2026年3月31日,Google 量子 AI 團隊發佈了一份備受矚目的白皮書,更新了量子電腦對加密資產構成威脅的技術評估。這份由 Google Research 副總裁 Hartmut Neven 與量子演算法研究總監 Ryan Babbush 共同撰寫的報告,透過零知識證明技術揭露了量子攻擊的最新資源估算,並將威脅時程明確指向 2029 年。白皮書指出,未來具備密碼學意義的量子電腦(CRQC)可能僅需不到 500,000 個物理量子位元,即可在數分鐘內破解支撐比特幣與以太坊安全的橢圓曲線加密演算法(ECDSA)。這一結論迅速引發產業震撼,市場開始重新檢視加密資產在面對量子時代的脆弱性。
9 分鐘威脅與 690 萬枚 BTC:白皮書核心事實
Google 在白皮書中首次公開了其破解 256 位橢圓曲線離散對數問題(ECDLP-256)的量子電路最佳化方案。研究顯示,實現該攻擊所需的邏輯量子位元數量已從過往估算的數千個降低至 1,200 至 1,450 個,對應的 Toffoli 門(量子運算中的基本操作單元)數量約為 7,000 萬至 9,000 萬。根據當前超導量子處理器的發展速度,Google 預計打造一台擁有約 500,000 個物理量子位元的 CRQC,即可在數分鐘內完成對 ECDLP-256 的破解。
白皮書特別強調了比特幣網路的兩類核心威脅:其一,透過 Shor 演算法直接破解未曾移動過的公鑰地址私鑰,這部分主要針對長期未動用的「沉睡地址」,其中包括疑似中本聰所持有的約 110 萬枚 BTC;其二,針對在途交易的「劫持攻擊」,即利用交易廣播到被打包上鏈的約 9 分鐘窗口期,攻擊者可快速推導出交易發起方的私鑰並竄改交易目標地址。Google 估算,僅比特幣網路上暴露於此類風險的 BTC 總量高達 690 萬枚,按當前市價計算超過 470 億美元。
對於以太坊生態,白皮書指出,智慧合約平台複雜的交易執行邏輯與 Layer 2 互動機制可能衍生出五種量子攻擊路徑,包括但不限於驗證人節點私鑰竊取、跨鏈橋中繼簽名偽造,以及歷史狀態中的簽名重放攻擊。Google 警告,這些攻擊路徑可能使以太坊鏈上超過 1,000 億美元的鎖定資產面臨風險。
從 Shor 演算法到 2029 時程:量子威脅演進路徑
量子運算對公鑰密碼學的威脅並非新議題。早在 1994 年,數學家 Peter Shor 便提出 Shor 演算法,證明量子電腦能高效解決大整數分解與離散對數問題。2016 年,美國國家標準與技術研究院(NIST)正式啟動後量子密碼學(PQC)標準化計畫,Google 亦於同年開始布局後量子加密遷移。
2024 年,NIST 公布了首批後量子加密標準,標誌著 PQC 從學術研究邁向工程應用。Google 在此期間持續參與產業標準制定,並於 2025 年提出其內部遷移時程,計畫在 2029 年前完成關鍵基礎設施向 PQC 的過渡。本次發佈的 2026 年白皮書,可視為 Google 對該時程的延續與風險警示的升級。白皮書中明確提及,Google 正與 Coinbase、史丹佛區塊鏈研究中心及以太坊基金會等單位合作,共同推動負責任揭露框架與產業遷移方案。
關鍵時程如下:
| 時間 | 事件 |
|---|---|
| 1994 年 | Peter Shor 提出 Shor 演算法,揭示量子計算對公鑰加密的潛在威脅 |
| 2016 年 | Google 開始布局後量子密碼學研究;NIST 啟動 PQC 標準化 |
| 2024 年 | NIST 發布首批 PQC 標準草案 |
| 2025 年 | Google 提出 2029 年完成基礎設施 PQC 遷移的內部時程 |
| 2026 年 3 月 | Google 發布量子攻擊資源估算白皮書,引發業界廣泛關注 |
1,200 個量子位元的真相
白皮書的核心數據建立在兩個關鍵變數的最佳化之上:邏輯量子位元數與 Toffoli 門數量。研究團隊透過編譯兩組不同的量子電路,分別實現了 1,200 邏輯量子位元 + 9,000 萬 Toffoli 門,以及 1,450 邏輯量子位元 + 7,000 萬 Toffoli 門的攻擊方案。相較於 2024 年業界普遍估算的 20,000 至 30,000 邏輯量子位元,Google 的最新結果將所需資源壓縮近 20 倍。
從物理實現角度來看,Google 以其現有旗艦量子處理器的效能參數推演。假設每個邏輯量子位元由約 400 個物理量子位元構成(考量量子糾錯開銷),那麼 1,200 個邏輯量子位元對應的物理量子位元總數約為 480,000。考慮到量子硬體每年約 1.5 倍至 2 倍的規模擴張速度,Google 認為在 2029 年前後達到此一物理規模具備高度可行性。
| 攻擊目標 | 邏輯量子位元需求 | Toffoli 門數量 | 預估執行時間 |
|---|---|---|---|
| 破解 ECDLP-256(方案一) | 1,200 | 9,000 萬 | 數分鐘 |
| 破解 ECDLP-256(方案二) | 1,450 | 7,000 萬 | 數分鐘 |
| 先前業界普遍估算 | 20,000 - 30,000 | 未明確 | 數小時至數天 |
根據 Gate 行情數據,截至 2026 年 4 月 1 日,比特幣(BTC)價格為 $68,201.5,24h 交易量為 $821.63M,市值為 $1.41T,市場佔有率為 55.68%。以太坊(ETH)價格為 $2,103.61,24h 交易量為 $407.98M,市值為 $249.77B,市場佔有率為 10.08%。若白皮書所述風險成真,以當前價格估算,僅比特幣暴露的 690 萬枚 BTC 市值即超過 470 億美元,以太坊暴露的 1,000 億美元資產風險則占其現有總市值的 40% 以上。
分歧的市場聲音:從恐慌到理性
白皮書發佈後,業界內外形成明顯分化的主流觀點與爭議。
支持方(以 Google、部分學術機構及安全研究社群為代表)認為,負責任地揭露量子威脅的精確資源需求是推動產業升級的必要手段。Google 透過零知識證明技術驗證攻擊可行性但不洩露具體電路設計,被視為兼顧透明與安全的新型揭露模式。白皮書中明確提及的合作夥伴包括 Coinbase、史丹佛區塊鏈研究中心及以太坊基金會,顯示部分產業領頭羊認可並參與此一風險預警機制。
反對方與質疑者則聚焦於三個面向:時程緊迫性的真實性、揭露方式的潛在市場擾動,以及現有區塊鏈架構的防禦能力。部分加密社群成員指出,白皮書雖稱「負責任揭露」,但其發佈方式仍難免引發市場恐慌討論,這可能構成對加密資產信心的非技術性攻擊。此外,比特幣核心開發者強調,即使量子攻擊在技術層面成真,比特幣網路並非毫無防禦能力,例如 Taproot 升級雖在某些場景下可能增加攻擊面,但同時也為引入更靈活的腳本與簽名方案提供了基礎。
| 觀點類型 | 代表方 | 核心觀點 |
|---|---|---|
| 積極警示 | Google、部分學術機構 | 負責任揭露是推動產業升級的關鍵;PQC 遷移已具可行性 |
| 謹慎樂觀 | 部分核心開發者 | 量子威脅確實存在,但現有網路可透過軟分叉等方式升級 |
| 質疑與反對 | 部分加密社群、投資人 | 揭露方式可能放大恐慌;實際攻擊門檻仍遠高於理論估算 |
一份白皮書的三個層面
在分析 Google 白皮書時,必須清楚區分事實、觀點與推測三個層面。
Google 確實發佈了該白皮書,內容包含量子電路編譯的具體數據(1,200 邏輯量子位元、7,000 萬 Toffoli 門等),這些數據經過零知識證明驗證,具有可驗證性。Google 提出了 2029 年的遷移時程,並與包括以太坊基金會在內的單位存在合作事實。白皮書明確提及對比特幣 Taproot 升級可能增加攻擊面的技術判斷。
白皮書中關於「量子計算可能比預期更早終結比特幣」的表述,屬於研究團隊的結論性判斷。其對 690 萬枚 BTC 暴露風險的估算,建立在「所有長期未移動地址均未採取任何防護措施」的假設之上,這一假設在現實網路中並非絕對成立。同樣,關於以太坊五種攻擊路徑的警告,是基於攻擊者已具備 CRQC 能力的前提推演。
量子電腦在 2029 年達到白皮書所述規模的可行性,屬於基於現有硬體發展速度的外推預測。物理量子位元數能否在三年內從當前數百個增長至 50 萬個,取決於量子糾錯與硬體製造領域的多項技術突破,存在高度不確定性。
此外,一個值得對比的敘事來自中本聰於 2010 年的論壇發言。當時面對類似的技術演進討論,中本聰曾表示:「如果 SHA-256 被徹底攻破,我認為我們可以達成共識,將區塊鏈回滾到某個已知的良好狀態,並從那裡繼續。」這一觀點與當前業界「加密永遠比破解容易」的共識相呼應,即加密資產的演進能力本身也是其安全模型的一部分。
從交易所到自託管:後量子時代的產業重構
Google 白皮書的發佈,從三個面向對加密產業產生了實質性影響。
其一,加速了後量子加密從理論到工程落地的進程。自 2024 年 NIST 發布 PQC 標準以來,部分新興公鏈與 Layer 2 專案已開始測試 PQC 簽名方案,如 Falcon、Dilithium 等。白皮書發佈後,關於「PQC 遷移時程」的討論從學術圈擴散至交易所、錢包服務商及礦池營運商。對大型交易所而言,如何在保障現有資產安全的前提下,設計與 PQC 相容的充提地址體系,成為未來兩年必須解決的技術難題。
其二,對自託管用戶與老專案提出明確升級要求。白皮書中揭露的 690 萬枚 BTC 風險,主要指向兩類地址:長期未移動的「沉睡地址」以及曾使用過公鑰地址(如 Legacy P2PK 格式)的 UTXO。這意味著,任何自託管用戶若仍使用未升級的地址格式,或長期持有未移動的資產,其風險敞口將隨時間推移而擴大。對於 2017 年前部署的智慧合約專案,若其簽章驗證邏輯未預留升級空間,可能面臨永久性的安全鎖定。
其三,引發對鏈上資產治理機制的重新思考。若量子攻擊成真,如何快速凍結被盜資產、如何協調全網節點完成 PQC 軟分叉、如何處理中本聰等早期地址中的不可動資產,這些技術之外的社會協調問題將成為產業的新挑戰。
三種未來:量子時代的情境推演
根據當前技術發展速度與產業應對能力,可推演出三種可能的情境演化路徑。
情境一:樂觀情境(PQC 遷移領先於量子攻擊)。在此情境下,主要公鏈、交易所及錢包服務商於 2028 年前完成 PQC 升級,主流資產地址全面遷移至抗量子簽章方案。量子電腦雖於 2029 年前後具備破解能力,但此時網路已不具可利用的攻擊面。該情境的實現仰賴產業共識的快速凝聚與工程資源的充分投入。
情境二:悲觀情境(量子攻擊先於產業升級)。量子硬體發展速度超乎預期,在產業尚未完成 PQC 遷移時,攻擊者已具備實施破解的能力。此時,比特幣與以太坊網路將面臨大規模私鑰洩露風險,市場信心崩潰,資產價值大幅縮水。該情境下,產業可能被迫採取極端手段,如透過社會共識強制凍結暴露地址、回滾交易甚至啟動新鏈。
情境三:最可能情境(階段性升級與局部風險並存)。產業將於 2028 至 2030 年間完成主要地址格式的 PQC 遷移,但大量長尾資產、老舊專案及未主動升級的自託管地址仍將暴露於風險中。量子計算的實際應用將從局部攻擊開始,攻擊者可能優先選擇價值集中且防禦薄弱的地址進行試點攻擊。此情境下,風險管理重點將從「全產業統一升級」轉向「關鍵資產優先防護」。
結語
Google 2026 年量子 AI 白皮書並非加密世界的末日預言,而是一份精確度日益提升的技術風險警示。它將量子攻擊從「遙遠的理論威脅」推進至「可量化的工程挑戰」,為產業爭取了寶貴的升級時間窗口。無論是比特幣的 Taproot 升級潛力,還是以太坊智慧合約的彈性架構,都為引入後量子加密提供了技術基礎。對於加密生態中的每一位參與者而言,理解量子威脅的本質、評估自身資產的風險敞口,並主動跟進 PQC 遷移進程,將是未來數年內保護數位資產安全的核心命題。加密技術的演進史已反覆證明:真正的安全並非源於對威脅的忽視,而是源於對挑戰的充分預見與系統性應對。
