作者:Luke,火星財經
夜幕低垂的拉斯維加斯,在比特幣2025 年會議的一場私人午餐會上,加密貨幣的資深專家們罕見地流露出凝重。空氣中瀰漫的並非紙醉金迷的喧囂,而是一種更為深沉的憂慮:量子計算,這項曾被視為遙遠未來的顛覆性技術,正以驚人的速度逼近,其寒光已然投射在比特幣看似堅不可摧的加密壁壘之上。警告聲稱,強大的量子電腦可能在數年內破解比特幣的私鑰,將價值約420 億美元的比特幣置於險境,甚至可能引發一場波及整個市場的「清算事件」。
這並非危言聳聽。谷歌量子人工智慧團隊的最新研究如同火上澆油,指出破解目前廣泛使用的RSA 加密演算法所需的量子資源,比先前估計的驟減了20 倍。雖然比特幣使用的是橢圓曲線數位簽章演算法(ECDSA),而非RSA,但兩者在數學基礎上都面臨量子演算法的潛在威脅。 Casa 聯合創始人Jameson Lopp 的疾呼言猶在耳:「比特幣社群需要在量子威脅真正演變成生存危機之前達成共識,找到緩解之道。」
我們距離那個可能被量子運算「摧毀」的未來,究竟還有多遠?這不僅是技術問題,更關乎信任、財富甚至新興產業的命運。
量子幽靈如何叩擊比特幣的加密之門?
要理解量子運算對比特幣的威脅,首先需要檢視比特幣安全的基石-ECDSA。簡單來說,當你創建一個比特幣錢包時,會產生一對金鑰:一個私鑰(你必須絕對保密)和一個公鑰(可以公開)。公鑰經過一系列哈希運算產生比特幣地址。交易時,你用私鑰對交易進行數位簽名,網路中的其他人可以用你的公鑰來驗證這個簽名的確出自你手,且交易資訊未被篡改。對於經典電腦而言,從公鑰反推出私鑰,在數學上被認為是不可行的,這正是比特幣安全的根基。
然而,量子電腦的出現,特別是1994 年彼得·肖爾(Peter Shor)提出的肖爾演算法,徹底改變了這個局面。肖爾演算法能夠有效率地解決大數質因數分解和離散對數問題,而這正是RSA 和ECDSA 等公鑰密碼系統安全性的數學基礎。一旦一台足夠強大的量子電腦得以建構並穩定運行,它理論上就能利用肖爾演算法,透過已知的公鑰迅速計算出對應的私鑰。
哪些比特幣先暴露在量子炮火之下?首當其衝的是那些直接暴露了公鑰的地址。最典型的便是比特幣早期使用的P2PK(Pay-to-Public-Key)地址,其地址本身或相關交易直接公開了公鑰。據估計,仍有數百萬比特幣(一種說法是約190 萬至200 萬枚)沉睡在這類地址中,其中不乏傳說中屬於中本聰的早期「創世」比特幣。此外,更常見的P2PKH(Pay-to-Public-Key-Hash)地址,雖然地址本身是公鑰的雜湊值,相對安全,但一旦該地址發生過支出交易,其公鑰就會在交易資料中被公開。如果這些地址被重複使用(即從同一地址多次發出交易),則其公鑰便持續暴露,同樣面臨風險。根據德勤等機構先前分析,因地址重用等原因導致公鑰暴露的比特幣可能也高達數百萬枚。包括較新的Taproot(P2TR)位址,儘管引入了Schnorr 簽章等技術最佳化,但在某些情況下,公鑰或其變體仍可能被推斷出來,使其無法完全豁免於量子威脅。
綜合來看,沉澱在各類易受攻擊地址中的比特幣總量,可能佔到比特幣總供應量的一定比例。早前(如2022 年)的估算認為,大約有400 萬到600 萬枚比特幣處於較高風險中。若以當前比特幣價格(例如,假設為7 萬美元一枚)粗略計算,這部分資金的價值可達2,800 億至4,200 億美元。這或許是「420 億美元」風險警告的一個更合理的解釋來源——它指的不是一個精確的數字,而是對巨額財富暴露於潛在風險的一種警示。
更令人不安的是所謂的「短程攻擊」(Short-Range Attack)。當你發起一筆比特幣交易時,你的公鑰會隨著交易資訊一同廣播到網路中,等待礦工打包確認。這個過程通常需要10 到60 分鐘。如果一台量子電腦能在這短暫的時間窗口內從廣播的公鑰中破解出私鑰,它就能建構一筆新的交易,以更高的手續費搶先將你的比特幣轉走。一旦這種攻擊成為現實,幾乎所有類型的比特幣交易都將面臨即時威脅。
量子硬體的競賽:從理論到現實的疾行
長期以來,建造一台能夠運行肖爾演算法破解實際密碼系統的量子計算機,被認為是遙不可及的。然而,近年來的進展卻令人矚目,尤其是在提升量子位元(qubit)的品質、數量以及糾錯能力方面。真正衡量量子電腦破解密碼能力的關鍵,並非僅僅是實體量子位元的數量,而是能夠可靠執行複雜演算法的「邏輯量子位元」的數量和品質。
谷歌量子人工智慧團隊的研究員Craig Gidney 在2025 年初的更新研究中指出,破解2048 位RSA 加密(常用於傳統網路安全)可能不再需要先前估計的數千萬物理量子比特,而是「少於一百萬個帶有噪音的量子比特」,並且可能在「不到一周」的時間內完成。這項估計的顯著降低,得益於演算法優化和錯誤校正技術的進步,例如近似剩餘數運算、更有效率的邏輯量子位元儲存以及「魔術態」提純等技術的應用。儘管Gidney 強調,這樣的量子電腦仍需滿足苛刻的條件(如連續五天穩定運行,極低的門錯誤率),遠超當前技術水平,但它無疑縮短了我們感知中的“量子安全距離”。而對於比特幣所使用的ECDSA (secp256k1 曲線),雖然具體破解所需的量子資源相較於RSA-2048 的最新估算尚無同樣精確且廣為接受的公開數據,但密碼學界的普遍觀點是,由於其數學結構,量子計算機攻破ECDSA 可能比攻破RSA 更為容易攻破RSA 更為容易攻破RSA 更為容易攻破RSA 。
在硬體層面,幾大巨頭正在奮力追趕。 IBM 的量子路線圖雄心勃勃,其「Osprey」處理器已達433 實體量子位元,「Condor」更是達到實驗性的1121 實體量子位元。更重要的是,IBM 專注於提升量子位元品質和糾錯能力,其「Heron」處理器(133 量子位元)憑藉更低的錯誤率成為當前發展重點,並計劃在2025 年推出擁有1386 物理量子位元的「Kookaburra」系統,透過多晶片連接實現更大規模。其更長遠的目標是在2029 年實現擁有200 個高品質邏輯量子位元的「Starling」系統,屆時預計可執行高達1 億次的量子閘門操作。
谷歌也在持續發力,其“Willow”晶片(據稱擁有105 物理量子比特)在2025 年初亮相,被其團隊描述為“可擴展邏輯量子比特的有說服力的原型”,並在量子糾錯方面取得了“低於閾值”的進展,這是實現容錯量子計算的關鍵一步。
而Quantinuum 公司則在2025 年投下了一顆「重磅炸彈」,宣布其「Helios」量子運算系統將在當年晚些時候商業化可用,並且能夠支援「至少50 個高保真邏輯量子位元」。這項聲明,如果完全實現,將是量子運算從實驗研究邁向具有實際運算能力(尤其是在特定應用領域)的重要里程碑。該公司還在2025 年5 月展示了創紀錄的邏輯量子位元隱形傳態保真度,進一步證明了其在建立高品質邏輯量子位元方面的領先地位。
儘管如此,距離能夠威脅比特幣的容錯量子電腦的出現,專家的預測仍有分歧。一些樂觀(或悲觀,取決於立場)的估計認為可能在未來3 到5 年內出現,而另一些則認為至少還需要十年或更長時間。重要的是,量子威脅並非一個「開/ 關」式的突變,而是機率逐漸增加的過程。硬體的每一次進步,演算法的每一次優化,都在悄悄縮短著倒數計時。
比特幣的「量子反擊戰」:未雨綢繆還是亡羊補牢?
面對日益清晰的量子威脅,比特幣社群並非束手無策。密碼學界早已開始研究「後量子密碼」(Post-Quantum Cryptography, PQC),也就是那些被認為能夠抵抗已知量子演算法攻擊的新型密碼演算法。美國國家標準與技術研究院(NIST)經過多年篩選,已經公佈了首批標準化的PQC 演算法,主要包括用於金鑰封裝的CRYSTALS-Kyber,以及用於數位簽章的CRYSTALS-Dilithium、FALCON 和SPHINCS+。
對於比特幣而言,基於哈希的簽章方案(Hash-Based Signatures, HBS),如SPHINCS+,因其安全性不依賴尚待大規模檢驗的數學難題(如格密碼),而是基於已充分研究的哈希函數的抗碰撞性,被認為是一個有力的競爭者。 SPHINCS+ 是無狀態的(相較於其前輩XMSS 等),這點對於區塊鏈的分散特性尤其重要。然而,基於哈希的簽名通常面臨簽名體積較大、金鑰生成和驗證時間較長等挑戰,這些都可能對比特幣的交易效率和區塊鏈的儲存造成壓力。如何在不犧牲比特幣核心特性的前提下整合這些PQC 演算法,是一個巨大的技術難題。
更大的挑戰在於如何將比特幣從現有的ECDSA 遷移到新的PQC 標準。這不僅是程式碼層面的修改,更涉及對比特幣協議進行根本性的升級,以及全球數百萬用戶、數千億美元資產的平穩過渡。
首先是升級方式的選擇:軟分叉還是硬分叉?軟分叉對舊節點相容,通常被認為風險較低,但實現複雜PQC 功能的自由度可能受限。硬分叉則不相容舊規則,所有參與者必須升級,否則將導致區塊鏈分裂,這在比特幣歷史上往往伴隨著巨大的爭議和社區分裂風險。
其次是遷移機制。如何讓用戶將他們儲存在舊地址(ECDSA)中的比特幣安全地轉移到新的量子抵抗(QR)地址?這個過程需要設計得既安全便捷,又要防止在遷移視窗期出現新的攻擊向量。
比特幣思想領袖Jameson Lopp 在其廣為討論的文章《反對允許量子電腦恢復比特幣》中,對這個問題提出了深刻的見解。他認為,如果任由擁有量子算力者「恢復」(實為竊取)那些未使用PQC 保護的比特幣,無異於一場面向少數技術寡頭的財富再分配,這將嚴重損害比特幣的公平性和可信度。他甚至提出了一個頗具爭議的設想:設定一個「最終遷移期限」(drop-dead date),在此之後,未遷移到QR 地址的比特幣可能會被協議視為「已銷毀」或永久無法花費。 Lopp 承認,這是一種艱難的權衡,可能導致部分用戶資產損失(尤其是那些長期休眠或丟失私鑰的地址),甚至引發硬分叉,但他認為這是為了保護比特幣網路長期完整性和核心價值主張所必須考慮的「苦藥」。
另一位開發者Agustin Cruz 則提出了一個名為QRAMP(量子抵抗位址遷移協議)的具體硬分叉提案。該提案主張設定一個強制遷移期,逾期未遷移的比特幣也將被視為「燃燒」,以此來「逼迫」整個生態系統迅速過渡到量子安全狀態。這類激進的提案凸顯了社群在應對量子威脅路徑上的潛在分歧,以及在去中心化治理模式下達成共識的艱鉅性。
除了升級到PQC 地址,持續倡導並強化「不重用地址」的最佳實踐,也能在一定程度上降低風險,但這終究只是權宜之計,無法根除量子演算法對ECDSA 本身的威脅。
生態彷:在慣性與求變之間
面對如此重大的系統性風險,比特幣生態系統的準備如何?一些新興的公鏈項目,如Quantum Resistant Ledger (QRL),從設計之初就內建了PQC 特性,或者如Algorand 等項目也在積極探索PQC 整合方案。它們如同輕舟,在後量子密碼的浪潮中嘗試先行。
然而,比特幣這艘「萬噸巨輪」,因其巨大的市值、廣泛的用戶基礎以及根深蒂固的去中心化和抗審查理念,使其任何核心協議的改動都異常困難和緩慢。開發者社群對量子威脅的認知正在深化,相關的討論(例如Lopp 的文章、QRAMP 提案以及在bitcoin-dev 郵件列表中的零星探討)也在進行,但距離形成一個清晰、得到廣泛共識的升級路線圖,似乎還有很長的路要走。目前,尚缺乏來自主流比特幣交易所、錢包服務商或大型礦池關於其PQC 過渡計劃的明確公開信息,這從一個側面反映出,比特幣的PQC 轉型更多還處於理論研究和早期探討階段,而非迫在眉睫的工程實施。
這種狀態,讓比特幣陷入一種「太大而不能倒,卻又太慢而難以進化」的困境。其強大的網路效應和品牌認知是其護城河,但在快速迭代的技術革新面前,這種穩定性有時也可能轉化為一種惰性。
「量子清算」:遠不止失去密鑰那麼簡單
倘若比特幣未能在量子電腦具備實際攻擊能力之前完成PQC 過渡,會發生什麼事?這絕對不只是部分用戶遺失比特幣那麼簡單。
一場大規模的量子攻擊,首先可能觸發市場的「清算事件」。一旦信心動搖,恐慌性拋售可能導致比特幣價格災難性雪崩。這種衝擊波不會侷限於比特幣本身,很可能會蔓延至整個加密貨幣市場,甚至對那些在加密領域有大量風險敞口的傳統金融機構產生漣漪效應。
更深遠的影響在於信任的崩塌。比特幣之所以被賦予「數位黃金」的稱號,很大程度源自於其號稱「堅不可摧」的加密安全性。如果這基石被量子計算輕易攻破,那麼建立在其上的所有價值敘事、應用場景都將面臨嚴峻考驗。公眾對數位資產的整體信任度可能會降至冰點。
與其他已知的比特幣安全風險(如51% 攻擊、重大軟體漏洞、日益收緊的全球監管)相比,量子威脅的獨特性在於其顛覆性。 51% 攻擊雖然能造成雙花或交易審查,但難以直接竊取私鑰;軟體漏洞可以修復;監管壓力則更多影響合規和應用邊界。而量子攻擊一旦實現,則是對現有加密體系的「降維打擊」,直接威脅到資產的最終所有權。
回顧密碼學的歷史,從DES 到AES 的升級,再到SHA-1 雜湊演算法的逐步棄用,每一次重大的密碼體系遷移,都是在中心化機構(如政府、標準組織)主導下,歷經數年甚至數十年的漫長過程。比特幣的去中心化治理模式,雖然賦予了其強大的韌性和抗審查能力,但在需要快速、統一行動以應對全局性技術變革時,卻可能顯得步履蹣跚。
結論:在量子迷霧中探索前進之路
量子計算,這把懸在比特幣頭上的達摩克利斯之劍,其墜落的時間點尚不明朗,但劍身的寒氣已然可感。它對整個密碼學世界,尤其是以比特幣代表的加密貨幣領域,構成了迄今為止最深刻的長期挑戰。
比特幣社群正面臨一場前所未有的考驗:如何在堅守其去中心化、抗審查、代碼即法律等核心信條的同時,完成一次關乎生死存亡的底層密碼體系升級。這不僅是一場與量子電腦發展的賽跑,更是PQC 演算法研究、標準化、比特幣協議創新、社群共識凝聚以及全球生態系統協同遷移的複雜系統工程。
未來之路充滿不確定性。是成功進化,化量子威脅為技術革新的催化劑,邁入一個更安全的後量子時代?還是因共識之難、遷移之艱,最終在量子計算的黎明中黯然失色?歷史的車輪滾滾向前,答案,或許就隱藏在未來幾年比特幣社群的每個決策、每一次程式碼提交、以及每一場激烈的辯論之中。這注定是一個關於創新、風險與堅韌的未完待續的故事,而我們每個人,無論是參與者還是觀察者,都身處這波瀾壯闊的變革前夜。
