量子運算的每一次技術突破,都在重新評估比特幣長期安全性的時間表。當 Google 將後量子密碼學的遷移截止時間提前至 2029 年,當學術界展示只需 9 分鐘即可從公鑰推導出私鑰的量子電路時,比特幣開發者社群也交出了自己的答卷。2026 年 2 月,BIP-360「Pay-to-Merkle-Root(P2MR)」正式納入 bitcoin/bips 儲存庫,象徵比特幣首次將抗量子能力納入正式的升級路線。這不是一場激進的密碼學革命,而是一次謹慎且漸進式的結構性防禦。
為何量子威脅此刻成為結構性變數?
過去一週,量子運算領域發生了根本性的典範轉移。Google 量子團隊與史丹佛教授 Dan Boneh 聯合發表的論文證實,只需 1,200 至 1,400 個邏輯量子位元,即可在約 9 分鐘內破解保護比特幣的橢圓曲線數位簽章演算法(ECDSA)。這一數字較先前業界預估的 1 萬個邏輯量子位元降低近一個數量級。更關鍵的是,Oratomic 公司提出的中性原子架構顯示,只需 1 萬個物理量子位元就能達成這一目標,而加州理工學院已建成包含 6,100 個量子位元的中性原子陣列。這意味著,實驗室中的量子威脅正從理論走向工程可驗證。對比特幣而言,風險並非針對 SHA-256 雜湊演算法,而是集中於交易發生時暴露在鏈上的公鑰。一旦量子運算機能夠從公鑰逆向推導私鑰,所有重複使用的地址、遺留的 P2PK 輸出以及 Taproot 密鑰路徑花費都將面臨風險。根據 ARK Invest 估算,約 34.6% 的比特幣供應量(約 690 萬枚 BTC)可能暴露在這一風險之下。
BIP-360 如何從機制上降低公鑰暴露?
BIP-360 的核心在於引入一種名為支付到默克爾根(P2MR)的新型輸出類型。這一方案在結構上借鑑了 2021 年的 Taproot 升級,但做出了一項關鍵改動:徹底移除密鑰路徑花費選項。在傳統的 Taproot 交易中,花費者可以選擇透過密鑰路徑(暴露調整後的公鑰)或腳本路徑(提供默克爾證明)來花費 UTXO。密鑰路徑雖然高效,但代價是將公鑰寫入鏈上。P2MR 則強制所有 UTXO 的花費都必須透過腳本路徑完成。具體而言,P2MR 輸出僅承諾腳本樹的默克爾根,而不承諾任何內部公鑰。當用戶需要花費時,只需揭露具體的腳本葉子節點並提供默克爾證明,整個過程不涉及橢圓曲線公鑰的鏈上暴露。這一機制直接切斷了量子攻擊最核心的入口——已暴露的公鑰。
安全性提升需要付出哪些結構性代價?
任何安全升級都伴隨權衡,P2MR 也不例外。最直接的代價體現在交易費用上。由於採用腳本路徑而非簡潔的密鑰路徑,P2MR 交易需要攜帶更多見證資料(包括默克爾證明與腳本內容),導致交易體積增加,進而推高手續費。對一般用戶而言,這是一種顯性的成本增加。更深層的權衡在於用戶體驗與安全性的取捨。密鑰路徑之所以被設計出來,本就是為了提供一種更經濟、更快捷的花費方式。移除這一路徑後,所有交易都回歸腳本路徑,這雖然強化了抗量子能力,但也在一定程度上犧牲了部分效率。此外,P2MR 並非一種完整的後量子簽章方案。它沒有引入基於格的 Dilithium 簽章或基於雜湊的 SPHINCS+ 簽章來取代現有的 ECDSA 和 Schnorr 簽章。它只是堵住了目前公鑰暴露的漏洞,而非重塑比特幣的密碼學底層。
對加密產業格局意味著什麼?
BIP-360 的推進正在悄然重塑產業基礎設施的演進方向。對錢包服務商而言,支援 P2MR 地址(預計將以 bc1z 開頭)將成為區分產品安全等級的新指標。長期持有者可以選擇將資產移轉至這類抗量子地址,主動降低未來風險。對交易平台與託管機構而言,這意味著需要評估現有用戶資產的公鑰暴露情況,並準備相應的遷移引導機制。更深遠的影響在於資產分類。未來市場可能會自然分化出兩類比特幣:一類是長期存放在抗量子地址中的「安全儲備」,另一類是仍留在傳統地址中、頻繁交易且暴露公鑰的「流通資產」。這種分化可能影響資產的流動性偏好與估值邏輯。從技術發展路徑來看,BIP-360 的出現也為其他公鏈提供了參考範式——在完全遷移到後量子簽章前,如何透過協議層面的微調來降低風險敞口。
未來演進可能沿著哪些路徑展開?
BIP-360 的技術路徑已相對明確,但其社會採納路徑仍存在較大不確定性。從技術演進來看,最可能的情境是分階段軟分叉推進:首先啟動 P2MR 新型輸出類型,允許用戶主動選擇使用;隨後錢包、交易平台與託管機構逐步增加支援;最後用戶在未來數年內漸進式移轉資產。這一過程與 SegWit 和 Taproot 的普及路徑相似。然而,社會共識的建立可能比技術實現更具挑戰性。BTQ Technologies 已經在比特幣量子測試網部署了 BIP-360 的工作實現,吸引超過 50 名礦工並挖掘超過 10 萬個區塊。但這一測試網獨立於比特幣主網運作,繞過了主鏈的治理流程。要讓 BIP-360 真正進入比特幣核心程式碼庫,仍需礦工、開發者與用戶之間達成廣泛共識。BTQ 總裁 Christopher Tam 直言:「這是一個社會問題。比特幣社群內有一些‘高級教士’需要說服。」
哪些潛在風險需要預警?
儘管 BIP-360 是一次重要的預防性升級,但其局限性同樣不容忽視。首先,現有資產不會自動獲得保護。所有舊 UTXO 在用戶主動移轉至 P2MR 輸出前,其公鑰暴露風險依然存在。這意味著,即使升級完成,網路中仍將長期存在大量脆弱資產,尤其是中本聰早期挖礦的地址與長期未動的「沉睡幣」。其次,BIP-360 並非終點。一旦真正可用的密碼學相關量子運算機(CRQC)出現,僅靠減少公鑰暴露已不足以應對威脅,屆時仍需遷移至完整的後量子簽章方案。再次,測試網與主網之間存在顯著差異。BTQ 測試網採用 1 分鐘的目標出塊時間以加速迭代測試,這與比特幣主網的 10 分鐘出塊機制不同。在測試網驗證通過的方案,移轉到主網時仍需重新評估安全邊界。最後,量子技術進展仍在加速。Google 設定的 2029 年遷移截止時間,以及美國聯邦政府 NSM-10 指令下的 2026 年 4 月後量子密碼遷移期限,都在壓縮產業反應的時間窗口。
總結
BIP-360 的提出,象徵比特幣從被動應對量子威脅轉向主動構建防禦層。它透過移除 Taproot 密鑰路徑、強制採用腳本路徑,顯著降低了公鑰鏈上暴露的風險。但這既不是終點,也不是萬靈丹。它是一次謹慎且漸進式的技術準備,為未來全面遷移至後量子簽章爭取了時間窗口。對加密產業而言,理解 BIP-360 的意義不在於將其視為終極解決方案,而在於認知到:在密碼學典範更替的臨界點上,提前布局與系統規劃遠比應急反應更為重要。量子運算的倒數計時已經啟動,而比特幣的開發者與生態參與者,正在用一次結構性的程式碼修改,回應這個跨越三十年的理論挑戰。
FAQ
問:BIP-360 能讓比特幣完全免疫量子攻擊嗎?
不能。BIP-360 僅減少了公鑰暴露的風險,並未替換現有的橢圓曲線簽章演算法。一旦出現真正可用的密碼學相關量子運算機,仍需遷移至完整的後量子簽章方案。
問:一般用戶現在需要做什麼?
目前量子威脅並非迫在眉睫,用戶無需恐慌。但可以開始養成地址不重複使用的習慣,關注錢包應用何時開始支援 P2MR 地址類型,並持續追蹤比特幣協議升級動態。
問:P2MR 地址和現有地址有何不同?
P2MR 地址預計以 bc1z 開頭,屬於 SegWit version 2 輸出類型。其核心差異在於強制所有花費都透過腳本路徑,避免公鑰直接暴露在鏈上。
問:BIP-360 何時會在比特幣主網啟動?
目前 BIP-360 仍處於 Draft 狀態,尚未納入比特幣核心程式碼庫。具體啟動時間取決於社群共識達成進度,尚無明確時間表。
問:為什麼不是直接升級到後量子簽章?
後量子簽章方案(如基於格的簽章)體積較大,對比特幣的區塊空間與節點效能構成較大壓力。BIP-360 是一種漸進式方案,在降低風險的同時保持網路現有效率,為更徹底的升級預留時間。
