法是把公鑰從交易結構裡徹底移除，改用Merkle 根來取代。量子機器沒有公鑰可以分析，攻擊就無從下手。

這個方案已經在BTQ Technologies 的測試網上跑起來了，目前有超過50個礦工參與，處理了超過20 萬個區塊。但需要說清楚的是，BIP-360 只保護新產生的幣，那170 萬枚已經暴露公鑰的舊地址仍然是個問題。

2️⃣SPHINCS+：正式名稱是SLH-DSA，是基於雜湊函數的後量子簽章方案。它的邏輯很直接：既然Shor 演算法專門針對橢圓曲線，那就換掉橢圓曲線，用雜湊函數來做簽章。

這個方案已經在2024年8月透過NIST 標準化。麻煩在於簽章體積：現在比特幣的ECDSA 簽章只有64 字節，SPHINCS+ 的簽章超過8KB，體積膨脹了100多倍，會大幅推高交易費用和區塊空間需求。

為此開發者又提出了SHRIMPS 和SHRINCS 等最佳化方案，目標是在不犧牲安全性的前提下壓縮簽章大小。

3️⃣Commit/reveal方案：由閃電網路共同創辦人Tadge Dryja 提出，這個方案針對的是記憶體池裡的短期暴露風險。它把一筆交易分成兩個階段：

第一階段先提交一個哈希指紋，不包含任何交易信息，只是在鏈上留下一個時間戳
第二階段再廣播真實交易，公鑰這時才曝光。即使量子攻擊者在第二階段截獲了公鑰並推算出私鑰，它偽造的交易也會被網路拒絕，因為沒有對應的第一階段預先提交記錄。代價是每筆交易多一個步驟，成本略為上升。

這被社群視為一種過渡方案，在更完整的抗量子系統建立起來之前先用。

4️⃣Hourglass V2：由開發者Hunter Beast 提出，專門針對那170 萬枚已經永久揭露公鑰的舊地址。這個方案的邏輯很悲觀但很現實：既然這些地址的公鑰已經無法隱藏，一旦量子機器夠強大，這些幣遲早會被偷。

Hourglass V2 不打算阻止老地址被盜的，而是把每個區塊允許從這類地址轉出的比特幣限制在1枚，就像銀行擠兌時限制每日取款額度。

這個提案爭議極大，因為比特幣社群有一條原則：任何人都無權干涉你的比特幣，即使是這種有限的限制，很多人也認為越界了。

這不是比特幣第一次面對需要升級的壓力。 2017 年的擴容之爭打了幾年，最後分裂出了Bitcoin Cash。 2021年的Taproot 升級從提案到啟動花了將近四年。每次，社區都要經歷漫長的爭論、拉鋸、妥協，才能推動任何一件事向前走一步。量子威脅的應對，大機率也會走同一條路。

五、一般用戶現在需要做什麼

說了這麼多，一般用戶能做什麼？

答案沒有你想像的那麼複雜。量子電腦今天還破解不了你的比特幣，但有幾件事現在就可以開始注意。

1️⃣檢查你的地址格式

打開你的錢包，看看接收地址是什麼開頭。 bc1p開頭是Taproot位址，公鑰預設嵌入位址本身，屬於長期暴露的高風險格式。如果你的資產放在這類位址裡且從未動過，現在的風險還是理論層面的，但值得關注後續BIP-360的進展。

bc1q開頭的SegWit位址，以及1開頭的傳統位址，在從未花費的狀態下公鑰仍然受到雜湊保護，相對安全。但只要你發出過一筆交易，公鑰就已經永久暴露在鏈上了。

2️⃣養成地址衛生習慣

盡量不要在同一個地址重複收款和轉帳。每次發送交易都會暴露公鑰，用過的地址就不再有哈希保護。大多數現代錢包預設會在每次收款後產生新地址，這個功能打開著就好。

3️⃣關注錢包軟體的更新

Ledger、Trezor這類硬體錢包廠商將是抗量子升級的重要一環。一旦BIP-360或後量子簽章方案在主網激活，錢包需要同步支援新的位址格式和簽章演算法。這個過程用戶端要做的事情可能只是更新固件，但也可能需要把資產從舊地址遷移到新格式地址。現在能做的是確保你使用的錢包來自有持續更新能力的廠商，並且保持專注。

4️⃣放在交易所的資產

交易所不需要用戶操作，技術升級由他們的團隊負責推送。 Coinbase已經成立了量子顧問委員會，各大交易所在監管壓力下也會跟進。放在有信譽的大交易所裡的資產，量子升級對你來說是透明的。