9 分钟破解比特币私钥？量子威胁下的区块链生存指南

作者：Changan I Biteye内容团队

TLDR; 谷歌量子AI团队最新论文显示，具备 50 万量子比特的容错量子计算机理论上可在 9 分钟内破解比特币私钥，威胁约 690 万枚已暴露公钥的比特币。虽然现有技术距此目标还差 446 倍，且预计 2029 年前后才可能实现，但这不再是遥远科幻。比特币社区正推进 BIP-360、SPHINCS+ 等抗量子升级方案。普通用户目前无需恐慌，但应检查地址格式（避免长期使用 bc1p 开头的 Taproot 地址）、养成"一地址一交易"习惯，并关注钱包厂商的后续更新。

2026年3月31日，一个普通的周一，加密圈突然炸了。

谷歌量子AI团队发了一篇论文，说量子计算机破解比特币私钥只需要9分钟，而比特币一个区块的确认时间，平均是10分钟。

有人说这是危言耸听，有人说离现实还差十万八千里，但这次发出警告的是谷歌。

量子计算机到底能不能破解比特币？威胁是真实的还是夸大的？普通人需要做什么？这篇文章试着把这件事讲清楚。

一、谷歌那篇论文到底说了什么

之前行业里的普遍共识是，如果要破解比特币的加密算法，量子计算机需要数百万个量子比特。这个数字大得离谱，所以大家都觉得这件事至少还有几十年。但谷歌这篇论文把这个数字压到了不到 50 万。一下子缩水了 20 倍。

论文里有一个具体的攻击场景：当你发出一笔比特币交易，你的公钥会短暂暴露在网络里，等待被打包进区块。这个窗口平均10分钟。而根据谷歌的估算，一台足够强大的量子计算机可以在约 9 分钟内，从你的公钥反推出私钥，然后伪造一笔更高矿工费的交易，把钱在你的原始交易上链之前截走，成功率约 41%。

当然，论文描述的是一台具备完整纠错能力的容错量子计算机。谷歌自己的 Willow 处理器只有105个物理量子比特，而论文要求的是50万个。两者之间差了446倍，所以能破解 BTC 的量子计算机暂时还不存在。

谷歌自己定下的目标是 2029 年完成向后量子密码学的迁移，这个时间点某种程度上也说明了他们认为威胁会在什么时间窗口内变得现实。

但如果有一天这台机器造出来了，破解比特币的成本比你想的低得多。

二、量子计算机和普通计算机，到底哪里不一样

但在聊这件事意味着什么之前，得先搞清楚一个问题：量子计算机到底是什么？

普通计算机用比特处理信息，每个比特只有两种状态：0 或 1。

做任何计算，都是在对这些 0 和 1 进行操作。256 位的私钥意味着有2²⁵⁶种可能的组合：用经典计算机暴力破解，哪怕集合全球所有算力，也需要比宇宙年龄还长的时间，这就是为什么比特币在过去15年里一直很安全。

量子计算机用的是量子比特（qubit），量子比特的神奇之处在于叠加态：它可以同时是 0 也是 1。8 个量子比特不是只能表示 1 个状态，而是可以同时表示 256 个状态。量子比特越多，并行处理的能力就呈指数级增长。

但光有并行还不足以对 BTC 产生威胁，真正让量子计算机对密码学构成威胁的是1994 年麻省理工学院数学家 Peter Shor 发明的"Shor算法"。这个算法专门用来分解大整数和解椭圆曲线离散对数问题，而这两个难题，恰好是比特币和以太坊私钥安全性的根基。

举个例子：传统计算机就像你要在迷宫里找出口，只能一条路一条路地试；量子计算机配上Shor 算法，就像有人给了你迷宫的俯视图，看一眼就能知道出口在哪。

比特币用的签名算法叫 ECDSA（椭圆曲线数字签名算法），运行在 secp256k1 曲线上。这套系统对经典计算机是铜墙铁壁，但 Shor 算法可以专门攻破椭圆曲线的数学结构。

三、量子计算机究竟怎么偷走你的比特币

搞清楚量子计算机的原理之后，再来看它具体怎么威胁比特币。

创建钱包时，系统会生成一个私钥，一串随机的 256位数字。由私钥推导出公钥，再由公钥推导出钱包地址。这条链只能顺着走，知道私钥能算出公钥，反过来却不行。

当你发送比特币时，私钥只用来生成一个数字签名，随交易广播出去，告诉全网这笔钱是你发的。网络验证签名合法，交易确认，完成。

Shor 算法理论上可以破解椭圆曲线密码学，也就是比特币私钥安全性的根基。但没有人把这件事当回事，因为运行这个算法需要的计算能力，经典计算机根本达不到。

问题在于，量子计算机这些年真的在进步。一旦它足够强大，量子计算机只需要拿到你的公钥，就能反推出私钥，伪造你的签名，把钱转走。

这就引出了一个关键问题：你的公钥是否已经暴露了？

公钥的暴露分两种情况。

第一种是长期暴露，公钥已经永久写在链上，量子机器随时可以读取。有两类地址属于这种情况：

中本聪和早期矿工使用的原始地址格式，那个年代公钥直接明文存储；
bc1p 开头的地址，Taproot 本意是改善隐私和效率，但设计上把公钥嵌入了地址本身，结果在量子威胁面前适得其反。

第二种是短期暴露，在你发出交易的那一刻，传统地址格式在未花费状态下，公钥藏在哈希值后面，外人看不到。但每当你发送一笔交易，公钥就会随交易进入内存池，在被打包进区块之前对全网可见，这个窗口平均10分钟。

也就是说，不管你平时操作多谨慎，只要发出过交易，就有被攻击的可能性。

目前约有 690 万枚比特币的公钥已经永久暴露在链上。无论这些币在个人钱包里还是交易所的热钱包里，只要地址属于上述高风险类型，或者该地址曾经发出过交易，公钥就已经泄露了。

四、比特币社区在做什么

谷歌论文发布当天，CZ @cz_binance 在推特上回应：不需要恐慌，加密货币升级到抗量子算法就能解决问题，威胁是真实的，但行业有能力应对。

V神 @VitalikButerin 的态度则谨慎得多，他很早就开始警告这个问题，给出过一个估算：2030 年之前出现真正具备攻击能力的量子计算机，概率约20%。

两个人都认为威胁是真实的，只是对紧迫程度的判断不一样。比特币开发者社区早在这篇论文之前就没有忽视这个问题，目前有四个方向被认真讨论。

1️⃣BIP-360，也叫 Pay-to-Merkle-Root。现在的比特币地址会把公钥永久写在链上，BIP-360的思路是把公钥从交易结构里彻底移除，改用 Merkle 根来替代。量子机器没有公钥可以分析，攻击就无从下手。

这个方案已经在 BTQ Technologies 的测试网上跑起来了，目前有超过50个矿工参与，处理了超过 20 万个区块。但需要说清楚的是，BIP-360 只保护新产生的币，那 170 万枚已经暴露公钥的老地址仍然是个问题。

2️⃣SPHINCS+：正式名称是 SLH-DSA，是一种基于哈希函数的后量子签名方案。它的逻辑很直接：既然 Shor 算法专门针对椭圆曲线，那就换掉椭圆曲线，用哈希函数来做签名。

这个方案已经在 2024年8月通过 NIST 标准化。麻烦在于签名体积：现在比特币的 ECDSA 签名只有 64 字节，SPHINCS+ 的签名超过 8KB，体积膨胀了 100多倍，会大幅推高交易费用和区块空间需求。

为此开发者又提出了SHRIMPS 和 SHRINCS 等优化方案，目标是在不牺牲安全性的前提下压缩签名大小。

3️⃣Commit/reveal方案：由闪电网络联合创始人Tadge Dryja 提出，这个方案针对的是内存池里的短期暴露风险。它把一笔交易分成两个阶段：

第一阶段先提交一个哈希指纹，不包含任何交易信息，只是在链上留下一个时间戳
第二阶段再广播真实交易，公钥这时才暴露出来。即使量子攻击者在第二阶段截获了公钥并推算出私钥，它伪造的交易也会被网络拒绝，因为没有对应的第一阶段预提交记录。代价是每笔交易多一个步骤，成本略有上升。

这被社区视为一种过渡方案，在更完整的抗量子体系建立起来之前先用着。

4️⃣Hourglass V2：由开发者 Hunter Beast 提出，专门针对那 170 万枚已经永久暴露公钥的老地址。这个方案的逻辑很悲观但很现实：既然这些地址的公钥已经无法隐藏，一旦量子机器足够强大，这些币迟早会被盗。

Hourglass V2 不打算阻止老地址被盗的，而是把每个区块允许从这类地址转出的比特币限制在1枚，就像银行挤兑时限制每日取款额度。

这个提案争议极大，因为比特币社区有一条原则：任何人都无权干涉你的比特币，即使是这种有限度的限制，很多人也认为越界了。

这不是比特币第一次面对需要升级的压力。2017 年的扩容之争打了几年，最后分裂出了Bitcoin Cash。2021年的 Taproot 升级从提案到激活花了将近四年。每一次，社区都要经历漫长的争论、拉锯、妥协，才能推动任何一件事向前走一步。量子威胁的应对，大概率也会走同一条路。

五、普通用户现在需要做什么

说了这么多，普通用户能做什么？

答案没有你想象的那么复杂。量子计算机今天还破解不了你的比特币，但有几件事现在就可以开始注意。

1️⃣检查你的地址格式

打开你的钱包，看一下接收地址是什么开头。bc1p开头是Taproot地址，公钥默认嵌入地址本身，属于长期暴露的高风险格式。如果你的资产放在这类地址里且从未动过，现在的风险还是理论层面的，但值得关注后续BIP-360的进展。

bc1q开头的SegWit地址，以及1开头的传统地址，在从未花费的状态下公钥仍然受到哈希保护，相对安全。但只要你发出过一笔交易，公钥就已经永久暴露在链上了。

2️⃣养成地址卫生习惯

尽量不要在同一个地址反复收款和转账。每次发送交易都会暴露公钥，用过的地址就不再有哈希保护。大多数现代钱包默认会在每次收款后生成新地址，这个功能打开着就好。

3️⃣关注钱包软件的更新

Ledger、Trezor这类硬件钱包厂商将是抗量子升级的重要一环。一旦BIP-360或后量子签名方案在主网激活，钱包需要同步支持新的地址格式和签名算法。这个过程用户端要做的事情可能只是更新固件，但也可能需要把资产从旧地址迁移到新格式地址。现在能做的是确保你用的钱包来自有持续更新能力的厂商，并且保持关注。

4️⃣放在交易所的资产

交易所不需要用户操作，技术升级由他们的团队负责推送。Coinbase已经成立了量子顾问委员会，各大交易所在监管压力下也会跟进。放在有信誉的大交易所里的资产，量子升级对你来说是透明的。